Clausole contrattuali standard nell'UE per i trasferimenti da paesi terzi

Clausole contrattuali standard
Kategorien:

Clausole contrattuali standard

 

Se un'azienda desidera trasferire dati personali in un cosiddetto Paese terzo al di fuori dell'Unione Europea o dello Spazio Economico Europeo, oltre alla base giuridica per il trattamento dei dati è necessaria una garanzia di protezione dei dati per il trasferimento. In assenza di una decisione di adeguatezza da parte della Commissione europea, per anni sono state utilizzate le clausole contrattuali standard dell'UE, note anche come clausole standard di protezione dei dati della Commissione europea ("SCC" per Standard Contractual Clauses). Questi documenti, che hanno ormai 25 anni, sono stati ora aggiornati.

Questo articolo intende rispondere alle domande che sono sorte in questo contesto e quindi fornire assistenza nell'uso conforme alla protezione dei dati delle nuove clausole.

Contattateci se avete ulteriori domande o se desiderate assistenza per le regolazioni necessarie.

 

 

Quando la mia azienda ha bisogno di SCC?

 

Nel momento in cui un'azienda, in qualità di responsabile del trattamento e/o di incaricato del trattamento, trasferisce dati personali in un cosiddetto "Paese terzo", sono necessarie adeguate garanzie per la protezione di tali dati ai sensi dell'art. 44 e seguenti del GDPR. GDPR, sono necessarie adeguate garanzie per la protezione di questi dati per assicurare che il livello di protezione dei dati delle persone fisiche garantito dal GDPR non sia compromesso.

Se non c'è una decisione di adeguatezza da parte della Commissione europea per il Paese terzo, le SCC saranno di solito un elemento essenziale per questo.

Come ha chiarito la cosiddetta sentenza Schrems II della Corte di giustizia europea (sentenza del 16.07.2020, causa C 311/18), le garanzie elencate negli artt. 44 e segg. GDPR non sono sufficienti da sole. Occorre piuttosto esaminare la situazione della protezione dei dati nel Paese destinatario e stabilire quali ulteriori misure tecniche e organizzative (crittografia, anonimizzazione, pseudonimizzazione) sono necessarie per il caso specifico.

Un possibile risultato di tale valutazione del rischio può anche essere la decisione di non effettuare il trasferimento di dati previsto e di trovare invece una soluzione europea.

 

 

Come si differenziano i nuovi SCC da quelli vecchi?

 

Le precedenti clausole contrattuali standard risalgono al 1996 e le nuove SCC sono state adattate alla formulazione e ai requisiti del GDPR.

Le nuove SCC hanno una struttura modulare e offrono un numero significativamente maggiore di opzioni di personalizzazione, ma anche più lavoro prima di poter essere utilizzate per il rispettivo trasferimento di dati. Mentre con i precedenti SCC il lavoro di personalizzazione terminava solitamente una volta inseriti i dati delle due parti contraenti, con i nuovi SCC l'effettiva stesura delle clausole contrattuali inizia solo a questo punto.

Nelle nuove SCC, per la prima volta altre organizzazioni possono aderire a un contratto stipulato sulla base delle clausole contrattuali standard in qualità di importatori o esportatori di dati.

In precedenza, non esistevano clausole per la costellazione "processore e subprocessore". Le nuove clausole contrattuali standard hanno una struttura modulare e possono quindi essere applicate a un numero maggiore di contratti rispetto al passato, includendo anche i contratti a livello di subappaltatore.

Se i fornitori di servizi elaborano i dati su istruzioni di un'azienda, ciò costituisce un'elaborazione dell'ordine ai sensi del GDPR. In questi casi, è necessario stipulare un cosiddetto contratto di elaborazione degli ordini ("AVV" in breve). Le nuove clausole contrattuali standard soddisfano ora anche i requisiti per un contratto di elaborazione dati. Ciò significa che se un contratto viene stipulato sulla base delle clausole contrattuali standard, non è più obbligatoria la stipula di un ulteriore contratto di elaborazione dati.

