Molte aziende sono in attesa di indicazioni su come poter trasferire lecitamente i dati fuori dalla UE a fronte dell’intricato scenario creatosi in seguito alla decisione Schrems II della CGUE del 16 luglio 2020.

Per questo, i trasferimenti internazionali di dati sono in cima all’agenda della conformità per il resto del 2020 e costituiranno una priorità chiave per il 2021. Questo vale per le organizzazioni, ma soprattutto per le istituzioni UE che devono trovare soluzioni fruibili per i titolari e i responsabili UE che hanno a che fare con provider di servizi extra UE. In questo novembre qualcosa sembra essersi mosso.

Intervenendo qualche giorno dopo l’emanazione delle raccomandazioni dell’EDPB sui trasferimenti internazionali di dati dopo la decisione Schrems II della CGUE (recommendations on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, e recommendations on the European Essential Guarantees for surveillance measures), la Commissione europea ha pubblicato una bozza di nuove clausole contrattuali standard (Standard Contractual Clauses – SCC) e una bozza di decisione di attuazione.

La bozza della Commissione consente due nuovi tipi di trasferimento (da un responsabile con sede nell’UE a responsabile extra UE e da responsabile con sede nell’UE a titolare extra UE) e contiene importanti aggiornamenti per allineare il testo delle clausole al GDPR. Tutti gli scenari consentiti dal nuovo modello di contratto sono esposti in una serie di “moduli” da utilizzare a seconda del caso d’uso del trasferimento dei dati e dello status di esportatore e importatore ai sensi del GDPR, ossia:

  • da titolare a titolare
  • da titolare a responsabile
  • da responsabile a sub-responsabile
  • da responsabile a titolare

Le nuove SCC rimangono non negoziabili ad eccezione dell’aggiunta di termini commerciali che non sono in conflitto con le disposizioni delle SCC stesse.

Sempre da un punto di vista strutturale, la nuova versione prevede:

  • clausole di portata generale incluse prima e dopo le sezioni specifiche;
  • un meccanismo che consente ad altre parti di aderire direttamente alle clausole in qualità di esportatore o importatore di dati (senza dover replicare le medesime SCC in separati accordi).

E’ bene ricordare che le SCC approvate dalla Commissione nel 2001 e nel 2010 riguardavano solo due scenari di flusso di dati: un titolare del trattamento con sede nell’UE che esporta i dati al di fuori dell’UE verso altri titolari del trattamento oppure verso propri responsabili del trattamento. Con la nuova redazione, la Commissione colma una lacuna spesso riscontrata nell’applicazione partica delle regole sulla protezione dati finendo per creare difficoltà in molteplici ambiti: se la bozza sarà approvata, sarà dunque consentito ai responsabili del trattamento dell’UE di operare come esportatori di dati verso titolari e responsabili fuori extra UE.

La soluzione proposta dalla Commissione introduce una maggiore flessibilità alle SCC che potranno così adattarsi ad una realtà socio-economica in cui non son pochi i responsabili UE che, per fornire i propri servizi ai titolari, esportano dati personali a sub-responsabili extra UE senza disporre – ad oggi – di un meccanismo “giuridicamente blindato” per coprire tali trasferimenti. La nuova flessibilità delle SCC conferma, peraltro, le “mire espansionistiche” del GDPR quanto a diffusione su scala globale degli standard minimi di protezione dei dati, creando nuovi percorsi virtuosi.

Considerati i pochi giorni intercorsi tra le due iniziative, è doveroso leggere la bozza della Commissione tenendo a mente il processo valutativo in sei step proposto dall’EDPB nelle sue ultime raccomandazioni in tema di trasferimento dati. Sembra che ci sia un potenziale disaccordo sull’approccio che i titolari dovrebbero adottare. Sia la Commissione che l’EDPB includono un elenco di fattori che gli importatori di dati devono prendere in considerazione nel determinare se la legge locale consente loro di rispettare gli obblighi previsti dalle SCC, ma tali elenchi presentano delle differenze. La Commissione sembra consentire agli importatori di esaminare la possibilità di un accesso governativo ai dati, consentendo di valutare “l’esperienza pratica pertinente che indica l’esistenza o l’assenza di casi precedenti di richieste di divulgazione da parte delle autorità pubbliche ricevute dall’importatore di dati per il tipo di dati trasferiti“. L’EDPB, d’altro canto, ha messo in guardia gli importatori di dati da considerazioni “soggettive”, tra cui “la probabilità che le autorità pubbliche abbiano accesso ai vostri dati in modo non conforme agli standard dell’UE“. Ciò detto, entrambi i documenti osservano che la valutazione sulla possibile sorveglianza governativa deve includere tutte le leggi “applicabili” all’importatore di dati.

