Trasferimento di dati personali verso paesi extra UE: le nuove Clausole contrattuali standard
Il 4 giugno 2021 la Commissione europea ha pubblicato la versione definitiva delle nuove Clausole contrattuali standard (di seguito SCC, Standard contractual clauses), ovvero lo strumento normativo finalizzato a tutelare i dati personali trasferiti verso paesi Extra UE.
Le SSC, una volta pubblicate nella Gazzetta Ufficiale dell’Unione Europea, avranno un periodo transitorio (vacatio legis) di 18 mesi prima di diventare pienamente efficaci. Questo periodo consentirà alle aziende di adeguarsi e sostituire le SSC rilasciate dalla Commissione ben 11 anni fa.
L’aggiornamento delle SSC era necessario in quanto le novità intervenute in questo lungo periodo sono state notevoli e di grande impatto, come la normativa GDPR (attinente la protezione dei dati personali), ma anche e soprattutto, l’evoluzione economica che vede un importantissimo ruolo del dato personale.
Le nuove SCC si caratterizzano per la sua modularità, infatti, per gestire i vari diversi scenari di trasferimento i titolari del trattamento potranno scegliere in autonomia quali “moduli” utilizzare nei propri contratti. Questo meccanismo è utile per gestire catene di trasferimento molto complesse (anche a livello tecnologico). I moduli disponibili per i diversi scenari di trasferimento da regolare sono: da Titolare a Titolare, da Titolare a Responsabile, da Responsabile a Responsabile e, infine, da Responsabile a Titolare.
Una importante novità presente nelle nuove SCC è la clausola di c.d. “docking”, che permette l’inserimento di ulteriori soggetti all’accordo originario, permettendo una maggiore rapidità di modifica/integrazione senza compromettere la protezione dei dati degli interessati.
Questo aggiornamento è sicuramente una notizia importante che permette ai dati di essere più protetti rispetto al passato, ma non possiamo essere sicuri totalmente in quanto le SSC hanno una natura negoziale, sarebbe auspicabile un accordo tra Stati ( es con un nuovo Privacy Shield con gli USA), oppure sperare che i big mondiali, trasferiscano in Europa i loro server, per eliminare pericoli relativi, ad esempio, all’ingerenza da parte delle autorità di giudiziarie e di polizia ai dati dei cittadini europei.