Comprensione delle clausole contrattuali standard (SCC) per la conformità al GDPR

Le clausole contrattuali standard (SCC) sono clausole redatte dalla Commissione Europea per contribuire a garantire la conformità al GDPR quando si trasferiscono dati personali al di fuori dello Spazio economico europeo (SEE) .

Questo articolo spiega come funzionano gli SCC , quando e come utilizzarli e come implementare e monitorare gli SCC della tua organizzazione in modo conforme al GDPR.

Cosa sono le clausole contrattuali standard (SCC)?

Gli standard di protezione dei dati del GDPR sono tra i più rigorosi al mondo. Tuttavia, i dati sono fluidi e Internet trascende i confini nazionali e le giurisdizioni legali.

Il GDPR non richiede che i dati personali siano archiviati esclusivamente nell'UE. I " trasferimenti internazionali di dati" sono molto comuni . Ma devono essere conformi al Capitolo V del GDPR .

Il capitolo V del GDPR prevede diverse modalità per effettuare un trasferimento internazionale di dati:

1. Se il paese di destinazione ha una " decisione di adeguatezza " della Commissione Europea (Articolo 45). La Commissione Europea mantiene un elenco di paesi con standard di protezione dei dati "adeguati". Non è necessario utilizzare SCC o altre misure di salvaguardia quando si trasferiscono dati personali a un "paese adeguato".
2. Se si utilizza uno dei “ meccanismi di trasferimento ” del GDPR (articolo 46), comprese le clausole contrattuali tipo.
3. Se si applica una " deroga " (eccezione) (articolo 49), ad esempio se l'interessato ha acconsentito esplicitamente al trasferimento o se il trasferimento è necessario per proteggere la vita o la salute di qualcuno. Le deroghe devono essere utilizzate solo in situazioni eccezionali.

Le SCC sono uno dei "meccanismi di trasferimento" stabiliti dall'articolo 46 del GDPR (punto 2, sopra) e rappresentano il modo più comune per effettuare un trasferimento internazionale di dati verso organizzazioni in paesi senza una decisione di adeguatezza.

Un contratto contenente SCC vincola l'"importatore" di dati (situato al di fuori dello SEE) ai principi, ai diritti e agli obblighi del GDPR. In altre parole, l'importatore sarà legalmente tenuto a rispettare gli standard dell'UE quando elabora i dati personali che importa dallo SEE.

Componenti chiave degli SCC modernizzati

L'ultima serie di SCC dell'UE è contenuta nella decisione di esecuzione (UE) 2021/914 della Commissione. Ecco un rapido tour della legislazione in modo che tu sappia a cosa ti stai iscrivendo prima di implementare le SCC.

Sezione I: Disposizioni introduttive generali

Le clausole della Sezione 1 introducono le CSC, spiegando aspetti chiave quali:

• Il loro scopo (garantire la conformità al GDPR)
• Le parti del trasferimento (l'esportatore e l'importatore dei dati)
• Terzi beneficiari del contratto (interessati, che possono far valere le SCC nei confronti delle parti)

La sezione 1 include anche una “ clausola di docking ” facoltativa (Clausola 7), che consente a nuove parti di aderire al contratto dopo la sua firma.

Sezione II: Obblighi delle Parti

La Sezione II stabilisce i requisiti per l'esportatore e (più significativamente) per l'importatore in relazione ai dati personali trasferiti.

Le SCC impongono, tra gli altri, i seguenti obblighi:

• Minimizzazione dei dati : entrambe le parti devono garantire che i dati personali trattati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali vengono trattati.
• Trasparenza : gli esportatori di dati devono fornire informazioni chiare e complete sul trasferimento, incluso lo scopo, le categorie di dati personali interessati e le modalità con cui gli interessati possono esercitare i propri diritti.
• Sicurezza dei dati : entrambe le parti devono attuare misure tecniche e organizzative adeguate per proteggere i dati personali da distruzione, perdita, alterazione, divulgazione o accesso non autorizzati, accidentali o illeciti.
• Sub-responsabili : gli importatori di dati devono ottenere preventivamente un'autorizzazione scritta specifica o generale dall'esportatore di dati prima di ingaggiare qualsiasi sub-responsabile. Inoltre, i sub-responsabili devono essere vincolati dagli stessi obblighi di protezione dei dati stipulati nelle SCC.
• Diritti degli interessati : le parti devono collaborare per tutelare i diritti degli interessati.

