Novità in materia di protezione dei dati personali: la Commissione europea adotta nuove clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del regolamento 2016/679 UE

 

Le “clausole contrattuali tipo” sono previsioni standard elaborate dalla Commissione europea al fine di garantire un livello adeguato di protezione del trasferimento dei dati da un titolare o responsabile del trattamento stabilito nell’Unione ad un titolare o responsabile del trattamento stabilito in un paese terzo. In passato, le clausole contrattuali tipo in materia di protezione del trasferimento dei dati erano previste dalle decisioni 2001/497 CE e 2010/87 UE, entrambe basate sulla direttiva 95/46 CE. Tuttavia, dall’adozione di tali decisioni si sono verificati importanti sviluppi nell’economia digitale, con l’uso diffuso di nuovi e più complessi trattamenti che coinvolgono spesso numerosi importatori ed esportatori di dati, lunghe e complesse catene di trattamento e relazioni commerciali in evoluzione. Tali cambiamenti hanno imposto una modernizzazione delle clausole contrattuali tipo per rispecchiare meglio tali realtà, contemplando ulteriori situazioni di trattamento e trasferimento, e consentire un approccio più flessibile, ad esempio per quanto riguarda il numero di parti che possono aderire al contratto o la capacità delle clausole di rispondere a diversi scenari di trasferimento dei dati.

 

Con la  decisione 2021/914 UE del 4 giugno 2021 (di seguito, la “Decisione”), la Commissione europea, ha adottato nuove clausole contrattuali tipo che riflettono le novità contenute nel recente “Regolamento generale sulla protezione dei dati” 2016/679 UE (di seguito, “GDPR”) – che ha abrogato la direttiva 95/46 CE – e tengono conto della sentenza Schrems II, garantendo un elevato livello di protezione dei dati per i cittadini. Questi nuovi strumenti si propongono di offrire una maggiore prevedibilità giuridica alle imprese europee e di aiutare, in particolare, le PMI a garantire la conformità ai requisiti per il trasferimento sicuro dei dati, consentendo, allo stesso tempo, ai dati di circolare liberamente attraverso le frontiere, senza barriere legali.

 

La Decisione della Commissione entrerà in vigore il 20° giorno successivo alla sua pubblicazione nella GUUE. Le clausole sono state pubblicate nella GUUE il 7 giugno 2021. Ciò significa che le clausole potranno essere utilizzate dal 27 giugno 2021. Tuttavia, le decisioni della Commissione che approvano le attuali clausole contrattuali tipo non saranno abrogate per altri 3 mesi dalla data di entrata in vigore della Decisione. Inoltre, la Decisione contiene anche una disposizione transitoria, la quale stabilisce che i contratti che utilizzano le attuali clausole contrattuali tipo forniranno garanzie adeguate per i trasferimenti di dati per ulteriori 15 mesi.

 

La necessità di adottare le nuove clausole contrattuali tipo trae origine dal GDPR (v. clausola 1 della Decisione), in base al quale il trasferimento di dati personali verso paesi extra UE è consentito a condizione che il paese terzo di destinazione garantisca un livello di protezione adeguato dei dati personali. In particolare, l’articolo 45, paragrafo 3, del GDPR autorizza il trasferimento di dati personali verso un paese extra europeo solo a condizione che la Commissione ritenga adeguato il livello di protezione da quest’ultimo garantito. In mancanza di una decisione di adeguatezza della Commissione, l’articolo 46, paragrafo 1, del GDPR subordina il trasferimento di dati personali verso un paese terzo alla condizione che il titolare del trattamento o il responsabile del trattamento possa fornire garanzie adeguate sul livello di protezione dei flussi di dati e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Segnatamente, ai sensi dell’articolo 46, paragrafo 2, lett. c), del GDPR, tali garanzie di adeguatezza possono risultare dalle clausole contrattuali tipo di protezione dei dati adottate dalla Commissione (v. anche clausola 2 della Decisione).

 

Le clausole contrattuali tipo svolgono, dunque, il ruolo di assicurare garanzie adeguate in materia di protezione dei dati per i trasferimenti internazionali di dati. Pertanto, il titolare del trattamento o responsabile del trattamento che trasferisce i dati personali verso un paese terzo (cd “esportatore”) e il titolare del trattamento o il responsabile del trattamento che riceve i dati personali (cd. “importatore”) sono liberi di includere tali clausole contrattuali tipo in un contratto più ampio e di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano direttamente o indirettamente le clausole contrattuali tipo o pregiudichino i diritti e le libertà fondamentali degli interessati (v. clausole 4 e 5 della Decisione).

 

Tra le varie previsioni contenute nella recentissima decisione in esame, è opportuno segnalare alcuni aspetti particolarmente significativi.

 

In primo luogo, le clausole contrattuali tipo contenute nell’allegato della Decisione in esame contemplano quattro ipotesi di trasferimento dati: 1) da titolare del trattamento a titolare del trattamento; 2) da titolare del trattamento a responsabile del trattamento; 3) da responsabile del trattamento a responsabile del trattamento; 4) da responsabile del trattamento a titolare del trattamento. La clausola contrattuale tipo numero 9 prevede anche la possibilità che l’importatore si avvalga di un subresponsabile del trattamento, a condizione di aver ricevuto dall’esportatore, alternativamente, un’autorizzazione preliminare specifica o un’autorizzazione scritta generale. In questa ipotesi, l’importatore è tenuto a garantire che l’attività del subresponsabile sia, a sua volta, conforme alle prescrizioni delle clausole in esame.

