Le nuove Clausole SCC per rinegoziare gli accordi privacy tra esportatore e importatore

Le Clausole Contrattuali Standard SCCs , all’indomani del vuoto regolamentativo prodotto dalla CGUE Schrems II con l’abbattimento del Privacy Shield, sono state individuate dagli esportatori Extra UE quale nuova base giuridica del trattamento di trasferimento dati. Tuttavia la loro natura di condizioni elaborate prima del GDPR non può sostenere la necessità di creare un nuovo sistema privacy per i trasferimenti oltreoceano deficitari di una decisione di adeguatezza. Manca infatti la disciplina dei rapporti privacy esportatore-importatore contro gli eventuali accessi abusivi delle autorità di pubblica sicurezza del Paese terzo.

La proposta di nuove SCCs della Commissione UE 12.11.20 unitamente alla Raccomandazione EDPB 01/2020 sulle misure supplementari costituiscono la piattaforma giuridica di riferimento per creare il meccanismo di contrasto agli abusi governativi esteri per i trasferimenti Extra UE. Il meccanismo di contrasto si costruisce individuando la Clausola a cui si dà contenuto con la misura supplementare adatta . Grazie a questo meccanismo di Clausola+Misura supplementare si riesce a fornire una soluzione a domande come queste cosa deve statuire l’accordo privacy tra esportatore-importatore nell’ipotesi in cui il Paese di quest’ultimo mostri delle criticità? Obbligo di notifica immediata dell’importatore verso l’esportatore? Cosa dovrebbe fare l’esportatore in questo caso applicare misure supplementari e continuare il trasferimento oppure interrompere e risolvere il contratto? Le nuove Clausole Contrattuali Standard SCC proposte dalla Commissione UE La Commissione UE quasi in contemporanea con la pubblicazione delle misure supplementari EDPB, il 12 novembre 2020 pone in pubblica consultazione le nuove Clausole SCC. Oltre a riadeguare queste condizioni al GDPR, si cerca di fornire delle soluzioni applicative in caso di ingerenze illecite dei governi esteri nei patrimoni informativi europei trasferiti. Prima di parlare di questa parte delle Clausole che sicuramente si connota come la più nuova, si da’ uno sguardo alla struttura generale dell’atto. Il draft act si compone del Draft implementation decision Ares 2020 6654686 e del prezioso allegato contenente le Clausole Annex Ares 2020 6654686 . L’Annex presenta tre Sezioni, ciascuna ripartita in Clausole Sezione 1 Clausola 1- scopi Clausola 2- interessati-beneficiari Clausola 3- interpretazione Clausola 4- gerarchia Clausola 5- descrizione del trasferimento. Sezione 2 obblighi delle parti Ciascuna clausola viene declinata per i 4 Moduli di Accordi Privacy Modulo titolare-titolare, Modulo titolare-responsabile, Modulo responsabile-responsabile, Modulo responsabile-titolare. Clausola 1- garanzie sulla protezione dei dati. Clausola 2- leggi locali che influenzano il rispetto delle clausole. Clausola 3- obblighi dell'importatore in caso di richieste di accesso da parte del governo. Clausola 4- utilizzo di sub-processori. Clausola 5- diritti dell’interessato. Clausola 6- riparazione. Clausola 7- responsabilità. Clausola 8- indennizzo. Clausola 9- supervisione. Sezione 3 disposizioni finali Clausola 1- inosservanza delle Clausole e risoluzione. Clausola 2- legge governativa. Clausola 3- scelta del foro e della giurisdizione. Allegati All.1 elenco delle parti e descrizione del trasferimento All.2 misure tecniche e organizzative All.3 elenco dei sub responsabili. Ciascun Modulo viene descritto in termini di scopo eventuali istruzioni trasparenza minimizzazione e precisione limitazione dello spazio di archiviazione oppure limitazione della memorizzazione e cancellazione o restituzione dei dati sicurezza del trattamento categorie speciali di dati personali trasferimenti successivi trattamento sotto l'autorità dell'importatore documentazione e conformità. MODULO UNO Trasferimento dal controller al controller titolare-titolare 1.1 Scopo 1.2 Trasparenza 1.3 Precisione e minimizzazione dei dati 1.4 Limitazione dello spazio di archiviazione 1.5 Sicurezza del trattamento 1.6 Categorie speciali di dati personali 