Dopo un travagliato iter, il 4 giugno u.s. la Commissione Europea ha pubblicato una versione aggiornata delle clausole contrattuali standard (“Clausole”) per il trasferimento di dati personali verso paesi terzi a norma del Regolamento (Ue) 2016/679 (“Gdpr”). La decisione di esecuzione n. 2021/914 della Commissione Europea e l’allegato contenente le Clausole sono pienamente in vigore dal 27 giugno u.s.. Le clausole previgenti potranno ancora essere utilizzate fino al 27 settembre 2021, ma entro il 27 dicembre 2022 tutti i contratti dovranno essere aggiornati alle nuove Clausole.
L’adozione di un set aggiornato di clausole era diventata indefettibile per due ragioni: da un lato, la necessità di garantire l’aggiornamento con le previsioni del GDPR (il precedente set di clausole era stato approvato in vigenza della Direttiva 95/46/CE), nonché con il panorama in continua evoluzione dei trasferimenti internazionali, specchio di relazioni contrattuali sempre più complesse con la presenza di una pluralità di attori con ruoli sovrapposti. Dall’altro, era altresì necessario recepire i rilievi della Corte Europea di Giustizia (“Ceg”) nella sentenza Schrems II del luglio 2020, in occasione della quale, pur riconoscendo in linea di principio la validità delle clausole contrattuali standard quale strumento di garanzia per trasferimenti internazionali di dati, la CEG aveva sollevato alcune preoccupazioni in merito all’effettiva capacità delle clausole previgenti di proteggere i dati personali da richieste d’accesso da parte delle autorità governative dei paesi terzi quali gli Stati Uniti.
Una delle novità più rilevanti delle Clausole è il loro approccio modulare, che mira a garantire la massima flessibilità nel tentativo di superare alcune incongruenze derivanti dalle clausole previgenti, che dopo l’entrata in vigore del Gdpr erano diventate ancora più evidenti. Si pensi, ad esempio, ai trasferimenti di dati tra responsabili del trattamento: il Gdpr riconosce espressamente la possibilità, per un responsabile, di fare affidamento su altri responsabili (o sub-responsabili), soggetto all’autorizzazione del titolare. Tuttavia, i trasferimenti internazionali da responsabile a responsabile non erano previsti dai set di clausole previgenti (in linea con l’approccio dell’abrogata Direttiva 95/46/CE) e questo aveva causato un panorama frammentato, con soluzioni più o meno creative avallate dalle autorità di controllo.
L’approccio modulare prevede una serie di previsioni generali, comuni a tutti i moduli, da integrarsi con previsioni specifiche che le parti devono scegliere in base al modulo applicabile alla situazione concreta. Tali moduli sono in tutto quattro e oltre a coprire i trasferimenti titolare a titolare e titolare a responsabile, prevedono anche trasferimenti tra responsabili, o da responsabile che si trova nella Ue a titolare extra-Ue. Tale soluzione permette anche di utilizzare le clausole nell’ambito di rapporti complessi in cui l’importatore dei dati non funge sempre solo da titolare o solo da responsabile rispetto alle categorie dei dati trasferite oppure viceversa quanto è l’esportatore che rispetto ad alcuni dati esportati agisce come titolare autonomo mentre rispetto ad altri è un mero responsabile.
L’altra grande novità delle Clausole è rappresentata dalle previsioni che recepiscono i principi espressi dalla Ceg in Schrems II. L’art. 14 stabilisce l’obbligo di effettuare un transfer impact assessment in relazione a ciascun trasferimento, al fine di garantire che, al momento della sottoscrizione delle Clausole, le parti non ritengono che la legislazione del Paese dell’importatore interferisca con il rispetto delle Clausole stesse. Se vogliamo, questa soluzione non è altro che la trasposizione del principio affermato nell’art. 35 del Gdpr che impone la valutazione del rischio per la libertà e i diritti fondamentali degli interessati a fronte di determinati trattamenti di dati personali.
