È stato pubblicato in data odierna sulla rivista specialistica Cybersecurity 360 un nuovo articolo dell’avv. Enrico Pelino in materia di trasferimento dei dati personali extra UE.

Al tema sono state dedicate il 18 novembre scorso le recentissime linee guida 5/2021 del Comitato dei Garanti europei, o EDPB. Il documento, come di regola, è in pubblica consultazione e, considerata la rilevanza del tema, non sono da escludere modifiche sostanziali ad esito dell’apporto di contributi esterni.

Ma perché è così significativo? Vediamolo insieme

Il contesto

La ragione di rilevanza più evidente è che una definizione di “trasferimento extra UE” manca nell’elenco dell’art. 4 GDPR. E il quid concettuale non dipende, come il lettore avrà intuito, da soli elementi geografici.

Ora, determinare che cosa esattamente costituisca o non costituisca trasferimento di dati personali verso un Paese terzo è essenziale, perché ne derivano precise conseguenze giuridiche, previste dal GDPR. E responsabilità.

Ad esempio, dalla definizione dipende la scelta di utilizzare le standard contractual clause, o clausole contrattuali standard, come prescritto dall’art. 46 GDPR, vale a dire il principale e più diffuso strumento a disposizione di società, professionisti, enti pubblici e altri soggetti che trattano dati personali altrui.

Le nuove SCC del 4 giugno 2021

Giova ricordare che dal 4 giugno 2021 le clausole sono state del tutto rinnovate dalla Commissione europea, attraverso l’introduzione di un testo molto più strutturato che in passato, finalmente modulare e idoneo a coprire una pluralità di rapporti prima esclusi, ossia quelli che hanno come punto d’origine un responsabile del trattamento (processor) soggetto al GDPR.

Le nuove SCC sono obbligatorie per tutti i nuovi trattamenti a partire dal 27 settembre 2021, ed entro il 27 dicembre 2022, superata la fase di transizione, dovranno essere applicate anche a quelli già in essere.

Giova anche ricordare che a seguito della sentenza cd. “Schrems II“, causa C-311/18, della Corte di Giustizia dell’Unione europea, occorre, anche nel contesto delle SCC, valutare l’adozione di misure supplementari o supplementary measure.

C’è già bisogno di un ulteriore modulo di SCC?

Ebbene, la posizione dei Garanti europei guarda ancora più avanti e propone di ragionare su un ulteriore gruppo di clausole standard per l’estero. Quelle di giugno restano in vigore, ma sono percepite come insufficienti a coprire l’intero arco dei trasferimenti.

In particolare, l’EDPB chiede apertamente di valutare l’introduzione di clausole standard per data importer, ossia destinatari dei dati, che siano a loro volta soggetti al GDPR.

Per approfondimenti su quest’ultima posizione, sia permesso rimandare alla lettura dell’articolo.

Le radici degli sviluppi odierni

Quello che oggi ci occupa non è che l’ultimo dei cerchi concentrici formati da un evento di moltissimi anni fa. Dobbiamo infatti tornare alla struttura di supporto per giornalisti e whisteblower creata da Julian Assange e all’appoggio fornito a Edward Snowden. Sono state proprio le rivelazioni di Snowden a provvedere l’attivista austriaco Maximilian Schrems delle evidenze necessarie ad azionare il lungo procedimento giudiziario che ha poi registrato due momenti decisivi, appunto, nelle pronunce Schrems I del 2015 e Schrems II del 2020 della Corte di Giustizia.

Da qui hanno preso le mosse le dichiarazioni di invalidità prima del Safe Harbor poi del Privacy Schield e quindi la valutazione sull’efficacia delle clausole standard. I nuovi strumenti della Commissione tengono appunto conto di questo articolato percorso giuridico.