Comprendere le Clausole Contrattuali Standard (SCC) per la Conformità al GDPR

Le Clausole Contrattuali Standard (SCC) sono clausole redatte dalla Commissione Europea per aiutare a garantire la conformità al GDPR quando si trasferiscono dati personali al di fuori dello Spazio Economico Europeo (SEE).

Questo articolo spiega come funzionano le SCC, quando e come utilizzarle, e come implementare e monitorare le SCC della vostra organizzazione in modo conforme al GDPR.

Cosa sono le Clausole Contrattuali Standard (SCC)?

Gli standard di protezione dei dati del GDPR sono tra i più rigorosi al mondo. Tuttavia, i dati sono fluidi e Internet trascende i confini nazionali e le giurisdizioni legali.

Il GDPR non richiede che i dati personali siano conservati esclusivamente nell'UE. I “trasferimenti internazionali di dati” sono molto comuni. Ma devono essere conformi al Capitolo V del GDPR.

Il Capitolo V del GDPR fornisce diversi modi per effettuare un trasferimento internazionale di dati:

1. Se il paese di destinazione ha una “decisione di adeguatezza” della Commissione Europea (Articolo 45). La Commissione Europea mantiene un elenco di paesi con standard di protezione dei dati “adeguati”. Non è necessario utilizzare le SCC o altre misure di salvaguardia quando si trasferiscono dati personali a un “paese adeguato”.
2. Se si utilizza uno dei “meccanismi di trasferimento” del GDPR (Articolo 46), incluse le SCC.
3. Se si applica una “deroga” (eccezione) (Articolo 49), ad esempio se l'interessato ha esplicitamente acconsentito al trasferimento o se il trasferimento è necessario per proteggere la vita o la salute di qualcuno. Le deroghe devono essere utilizzate solo in situazioni eccezionali.

Le SCC sono uno dei “meccanismi di trasferimento” previsti dall'Articolo 46 del GDPR (punto 2, sopra), e sono il modo più comune per effettuare un trasferimento internazionale di dati verso organizzazioni in paesi senza una decisione di adeguatezza.

Un contratto contenente SCC vincola l'“importatore” di dati (situato al di fuori del SEE) ai principi, diritti e obblighi del GDPR. In altre parole, l'importatore sarà legalmente obbligato a rispettare gli standard dell'UE quando elabora i dati personali che importa dal SEE.

Componenti Chiave delle SCC Modernizzate

L'ultimo set di SCC dell'UE appare nella Decisione di Esecuzione (UE) 2021/914 della Commissione. Ecco una rapida panoramica della legislazione in modo da sapere a cosa state aderendo prima di implementare le SCC.

Sezione I: Disposizioni Introduttive Generali

Le clausole della Sezione 1 introducono le SCC, spiegando aspetti chiave come:

• Il loro scopo (garantire la conformità al GDPR)
• Le parti del trasferimento (l'esportatore e l'importatore di dati)
• Beneficiari terzi del contratto (gli interessati, che possono far valere le SCC contro le parti)

La Sezione 1 include anche una “clausola di adesione” opzionale (Clausola 7), che consente a nuove parti di aderire al contratto dopo che è stato firmato.

Sezione II: Obblighi delle Parti

La Sezione II stabilisce i requisiti per l'esportatore e (più significativamente) per l'importatore in relazione ai dati personali trasferiti.

Le SCC impongono i seguenti obblighi, tra gli altri:

• Minimizzazione dei dati: Entrambe le parti devono garantire che i dati personali elaborati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono elaborati.
• Trasparenza: Gli esportatori di dati devono fornire informazioni chiare e complete sul trasferimento, comprese le sue finalità, le categorie di dati personali coinvolti e come gli interessati possono esercitare i loro diritti.
• Sicurezza dei dati: Entrambe le parti devono implementare misure tecniche e organizzative appropriate per proteggere i dati personali contro la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso.
• Sub-responsabili: Gli importatori di dati devono ottenere un'autorizzazione scritta specifica o generale dall'esportatore di dati prima di coinvolgere qualsiasi sub-responsabile. Inoltre, i sub-responsabili devono essere vincolati dagli stessi obblighi di protezione dei dati previsti nelle SCC.
• Diritti degli interessati: Le parti devono collaborare per sostenere i diritti degli interessati.

