Risale a meno di sei mesi fa la pubblicazione da parte della Commissione Europea della versione aggiornata delle Clausole Contrattuali Standards (SCC), il meccanismo di salvaguardia ex art. 46 su cui titolari e responsabili del trattamento possono fare affidamento nell’eventualità in cui riscontrino la necessità di esportare dati personali verso Paesi Extra EU.
Trasferimento dati extra-Ue: la Commissione approva le nuove SCC, ma i problemi restano
In seguito è però giunta la conferma (contenuta nel verbale della riunione tenuta dall’EDPB lo scorso 14 settembre) che la Commissione Europea è in procinto di elaborare delle ulteriori SCC, per disciplinare i trasferimenti di dati personali anche verso data importer cui si applica il GDPR sulla base dei criteri oggettivi previsti dal paragrafo 2 dell’art. 3, GDPR. La predisposizione di questa ulteriore versione delle SCC – da utilizzare per i trasferimenti tra soggetti che rientrano nel campo di applicazione del GDPR – sembra però rappresentare un’inversione di tendenza in relazione a quanto previsto nelle premesse alle SCC pubblicate dalla Commissione Europea lo scorso 4 giugno. In tali premesse veniva infatti espressamente indicato che i data exporter avrebbero potuto ricorrere a tali clausole solo qualora il trasferimento di dati personali non fosse rientrato nell’ambito di applicazione del GDPR.
Il 18 novembre 2021, l’EDPB, confermando il suo orientamento, è intervenuta nuovamente sul tema dei trasferimenti extra-UE con le sue Guidelines on the interplay between Art. 3 and Chapter V GDPR.
La posizione dell’EDPB
Lo European Data Protection Board (EDPB) sembrerebbe essere dell’avviso che le regole relative ai meccanismi di trasferimento previste dal Regolamento 679/2016 debbano trovare applicazione non solo in occasione di trasferimenti di dati verso organizzazione extracomunitarie cui non si applichi il GDPR, ma anche qualora il trasferimento ricada già nell’ambito di applicazione del GDPR. Questa presa di posizione dell’EDPB non rappresenta una novità, in quanto tale orientamento era già stato condiviso dal WP 29 in relazione all’ambito di applicazione delle regole previste per i trasferimenti.
Nello specifico, l’EDPB sostiene che la sinergia tra l’art. 3 GDPR (relativo all’ambito di applicazione territoriale del Regolamento) e il Capo V (relativo ai trasferimenti di dati personali verso Paesi Extra EU e organizzazioni internazionali) possa comportare il configurarsi di situazioni in cui il titolare del trattamento sia un soggetto extra EU e che il trasferimento venga effettuato da tale titolare che agisce come importatore di dati verso un paese terzo.
A parere dell’EDPB, qualora si venisse a delineare questa fattispecie e nonostante il titolare extra EU risulti essere già soggetto all’applicazione del GDPR sulla base della disposizione prevista all’art. 3, il meccanismo di trasferimento ex art. 46 sarebbe da considerarsi in ogni caso applicabile al fine di garantire una tutela adeguata del trasferimento.
La scelta del legislatore europeo di non disciplinare espressamente questa fattispecie implicherebbe, a parere dell’EDPB, che entrambe le norme – quella relativa allo scopo del GDPR e quelle relative ai trasferimenti – vadano quindi congiuntamente applicate laddove sussistano i presupposti fattuali.
La posizione della Commissione Europea
La Commissione Europea ha manifestato un orientamento antitetico rispetto a quello prospettato dall’EDPB.
Nel considerando 7 dell’ultima versione delle SCC, la Commissione aveva espressamente indicato che i titolari o responsabili aventi sede nello SEE avrebbero potuto ricorrere a tali clausole solo qualora il trasferimento di dati personali non fosse rientrato nell’ambito di applicazione del GDPR “The standard contractual clauses may be used for such transfers only to the extent that the processing by the importer does not fall within the scope of Regulation (EU) 2016/679”. Ciò in quanto, le SCC – a parere della Commissione – non conferirebbero una tutela aggiuntiva rilevante per i trasferimenti verso soggetti cui già si applica il GDPR, applicandosi ad esso le medesime salvaguardie richieste dalle SCC.
Prospettive future e conclusioni
In considerazione della diversità di opinioni espresse dalle due istituzioni europee, è presumibile che difficilmente EDPB e Commissione Europea arriveranno in tempi brevi a un accordo in relazione alla necessità di provvedere all’emanazione di una versione ad hoc delle SCC da utilizzarsi per i trasferimenti di dati personali tra soggetti cui si applica il GDPR.
Infatti, se da un lato la Commissione Europea è dell’avviso che la predisposizione di una versione ad hoc delle SCC per questi trasferimenti finirebbe per rappresentare un adattamento stemperato delle SCC previste per i trasferimenti extra EU, dall’altro l’EDPB considererebbe l’approvazione di tali nuove SCC uno strumento idoneo a rafforzare l’applicazione contrattale delle disposizioni del GDPR da parte di un data importer.
In ogni caso, l’art. 28 del GDPR stabilisce che un titolare del trattamento possa ricorrere unicamente a responsabili in grado di offrire adeguate garanzie e che siano in grado di mettere in atto misure tecniche e organizzativa sufficienti affinché il trattamento soddisfi i requisiti del Regolamento. Inoltre, il contratto che vincola titolare e responsabile del trattamento dovrebbe prevedere che il responsabile si impegni a trattare dati personali soltanto su istruzione documentata del titolare, anche in caso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale.
