Le standard contractual clauses[1] (SCC)  sul trasferimento dati personali extra EU, sottoposte dalla Commissione Europea a consultazione pubblica dal 12 novembre al 10 dicembre 2020, purtroppo ben rappresentano il livello di confusione, complessità e contraddittorietà delle attuali normative in materia di privacy, che contrariamente ai propositi della Commissione, potrebbero avere come principali effetti quelli di scoraggiare le realtà imprenditoriali, sia europee che extra europee, dall’operare in accordo a tale norme, e di aumentare il livello di sfiducia dei cittadini nei riguardi di ciò che sulla carta è propagandato a tutela dei loro diritti e libertà fondamentali.

Certamente non ha giovato alle problematiche di trasferimento di dati personali extra EU la decisione della Corte di Giustizia Europea del 16 luglio 2020 che[2] non solo ha invalidato il Privacy Shield ma, di fatto, ha creato uno sconfortante clima di incertezza sull’effettiva applicabilità delle attuali SCC (in particolare quelle da esportatore Titolare ad importatore Responsabile – Decisione 2010/87/EU) richiedendo in ultima analisi a queste realtà imprenditoriali di svolgere analisi e valutare se un paese terzo rispetto la UE abbia in vigore leggi che rispettano l’essenza dei diritti e delle libertà fondamentali e non eccedono quanto è necessario e proporzionato in una società democratica.

Le conseguenti reazioni, spesso in ordine sparso, dei vari Garanti privacy europei nonostante quanto in materia pubblicato dall’EDPB, incluse le ultime arrivate: le recentissime Recommendations 02/2020 on the European Essential Guarantees for surveillance measures adopted on 10 November 2020[3] del EDPB, non fanno ben presagire se le nuove SCC andranno in onda così come sono, inclusi i diversi riferimenti al consultare/comunicare…riferiti alle Autorità di protezione dati personali nazionali (Autorità) di volta in volta competente per un caso di trasferimento di dati all’estero.

Auspicabile, ovviamente, che la consultazione pubblica possa recepire le critiche costruttive, le considerazioni, le proposte che certamente non tarderanno ad arrivare alla Commissione, perché la voce delle varie realtà imprenditoriali e degli esperti del settore che risponderanno alla consultazione, saranno espressione, ancora una volta, delle reali difficoltà nell’operare, che non possono sempre essere tacciate di insofferenza delle aziende verso un qualunque obbligo imposto dalle leggi specie in ambito privacy.

Qui di seguito alcuni dei possibili spunti di riflessione sul testo delle nuove SCC sottoposte a consultazione.

 

Zero attenzione verso le SME

Prima di tutto ed ancora una volta, nonostante il proposito più volte espresso nel Reg. EU 2016/679 (GDPR) di tenere conto delle esigenze delle piccole e medie imprese[4], queste SCC richiedono capacità, impegni e responsabilità che, e non è sempre detto, possono di fatto avere solo le grandi imprese, dotate di capacità economiche e competenze specifiche, indispensabili per poter interpretare ed applicare nel concreto e nel continuo quanto previsto dalle SCC. Si prenda ad esempio quanto riportato nella Sezione II OBLIGATIONS OF THE PARTIES ‘Clause 2 Local laws affecting compliance with the Clauses’ laddove si richiede alle Parti di garantire di ‘… non avere motivo di ritenere che le leggi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore di dati, inclusi eventuali requisiti di divulgazione dei dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscano i dati importatore dall’adempimento dei propri obblighi ai sensi delle presenti clausole.’ e di fornire tali garanzie tenendo ‘…in debito conto in particolare i seguenti elementi: i) le circostanze specifiche del trasferimento, compreso il contenuto e la durata del contratto; l’entità e la regolarità dei trasferimenti; la lunghezza della catena di elaborazione, il numero di attori coinvolti e i canali di trasmissione utilizzati; il tipo di destinatario; lo scopo del trattamento; la natura dei dati personali trasferiti; qualsiasi esperienza pratica pertinente con casi precedenti o l’assenza di richieste di divulgazione da parte delle autorità pubbliche ricevute dall’importatore di dati per il tipo di dati trasferiti; (ii) le leggi del paese terzo di destinazione pertinenti alla luce delle circostanze del trasferimento, comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o l’autorizzazione all’accesso da parte di tali autorità, nonché le limitazioni e le garanzie applicabili; (iii) eventuali garanzie aggiuntive rispetto a quelle previste dalle presenti Clausole, comprese le misure tecniche e organizzative applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.’