In ossequio al principio di accountability che informa di se tutto il Gdpr, tale valutazione di rischio va debitamente documentata e deve fondarsi, da un lato, sulle circostanze specifiche del trasferimento (es. la natura dei dati da trasferire, il tipo di destinatario, la finalità del trattamento); dall’altro, sull’analisi della legislazione e delle prassi applicabili nel Paese terzo, oltre alle eventuali altre garanzie contrattuali offerte dall’importatore per integrare quelle previste dalle clausole contrattuali tipo. A ciò si aggiunga che l’art. 15 delle Clausole prevede regole di comportamento per l’importatore in caso di richieste di accesso da parte delle autorità, che comprendono un obbligo
di trasparenza nei confronti dell’esportatore e un impegno, in capo all’importatore, di valutare la fondatezza e legittimità della richiesta di accesso e, se necessario, opporvisi.
Con riferimento alle ulteriori misure contrattuali lasciate all’autonomia delle parti, possiamo immaginare due ordini di garanzie. Il primo di tipo organizzativo e contrattuale che preveda, ad esempio, l’assunzione dell’obbligo dell’importatore di detenere i dati in Europa anche in caso di provider di servizi con capogruppo stabilite fuori dal territorio comunitario ovvero forme di cooperazione tra esportatore e importatore per consentire all’interessato, oltre che la trasparenza rispetto ai trasferimenti successivi dei suoi dati, anche la possibilità di utilizzare, senza sopportare gli oneri economici e le spese legali, gli strumenti processuali e i diritti di azione previsti dalla legislazione del Paese importatore per opporsi alla disclosure dei propri dati personali. L’altro di tipo tecnologico, che includa l’uso di misure tecniche aggiuntive idonee a garantire un livello massimo di protezione dei dati esportati, tra cui, l’utilizzo di sistemi di privacy by design che siano in grado di eseguire una selezione preventiva di dati che è necessario trasferire secondo un principio di proporzionalità; l’uso di tecniche di criptografia end-to-end, la pseudonimizzazione dei dati e gestione limitata delle chiavi di accesso, la tracciabilità degli accessi, ecc.
In conclusione, appare chiaro che le Clausole non devono essere interpretate come uno strumento a sé stante, la cui adozione è sufficiente a legittimare il trasferimento oltre il territorio Ue dei dati personali. Le Clausole rappresentano senza dubbio il punto di partenza ma non esulano le parti dalla valutazione complessiva, sotto il profilo contrattuale, del trasferimento e dei rischi che questo comporta. E’ questo il chiaro messaggio espresso dall’European Data Protection Board (“Edpb”), che qualche giorno fa ha pubblicato la versione definitiva delle proprie Raccomandazioni in materia di garanzie aggiuntive nell’ambito dei trasferimenti internazionali. Da questo punto di vista, la scelta del legislatore europeo, in linea con l’impianto generale del Gdpr e i principi espressi dalla Ceg, mira a superare un approccio formalistico per cui un semplice cut and paste delle Clausole non è, evidentemente, sufficiente di per sé a garantire la liceità dei trasferimenti internazionali di dati personali.
Una riflessione finale tuttavia è d’obbligo. Per quanto si possano affinare gli strumenti contrattuali e di legge, il problema del trasferimento internazionale dei dati e del loro successivo utilizzo andrebbe, a parere di chi scrive, affrontato a livello politico sfruttando magari l’occasione di consessi governativi come il G20.
Non potrà mai esserci alcuna certezza per la tutela dei dati dei cittadini europei se non vi sarà condivisione a livello politico e legislativo di principi di fondo come quello espresso dall’art. 8 della Carta dei diritti dell’Unione Europea sulla protezione dei dati personali e sul principio di finalità e proporzionalità del trattamento. Non sembra corretto, del resto, che l’onere e la responsabilità della tutela dei cittadini sia gravato esclusivamente sulle imprese e sulla loro autonomia contrattuale. I diritti diffusi e, a maggior ragione, i principi fondamentali di libertà, andrebbero tutelati con leggi e accordi internazionali, non essendo sufficiente il, seppur utile, nuovo set di clausole contrattuali standard.