La Commissione europea presenta le bozze delle nuove clausole contrattuali standard e l’EDPB rilascia dichiarazioni sul futuro Regolamento ePrivacy.
Il 19 novembre 2020 la Commissione europea ha presentato le bozze delle nuove clausole contrattuali standard (SCCs) sottoposte al parere congiunto dell’EDPB e dell’EDPS. Le clausole contrattuali standard sono da sempre lo strumento più utilizzato per il trasferimento di dati personali al di fuori dello spazio economico europeo (SEE). La novità è che non solo sono regolati i trasferimenti di dati personali tra titolari del trattamento e tra titolari e responsabili del trattamento, ma anche tra un responsabile del trattamento europeo e un sub-responsabile del trattamento extra SEE. Si tratta di una novità rilevante perché questo scenario è al momento gestito dando un incarico al responsabile del trattamento europeo di stipulare per conto del titolare del trattamento le SCCs con il sub-responsabile extra SEE.
La nuova versione delle clausole contrattuali standard dovrebbe andare a sostituire le attuali SCCs anche alla luce dei rilievi sollevati nella sentenza Schrems II della Corte di Giustizia europea, ma anche per riflettere la diffusione di trattamenti di dati personali sempre più complessi che coinvolgono ogni volta un numero più consistente di importatori ed esportatori di dati. Tuttavia, la Presidente dell’EDPB, Andrea Jelinek, ha sottolineato come le SCCs sul trasferimento dei dati personali al di fuori dello SEE proposte dalla Commissione europea non devono essere considerate come “una soluzione globale per i trasferimenti di dati post-Schrems II”. L’iniziativa della Commissione europea, continua la Presidente, rappresenta sicuramente un importante aggiornamento in materia, ma non deve comportare un’inerzia degli esportatori di dati, che dovranno comunque implementare misure adeguate orientate a garantire un’effettiva tutela dei diritti degli interessati.
In particolare, una valutazione caso per caso circa l’adeguatezza del trasferimento dei dati al di fuori dello Spazio economico europeo alla luce della sentenza Schrems II sarà ancora necessario. In questo contesto, la metodologia sviluppata da DLA Piper per questa valutazione può essere utile e potete leggere di più sull’argomento nell’articolo “Avete una metodologia per valutare i trasferimenti di dati extra SEE dopo la sentenza Schrems II?”.
Quanto al futuro Regolamento ePrivacy, l’EDPB ha rilasciato una dichiarazione dalla quale emerge particolare preoccupazione circa il futuro Regolamento e il futuro ruolo delle autorità di controllo, soprattutto in virtù della direzione verso cui si starebbero orientando le discussioni in seno al Consiglio. In particolare, secondo l’EDPB, il nuovo Regolamento ePrivacy potrebbe portare a una supervisione frammentata, a una complessità procedurale e a una mancanza di coerenza e certezza giuridica tanto per gli individui quanto per le aziende. Molte disposizioni del futuro regolamento ePrivacy, infatti, si incentrano sul trattamento dei dati personali e risultano, pertanto, strettamente connessione con quelle del GDPR. Al fine di evitare potenziali problemi di interpretazione e applicazione, sarebbe opportuno affidare la loro tutela alla stessa autorità di controllo.
Ciò è stato ulteriormente confermato dalla Presidente Andrea Jelinek, il quale ha affermato che: “Ciò assicurerà un elevato livello di protezione dei dati, garantirà parità di condizioni e assicurerà un’interpretazione e un’applicazione armonizzata del trattamento dei dati personali in tutta l’UE“.
Su di un simile argomento, è possibile leggere l’articolo “Regolamento ePrivacy: cosa aspettarsi nel prossimo semestre”.