E’ forse il caso di ricordare che tale complesso di valutazioni può di volta in volta fornire risultati diversi a parità di condizioni (stesso paese estero, stesso contesto di trasferimento, …) a seconda della profondità, completezza e disponibilità di risorse nel condurre le analisi, ferma restando una ‘soggettività’ di vedute che non si può mai escludere. E cosa accadrà se, a giudizio di una Autorità o di una associazione no profit che opera ai sensi del GDPR Art 80(1), l’esito della valutazione verrà considerato errato?

Da ricordare poi che la Commissione nel condurre analoghe analisi allo scopo di concedere a certi Paesi Terzi le utilissime ‘Adequacy Decision’ ai sensi del GDPR Art 45, impiega a volte molti anni: come può un’azienda svolgere in tempo utile per il proprio business, e magari in un quadro complesso di concorrenza, simili valutazioni.

Forse sarebbe utile pensare meccanismi che vedano protagoniste le Autorità/enti controllati dalle Autorità stesse che forniscano elementi valutativi oggettivi vincolanti, che liberino le imprese dalla responsabilità di porre in essere simili complesse analisi, soprattutto per le SME.

 

Ruoli privacy considerati: tra le varie… ed i Contitolari?

Le nuove SCC prendono in esame ben 4 tipologie di relazioni: 1) Titolare->Titolare, 2) Titolare -> Responsabile, 3) Responsabile -> (Sub) Responsabile e 4) Responsabile->Titolare.  Di certo, per quanto riguarda le relazioni 2) e 3), si deve certamente apprezzare l’approccio seguito nel considerare le SCC comprensive anche dell’accordo che deve essere posto in essere ai sensi del GDPR Art 28: è stato ed è tutt’ora infatti inutilmente dispersivo e operativamente complesso avere separati accordi, uno per il contratto con il ruolo Responsabile e l’altro per il trasferimento di dati all’estero. In tale contesto è però assolutamente imperativo che le nuove SCC incorporino tutti gli obblighi previsti in GDPR Art 28(3): non facile nell’attuale testo ritrovare l’obbligo del Responsabile di supportare il Titolare riguardo le misure di sicurezza commensurate ai rischi (Art 32) e Valutazione di Impatto (Artt 35 e 36).

Si evidenzia però, in termini di completa rappresentazione di tutte le possibili relazioni tra ruoli privacy anche in contesto di trasferimento di dati all’estero, la mancanza di una seppur minima menzione al caso dei Contitolari, che difficilmente su può considerare coperto dall’attuale caso 1): il rapporto tra Contitolari è ben più stretto, se non altro per quanto riguarda le responsabilità e gli impegni a loro richiesti quando l’interessato esercita i suoi diritti privacy ‘..nei confronti e contro ciascun contitolare’. Anche un riferimento all’accordo ex GDPR Art 26(1) dovrebbe essere presente, seppur in modo più conciso rispetto a quanto presente nelle nuove SCC per l’accordo ex GDPR Art 28 per i Responsabili.

 

Converrà ancora ricorrere alle BCR per i gruppi internazionali?