In particolare, le clausole 14 e 15 del nuovo SCC contengono speciali misure di sicurezza che corrispondono ad alcune delle aggiunte già proposte dalle autorità per la protezione dei dati e dal Comitato europeo per la protezione dei dati ("EDPB") alle vecchie clausole contrattuali standard al fine di soddisfare i requisiti della sentenza Schrems II.

Fortunatamente, le nuove SCC stabiliscono che queste hanno la precedenza e sostituiscono qualsiasi clausola contrattuale o di condizioni generali in conflitto (Sezione I, Clausola 5).

Nella Sezione II, il Capitolo 12 contiene le clausole di responsabilità modulari e (insieme alla disposizione sul primato della SCC) stabilisce in linea di principio che la responsabilità delle parti contraenti non è limitata, ad esempio, da esclusioni esterne di responsabilità nelle CGC.

Nella sezione IV (clausole 17 e 18), le parti contraenti possono ora specificare l'applicazione di una particolare legge nazionale e il foro competente (all'interno dell'UE). Ad esempio, è possibile specificare la validità della legge tedesca anche se le clausole contrattuali standard sono stipulate da una filiale in Italia.

Per quanto riguarda le discussioni in corso sui trasferimenti di dati verso gli Stati Uniti o altri Paesi terzi, l'importatore di dati si impegna, tra l'altro, nella clausola 15, a farlo:

  • Fare il possibile per revocare il divieto di notifica all'esportatore/interessato. L'obiettivo è quello di garantire che il maggior numero possibile di informazioni possa essere comunicato il più rapidamente possibile. L'importatore di dati si impegna pertanto a documentare gli sforzi compiuti per poterne fornire prova su richiesta dell'esportatore di dati.
  • controllare la legalità della richiesta di divulgazione, in particolare se la richiesta rientra nell'ambito dei poteri conferiti all'autorità richiedente, e contestare la richiesta se, dopo un'attenta valutazione, conclude che vi sono ragionevoli motivi per ritenere che la richiesta sia illegale ai sensi delle leggi del paese di destinazione, in conformità agli obblighi applicabili in base al diritto internazionale e ai principi della "Völkercourtoisie" (si tratta di atti, pratiche e regole osservate nelle relazioni internazionali tra Stati in virtù della loro sovranità, basate sull'amicizia, il vicinato e il rispetto reciproco). In queste condizioni, l'importatore di dati può ricorrere a rimedi legali. Quando impugna una richiesta, l'importatore di dati deve ottenere misure provvisorie per sospendere l'effetto della richiesta fino a quando l'autorità giudiziaria competente non si sia pronunciata sul merito. L'importatore dovrà divulgare i dati personali richiesti solo se ciò è richiesto dalle norme procedurali applicabili.

Questo obbligo può comportare costi considerevoli per l'importatore di dati (se vengono effettivamente prese decisioni di divulgazione corrispondenti).

Nella clausola 14 entrambe le parti contraenti si impegnano a tenere in debita considerazione in particolare i seguenti aspetti:

  • le circostanze specifiche del trasferimento, tra cui la lunghezza della catena di trattamento, il numero di soggetti coinvolti e i canali di trasmissione utilizzati, i trasferimenti di dati previsti, il tipo di destinatario, le finalità del trattamento, le categorie e il formato dei dati personali trasferiti, il settore economico in cui avviene il trasferimento, il luogo di conservazione dei dati trasferiti,
  • le leggi e le prassi del paese terzo di destinazione pertinenti alle circostanze particolari del trasferimento (comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o che autorizzano l'accesso a tali dati da parte delle autorità pubbliche) e le restrizioni e le garanzie applicabili,
  • qualsiasi garanzia contrattuale, tecnica o organizzativa messa in atto per integrare le garanzie di cui alle presenti clausole, comprese le misure applicate durante il trasferimento e il trattamento dei dati personali nel paese di destinazione.

Questi tre punti devono quindi essere presi in considerazione, in particolare nel caso di trasferimenti verso Paesi terzi, come parte della valutazione del rischio e delle considerazioni, e ciò deve essere documentato.

 

 

Posso continuare a utilizzare i vecchi SCC?