1.7 Trasferimenti successivi 1.8 Trattamento sotto l'autorità dell'importatore di dati 1.9 Documentazione e conformità MODULO DUE Trasferimento dal controller al processor titolare-responsabile Istruzioni Limitazione dello scopo Trasparenza Precisione Limitazione della memorizzazione e cancellazione o restituzione dei dati Sicurezza del trattamento Categorie speciali di dati personali Trasferimenti successivi Documentazione e conformità MODULO TRE Trasferimento dal processor al processor responsabile-responsabile Istruzioni Limitazione dello scopo Trasparenza Precisione Limitazione della memorizzazione e cancellazione o restituzione dei dati Sicurezza del trattamento Categorie speciali di dati personali Trasferimenti successivi Documentazione e conformità MODULO QUATTRO Trasferimento dal processor al controller responsabile-titolare 1.1 Istruzioni 1.2 Sicurezza del trattamento 1.3 Documentazione e conformità La novità delle Clausole 2020 il meccanismo di contrasto agli abusi del governo estero Cosa deve statuire l’accordo privacy tra esportatore-importatore nell’ipotesi in cui il Paese di quest’ultimo mostri delle criticità? Obbligo di notifica immediata dell’importatore verso l’esportatore? Cosa dovrebbe fare l’esportatore in questo caso applicare misure supplementari e continuare il trasferimento oppure interrompere e risolvere il contratto? Tali quesiti come già detto sopra possono trovare soluzione grazie alle Clausole in esame, integrate dalle misure supplementari dell’EDPB. Il meccanismo di contrasto agli abusi governativi esteri si costruisce individuando la Clausola a cui si da’ contenuto con la misura supplementare adatta . Applichiamo questo meccanismo di contrasto alla Clausola 2 della Sez.2. Clausola 2- leggi locali che influenzano il rispetto delle clausole La Clausola 2 della Sez.2 applica un iter valutativo simile a quello suggerito dall’EDPB nella Raccomandazione 01/2020 incentrato su due fronti la verifica di eventuali leggi del Paese terzo che determinino accessi illegali ai dati europei trasferiti e/o che impediscano all’importatore di adempiere ai propri obblighi l’analisi concreta delle circostanze del trasferimento. Alla luce degli esiti di tale valutazione le parti esportatore e importatore possono decidere di introdurre alcune delle Misure supplementari dell’EDPB di carattere tecnico e/o organizzativo. Per esempio sarà sempre buona norma elaborare un trattamento-trasferimento privacy by design applicando la crittografia prima e durante la trasmissione. Sarà altresì utile ai fini della valutazione concreta del rischio accountability del trattamento-trasferimento imporre all’importatore di compilare un questionario in cui l’importatore è obbligato a 1 enumerare le leggi e i regolamenti del paese di destinazione applicabili all'importatore o ai suoi sub responsabili che consentirebbero l'accesso delle autorità pubbliche ai dati personali che sono soggetti al trasferimento, in particolare nei settori dell'intelligence, dell'applicazione della legge, supervisione amministrativa e normativa applicabile ai dati trasferiti 2 in assenza di leggi che disciplinano l'accesso delle autorità pubbliche ai dati, fornire informazioni e statistiche basate sull'esperienza dell'importatore o su rapporti da varie fonti es partner, fonti aperte, giurisprudenza nazionale e decisioni degli organi di controllo sull'accesso da parte di autorità pubbliche ai dati personali in situazioni del tipo di trasferimento dei dati in questione 3 indicare quali misure sono state prese per impedire l'accesso ai dati trasferiti se presenti 4 fornire informazioni sufficientemente dettagliate su tutte le richieste di accesso ai dati da parte delle pubbliche autorità che l'importatore ha ricevuto per un determinato periodo di tempo. In particolare nelle aree di cui al precedente punto 1 e comprendenti le informazioni sulle richieste ricevute, sui dati richiesti, sull'ente richiedente e sulla base giuridica per la comunicazione e in che misura l'importatore ha divulgato la richiesta di dati 5 specificare se e in quale misura all'importatore è legalmente