 

La previsione di quattro distinte ipotesi di trasferimento dati evidenzia una peculiare flessibilità applicativa delle nuove clausole contrattuali tipo. Infatti, tali clausole adottano un “approccio modulare” combinando le clausole generali per rispondere ai diversi scenari di trasferimento e alla complessità delle moderne catene di trattamento dei dati. Attraverso la modernizzazione del trattamento dei dati personali, i titolari del trattamento e i responsabili del trattamento dovrebbero scegliere il modulo applicabile alla loro situazione in modo da adattare gli obblighi derivanti dalle clausole contrattuali tipo al loro ruolo e alle loro responsabilità in relazione al trattamento di dati in questione.

 

Sempre in tema di flessibilità applicativa, la clausola numero 7 prevede la possibilità di “adesione successiva” alle clausole contrattuali tipo. Secondo tale logica, i contratti contenenti le clausole contrattuali tipo dovrebbero consentire ad ulteriori titolari del trattamento o responsabili del trattamento di aderire alle clausole contrattuali tipo in qualità di esportatore o importatore durante l’intero ciclo di vita del contratto di cui tali clausole fanno parte.

 

Un’ulteriore novità è rappresentata dal diritto degli interessati di poter invocare, e se necessario far valere, le clausole contrattuali tipo in qualità di terzi beneficiari nell’ambito del rapporto tra l’esportatore e l’importatore (v. clausola 3). Infatti, in caso di controversia tra l’importatore e un interessato che invochi i propri diritti in qualità di terzo beneficiario, l’interessato dovrebbe poter proporre reclamo all’autorità di controllo competente o deferire la controversia agli organi giurisdizionali competenti dell’UE (v. considerando 12). Al fine di rendere effettivo il diritto alla tutela dei dati personali da parte dell’interessato, l’importatore dovrebbe essere tenuto a sottoporsi alla giurisdizione dell’autorità di controllo competente e agli organi giurisdizionali competenti dell’UE ed impegnarsi ad attenersi a qualunque decisione vincolante e norma della legislazione applicabile dello Stato membro. Infine, l’importatore dovrebbe fornire un punto di contatto autorizzato a trattare i reclami oppure offrire gratuitamente all’interessato la possibilità di ricorrere ad un organismo indipendente di risoluzione delle controversie (v. clausola 11).

 

Come anticipato, le clausole della Decisione sono state redatte tenendo anche conto della sentenza Schrems II e ad essa fanno ampio riferimento.

 

Infatti, ad esempio, lo scopo dichiarato (v. considerando 11) delle nuove clausole contrattuali tipo contenute nella Decisione è quello di assicurare ai trasferimenti di dati verso paesi extra europei un livello di protezione “sostanzialmente equivalente” a quello assicurato all’interno dell’Unione (v. sentenza Schrems II, punti 96 e 103; v. GDPR, considerando 108 e 114). Per garantire la trasparenza del trattamento, gli interessati dovrebbero ricevere una copia delle clausole contrattuali tipo ed essere informati, in particolare, delle categorie di dati personali trattati, del diritto di ottenere una copia delle clausole contrattuali tipo ed eventuali trasferimenti successivi. I trasferimenti successivi dall’importatore a un terzo in un altro paese terzo dovrebbero essere consentiti solo se il terzo aderisce alle clausole contrattuali tipo, se la continuità della protezione è garantita in altro modo, o in situazioni specifiche, ad esempio sulla base del consenso esplicito e informato dell’interessato.

 

Inoltre, ai sensi della clausola 14, le parti devono valutare se la legislazione e la prassi del paese terzo di destinazione applicabile al trattamento dei dati personali da parte dell’importatore sia suscettibile di impedire all’importatore di rispettare gli obblighi di protezione dei dati che gli incombono a norma delle presenti clausole. Le clausole stabiliscono i fattori che le parti devono considerare in una valutazione d’impatto del trasferimento di dati. Oltre a considerare la legge e la pratica nel paese terzo, le clausole fanno anche riferimento, tra l’altro, alla lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; il tipo di destinatario e i dettagli dei trasferimenti successivi; lo scopo del trattamento e la natura dei dati trasferiti; nonché il formato dei dati trasferiti e il settore economico interessato in cui avvengono i trasferimenti e il luogo di conservazione dei dati trasferiti.

 

Infine, le clausole includono anche impegni per l’importatore di dati rispetto ai tentativi delle autorità pubbliche del paese terzo di accedere ai dati personali originari dell’UE. Ai sensi della clausola 15, l’importatore di dati deve notificare all’esportatore di dati e – ove possibile – alla persona o alle persone interessate, che ha ricevuto una richiesta giuridicamente vincolante di accesso a tali dati da parte di un’autorità pubblica. L’importatore di dati deve valutare la legittimità di tale ordine con riferimento alla legge in vigore nel paese terzo e alle leggi internazionali e, se ritiene di avere motivi per impugnare l’ordine, deve farlo. Se possibile, l’importatore di dati deve chiedere un provvedimento provvisorio per sospendere qualsiasi obbligo di rivelare i dati mentre l’impugnazione è in corso. L’importatore di dati deve documentare queste richieste e la propria valutazione giuridica e metterli a disposizione dell’esportatore. Infine, qualora l’importatore di dati risponda ad una richiesta di accesso ai dati da parte dell’autorità pubblica, egli deve fornire la quantità minima di informazioni consentite sulla base di un’interpretazione ragionevole della richiesta.

 

 


facebooktwittergoogle_plusmailfacebooktwittergoogle_plusmail