gdpr extra ue

Un argomento molto dibattuto nell’ultimo periodo nel mondo della privacy è di certo legato al trasferimento e trattamento dati personali al di fuori dello spazio economico europeo.

Proprio su questo tema ci sono delle importanti novità. La Commissione Europea, il 4 giugno 2021 ha modificato le Standard Contractual Clauses (Clausole Contrattuali Standard) o SCC da implementare nei contratti che prevedono il trasferimento di dati personali dei cittadini europei al di fuori dell’UE, al fine di sostenere un completo rispetto della privacy del cittadino e del GDPR.

Ma vediamo nel dettaglio cosa ha portato alle nuove SCC, quali sono le implicazioni della sentenza Schrems II e come adeguarsi alle nuove clausole contrattuali della Commissione Europea.

Trattamento dati personali al di fuori dell’Unione Europea: le nuove SCC

L’introduzione della nuove SCC da parte della Commissione Europea, a giugno 2021, è avvenuta successivamente alla sentenza Schrems II che è stata emanata da parte della Corte di Giustizia Europea a luglio del 2020.

La sentenza Schrems II ha portato la Corte di Giustizia Europea ha definire come: alcuni dei servizi “made in USA” molto diffusi in tutta l’Europa e utilizzati praticamente da tutti (quindi sia da parte delle multinazionali sia delle piccole e medie imprese, fino alle attività familiari) fossero poco sicuri e non in linea con il trattamento dei dati personali richiesto dal GDPR (ossia il Regolamento dell’Unione Europea numero 679/2016 promulgato in materia di protezione dati personali e tutela della privacy).

Dunque, le nuove CCS o SCC (Clausole Contrattuali Standard) dell’Unione Europea, sono state introdotte per riuscire ad assicurare uno standard di protezione elevato dei dati personali dei cittadini europei.

Con il fine ultimo di rendere agevoli gli adempimenti a carico delle aziende (medio, grandi o piccole) che dialogano con le aziende statunitensi (specialmente le big tech) e in generale con le società site al di fuori dello Spazio Economico Europeo.

Prima di spiegare nel dettaglio in cosa consistono queste clausole e come adeguare i contratti alle nuove SCC, dobbiamo fare un attimo un passo indietro e capire come la sentenza Schrems II abbia influito fortemente su questa decisione.

La sentenza Schrems II: cosa è cambiato con la decisione della Corte di Giustizia Europea

La sentenza del 16 luglio del 2020 della Corte di Giustizia Europea che prende il nome di “Schrems II” ha invalidato lo scudo per la privacy USA-EU, il Privacy Shield, e ha riconosciuto invece la legalità delle SCC ossia delle Standard Contractual Clauses sulla quale basare i contratti che prevedono il trasferimento internazionale dei dati al di fuori dello spazio economico europeo.

Nella sua sentenza la Corte di Giustizia Europea ha voluto ribadire l’applicabilità del GDPR (Regolamento UE 2016/279) e i principi in esso contenuti anche per i dati personali che al momento del trasferimento (o anche successivamente) potevano essere trattati dalle autorità di un paese extra UE (in particolar modo da parte di paesi quali gli Stati Uniti).

Il Privacy Shield, dunque, secondo la Corte di Giustizia Europea, non supportava un’adeguata protezione dei dati personali e non era in linea con la normativa del GDPR.

Per questo motivo, il Privacy Shield ha cessato con effetto immediato di essere un sistema legittimo o meglio un presupposto legale, per il trasferimento dei dati personali dall’Unione Europea agli Stati Uniti.

Conseguentemente a questa decisione, il 17 luglio del 2020, l’EDPB (Comitato Europeo per la protezione dei dati) ha pubblicato il suo Statement accogliendo favorevolmente il giudizio della Corte di Giustizia Europea, evidenziando come fondamentale il diritto alla privacy nel contesto di trasferimento dei dati verso paesi terzi extra UE.

In definitiva è stato dichiarato: inadeguato lo scudo per la privacy (Privacy Shield) che in precedenza regolamentava il trasferimento dei dati da un’azienda con sede nell’Unione Europea verso una multinazionale, azienda o società degli Stati Uniti, sottolineando invece la validità delle SCC.

A fronte di questa decisione, la Commissione Europea ha deciso dopo 11 mesi dalla sentenza Schrems II, di aggiornare queste clausole al fine di assicurare gli adempimenti contrattuali necessari per la protezione dei dati personali dei cittadini europei.