vietato fornire le informazioni di cui ai precedenti punti da 1 a 4 . Queste informazioni potrebbero essere fornite tramite questionari strutturati che l'importatore dovrebbe compilare e firmare, aggravato dall'obbligo contrattuale di dichiarare entro un determinato periodo ogni potenziale cambiamento di queste informazioni, come è prassi corrente per i processi di due diligence. Sopraordinato a tutti gli obblighi dell’importatore vi è quello di comunicare immediatamente all’esportatore la sopravvenuta impossibilità di adempiere agli obblighi assunti. In questi frangenti le misure supplementari dell’EDPB suggeriscono una procedura organizzativa ad hoc ovvero un meccanismo di notifica da mettersi a punto fin dalla stipula dell’accordo privacy. Si tratta di una Notifica tempestiva del venire meno delle condizioni che consentivano all’importatore di garantire un livello di protezione sostanzialmente equivalente a quello del GDPR. In questi casi, il meccanismo di notifica dev’essere messo a punto fin dall’attivazione del contratto in modo da avere la tempestività necessaria per la notifica all’esportatore prima che il Governo del Paese destinatario acceda forzosamente al patrimonio informativo UE. In questi casi, sarebbe addirittura auspicabile concordare che - superata una certa soglia - si procedesse a un meccanismo di azione immediata dell’importatore che senza attendere le istruzioni dell’esportatore potesse procedere ad eliminare o crittografare in modo sicuro i dati al fine di sottrarli all’ingerenza governativa. Segue il testo integrale della Clausola secondo una traduzione ovviamente non ufficiale dello scrivente autore. Clausola 2- leggi locali che influenzano il rispetto delle clausole a Le Parti garantiscono di non avere motivo di ritenere che le leggi del Paese terzo dell’importatore, possano autorizzare l'accesso abusivo ai dati UE da parte delle autorità pubbliche, impedire all'importatore di adempiere ai propri obblighi ai sensi delle presenti clausole. Questo si basa sulla convinzione che tali leggi siano in grado di rispettare l'essenza dei diritti e delle libertà fondamentali e siano in grado di introdurre una misura necessaria e proporzionata in una società democratica per salvaguardare uno degli obiettivi elencati nell'articolo 23, paragrafo 1, GDPR. b Le Parti dichiarano di aver prestato la garanzia di cui al paragrafo a considerando in particolare i seguenti elementi i le circostanze specifiche del trasferimento, inclusi il contenuto e la durata del contratto l'entità e la regolarità dei trasferimenti la durata del trattamento, il numero di attori coinvolti e di canali di trasmissione utilizzati il tipo di destinatario lo scopo del trattamento la natura dei dati personali trasferiti qualsiasi esperienza pratica pertinente a casi precedenti, o l’assenza di richieste di informativa da parte delle pubbliche autorità sul tipo di dati trasferiti ii le leggi del paese terzo pertinenti alla luce delle circostanze del trasferimento, comprese quelle che richiedono la comunicazione dei dati a autorità pubbliche o che autorizzano l'accesso da parte di tali autorità, nonché le limitazioni e le garanzie applicabili iii eventuali garanzie in aggiunta ovvero le misure supplementari indicate dalla Raccomandazione EDPB 01/2020 a quelle previste dalle presenti Clausole, comprese misure tecniche e organizzative applicate durante la trasmissione e il trattamento dei dati nel paese di destinazione. c L'importatore garantisce che, nell'effettuare la valutazione di cui al punto b , esso si è adoperato al massimo per fornire all'esportatore le informazioni pertinenti e concorda sul fatto che continuerà a cooperare con l'esportatore per garantire il rispetto di queste clausole. d Le parti convengono di documentare la valutazione di cui al punto b e di metterla a disposizione dell'autorità di controllo competente su richiesta. e L'importatore si impegna a informare tempestivamente notifica l'esportatore se, dopo aver accettato queste Clausole e per la durata del contratto, ha motivo di ritenere che sia o sia diventato soggetto a leggi non in linea con