Cosa cambia con le nuove clausole contrattuali standard sui trasferimenti di dati personali?

Le nuove Clausole Contrattuali Standard riflettono i requisiti del GDPR e mirano a garantire la protezione di cui alla sentenza Schrems II.

La Commissione Europea ha pubblicato le nuove Clausole Contrattuali Standard (CCS) sui trasferimenti di dati personali che hanno implicazioni rilevanti e introducono nuovi obblighi sostanziali.

Potete ascoltare una breve analisi dell’argomento nel podcast “Diritto al Digitale” su  Apple Podcast,  Google Podcast,  Spotify e  Audible, mentre nel corpo dell’articolo c’è una descrizione più dettagliata delle problematiche.

Cosa cambia con le nuove clausole contrattuali standard?

Le nuove CCS sono documenti complessi, ma i principali cambiamenti possono essere riassunti come segue:

  1. Nuovi scenari coperti: Le Clausole Contrattuali Standard affrontano i trasferimenti di dati da responsabile del trattamento a responsabile e da responsabile del trattamento a titolare, oltre ai già regolamentati trasferimenti di dati da titolare a titolare e da titolare a responsabile, anche per gli esportatori di dati non stabiliti nell’UE, ma ai quali è applicabile il GDPR e per i trasferimenti successivi (i c.d. “onward transfers“). Infatti, gli CCS pongono il controllo su tutta la supply chain, compresi subresponsabili B2B non stabiliti nell’UE che dovranno stipulare le nuove CCS;
  2. Un unico accordo di trattamento dei dati aperto ai nuovi aderenti: Ci sono 4 clausole modello consolidate in un unico documento da scegliere in base agli scenari applicabili (anche se le CCS rimangono non negoziabili), che incorporano la nomina a responsabile del trattamento di cui all’articolo 28 del GDPR e con la cosiddetta “clausola di aggancio” che consente a nuovi responsabili e incaricati di aderire alle CCS durante il loro ciclo di vita;
  3. Obblighi rilevanti per gli esportatori di dati: L’esportatore di dati deve garantire l’idoneità dell’importatore a soddisfare gli obblighi definiti dalle clausole attraverso misure tecniche e organizzative. C’è un riferimento all’esecuzione di audit, ma nessuna menzione esplicita di altre misure (ad esempio, le checklist) per verificare la conformità, lasciando spazio a una maggiore flessibilità;
  4. Ampie clausole sulla responsabilità per gli importatori di dati: Ogni parte (importatore/esportatore di dati) dovrà rimborsare i danni causati all’altra parte e agli interessati senza alcun limite di responsabilità. Inoltre, le CCSs prevalgono su ulteriori obblighi contrattuali contrastanti
  5. Gli obblighi della sentenza Schrems II per entrambe le parti: Le CCS non eludono la necessità di una valutazione del trasferimento dei dati fuori lo SEE secondo i principi dettati dalla decisione Schrems II, ma al contrario richiedono di documentarla con riferimento anche alla valutazione delle leggi del paese terzo, alle misure tecniche, contrattuali e organizzative adottate per ridurre al minimo i rischi e alle peculiarità del trasferimento in questione, con l’obbligo per l’importatore di dati di informare l’esportatore di dati di qualsiasi cambiamento che influisca sulla valutazione del trasferimento dei dati;
  6. Un elenco dettagliato di misure: La nota esplicativa agli CCS sottolinea la necessità di definire in dettaglio (piuttosto con riferimento a categorie generali) le misure tecniche, organizzative e contrattuali adottate, il che richiederà una notevole quantità di lavoro.

Cosa si deve fare con i nuovi SCC sui trasferimenti di dati?

Per pianificare i prossimi passi, le imprese devono considerare:

  1. Il tempo è poco: le nuove clausole contrattuali standard saranno efficaci 3 mesi dopo un periodo di 21 giorni dalla pubblicazione sulla Gazzetta Ufficiale (la “data di abrogazione”). Durante il periodo di 3 mesi, le aziende possono inserire sia le vecchie che le nuove CCS, ma il passaggio alle nuove SCC deve avvenire entro 15 mesi dalla data di abrogazione;
  2. Non è un esercizio di copia/incolla: I nuovi CCS adottano un approccio modulare, il che significa che ci sono alcune decisioni da prendere e delle previsioni su cui valutare se adottare ulteriori / più onerosi obblighi sui subresponsabili, il che significa che l’adozione delle nuove CCS richiederà probabilmente uno sforzo maggiore rispetto alla semplice sostituzione delle clausole vecchie con le nuove;
  3. È necessario avere un piano d’azione: Le aziende devono rivedere quali contratti sono impattati e trovare il modo più efficiente per conformarsi, ad esempio, categorizzando i potenziali scenari e organizzando modelli compilati per affrontarli. Inoltre, i nuovi CCS incorporano la nomina a responsabile del trattamento e prevalgono sulle disposizioni contrattuali contrastanti. E quindi, sarà necessario rivedere come i termini delle DPA esistenti sono influenzati;
  4. Le valutazioni del trasferimento di dati fuori lo SEE non possono più essere rimandate: Dopo il “panico” seguito alla decisione Schrems II, alcune imprese speravano che le CCS avessero “risolto” la questione, richiedendo solo un esercizio cartaceo di sostituzione delle CCS. Ma l’articolo 14 delle Clausole Contrattuali Standard richiede espressamente una profonda valutazione del trasferimento dei dati personali che deve anche coprire la revisione delle leggi del paese di importazione dei dati. Strumenti e metodologie come il tool di legal tech “Transfer”di DLA Piperdiventano ormai un must-have poiché automatizzano la valutazione della legge straniera, delle misure adottate e della probabilità di rischio per gli individui in modo efficiente.

C’è quindi tanto lavoro da svolgere in un periodo di tempo molto limitato. Vedremo come le aziende reagiranno a queste misure. Sul medesimo argomento, è possibile leggere l’articolo “Avete una metodologia per valutare i trasferimenti di dati extra SEE dopo la sentenza Schrems II?“.