Cta Gdpr

Nuove SCC: la loro importanza per il trasferimento di dati nelle nazioni extra UE

Le Standard Contractual Clauses: costituiscono garanzie adeguate, senza che siano necessarie da parte dell’autorità di controllo, delle autorizzazioni specifiche.

La mancanza di autorizzazioni specifiche, mediante l’uso delle SCC, è dovuto al fatto che queste clausole sono standardizzate e quindi valutate attentamente da parte della Commissione Europea e pronte per essere inserite in modo agevole all’interno dei contratti tra le parti, nel momento in cui sussiste un trasferimento di dati personali al di fuori dello spazio economico europeo.

Grazie alle nuove SCC se vuoi trasferire dati personali al di fuori dell’Unione Europea, puoi farlo a patto che verifichi che lo Stato verso cui stai trasferendo questi dati sia considerato: sicuro.

Se lo stato viene considerato: inadeguato, allora non è possibile procedere al trasferimento dei dati personali dei cittadini europei in uno Stato al di fuori dell’UE.

Con le nuove clausole contrattuali standard create ad hoc da parte della commissione europea, si può procedere al trasferimento dei dati personali anche negli USA, a patto però che l’azienda con la quale si lavora, sottoscriva le nuove SCC. In definitiva: senza garanzie non si può procedere al trasferimento dei dati.

Ma perché è stata necessaria una revisione delle “vecchie” SCC e l’introduzione di nuove clausole contrattuali standard? Il motivo è molto semplice: le SCC precedenti avevano un limite ossia la poca flessibilità.

La scarsa flessibilità delle precedenti SCC era un limite molto importante e ostacolava fortemente i piccoli imprenditori (ma in parte anche le aziende medie o grandi), portando così a un disequilibrio dei contratti che alla fine favoriva le grandi multinazionali, come ad esempio Facebook e Google.

Ecco perché dato il disequilibrio che si andava a creare con le vecchie SCC, la Commissione Europea ha ben pensato di elaborare un nuovo standard che permettesse a tutti, anche a una piccola SRL, di verificare e trasferire in modo corretto i dati personali fuori dall’UE, con maggiori certezze, sicurezza e anche con più semplicità.

Perché bisogna considerare che volere o meno oggi molti servizi con sede negli USA sono strategici e a volte necessari per il business di molte aziende.

Quindi con le nuove SCC la Commissione Europea ha creato delle clausole contrattuali adeguate sia alla normativa prevista dal GDPR sia alla sentenza della Corte di Giustizia, sia agli accordi commerciali adottati normalmente tra aziende.

Le caratteristiche delle nuove Clausole Contrattuali Standard della Commissione Europea

Con la decisione della Commissione Europea del 4 giugno del 2021, abbiamo visto come siano state adottate delle nuove clausole che devono essere incluse nel contratto per il trasferimento dei dati personali al di fuori dello Spazio Economico Europeo.

Con queste clausole si punta a ottenere due risultati. Il primo è una gestione corretta del rapporto tra il titolare e il responsabile del trattamento dei dati personali. Il secondo invece mira a regolare in modo ottimale il trasferimento dei dati personali verso i paesi extra UE.

Grazie a queste nuove clausole è stato possibile ovviare al problema di flessibilità delle vecchie SCC.

Infatti, la Commissione Europea ha sottolineato come le modifiche siano state effettuate nell’ottica di adeguarsi alle nuove realtà digitali e alle lunghe e complesse catene di relazioni commerciali che sono sempre più in evoluzione tra gli stati membri e quelli extra UE.

Con il fine ultimo, dunque, di contemplare al meglio le varie situazioni di trattamento e trasferimento e consentire di conseguenza un approccio più flessibile.

In questo modo, anche le aziende più piccole, sono in grado di verificare il rispetto di tutti i requisiti necessari per il trasferimento dei dati al di fuori dell’UE.

Il quadro messo insieme dalla Commissione Europea guarda a tutti e vuole mettere insieme e costruire un sistema che garantisca un livello di protezione dei dati personali elevato, specialmente nel momento in cui le informazioni private dei cittadini dell’UE vengono trattate in stati extra europei.

SCC: cosa è previsto dalle nuove clausole contrattuali standard

Le Clausole Contrattuali Standard introdotte dalla Commissione Europea sono dei documenti pre-approvati, al loro interno è possibile identificare i requisiti da rispettare per il trasferimento dei dati personali al di fuori dell’Unione Europea.

