L‘EDPB e l’EDPS adottano pareri congiunti sulle nuove clausole contrattuali standard per il trasferimento dei dati personali

L’European Data Protection Board (EDPB) e l’European Data Protection Supervisor (EDPS) hanno adottato pareri congiunti su due serie di clausole contrattuali standard (SCCs) relative al trasferimento dei dati personali al di fuori dello spazio economico europeo (SEE).

Le nuove clausole contrattuali standard potranno regolare il trasferimento dei dati personali al di fuori dello SEE e mirano a garantire la piena armonizzazione e la certezza del diritto in tutta l’UE per quanto riguarda i contratti tra titolari del trattamento e i loro responsabili del trattamento.

L’EDPB e l’EDPS hanno accolto con favore le nuove SCCs, ma hanno chiesto che siano adottate diverse modifiche rispetto alle bozze di nuove clausole contrattuali standard che erano state pubblicate dalla Commissione europea e sottoposte al parere dell’EDPB e dell’EDPS.

Sulla base del comunicato stampa, Andrea Jelinek, presidente dell’EDPB, ha dichiarato: “L’EDPB e l’EDPS accolgono con favore le SCCs tra titolari e responsabili del trattamento come uno strumento di accountability unico, forte e valido in tutta l’UE, che faciliterà il rispetto delle disposizioni sia del GDPR che dell’EUDPR. Tra l’altro, l’EDPB e il EDPS chiedono che sia fornita alle parti una chiarezza sufficiente sulle situazioni in cui possono fare affidamento su queste SCCs e sottolineano che non dovrebbero essere escluse le situazioni che comportano trasferimenti al di fuori dell’UE“.

Apparentemente le modifiche richieste sono numerose e riguardano, tra gli altri, la cosiddetta “docking clause” che consente l’accesso di ulteriori soggetti di aderire alle SCCs e gli obblighi dei responsabili del trattamento. Inoltre, l’EDPB e l’EDPS suggeriscono che gli allegati alle SCCs chiariscano il più possibile i ruoli e le responsabilità di ciascuna delle parti in relazione a ciascuna attività di trattamento perché qualsiasi ambiguità renderebbe più difficile per i titolari del trattamento o i responsabili del trattamento adempiere ai loro obblighi in base al principio di accountability.

Le bozze di clausole contrattuali standard regoleranno i trasferimenti di dati personali al di fuori della SEE in sostituzione delle attuali SCCs, tenendo conto dei cambiamenti introdotti non solo tramite il GDPR, ma anche della sentenza “Schrems II” della CGUE, e per riflettere meglio l’uso diffuso di nuove e più complesse operazioni di trattamento che spesso coinvolgono più importatori ed esportatori di dati.

Le nuove SCCs non sono risolutorie delle problematiche sul trasferimento dei dati al di fuori dello SEE generate dalla sentenza Schrems II. Infatti, l’EDPB e l’EDPS indicano che, in relazione a specifici trasferimenti di dati personali verso Paesi terzi, potrebbero essere necessarie le misure suppletive previste dalle raccomandazioni dell’EDPB che sono state oggetto di consultazione a cui DLA Piper ha partecipato con il contributo disponibile QUI.

Questa presa di posizione mostra come rimane fondamentale l’esecuzione di un transfer impact assessment in relazione a qualsiasi trasferimento di dati personali fuori dello SEE e il modo più comodo per farlo è – a nostro giudizio – tramite il tool di legal tech sviluppato da DLA Piper di cui discutiamo in questo podcast “Transfer: Il tool di DLA Piper per valutare i trasferimenti dei dati dopo la sentenza Schrems II”.