Il Comitato europeo per la protezione dei dati, durante la sua quarantunesima sessione plenaria ha adottato raccomandazioni (presenti al seguente link: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en) sulle misure che integrano gli strumenti di trasferimento dei dati per garantire il rispetto del livello UE di protezione dei dati personali, nonché raccomandazioni sulle cosiddette “garanzie essenziali europee” in rapporto alle misure di sorveglianza.
Entrambi i documenti sono stati adottati successivamente alla sentenza “Schrems II” della Corte di Giustizia dell’Unione europea. A seguito della sentenza del 16 luglio 2019, i titolari del trattamento che utilizzino clausole contrattuali tipo sono tenuti a verificare, caso per caso e, ove opportuno, in collaborazione con il destinatario dei dati nel paese terzo, se la legislazione del paese terzo garantisce un livello di protezione dei dati personali trasferiti sostanzialmente equivalente a quello vigente nello Spazio economico europeo (SEE). La Corte di Giustizia dell’Unione europea ha consentito agli esportatori di aggiungere misure supplementari alle clausole contrattuali tipo per garantire l’effettivo rispetto di tale livello di protezione qualora le garanzie contenute nelle clausole contrattuali tipo non siano sufficienti.
Le raccomandazioni sono finalizzate a coadiuvare i titolari e responsabili del trattamento che siano esportatori di dati nell’individuazione e nell’attuazione di adeguate misure supplementari, ove queste siano necessarie per garantire ai dati trasferiti verso paesi terzi un livello di protezione sostanzialmente equivalente. In tal modo, il comitato mira a un’applicazione coerente del RGPD e della sentenza della Corte in tutto il SEE.
Si segnala, inoltre, che la Commissione europea ha pubblicato la bozza di decisione e di Clausole contrattuali tipo, al fine di rimodularle ai sensi della nuova normativa in materia di protezione dei dati personali a seguito della sopracitata sentenza “Schrems II” della Corte di Giustizia europea. Tali strumenti, necessari per realizzare trasferimenti al di fuori dello Spazio Economico Europeo, sono composti da quattro moduli:
- Trasferimenti “Titolare verso Titolare”
- Trasferimenti “Titolare verso Responsabile”
- Trasferimenti “Responsabile verso Responsabile”
- Trasferimento “Responsabile verso Titolare”
Nello specifico, è stato stabilito che le Società che ad oggi trasferiscono dati verso paesi terzi utilizzando le precedenti Clausole Contrattuali Standard potranno continuare a farlo per un periodo pari a un anno dall’entrata in vigore della decisione sulle nuove Clausole Contrattuali Standard (a condizioni che in quel periodo non vi siano modifiche contrattuali e/o di misure di sicurezza riguardanti il trasferimento). Per ulteriori informazioni, si fa rimando al sito ufficiale (https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries).