Le Q&A sulle nuove Clausole Contrattuali Tipo per i trasferimenti dei dati della Commissione europea

Le Q&A pubblicate dalla Commissione europea sulle nuove Clausole Contrattuali Tipo chiariscono degli aspetti relativi al corretto utilizzo delle SCC per regolare i trasferimenti di dati personali fuori dello SEE.

A seguito dell’adozione di nuovi set di Clausole Contrattuali Tipo (“SCC”), avvenuta il 4 giugno 2021 con la decisione di esecuzione (UE) 2021/914, la Commissione europea ha pubblicato una raccolta di domande e risposte (“Q&A”) atte a fornire indicazioni pratiche sull’implementazione delle SCC in conformità con il Regolamento generale sulla protezione dei dati (“GDPR”).

Le Q&A sulle Clausole Contrattuali Tipo si basano sul feedback ricevuto da vari stakeholder in merito alla loro esperienza nell’utilizzo delle SCC, nei primi mesi dopo la loro adozione, e intendono essere una fonte di informazione “dinamica”, che verrà via via aggiornata. Le Q&A rappresentano un ulteriore strumento a disposizione di esportatori ed importatori di dati sul tema dei trasferimenti, aggiungendosi alle Linee Guida dello European Data Protection Board (“EDPB”) sull’interazione fra l’articolo 3 del GDPR – che ne disciplina l’ambito di applicazione territoriale – ed il Capo V del GDPR, che regola i trasferimenti di dati personali al di fuori dello Spazio Economico Europeo (“SEE”), nonché alle Raccomandazioni 01/2020 relative alle misure che integrano trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE.

Sebbene le Q&A sulle Clausole Contrattuali Tipo non introducano significativi elementi di novità, esse rappresentano un strumento utile per le organizzazioni che intendono fare affidamento sulle SCC come meccanismo di trasferimento, riassumendo in un unico documento gli aspetti più rilevanti da considerare e fornendo indicazioni pratiche per assicurare il corretto utilizzo delle SCC stesse. Pertanto, di seguito si riassumo gli aspetti più interessanti che emergono dall’analisi delle Q&A.

  1. Come si compilano e sottoscrivono le Clausola Contrattuali Tipo?

Le Q&A ribadiscono ancora una volta che le parti non possono modificare il testo delle SCC, ad eccezione della necessità di:

  • selezionare i moduli e/o le opzioni specifiche all’interno di determinate clausole;
  • completare il testo, ove necessario (come indicato da parentesi quadre all’interno delle SCC), ad esempio scegliendo il Giudice e l’Autorità di controllo competenti;
  • completare gli allegati alle SCC.

È fatta salva la possibilità di inserire, nel contratto che disciplina compiutamente il rapporto fra le parti, delle previsioni aggiuntive che integrino le SCC, purché aumentino il livello di protezione dei dati e non siano in contrasto con le SCC stesse, le cui disposizioni saranno in ogni caso prevalenti su eventuali accordi contrastanti.

Questo aspetto appare particolarmente rilevante in relazione ad eventuali disposizioni volte a limitare la responsabilità delle parti. Infatti, la clausola 12(a) delle SCC disciplina in maniera puntuale la responsabilità delle parti per eventuali violazioni delle SCC stesse, rendendo così inammissibili accordi che escludano o limitino la responsabilità di una parte in caso di violazione delle SCC. A tal proposito, va considerato che le SCC pongono in capo all’importatore un’ampia serie di obblighi concernenti il trattamento dei dati personali allo stesso trasferiti. Di conseguenza, lo spazio per consentire limitazioni di responsabilità derivanti da tale trattamento è ormai estremamente limitato e gli importatori difficilemente potranno aggirare gli obblighi previsti dal GDPR.

Inoltre, la Commissione europea sottolinea l’importanza di una compilazione puntuale ed accurata degli allegati alle Clausole Contrattuali Tipo per dare evidenza alle modalità di trasferimento di dati personali. La tendenza – purtroppo ancora diffusa – a lasciare “in bianco” o completare tali documenti con informazioni vaghe ed imprecise dovrà essere definitivamente superata. Ciò anche tenendo conto del fatto che una copia delle SCC potrebbe dover essere condivisa con gli interessati. Benché sia prevista la possibilità per le parti di espungere determinati contenuti confidenziali, gli interessati che ne facciano richiesta dovranno essere messi nelle condizioni di comprendere cosa accade ai propri dati nell’ambito di un trasferimento. E questo sarà possibile solo grazie ad una compilazione sufficientemente chiara e precisa degli allegati.

Ciò vale anche in relazione ai sub-responsabili coinvolti nel trattamento dei dati, da indicare puntualmente anche ove si opti per l’autorizzazione generale, da parte dell’esportatore, al loro coinvolgimento. In altre parole, l’autorizzazione generale non può rappresentare un escamotage per non elencare in maniera completa i riferimenti di tutti i sub-responsabili coinvolti nel trattamento, come ancora avviene di frequente nella pratica. D’altra parte è interessante notare come le Q&A chiariscano che, qualora il responsabile del trattamento intenda avvalersi di un nuovo sub-responsabile ed il titolare si opponga, il coinvolgimento del nuovo sub-responsabile non sarà possibile. Questa affermazione sembra perciò vietare eventuali clausole del contratto che si limitino a riconoscere il diritto del titolare del trattamento di recedere dall’accordo, in caso di opposizione alla nomina di un nuovo sub-responsabile, sottolineando che il responsabile del trattamento è tenuto a non conferire alcun nuovo incarico ad un sub-fornitore in caso di opposizione della sua controparte contrattuale: “Clause 7.7 of the SCCs for controllers and processors imposes an obligation on the processor to request an authorisation from the controller when it engages a sub-processor. The parties may not include in a broader commercial contract between the controller and the processor a clause, which allows the processor to sub-contract data processing without such obligation to consult and request an authorisation from the controller as this clause will directly contradict clause 7.7 of the SCCs”. Inoltre, “According to OPTION 2 in clause 7.7 of the SCCs the processor has to specifically inform in writing the controller of any intended changes of the agreed list of sub-processors, respecting an agreed time period of notice. If the controller objects to the intended changes, the processor may not engage the new sub-processor(s)”.

Un ulteriore profilo interessante, trattato nelle Q&A sulle Clausole Contrattuali Tipo, attiene ai requisiti di forma per la firma delle SCC. Si chiarisce infatti che occorre fare riferimento ai requisiti eventualmente previsti dalla legge applicabile alle SCC, lasciando così al diritto nazionale la disciplina di questo importante aspetto.

  1. È comunque necessario effettuare un transfer impact assessment quando si sottoscrivono le Clausole Contrattuali Tipo?

La clausola 14 delle SCC richiede alle parti di effettuare, prima di sottoscrivere le SCC stesse, una valutazione in merito alle leggi vigenti e alle prassi delle autorità locali dei paesi terzi di destinazione dei dati, applicabili al trattamento di dati personali da parte dell’importatore, al fine di valutare se tale quadro normativo possa impedire all’importatore di adempiere gli obblighi derivanti dalle SCC.

In linea di principio, perciò, le SCC non sono sufficienti a garantire la conformità di un trasferimento al GDPR, ma si rende necessario eseguire, in via preliminare, un transfer impact assessment (“TIA”) che fornisca una “fotografia” del trasferimento di dati effettuato, esaminando i fattori che caratterizzano lo specifico trasferimento analizzato, quali:

  • la normativa applicabile nei paesi extra-EEA dove i dati sono trasferiti;
  • le caratteristiche dello specifico trasferimento eseguito, conducendo una valutazione di tutte le circostanze di fatto rilevanti, in primo luogo le categorie di interessati e dati personali effettivamente coinvolti, il formato in cui i dati sono conservati, il settore economico in cui opera l’importatore, l’identità dei sub-responsabili del trattamento; e
  • le misure supplementari implementate per proteggere i dati personali.

Il transfer impact assessment dovrà essere effettuato seguendo la metodologia descritta dall’EDPB nelle Raccomandazioni 01/2020 relative alle misure che integrano trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE.

Le Q&A evidenziano inoltre come la sola eccezione alla necessità di eseguire un transfer impact assessment ricorra qualora le parti utilizzino il Modulo 4 (P2C) delle SCC, in ragione del fatto che, in questo scenario, i dati erano già in origine trattati al di fuori dello SEE e soggetti alla normativa locale. Naturalmente, le deroghe appena descritte non saranno applicabili nel caso in cui i dati trasferiti dovessero includere anche dati personali che provenienti dall’Europa.

  1. Le SCC possono essere utilizzate anche da esportatori extra-SEE?

Dato l’ambito di applicazione extra-territoriale del GDPR, che si estende ad alcune operazioni di trattamento di titolari e responsabili basati al di fuori dello SEE, le SCC possono essere utilizzate anche da tali soggetti per i trasferimenti di dati relativi a tali operazioni di trattamento verso altri soggetti non appartenenti allo SEE.

In particolare, le SCC potranno essere utilizzate:

  • da un titolare del trattamento extra-SEE soggetto al GDPR, per il trasferimento verso un altro titolare o responsabile extra-SEE non soggetto al GDPR; e
  • da un responsabile stabilito extra-SEE soggetto al GDPR, per il trasferimento verso un altro responsabile o titolare extra-SEE (per conto del quale sta trattando i dati), non soggetto al GDPR.

Tuttavia, la Commissione europea ribadisce che le SCC non possono essere utilizzate per il trasferimento di dati a titolari o responsabili del trattamento le cui operazioni di trattamento siano direttamente soggette al GDPR, in tal modo contraddicendo quanto indicato dall’EDPB nelle Linee Guida sull’interazione fra l’articolo 3 del GDPR ed il Capo V del GDPR, che regola i trasferimenti di dati personali al di fuori dello SEE.

A tal proposito, la Commissione europea chiarisce anche che si sta lavorando all’adozione di un nuovo set di SCC per regolare puntualmente il suddetto scenario, senza tuttavia fornire indicazioni su quale soluzione debba essere adottata nel frattempo.

  1. Come scegliere la legge applicabile e l’autorità competente?

Le parti dovranno oculare la scelta della legge applicabile alle SCC che, per i Moduli 1, 2 e 3, dovrà necessariamente ricadere sulla normativa di uno degli stati membri del SEE mentre, per il Modulo 4, le parti potranno optare anche per una normativa extra-SEE, purché riconosca i third party beneficiary rights.

Per quanto concerne, invece, l’individuazione dell’autorità di controllo competente, qualora vi fossero più esportatori, potranno essere competenti più autorità. In ogni caso, l’individuazione dell’autorità di controllo dovrà tenere conto dei seguenti scenari:

  • se l’esportatore ha sede nello SEE, l’autorità designata per la protezione dei dati deve essere quella competente a vigilare sulla conformità dell’esportatore al GDPR. Per le imprese che svolgono attività di trattamento transfrontaliero, si tratterà dell’autorità capofila; mentre
  • se l’esportatore ha sede al di fuori dello SEE ma è direttamente soggetto al GDPR, l’autorità competente sarà l’autorità di protezione dei dati del paese SEE in cui :
  • è stabilito il rappresentante, se l’esportatore è tenuto a nominarlo ai sensi dell’articolo 27 del GDPR; oppure
  • l’autorità di protezione dei dati del paese SEE in cui si trovano gli interessati i cui dati sono trasferiti, nel caso in cui non fosse tenuto alla nomina del suddetto rappresentante.

È bene infine ricordare che le SCC consentono agli interessati di presentare un reclamo all’autorità di controllo del paese SEE in cui risiedono abitualmente o lavorano: ove si trattasse di un’autorità diversa da quella designata dalle parti, le due autorità dovranno collaborare nella gestione del reclamo.

Su questo tema, potrebbero interessarvi i seguenti contenuti Transfer, il tool di legal tech e la metodologia sviluppata da DLA Piper per supportare la aziende nell’esecuzione dei transfer impact assessment, utilizzata già da 150+ clienti dello studio e revisionata dai principali garanti privacy europei su cui è possibile trovare una presentazione QUI