Secondo il GDPR, per trasferire dati personali al di fuori dell’Unione europea, è necessario che siano stati adottati standard di protezione specifici, altrimenti il trasferimento non è consentito.
Esistono comunque diverse basi giuridiche su cui potresti fare affidamento per giustificare il trasferimento, come le clausole contrattuali tipo (Standard Contractual Clauses, SCC).
In questa breve guida spiegheremo tutto quello che c’è da sapere sulle clausole contrattuali tipo, quando possono essere utili e cosa fare per trasferire i dati al di fuori dell’UE.
Le clausole contrattuali tipo (SCC) sono clausole standard, approvate dalla Commissione europea, che assicurano la conformità e rendono possibile il trasferimento di dati al di fuori dello Spazio economico europeo (SEE).
Entrambe le parti coinvolte nel trasferimento devono firmare un accordo contenente queste clausole, senza alterare il testo. Come affermato dalla Commissione europea, le SCC possono essere aggiunte a qualsiasi “accordo contrattuale” tra le parti.
👉 Le clausole contrattuali tipo sono state citate per la prima volta nella Direttiva 95/46/CE sulla protezione dei dati. Stando alla direttiva, il trasferimento di dati al di fuori dell’UE era consentito solo in conformità a determinate norme in materia di protezione dei dati oppure in presenza di clausole contrattuali tipo. Nel 2018, il GDPR ha sostituito la Direttiva sulla protezione dei dati, mantenendo il riferimento alle SCC.
👉 Poi, a luglio 2020, la sentenza Schrems II ha dichiarato invalido il Privacy Shield, ovvero l’accordo per il trasferimento dei dati tra UE e USA. Le SCC sono diventate essenziali per qualsiasi tipo di trasferimento di dati tra queste aree. Tuttavia, non sono vincolanti per il governo degli Stati Uniti, ma solo per l’azienda che stipula l’accordo.
👉 Per far fronte alle sfide poste dai dati e facilitare il trasferimento tra l’UE e gli Stati Uniti, la Commissione europea ha rivisto le clausole con la decisione del 4 giugno 2021, distinguendole in due serie:
Le SCC non sono sempre richieste.
Devi prima verificare se c’è una decisione di adeguatezza in atto. Se il livello di protezione dei dati è lo stesso del GDPR e la Commissione europea ha emesso una decisione di adeguatezza, allora le clausole contrattuali tipo non sono necessarie.
💡 Finora, gli unici Paesi ritenuti adeguati dalla Commissione europea sono: Andorra, Argentina, Canada (organizzazioni commerciali), Isole Fær Øer, Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Repubblica di Corea, Svizzera, Regno Unito e Uruguay.
Una volta accertata l’adeguatezza, devi assicurarti che le SCC siano il meccanismo applicabile alla tua attività, e quindi firmare un accordo contenente queste clausole.
Se trasferisci i dati fuori dall’area SEE, devi comunicarlo nella privacy policy nel modo giusto. Con iubenda, è davvero facile:
Come abbiamo già detto prima, puoi aggiungere le clausole contrattuali tipo a qualsiasi accordo in essere con la parte a cui stai trasferendo i dati o inserirle in un documento a sé stante.
Stilare le SCC è più facile di quanto pensi, devi solo attenerti al testo suggerito dalla Commissione europea.
Sì, le clausole contrattuali tipo non sono l’unico modo per legittimare il trasferimento di dati al di fuori dell’area SEE. Ecco le altre alternative:
Se trasferisci i dati, devi comunicarlo nella privacy policy, altrimenti rischi di invalidare la tua attività.
Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.