Se siete attualmente in trattativa contrattuale e la rinegoziazione del nuovo SCC comporterebbe dei ritardi, potete ancora utilizzare il vecchio SCC fino al 27 settembre 2021. Tuttavia, questi dovranno essere sostituiti dai nuovi SCC entro il 27 dicembre 2022.

A partire dal 27 settembre 2021, i nuovi SCC dovranno essere utilizzati senza eccezioni.

 

 

Per quanto tempo posso utilizzare i vecchi SCC?

 

Le nuove clausole contrattuali standard dovranno essere prese in considerazione per tutti i nuovi contratti stipulati a partire dal 27 settembre 2021. Fino ad allora si potranno ancora utilizzare le vecchie SCC, che dovranno però essere sostituite dalle nuove SCC entro il 27 dicembre 2022.

 

Ho un contratto con i vecchi SCC. Devo sostituirli con i nuovi SCC?

 

Sì, i precedenti SCC devono essere sostituiti dai nuovi SCC entro il 27 dicembre 2022. Se il contratto termina prima di questa data, la sostituzione non è quindi obbligatoria.
In caso di modifiche rilevanti al contratto, l'esportatore di dati deve avvalersi immediatamente dell'opzione e sostituire gli SCC esistenti con quelli nuovi. Ad esempio, quando si subappaltano le operazioni di trattamento oggetto del contratto a un subappaltatore/incaricato.

 

 

Quando devo sostituire i vecchi SCC con quelli nuovi?

 

Per i contratti esistenti, la sostituzione deve avvenire entro 18 mesi, ovvero entro il 27 dicembre 2022. Se il contratto o il trattamento corrispondente termina prima, la sostituzione non è obbligatoria.

 

 

Cosa devo fare se il mio partner contrattuale non vuole aggiornare l'SCC?

 

In particolare, se la collaborazione e il relativo scambio di dati con il partner contrattuale devono proseguire oltre il 27 dicembre 2022, il partner contrattuale deve essere informato dei rischi legali (cfr. punto 3.9) e devono essere chieste le ragioni specifiche del rifiuto.

Dopo 25 anni di buon servizio, i vecchi SCC non sono più aggiornati e sono a malapena in grado di soddisfare le varie costellazioni contrattuali in un formato e in un'individualità attuali. I nuovi SCC sono più adatti alle sfide attuali e supportano i partner contrattuali nell'organizzazione conforme alla protezione dei dati dei trasferimenti da paesi terzi. L'aggiornamento del CP sarebbe quindi nell'interesse di entrambe le parti.

Se il partner contrattuale rifiuta, è opportuno rivalutare la prosecuzione del rapporto contrattuale, tenendo conto dei rischi aggiuntivi per la vostra azienda.

 

 

Con chi devono essere stipulate le SCC?

 

Nel momento in cui deve avvenire un trasferimento di dati verso un paese al di fuori dell'UE/SEE, le nuove SCC devono essere concluse tra le rispettive parti.

I nuovi SCC prevedono quattro diverse costellazioni di elaborazione (moduli), che devono essere selezionate di conseguenza negli SCC:

  • Modulo uno Da controllore a controllore C2C
    Trasferimento da un responsabile del trattamento (nell'UE) a un altro responsabile del trattamento (in un paese terzo)
  • Modulo due Da controllore a processore C2P
    Trasferimento dal responsabile del trattamento (nell'UE) all'incaricato del trattamento (nel paese terzo)
  • Modulo tre Processore P2P a processore
    Trasferimento da un incaricato del trattamento (nell'UE) a un altro (sub)incaricato del trattamento (in un paese terzo)
  • Modulo 4 Da processore a controllore P2C
    Trasferimento da un incaricato del trattamento (nell'UE) al responsabile del trattamento (nel paese terzo)

Posso modificare o eliminare le clausole dell'SCC?

 

I nuovi SCC hanno una struttura modulare e devono essere personalizzati individualmente nell'ambito dei moduli disponibili.

