Cosa cambia con le nuove clausole contrattuali standard sui trasferimenti di dati personali?

La Commissione Europea ha pubblicato le nuove Clausole Contrattuali Standard (CCS) sui trasferimenti di dati personali che hanno implicazioni rilevanti e introducono nuovi obblighi sostanziali.

Potete ascoltare una breve analisi dell’argomento nel podcast “Diritto al Digitale” di seguito e su 📲 Apple Podcast, 🤖 Google Podcast, 🎧 Spotify🛒 Audible, mentre nel corpo dell’articolo c’è una descrizione più dettagliata delle problematiche.

Cosa cambia con le nuove clausole contrattuali standard?

Le nuove CCS sono documenti complessi, ma i principali cambiamenti possono essere riassunti come segue:

  1. Nuovi scenari coperti: Le Clausole Contrattuali Standard affrontano i trasferimenti di dati da responsabile del trattamento a responsabile e da responsabile del trattamento a titolare, oltre ai già regolamentati trasferimenti di dati da titolare a titolare e da titolare a responsabile, anche per gli esportatori di dati non stabiliti nell’UE, ma ai quali è applicabile il GDPR e per i trasferimenti successivi (i c.d. “onward transfers“). Infatti, gli CCS pongono il controllo su tutta la supply chain, compresi i subresponsabili B2B non stabiliti nell’UE che dovranno stipulare le nuove CCS 🔝
  2. Un unico accordo di trattamento dei dati aperto ai nuovi aderenti: Ci sono 4 clausole modello consolidate in un unico documento da scegliere in base agli scenari applicabili (anche se le CCS rimangono non negoziabili), che incorporano la nomina a responsabile del trattamento di cui all’articolo 28 del GDPR e con la cosiddetta “clausola di aggancio” che consente a nuovi responsabili e incaricati di aderire alle CCS durante il loro ciclo di vita 🔝
  3. Obblighi rilevanti per gli esportatori di dati: L’esportatore di dati deve garantire l’idoneità dell’importatore a soddisfare gli obblighi definiti dalle clausole attraverso misure tecniche e organizzative. C’è un riferimento all’esecuzione di audit, ma nessuna menzione esplicita di altre misure (ad esempio, le checklist) per verificare la conformità, lasciando spazio a una maggiore flessibilità ⚠️
  4. Ampie clausole sulla responsabilità per gli importatori di dati: Ogni parte (importatore/esportatore di dati) dovrà rimborsare i danni causati all’altra parte e agli interessati senza alcun limite di responsabilità. Inoltre, le CCSs prevalgono su ulteriori obblighi contrattuali contrastanti ⚠️
  5. Gli obblighi della sentenza Schrems II per entrambe le parti: Le CCS non eludono la necessità di una valutazione del trasferimento dei dati fuori lo SEE secondo i principi dettati dalla decisione Schrems II, ma al contrario richiedono di documentarla con riferimento anche alla valutazione delle leggi del paese terzo, alle misure tecniche, contrattuali e organizzative adottate per ridurre al minimo i rischi e alle peculiarità del trasferimento in questione, con l’obbligo per l’importatore di dati di informare l’esportatore di dati di qualsiasi cambiamento che influisca sulla valutazione del trasferimento dei dati 🆘
  6. Un elenco dettagliato di misure: La nota esplicativa agli CCS sottolinea la necessità di definire in dettaglio (piuttosto con riferimento a categorie generali) le misure tecniche, organizzative e contrattuali adottate, il che richiederà una notevole quantità di lavoro 🆘

Cosa si deve fare con i nuovi SCC sui trasferimenti di dati?

Per pianificare i prossimi passi, le imprese devono considerare:

  1. Il tempo è poco: le nuove clausole contrattuali standard saranno efficaci 3 mesi dopo un periodo di 21 giorni dalla pubblicazione sulla Gazzetta Ufficiale (la “data di abrogazione”). Durante il periodo di 3 mesi, le aziende possono inserire sia le vecchie che le nuove CCS, ma il passaggio alle nuove SCC deve avvenire entro 15 mesi dalla data di abrogazione ⏰
  2. Non è un esercizio di copia/incolla: I nuovi CCS adottano un approccio modulare, il che significa che ci sono alcune decisioni da prendere e delle previsioni su cui valutare se adottare ulteriori / più onerosi obblighi sui subresponsabili, il che significa che l’adozione delle nuove CCS richiederà probabilmente uno sforzo maggiore rispetto alla semplice sostituzione delle clausole vecchie con le nuove 🎯
  3. È necessario avere un piano d’azione: Le aziende devono rivedere quali contratti sono impattati e trovare il modo più efficiente per conformarsi, ad esempio, categorizzando i potenziali scenari e organizzando modelli compilati per affrontarli. Inoltre, i nuovi CCS incorporano la nomina a responsabile del trattamento e prevalgono sulle disposizioni contrattuali contrastanti. E quindi, sarà necessario rivedere come i termini delle DPA esistenti sono influenzati 🗒
  4. Le valutazioni del trasferimento di dati fuori lo SEE non possono più essere rimandate: Dopo il “panico” seguito alla decisione Schrems II, alcune imprese speravano che le CCS avessero “risolto” la questione, richiedendo solo un esercizio cartaceo di sostituzione delle CCS. Ma l’articolo 14 delle Clausole Contrattuali Standard richiede espressamente una profonda valutazione del trasferimento dei dati personali che deve anche coprire la revisione delle leggi del paese di importazione dei dati. Strumenti e metodologie come il tool di legal tech “Transfer”di DLA Piper diventano ormai un must-have poiché automatizzano la valutazione della legge straniera, delle misure adottate e della probabilità di rischio per gli individui in modo efficiente 🤖