Questa sezione delle SCC è “modulare”: Non tutte le clausole sono rilevanti per ogni scenario di trasferimento, e solo le clausole pertinenti faranno parte del contratto. Esamineremo la natura modulare delle SCC di seguito.

Sezione III: Leggi Locali e Accesso da Parte delle Autorità Pubbliche

Un motivo importante per le SCC è proteggere i dati personali dall'accesso da parte delle autorità pubbliche non-SEE (come le forze dell'ordine e le agenzie di intelligence).

Firmando le SCC, le parti garantiscono di non avere motivo di credere che le autorità pubbliche nel paese dell'importatore le costringeranno a violare le SCC.

Ad esempio, le SCC possono vietare all'importatore di dare accesso alla polizia locale ai dati personali senza un mandato. In alcuni paesi, l'importatore può rifiutare tale ordine. In altri, rifiutare tale ordine potrebbe essere legalmente o praticamente impossibile.

Prima di firmare le SCC e garantire che tale scenario non si verificherà, le parti devono considerare:

• Le circostanze specifiche del trasferimento (ad esempio, quali tipi di dati sono coinvolti e quali tecnologie vengono utilizzate per condividere i dati).
• Le leggi e le pratiche del paese terzo (ad esempio, leggi che consentono alle autorità pubbliche di intercettare i dati e se le autorità pubbliche rispettano tali leggi nella realtà).
• Le “misure contrattuali, tecniche e organizzative” messe in atto per impedire alle autorità pubbliche di accedere ai dati.

Il processo per considerare questi fattori è noto come “Valutazione dell'Impatto del Trasferimento” (TIA). Secondo il Comitato Europeo per la Protezione dei Dati (EDPB), gli esportatori e gli importatori dovrebbero condurre una TIA prima di fare affidamento sulle SCC per garantire che proteggano efficacemente i dati personali in questione. 

Forniremo alcune risorse sulle TIA verso la fine di questo articolo.

La Sezione III delle SCC richiede anche all'importatore di notificare l'esportatore di dati se un'autorità pubblica richiede l'accesso ai dati e di contestare qualsiasi richiesta che violerebbe le SCC, ove appropriato.

Sezione IV: Non Conformità, Risoluzione e Legge Applicabile

La Sezione IV delle SCC spiega cosa accade se una delle parti viola le SCC o se l'importatore scopre di non poter adempiere ai propri obblighi ai sensi delle SCC. L'esportatore di dati può risolvere il contratto anticipatamente se l'importatore non rispetta un ordine da parte di un'autorità di regolamentazione con sede nel SEE.

Questa sezione consente anche alle parti di concordare quale legge del paese governerà l'interpretazione delle SCC e gestirà eventuali controversie legali derivanti dal trasferimento.

Comprendere i Quattro Moduli delle SCC

Come notato, le SCC sono “modulari”. Ciò significa che alcuni trasferimenti sono coperti da alcune parti delle SCC ma non da altre.

Ci sono quattro moduli SCC che coprono quattro scenari distinti, a seconda di quale parte è un titolare del trattamento e quale è un responsabile del trattamento. Ecco alcuni esempi di quando ciascun modulo è appropriato.

Modulo 1: Titolare del Trattamento a Titolare del Trattamento (C2C)

Il Modulo 1 è per i trasferimenti da un titolare del trattamento a un altro titolare del trattamento. Ad esempio:

• Esportatore: Consulenza tedesca
• Importatore: Società di ricerche di mercato statunitense

Una consulenza tedesca raccoglie il feedback dei suoi clienti tramite sondaggi e analizza i dati per i propri scopi. 

Dove ha il consenso dei suoi utenti, la società tedesca condivide i dati con una società di ricerche di mercato statunitense, che utilizza i dati per i propri scopi.

Entrambe le società sono titolari del trattamento e utilizzano le SCC del Modulo 1 per facilitare il trasferimento dei dati.

