Diritto al Digitale

Cosa cambia con le nuove clausole contrattuali standard sui trasferimenti di dati personali?

June 07, 2021 Studio Legale DLA Piper
Diritto al Digitale
Cosa cambia con le nuove clausole contrattuali standard sui trasferimenti di dati personali?
Show Notes Transcript

La Commissione Europea ha pubblicato le nuove Clausole Contrattuali Standard (CCS) sui trasferimenti di dati personali che hanno implicazioni rilevanti e introducono nuovi obblighi sostanziali.

In questo podcast, Giulio Coraggio, partner dello studio legale DLA Piper, spiega cosa cambia con le nuove SCC sui trasferimenti di dati personali al di fuori del SEE e come le aziende dovrebbero prepararsi alla loro adozione.

Potete trovare la trascrizione del podcast a questo LINK e potete iscrivervi alla nostra newsletter settimanale "Innovation Law Insights", scrivendo a eventi@dlapiper.com
***
Diritto al Digitale è gestito dai professionisti del dipartimento di Intellectual Property & Technology dello studio legale DLA Piper (https://www.dlapiper.com).

Potete seguirci sul nostro blog (http://dirittoaldigitale.com/) e su LinkedIn (https://www.linkedin.com/company/dirittoaldigitale/). 

Il coordinatore del dipartimento è l’Avv. Giulio Coraggio (https://www.dlapiper.com/it/italy/people/c/coraggio-giulio/) che potete seguire anche su LinkedIn (https://www.linkedin.com/in/giulio-coraggio/). 

Buongiorno a tutti, sono Giulio Coraggio, responsabile del settore Technology dello studio legale DLA Piper e questo è il podcast "Diritto al Digitale". 

Oggi parliamo della approvazione da parte della Commissione europea delle nuove Clausole Contrattuali Standard che reggono i trasferimenti dei dati al di fuori dello Spazio Economico Europeo. 

Le novità principali sono che in primo luogo vengono coperti nuovi scenari. Le Clausole Contrattuali Standard affrontano i trasferimenti dei dati da responsabile del trattamento a responsabile e da responsabile a titolari che si aggiungano agli scenari già previsti e regolano gli onwards transfers, i trasferimenti successivi, 

Quindi quando il dato è al di fuori dello Spazio Economico Europeo deve essere fornito ad altri sub-responsabili del trattamento, implementando un controllo su tutta la "supply chain" e che non era previsto precedentemente, ma è previsto un unico accordo per trattamento aperto ai nuovi aderenti con una sorta di "clausola per adesione" che può essere molto conveniente nel caso in cui ci siano molteplici parti. 

Vengono introdotti obblighi rilevanti per gli esportatori dei dati nella valutazione dei dati. Non vengono espressamente previste delle check-list di conformità, ma bisogna garantire l'idoneità per consentire la conformità alla normativa del GDPR. Sulla responsabilità degli importatori dei dati non è previsto un limite ed è quindi prevista una responsabilità illimitata delle parti per le relazioni che comportano e per i danni che causano agli interessati. Inoltre, il fatto che le clausole prevalgono su diversi accordi raggiunti dalle parti fanno sì che un eventuale CAP delle responsabilità comunque non sarebbe valido. 

Vengono introdotti gli obblighi derivanti dalla sentenza Schrems II. Ce l'aspettavamo, le clausole contrattuali standard non sono la soluzione che mette in sicurezza i trasferimenti, non è possibile fare taglia e incolla ed evitare di eseguire la valutazione sul trasferimento dei dati che invece è espressamente richiesta dall'articolo 14 delle Clausole Contrattuali Standard, richiedendo una valutazione del Paese terzo, della normativa privacy del Paese terzo, delle misure tecniche contrattuali e organizzative adottate e della caratteristiche del trasferimento. Questa è una differenza rispetto a quanto era previsto dalle raccomandazioni che inizialmente prevedevano una valutazione puramente oggettiva. Vengono previsti degli allegati in cui si dovrà definire un elenco molto dettagliato delle misure di sicurezza adottate e delle misure organizzative e contrattuali ulteriori rispetto a quanto previsto nelle Clausole Contrattuali Standard. 

Questo perché un'altra novità è che le Clausole Contrattuali Standard sostituiscono la nomina a responsabile del trattamento, nel senso che la incorporano. Quindi bisognerà anche vedere in relazione agli attuali contratti, quali delle previsioni della "data processing agreement", della nomina a responsabile del trattamento, non sono coperti dalle Clausole Contrattuali Standard e dovranno rimanere in un accordo separato.

Il tempo è poco le Clausole Contrattuali Standard entrano in vigore 21 giorni dopo la pubblicazione sulla Gazzetta Ufficiale, successivamente per tre mesi c'è la possibilità di scegliere tra l'adozione delle nuove o delle vecchie, ma nei 15 mesi successivi bisogna sostituire tutte le clausole vecchie con le cause nuove. E' necessario evidentemente avere un piano di azione in mente e identificare gli scenari, identificare i modelli che sono più utilizzabili perché le Clausole Contrattuali Standard sono modulari, richiedono delle scelte e quindi bisogna avere una posizione coerente. 

Bisogna evidentemente avere anche una metodologia per la valutazione dei trasferimenti dei dati al di fuori dello Spazio Economico Europeo. Questo è un qualcosa che alcuni avevano lasciato nel dimenticatoio, dopo il panico delle prime settimane successive alla sentenza Schrems II, e abbiamo realizzato a tal fine un tool di legal tech, denominato "Transfer", per automatizzare questa valutazione con il supporto anche nei nostri colleghi dei Paesi non europei che fanno una valutazione della normativa del Paese terzo. Questa è una sorta di "must have" in situazioni in cui altrimenti questa valutazione prenderebbe troppo tempo. Ecco quindi c'è tanto da fare e quindici mesi sembrano un periodo di tempo lungo, ma la quantità di lavoro dietro a queste nuove Clausole Contrattuali Standard è decisamente alta.