La Commissione ha osservato che, a suo avviso, le SCC proposte non solo soddisfano i requisiti dell’articolo 46 del GDPR (clausole contrattuali standard per i trasferimenti internazionali), ma – se utilizzate per regolamentare il rapporto tra titolare del trattamento dell’UE e responsabile del trattamento – soddisfano anche l’articolo 28 del GDPR medesimo. L’articolo 28, come noto, stabilisce i requisiti per i data processing agreement tra titolare e responsabile in generale (indipendentemente dal fatto che i dati personali siano esportati al di fuori dalla UE/SEE): tali obblighi sono spesso oggetto di trattative tra le parti. Quanto agli aspetti delle bozze di SCC rilevanti ai fini dell’articolo 28, essi sono piuttosto e possono risultare preferibili dai responsabili del trattamento che non desiderano negoziare obblighi su misura per ogni titolare del trattamento con cui lavorano. L’approccio relativamente minimalista è in qualche modo in contrasto con quello adottato dall’EDPB nelle sue recenti Linee Guida sulle figure del titolare e responsabile del trattamento, secondo cui gli obblighi di cui all’articolo 28 del GDPR, pur costituendo il contenuto essenziale di un accordo di trattamento dei dati, non sono di per sé sufficienti e dovrebbero essere integrati da disposizioni dettagliate che stabiliscono i rispettivi obblighi delle parti.

Le bozze dei documenti sono disponibili per la consultazione pubblica e sia l’EDPB che l’EDPS sono chiamati a esprimere il loro parere sui documenti. Il 20 novembre scorso il presidente dell’EDPB, Andrea Jelinek, ha dichiarato: “Le nuove SCC per il trasferimento di dati personali verso paesi terzi sono stati molto attese, ed è importante sottolineare che non sono una soluzione globale per i trasferimenti di dati post-Schrems II. Mentre le SCC aggiornate sono un pezzo importante del puzzle e uno sviluppo molto importante, gli esportatori di dati dovrebbero comunque rendere il puzzle completo. L’approccio graduale delle raccomandazioni dell’EDPB sulle misure supplementari è necessario per portare il livello di protezione dei dati trasferiti allo standard di equivalenza essenziale dell’UE. Insieme all’EDPS, il Board elaborerà ora un parere congiunto sulle bozze dei due set di SCC, su invito della Commissione europea“.

Il feedback ricevuto dal pubblico ed dai Supervisor europei durante questo periodo consultivo potrebbe portare a ulteriori modifiche della struttura e del contenuto dei draft. Una volta in forma definitiva, la decisione e le clausole dovranno essere adottate formalmente dalla Commissione per essere efficaci e disponibili per l’uso da parte delle imprese. Fortunatamente, la bozza di decisione della Commissione prevede un periodo di transizione di un anno a far data dall’adozione (che difficilmente avverrà entro il 2020). I contratti esistenti che utilizzano i vecchi moduli SCC rimarranno in vigore durante questo periodo, a condizione che il contratto rimanga altrimenti invariato. Tuttavia, una volta che i contratti saranno stati rivisti o aggiornati, le nuove clausole dovranno essere applicate.

Il grace period sarà il benvenuto perché le organizzazioni avranno probabilmente bisogno di un po’ di tempo per valutare tutte le implicazioni pratiche prima di apportare cambiamenti radicali agli accordi internazionali sul trasferimento dei dati. Le bozze delle SCC includono clausole che impongono una valutazione in più fasi e l’attuazione di misure di salvaguardia tecniche, organizzative e amministrative, non esonerano le aziende dalla necessità di effettuare una due diligence per gestire gli scenari post Schrems II, ma offrono una base contrattuale univoca per farlo.