Inoltre, nulla preclude che i titolari del trattamento possano ricorrere ad atti di nomina a responsabili del trattamento (Data Processing Agreement) che includano la versione delle SCC, pubblicata lo scorso 4 giugno, anche qualora il soggetto designato responsabile sia un soggetto EU che effettui un trasferimento di dati personali verso altro soggetto che ricade nel novero di cui all’art. 3, par.2 GDPR.
In questo contesto non ci resta che attendere che EDPB e Commissione trovino un accordo sul come rapportarsi rispetto a questa specifica fattispecie e quindi sulla necessità di adottare delle apposite SCC per i trasferimenti verso data importer cui già si applichi il GDPR.
Linee guida EDPB, gli sviluppi
Nelle linee guida, attualmente in fase di consultazione pubblica, l’istituzione comunitaria dopo una ricognizione sulla nozione di trasferimento di dati personali – non definita espressamente dal GDPR – sancisce tre criteri utili nel definire il perimetro di applicazione del Capo V del Regolamento che disciplina condizioni e salvaguardie per il trasferimento di dati personali al di fuori del territorio europeo.
Criterio 1
Il primo criterio prevede che il trattamento in oggetto rientri nel novero applicativo di cui all’articolo 3 GDPR, che sancisce la competenza territoriale del GDPR, vale a dire che un titolare o un responsabile sia soggetto al GDPR per il trattamento di dati personali in esame. L’EDPB specifica che i titolari e i responsabili del trattamento, che non sono stabiliti nell’UE, possono essere soggetti al GDPR ai sensi dell’articolo 3, paragrafo 2, per un determinato trattamento e, quindi, dovranno rispettare il capo V quando trasferiscono i dati personali a un paese terzo o a un’organizzazione internazionale.
Criterio 2
Il secondo criterio richiede che ci sia un titolare o un responsabile del trattamento che trasmette, o comunque rende disponibili, i dati personali raccolti ad un altro titolare o responsabile del trattamento. Questo secondo criterio non può essere considerato soddisfatto quando i dati sono comunicati direttamente e su propria iniziativa dalla persona interessata al destinatario. In tal caso, non vi è alcun titolare o responsabile del trattamento che invia o rende disponibili i dati (“esportatore”). L’EDPB cita, a titolo esemplificativo, l’ipotesi di un cittadino comunitario residente in UE che inserisce, sua sponte, i dati personali su un sito di e-commerce extra-UE con nessun stabilimento o rappresentante in Unione Europea.
Il secondo criterio implica che il concetto di “trasferimento di dati personali a un Paese terzo o a un’organizzazione internazionale” si applica solo alle comunicazioni di dati personali in cui sono coinvolte due diversi “attori” (titolari o responsabili). Per qualificarsi come un trasferimento, ci deve essere un esportatore (che agisce come titolare o responsabile del trattamento) e un importatore (diverso titolare o responsabile del trattamento) che riceve o ha accesso ai dati.
Criterio 3
Il terzo criterio richiede che l’importatore sia stabilito geograficamente in un Paese terzo o sia un’organizzazione internazionale. Nel chiarire questo terzo criterio, l’EDPB riporta un esempio assai esplicativo. La società A, un titolare senza stabilimento nell’UE, offre beni e servizi al mercato dell’UE. Il sito della società francese B, tratta i dati personali per conto della società A. B ritrasmette i dati ad A. Il trattamento effettuato dal responsabile del trattamento B è coperto dal GDPR per gli obblighi specifici del responsabile del trattamento ai sensi dell’articolo 3, paragrafo 1, poiché avviene nel contesto delle attività del suo stabilimento nell’UE. Anche il trattamento effettuato da A è coperto dal GDPR, poiché l’articolo 3(2) si applica ad A. Tuttavia, poiché A si trova in un paese terzo, la divulgazione dei dati da B ad A è considerata un trasferimento verso un paese terzo e quindi si applica il capo V.
L’EDPB specifica che i tre criteri sopra riportati sono da considerarsi cumulativi e, quindi, per rientrare nella nozione di trasferimento di dati personali, e quindi applicarsi le disposizioni di cui al Capo V del Regolamento, dovranno essere soddisfatti tutti e tre i requisiti espressi dal Board.
La priorità: colmare un vuoto normativo
Definito in maniera alquanto chiara l’ambito applicativo del Capo V del GDPR emerge, nuovamente, come sia necessario intervenire per colmare l’attuale vuoto normativo lasciato dalla Commissione Europea nel disciplinare l’ipotesi in cui il trasferimento sia effettuato da titolari o responsabili stabiliti nell’UE verso importatori cui si applica il GDPR ai sensi dell’art. 3 par. 2 del Regolamento. Le clausole standard licenziate dalla Commissione nello scorso giugno, secondo quanto previsto dal referral 7 delle stesse, sembravano di fatto escludere questa ipotesi di applicazione per le Standard Contractual Clauses, lasciandola così “scoperta” da uno tra i principali strumenti di data transfer questa ipotesi di trasferimento.
L’EDPB con le suddette linee guida conferma dunque la sua posizione, al quale la Commissione è chiamata ad omologarsi, o comunque ad esprimersi, nel breve. Alcuni policy maker della Commissione hanno anticipato la volontà dell’organo comunitario di predisporre delle apposite Standard Contractual Clauses nel primo semestre del 2022.
