Il 4 giugno 2021 la Commissione UE ha adottato nuove Clausole Contrattuali Standard (SCCs) per i trasferimenti di dati personali da titolari o responsabili del trattamento soggetti al GDPR (data exporters) a titolari o responsabili del trattamento stabiliti al di fuori dell’UE/SEE e non soggetti al GDPR (data importers).
Conformità al GDPR e alla Sentenza Schrems II
Le nuove SCCs riflettono i requisiti previsti dal GDPR e tengono conto della sentenza Schrems II della Corte di Giustizia UE, proponendosi di elevare il livello di protezione dei dati per i cittadini europei e ottenere maggiore sicurezza e certezza giuridica per le aziende in merito al trasferimento internazionale di dati.
Transitional period
• Le nuove SCCs potrannno essere utilizzate a partire dal 27/06/2021 (data di entrata in vigore)
• Le precedenti SCCs rimangono in vigore per altri 3 mesi, fino al 27/09/2021
• I data exporters e importers hanno 18 mesi di tempo (cioè fino al 27/12/2022) per sostituire le attuali SCC contenute nei contratti in essere con i nuovi standard.
Tipologie di trasferimenti
Al fine di coprire tutte le ipotesi realizzabili, a differenza delle precedenti, nelle nuove SCCs sono stati previsti 4 diversi moduli applicabili a seconda dello specifico scenario di trasferimento:
• Controller to another Controller (C2C)
• Controller to a Processor (C2P)
• Processor to a Processor (P2P)
• Processor to its appointing Controller (P2C)
Nuove SCCs & Schrems II: valutazioni sul trasferimento
Le parti dovranno comunque svolgere una valutazione sul trasferimento che tenga conto
• delle circostanze specifiche
• della legislazione e delle prassi del paese di destinazione
• di ulteriori garanzie contrattuali, tecniche o organizzative integrative per garantire il rispetto degli obblighi previsti dalle SCCs per il data importer
Nuove SCCs & Schrems II: misure di sicurezza
L’allegato II riporta esempi di possibili misure di sicurezza tecniche e organizzative che possono essere messe in atto dai data importer, come la crittografia e la pseudonimizzazione, ma non include tutte le misure supplementari suggerite dall’EDPB nel draft di Recommendations 01/2020
Nuove SCCs & Schrems II: richieste di accesso ai dati trasferiti da parte di autorità pubbliche
Il data importer avrà l’obbligo di:
- informare l’esportatore e, ove possibile,
l’interessato circa eventuali richieste di
accesso ai dati trasferiti da parte di
autorità pubbliche; - valutare la legittimità della richiesta ai
sensi della legge in vigore nel paese
terzo e degli impegni internazionali - fornire la quantità minima di informazioni