Privacy: la Commissione europea pubblica i progetti delle nuove clausole contrattuali tipo previste dal GDPR

La Commissione europea, lo scorso 12 novembre, ha adottato i progetti delle nuove “clausole contrattuali tipo” (o “SCC”, “Standard Contractual Clauses”) per i contratti tra titolare e responsabile del trattamento (e tra responsabile e sub-responsabile del trattamento), nonché per i trasferimenti di dati personali all’estero soggetti a garanzie adeguate.

Le SCC saranno efficaci in tutta l’Unione europea e hanno lo scopo di assicurare la piena armonizzazione e la certezza del diritto all’interno dell’UE. I processi di implementazione delle SCC in queste materie sono previsti dagli articoli 28, par. 7 e 46, par. 2, lett. c) del Regolamento (UE) 2016/679 (“GDPR”).

Per quanto concerne le clausole per i trasferimenti di dati personali all’estero, l’adozione delle stesse è stata dettata anche da ragioni di coerenza con quanto statuito dalla Corte di giustizia UE nella sentenza “Schrems II”, che ha invalidato il regime del trasferimento dei dati verso gli USA basato sul c.d. Privacy Shield.

In merito, la Presidente del Comitato Europeo per la Protezione dei Dati (“EDPB”) ha evidenziato che le nuove clausole non rappresentano una “soluzione onnicomprensiva” al tema del trasferimento dei dati all’estero. Anche per i trasferimenti che saranno basati sulle nuove clausole, infatti, gli esportatori dovranno effettuare le attività necessarie per garantire che il livello di protezione delle persone garantito dal GDPR non sia pregiudicato dal trasferimento.

Dalla data di adozione della decisione della Commissione che approverà la versione definitiva delle nuove SCC, esportatori e importatori potranno continuare a basarsi sulle precedenti clausole contrattuali tipo per un periodo di un anno, nel caso in cui il contratto concluso tra gli stessi non subisca modifiche. Nonostante questo, rimangono ferme le indicazioni della sentenza “Schrems II” e gli esportatori – laddove necessario – dovranno comunque adottare le cc.dd. misure supplementari necessarie a garantire il medesimo livello di protezione delle persone offerto dal GDPR.

Il processo di adozione delle SCC si basa sulla procedura d’esame prevista dall’art. 93, par. 2 del GDPR. La fase di consultazione pubblica è terminata lo scorso 10 dicembre 2020 e prossimamente l’EDPB, congiuntamente al Garante Europeo per la Protezione dei Dati, adotterà uno specifico parere sugli atti di esecuzione relativi a entrambe le tipologie di SCC.

(Data protection - standard contractual clauses between controllers & processors located in the EU)
(Data protection - standard contractual clauses for transferring personal data to non-EU countries)