Clausole contrattuali standard: dal 27 settembre 2021 solo nella nuova versione

Albarella, tramonto, agosto 2021
Ph. Francesca Russo / Albarella, tramonto, agosto 2021

Come siamo arrivati alle nuove clausole contrattuali standard

Le clausole contrattuali standard sono uno dei tre strumenti che il Regolamento Europeo sulla protezione dei dati (GDPR) mette a disposizione dei titolari e responsabili del trattamento che intendono trasferire dati personali fuori dall’Unione Europea.

Insieme alle norme vincolanti d’impresa (BCR) e alle decisioni di adeguatezza, le clausole contrattuali standard rappresentano il lasciapassare di cui titolari e responsabili del trattamento posso servirsi per trasferire i dati personali che trattano.

Sebbene tutti e tre gli strumenti abbiano lo stesso effetto, quello delle clausole contrattuali standard ha acquisto un’importanza fondamentale a seguito dell’annullamento della sentenza Schrems II, con la quale la Corte di Giustizia ha annulla il Privacy Shield, la decisione di adeguatezza che copriva il trasferimento dei dati personali “per eccellenza”: quello verso gli Stati Uniti d’America.

Non potendo più servirsi del Privacy Shield per il trasferimento dei dati personali in Usa, dal 16 luglio 2020 titolari e responsabili si sono visti improvvisamente costretti ad utilizzare le clausole contrattuali standard per coprire i trasferimenti di dati effettuati, dato che l’adozione di norme vincolanti d’impresa richiede un procedimento complesso che include l’approvazione dell’autorità di controllo.

Per questa ragione, all’indomani della sentenza Schrems II, la Commissione Europea è intervenuta adottando la decisione di esecuzione 2021/914 del 4 giugno 2021, che ha aggiornato le clausole contrattuali standard, fino a quel momento disciplinate da due decisioni rispettivamente del 2001 (decisione 2001/497/CE) e del 2010 (decisione 2010/87/UE).

 

Tra vecchie e nuove clausole contrattuali standard

Perché se le clausole contrattuali standard sono state modificate il 4 giugno 2021 ne parliamo solo oggi?

La risposta la si trova all’articolo 4 della decisione 2021/914, che prevede sì l’entrata in vigore delle clausole contrattuali standard a far data dal ventesimo giorno successivo alla loro pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea, che è avvenuta il 7 giugno 2021, ma anche l’abrogazione delle “vecchie” clausole contrattuali standard (quelle delle decisioni 2001/497 e 2010/87) solo a partire dal 27 settembre 2021.

Quindi, fino a pochi giorni fa, la versione precedente delle clausole contrattuali standard era perfettamente valida ed efficace, potendo tranquillamente essere utilizzata da titolari e responsabili del trattamento nell’ambito dei trasferimenti dei dati al di fuori dell’Unione.

È solo a partire dal 27 settembre 2021 che, infatti, le “vecchie” clausole contrattuali standard non possono più essere utilizzate.

Cosa succede a tutti i contratti conclusi prima di questa data sfruttando la versione antecedente delle clausole contrattuali standard?

L’articolo 4 disciplina anche questo aspetto, prevedendo che i titolari e i responsabili del trattamento saranno coperti fino al 27 dicembre 2022, purché i trattamenti oggetto dei contratti rimangano invariati e il ricorso a tali clausole contrattuali standard garantisca che il trasferimento di dati personali sia soggetto a garanzie adeguate. In altre parole, tutti salvi fino a natale 2022, nella speranza che per quel tempo babbo natale abbia già regalato una nuova decisione di adeguatezza sui trasferimenti tra Unione Europea e Stati Uniti.

 

Il vero “problema” delle clausole contrattuali standard

Quindi, dal 27 settembre 2021, utilizzabile solo la nuova versione delle clausole contrattuali standard. Chiaro.

Cosa prevedono?

La risposta lascerà sorpresi: niente di che!

Esatto. Proprio così. In fin dei conti, le clausole contrattuali standard adottate dalla Commissione non sono nient’altro che un modello contrattuale, che non dice e non impone nulla di nuovo e nulla di diverso rispetto a quanto previsto dal GDPR.

Quindi sostanzialmente sono un adempimento formale, giusto? Basta scaricarle, scegliere quelle giuste tra la versione “trasferimento da titolare a responsabile” e “trasferimento da responsabile a responsabile”, completarle coi nomi delle parti e via, corretto?

Sì, se non fosse per l’allegato II, quello sulle misure tecniche e organizzative a garanzia della sicurezza dei dati personali trasferiti. Questo è il vero “problema” delle clausole contrattuali standard.

D’altronde, è sostanzialmente a questo che servono le clausole contrattuali standard. Ciò che evita che siano un semplice modello contrattuale standard che le parti si limitano a riempire e sottoscrivere è l’indicazione specifica delle misure tecniche e organizzative adottate a protezione del trattamento.

È su queste misure che si gioca la liceità o meno del trasferimento. A patto che le misure siano indicate – chi ha esperienza pratica sa quanto questo sia più unico che raro – esse devono essere idonee a garantire il trasferimento in sicurezza dei dati personali. In caso contrario, la sanzione è dietro l’angolo.

Recentemente, è lo stesso Garante Privacy che non ha mancato di sottolineare questo aspetto nell’ambito del provvedimento sanzionatorio adottato verso l’Università Bocconi di Milano, rea di aver impiegato un software per il controllo a distanza degli studenti esaminati in tempo di Covid-19 che comportava un trasferimento dei dati negli Stati Uniti.

L’Università aveva sì concluso clausole contrattuali standard col fornitore del software ma ad esse non era allegata alcuna indicazione specifica delle misure di sicurezza a tutela dei dati, presentando solo un generico impegno all’adozione di misure idonee.

Ma, d’altronde, così fan tutti.