Questa sezione degli SCC è " modulare ": non tutte le clausole sono rilevanti per ogni scenario di trasferimento e solo le clausole rilevanti faranno parte del contratto. Di seguito esamineremo la natura modulare degli SCC.

Sezione III: Leggi locali e accesso da parte delle autorità pubbliche

Uno dei motivi principali per cui sono stati istituiti gli SCC è proteggere i dati personali dall'accesso da parte di autorità pubbliche esterne allo SEE (come le forze dell'ordine e le agenzie di intelligence).

Sottoscrivendo le SCC, le parti garantiscono di non avere motivo di credere che le autorità pubbliche del paese dell'importatore le costringeranno a violare le SCC .

Ad esempio, le SCC possono vietare all'importatore di dare alle forze di polizia locali accesso ai dati personali senza un mandato. In alcuni paesi, l'importatore può rifiutare tale ordine. In altri, rifiutare tale ordine potrebbe essere legalmente o praticamente impossibile.

Prima di firmare gli SCC e garantire che tale scenario non si verifichi, le parti devono considerare:

• Le circostanze specifiche del trasferimento (ad esempio, quali tipi di dati sono coinvolti e quali tecnologie vengono utilizzate per condividere i dati).
• Le leggi e le pratiche del paese terzo (ad esempio, le leggi che consentono alle autorità pubbliche di intercettare i dati e se le autorità pubbliche rispettano effettivamente tali leggi).
• Le “garanzie contrattuali, tecniche e organizzative” messe in atto per impedire alle autorità pubbliche di accedere ai dati.

Il processo per considerare questi fattori è noto come " Transfer Impact Assessment " (TIA). Secondo l'European Data Protection Board (EDPB), gli esportatori e gli importatori dovrebbero condurre una TIA prima di affidarsi alle SCC per garantire che proteggeranno efficacemente i dati personali in questione. 

Verso la fine di questo articolo forniremo alcune risorse sui TIA.

La Sezione III delle CST impone inoltre all'importatore di dati di notificare all'esportatore di dati se un'autorità pubblica richiede l'accesso ai dati e di contestare, ove opportuno, qualsiasi richiesta che violi le CST.

Sezione IV: Inadempimento, risoluzione e legge applicabile

La Sezione IV delle SCC spiega cosa succede se una delle parti viola le SCC o se l'importatore scopre di non poter adempiere ai propri obblighi ai sensi delle SCC. L'esportatore di dati può recedere anticipatamente dal contratto se l'importatore non rispetta un ordine di un regolatore con sede nello SEE.

Questa sezione consente inoltre alle parti di concordare le leggi del Paese in cui verrà interpretata la Convenzione quadro sulle clausole contrattuali tipo e di gestire eventuali controversie legali derivanti dal trasferimento.

Comprensione dei quattro moduli degli SCC

Come notato, gli SCC sono "modulari" . Ciò significa che alcuni trasferimenti sono coperti da alcune parti degli SCC ma non da altre.

Ci sono quattro moduli SCC che coprono quattro scenari distinti , a seconda di quale parte è un controller e quale un processore. Ecco alcuni esempi di quando ogni modulo è appropriato.

Modulo 1: Da controllore a controllore (C2C)

Il modulo 1 è per i trasferimenti da un controller a un altro controller . Ad esempio:

• Esportatore : consulenza tedesca
• Importatore : società di ricerche di mercato statunitense

Una società di consulenza tedesca raccoglie il feedback dei propri clienti tramite sondaggi e analizza i dati per i propri scopi. 

