Molti lettori hanno ormai familiarità con la recente sentenza della corte di giustizia europea, che è stata battezzata Schrems II, con riferimento al soggetto che ha attivato il procedimento. Questa sentenza ha allargato alquanto il campo di responsabilità di un titolare, che desideri effettuare il trattamento di dati, afferenti a cittadini europei, in un paese esterno all’unione europea.
Al proposito, esiste già una clausola del regolamento europeo, che fa riferimento a clausole contrattuali standardizzate, che permettono di effettuare il trattamento di dati, provenienti dall’Europa, in paesi esterni all’Europa e non inseriti nell’elenco dei paesi benevisi; questo elenco comprende i paesi che hanno una legislazione, in materia di protezione dei dati personali, che offre garanzie simili a quelle previste in Europa.
L’applicazione di questa nuova sentenza ha aumentato le responsabilità del titolare del trattamento coinvolto ed ha obbligato la commissione europea a pubblicare un nuovo elenco aggiornato delle clausole standard contrattuali, proprio per consentire al titolare di meglio rispettare i dettati di questa sentenza.
In caso di trasferimento in paesi terzi il titolare è quindi adesso obbligato a sviluppare anche una TIA-transfer impact assessment, che deve prendere in esame numerosi aspetti, afferenti al trattamento dei dati nel paese terzo, in precedenza non sufficientemente esaminati.
Ad esempio, si richiede di esaminare con attenzione il fatto che nel paese terzo le pubbliche autorità possano accedere ai dati personali trasferiti, come pure ad essi possano accedere studi legali, consulenti ed altri, che ritengano di avere un buon motivo per esaminare questi dati.
Ecco il motivo per cui è stata pubblicata la versione aggiornata delle clausole standard contrattuali, con alcune notazioni, che prendono proprio in esame questi aspetti, probabilmente in precedenza non sufficientemente approfonditi.
Sia ben chiaro che la maggioranza delle raccomandazioni rimane sostanzialmente inalterata, ma le note di chiarimento, condivise dal comitato europeo per la protezione dei dati e dal supervisore europeo per la protezione dei dati, richiedono ai titolari di effettuare una analisi assai più approfondita delle garanzie offerte in fase di trasferimento nei paesi terzi. È in questo contesto che diventa preziosa l’assistenza del responsabile della protezione dei dati, le cui competenze, costantemente aggiornate, possono dare un prezioso contributo al titolare nell’assumere appropriate decisioni su questi trasferimenti.