Lo scorso 4 giugno 2021 la Commissione Europea ha approvato due nuovi modelli di clausole contrattualiĀ standardĀ riguardantiĀ lāapplicazioneĀ delĀ RegolamentoĀ (UE)Ā 2016/679Ā (Regolamento generale sulla protezione dei dati personali o āGDPRā):
Decisione 2021/915/UE:Ā clausole che disciplinano i rapporti tra i titolari e responsabili del trattamento, ai sensi dellāarticolo 28, paragrafo 7 del GDPR
Decisione 2021/914/UE:Ā clausole recanti garanzie adeguate per i trasferimenti al di fuori dellāUnione europea ai sensi dellāarticolo 46, paragrafo 2, lett, c) del GDPR.
Queste nuove clausole standard sono state pubblicate nella Gazzetta ufficiale dellāUnione EuropeaĀ del 7 giugno 2021 (L199) e sono entrate in vigore il 27 giugno 2021, cioĆØ il ventesimo giorno successivo alla pubblicazione.
Cosa ĆØ necessario fare?
Rapporti tra titolari e Responsabili Esterni del Trattamento (Art.28 GDPR)
ĆØ necessario verificare che la nomina dei Responsabili del Trattamento Esterni, sia conforme alle clausole contrattuali ivi indicate. Tali clausole riportano i minimi obblighi reciproci che devono assumersi il Titolare e il Responsabile. Infatti al considerando (6) della decisione viene indicato cheĀ ātali clausole possono essere incluse in un contratto piĆ¹ ampio o aggiungere altre clausole o garanzie purchĆ© queste non contraddicano, direttamente o indirettamente, le clausole contrattuali tipo o pregiudichino i diritti o le libertĆ fondamentali degli interessatiā
Esportazione dati fuori Europa (Art.46 GDPR)
Tali clausole sanano un vuoto che si era generato nellāesportazioni dei dati fuori Europa che si era venuto a creare con la sentenza Schrems II che aveva invalidato il Privacy Shield.
Lāapplicazione di tali clausole permette alle aziende o a chiunque debba esportare o usare servizi fuori Europa di farlo liberamente senza alcune restrizioni.
Di seguito, riportiamo le principali novitĆ introdotte dalle nuove clausole contrattuali standard:
viene coperta un’ampia gamma di scenari di trasferimento, invece di dover adottare diverse e separate clausole per ogni diverso trasferimento effettuato;
sono piĆ¹ flessibili con catene di trattamenti complesse. Sono caratterizzate, infatti, da un “approccio modulare” e possono essere utilizzate da piĆ¹ di due parti;
sono strumenti pratici per conformarsi alla sentenza Schrems II.
Ć necessario adeguare i propri rapporti contrattuali con lāinserimento di tali nuove clausole contrattuali allāinterno di quei contratti che prevedono il trasferimento di dati personali. A tal fine, per i Titolari del trattamento e ai Responsabili del trattamento ex art. 28
GDPR che stanno attualmente utilizzando le ormai āvecchieā clausole, ĆØ concesso un periodo di transizione di 18 mesi per potersi adeguare a quelle di nuova introduzione