Ad eccezione della selezione del modulo o dei moduli pertinenti o dell'aggiunta o dell'aggiornamento delle informazioni nell'allegato, non è possibile apportare ulteriori modifiche o cancellazioni.

Tuttavia, le clausole contrattuali standard possono essere incluse in un contratto più completo (ad esempio come allegato). È inoltre possibile aggiungere altre clausole o garanzie supplementari, a condizione che non siano direttamente o indirettamente in contrasto con le altre disposizioni del CP o che non limitino i diritti o le libertà fondamentali degli interessati, come ad esempio i diritti degli interessati (artt. 15-22 e segg. GDPR).

 

 

In quale lingua devo utilizzare il nuovo SCC?

 

La nuova versione dell'SCC è disponibile all'indirizzo https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=en è disponibile in tutte le lingue europee e può essere utilizzato di conseguenza. Si consiglia di utilizzare la versione linguistica che si usa prevalentemente nelle comunicazioni con il rispettivo partner contrattuale o la lingua in cui sono stati creati gli altri documenti contrattuali.

Se desiderate utilizzare due versioni linguistiche in parallelo (ad esempio, l'inglese per il vostro partner contrattuale nel Regno Unito e il tedesco per la vostra copia), è opportuno stabilire quale dei due documenti avrà la precedenza nelle discussioni sull'interpretazione.

 

 

Devo consegnare i nuovi SCC alle persone interessate?

 

Come in precedenza, l'art. 13(1)(f) del GDPR richiede che all'interessato sia fornito "un riferimento alle garanzie appropriate o idonee e alle modalità per ottenerne una copia o per sapere dove sono disponibili". Ad esempio:

Nei casi in cui i dati vengono trasferiti al di fuori dell'UE, abbiamo stipulato le relative clausole contrattuali standard dell'UE. È possibile richiedere una copia di tali clausole inviando un'e-mail a SCC-Kopie@unternehmen.de o trovarle sul nostro sito web all'indirizzo www.unternehmen.de/scc.

 

 

Posso ora utilizzare il nuovo SCC per trasferire dati personali in paesi terzi come gli USA senza ulteriori misure? Posso fare a meno di ulteriori misure di protezione?

 

No. Nell'ambito di una valutazione obbligatoria del rischio, deve essere valutata la situazione della protezione dei dati nel Paese destinatario e su questa base devono essere definite misure di protezione adeguate, altrimenti il trattamento dei dati non può essere effettuato in linea di principio, anche secondo il parere del presidente della Conferenza sulla protezione dei dati.

 

 

A quali rischi va incontro la mia azienda se non utilizzo l'SCC o se lo utilizzo in modo non corretto?

 

Oltre al rischio di diffide da parte di gruppi di interesse e concorrenti (diritto della concorrenza) e di danni alla reputazione in caso di copertura mediatica di un trattamento dei dati non conforme, esiste un rischio particolare di sanzioni da parte dell'autorità di controllo della protezione dei dati competente.

Le opzioni di sanzione (art. 58 GDPR) includono

  • la possibilità di effettuare indagini sotto forma di audit sulla protezione dei dati,
  • per lanciare un avvertimento,
  • per ordinare al responsabile del trattamento di rendere le operazioni di trattamento conformi ai requisiti di legge in un modo specifico ed entro un determinato periodo di tempo, ove applicabile,
  • ordinare la sospensione del trasferimento dei dati a un destinatario in un paese terzo o a un'organizzazione internazionale,
  • imporre una restrizione temporanea o definitiva al trattamento, compreso il divieto, e/o
  • imporre una multa fino a 20.000.000 di euro o, nel caso di una società o di un gruppo di società, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, a seconda di quale sia il valore più alto, per le violazioni delle disposizioni relative al trasferimento di dati personali a un destinatario in un paese terzo o a un'organizzazione internazionale (articoli da 44 a 49 del GDPR).

Nella scelta della sanzione, l'autorità di vigilanza terrà certamente conto anche del fatto che ci si è sforzati di utilizzare correttamente il CSP o che si è rinunciato del tutto al CSP nonostante un'ovvia necessità.

Tag:
Condividi questo post :
it_ITItalian