Il 4 giugno 2021, la Commissione europea (di seguito, la “Commissione”) ha adottato due decisioni di esecuzione delle nuove clausole contrattuali tipo (in inglese “standard contractual clauses”, di seguito le “SCC” o le “Clausole”) relative, rispettivamente, al trasferimento di dati personali verso Paesi terzi e ai rapporti tra titolari e responsabili del trattamento a norma dell’art. 28, par. 7 del Regolamento UE 679/2016 (di seguito, il “Regolamento” o il “GDPR”).
Di seguito verrà fornita una breve disamina in merito alla natura e all’utilizzo delle SCC, nonché alle ragioni che hanno portato all’adozione delle nuove Clausole e alle principali novità introdotte dalla Commissione.
Cosa sono e a cosa servono le SCC
Occorre innanzitutto premettere che, ai sensi dell’art. 46, par. 1, GDPR – in mancanza di una decisione di adeguatezza adottata dalla Commissione ai sensi dell’art. 45, par. 1, Regolamento – il titolare del trattamento (o il responsabile) può trasferire i dati verso un Paese terzo (o un’organizzazione internazionale) solo se ha fornito garanzie adeguate e, in ogni caso, a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.
A tal fine, il Regolamento stabilisce gli strumenti che possono costituire garanzie adeguate, tra cui le SCC adottate dalla Commissione[1].
Nello specifico, il ruolo delle Clausole è quello di assicurare adeguate garanzie al trasferimento di dati personali da parte di un titolare o responsabile del trattamento europeo (il cosiddetto “esportatore”) verso un responsabile o titolare situato al di fuori del SEE (il cosiddetto “importatore”), conformemente a quanto stabilito dal Regolamento.
In tale contesto, importatori ed esportatori possono includere le SCC all’interno di un contratto più ampio, aggiungendo, se del caso, altre clausole e/o garanzie supplementari, purché quest’ultime non contengano previsioni incompatibili con le Clausole né limitino i diritti e le garanzie degli interessati previsti dal GDPR.
Le nuove SCC della Commissione
Come chiarito dalla Commissione, l’aggiornamento delle SCC si è reso necessario alla luce degli importanti sviluppi dell’economia digitale intervenuti negli ultimi anni e la conseguente diffusione di nuove e più complesse attività di trattamento in ambito internazionale, che spesso coinvolgono diversi importatori ed esportatori.
Nello specifico, le nuove SCC sostituiscono il vecchio testo adottato dalla Commissione nel 2010 e recepiscono sia le novità introdotte dal Regolamento sia le indicazioni fornite dalla Corte di giustizia dell’Unione Europea nella nota sentenza Schrems II del 16 luglio 2020, in cui la Corte – nell’invalidare il cosiddetto Privacy Shield[2] – aveva confermato la possibilità di utilizzare le Clausole per il trasferimento di dati personali negli USA e, in generale, verso Paesi al di fuori del SEE.
In tale contesto, le nuove SCC, nell’assicurare un elevato standard di protezione dei dati personali dei cittadini europei, prevedono un approccio flessibile, improntato a rendere più agevoli gli adempimenti posti a carico degli stakeholder UE che “dialogano” con le big tech statunitensi e, in generale, con società situate al di fuori del SEE.
Le principali novità introdotte dalle nuove SCC
Come si è anticipato, le nuove SCC riflettono le numerose necessità venutesi a creare all’indomani dell’adozione del GDPR, calibrando il trasferimento dei dati personali alle garanzie richieste da quest’ultimo e, al contempo, fornendo alle società uno strumento utile a preservare il flusso dei dati nell’era digitale.
Nello specifico, come chiarito dalla Commissione nel comunicato dello scorso 4 giugno, le principali caratteristiche delle nuove SCC sono le seguenti:
- l’adeguamento alle novità normative introdotte dal Regolamento;
- l’adozione di un approccio flessibile, realizzato sia attraverso una suddivisione delle Clausole in moduli (tale da rispondere ai diversi scenari di trasferimento e alla complessità delle attuali operazioni di trattamento) sia ampliando il numero di parti che possono aderire al contratto e utilizzare le Clausole (anche in un momento successivo alla stipula dell’accordo originario);
- l’utilizzo di un unico set di Clausole che prevede, come suesposto, una vasta gamma di scenari, diversamente dalla vecchia impostazione in cui invece erano fornite diverse serie di SCC;
- la previsione di strumenti che gli esportatori devono utilizzare per assicurare la compliance con quanto stabilito dalla Corte di giustizia UE nella citata sentenza Schrems II, tra cui – inter alia – le garanzie supplementari da assicurare.
Il periodo di transizione
Le decisioni – che entreranno in vigore 20 giorni dopo la pubblicazione sulla Gazzetta ufficiale dell’UE – prevedono a beneficio dei titolari e dei responsabili del trattamento un periodo di transizione.
In particolare, i contratti conclusi prima del 27 settembre 2021 sulla base delle precedenti decisioni rimarranno validi fino al 27 dicembre 2022, purché i trattamenti oggetto degli stessi rimangano invariati e il ricorso alle vecchie SCC garantisca adeguate garanzie al trasferimento dei dati.
Conclusioni
Le nuove SCC si inseriscono in un contesto di incertezza venutosi a creare all’indomani della citata sentenza Schrems II, con la quale, come noto, la CGUE ha fortemente impattato il regime del trasferimento di dati personali al di fuori del SEE.
La Commissione ha quindi risposto all’esigenza di titolari e responsabili di rimanere aperti a soluzioni e/o traffici che implicano un trasferimento di dati verso Paesi terzi, fornendo agli stessi uno strumento “user-friendly” in grado di garantire la sicurezza dei flussi e il rispetto dei diritti e delle libertà dei cittadini europei.
In quest’ottica, in conclusione, l’intervento della Commissione appare altresì opportuno in un contesto in cui i servizi resi dalle aziende sono estremamente interconnessi e, come sottolineato dalla vicepresidente della Commissione Věra Jourová, il trasferimento di dati personali normalmente avviene con uno o due click.
[1] Per completezza, si segnala che gli ulteriori strumenti sono:
- le clausole ad hoc di cui all’art. 46, par. 3, lett. a), GDPR;
- le binding corporate rules di cui all’art. 47, GDPR;
- i codici di condotta ai sensi dell’art. 40, GDPR; nonché
- i meccanismi di certificazione di cui all’art. 42, GDPR.
[2] Ossia dell’accordo sottoscritto tra UE e USA all’indomani della decadenza del cosiddetto Safe Harbor e rispetto al quale la Commissione aveva adottato nel 2016 una decisione di adeguatezza.
