Secondo il GDPR, per trasferire dati personali al di fuori dell’Unione Europea, è necessario assicurarsi che siano in vigore standard specifici di protezione dei dati. In caso contrario, il trasferimento non è consentito.
Tuttavia, per rendere possibili i trasferimenti, esistono diverse basi legali su cui si può fare affidamento. Una di queste è rappresentata dalle clausole contrattuali standard (SCC).
In questa breve guida vi spiegheremo tutto quello che c’è da sapere sulle Clausole Contrattuali Standard, quando è necessario affidarsi alle SCC e cosa dovete fare per trasferire i dati al di fuori dell’UE.
Le clausole contrattuali standard (SCC) sono clausole standardizzate, approvate dalla Commissione europea, che consentono il trasferimento di dati al di fuori dello Spazio economico europeo (SEE).
Entrambe le parti coinvolte nel trasferimento devono firmare un accordo contenente le Clausole Contrattuali Standard, senza modificarne il testo. Come dichiarato dalla Commissione europea, le SCC possono essere aggiunte in qualsiasi “accordo contrattuale” tra le parti.
👉 Le clausole contrattuali standard sono state menzionate per la prima volta nella Direttiva sulla protezione dei dati del 1995. Secondo questa direttiva, i trasferimenti di dati al di fuori dell’UE erano consentiti solo se venivano rispettati determinati standard di protezione dei dati o se erano presenti clausole contrattuali standard. Nel 2018, il GDPR ha sostituito la direttiva sulla protezione dei dati, mantenendo la stessa menzione delle SCC..
👉 A luglio 2020, la sentenza Schrems II ha invalidato l’accordo di trasferimento tra UE e USA, il Privacy Shield. Gli SCC sono diventati essenziali per qualsiasi tipo di trasferimento di dati tra questi Paesi. Tuttavia, non sono vincolanti per il governo statunitense, ma solo per l’azienda che firma l’accordo.
👉 Per affrontare le sfide attuali e facilitare il trasferimento di dati tra l’UE e gli USA, la Commissione europea ha rivisto le clausole. Il 4 giugno 2021, la Commissione ha adottato due serie di Clausole Contrattuali Standard:
Le SCC non sono sempre necessarie.
Infatti, è necessario innanzitutto verificare se esiste una decisione di adeguatezza. Di solito, quando il livello di protezione dei dati è uguale a quello del GDPR, la Commissione europea emette una decisione di adeguatezza. In tal caso, non sono necessarie clausole contrattuali standard.
💡 Finora, gli unici Paesi per i quali la Commissione europea ha emesso una decisione di adeguatezza sono: Andorra, Argentina, Canada (organizzazioni commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Repubblica di Corea, Svizzera, the Regno Unito e Uruguay.
Una volta accertato questo aspetto, dovete anche assicurarvi che le SCC siano il meccanismo applicabile alla vostra attività. In caso affermativo, è necessario firmare un accordo contenente clausole contrattuali standard.
Se siete trasferendo i dati al di fuori del SEE, è necessario anche renderlo noto nella propria informativa sulla privacy. Con iubenda, questo è davvero facile:
Come abbiamo già detto, le clausole contrattuali standard possono essere aggiunte a qualsiasi accordo stipulato con la parte a cui si trasferiscono i dati, oppure possono costituire un documento a sé stante.
Creare le SCC è più facile di quanto si pensi, perché è necessario seguire rigorosamente il testo suggerito dalla Commissione Europea.
Sì, le clausole contrattuali standard non sono l’unico modo per trasferire i dati al di fuori del SEE, ma esistono altre alternative:
Se state trasferendo dei dati, dovete renderlo noto nella vostra informativa sulla privacy! In caso contrario, la vostra attività potrebbe essere invalidata.
Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.
