A seguito della sentenza SCHREMS II della Corte di Giustizia Europea che ha invalidato il sistema del Privacy Shield e ha posto dei dubbi sulla conformità delle Standard Contractual Clauses (SCC) per i trasferimenti extra UE in determinati scenari, la Commissione Europea ha avviato i lavori per l’aggiornamento delle SCC in linea con il nuovo Regolamento Europeo. La Commissione ha infatti pubblicato quattro documenti – in via di applicazione presumibilmente entro la fine del 2021 – aventi lo scopo di sostituire le clausole predisposte dalla stessa Commissione in vigenza della Direttiva 95/46/CE. I documenti emanati in bozza, che sono caratterizzati da un numero di elementi normativi maggiore rispetto alle SCC emanate nello scorso decennio, disciplineranno i seguenti ambiti di trasferimento di dati in paesi extra-UE ritenuti non adeguati dalla stessa Commissione:
- Trasferimento da titolare a titolare.
- Trasferimento da titolare a responsabile.
- Trasferimento da responsabile a responsabile.
- Trasferimento da responsabile a titolare.
La Commissione Europea ha altresì emanato un ulteriore documento, sempre in fase di implementazione, avente lo scopo di disciplinare i rapporti tra titolare e responsabile all’interno dell’UE, in ossequio all’art. 28 del GDPR.
La documentazione sopra indicata è stata oggetto di un parere congiunto dell’EDPB e dell’EDPS, che, si ricorda, sono organismi europei indipendenti aventi, tra le altre, le funzioni di fornire consulenza alla Commissione sul formato e sulle procedure per lo scambio di dati personali tra gli operatori del mercato a tutela ovviamente dei diritti degli interessati.
Nel comunicato stampa del 15 gennaio 2021, i due Board hanno così evidenziato l’importanza di adottare un nuovo strumento di trasferimento di dati tra titolare e responsabile ai sensi dell’art. 28 del GDPR, esortando pertanto il lavoro svolto dalla Commissione, in quanto ciò permetterà di avere una maggior trasparenza ed efficienza per la conformità degli operatori del mercato al Regolamento Europeo nei trasferimenti intra-europei. Questo nuovo documento – prosegue il comunicato – apporterebbe inoltre una maggiore armonizzazione a livello normativo tra i paesi europei nell’applicazione del GDPR.
Relativamente alle nuove clausole per i trasferimenti all’estero, i Board hanno dichiarato come i documenti pubblicati dalla Commissione necessitino di una maggiore chiarezza in determinati aspetti chiave dei trasferimenti di dati personali; si è infatti richiesto alla Commissione di apportare delle modifiche alle SCC così da renderli più pratici nella quotidianità operativa degli operatori. I suggerimenti dei Board sono indirizzati essenzialmente a fornire una maggiore chiarezza nell’interazione tra i quattro tipi di clausole emanati e a fornire maggiori dettagli sulla cosiddetta “docking-clause” che permetterà a parti terze di aderire alle clausole siglate dalle parti principali. Quest’ultima è da considerarsi una novità assoluta rispetto alle vigenti SCC.
Inoltre, l’EDPB e l’EDPS hanno suggerito alla Commissione di chiarire il più possibile i ruoli e le responsabilità di ciascuna delle parti individuate all’interno degli allegati delle nuove SCC in relazione alle distinte attività di trattamento. Ciò eviterebbe – prosegue il comunicato stampa– di creare qualsivoglia tipo di ambiguità per gli operatori del mercato che saranno chiamati ad applicare gli strumenti normativi qui in esame.
Concludendo, il comunicato dei Board invita la Commissione ad apportare misure supplementari ai documenti essendo gli stessi stati sottoposti a consultazione pubblica fino allo scorso 21 dicembre e pertanto soggetti ancora a possibili ulteriori modifiche.