Il 4 giugno 2021 la Commissione Europea ha pubblicato le nuove Clausole Contrattuali Standard (SCC, Standard contractual clauses) per il trasferimento di dati personali verso paesi terzi. Le clausole potranno essere utilizzate sia nel caso in cui il trattamento sia posto in essere ai sensi del Regolamento UE 679/2016 (GDPR), sia nel caso in cui sia posto in essere ai sensi del Regolamento UE 1725/2018, contenente le norme sulla protezione dei dati personali applicabili alle istituzioni, agli organi e alle agenzie dell’Unione. Le nuove clausole contrattuali standard rappresentano, pertanto, un generale adeguamento, a partire dal punto di vista terminologico, al GDPR.
La Decisione di esecuzione della Commissione entrerà in vigore il ventesimo giorno successivo alla pubblicazione nella GUUE: le nuove clausole sono state pubblicate in GUUE il 7 giugno 2021 e potranno essere utilizzate a partire dal 27 giugno 2021. Le decisioni della Commissione che approvano le attuali clausole contrattuali standard, tuttavia, non saranno abrogate per ulteriori 3 mesi da tale data di efficacia; inoltre, una disposizione transitoria stabilisce che i contratti che utilizzano le attuali clausole contrattuali standard continueranno ad essere considerati idonei a fornire garanzie adeguate per i trasferimenti di dati per ulteriori 15 mesi da tale data effettiva.
Da ciò consegue che Titolari e Responsabili del trattamento potranno continuare a sottoscrivere le SCC esistenti per altri 3 mesi e che, successivamente a tale data (ossia dal 27 settembre 2021), non sarà possibile firmare nuovi contratti utilizzando le clausole contrattuali standard esistenti; gli stessi avranno inoltre a disposizione 18 mesi (ossia fino al 27 dicembre 2022), per sostituire i contratti che utilizzano le attuali clausole contrattuali standard con le nuove SCC.
Un aspetto innovativo delle nuove SCC consiste nella loro “modularità”, al loro interno esse combinano clausole generali a clausole specifiche per determinate situazioni / rapporti con un approccio che consente di rispondere ai diversi scenari di trasferimento e alla complessità delle moderne catene di trattamento. I titolari del trattamento e i responsabili del trattamento possono scegliere il modulo applicabile alla loro realtà, in modo da adattare gli obblighi derivanti dalle clausole contrattuali standard al loro ruolo e alle loro responsabilità in relazione al trattamento di dati in questione. Inoltre, alle SCC possono aderire più di due parti: ulteriori titolari del trattamento e responsabili del trattamento possono aderire in qualità di esportatori o importatori durante l’intero ciclo di vita del contratto di cui tali clausole fanno parte.
Le SCC prevedono poi norme che definiscono la suddivisione della responsabilità tra le parti e le risposte e l’indennizzo nei confronti degli interessati: in particolare sono previsti obblighi di indennizzo nel caso di danni verificatisi per la violazione delle clausole o per il verificarsi di violazioni dei dati personali trasferiti.
Degna di rilevanza è anche la previsione secondo cui le nuove clausole impongono alle parti una verifica circa la non interferenza delle leggi del paese terzo con il rispetto delle nuove clausole. È previsto, com’era presumibile a seguito della nota sentenza Schrems II e delle situazioni venutesi a creare a seguito di essa, che le parti debbano garantirsi di non avere motivo di ritenere che le leggi e le prassi in vigore nel paese terzo di destinazione, applicabili al trattamento dei dati personali da parte dell’importatore, impediscano all’importatore stesso il rispetto degli obblighi previsti dalle SCC: tale accertamento non si limita al momento della stipulazione del contratto, bensì deve essere effettuato per tutta la durata del rapporto, con l’onere dell’importatore di segnalare all’altra parte l’eventualità di essere soggetto ad nuova normativa che possa rendere negativa la valutazione di cui sopra. Sempre sul tema, inoltre, l’importatore del dato che individui delle problematiche nella normativa applicabile è tenuto ad individuare misure appropriate per far fronte alla criticità riscontrata.
Una ulteriore importante clausola riguarda l’onere in capo all’importatore di informare tempestivamente l’esportatore dei dati nel caso in cui, considerando innanzitutto il proprio assetto tecnico-organizzativo, non sia in grado di rispettare le clausole: ricevuta tale segnalazione, o comunque venuto a conoscenza del fatto che l’importatore di dati non è più in grado di rispettare le clausole contrattuali standard, l’esportatore deve individuare le misure appropriate per una corretta gestione del trattamento, se necessario in consultazione con l’autorità di vigilanza competente. L’esportatore di dati può, inoltre, sospendere il trasferimento e, in casi particolarmente gravi, esercitare il diritto di recedere dal contratto, qualora l’importatore dei dati violi le clausole o non sia più in grado di rispettarle.
Tra le considerazioni dottrinali sinora pubblicate, pare importante riportare che opinione largamente diffusa è che queste SCC non rappresentano ancora una soluzione al delicato tema dei rapporti e dei trasferimenti di dati tra Unione Europea e paesi terzi, USA in primis.
Con la sentenza Schrems II è caduto il Privacy Shield e gli operatori si sono rivolti allo strumento delle clausole contrattuali standard per legittimare il trasferimento dei dati personali verso i paesi terzi. Tuttavia, la suddetta sentenza ha minato il meccanismo di funzionamento delle clausole, stabilendo che, pur se astrattamente idonee a garantire un adeguato livello di tutela, le SCC (vecchie o nuove che siano) non possono legittimare da sole il trasferimento di dati in paesi terzi, essendo necessarie garanzie ulteriori (sulle quali sono state fornite indicazioni dall’EDPB) ed una valutazione in concreto del contesto in cui esse devono trovare applicazione.
Le nuove SCC costituiscono certamente un’innovazione nel panorama dei trasferimenti di dati verso paesi terzi e valorizzano ulteriormente il noto principio di accountability, responsabilizzando i soggetti che intendono trasferire i dati utilizzando questo strumento. Tuttavia, nonostante l’impatto positivo sul trasferimento dei dati in paesi terzi dovuto alla recentissima rivisitazione delle clausole, la natura negoziale di questo strumento non sembra essere idoneo a fornire una reale soluzione alle possibili ingerenze di agenzie e autorità nazionali in genere che pretendano di avere accesso anche ai dati dei cittadini europei trattati nell’ambito della propria giurisdizione.