Tra il dire e il fare si dice spesso che in mezzo ci sia il mare.
La Commissione Europea sulla privacy si è armata di remi e di tanta voglia di salpare dal sorprendente ma comodo porto delle parole della sentenza Schrems e approdare sulla sponda delle azioni.
E se un altro antico adagio sostiene che ognuno può diventare marinaio quando il mare è calmo, va dato atto alla Commissione Europea di aver mantenuto le promesse e affrontato una vera e propria burrasca.
Le clausole contrattuali standard sul trasferimento Extra-UE: come siamo arrivati sin qui?
L’introduzione delle nuove clausole contrattuali standard (CCS) per il trasferimento di dati EXTRA UE rappresenta la chiusura del cerchio, la logica ma per niente scontata conseguenza delle tanto discusse sentenze Schrems e Schrems II.
Prima di raccontare l’ultimo capitolo, ripercorriamo brevemente le tappe che hanno condotto il quadro normativo europeo fin qui:
- Tutto iniziò con l’accusa di Snowden sulla sorveglianza di massa da parte degli USA che critica il Safe Harbor, il libero trasferimento da UE a USA;
- Schrems denuncia tutto alla corte di Giustizia Europea che accoglie l’accusa e sostituisce il Safe Harbor con il Privacy Shield nella sentenza Schrems I, aumentando la trasparenza richiesta e inasprendo le pene per i trasgressori;
- Con l’avvento del GDPR la Corte di Giustizia dell’Unione Europea invalida la sentenza Schrems I e il annulla il Privacy Shield per mancanza di proporzionalità: la sentenza Schrems II attribuisce il potere di sospendere o vietare il trasferimento all’autorità di controllo dello stato di riferimento.
Le clausole contrattuali standard come strumento di garanzia
Come anticipato, nonostante la sentenza di luglio 2020 che ha stravolto il quadro normativo riguardo il trasferimento di dati personali Extra-UE e mandato in soffitta il privacy shield, le clausole contrattuali standard sono state confermate come strumento di garanzia e supporto di titolari e responsabili del trattamento.
E’ bene ricordare e precisare infatti che i trasferimenti Extra-UE non sono vietati, ma occorre essere informati sulla corretta modalità di tutelare il trasferimento per evitare pene e sanzioni molto rigide.
Per questo motivo lo scorso giugno l’EDPB (European Data Protection Board) ha risposto alle numerose domande, provando a fare chiarezza tra i tanti dubbi emersi dopo la sorprendente sentenza pubblicando FAQ e stilando una serie di raccomandazioni.
Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.
Da cosa dipende la legittimità di un trasferimento Extra-UE?
In mancanza di una decisione di adeguatezza da parte di una autorità di controllo occorre che il titolare offra determinate garanzie, tra le quali:
- Binding Corporate Rules (Norme vincolanti di impresa);
- Standard Contract Clauses della Commissione UE;
- Standard Contract Clauses di una DPA;
- Codice di condotta approvato da un paese terzo;
- Meccanismo di certificazione
Deroghe in circostanze particolari
Premettendo che non c’è sempre bisogno del consenso dell’interessato in caso di trasferimento di dati Extra-UE, esistono delle situazioni in cui anche in assenza di garanzie adeguate o decisione di adeguatezza il trasferimento può essere concesso:
- Consenso espresso con informativa specifica;
- Misure precontrattuali o contratto tra interessato (o delegato) e titolare del trattamento;
- Importanti e straordinari motivi di interesse pubblico;
- Esercizio di diritto in sede giudiziaria;
- Tutela di interessi vitali;
- Registro pubblico.
Esistono inoltre situazioni ancora più border line nelle quali il trasferimento è comunque ammesso, con informazione DPA e comunicazione agli interessati sul trasferimento. Solo se:
- Non è ripetitivo;
- Riguarda un numero limitato di interessati;
- Gli interessi legittimi cogenti del titolare possono essere perseguiti a discapito di interessi o diritti o libertà dell’interessato;
- Il titolare ha valutato le circostanze e fornisce garanzie adeguate.
Cosa fare ora
La teoria è stata già trasformata in pratica e dallo scorso 27 settembre è obbligatoria l’adozione delle nuove clausole contrattuali standard sul trasferimento dei dati Extra-UE come deciso dalla Commissione UE.
“Ignorantia iuris non excusat” l'ignoranza della legge è inescusabile, perciò è bene informarsi e adeguarsi.
Ecco 4 buone prassi da seguire per trasformare un potenziale ostacolo in uno strumento flessibile di garanzia.
- La scelta del modello da adottare per il trasferimento dati Extra-UE deve tenere in considerazione inevitabilmente il paese nel quale i dati vengono esportati;
- Adottare il nuovo modello di CCS in caso di mancata decisione di adeguatezza o deroga: senza se e senza ma;
- Essere o non essere? Non è Amleto, ma per un qualsiasi trasferimento precedente al 27 settembre, ma ancora in essere occorre passare al nuovo modello di CCS appena possibile: al primo rinnovo o modifica;
L’abbondanza di scelte inevitabilmente complica la decisione: esistono 4 modelli di CCS, in base ai soggetti (da titolare a titolare, da titolare a responsabile, da responsabile a titolare o da responsabile a titolare), all’interno o all’esterno dell’Unione Europea.
