SCC Clausole Contrattuali Standard.

Le SCC sono le clausole standard approvate dalla Commissione Europea per il trasferimento di dati personali verso paesi terzi in assenza di una decisione di adeguatezza. Le SCC del 2021 hanno sostituito le versioni precedenti e richiedono una Transfer Impact Assessment (TIA) a seguito della sentenza Schrems II. Documentazione obbligatoria per chiunque utilizzi provider SaaS non europei.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

Il punto di vista di Cyber Academy

Le SCC sono le clausole standard approvate dalla Commissione Europea per il trasferimento di dati personali verso paesi terzi in assenza di una decisione di adeguatezza. Le SCC del 2021 hanno sostituito le versioni precedenti e richiedono una Transfer Impact Assessment (TIA) a seguito della sentenza Schrems II. Documentazione obbligatoria per chiunque utilizzi provider SaaS non europei.

Cosa fanno davvero le SCC

Le clausole contrattuali tipo sono un contratto preredatto tra un esportatore di dati nell'UE e un importatore in un Paese privo di decisione di adeguatezza. Firmandole, l'importatore si impegna a rispettare obblighi di livello GDPR: limitazione della finalità, sicurezza, controlli sui trasferimenti successivi, diritti degli interessati e cooperazione con l'autorità di controllo. Poiché la Commissione europea ha già approvato la formulazione, non occorre negoziare né giustificare le clausole stesse, motivo per cui sono il meccanismo di trasferimento predefinito per quasi ogni relazione SaaS, cloud o di sub-responsabile al di fuori dell'UE.

Le clausole sono modulari. Si sceglie il modulo che corrisponde alla relazione reale: titolare a titolare, titolare a responsabile, responsabile a responsabile, oppure responsabile a titolare. Sbagliare modulo è l'errore di redazione più comune, perché gli obblighi e i punti di aggancio per i sub-responsabili differiscono tra loro. Le SCC includono anche una clausola di aggancio che consente a nuove parti di unirsi a un insieme esistente, il che rende gestibili le lunghe catene di sub-responsabili.

Perché la TIA ha cambiato le carte in tavola

Prima della sentenza Schrems II del 2020, firmare le SCC era considerato sufficiente di per sé. La Corte di giustizia vi ha posto fine. Ha stabilito che gli impegni contrattuali non possono vincolare un governo straniero, per cui l'esportatore deve valutare se l'importatore possa onorare genuinamente le clausole alla luce della legislazione locale in materia di sorveglianza e accesso. Tale valutazione è la valutazione d'impatto del trasferimento. In pratica si documentano il Paese di destinazione, le leggi che potrebbero imporre la divulgazione, la natura e la sensibilità dei dati, e se misure supplementari come una cifratura robusta, la pseudonimizzazione o l'elaborazione frazionata colmino l'eventuale lacuna individuata.

Se la TIA conclude che l'importatore non può soddisfare gli impegni delle SCC e nessuna misura supplementare lo risolve, il trasferimento non dovrebbe procedere sulla base delle SCC. È qui che le SCC differiscono nettamente da una decisione di adeguatezza: l'adeguatezza è un accertamento della Commissione che elimina l'onere caso per caso, mentre le SCC spostano tale onere su di voi per ogni trasferimento. L'EU-US Data Privacy Framework offre ora una via di adeguatezza per gli importatori statunitensi certificati, ma le SCC restano lo strumento di riferimento per ogni altro Paese terzo e per i fornitori statunitensi non certificati.

Cosa fanno davvero i professionisti

Un processo SCC che funziona è ripetibile, non un esercizio giuridico una tantum. Lo schema su cui la maggior parte dei team converge è il seguente.

  1. Mappare il trasferimento: individuare l'esportatore, l'importatore, le categorie di dati e il modulo corretto prima di toccare il modello.
  2. Completare gli allegati: le parti, la descrizione del trattamento e le misure di sicurezza tecniche e organizzative. Allegati vaghi sono la parte che i regolatori mettono in discussione per prima.
  3. Eseguire e documentare la TIA, comprese le eventuali misure supplementari, e conservarla insieme alle clausole firmate.
  4. Integrare le SCC nell'onboarding dei fornitori affinché siano firmate prima che i dati inizino a circolare, e non aggiunte a posteriori dopo che un audit ha rilevato la lacuna.
  5. Riesaminare quando il fornitore cambia sub-responsabili, quando il Paese di destinazione o le sue leggi cambiano, oppure secondo una cadenza fissa.

Le SCC si collocano all'interno della vostra più ampia narrazione di responsabilizzazione GDPR. Rinviano ai registri delle attività di trattamento, alla DPIA quando richiesta e ai controlli di sicurezza che vi siete già impegnati ad attuare. Trattate come documenti vivi anziché come una firma raccolta una volta sola, sono la differenza tra un trasferimento che potete difendere e uno che crolla nel momento in cui un regolatore o un interessato chiede come proteggete i dati che lasciano l'UE.

Frequently asked questions

01Quando ci servono le SCC anziché affidarci a una decisione di adeguatezza?

Le SCC servono ogni volta che dati personali vanno verso un Paese terzo che la Commissione europea non ha dichiarato adeguato, o verso un importatore non coperto da un meccanismo di adeguatezza come l'EU-US Data Privacy Framework. Se per quello specifico trasferimento esiste una valida via di adeguatezza, non servono SCC per esso.

02Le SCC del 2021 sono diverse da quelle vecchie?

Sì. Le SCC modulari del 2021 hanno sostituito gli insiemi precedenti dell'epoca del 2010. Coprono quattro scenari di trattamento in un unico documento, aggiungono la clausola di aggancio per le nuove parti e riflettono il requisito di Schrems II secondo cui la sola firma non è sufficiente.

03Una valutazione d'impatto del trasferimento è obbligatoria con le SCC?

In pratica, sì. Dopo Schrems II è necessario valutare se l'importatore possa effettivamente onorare le clausole alla luce della legislazione locale e documentare tale analisi insieme a eventuali misure supplementari. Le SCC prive di una TIA sono ampiamente considerate incomplete.

04Quale modulo SCC dovremmo usare?

Scegliete il modulo che corrisponde alla relazione reale: titolare a titolare, titolare a responsabile, responsabile a responsabile, oppure responsabile a titolare. Scegliere il modulo sbagliato è un errore comune perché ciascuno comporta obblighi e regole sui sub-responsabili differenti.

05Le SCC sostituiscono un accordo sul trattamento dei dati?

Non esattamente. Le SCC riguardano il trasferimento internazionale, mentre i moduli relativi al responsabile soddisfano anche le condizioni essenziali di trattamento dell'articolo 28. Molte organizzazioni li combinano in modo che un unico strumento copra sia il trasferimento sia la relazione di trattamento.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.