C’è quindi tanto lavoro da svolgere in un periodo di tempo molto limitato. Vedremo come le aziende reagiranno a queste misure. Sul medesimo argomento, è possibile leggere l’articolo “Avete una metodologia per valutare i trasferimenti di dati extra SEE dopo la sentenza Schrems II?” e potete iscrivervi alla nostra newsletter settimanale “Innovation Law Insights”, scrivendo a eventi@dlapiper.com

Travate una trascrizione del podcast di seguito:

Buongiorno a tutti, sono Giulio Coraggio, responsabile del settore Technology dello studio legale DLA Piper e questo è il podcast “Diritto al Digitale”.

Oggi parliamo della approvazione da parte della Commissione europea delle nuove Clausole Contrattuali Standard che reggono i trasferimenti dei dati al di fuori dello Spazio Economico Europeo.

Le novità principali sono che in primo luogo vengono coperti nuovi scenari. Le Clausole Contrattuali Standard affrontano i trasferimenti dei dati da responsabile del trattamento a responsabile e da responsabile a titolari che si aggiungano agli scenari già previsti e regolano gli onwards transfers, i trasferimenti successivi,

Quindi quando il dato è al di fuori dello Spazio Economico Europeo deve essere fornito ad altri sub-responsabili del trattamento, implementando un controllo su tutta la “supply chain” e che non era previsto precedentemente, ma è previsto un unico accordo per trattamento aperto ai nuovi aderenti con una sorta di “clausola per adesione” che può essere molto conveniente nel caso in cui ci siano molteplici parti.

Vengono introdotti obblighi rilevanti per gli esportatori dei dati nella valutazione dei dati. Non vengono espressamente previste delle check-list di conformità, ma bisogna garantire l’idoneità per consentire la conformità alla normativa del GDPR. Sulla responsabilità degli importatori dei dati non è previsto un limite ed è quindi prevista una responsabilità illimitata delle parti per le relazioni che comportano e per i danni che causano agli interessati. Inoltre, il fatto che le clausole prevalgono su diversi accordi raggiunti dalle parti fanno sì che un eventuale CAP delle responsabilità comunque non sarebbe valido.

Vengono introdotti gli obblighi derivanti dalla sentenza Schrems II. Ce l’aspettavamo, le clausole contrattuali standard non sono la soluzione che mette in sicurezza i trasferimenti, non è possibile fare taglia e incolla ed evitare di eseguire la valutazione sul trasferimento dei dati che invece è espressamente richiesta dall’articolo 14 delle Clausole Contrattuali Standard, richiedendo una valutazione del Paese terzo, della normativa privacy del Paese terzo, delle misure tecniche contrattuali e organizzative adottate e della caratteristiche del trasferimento. Questa è una differenza rispetto a quanto era previsto dalle raccomandazioni che inizialmente prevedevano una valutazione puramente oggettiva. Vengono previsti degli allegati in cui si dovrà definire un elenco molto dettagliato delle misure di sicurezza adottate e delle misure organizzative e contrattuali ulteriori rispetto a quanto previsto nelle Clausole Contrattuali Standard.

Questo perché un’altra novità è che le Clausole Contrattuali Standard sostituiscono la nomina a responsabile del trattamento, nel senso che la incorporano. Quindi bisognerà anche vedere in relazione agli attuali contratti, quali delle previsioni della “data processing agreement”, della nomina a responsabile del trattamento, non sono coperti dalle Clausole Contrattuali Standard e dovranno rimanere in un accordo separato.

Il tempo è poco le Clausole Contrattuali Standard entrano in vigore 21 giorni dopo la pubblicazione sulla Gazzetta Ufficiale, successivamente per tre mesi c’è la possibilità di scegliere tra l’adozione delle nuove o delle vecchie, ma nei 15 mesi successivi bisogna sostituire tutte le clausole vecchie con le cause nuove. E’ necessario evidentemente avere un piano di azione in mente e identificare gli scenari, identificare i modelli che sono più utilizzabili perché le Clausole Contrattuali Standard sono modulari, richiedono delle scelte e quindi bisogna avere una posizione coerente.

Bisogna evidentemente avere anche una metodologia per la valutazione dei trasferimenti dei dati al di fuori dello Spazio Economico Europeo. Questo è un qualcosa che alcuni avevano lasciato nel dimenticatoio, dopo il panico delle prime settimane successive alla sentenza Schrems II, e abbiamo realizzato a tal fine un tool di legal tech, denominato “Transfer”, per automatizzare questa valutazione con il supporto anche nei nostri colleghi dei Paesi non europei che fanno una valutazione della normativa del Paese terzo. Questa è una sorta di “must have” in situazioni in cui altrimenti questa valutazione prenderebbe troppo tempo. Ecco quindi c’è tanto da fare e quindici mesi sembrano un periodo di tempo lungo, ma la quantità di lavoro dietro a queste nuove Clausole Contrattuali Standard è decisamente alta.