EDPB-EDPS Joint Opinions sui nuovi modelli di Standard Contractual Clauses

Trasferimento di dati personali: il parere delle Autorità sulla proposta della Commissione europea

Il 14 gennaio 2021, l' European Data Protection Board e l' European Data Protection Supervisor (rispettivamente, “EDPB” ed “EDPS” o, congiuntamente, le “Autorità”) hanno pubblicato due distinte Joint Opinion e, segnatamente, la:

(i) Joint Opinion 1/2021 on standard contractual clauses between controllers and processors^[1]; e

(ii) Joint Opinion 2/2021 on standard contractual clauses for the transfer of personal data to third countries^[2],

(rispettivamente, “Joint Opinion 1/2021” e “Joint Opinion 2/2021” o, congiuntamente, le “Joint Opinion”).

L’intervento delle Autorità si è reso necessario a seguito della richiesta^[3] della Commissione di fornire una (o più) joint opinion in merito alle recenti bozze di Implementing Decisions emanate dalla medesima istituzione europea in materia di protezione dei dati personali^[4].

Dopo le recenti vicende riguardanti il trasferimento di dati personali verso paesi terzi rispetto allo Spazio Economico Europeo^[5], infatti, la Commissione europea ha pubblicato due distinti set di Standard Contractual Clauses (le cd. SCC). Il primo destinato a supportare i titolari del trattamento nell’adempimento delle obbligazioni previste dagli articoli 28, Reg. (UE) 2016/679 (“GDPR”) e 29, Reg. (UE) 2018/1725 (“EUDPR”) in materia di nomina dei responsabili del trattamento (“SCC-UE”); il secondo finalizzato a fornire la “base di partenza” per disciplinare adeguatamente i trasferimenti di dati personali verso paesi terzi rispetto allo Spazio Economico Europeo ai sensi dell’articolo 46, GDPR “aggiornando”, per l’effetto, le previgenti SCC alla luce del mutato quadro normativo e giurisprudenziale (“Transfer SCC” o “Clausole per il Trasferimento”)^[6].

Ciò premesso, riservando una più approfondita analisi delle Joint Opinion al prossimo numero di Privacy&^[7], appare utile fornire una prima lettura dei documenti pubblicati dalle Autorità, segnalando alcuni tra i passaggi più interessanti.

Joint Opinion 1/2021 on standard contractual clauses between controllers and processors

Come anticipato, le SCC-UE si prefiggono l’obiettivo di supportare i titolari del trattamento nell’identificazione e svolgimento delle attività necessarie al rispetto delle obbligazioni previste dagli articoli 28, GDPR e 29, EUDPR, che richiedono di disciplinare il rapporto con i responsabili del trattamento tramite un “contratto o … altro atto giuridico” contenente almeno un elenco minimo di istruzioni, indicate nelle stesse disposizioni normative. In particolare, gli articoli 28, par. 7, GDPR e 29, par. 7, EUDPR, prevedono che la Commissione UE possa stabilire clausole contrattuali tipo per agevolare i titolari del trattamento nel rispetto di tali obbligazioni, promuovendo altresì omogeneità all’interno dello Spazio Economico Europeo in relazione a tali adempimenti.

In generale, l’EDPB e l’EDPS hanno positivamente accolto le SCC-UE come un importante strumento per garantire la certezza del diritto e l’uniformità del livello di protezione di dati personali all’interno del territorio comunitario. Inoltre, le Autorità hanno condiviso la volontà della Commissione di promuovere un unico modello di Standard Contractual Clauses da applicare tanto nelle ipotesi regolate dall’articolo 28, GDPR quanto in quelle disciplinate dall’articolo 29, EUDPR.

In ogni caso, la Joint Opinion 1/2021 offre alla Commissione numerosi spunti di miglioramento, molti dei quali vanno nella direzione di incrementare la trasparenza del documento e la sua corrispondenza, anche da un punto di vista formale e terminologico, al GDPR e all’EUDPR.

Ad esempio, in alcuni tra i principali passaggi della Joint Opinion 1/2021, le Autorità suggeriscono alla Commissione:

• di chiarire se l’ambito di applicazione delle SCC-UE sia limitato a “intra-EU situations” o se possa trovare applicazione anche nel caso in cui il titolare (e/o il responsabile) sia collocato all’esterno dello Spazio Economico Europeo ma comunque soggetto al perimetro normativo di cui all’articolo 3, par. 2, GDPR;
• di dettagliare il rapporto con le Transfer SCC;
• con riferimento alla c.d. “docking clause” – che consente a ulteriori titolari e responsabili di aderire successivamente all’accordo – di specificare con maggiore chiarezza i ruoli e le responsabilità di ciascuna parte, ad esempio dettagliando i trattamenti effettuati, anche al fine di determinare correttamente le relative responsabilità in ottica di accountability;
• di allineare le disposizioni in materia di audit con quanto richiesto dal GDPR, assicurando che, in ogni caso, il titolare abbia l’ultima decisione in merito alla scelta dell’auditor.

