Lo scorso 4 giugno la Commissione europea ha pubblicato la nuova versione delle Standard Contractual Clauses (SCC) che potranno essere utilizzate come legittimo meccanismo di trasferimento di dati personali verso Paesi terzi.
Secondo quanto previsto dalla Commissione, le nuove SCC entreranno in vigore il ventesimo giorno successivo alla loro pubblicazione nella Gazzetta Ufficiale dell’Eu e, per i successivi tre mesi, i soggetti coinvolti in trasferimenti di dati personali verso Paesi Extra UE avranno la possibilità di effettuare una scelta in relazione a quale versione delle SCC – la nuova appena pubblicata o quella precedente – adottare come meccanismo di salvaguardia ex art. 46 GDPR.
Trasferimento dati extra-Ue: la Commissione approva le nuove SCC, ma i problemi restano
In ogni caso, decorsi 15 mesi dall’entrata in vigore delle stesse, tutti i trasferimenti di dati personali che utilizzano le SCC come garanzia di trasferimento, dovranno necessariamente basarsi sulla nuova versione delle SCC.
È pertanto di fondamentale importanza che, fin da ora, tutte le aziende coinvolte in trasferimenti di dati personali che adottano – o che intendano adottare – le SCC come fondamento per i trasferimenti di dati personali al di fuori del SEE, pongano in essere gli step necessari affinché possano continuare ad effettuare trattamenti di dati personali che comportano l’esportazione degli stessi verso Paesi terzi, come spesso avviene quando un Titolare del trattamento ricorre ai servizi digitali (es. servizi in SaaS) offerti dalle Big Tech statunitensi e cinesi.
I nuovi oneri per i trasferimenti di dati personali verso Paesi Terzi
Le nuove Standard Contractual Clauses estendono il perimetro di applicazione soggettiva, disciplinando i trasferimenti tra soggetti fino ad ora non tenuti in considerazioni da questo strumento negoziale, già in uso prima del GDPR.
Ambito di applicazione delle nuove SCC
La versione delle SCC recentemente approvata dalla Commissione Europea trova infatti applicazione non solo ai trasferimenti di dati personali effettuati da un Titolare del trattamento (data exporter) verso un Responsabile del Trattamento (data importer), ma anche a tutti i trasferimenti che possono intercorrere tra i diversi soggetti, estendendosi anche alle esportazioni effettuate da un Titolare verso un altro Titolare o da un Responsabile del Trattamento verso altri Responsabili. Nel nuovo testo è infatti espressamente previsto che qualsiasi trasferimento successivo (“onward transfer”) – effettuato da un Responsabile verso un altro Sub-Responsabile – sia coperto dalle garanzie previste dalle SCC.
Nello specifico, nella Section II intitolata “Obligations of the Parties”, sono stati inseriti quattro moduli predisposti per coprire tutte le casistiche relative ai trasferimenti di dati personali verso Paesi Extra EU effettuati da o verso soggetti che ricoprono il ruolo di Titolare o di Responsabile del trattamento.
- Modulo I: trasferimento da Titolare a Titolare;
- Modulo II: trasferimento da Titolare a Responsabile;
- Modulo III: trasferimento da Responsabile a Responsabile;
- Modulo IV: trasferimento da Responsabile a Titolare.
I moduli sopra elencati permettono alle parti coinvolte in un trasferimento di ricorrere a specifiche garanzie predisposte ad hoc in relazione alla “direzione” del trasferimento e che incorporano il Data Processing Agreement ex art. 28 GDPR. Pertanto, qualora le parti decidessero di avvalersi delle SCC – nella nuova versione – come base giuridica per legittimare il trasferimento di dati personali verso Paesi extra EU, non vi sarà più la necessità di prevedere un ulteriore atto di nomina tra le parti. Le stesse potranno decidere anche di includere le previsioni delle SCC nell’ambito di un più ampio contratto e/o di aggiungere ulteriori clausole o garanzie supplementari, purché queste ultime non contraddicano – direttamente o indirettamente – le SCC, pregiudicando o limitando i diritti e le libertà fondamentali dei soggetti interessati. A questo proposito, la Clausola 5 prevede espressamente che, qualora altre previsioni contrattuali in vigore tra le parti o successivamente stipulate risultino essere in contrasto con le SCC, queste ultime devono essere considerate come prevalenti.
