In data 4 giugno 2021, con le Decisioni di esecuzione nn. 914 e 915 la Commissione Europea ha adottato due sets di clausole contrattuali tipo di protezione dei dati (note anche come model contractual clauses o standard contractual clauses) aventi ad oggetto rispettivamente la disciplina dei rapporti tra titolare e responsabile del trattamento e i trasferimenti di dati personali verso paesi terzi ed organizzazioni internazionali.
I sets di clausole adottati potranno essere utilizzati laddove il trattamento sia realizzato ai sensi del Regolamento UE 2016/679 (“GDPR”) o del Regolamento 2018/1725 (relativo a trattamenti da parte delle istituzioni, degli organi e degli organismi dell’Unione, di seguito “EUDPR”).
Il recente intervento rende opportuno soffermarsi sulla natura dello strumento in parola nonché sulla possibilità di utilizzo quale garanzia di trattamento dei dati personali in conformità alle disposizioni del GDPR e dell’EUDPR.
Quando si parla di clausole contrattuali tipo di protezione dei dati si fa riferimento ad un framework di disposizioni elaborate ed approvate da un soggetto terzo rispetto alle parti contraenti ed adottato da quest’ultime al fine di garantire tutele adeguate per il trattamento dei dati personali dell’interessato (colui i cui dati personali sono trattati).
Lo scopo delle clausole contrattuali tipo tra titolari e responsabili del trattamento di recente adozione è quello di dotare i medesimi di uno strumento unico nel panorama europeo per facilitare il rispetto delle disposizioni del GDPR e dell’EUDPR e per agevolare le negoziazioni tra le parti con riferimento ai contenuti degli atti di nomina a responsabile del trattamento.
Ciò non toglie che le parti, pur decidendo di adottare le clausole contrattuali tipo, possano aggiungere garanzie supplementari purché non contraddicano le clausole stesse e non pregiudichino i diritti degli interessati.
L’importanza di questo strumento è evidente se si considera che nella pratica commerciale non è infrequente il caso in cui un soggetto, per la fornitura/erogazione di un prodotto/servizio, si avvalga di collaboratori esterni che nell’esecuzione dell’incarico si trovano a trattare dati personali di titolarità del primo. Il titolare deve avere cura che i dati personali degli interessati siano trattati dal collaboratore esterno secondo i requisiti di cui all’art. 28 del GDPR (e 29 dell’EUDPR) nel rispetto dei diritti e delle libertà degli interessati.
Ecco allora che l’adozione delle clausole contrattuali tipo in commento consente sia al titolare che al responsabile del trattamento di garantire il rispetto delle prescrizioni del GDPR (e del Regolamento 2018/1725); fermo restando che le parti dovranno essere in grado di dimostrare la conformità delle operazioni di trattamento alle disposizioni contrattuali.
Si tratta del primo modello rilasciato in materia da un’istituzione comunitaria che seppur non di obbligatoria adozione da parte di titolari e responsabili renderà opportuno quanto meno un raffronto dei contratti attualmente in essere con l’archetipo elaborato dalla Commissione europea.
Quanto invece alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi – che sostituiscono quelle adottate sulla base della Direttiva 95/46/CE – sono volte ad assicurare l’adozione di adeguate garanzie in materia di protezione dei dati in conformità all’art. 46 del GDPR.
In altri termini, l’adozione delle predette clausole dovrebbe assicurare che i dati personali oggetto di trasferimento siano trattati con le garanzie applicabili all’interno dell’Unione europea.
Le clausole contrattuali tipo rappresentano uno degli strumenti utilizzabili da titolari e responsabili del trattamento per trasferire dati personali verso paesi terzi ed organizzazioni internazionali cui non sono applicabili le disposizioni del GDPR.
L’adozione di tale strumento, resosi quanto più necessario anche in seguito all’invalidazione della Decisione di Esecuzione n. 2016/1250 (c.d. scudo UE-USA per la privacy) che riconosceva l’adeguatezza dei trasferimenti di dati personali UE-USA, è volta a favorire la circolazione dei dati personali senza che ciò si traduca in una menomazione della tutela degli interessati e pertanto in una violazione dei principi del GDPR.
I principali elementi di novità delle clausole tipo in parola possono essere individuati come segue:
- formulazione modulare da poter utilizzare per trasferimenti da titolare a titolare, da titolare a responsabile, da responsabile a responsabile e da responsabile a titolare;
- possibilità di uniformarsi alle prescrizioni di cui all’art. 28 per la nomina di soggetti responsabili del trattamento senza dover negoziare un ulteriore specifico contratto;
- obbligo dell’esportatore e dell’importatore di valutare se la legislazione del paese di destinazione rispetti le garanzie richieste dalle clausole tipo;
- indicazione specifica delle misure di sicurezza tecniche ed organizzative adottate;
- individuazione dell’Autorità di controllo competente: l’importatore accetta di sottoporsi alla giurisdizione di quest’ultima;
- specifici obblighi dell’importatore in caso di accesso da parte di un’autorità pubblica.
I titolari e i responsabili del trattamento che attualmente stanno utilizzano il meccanismo delle clausole contrattuali tipo per il trasferimento internazionale di dati personali hanno a disposizione un periodo transitorio di 18 mesi dall’entrata in vigore della relativa Decisione di esecuzione della Commissione europea per adeguare i contratti alle nuove clausole tipo.
È opportuno sfruttare il periodo transitorio per verificare i rapporti contrattuali in essere che comportano il trasferimento di dati personali sulla base delle clausole contrattuali tipo sì da effettuare una transizione senza soluzione di continuità con i nuovi strumenti adottati dalla Commissione europea.
Come evidente le garanzie oggetto dei sets contrattuali di recente adozione dovranno essere parametrate e dettagliate con riferimento alle specificità dei singoli trattamenti e rapporti contrattuali tra titolare e responsabile e tra esportatore e importatore. Inoltre, le previsioni contrattuali dovranno essere concretamente implementate dal titolare e dal responsabile del trattamento sì da garantire l’adozione di misure tecniche ed organizzative idonee a tutelare la sicurezza dei dati personali degli interessati.