L’aumento della digitalizzazione e delle relazioni internazionali ha reso più frequenti i trasferimenti di dati personali oltre i confini dell’UE. Questo fenomeno solleva questioni rilevanti sulla tutela della privacy degli interessati. Per garantire che i dati trasferiti al di fuori dello Spazio Economico Europeo (SEE) ricevano un livello di protezione equivalente a quello previsto all’interno dell’Unione, l’UE ha adottato strumenti giuridici specifici. Tra questi, un ruolo di primo piano è svolto dalle Clausole Contrattuali Standard (SCC).
Cosa sono le clausole contrattuali standard?
Le SCC sono modelli contrattuali approvati dalla Commissione Europea che consentono il trasferimento di dati personali verso Paesi terzi in assenza di una decisione di adeguatezza (art. 45 GDPR). Esse rappresentano garanzie adeguate ai sensi dell’art. 46 del Regolamento (UE) 2016/679 (GDPR) e vincolano legalmente le parti coinvolte nel trattamento: il titolare o il responsabile del trattamento (esportatore) e il destinatario dei dati nel Paese terzo (importatore).
Le novità introdotte dalla Decisione 2021/914
La Decisione di esecuzione (UE) 2021/914, adottata dalla Commissione Europea il 4 giugno 2021, ha aggiornato le clausole contrattuali standard (SCC) per rispondere alle sfide poste dall’evoluzione tecnologica e dalla crescente digitalizzazione, nonché per recepire i principi espressi dalla Corte di Giustizia dell’UE nella sentenza Schrems II (Causa C-311/18), che ha invalidato il Privacy Shield tra UE e USA.
Le nuove SCC introducono un modello modulare, pensato per adattarsi a 4 diverse configurazioni di trasferimento dei dati:
- Da titolare a titolare del trattamento
- Da titolare a responsabile del trattamento
- Da responsabile a sub-responsabile
- Da responsabile a titolare del trattamento
Le clausole sono flessibili: possono coinvolgere più parti contrattuali e consentono l’adesione di nuovi soggetti anche in un secondo momento. Questo le rende particolarmente adatte alle esigenze delle organizzazioni complesse, come le imprese multinazionali.
Requisiti e obblighi delle parti nelle clausole contrattuali
Le SCC impongono agli importatori dei dati numerosi obblighi, tra cui:
- Trattare i dati solo per finalità specifiche e documentate;
- Implementare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati;
- Garantire la trasparenza nei confronti degli interessati;
- Informare tempestivamente l’esportatore in caso di accesso ai dati da parte di autorità pubbliche del paese terzo;
- Adottare misure correttive in caso di violazioni dei dati
Clausole contrattuali e legge del Paese terzo
Le SCC richiedono che le parti valutino in anticipo le leggi e le prassi del Paese terzo, per verificare che non compromettano il rispetto delle clausole. Qualora l’importatore non sia più in grado di garantire tale conformità, ad esempio a causa di richieste di accesso ai dati da parte di autorità locali, è tenuto a informare l’esportatore, il quale potrà decidere di sospendere o interrompere il trasferimento.
Validità e transizione delle clausole contrattuali
Le precedenti decisioni 2001/497/CE e 2010/87/UE sono state abrogate dal 27 settembre 2021. Tuttavia, i contratti basati su tali decisioni sono rimasti validi fino al 27 dicembre 2022, alla condizioni che i trattamenti non subissero modifiche sostanziali.
Conclusione
Le Clausole Contrattuali Standard costituiscono uno strumento essenziale per assicurare che i dati personali trasferiti verso Paesi terzi godano di un livello di protezione equivalente a quello previsto dall’UE. Con l’adozione delle nuove clausole nel 2021, la Commissione Europea ha potenziato le garanzie per gli interessati e messo a disposizione delle imprese uno strumento più solido e adattabile, in grado di rispondere alle esigenze della digitalizzazione globale.
Per un approfondimento su questi temi giuridici, vi invitiamo a consultare anche i nostri precedenti articoli, come quello dedicato alla Direttiva NIS2.