Privacy Shield, così l’Europa sarà protagonista dell’economia digitale globale
La clausola di “attracco”
Molto interessante è la nuova Clausola 7. Avente carattere opzionale, è definita come “clausola di attracco” e ha la funzione di rendere possibile a soggetti terzi che effettuano trasferimenti nell’ambito del ciclo di vita dei dati, di aderire alle SCC anche successivamente alla sottoscrizione delle stesse da parte dei contraenti originari (come sarebbe possibile in un c.d contratto per adesione).
A tale proposito è espressamente previsto che un soggetto che non è parte delle presenti clausole possa, con l’accordo delle parti, aderire alle SCC in qualsiasi momento, sia in qualità di esportatore che di importatore di dati. A seguito della sottoscrizione delle SCC, il soggetto aderente assume infatti tutti i diritti e gli obblighi di un esportatore o importatore di dati.
Con la previsione di tale “clausola di attracco”, la Commissione Europea ha ritenuto opportuno ampliare l’ambito di applicazione delle SCC includendo sotto il loro cappello tutti i trasferimenti di dati personali che possono essere effettuati dai diversi soggetti che possono intervenire nell’esecuzione del servizio in oggetto. In considerazione del fatto che molti servizi digitali erogati dagli OTT si basano su sistemi complessi, spesso stratificati, in cui le infrastrutture di un servizio si basano su altri “sub-service” – è stata rilevata la necessità di prevedere un meccanismo di salvaguardia in grado di estendersi ad ogni anello della catena di fornitura per garantire che un livello di protezione sostanzialmente equivalente a quello europeo sia effettivamente garantito a tutti i livelli. Le SCC prevedono infatti che qualsiasi trasferimento successivo (“onward transfer”) sia soggetto al rispetto da parte dell’importatore di tutte le garanzie da esse previste, con espresso riferimento alla limitazione delle finalità.
Gli obblighi di accountability delle parti
Ciascuna delle parti coinvolte nel trasferimento deve essere in grado di dimostrare il rispetto dei propri obblighi ai sensi delle SCC.
L’importatore e l’esportatore di dati personali sono tenuti ad attuare le misure tecniche e organizzative idonee a garantire la sicurezza dei dati. Nell’eventualità di data breach che coinvolga direttamente l’importatore, questo è tenuto ad intervenire prontamente adottando le misure adeguate ad affrontare la violazione, comprese quelle volte ad attenuarne gli effetti negativi. In tale circostanza, a carico dell’importatore è previsto inoltre l’obbligo di notificare all’esportatore – senza indebito ritardo – la violazione fornendo descrizione dell’avvenuta violazione (e se possibile le categorie di soggetti interessati coinvolti, il numero approssimativo di soggetti interessati e dei dati personali violati), le probabili conseguenze derivanti da tale violazione, le misure adottate e proposte per mitigarne gli ulteriori possibili effetti negativi.
Oltre agli obblighi previsti in caso di data breach, il data importer è tenuto a redigere e a conservare tutta la documentazione in grado di provare la sua compliance in relazione alle operazioni di trattamento svolte per conto dell’esportatore e a mettere tale documentazione a disposizione delle autorità competenti, qualora gliene venga fatta richiesta.
L’esportatore, dal canto suo, è tenuto a dimostrare di aver effettuato le opportune valutazioni volte a verificare l’affidabilità e l’idoneità del data importer a soddisfare gli obblighi definiti nelle SCC (in relazione a tale attività non è stata fatta espressa menzione all’utilizzo di checklist o alla metodologia da seguire nello svolgimento di tale assessment sul data importer). In ogni caso, secondo quanto previsto dalla Clausola 14 “Local laws and practices affecting compliance with the Clauses“, tali valutazioni dovranno estendersi anche alle garanzie offerte dalla legislazione del Paese verso cui i dati sono trasferiti.
