La c.d. “sentenza Schrems II”[1] ha segnato una svolta epocale per quanto riguarda il trasferimento dei dati personali al di fuori dell’Unione Europea. Non solo, infatti, la Corte di Giustizia ha dichiarato invalida la Decisione della Commissione del 2016 contenente il c.d. “Privacy Shield[2] che legittimava il trasferimento di dati personali negli Stati Uniti, ma ha anche stabilito che il titolare o il responsabile del trattamento possono trasferire dati personali verso un Paese terzo solo se quest’ultimo ha previsto un livello di protezione adeguato essenzialmente equivalente a quello garantito all’interno dell’Unione, ed a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi, che possono essere assicurati mediante le clausole contrattuali standard (Standard Contractual Clauses, SCC)[3] approvate dalla Commissione.

Il clima di incertezza in materia di data transfer a cui la sentenza ha dato luogo ha indotto i Garanti della privacy europei ad intervenire al fine di fornire indicazioni sulla gestione dei trasferimenti dei dati al di fuori dell’Unione. Ad esito di questo processo, in data 10 novembre 2020 il Comitato europeo per la protezione dei dati (European Data Protection Board, EDPB)[4] ha rilasciato due Raccomandazioni che dovrebbero agevolare gli esportatori di dati nel valutare l’adeguatezza del livello di protezione offerto nel Paese di destinazione e nel delineare eventuali misure supplementari.

La prima Raccomandazione[5] traccia una roadmap articolata in sei step. Il primo step consiste nel realizzare una mappatura dei flussi di dati personali verso Paesi terzi che, al fine di essere conforme al principio di minimizzazione ai sensi del Regolamento (UE) 2016/679 (General Data Protection Regulation, GDPR)[6], implica una verifica dell’adeguatezza e pertinenza dei flussi in questione nonché della loro limitazione a quanto necessario in relazione alle finalità del trattamento. Il secondo step consiste nel verificare che i metodi di trasferimento prescelti (quali, tra gli altri, le stesse SCC della Commissione) siano conformi al GDPR. Qualora il Paese di destinazione sia già stato oggetto di una decisione di adeguatezza[7] da parte della Commissione, l’esportatore non dovrà adottare ulteriori misure. In caso contrario, invece, sarà necessario passare al terzo step, che consiste in una verifica da parte dell’esportatore dell’eventuale presenza, nella legislazione o nella prassi del Paese di destinazione, di elementi che potrebbero inficiare l’efficacia dello strumento di trasferimento prescelto[8]. A tale scopo, la seconda Raccomandazione[9] definisce le garanzie essenziali da prendere in considerazione nell’ambito di tale valutazione, che consistono, più particolarmente, i) in un trattamento dei dati basato su regole chiare, precise e accessibili, ii) nella necessità e proporzionalità del trattamento rispetto agli obiettivi perseguiti, iii) nell’esistenza di un meccanismo di controllo indipendente, e iv) nella presenza di tutele efficaci per l’interessato. Il quarto step si rende necessario qualora la suddetta valutazione rilevi elementi normativi che potrebbero interferire con il rispetto della normativa europea, e consiste nell’adozione delle misure di sicurezza supplementari necessarie per far sì che il livello di protezione dei dati trasferiti all’estero sia conforme o quantomeno equivalente agli standard europei. Tali misure sono individuate, in modo non esaustivo, nell’allegato II della Raccomandazione, che le ripartisce in tecniche[10], contrattuali[11] ed organizzative[12]. In aggiunta a tali misure supplementari, il quinto step prevede l’adozione di procedure formali che garantiscano ulteriormente la conformità del trasferimento e che dipendono dal tipo di strumento prescelto in conformità con l’articolo 46 GDPR[13]. Il sesto step, infine, impone all’esportatore di monitorare costantemente il livello di protezione dei dati offerto nel Paese di destinazione, di modo tale da adottare, qualora ve ne fosse bisogno, le ulteriori misure necessarie.

In linea con le Raccomandazioni dell’EDPB, in data 12 novembre 2020 la Commissione ha pubblicato due progetti di decisioni di esecuzione.

Il primo progetto[14] riguarda le SCC per i trasferimenti di dati personali verso Paesi terzi, che vengono predisposte nel relativo allegato[15].  Le nuove SCC transfrontaliere sono le prime ad essere rilasciate in conformità al GDPR e, come tali, ne riflettono i requisiti. Più in particolarmente, il loro ambito di applicazione è più ampio rispetto alle precedenti: a differenza di queste ultime, che riguardavano solamente due tipi di trasferimenti (da titolare a titolare e da titolare a responsabile), le nuove SCC adottano un approccio “per moduli” che risponde a quattro diversi scenari di trasferimento, ossia i) da titolare a titolare, ii) da titolare a responsabile, iii) da responsabile a responsabile, e iv) da responsabile a titolare. I recenti sviluppi dell'economia digitale, infatti, hanno reso necessario aggiornare le precedenti SCC onde riflettere meglio le realtà delle moderne operazioni di trasferimento dei dati. Ciascuna clausola delle nuove SCC, pertanto, contiene diversi moduli applicabili a seconda del tipo di trasferimento di dati oggetto del contratto, ciò che consente ai titolari e ai responsabili del trattamento di adattare i rispettivi obblighi alle particolarità del caso concreto. Inoltre, più di due parti possono aderire al contratto, ed altre ancora possono inserirsi successivamente in qualità di esportatori o importatori con il consenso dei contraenti originari[16].