Nel dettaglio con le nuove SCC, rispetto alle precedenti, è stato possibile:

  1. Adeguare in modo corretto il loro contenuto alla normativa del GDPR
  2. Come richiesto dal GDPR è stato possibile con le nuove clausole prevedere un solo un “entry point” (punto d’ingresso). Al fine di assicurare il corretto trattamento dati anche in scenari differenti.
  3. Le clausole minime possono essere integrate con altre, a patto che queste non vadano contro in modo diretto o indiretto, alle clausole contrattuali standard della Commissione Europea e che non mettano in alcun modo a rischio le libertà degli interessati.
  4. Il trasferimento dei dati al di fuori dell’UE si sviluppa in modo meno complesso. Questo perché sono state introdotte clausole modulari che permettono anche ai soggetti terzi di rientrarvi.
  5. Infine, sono state introdotte delle misure da adottare al fine di essere in linea anche con la sentenza Schrems II.

Come adeguare i contratti alle nuove SCC

Un dubbio che sorge per chi ha già un contratto che prevede il trasferimento di dati al di fuori dell’UE è: come adeguarlo alle nuove SCC?

La Commissione Europea, al fine di aiutare chi aveva già uno o più contratti in essere, ha sottolineato che le aziende europee hanno 18 mesi per effettuare l’adeguamento alle nuove clausole contrattuali standard.

Inoltre, ha consigliato di effettuare in modo chiaro l’adeguamento attraverso: la segnalazione della durata, oggetto e finalità del trattamento; la definizione della tipologia di dati personali trattati e dei relativi interessati; chiarendo gli obblighi del titolare del trattamento; comprensione delle procedure e norme sostanziali.

Quindi i contratti esistenti devono essere mappati ed entro il 27 dicembre del 2022 dovranno essere adeguati alle nuove clausole contrattuali standard al fine di essere in linea con il GDPR e la normativa della privacy.

Quando adeguare i nuovi contratti alle SCC e quali gli obblighi dell’importatore ed esportatore? 

In caso di nuovi contratti, questi a partire dal 27 settembre del 2021, devono essere già iscritti seguendo le clausole contrattuali standard della Commissione Europea.

Questa implementazione, comporta dei doveri per l’importatore e per l’esportatore dei dati.

Nel dettaglio, gli importatori dei dati hanno la responsabilità di conservare tutta la documentazione relativa al trattamento dati personali dei cittadini europei. Inoltre, devono informare l’esportatore nel caso in cui i dati non possano essere trattati nel rispetto delle nuove SCC.

Cosa succede se l’importatore non può rispettare il nuovo contratto e le nuove SCC?

In questo caso, l’esportatore (dopo aver ricevuto la notifica dall’importatore) deve procedere a prendere tutte le contromisure adeguate sia sotto il profilo tecnico sia organizzativo, al fine di garantire la riservatezza e la sicurezza dei dati personali, e nel caso di necessità può anche sentire l’autorità di vigilanza in merito alla situazione.  

L’esportatore, invece, ha come obbligo esclusivamente in fase di contratto dell’uso delle giuste clausole contrattuali standard per il trasferimento dei dati personali al di fuori dell’UE, senza creare clausole aggiuntive che possano andare contro i principi delle SCC della Commissione Europea.

Può invece inserire più clausole, se queste rispettano e tutelano le SCC e di conseguenza anche il Regolamento sul Trattamento dei Dati Personali.

Infine, in caso di scioglimento del contratto, viene sottolineato, che i dati trasferiti prima della risoluzione e le eventuali copie, devono essere restituire all’esportatore oppure distrutti. La decisione tra distruzione dei dati oppure restituzione è a discrezione dell’esportatore.

Con l’introduzione delle nuove SCC si semplifica per le aziende europee l’eventuale trasferimento dei dati personali dei cittadini al di fuori dell’UE, e al contempo si offre uno strumento di maggior garanzia di rispetto della normativa non solo alle grandi aziende ma anche ai piccoli imprenditori.

La sentenza Schrems II ha permesso così l’apertura di nuovi scenari nel campo della privacy. Scenari in cui l’Europa e il GDPR si ergono a massimi protettori dei dati personali dei cittadini dell’UE, specialmente verso enti e aziende di paesi esteri, come gli USA, dove altresì il trattamento dei dati personali non prevede tutte le garanzie previste invece dalla normativa europea.

Cta Gdpr
Max Valle

Da oltre 30 anni erogo consulenze e servizi digitali per aziende e professionisti, che vogliono sviluppare il loro business, aumentando i clienti in modo serio e produttivo, utilizzando le ultime tecnologie web e nel pieno rispetto delle normative vigenti in materia.