Laddove i suoi utenti acconsentano, l'azienda tedesca condivide i dati con una società statunitense di ricerche di mercato, che li utilizza per i propri scopi.

Entrambe le società sono titolari del trattamento e utilizzano le SCC del Modulo 1 per facilitare il trasferimento dei dati.

Modulo 2: Dal Titolare al Responsabile del Trattamento (C2P)

Il Modulo 2 si applica quando un controllore trasferisce dati a un processore . Ad esempio:

• Esportatore : rivenditore polacco
• Importatore : società di analisi brasiliana

Un rivenditore polacco vuole analizzare l'attività degli utenti sul suo sito web. Il rivenditore ingaggia un fornitore di analisi brasiliano per analizzare i dati per suo conto.

Il rivenditore polacco è un controller e la società di analisi brasiliana è un processore. Le società utilizzano gli SCC del Modulo 2 per facilitare il trasferimento dei dati.

Modulo 3: Processore a Processore (P2P)

Il modulo 3 si applica quando un processore trasferisce dati a un altro processore (o a un sub-processore). Ad esempio:

• Esportatore : Azienda spagnola di email marketing
• Importatore : fornitore sudafricano di sicurezza dei dati

Un'azienda spagnola di email marketing gestisce elenchi di posta elettronica per conto dei propri clienti. L'azienda spagnola ingaggia un fornitore di sicurezza dati sudafricano per proteggere gli elenchi di posta elettronica da incidenti di sicurezza informatica.

La società spagnola di email marketing è un elaboratore e il fornitore di sicurezza dati sudafricano è il suo sub-elaboratore. Le società utilizzano gli SCC del Modulo 3 per facilitare il trasferimento dei dati.

Modulo 4: Processore al controllore (P2C)

Il modulo 4 copre uno scenario leggermente oscuro: un processore basato nello SEE ottiene dati personali da un controller non basato nello SEE e restituisce i dati personali al controller . Ad esempio:

• Esportatore : Fornitore italiano di analisi dei dati
• Importatore : rivenditore egiziano

Un fornitore italiano di analisi dei dati viene incaricato da un rivenditore egiziano di analizzare il comportamento degli acquirenti nel suo negozio online. Il rivenditore egiziano esporta dati personali all'azienda italiana per l'analisi. 

Il rivenditore egiziano è un controllore. Il fornitore di analisi italiano è un processore, ma è comunque coperto dal GDPR, quindi deve rispettare il Capitolo V del GDPR quando trasferisce i dati personali analizzati al rivenditore egiziano. Le aziende utilizzano le SCC del Modulo 4 per facilitare il trasferimento.

Nota: Sebbene la versione del GDPR del Regno Unito sia praticamente identica a quella dell'UE, l'autorità di regolamentazione del Regno Unito non riconosce questo scenario come un trasferimento internazionale di dati. Solo i soggetti soggetti al GDPR dell'UE devono utilizzare gli SCC in questo scenario. Leggi di più nel nostro articolo sugli Accordi di trasferimento dati internazionali (IDTA) del Regno Unito .

Come implementare le clausole contrattuali standard (SCC)

Abbiamo esaminato cosa sono gli SCC e come funzionano. Ora, ecco alcuni suggerimenti per aiutarti a mettere in atto gli SCC.

Identifica e mappa i tuoi trasferimenti di dati

Prima di implementare gli SCC, è necessario identificare se si sta effettuando un trasferimento internazionale di dati e mappare le destinazioni dei dati personali (incluso se l'importatore effettuerà "trasferimenti successivi" verso un altro paese terzo).

Come accennato, un trasferimento internazionale di dati richiede due parti : un importatore (con sede nello SEE e soggetto al GDPR) e un importatore (al di fuori dello SEE). 

Dovresti tenere una mappa completa di ogni trasferimento internazionale di dati rilevante per la tua organizzazione.

