Pubblicata la Joint Opinion 1/2021 di European Data Protection Board e EDPS – European Data Protection Supervisor on Standard Contractual Clauses between controllers and processors.
L’European Data Protection Board e l’European Data Protection Supervisor hanno adottato un parere congiunto sui due set di clausole contrattuali standard (SCCs) predisposti dalla Commissione Europea anche per colmare il vuoto legislativo creatosi con la pronuncia della Corte di Giustizia Europea (c.d. «Schrems II»). Andrea Jelinek, presidente del EDPB, ha dichiarato: «EDPB e EDPS accolgono con favore le SCC come uno strumento di accountability unico, forte e valido in tutta l’UE che faciliterà il rispetto delle disposizioni ai sensi sia del GDPR che dell’EUDPR.»
Sono state proposte diverse modifiche per favorire la chiarezza del testo e per assicurare la sua utilità pratica nelle operazioni quotidiane tra Titolari e Responsabili del trattamento.
Tra queste è prevista l’interoperabilità tra i due documenti; la cosiddetta «docking clause» che permette a ulteriori soggetti di aderire alle SCCs, e altri aspetti relativi agli obblighi per i responsabili del trattamento. Inoltre, EDPB e EDPS suggeriscono che gli allegati alle SCCs chiariscano il più possibile i ruoli e le responsabilità di ciascuna delle parti in relazione a ciascuna attività di trattamento – qualsiasi ambiguità renderebbe più difficile per i responsabili del trattamento o gli incaricati del trattamento adempiere ai loro obblighi conformemente al principio di accountability.
La bozza di SCCs per il trasferimento di dati personali a paesi terzi ai sensi dell’art. 46 (2) (c) GDPR sostituirà le attuali SCCs per i trasferimenti internazionali, che richiedevano un aggiornamento per essere allineate ai requisiti del GDPR e per recepire le indicazioni di cui alla sentenza “Schrems II” della CJEU, nonché per meglio riflettere l’utilizzo sempre più diffuso di nuovi e più complessi trattamenti che coinvolgono una molteplicità di importatori ed esportatori di dati.
In particolare, le nuove SCCs includono garanzie più specifiche per i casi in cui le leggi del paese di destinazione influiscano sul rispetto delle clausole, in particolare in caso di richieste vincolanti da parte di autorità pubbliche per la divulgazione di dati personali.
Infine, EDPB e EDPS hanno accolto con favore le disposizioni specifiche volte ad affrontare alcune delle principali questioni individuate nella sentenza Schrems II, pur riconoscendo che diverse disposizioni potrebbero essere migliorate o chiarite, come la definizione del campo di applicazione delle SCCs, il riconoscimento di alcuni diritti di terze parti, l’introduzione di alcuni obblighi relativi a trasferimenti successivi, la necessità di valutare le leggi dei paesi terzi con riferimento alla possibilità di accesso ai dati pubblici da parte delle autorità pubbliche, nonché il tema della responsabilità sulle notifiche all’autorità di controllo.