Iubenda logo
Inizia la generazione

Documentazione

Indice dei contenuti

Guida completa alle clausole contrattuali tipo (SCC)

Secondo il GDPR, per trasferire dati personali al di fuori dell’Unione europea, è necessario che siano stati adottati standard di protezione specifici, altrimenti il trasferimento non è consentito.

Esistono comunque diverse basi giuridiche su cui potresti fare affidamento per giustificare il trasferimento, come le clausole contrattuali tipo (Standard Contractual Clauses, SCC).

In questa breve guida spiegheremo tutto quello che c’è da sapere sulle clausole contrattuali tipo, quando possono essere utili e cosa fare per trasferire i dati al di fuori dell’UE.

clausole contrattuali tipo

Cosa sono le clausole contrattuali tipo?

Le clausole contrattuali tipo (SCC) sono clausole standard, approvate dalla Commissione europea, che assicurano la conformità e rendono possibile il trasferimento di dati al di fuori dello Spazio economico europeo (SEE).

Entrambe le parti coinvolte nel trasferimento devono firmare un accordo contenente queste clausole, senza alterare il testo. Come affermato dalla Commissione europea, le SCC possono essere aggiunte a qualsiasi “accordo contrattuale” tra le parti.

Un po’ di storia

👉 Le clausole contrattuali tipo sono state citate per la prima volta nella Direttiva 95/46/CE sulla protezione dei dati. Stando alla direttiva, il trasferimento di dati al di fuori dell’UE era consentito solo in conformità a determinate norme in materia di protezione dei dati oppure in presenza di clausole contrattuali tipo. Nel 2018, il GDPR ha sostituito la Direttiva sulla protezione dei dati, mantenendo il riferimento alle SCC.

👉 Poi, a luglio 2020, la sentenza Schrems II ha dichiarato invalido il Privacy Shield, ovvero l’accordo per il trasferimento dei dati tra UE e USA. Le SCC sono diventate essenziali per qualsiasi tipo di trasferimento di dati tra queste aree. Tuttavia, non sono vincolanti per il governo degli Stati Uniti, ma solo per l’azienda che stipula l’accordo.

👉 Per far fronte alle sfide poste dai dati e facilitare il trasferimento tra l’UE e gli Stati Uniti, la Commissione europea ha rivisto le clausole con la decisione del 4 giugno 2021, distinguendole in due serie:

  1. SCC che regolano il rapporto tra titolari e responsabili del trattamento;
  2. SCC che regolano il trasferimento di dati al di fuori dell’area SEE.

Quando sono necessarie le clausole contrattuali tipo?

Le SCC non sono sempre richieste.

Devi prima verificare se c’è una decisione di adeguatezza in atto. Se il livello di protezione dei dati è lo stesso del GDPR e la Commissione europea ha emesso una decisione di adeguatezza, allora le clausole contrattuali tipo non sono necessarie.

💡 Finora, gli unici Paesi ritenuti adeguati dalla Commissione europea sono: Andorra, Argentina, Canada (organizzazioni commerciali), Isole Fær Øer, Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Repubblica di Corea, Svizzera, Regno Unito e Uruguay.

Una volta accertata l’adeguatezza, devi assicurarti che le SCC siano il meccanismo applicabile alla tua attività, e quindi firmare un accordo contenente queste clausole.

Come comunicare il trasferimento di dati nella tua privacy policy

Se trasferisci i dati fuori dall’area SEE, devi comunicarlo nella privacy policy nel modo giusto. Con iubenda, è davvero facile:

  • Cerca le clausole all’interno del Generatore.
  • Clicca su “+” e aggiungile al tuo documento.
  • Per finire, clicca su Salva.
  • trasferimento di dati nella privacy policy con iubenda

Come posso redigere le SCC?

Come abbiamo già detto prima, puoi aggiungere le clausole contrattuali tipo a qualsiasi accordo in essere con la parte a cui stai trasferendo i dati o inserirle in un documento a sé stante.

Stilare le SCC è più facile di quanto pensi, devi solo attenerti al testo suggerito dalla Commissione europea.

Esistono delle alternative alle SCC?

Sì, le clausole contrattuali tipo non sono l’unico modo per legittimare il trasferimento di dati al di fuori dell’area SEE. Ecco le altre alternative:

  • Norme vincolanti d’impresa (Binding Corporate Rules, BCR): policy adottate dalle multinazionali in materia di protezione dei dati. Le BCR consentono alle aziende di trasferire dati a livello internazionale all’interno delle società dello stesso gruppo. Queste norme sono solo per uso interno, ma l’articolo 47 del GDPR le indica come un metodo adeguato per assicurare la conformità del trasferimento.
  • Deroghe: secondo l’articolo 49 del GDPR, esistono anche casi specifici in cui è possibile trasferire dati personali senza alcuna garanzia. In ogni caso, queste deroghe si applicano solo a trasferimenti di dati specifici e a patto di rispettare determinati requisiti, tra cui:
    • aver ottenuto il consenso esplicito dell’utente una volta informato di tutti i possibili rischi del trasferimento;
    • il trasferimento è necessario per l’adempimento di un contratto;
    • il trasferimento è necessario per motivi importanti di interesse pubblico.

Suggerimento per la compliance

Se trasferisci i dati, devi comunicarlo nella privacy policy, altrimenti rischi di invalidare la tua attività.

About us

iubenda

Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.

www.iubenda.com