Valutare se gli SCC sono efficaci

Questa parte del processo di trasferimento internazionale dei dati è probabilmente la più impegnativa ed è nota come "Valutazione dell'impatto del trasferimento" (TIA).

È richiesta una TIA prima di effettuare un trasferimento internazionale di dati perché le SCC sono solo un contratto e non sempre impediscono alle autorità non SEE di richiedere o ottenere dati personali e violare i diritti di protezione dei dati delle persone.

Pertanto, l'esportatore (idealmente con l'assistenza dell'importatore) deve valutare le leggi e le pratiche della giurisdizione dell'importatore per garantire che ciò non avvenga in un modo che comprometta i diritti alla protezione dei dati delle persone.

Ad esempio: la legge del paese importatore consente ai servizi segreti di intercettare dati da cavi sottomarini? In caso contrario, i servizi segreti intercettano comunque i dati? Oppure le autorità di polizia possono richiedere dati personali alle aziende senza un'adeguata supervisione giudiziaria?

Adottare misure supplementari

Successivamente, l’esportatore dovrebbe prendere in considerazione l’adozione di “ misure tecniche o organizzative ” per garantire un’efficace protezione dei dati personali trasferiti.

• Una misura tecnica potrebbe comportare la crittografia dei dati personali per garantire che l'importatore non possa divulgarli alle autorità preposte all'applicazione della legge. 
• Una misura organizzativa potrebbe comportare la garanzia che l'importatore disponga di una formazione adeguata sulla protezione dei dati, di politiche o di certificazioni.

Se non sono possibili misure tecniche o organizzative efficaci, potrebbe essere necessario valutare se sia possibile effettuare legalmente il trasferimento internazionale dei dati.

Negoziare e firmare gli SCC

Le SCC fanno parte di un contratto tra l'esportatore e l'importatore : il contratto deve essere concordato e firmato prima che il trasferimento abbia luogo.

Le parti non possono modificare o escludere alcuna delle clausole obbligatorie delle SCC . Tuttavia, alcuni elementi delle SCC sono facoltativi (come la "clausola di attracco") e l'importatore e l'esportatore possono negoziare i controlli di sicurezza o gli aspetti commerciali del trasferimento.

Rivalutare a intervalli appropriati

Come per la maggior parte delle attività di conformità alla protezione dei dati, l'implementazione degli SCC non è un esercizio "una tantum": è necessario rivedere l'accordo di trasferimento internazionale dei dati a "intervalli appropriati" e garantire che gli SCC siano ancora uno strumento efficace per la protezione dei dati.

Se la legge cambia nella giurisdizione dell'importatore, un governo autoritario prende il potere o una nuova tecnologia mina le garanzie tecniche concordate, le SCC potrebbero non essere più efficaci o appropriate. Mantenere le SCC sotto revisione aiuterà a evitare tali eventualità.

Le parti potrebbero formalmente concordare un periodo di revisione , oppure l'esportatore potrebbe decidere di rivedere i suoi SCC regolarmente (ad esempio una volta all'anno). I trasferimenti di dati più rischiosi richiedono una rivalutazione più frequente.

Domande frequenti sulle clausole contrattuali standard

Quali sono le sanzioni per il mancato utilizzo delle SCC per i trasferimenti internazionali di dati?

La mancata implementazione delle SCC può violare le norme del GDPR sul trasferimento internazionale dei dati e comportare il livello più elevato di sanzioni: fino al 4% del fatturato annuo globale o fino a 20 milioni di euro (a seconda di quale sia l'importo più alto).

Nell'agosto 2024, Uber ha ricevuto una multa di 290 milioni di euro dall'Autorità olandese per la protezione dei dati (DPA) dopo aver trasferito dati personali tra le sue entità nell'UE e negli Stati Uniti senza che fossero in atto clausole contrattuali tipo (o qualsiasi altro meccanismo di trasferimento).

Gli SCC possono essere utilizzati per trasferimenti di dati all'interno dello stesso Paese?

