Il 15 gennaio 2021, l’European Data Protection Board (“EDPB”) e l’European Data Protection Supervisor (“EDPS”) hanno pubblicato due pareri congiunti (cd. joint opinions) sulle due bozze di Standard Contractual Clauses (“SCC”) proposte dalla Commissione europea (“Commissione UE”).

Il primo parere ha ad oggetto un’analisi delle SCC da inserire nei contratti tra i titolari e i responsabili del trattamento (“EDPB-EDPS Joint Opinion 1/2021 on standard contractual clauses between controllers and processors); mentre il secondo riguarda le SCC per il trasferimento dei dati personali verso Paesi Terzi (“EDPB-EDPS Joint Opinion 2/2021 on standard contractual clauses for the transfer of personal data to third countries”).

Entrambi i pareri sono corredati da alcuni allegati contenenti specifici commenti e osservazioni di natura tecnica, volti a fornire alcuni esempi di possibili modifiche da apportare ai testi delle SCC.

Nel comunicato stampa del 15 gennaio 2021, l’EDPB riassume brevemente le osservazioni in merito alle sopracitate opinions.

In particolare, con riferimento alle SCC da inserirsi nei contratti stipulati tra il titolare e il responsabile del trattamento, l’EDPB e l’EDPS hanno specificato che, nell’ambito di tali rapporti contrattuali, le stesse avranno effetto a livello europeo e mireranno ad assicurare la piena armonizzazione e certezza del diritto in tutta l’Europa. Pertanto, al fine rendere più chiaro il testo delle SCC e garantirne l’utilità pratica nelle operazioni di trattamento quotidiane dei titolari e responsabili del trattamento, l’EDPB e l’EDPS hanno consigliato l’adozione di alcune modifiche che includano (inter alia) la cosiddetta “docking clause” (clausola che permette ad altre entità di aderire alle SCC e quindi di diventare una nuova parte del contratto, o in qualità di titolare o di responsabile del trattamento), nonché altri aspetti relativi agli obblighi per i responsabili del trattamento.

Inoltre, con riguardo agli allegati delle predette SCC, l’EDPB e l’EDPS hanno suggerito che gli stessi provvedano a chiarire il più possibile sia i ruoli sia le responsabilità di ciascuna delle parti in relazione alle proprie attività di trattamento. Infatti, qualsiasi ambiguità su tali aspetti renderebbe più difficile (sia per i titolari del trattamento sia per i responsabili del trattamento) l’adempimento dei propri obblighi di accountability.

Relativamente alle SCC per il trasferimento dei dati personali verso Paesi Terzi ai sensi dell’art. 46, comma 2, lett. c) del Regolamento UE 2016/679 (cd. “GDPR”) – le quali sostituiscono le esistenti SCC adottate ai sensi dell’ormai abrogata Direttiva 95/46/CE – l’EDPB e l’EDPS hanno constatato che le stesse tengono conto non solo delle nuove disposizioni del GDPR, ma anche delle recenti novità in materia di trasferimenti extra UE introdotte dalla sentenza “Schrems II” della Corte di Giustizia dell’Unione europea, contemplando quindi misure di salvaguardia più specifiche da applicarsi nel caso in cui la legge del paese di destinazione dei dati personali imponga un obbligo di comunicazione di dati personali effettuate alle autorità pubbliche.

In generale, dai menzionati pareri, emerge che l’EDPB e l’EDPS ritengono che entrambi i modelli di SCC forniscano una maggiore tutela ai soggetti interessati. In particolare, ciò che è stato maggiormente apprezzato è il tempestivo recepimento delle specifiche disposizioni intese ad affrontare alcune delle principali questioni individuate nella sentenza “Schrems II”. Tuttavia, a parere dell’EDPB e dell’EDPS, è necessario chiarire o migliorare diverse disposizioni delle SCC quali, a titolo esemplificativo:

  • l’ambito di applicazione di entrambe le SCC;
  • alcune disposizioni in materia di trasferimenti di dati personali successivi;
  • gli aspetti legati alla valutazione delle leggi di Paesi Terzi in materia di accesso ai dati da parte delle autorità pubbliche; nonché
  • la notifica alla Autorità di controllo.

In ogni caso, le nuove SCC non possono essere considerate, di per sé, uno strumento idoneo a risolvere le problematiche sul trasferimento dei dati verso Paesi extra UE sollevate dalla sentenza “Schrems II”. A tal riguardo, infatti, l’EDPB e l’EDPS suggeriscono che, in relazione a specifici trasferimenti di dati personali verso Paesi che richiedono l’adozione di misure supplementari ad hoc per garantire agli interessati un livello di protezione essenzialmente equivalente a quello garantito all’interno dell’UE, le SCC dovranno essere utilizzate congiuntamente alle Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione dei dati personali nell’UE dell’EDPB, adottate lo scorso 10 novembre 2020.