Modulo 2: Titolare del Trattamento a Responsabile del Trattamento (C2P)

Il Modulo 2 si applica quando un titolare del trattamento trasferisce dati a un responsabile del trattamento. Ad esempio:

• Esportatore: Rivenditore polacco
• Importatore: Società di analisi brasiliana

Un rivenditore polacco vuole analizzare l'attività degli utenti sul suo sito web. Il rivenditore coinvolge un fornitore di analisi brasiliano per analizzare i dati per suo conto.

Il rivenditore polacco è un titolare del trattamento e la società di analisi brasiliana è un responsabile del trattamento. Le società utilizzano le SCC del Modulo 2 per facilitare il trasferimento dei dati.

Modulo 3: Responsabile del Trattamento a Responsabile del Trattamento (P2P)

Il Modulo 3 si applica quando un responsabile del trattamento trasferisce dati a un altro responsabile del trattamento (o a un sub-responsabile). Ad esempio:

• Esportatore: Società di email marketing spagnola
• Importatore: Fornitore di sicurezza dei dati sudafricano

Una società di email marketing spagnola gestisce liste di email per conto dei suoi clienti. La società spagnola coinvolge un fornitore di sicurezza dei dati sudafricano per proteggere le liste di email da incidenti di sicurezza informatica.

La società di email marketing spagnola è un responsabile del trattamento, e il fornitore di sicurezza dei dati sudafricano è il suo sub-responsabile. Le società utilizzano le SCC del Modulo 3 per facilitare il trasferimento dei dati.

Modulo 4: Responsabile del Trattamento a Titolare del Trattamento (P2C)

Il Modulo 4 copre uno scenario leggermente oscuro: Un responsabile del trattamento con sede nel SEE ottiene dati personali da un titolare del trattamento non-SEE e restituisce i dati personali al titolare del trattamento. Ad esempio:

• Esportatore: Fornitore di analisi dei dati italiano
• Importatore: Rivenditore egiziano

Un fornitore di analisi dei dati italiano è coinvolto da un rivenditore egiziano per analizzare il comportamento degli acquirenti nel suo negozio online. Il rivenditore egiziano esporta dati personali alla società italiana per l'analisi. 

Il rivenditore egiziano è un titolare del trattamento. Il fornitore di analisi italiano è un responsabile del trattamento, ma è comunque soggetto al GDPR, quindi deve rispettare il Capitolo V del GDPR quando trasferisce i dati personali analizzati al rivenditore egiziano. Le società utilizzano le SCC del Modulo 4 per facilitare il trasferimento.

Nota: Sebbene la versione del GDPR del Regno Unito sia praticamente identica a quella dell'UE, l'autorità di regolamentazione del Regno Unito non riconosce questo scenario come un trasferimento internazionale di dati. Solo i soggetti al GDPR dell'UE devono utilizzare le SCC in questo scenario. Leggi di più nel nostro articolo su Accordi di Trasferimento Internazionale di Dati del Regno Unito (IDTAs).

Come Implementare le Clausole Contrattuali Standard (SCC)

Abbiamo esaminato cosa sono le SCC e come funzionano. Ora, ecco alcuni consigli per aiutarvi a mettere in atto le SCC.

Identificare e mappare i trasferimenti di dati

Prima di implementare le SCC, è necessario identificare se si sta effettuando un trasferimento internazionale di dati e mappare le destinazioni dei dati personali (incluso se l'importatore effettuerà “trasferimenti successivi” a un altro paese terzo).

Come notato, un trasferimento internazionale di dati richiede due parti: un esportatore (con sede nel SEE e soggetto al GDPR) e un importatore (al di fuori del SEE). 

Dovreste mantenere una mappa completa di ogni trasferimento internazionale di dati rilevante per la vostra organizzazione.

Valutare se le SCC sono efficaci

Questa parte del processo di trasferimento internazionale di dati è probabilmente la più impegnativa ed è conosciuta come “Valutazione dell'Impatto del Trasferimento” (TIA).

Una TIA è richiesta prima di effettuare un trasferimento internazionale di dati perché le SCC sono solo un contratto—non sempre impediscono alle autorità non-SEE di richiedere