Italiano
English 
In data 4 giugno u.s. la Commissione Europea ha pubblicato le Clausole Contrattuali Tipo (c.d. Standard Contractual Clauses – in seguito anche “SCC”) per disciplinare il trasferimento dei dati personali al di fuori dello Spazio Economico Europeo (in seguito “SEE”) e le Clausole Contrattuali Tipo per disciplinare la nomina a responsabile del trattamento ai sensi dell’art. 28 del Regolamento UE n. 679 del 2016 (in seguito “GDPR”).
Nella Decisione (UE) 2021/914 relativa alle SCC per il trasferimento dei dati personali verso Paesi Terzi sono presenti blocchi di clausole applicabili a determinati scenari di trasferimento dei dati al di fuori dello SEE. In particolare, trattasi delle seguenti ipotesi:
- Trasferimento di dati tra titolari autonomi;
- Trasferimento di dati da titolare UE a responsabile di un Paese terzo;
- Trasferimento di dati da responsabile UE a sub-responsabile di un Paese terzo;
- Trasferimento di dati da responsabile UE a titolare di un Paese terzo.
Viene fornito un periodo di transizione di 18 mesi totali dalle precedenti SCC alle nuove, tuttavia – cosa fondamentale – chi continuerà ad adottare le precedenti dovrà comunque valutare se nel frattempo garantiscano quanto richiesto dalla Sentenza Schrems II e dalle Raccomandazioni dell’EDPB sul tema.
Con riferimento alla Decisione (UE) 2021/915 relativa alle SCC tra titolari del trattamento e responsabili del trattamento a norma dell’articolo 28 del GDPR, invece, il provvedimento in esame si applica in tutti i casi in cui un’impresa, un professionista o una pubblica amministrazione (titolari del trattamento) si rivolgono a un fornitore esterno (responsabile del trattamento) per l’acquisizione di un servizio, quando ciò implica uno scambio di dati.
Tale Decisione specifica che il titolare del trattamento e il responsabile del trattamento dovrebbero essere liberi di includere le SCC stabilite nel provvedimento in un contratto più ampio e di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le SCC o pregiudichino i diritti o le libertà fondamentali degli interessati.
Alla luce delle citate Decisioni della Commissione Europea, dunque, i Titolari del trattamento dovranno preoccuparsi, da un lato, di aggiornare nei termini previsti le SCC sin d’ora utilizzate per i trasferimenti di dati al di fuori dello SEE e, dall’altro, di valutare l’adeguatezza delle nomine a responsabili predisposte ai sensi dell’art. 28 del GDPR.
A cura di:
Avv. Giacomo Cardani
Avv. Talisia Cigaina
Il presente documento ha lo scopo di fornire una prima informativa generale sulle novità normative e, pertanto, non potrà essere utilizzato o interpretato quale parere legale. Un’analisi precisa delle ricadute della normativa rispetto alla singola società potrà essere effettuata solamente su specifico incarico.