NEWS

29/06/2021

Adottati i nuovi modelli di Standard Contractual Clauses e le Recommendation 1/2020 sulle additional safeguards

di Antonio Venditti

Trascorso quasi un anno dalla ormai celebre sentenza Schrems II^{^[1]}, l’incerto scenario in materia di trasferimenti extra-EEA di dati personali ha iniziato ad assumere dei tratti più definiti. Il 4 giugno 2021, infatti, la Commissione ha adottato le Decisioni di Esecuzione 2021/915^{^[2]} e 2021/914^{^[3]}, relative, rispettivamente a:

le clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento a norma dell’art. 28, par. 7, GDPR^{^[4]} e dell’art. 29, par. 7, dell’EUDPR^{^[5]} (“SCC intra-EEA”), e
le clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del GDPR (“SCC extra-EEA”).

Nello stesso solco si inserisce, inoltre, la pubblicazione da parte dell’European Data Protection Board della versione “definitiva” delle Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (rispettivamente, “EDPB” e “Raccomandazioni 1/2020”)^{^[6]}.

In particolare, la prima Implementing Decision si pone l’obiettivo di garantire un “coherent approach” alla protezione dei dati personali all’interno dello Spazio Economico Europeo nel contesto della nomina dei responsabili del trattamento ai sensi degli articoli 28, GDPR e 29, EUDPR; pertanto, le SCC intra-EEA alla stessa allegate consistono in un modello, appunto, standard, di data processing agreement che titolare e responsabile potranno utilizzare per disciplinare i diritti e obblighi che discendono dal trattamento svolto dal secondo per conto del primo.

Parallelamente, le SCC extra-EEA, allegate alla seconda Decisione di Esecuzione, rappresentano lo strumento che potrà essere adoperato per legittimare i trasferimenti di dati personali verso paesi terzi e organizzazioni internazionali, ai sensi dell’articolo 46, GDPR. Esse, infatti, costituiscono il risultato finale del processo - iniziato lo scorso 12 novembre con la pubblicazione della bozza di decisione^{^[7]} - con il quale la Commissione ha sostituito la “vecchia” versione delle standard contractual clauses, ormai divenute obsolete, anche per effetto della sentenza Schrems II.

In parallelo, le Raccomandazioni 1/2020 costituiscono il documento - adottato il 18 giugno 2021 a valle della fase di consultazione pubblica iniziata lo scorso novembre^{^[8]} - con il quale l’EDPB ha inteso aiutare gli esportatori di dati personali a rispettare gli obblighi connessi ai data transfer posti in essere; esse, difatti, offrono una “guida” all’individuazione delle cd. additional safeguards da porre in essere per garantire che il trattamento transfrontaliero non incida sul livello di protezione dei dati personali^{^[9]}.

A fronte del complesso insieme di provvedimenti sopra richiamato, per il momento non si può che rifarsi ai commenti già pubblicati su questa Rivista, anticipando al lettore che questi fondamentali tasselli nella disciplina dei trasferimenti dei dati personali (intra ed extra EEA), saranno certamente oggetto di un’approfondita analisi sulle pagine del prossimo numero di Privacy&.

- Decisione di esecuzione (UE) 2021/915 (SCC intra-EEA ex art. 28, GDPR)

https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32021D0915;

- Decisione di esecuzione (UE) 2021/914 (SCC per i trasferimenti di dati extra-EEA)

https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32021D0914;

- Raccomandazioni 1/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data

https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en

[1] Sentenza del 16 luglio 2020, Data Protection Commissioner c. Facebook Ireland Limited, Maximillian Schrems, C-311/18, ECLI:EU:C:2015:650. Il comunicato stampa della CGUE è disponibile al link https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf, mentre l’edizione italiana del testo integrale della Sentenza è disponibile al link: http://curia.europa.eu/juris/document/document.jsf?docid=169195&doclang=IT. Gli impatti giuridici della sentenza sono stati commentati da G. Arnò, A. Venditti e F. Di Geronimo, Schrems II, Atto secondo, Privacy& - 2020/3

[2] Decisione di esecuzione (UE) 2021/915 della Commissione del 4 giugno 2021 relativa alle clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento a norma dell'articolo 28, paragrafo 7, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio e dell'articolo 29, paragrafo 7, del Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio disponibile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32021D0915.

[3] Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021 relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio disponibile al seguente link https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32021D0914.

[4] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), (“GDPR”).

[5] Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (“EUDPR”).

[6] EDPB, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data disponibili al seguente link: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en.

[7] Per un approfondimento alle bozze di (i) SCC intra-EEA e (ii) SCC extra-EEA, si veda G. Arnò, A. Venditti e F. Di Geronimo, La bozza delle standard contractual clauses: una prima lettura del nuovo scenario per il trasferimento di dati personali all’interno e all’esterno dello Spazio Economico Europeo, Privacy& - 2021/1.

[8] La versione in consultazione pubblica delle Raccomandazioni 1/2020 è stata commentata da G. Arnò e F. Di Geronimo, The EDPB Recommendations: International Data Transfer after Schrems II, Privacy& - 2020/4.

[9] L’adozione definitiva delle Raccomandazioni 1/2020 completa, peraltro, il set documentale pubblicato dall’EDPB per supportare le organizzazioni nello scenario giuridico post Schrems II. Esse, infatti, sono complementari con le Raccomandazioni 2/2020 on the European Essential Guarantees for surveillance measures che forniscono agli esportatori elementi utili per stabilire se il quadro giuridico del paese destinario (e, in particolare, le norme che disciplinano l'accesso delle autorità pubbliche ai dati per fini di sorveglianza) possa o meno consentire una ingiustificata ingerenza nella sfera privata dei cittadini.

Vai all'archivio