i requisiti di cui al paragrafo a , anche a seguito di una modifica delle leggi nel paese terzo o di una misura come una richiesta di divulgazione che implica un'applicazione di tali leggi nella pratica che non è in in linea con i requisiti di cui al punto a . f A seguito di una notifica ai sensi del paragrafo e o nel caso l'esportatore abbia motivo di ritenere che l'importatore non possa più adempiere ai propri obblighi ai sensi delle Clausole, l'esportatore deve individuare tempestivamente misure appropriate quali, ad esempio, misure tecniche o organizzative per garantire la sicurezza e la riservatezza che devono essere adottate dall'esportatore e/o dall'importatore, se del caso in consultazione con il [per il Modulo Tre controllore e] autorità di controllo competente. Se l'esportatore decide di continuare il trasferimento , sulla base della sua valutazione secondo cui l’importatore grazie a queste misure aggiuntive misure supplementari sarà in grado di adempiere ai propri obblighi ai sensi delle Clausole, l'esportatore deve inoltrare la notifica all'autorità di controllo competente corredata di spiegazione, compresa una descrizione delle misure adottate. L'esportatore sospende il trasferimento dei dati se ritiene che non esistano più garanzie adeguate o se istruito in tal senso da [per il Modulo Tre il controllore o] la competente autorità di controllo. In tal caso, l'esportatore informa l’autorità di controllo competente e ha il diritto di risolvere il contratto . Nel caso in cui il contratto coinvolga più di due Parti, l'esportatore può esercitare il diritto alla risoluzione solo nei confronti della Parte responsabile, a meno che le Parti non abbiano diversamente concordato. Quando il contratto viene risolto ai sensi della presente clausola, si applica la sezione III, clausola 1 d ed e . SEZIONE III - DISPOSIZIONI FINALI Clausola 1 Inosservanza delle Clausole e risoluzione d Dati personali che sono già stati trasferiti prima della risoluzione del contratto [per i moduli uno, due e tre a scelta dell'esportatore essere immediatamente restituiti all'esportatore o distrutti nella loro interezza. Lo stesso si applica a qualsiasi copia dei dati] [per il modulo quattro essere distrutti nella loro interezza, compresa qualsiasi copia degli stessi]. L'importatore deve certificare la distruzione dei dati all'esportatore di dati. Tali obblighi lasciano impregiudicata qualsiasi disposizione del diritto locale che vieti la restituzione o la distruzione dei dati personali trasferiti. In tal caso, l'importatore assicura che garantirà, per quanto possibile, il livello di protezione richiesto dalle presenti Clausole ed elaborerà i dati solo nella misura e per il tempo richiesto in base a quella legge locale. e Ciascuna delle parti può revocare il proprio consenso a essere vincolata da queste clausole laddove i la Commissione europea adotti una decisione di adeguatezza ai sensi dell'articolo 45, paragrafo 3, del GDPR che copre il trasferimento dei dati personali a cui si applicano le presenti clausole o ii il GDPR diventi parte del quadro giuridico del paese in cui vengono trasferiti i dati personali. Ciò non pregiudica gli altri obblighi applicabili al trattamento in questione ai sensi del GDPR. Clausola 3- obblighi dell'importatore in caso di richieste di accesso da parte del governo La Clausola 3 della Sez.2 statuisce gli obblighi dell’importatore di fronte a un abuso del Governo estero sui patrimoni informativi europei. Si distinguono varie ipotesi -ordine governativo rivolto all’importatore di divulgare determinati dati -accesso diretto del Governo estero ai dati -divieto governativo rivolto all’importatore di fornire informazioni all’esportatore. Di fronte all’ordine di disclosure, l’importatore dovrà immediatamente fare una notifica all’esportatore contenente informazioni sui dati richiesti, sull’autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita. Di fronte all’accesso governativo diretto, una volta che l’importatore ne sia venuto a conoscenza, dovrà immediatamente fare una notifica all’esportatore contenente tutte le informazioni che è riuscito ad ottenere. Di fronte al divieto governativo di informare l’esportatore, l’importatore dovrà adoperarsi per ottenere una liberatoria. In tutti questi casi, ove la legge locale lo permetta, l’importatore può attivare un’impugnazione della disposizione illecita con richiesta di sospensione della stessa. Segue il testo integrale della Clausola secondo una traduzione ovviamente non ufficiale dello scrivente autore. Clausola 3- obblighi dell'importatore in caso di richieste di accesso da parte del governo. 