[…] In mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento dovrebbe provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell’interessato.
Tali adeguate garanzie possono consistere nell’applicazione di norme vincolanti d’impresa, clausole tipo di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un’autorità di controllo o clausole contrattuali autorizzate da un’autorità di controllo […]

I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).

In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679).

Al riguardo, possono costituire garanzie adeguate:

1) senza autorizzazione da parte del Garante:

• gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a);
• le norme vincolanti d’impresa (art. 46, par. 2, lett. b)
• le clausole tipo (art. 46, par. 2, lett. c e lett. d)
• i codici di condotta (art. 46, par. 2, lett. e)

2) previa autorizzazione del Garante:

• le clausole contrattuali ad hoc (art. 46, par. 3, lett. a)
• gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b)

In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nel Regolamento anche nel Paese terzo o all’interno dell’organizzazione di destinazione.

È importante sottolineare che le clausole tipo di protezione dati non ammettono emendamenti e devono essere sottoscritte dalle parti. Tuttavia, esse possono essere incorporate in un contratto più generale e vi si possono aggiungere clausole ulteriori purché non in conflitto, direttamente o indirettamente, con le clausole tipo così adottate (v. Considerando 109 sotto menzionato).

Di seguito riportiamo i Considerando collegati al tema in questione:

Pertanto, fermo restando la possibilità offerta dal considerando n. 109 del GDPR, alla luce delle considerazioni svolte, possiamo concludere che:

1. le clausole contrattuali tipo approvate dalla Commissione europea sono valide e possono essere utilizzate dalle organizzazioni UE per un trasferimento lecito di dati personali extra-UE;
2. non può configurarsi alcun obbligo in capo alle organizzazioni UE di modifica e/o aggiornamento, né formale né sostanziale, delle suddette clausole nell’ipotesi di trasferimento di dati extra-UE.

In questo modo, la soluzione più soddisfacente in termini di tutela dei diritti e delle libertà delle persone fisiche che è possibile avanzare in questa sede – che tenga in equilibrio il diritto alla protezione dei dati personali con quello alla libertà di impresa e comunque nel solco costituzionale (art. 41) della funzione sociale di impresa – appare dunque quella di richiedere, a livello pattizio, al soggetto “importatore” stabilito in un Paese Extra-UE quelle garanzie tecniche ed organizzative imposte dal Regolamento Europeo 679/2016.

Ad oggi, i titolari ed i responsabili del trattamento, possono avvalersi delle seguenti clausole contrattuali standard (SCC) attualmente in vigore:

• 2001/497/EC del 15 giugno 2001 (applicabile nel caso di trasferimenti tra titolari del trattamento);
• 2004/915/EC che modifica la decisione 2001/497 riguardo all’introduzione di un set alternativo di clausole contrattuali per il trasferimento di dati personali verso paesi terzi (applicabile nel caso di trasferimenti tra titolari del trattamento);
• 2010/87/EU del 5 febbraio 2010 relativamente a clausole contrattuali tipo per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi (applicabile nel caso di trasferimenti tra titolare e responsabile).

Necessario attenersi sempre alle figure coinvolte nel processo di trasferimento dei dati per un’applicazione corretta delle clausole sopra elencate.

La tua azienda trasferisce o riceve dati personali da un paese terzo? Vuoi assicurare una corretta implementazione della normativa GDPR. I nostri consulenti specializzati in materia Privacy sono a tua disposizione per una Consulenza mirata.