[…] In mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento dovrebbe provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell’interessato.
Tali adeguate garanzie possono consistere nell’applicazione di norme vincolanti d’impresa, clausole tipo di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un’autorità di controllo o clausole contrattuali autorizzate da un’autorità di controllo […]
I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).
In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679).
Al riguardo, possono costituire garanzie adeguate:
1) senza autorizzazione da parte del Garante:
- gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a);
- le norme vincolanti d’impresa (art. 46, par. 2, lett. b)
- le clausole tipo (art. 46, par. 2, lett. c e lett. d)
- i codici di condotta (art. 46, par. 2, lett. e)
2) previa autorizzazione del Garante:
- le clausole contrattuali ad hoc (art. 46, par. 3, lett. a)
- gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b)
In questo senso dispone espressamente l’articolo 46 del GDPR, Ipsis litteris:
“Trasferimento soggetto a garanzie adeguate1. In mancanza di una decisione ai sensi dell’articolo 45, paragrafo 3, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.
[…] b) le norme vincolanti d’impresa in conformità dell’articolo 47; c) le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2; d) le clausole tipo di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo[…]” |
In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nel Regolamento anche nel Paese terzo o all’interno dell’organizzazione di destinazione.
È importante sottolineare che le clausole tipo di protezione dati non ammettono emendamenti e devono essere sottoscritte dalle parti. Tuttavia, esse possono essere incorporate in un contratto più generale e vi si possono aggiungere clausole ulteriori purché non in conflitto, direttamente o indirettamente, con le clausole tipo così adottate (v. Considerando 109 sotto menzionato).
Di seguito riportiamo i Considerando collegati al tema in questione:
“Considerando 108: In mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento dovrebbe provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell’interessato.
Tali adeguate garanzie possono consistere nell’applicazione di norme vincolanti d’impresa, clausole tipo di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un’autorità di controllo o clausole contrattuali autorizzate da un’autorità di controllo […]”
|
“Considerando 109: La possibilità che il titolare del trattamento o il responsabile del trattamento utilizzi clausole tipo di protezione dei dati adottate dalla Commissione o da un’autorità di controllo non dovrebbe precludere ai titolari del trattamento o ai responsabili del trattamento la possibilità di includere tali clausole tipo in un contratto più ampio, anche in un contratto tra il responsabile del trattamento e un altro responsabile del trattamento, né di aggiungere altre clausole o garanzie supplementari, purché non contraddicano, direttamente o indirettamente, le clausole contrattuali tipo adottate dalla Commissione o da un’autorità di controllo o ledano i diritti o le libertà fondamentali degli interessati. I titolari del trattamento e i responsabili del trattamento dovrebbero essere incoraggiati a fornire garanzie supplementari attraverso impegni contrattuali che integrino le clausole tipo di protezione.” |
Pertanto, fermo restando la possibilità offerta dal considerando n. 109 del GDPR, alla luce delle considerazioni svolte, possiamo concludere che:
- le clausole contrattuali tipo approvate dalla Commissione europea sono valide e possono essere utilizzate dalle organizzazioni UE per un trasferimento lecito di dati personali extra-UE;
- non può configurarsi alcun obbligo in capo alle organizzazioni UE di modifica e/o aggiornamento, né formale né sostanziale, delle suddette clausole nell’ipotesi di trasferimento di dati extra-UE.
In questo modo, la soluzione più soddisfacente in termini di tutela dei diritti e delle libertà delle persone fisiche che è possibile avanzare in questa sede – che tenga in equilibrio il diritto alla protezione dei dati personali con quello alla libertà di impresa e comunque nel solco costituzionale (art. 41) della funzione sociale di impresa – appare dunque quella di richiedere, a livello pattizio, al soggetto “importatore” stabilito in un Paese Extra-UE quelle garanzie tecniche ed organizzative imposte dal Regolamento Europeo 679/2016.
Ad oggi, i titolari ed i responsabili del trattamento, possono avvalersi delle seguenti clausole contrattuali standard (SCC) attualmente in vigore:
- 2001/497/EC del 15 giugno 2001 (applicabile nel caso di trasferimenti tra titolari del trattamento);
- 2004/915/EC che modifica la decisione 2001/497 riguardo all’introduzione di un set alternativo di clausole contrattuali per il trasferimento di dati personali verso paesi terzi (applicabile nel caso di trasferimenti tra titolari del trattamento);
- 2010/87/EU del 5 febbraio 2010 relativamente a clausole contrattuali tipo per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi (applicabile nel caso di trasferimenti tra titolare e responsabile).
Necessario attenersi sempre alle figure coinvolte nel processo di trasferimento dei dati per un’applicazione corretta delle clausole sopra elencate.