3.1 Notifica a L'importatore di dati si impegna a informare tempestivamente l'esportatore di dati e, ove possibile, l'interessato se necessario con l'aiuto dell'esportatore di dati se i riceve una richiesta legalmente vincolante da parte di un'autorità pubblica ai sensi delle leggi del Paese di destinazione per la comunicazione dei dati personali trasferiti ai sensi di queste clausole tale notifica includerà informazioni sui dati richiesti, sull’autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita ii venga a conoscenza di qualsiasi accesso diretto da parte delle autorità pubbliche ai dati personali trasferiti ai sensi delle presenti Clausole in conformità con le leggi del Paese di destinazione tale notifica deve includere tutte le informazioni disponibili all'importatore. [Per il modulo tre l'esportatore di dati inoltra la notifica al controller.] b Se all'importatore di dati è vietato informare l'esportatore di dati e/o l’interessato, l'importatore si impegna a fare tutto il possibile per ottenere una liberatoria, al fine di comunicare quante più informazioni e quanto prima possibile. L'importatore si impegna a documentare i suoi migliori sforzi per poterli dimostrare su richiesta dell'esportatore di dati. c Nella misura consentita dalle leggi del paese di destinazione, l'importatore si impegna a fornire all'esportatore, a intervalli regolari per la durata di contratto, la maggior quantità possibile di informazioni pertinenti sulle richieste ricevute in particolare numero di richieste, tipologia di dati richiesti, l’autorità o le autorità richiedenti, se le richieste sono state contestate e l'esito di tali contestazioni, ecc. . [Per il modulo tre l'esportatore di dati deve inoltrare le informazioni al titolare del trattamento.] d L'importatore di dati si impegna a conservare le informazioni ai sensi dei paragrafi da a a c per tutta la durata del contratto e a metterle a disposizione delle autorità di vigilanza competenti su richiesta. e I paragrafi da a a c lasciano impregiudicato l'obbligo dell'importatore di informare tempestivamente l'esportatore qualora non sia in grado di conformarsi alle presenti clausole, ai sensi della clausola 1 della sezione III [risoluzione]. 3.2 Controllo della legalità e minimizzazione dei dati a L'importatore accetta di riesaminare, in base alle leggi del paese di destinazione, la legittimità della richiesta di divulgazione, in particolare se essa rimane nell'ambito dei poteri conferiti all'autorità pubblica richiedente e di esaurire tutti i rimedi disponibili per contestare la richiesta se, dopo un'attenta valutazione, conclude che le leggi del paese di destinazione lo consentono. Nell'impugnare una richiesta, l'importatore chiede misure provvisorie al fine di sospendere gli effetti della richiesta fino a quando il giudice non si sia pronunciato nel merito. Non divulga i dati personali richiesti fino a quando ciò non sia richiesto dalle norme procedurali applicabili. Tutto questo fatti salvi gli obblighi dell'importatore ai sensi della clausola 2 e della presente sezione. b L'importatore accetta di documentare la propria valutazione giuridica nonché qualsiasi contestazione della richiesta di divulgazione e, nella misura consentita dalla legislazione del paese di destinazione, di metterla a disposizione dell'esportatore. La mette inoltre a disposizione dell'autorità di controllo competente su richiesta. c L'importatore si impegna a fornire la quantità minima di informazioni ammissibile quando risponde a una richiesta di divulgazione, sulla base di un'interpretazione ragionevole della richiesta.