Il Comitato europeo per la protezione dei dati personali (EDPB) e il Garante europeo per la pro-tezione dei dati personali (EDPS) adottano due pareri congiunti sulle nuove clausole contrat-tuali standard.

Il Comitato europeo per la protezione dei dati personali (EDPB) e il Garante europeo per la protezione dei dati personali (EDPS) hanno adottato pareri congiunti su due nuovi insiemi di Clausole Contrattuali Standard (SCC), uno dedicato ai rapporti tra titolari e responsabili del trattamento e l’altro pensato per i trasferimenti di dati personali verso Paesi terzi.

L’iniziativa si inserisce nell’obiettivo di rendere più uniforme e prevedibile, su base UE, la contrattualistica privacy: nel caso delle SCC “titolare–responsabile”, l’aspettativa è di favorire armonizzazione e certezza giuridica nei contratti con i fornitori, riducendo frammentazioni e interpretazioni divergenti e rendendo più “operativa” la conformità quotidiana, sia per il perimetro del GDPR sia per quello applicabile alle istituzioni e agli organismi dell’Unione.

Nel merito, i pareri sottolineano l’esigenza di maggiore chiarezza su quando le parti possano effettivamente fare affidamento su queste clausole e richiamano l’attenzione sul fatto che non dovrebbero essere lasciate fuori le situazioni in cui, oltre al rapporto titolare–responsabile, siano presenti anche trasferimenti di dati al di fuori dell’Unione. Proprio per aumentare l’usabilità concreta, vengono richiesti diversi aggiustamenti di testo e di struttura: un punto rilevante riguarda il coordinamento tra i due “pacchetti” di clausole e l’interazione tra i diversi strumenti, per evitare incertezze operative.

Un altro aspetto riguarda la cosiddetta “clausola di adesione”, pensata per permettere l’ingresso di ulteriori soggetti nelle SCC: anche qui la richiesta è di precisare modalità e perimetro, in modo da riflettere meglio filiere complesse e servizi che coinvolgono più attori. Ampio spazio è inoltre dedicato agli obblighi in capo ai responsabili del trattamento, con l’idea di rendere le SCC uno strumento di responsabilizzazione effettivo e non meramente formale.

Un passaggio centrale riguarda gli allegati alle SCC: l’indicazione è che, per evitare ambiguità che finirebbero per complicare l’adempimento, gli allegati dovrebbero descrivere con il massimo grado di dettaglio possibile ruoli e responsabilità delle parti rispetto a ciascuna attività di trattamento, chiarendo chi fa cosa, con quali misure e con quali flussi di dati.

Sul fronte dei trasferimenti internazionali, il secondo pacchetto di SCC nasce per sostituire le clausole adottate in epoca pre-GDPR e per allinearsi ai requisiti del Regolamento, tenendo conto anche degli insegnamenti emersi a seguito della decisione Schrems II e dell’evoluzione pratica dei trattamenti, sempre più spesso articolati e multi-attore, con più esportatori e importatori di dati. La direzione è quella di rafforzare le garanzie quando le leggi del Paese di destinazione possono incidere sul rispetto delle clausole, soprattutto in caso di richieste vincolanti da parte di autorità pubbliche che impongano l’accesso o la divulgazione dei dati. In questo senso, le nuove SCC includono presìdi più specifici per gestire i casi di conflitto tra obblighi contrattuali e quadro normativo locale.

Nel giudizio complessivo, i pareri riconoscono che le bozze presentano un livello di protezione rafforzato per gli interessati e contengono disposizioni mirate ad affrontare temi emersi con Schrems II; allo stesso tempo, vengono evidenziati ambiti in cui serve ulteriore chiarimento o miglioramento. Tra questi: l’esatto ambito di applicazione delle clausole, alcuni diritti azionabili dagli interessati come terzi beneficiari, gli obblighi relativi ai trasferimenti successivi (onward transfers), i criteri e il metodo per valutare le leggi del Paese terzo rispetto agli accessi da parte delle autorità, nonché gli aspetti legati alle notifiche verso le autorità di controllo.

Infine, viene ribadito un punto pratico rilevante: in determinati scenari, per assicurare un livello di tutela sostanzialmente equivalente a quello garantito nell’Unione, le SCC dovranno essere affiancate – ove necessario – da misure supplementari, in linea con le raccomandazioni europee dedicate a questo tema.