In tema di privacy, il 4 giugno 2021 la Commissione Europea ha approvato e pubblicato le nuove Clausole Contrattuali Standard (CCS) utilizzabili per il trasferimento di dati personali verso Paesi situati al di fuori dell’Unione Europea.

Le nuove Clausole Contrattuali Standard assumono particolare rilevanza per due motivi:

• da un lato alla luce della sentenza Schrems II della CGUE che ha invalidato la decisione di adeguatezza (c.d. Privacy Shield) per il trasferimento dei dati personali dall’Unione Europea verso gli Stati Uniti;
• dall’altro considerato il fatto che le grandi società tecnologiche statunitensi sono al centro della stragrande maggioranza dei trattamenti di dati.

L’obiettivo della Commissione, mediante l’adozione delle Clausole Contrattuali Standard, è fornire “maggiore flessibilità per catene di elaborazione complesse” e “un unico punto di ingresso che copre un’ampia gamma di scenari di trasferimento”.

Le Clausole Contrattuali Standard rappresentano uno degli strumenti posti a garanzia del trasferimento di dati verso Paesi Terzi, ai sensi di quanto previsto dall’art. 46 c. 2 lett. c) GDPR.

La norma afferma che “possono costituire garanzie adeguate di cui al paragrafo 1 senza necessitare di autorizzazioni specifiche da parte di un’autorità di controllo: […] c) le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2”.

In quanto soggette a valutazione preventiva da parte della Commissione Europea, tali clausole costituiscono un modello di facile implementazione, potendo essere direttamente incorporate negli accordi contrattuali su base volontaria, a dimostrazione della conformità del trasferimento.

In particolare, la Commissione Europea ha elaborato due tipi di Clausole Contrattuali Standard:

1. uno per i rapporti tra Titolari del trattamento e Responsabili del trattamento;
2. l’altro finalizzato a regolare i trasferimenti di dati personali, a vario titolo, verso Paesi Terzi.

Quali sono le principali novità introdotte dalle Clausole Contrattuali Standard?

Gli aspetti principalmente innovativi contenuti nelle Clausole Contrattuali Standard approvate dalla Commissione UE riguardano:

• aggiornamento delle clausole in linea con le disposizioni contenute all’interno del Regolamento generale sulla protezione dei dati (GDPR);
• obblighi rilevanti per esportatori ed importatori di dati mediante l’adozione di adeguate misure tecniche e organizzative al trasferimento;
• la previsione di un unico punto di accesso che copre un ampio insieme di scenari di trasferimento, piuttosto che serie separate di clausole;
• maggiore flessibilità per le catene di elaborazione complesse, attraverso un approccio “modulare” che consente a due o più parti (ad esempio i sub-responsabili) di unirsi e utilizzare le clausole (una delle novità più rilevanti introdotta dalle nuove Clausole Contrattuali Standard riguarda la clausola di c.d. “docking”, che permette l’aggiunta di ulteriori parti rispetto a quelle che avevano preso parte all’accordo originario);
• strumenti pratici per conformarsi alla sentenza Schrems II, ed in particolare la previsione di fornire una panoramica dettagliata delle diverse misure che le aziende hanno l’obbligo di intraprendere, nonché esempi di possibili “misure supplementari” da adottare per il trasferimento, come la crittografia.

Per i Titolari e Responsabili del trattamento che attualmente utilizzano precedenti clausole contrattuali standard è previsto un periodo transitorio di 18 mesi per conformarsi alle nuove disposizioni della Commissione.