Oggi, la Commissione europea ha rilasciato la versione finale delle nuove clausole contrattuali tipo (CCT) per il trasferimento di dati personali a paesi terzi. Le nuove CCT offrono finalmente chiarezza alle aziende che trasferiscono i dati personali al di fuori dell'Unione europea dopo la sentenza della Corte di giustizia dell'Unione europea (CGUE) dello scorso anno nel caso Schrems II. Di particolare interesse per i nostri clienti è che le nuove CCT permettono alle aziende di considerare l'assenza di precedenti richieste di dati da parte delle autorità pubbliche come un fattore rilevante per determinare qualsiasi protezione supplementare necessaria per il trasferimento dei dati. Questo approccio è in linea sia con l'approccio basato sul rischio del GDPR (Regolamento generale sulla protezione dei dati), sia con i requisiti della sentenza Schrems II della CGUE.
Ecco una breve spiegazione delle nuove CCT, che cosa significano nel contesto di Schrems II, e alcune riflessioni in prospettiva sui trasferimenti di dati all'estero.
Perché sono state emanate nuove CCT?
In un comunicato stampa che accompagna le nuove CCT, la Vicepresidente per i Valori e la trasparenza Vera Jourová ha dichiarato:
"In Europa vogliamo rimanere aperti e consentire la circolazione dei dati, purché circoli anche la protezione. Le clausole contrattuali tipo aggiornate contribuiranno a conseguire questo obiettivo: offrono alle imprese uno strumento utile per garantire il rispetto delle norme sulla protezione dei dati, sia per le loro attività all'interno dell'UE sia per i trasferimenti internazionali. Si tratta di una soluzione necessaria nel mondo digitale interconnesso, dove per trasferire dati bastano un paio di clic."
Gli ultimi aggiornamenti alle CCT risalgono al 2004 (clausole tra titolari del trattamento) e al 2010 (clausole tra titolare del trattamento e responsabile del trattamento). Da allora, il GDPR ha introdotto requisiti specifici che devono essere inclusi nei contratti di trattamento dei dati. Le nuove CCT incorporano le disposizioni richieste dal GDPR nel meccanismo di trasferimento dei dati. Inoltre, le nuove CCT riflettono meglio le moderne realtà aziendali, dove le aziende spesso agiscono sia come titolari del trattamento dei dati sia come responsabili del trattamento. Le nuove CCT hanno un approccio modulare e semplificano il processo di stipula dei contratti e coprono anche due tipi aggiuntivi di trasferimento: tra responsabile del trattamento e titolare del trattamento e tra responsabile del trattamento e responsabile del trattamento.
Come sono cambiate le nuove CCT in seguito alla sentenza Schrems II?
In seguito alla sentenza Schrems II, le aziende che trasferiscono i dati di cittadini dell'UE a paesi terzi, come gli Stati Uniti, devono eseguire valutazioni caso per caso per individuare le misure supplementari necessarie per proteggere i dati personali trasferiti. La valutazione deve considerare le pratiche di sorveglianza del governo e la tutela dei diritti individuali dei paesi in cui i dati vengono trasferiti. Le nuove CCT riflettono questo requisito e contengono anche garanzie specifiche, tra cui l'obbligo di interrogare e contestare, laddove appropriato, le richieste di accesso ai dati da parte del governo, nonché di tenere informato l'esportatore dei dati. Comprendiamo che i nostri clienti e i legislatori richiedano garanzie in tal senso. In linea con i nostri valori fondamentali di servizio clienti e integrità, Workday pubblica i principi di accesso ai dati da parte dei governi e un rapporto di trasparenza ufficiale per i nostri clienti.
Qual è il collegamento tra le CCT e il codice di condotta europeo sul cloud recentemente approvato?
In maggio, l'autorità belga per la protezione dei dati ha annunciato di avere approvato il codice di condotta per la protezione dei dati dell'UE per i fornitori di servizi cloud ("EU Cloud CoC"), che è il primo codice di condotta transnazionale dell'UE dall'entrata in vigore del GDPR. L'EU Cloud CoC integra le CCT come meccanismo di conformità in base al GDPR, ma non funge da meccanismo di trasferimento dei dati. Nell'agosto 2019, Workday è diventata la prima azienda a dimostrare l'adesione all'EU Cloud CoC.
Che cosa riserva il futuro?
Stiamo esaminando a fondo le nuove CCT e offriremo questi impegni contrattuali ai nostri clienti entro i tempi richiesti, che sono 18 mesi per i contratti esistenti. Anticipiamo anche che alla fine del mese il Comitato europeo per la protezione dei dati pubblicherà le raccomandazioni finali sulle misure supplementari per i trasferimenti di dati, e rimaniamo fiduciosi che prenderanno anche in considerazione se una società ha ricevuto richieste formali di accesso ai dati personali da parte di autorità governative. Considerando la storia passata e le dichiarazioni del governo, i dati aziendali di carattere finanziario, analitico e delle risorse umane sono di scarso interesse per le autorità governative.
Inoltre, rimaniamo ottimisti sul fatto che nel corso di quest'anno verrà concordato un quadro successivo al Privacy Shield. Nel frattempo, Workday ha rinnovato la sua certificazione Privacy Shield continuando a mantenere gli impegni presi con la FTC e i nostri clienti sul trattamento dei dati personali secondo i principi del Privacy Shield.
Soprattutto, vogliamo sottolineare che Workday è fiduciosa che i governi degli Stati Uniti e dell'UE continueranno a collaborare per consentire il trasferimento internazionale dei dati. La pubblicazione delle clausole contrattuali tipo aggiornate e il lavoro congiunto da parte dei due governi ne sono una chiara testimonianza.