Lo European Data Protection Board (“EDPB”) ha pubblicato la bozza di Linee Guida sull’interazione fra l’articolo 3 del GDPR – che ne disciplina l’ambito di applicazione territoriale – ed il Capo V del Regolamento, che regola i trasferimenti di dati personali al di fuori dello Spazio Economico Europeo (“SEE”), aprendo a nuove Clausole Contrattuali Tipo.
Le Linee Guida dell’EDPB hanno l’obiettivo di supportare titolari e responsabili del trattamento nell’identificazione dei “trasferimenti” rilevanti ai sensi del GDPR, per stabilire se sia necessaria l’applicazione delle stringenti misure previste nel Capo V del Regolamento, quali le Clausole Contrattuali Tipo per esempio. L’opportunità di fornire chiarimenti su tali profili deriva dalla nota sentenza “Schrems II”, emessa nel luglio 2020 dalla Corte di Giustizia dell’Unione Europea, e dalla conseguente adozione di nuovi set di Clausole Contrattuali Tipo), avvenuta lo scorso 4 giungo con decisione di esecuzione (UE) 2021/914 della Commissione europea.
Ai sensi dell’Art. 3(2) del GDPR, il GDPR si applica anche a titolari e responsabili del trattamento che, sebbene non stabiliti all’interno dell’UE, eseguano trattamenti riguardanti l’offerta di beni o servizi ad interessati nell’UE o il monitoraggio del comportamento degli interessati che ha luogo nell’UE. D’altra parte, la ratio delle disposizioni del Capo V del GDPR è quella di assicurare che il livello di protezione dei dati personali garantito dalla normativa privacy europea non sia compromesso quando tali dati vengono trasferiti verso paesi terzi o organizzazioni internazionali.
Queste considerazioni potrebbero indurre a ritenere che l’adozione delle Clausole Contrattuali Tipo o delle altre misure equivalenti previste dagli Artt. 46 e ss. del GDPR non sia necessaria nel caso in cui l’importatore dei dati personali sia direttamente soggetto al GDPR in virtù dell’Art. 3(2) del Regolamento; conclusione avvalorata dalla suddetta decisione di esecuzione, nella quale espressamente si dice che le Clausole Contrattuali Standard “possono essere utilizzate per tali trasferimenti soltanto nella misura in cui il trattamento da parte dell’importatore non rientri nell’ambito di applicazione del regolamento (UE) 2016/679”.
Per questa ragione, l’introduzione delle nuove Clausole Contrattuali Tipo aveva sollevato notevoli incertezze in merito alla disciplina applicabile ai trasferimenti verso agli importatori soggetti al GDPR, operanti in paesi terzi che non offrono un livello di tutela adeguata (primo fra tutti gli USA). Se le criticità evidenziate dalla sentenza “Schrems II” derivano essenzialmente dalla normativa applicabile nel paese verso cui i dati vengono trasferiti e dai conseguenti poteri di accesso ai dati personali da parte delle autorità locali, è evidente che tali criticità non vengono del tutto superate grazie all’applicabilità diretta del GDPR all’importatore, posto che quest’ultimo è pur sempre soggetto alla normativa del paese di stabilimento ed al potere coercitivo delle autorità locali. Quale regime si deve quindi applicare in queste circostanze? Quali misure sono necessarie per assicurare il rispetto del GDPR?
Le Linee Guida in questione rispondono a questi interrogativi in modo piuttosto sorprendente, di fatto contraddicendo le indicazioni contenute nella richiamata decisione esecutiva secondo cui le Clausole Contrattuali Tipo non devono essere utilizzate, se il trattamento eseguito dall’importatore rientra nell’ambito di applicazione del GDPR. Infatti, le Linee Guida individuano 3 criteri cumulativi per determinare se ci troviamo di fronte ad un “trasferimento” rilevante ai sensi del GDPR: (i) l’esportatore dei dati è soggetto al GDPR, (ii) tale esportatore divulga o rende altrimenti disponibili i dati personali ad un altro soggetto (“importatore”) e (iii) l’importatore è stabilito in un paese al di fuori del SEE o in un’organizzazione internazionale, indipendentemente dal fatto che al trattamento in questione si applichi il GDPR. In questi casi, pertanto, ci traviamo di fronte a un “trasferimento” rilevante ai sensi del GDPR, che richiede l’adozione delle misure di salvaguardia di cui al Capo V, anche se l’importatore dei dati è già soggetto al GDPR ai sensi dell’Articolo 3.
Tuttavia, l’EDPB chiarisce anche come i casi in cui l’importatore sia direttamente soggetto al GDPR richiedano misure di salvaguardia meno severe, che si limitino a colmare le lacune esistenti (ad es., i possibili conflitti fra il GDPR e la normativa locale). L’EDPB incoraggia dunque l’adozione di nuove possibili misure di salvaguardia, quali ad esempio l’introduzione di Clausole Contrattuali Tipo specifiche per i casi in cui l’importatore extra SEE sia soggetto al GDPR in virtù dell’Art. 3(2). Nel frattempo esportatori ed importatori dovrebbero utilizzare le misure a disposizione – in particolare le Clausole Contrattuali Tipo di recente adozione – posto che uno strumento di salvaguardia specifico per tali casi al momento non esiste.
Il documento è sottoposto a pubblica consultazione sino al 31 gennaio 2022 e deve pertanto essere considerato una prima bozza. Occorrerà attendere la versione definitiva delle Linee Guida per verificare se tale orientamento verrà confermato. Ove così fosse, ci aspettiamo che nel prossimo futuro le autorità competenti lavorino all’adozione di un ulteriore set di Clausole Contrattuali Tipo, che possa rappresentare una misura di tutela adeguata dei dati trasferiti ad importatori al di fuori del SEE direttamente soggetti al GDPR.
Nel frattempo, rimane l’incertezza su come gestire i trasferimenti di dati personali da parte di soggetti non basati nello SEE, ma già soggette al GDPR. L’unica soluzione è di usare le Clausole Contrattuali Tipo, nonostante quanto sopra evidenziato.
Su un argomento simile, potrebbe interessarti: “Infografica – Come usare le nuove Clausole Contrattuali Standard per regolare i trasferimenti dei dati“.