Le nuove SCC sono pensate per essere siglate da più Parti, e nulla vieta che queste siano tutte interne ad un Gruppo internazionale. Inoltre sono già predisposte per contemplare più tipologie di relazioni privacy, inclusi i termini per l’accordo ex GDPR Art 28, (vedasi punto precedente) ed appendici per documentare i trattamenti-trasferimenti in oggetto e le classi di misure di sicurezza a protezione dei dati. Probabilmente con non moltissimi apporti aggiuntivi, l’impalcatura contrattuale derivante potrebbe essere presa in considerazione da Gruppi internazionali per disciplinare al proprio interno (…e non solo) i ruoli privacy e gli obblighi da osservare per i trasferimenti dati personali intragruppo tra legal entity europee ed extra-europee: per definizione sarebbero presenti tutte le caratteristiche che concorrono a tutelare i diritti e le libertà fondamentali degli interessati in relazione al trattamento dei loro dati personali. Tenendo presente la complessità e durata (e costi) dell’attuale iter da seguire per veder approvate e poter cominciare ad utilizzare le BCR -Norme vincolanti di impresa ai sensi del GDPR Art 47, un Gruppo internazionale potrebbe essere almeno tentato di analizzare il trad-off tra le due possibili soluzioni: BCR vs le nuove SCC opportunamente integrate.

 

Obblighi di notifica di Violazione dati personali quando l’Importatore è Titolare: davvero si può pretendere? E a cosa serve?

Nella ‘Clause 1 Data protection safeguards’ -modulo relativo alla relazione Titolare ->Titolare, al punto 1.5 dedicato alla sicurezza nel trattamento è riportato che ‘…Se è probabile che una violazione dei dati comporti effetti negativi significativi, l’importatore di dati lo notifica senza indebito ritardo sia all’esportatore di dati sia all’autorità di controllo competente…’. Non è facile capire quale possa essere il razionale di una simile previsione, invece ben chiaro nel contesto della relazione Titolare->Responsabile ai sensi del GDPR Art 28(2), quando il trattamento dei dati è fatto per conto del Titolare. Nel caso di Importatore Titolare, evidentemente, il trattamento è svolto da questi per proprie finalità e determinando i mezzi del trattamento: una volta che i dati sono stati trasferiti ed è iniziato il trattamento da parte dell’Importatore cosa mai puoi fare e per quale motivo deve essere coinvolto il Titolare Esportatore quando presso l’Importatore Titolare avviene una violazione dati personali? Per gli stessi motivi sfugge il coinvolgimento anche dell’Autorità competente nei riguardi dell’Esportatore. Teniamo inoltre presente che la legge vigente presso il paese estero di stabilimento per il Titolare Importatore potrebbe già prevedere obblighi di notifica alle autorità nazionali per incidenti di sicurezza, dunque in tali casi sarebbe ulteriormente incomprensibile l’obbligo di notificare in Europa sia all’Esportatore che all’Autorità europea competente. Sarebbe dunque raccomandabile eliminare una simile previsione, salvo che non vengano chiarite dalla Commissione quali ulteriori reali e concrete tutele potrebbero derivarne per gli Interessati.

 

Esportatore estero soggetto al GDPR: cosa farne delle SCC

La ‘Clause 9 Supervision’ di pagina 22 fa nascere l’attenzione su un contesto particolare, ossia quando ‘…esportatore di dati non è stabilito in uno Stato membro, ma rientra nell’ambito di applicazione territoriale del GDPR ai sensi dell’articolo 3, paragrafo 2’. Ora, se da una parte è vero che un tale soggetto debba operare in conformità al GDPR, la sua condizione che lo porta ad essere, in casi particolari, un Esportatore dovrebbe essere analizzata ed affrontata in modo più specifico e puntuale in riferimento alla realtà operativa. Facciamo un esempio: il gestore di un sito web estero che offre beni e servizi anche a persone fisiche che si trovano nella Unione Europea, se si avvale di fornitori di servizi che si trovano nel suo stesso paese e che in funzione di tali servizi trattano dati personali, dovrà davvero allegare al contratto di servizi con essi le SCC stabilite dalla UE?

 

Gloria Marcoccio, Luciano Delli Veneri

 

[1] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries

[2] https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf

[3] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_en.pdf

[4] Vedasi ad esempio GDPR considerando (13) “…le istituzioni e gli organi dell’Unione e gli Stati membri e le loro autorità di controllo sono invitati a considerare le esigenze specifiche delle micro, piccole e medie imprese nell’applicare il presente regolamento.”