Lo avevamo annunciato questo articolo sulle Standard Contractual Clauses reloaded ed eccoci qui. Il 4 giugno scorso la Commissione Europea ha rilasciato (oserei dire finalmente) le nuove SCC con decisione di esecuzione 2021/914.
Un processo lungo (troppo) favorito più dalla sentenza C-311/18 Schrems II che dalla effettiva necessità di riformare un documento importante per il trasferimento all’estero didati personali e rimasto fermo alla direttiva 95/46/CE. Le nuove SCC sono in ritardo di molti mesi, troppi.
La nuova struttura
Sono costituite da una struttura modulare, cioè sono organizzate secondo quattro moduli a seconda dei ruoli dell’esportatore e dell’importatore. Questi hanno varie combinazioni possibili
- Modulo1: esportatore Titolare, importatore Titolare;
- Modulo2: esportatore Titolare, importatore Responsabile;
- Modulo3: esportatore Responsabile, importatore Responsabile;
- Modulo4: esportatoreResponsabile, importatore Titolare;
Di fatto le SCC devono essere concepite in quattro versioni differenti, con alcuni punti in comune ma con una logica che deve sempre tenere in considerazione i ruoli.
All’interno di questi moduli troveremo dei diretti richiami ad articoli specifici del GDPR a seconda del contesto, del tema che la clausola sta trattando. Le clausole in tutto sono 18, cui va aggiunta un’Appendice e 3 Allegati.
Gli Allegati
Affrontano il dettaglio dei protagonisti del trasferimento dei dati.
Nell’Allegato I si richiede di inserire le anagrafiche dei due attori, importatore ed esportatore, quindi la descrizione del trasferimento: categorie di soggetti interessati, categorie dei dati traferii, quali dati appartenenti a categorie particolari vengono trasferiti, frequenza del trasferimento (attenzione qui ai furbetti dell’articolo 49!), natura del trattamento, finalità del trasferimento, periodo di conservazione, materia disciplinata. Infine, si richiede di specificare quale sia l’autorità di controllo competente (quindi nel caso italiano il Garante per la protezione dei dati personali italiano).
L’Allegato II è quello che ha il compito di descrivere nel dettaglio le misure tecnico organizzative poste in essere dall’importatore e attenzione che non si scappa perché il documento dice chiaramente “Le misure tecniche e organizzative devono essere descritte in termini specifici (e non generici)”. Lo dico perché mi è già capitato con un’azienda britannica che questo dettaglio non venisse reso noto. Qui va fatto un plauso a chi ha scritto questi documenti perché fanno esempi molto chiari che possono essere ripresi in qualsiasi momento quando si compila questo allegato.
Infine, l’Allegato III richiede un elenco dei sub-responsabili cui viene passato eventualmente il dato personale da parte dell’importatore. Sui sub responsabili le nuove SCC spendono non poche parole e giustamente perché specie nel caso di grosse aziende si fa presto a non capire più niente su chi altri finisca per ricevere questi dati.
Le criticità
Sono gli allegati. Inutile girarci attorno, come lo erano con le vecchie Clausole del resto. Ma perché?
Presto detto, nessuna azienda importatrice (o quasi, io fino ad ora ne ho incrociata una sola), rende le sue SCC compilate (quindi gli allegati) visibili. Tutte mettono un link alle SCC da compilare. Come a dire che non le mettono a disposizione (sebbene sia espressamente richiesto).
In sostanza, se io posiziono sulla mia pagina relativa alle informazioni privacy un link alle SCC vuote è come se non le avessi. Devo mettere a disposizione del pubblico le SCC complete con le informazioni richieste dagli allegati. Altrimenti io soggetto interessato come posso rendermi conto se il trasferimento avviene in sicurezza e se i dati sono trattati per finalità che approvo per il tempo necessario, ecc? Come posso eventualmente avere tutti i parametri per potermi opporre al trasferimento?
Su questo aspetto nessuno ha mai posto l’accento, io lo trovo a dir poco grave. Ritengo che una pronuncia da parte delle autorità in tale direzione potrebbe essere molto importante e chiarificatrice.
Tempistiche
Dolenti note! C’è tempo per aggiornare le vecchie clausola (diciotto mesi), ma attenzione! Se state per la prima volta imbastendo una SCC dovrete usare le nuovo e non le vecchie da subito. Quindi attenzione…