Il progetto di decisione riprende quanto stabilito dalla Corte di Giustizia nella “sentenza Schrems II”, statuendo che le SCC devono assicurare che ai dati personali trasferiti sia concesso un livello di protezione sostanzialmente equivalente a quello garantito nell’Unione. Al fine di garantire la trasparenza del trattamento, gli interessati dovrebbero ricevere una copia delle SCC e dovrebbero essere informati di qualsiasi cambiamento delle finalità del trattamento e dell'identità di eventuali terzi a cui i dati vengano comunicati[17]. Inoltre, le SCC dovrebbero prevedere norme non solo sulla responsabilità tra le parti e nei confronti degli interessati[18], e bensì anche sull'indennizzo tra le stesse[19]. Infine, l'importatore è tenuto a conservare, sotto la propria responsabilità, la documentazione relativa alle attività di trattamento, e ad informare tempestivamente l'esportatore qualora egli, per qualsiasi motivo, non sia in grado di rispettare le SCC. In tale ipotesi, l'esportatore potrebbe sospendere il trasferimento e, in casi gravi, addirittura risolvere il contratto[20].

In ogni caso, il progetto di decisione richiede alle parti di valutare se le leggi del Paese di destinazione potrebbero impedire all'importatore di dati di conformarsi ai requisiti previsti dalle SCC[21]. A tale scopo, esse dovrebbero tenere conto di diversi elementi quali, tra gli altri, le circostanze specifiche del trasferimento, la normativa in vigore nel Paese di destinazione nonché qualsiasi misura di salvaguardia ulteriore rispetto a quelle previste dalle SCC[22].

Per il periodo di un anno dall’entrata in vigore della decisione e delle nuove SCC, esportatore ed importatore dei dati potranno continuare a far affidamento sulle precedenti clausole, per dare esecuzione al contratto concluso prima dell’entrata in vigore della decisione[23].

Il secondo progetto[24] riguarda, invece, le nuove SCC tra i titolari ed i responsabili del trattamento relativamente alle materie e questioni di cui all’articolo 28, paragrafi 3 e 4, GDPR[25]. Le nuove SCC hanno lo scopo di assistere le organizzazioni che si affidano a terzi nello Spazio Economico Europeo (SEE) per svolgere determinate attività di elaborazione dei dati per loro conto ad ottemperare agli obblighi previsti dal GDPR. L'articolo 28, infatti, richiede al titolare di stipulare un contratto o un altro atto giuridico che vincoli il responsabile del trattamento e che disciplini, tra le altre cose, la durata del trattamento, la sua finalità, il tipo di dati personali coinvolti, le categorie di interessati nonché gli obblighi e i diritti del titolare del trattamento.

Di conseguenza, attraverso le nuove SCC la Commissione cerca di fornire a tali organizzazioni un prototipo di accordo standard sul trattamento dei dati che soddisfi i requisiti stabiliti dal GDPR. Il progetto contiene una serie di allegati che devono essere completati dalle parti per fornire una descrizione dettagliata, tra le altre cose, i) dell'attività di trattamento, ii) delle misure di sicurezza predisposte, iii) delle istruzioni del titolare del trattamento, iv) dei soggetti coinvolti, e v) delle misure attraverso cui il responsabile del trattamento è tenuto a coadiuvare il titolare.

Conformemente alle Raccomandazioni dell'EDPB del 2 settembre 2020[26], l'utilizzo delle SCC non è obbligatorio, e titolare e responsabile del trattamento possono comunque decidere di negoziare contratti individuali per soddisfare i requisiti di cui all'articolo 28 GDPR. Le parti, inoltre, sono libere di includere le SCC eventualmente adottate in un contratto più ampio, e di aggiungere ulteriori clausole e garanzie purché queste ultime non contraddicano le SCC stesse o non pregiudichino i diritti o le libertà fondamentali degli interessati[27]. Tuttavia, in caso di conflitto tra le SCC e le disposizioni di qualsiasi altro accordo tra le parti esistente al momento in cui le stesse vengono concordate o concluse successivamente, queste ultime prevalgono[28].

I due progetti sono stati sottoposti ad una consultazione pubblica che avrà termine il 10 dicembre 2020 e che darà ai vari stakeholders la possibilità di esprimere il proprio parere. Dopodiché, conformemente alla procedura c.d. di comitatologia[29], ai fini dell’approvazione delle nuove SCC sarà necessario il parere positivo dell’EDPB e dell’EDPS nonché il voto degli Stati Membri. In ogni caso, qualora dovessero essere adottate, le nuove SCC potrebbero aprire nuovi ed inattesi scenari in materia di data transfer, soprattutto per quanto riguarda le c.d. “Big Tech”.