Sì, in alcune circostanze. Il considerando 111 fa riferimento alla possibilità di “ trasferimenti successivi di dati personali dal paese terzo … a titolari del trattamento, responsabili del trattamento nello stesso o in un altro paese terzo ”.

Per esempio:

• Un rivenditore francese trasferisce dati personali a un fornitore di analisi brasiliano utilizzando gli SCC.
• Il fornitore di analisi brasiliano desidera condividere i dati con un'azienda brasiliana di email marketing.

Questo accordo potrebbe costituire un “trasferimento successivo” per il quale le SCC potrebbero fornire una tutela adeguata, nonostante il fatto che entrambe le società si trovino in Brasile.

Con quale frequenza gli SCC dovrebbero essere rivisti e aggiornati?

Il GDPR e le linee guida normative circostanti non forniscono un lasso di tempo definitivo per la revisione degli SCC. Come notato, le parti potrebbero concordare un periodo di revisione regolare quando negoziano gli SCC. In genere, i trasferimenti di dati più rischiosi che coinvolgono dati sensibili richiederanno revisioni più frequenti.

Qual è la differenza tra SCC e norme vincolanti d'impresa (BCR)?

Mentre qualsiasi organizzazione soggetta al GDPR può prendere in considerazione l'utilizzo delle SCC per facilitare il trasferimento internazionale di dati, le norme vincolanti d'impresa (BCR) sono utilizzate esclusivamente dalle imprese internazionali che trasferiscono dati personali tra entità giuridiche all'interno di un gruppo aziendale.

Le BCR richiedono inoltre l'approvazione di un'autorità per la protezione dei dati (DPA), un processo che può risultare costoso e richiedere molto tempo.

Pertanto, le BCR sono solitamente adatte alle grandi aziende dotate di risorse adeguate, mentre le organizzazioni di qualsiasi dimensione possono fare affidamento sulle SCC.

Le migliori pratiche per utilizzare efficacemente gli SCC

Per assicurarti di utilizzare gli SCC in modo efficace, segui i passaggi seguenti:

• Conosci i tuoi trasferimenti : assicurati che ogni persona rilevante nel tuo team sappia riconoscere un trasferimento internazionale di dati che richiede l'implementazione di SCC.
• Valuta se gli SCC "funzionano" : prima di implementare gli SCC, assicurati che possano proteggere adeguatamente i dati che stai trasferendo. In caso contrario, prendi in considerazione altre opzioni, tra cui non effettuare il trasferimento.
• Implementare misure supplementari : oltre alle protezioni contrattuali fornite tramite SCC, adottare “misure tecniche e organizzative” per salvaguardare i dati personali.
• Utilizzare i moduli corretti : valutare quale modulo SCC è appropriato alle circostanze e assicurarsi che il contratto includa tutte le clausole necessarie.
• Mantenere gli SCC sotto revisione : definire un periodo di revisione regolare per garantire che gli SCC rimangano efficaci e aggiornati alla luce delle mutevoli circostanze e dei requisiti legali.

Ulteriori letture e risorse sulle clausole contrattuali standard

• Clausole contrattuali standard per trasferimenti internazionali : Cerchi le clausole effettive da copiare nel tuo contratto? Questa pagina del sito web della Commissione Europea ospita le SCC in vari formati.
• Decisioni di adeguatezza : prima di prendere in considerazione le SCC o qualsiasi altro meccanismo di trasferimento dei dati, controlla l'elenco delle "decisioni di adeguatezza" della Commissione Europea: potresti non aver bisogno di utilizzare le SCC.
• Raccomandazioni dell'EDPB 01/2020 : adottate dopo che il caso Schrems II ha interrotto i flussi di dati dall'Europa agli Stati Uniti, le raccomandazioni dell'EDPB suddividono il processo di trasferimento dei dati in sei fasi essenziali.
• Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali : questo articolo della Commissione irlandese per la protezione dei dati (DPC) fornisce alcune linee guida ufficiali relativamente semplici da usare sull'utilizzo delle SCC e di altri meccanismi di trasferimento.