Joint Opinion 2/2021 on standard contractual clauses for the transfer of personal data to third countries

In linea generale, entrambe le Autorità sembrerebbero aver apprezzato l’iniziativa della Commissione notando “with satisfaction” che la bozza di Transfer SCC riflette molte delle safeguards individuate dall’EDPB con le Recommendations on supplementary measures^[8].

Allo stesso tempo, l’EDPB e l’EDPS hanno espresso la loro piena condivisione circa gli obiettivi programmatici sottesi ai recenti interventi della Commissione in questo specifico ambito della materia, ossia:

• adeguare le “vecchie” Standard Contractual Clauses ai requisiti normativi introdotti dal GDPR;
• prendere in considerazione il ricorso - frequente nella prassi - ad operazioni di trattamento sempre più complesse che “allungano” la processing chain e/o il numero di trasferimenti coinvolgendo un numero elevato di “importatori” ed “esportatori” di dati personali;
• gestire al meglio i potenziali impatti delle leggi del paese terzo di destinazione e/o di eventuali richieste delle autorità di tale Stato in termini di compliance agli obblighi - lo si ricorda, di natura meramente contrattuale - che l’“importatore” si impegna a rispettare con la sottoscrizione delle Transfer SCC.

Inoltre, le Autorità hanno ribadito^[9] la necessità che le Standard Contractual Clauses - tanto le SCC-UE quanto le Transfer SCC - prevedano dei meccanismi efficaci che permettano, in concreto, di garantire le medesime tutele assicurate dal GDPR e dalla restante normativa europea in materia di protezione dei dati personali anche (e soprattutto) con riferimento ai trattamenti svolti al di fuori dello Spazio Economico Europeo^[10].

Ciò premesso, con la Joint Opinion 2/2021 le Autorità hanno formalizzato la loro posizione sul testo predisposto dalla Commissione europea fornendo altresì alcune (dettagliate) proposte di modifica della bozza delle Transfer SCC^[11] che dovranno essere esaminate prima dell’adozione del testo definitivo.

Ad esempio, parallelamente a quanto fatto per le SCC-UE, anche per quanto concerne le Clausole per il Trasferimento (extra UE), l’EDPB e l’EPDS hanno richiesto una variazione della cd. “docking clause”^[12] per rendere più chiara l’allocazione delle facoltà riconosciute rispettivamente a importer ed exporter suggerendo che la pattuizione negoziale (o quantomeno gli allegati che saranno in concreto sottoscritti dai contraenti) indichino, inter alia, le modalità e le tempistiche con cui ciascuna parte dovrebbe consentire l’adesione di un nuovo soggetto^[13].

Allo stesso modo, anche le osservazioni delle Autorità in merito ai “moduli” delle Transfer SCC ipotizzati dalla Commissione per regolare i diversi scenari di trasferimento^[14] sono orientate a raggiungere una maggiore chiarezza nella ricostruzione dei ruoli data protection e, ove necessario, allineare il testo delle Clausole per il Trasferimento alle disposizioni del GDPR applicabili ai casi di specie.

In questo senso, quindi, le Autorità hanno rilevato che il cosiddetto onwards transfer tra due titolari del trattamento - ossia tra il data importer e un successivo terzo soggetto, sempre situato al di fuori dello Spazio Economico Europeo - dovrebbe essere consentito soltanto a patto che l’accordo tra questi ultimi riproduca, in sostanza, le stesse garanzie e i medesimi obblighi previsti dalle Transfer SCC, non essendo sufficiente il blando richiamo al “same level of data protection” contenuto nella attuale versione del testo delle Clausole per il Trasferimento^[15].

Ancora, anche in relazione ai data transfer tra un titolare del trattamento del vecchio continente e un responsabile extra-europeo, le Transfer SCC dovrebbero chiarire che i vincoli di cancellazione o restituzione dei dati personali gravanti su quest’ultimo non siano limitati “alla misura in cui ciò sia possibile” potendosi ammettere eventuali deroghe e/o obblighi di conservazione ulteriori solo se (i) siano previsti dalla legge locale applicabile al destinatario dei dati, (ii) quest’ultima rispetti i diritti e le libertà sanciti dall’ordinamento europeo e (iii) ciò sia indispensabile per perseguire finalità necessarie e proporzionali al raggiungimento degli obiettivi comuni alle società democratiche^[16].

* * *

In conclusione, alla luce di una molto preliminare lettura delle Joint Opinion, non può negarsi che entrambe le Autorità non hanno perso l’occasione per (ri)affermare la loro centralità nel dibattito - ancora attuale - sorto a seguito della sentenza “Schrems II”, suggerendo alla Commissione UE, in modo alquanto preciso, gli interventi che potrebbero o - forse, considerata l’autorevolezza della fonte - dovrebbero essere apportati alla bozza di SCC-UE e Transfer SCC.

Un primo approfondimento della tematica sarà pubblicato sul prossimo numero di Privacy& in cui verrà analizzato più nello specifico (i) il contenuto precettivo delle Implementing Decisions della Commissione (ii) il testo delle SCC-UE e delle Transfer SCC e, con riferimento a queste ultime, e in chiave più comparatistica, (iii) le principali differenze tra il “vecchio e nuovo” assetto delle Standard Contractual Clauses.