Il 16 luglio 2020 la Corte di Giustizia dell’Unione Europea, pronunciandosi sulla c.d. “Sentenza Schrems II”, ha invalidato il Privacy Shield, il meccanismo che permetteva il trasferimento dei dati personali dall’UE agli Stati Uniti, garantendo – sulla carta – un adeguato livello di protezione ai dati personali inviati oltreoceano.
Per le organizzazioni è fondamentale saper tenere traccia di tutti i trasferimenti dei dati personali dei loro clienti, anche quando effettuati da fornitori o partner, non soltanto per evitare di incorrere in sanzioni, ma soprattutto perché è tramite un trattamento responsabile e trasparente che si possono gettare le basi per relazioni fondate sulla fiducia e destinate a durare a lungo.
Dopo diversi mesi di previsioni e vuoto normativo, il 12 novembre la Commissione Europea ha pubblicato un progetto di decisione per l’attuazione di nuove Clausole Contrattuali Standard (SCC) 1 per regolare il trasferimento di dati personali dall’Unione Europea verso paesi terzi, insieme ad una proposta delle nuove clausole.
Il 10 dicembre si è conclusa la fase di consultazione pubblica, e ora il processo di adozione delle nuove SCC richiede un parere del Comitato Europeo per la Protezione dei Dati (EDPB), del Garante Europeo per la Protezione dei Dati (EDPS) e il voto favorevole degli Stati membri.
Le nuove Standard Contractual Clauses saranno adottate, probabilmente, all’inizio del 2021.
Le SCC tentano di tenere conto della complessità delle attuali catene di elaborazione dei dati trasferiti, combinando una serie di disposizioni generali con diverse previsioni più specifiche. Queste ultime si attivano in base allo status che le parti tra cui avviene il trasferimento acquisiscono nella fattispecie in base a quanto previsto dal GDPR.
In particolare, sono previste disposizioni specifiche per i trasferimenti titolare-titolare, titolare-responsabile, responsabile-responsabile e responsabile-titolare.
Le clausole precisano che, in ogni caso, le leggi sul trattamento dei dati nel paese ricevente non devono impedire all’importatore di adempiere ai suoi obblighi sorti in base al trasferimento, e che l’importatore stesso, in caso di richiesta d’accesso ai dati da parte di un’autorità, notifichi all’esportatore tali richieste, concedendo l’accesso alla quantità minima di informazioni necessarie.
Sono inoltre previsti un risarcimento in caso di violazione delle SCC, gli obblighi per le parti nel caso in cui l’importatore non fosse in grado di rispettare le SCC, la loro cessazione e la possibilità per le parti di concordare preventivamente foro e giurisdizione per eventuali controversie future.
Per quanto riguarda i trasferimenti successivi ad ulteriori destinatari in paesi terzi, i trasferimenti sono consentiti solo se il destinatario accede alle SCC, la protezione dei dati personali trasferiti è assicurata con altri mezzi, o gli interessati prestano consenso informato ed esplicito.
I titolari e i responsabili del trattamento possono continuare a fare affidamento sulle SCC esistenti per un periodo transitorio di un anno dall’adozione delle nuove SCC, a condizione che il contratto rimanga invariato, e che vi siano incluse le misure supplementari necessarie per garantire che il trasferimento di dati personali sia protetto dalle adeguate garanzie.
In un periodo in cui la maggior parte delle attività che normalmente erano svolte in presenza è trasmigrata sugli strumenti offerte dalle grandi aziende americane, è fondamentale avere una disciplina precisa e tempestivamente aggiornata per proteggere al meglio i cittadini europei e i loro dati personali.
Photo by Tara Evans on Unsplash