L’esportatore potrà inoltre richiedere al data importer lo svolgimento di audit ad intervalli di tempo regolari qualora vi siano elementi in grado di far temere una possibile non conformità agli obblighi previsti dalle SCC. In questa prospettiva è possibile ritenere che particolare rilevanza assumeranno le certificazioni ottenute dal data importer in relazione ai suoi processi di trattamento.
Gli obblighi del data importer in caso di accesso delle forze dell’ordine ai dati personali trasferiti
Secondo quanto previsto dalle nuove SCC, il data importer è tenuto a comunicare all’esportatore e, se possibile, anche al soggetto interessato ogni richiesta di accesso ai dati personali oggetto di trasferimento a lui pervenuta da parte di pubbliche autorità.
In tale circostanza – e qualora tale richiesta di accesso sia legalmente vincolante secondo le leggi del paese verso cui i dati sono trasferiti– il data importer è tenuto ad indicare all’esportatore tutte le informazioni a sua disposizione in relazione a tale richiesta di accesso, compresa la base giuridica che legittima l’accesso ai dati e l’autorità richiedente.
Inoltre, anche nel caso in cui il data importer non riceva una richiesta di accesso ma venga a conoscenza del fatto che un accesso ai dati personali trasferiti sia stato effettuato da parte delle forze dell’ordine in conformità alla legislazione del paese di destinazione, l’importatore è tenuto a fornire all’esportatore e ai soggetti interessati tutte le informazioni a sua disposizione in merito all’avvenuto accesso.
Con la previsione di tali disposizioni nelle SCC, la Commissione Europea si è posta come obiettivo quello di garantire tutela agli esportatori di dati e ai soggetti interessati da eventuali attività di controllo poste in essere da autorità pubbliche e agenzie di intelligence, in grado di agire all’insaputa dei soggetti a cui i dati si riferiscono e di effettuare una sorveglianza indiscriminata.
Liability e risoluzione del contratto
Il testo delle nuove SCC prevede che ciascuna parte sia responsabile nei confronti dell’altra per qualsiasi danno ad essa causato a seguito di violazione delle disposizioni contenute nelle SCC.
Le SCC disciplinano inoltre la responsabilità dell’esportatore e dell’importatore di dati nei confronti dei soggetti interessati, qualora questi abbiano subito danni in conseguenza della violazione delle previsioni contenute nelle SCC.
Nella Clausola 16 è inoltre espressamente previsto che, nell’ipotesi di violazione delle SCC, l’esportatore di dati sospenda ogni trasferimento fino a quando il data importer non sia in grado di assicurare la conformità alle previsioni in esse contenute.
L’esportatore avrà inoltre diritto di risolvere il contratto con il data importer nell’ipotesi in cui: i) sia stato sospeso il trasferimento di dati personali e la conformità con le SCC non sia stata ripristinata entro un ragionevole termine temporale e, in ogni caso, entro un mese; ii) vi sia una sostanziale e continuativa violazione delle SCC da parte dell’importatore; iii) l’importatore non si adegui ad una decisione vincolante emessa da un’autorità competente in merito alle sue obbligazioni ai sensi delle SCC.
Conclusioni
La pubblicazione della nuova versione delle SCC è destinata ad avere un impatto rilevante sui trasferimenti di dati personali verso Paesi Extra EU.
Entro il termine perentorio di 15 mesi tutti i trasferimenti fondati sulle SCC come meccanismo di salvaguardia, dovranno necessariamente basarsi sulle clausole licenziate dalla Commissione Europea all’inizio del mese corrente. È pertanto di fondamentale importanza che tutte le aziende che effettuano trattamenti che implicano trasferimenti di dati verso Paesi terzi si apprestino ad effettuare un’attenta valutazione in relazione ai singoli trasferimenti, vagliando altresì le garanzie offerte dalla legislazione del Paese di importazione. A seguito di tale attività di analisi sarà inoltre necessario procedere con una revisione dei Data Processing Agreement in vigore con i fornitori in modo da identificare, caso per caso, lo specifico modulo da adottare in relazione alla “direzione” del trasferimento e le azioni da compiere per garantire una effettiva compliance e protezione dei dati trattati.
