La Commissione Europea ha pubblicato delle “Domande & Risposte” sulle ultime Clausole Contrattuali Standard pubblicate.
Le Clausole contrattuali Standard
Le Clausole di cui parliamo (anche: SCCs) sono “clausole tipo”, ossia modelli standardizzati e pre approvati dalla Commissione Europea che possono essere utilizzate da Titolari e Responsabili del trattamento per adempiere agli obblighi previsti dal Regolamento Europeo n. 679/2016 (Gdpr), in particolare tutte le volte che un ente o una organizzazione “affidi” determinate attività di trattamento ad un altro ente o organizzazione.
L’art. 28 del Gdpr, in particolare, prevede particolari e specifici obblighi che sia il Titolare (ossia chi decide di avvalersi di un fornitore, di un provider, di un servizio) sia il Responsabile (ossia il fornitore o le altre figure appena viste) sono tenuti a rispettare: il tutto, nell’ottica del Regolamento, al fine di proteggere i dati personali degli interessati che, mediante quella specifica attività di trattamento, sono trattati.
La casistica e le modalità di “affidamento” di tali attività, sia tra Titolari sia, soprattutto, da Titolari a Responsabili, è amplissima, così come assai varie sono le diverse clausole, addendum, allegati DPA (Data Processing Agreement) che è possibile analizzare nella pratica di tutti i giorni.
Lo stesso articolo 28 del Gdpr, al numero 7, precisa che la “Commissione (Europea) può stabilire clausole contrattuali tipo” per disciplinare i trasferimenti da un Titolare a un Responsabile o da un Responsabile ad un ulteriore Responsabile (Sub Responsabile).
In quest’ottica (non è la prima volta, ovviamente), la Commissione ha pubblicato, anche a seguito delle note vicende scaturite dalla c.d. sentenza “Schrems 2”, le “nuove” Clausole Contrattuali, per rinnovare un set di modelli già esistenti.
Non vi è alcun obbligo di utilizzare tali clausole, ma la loro adozione può servire per dimostrare la conformità al Regolamento.
Le “domande e risposte” appena emanate riguardano dunque le ultime SCCs rese disponibili nel giugno 2021 e sono relative:
- sia a quelle utilizzabili per i trattamenti effettuati tra Titolari e Responsabili
- sia a quelle necessarie per il trasferimento dei dati personali al di fuori dello Spazio Economico Europeo.
Le Clausole tra Titolari e Responsabili
Questo set di clausole può essere utilizzato sia da enti privati sia da enti pubblici e fornisce un approccio e una disciplina coerente dei rapporti tra Titolare e Responsabile, esattamente come richiesto dall’art. 28 del Gdpr.
Sono disponibili, in formato word e nelle diverse lingue dell’Unione, con le Q&A in esame, al seguente link: https://ec.europa.eu/info/law/law-topic/data-protection/publications/standard-contractual-clauses-controllers-and-processors.
Le Clausole per i trasferimenti extra SEE
Il trasferimento di dati personali dallo spazio economico europeo al di fuori dello stesso, per quanto previsto dagli artt. 44 e seguenti, è rigidamente disciplinato (per una panoramica si veda qui: https://studiolegalebroglia.com/2020/11/21/trasferimento-dati-extra-ue-le-novita/.
A parziale “mitigazione” del principio generale (art. 45) per il quale il “trasferimento di dati personali verso un paese terzo o una organizzazione internazionale è ammesso se la Commissione Europea ha deciso che il paese terzo .. o l’organizzazione in questione garantiscono un livello di protezione adeguato”, sicché in tal caso non sono necessarie particolari autorizzazioni (si tratta dei Paesi considerati “adeguati” in base a specifiche e determinati “Decisioni di Adeguatezza” della Commissione stessa), in tutti gli altri casi è necessario verificare e dimostrare che il trasferimento è assistito da “adeguate garanzie” (si veda l’art. 46).
Tra queste garanzie sono previste, per venire al punto, proprio le Clausole Contrattuali “Tipo” (Standard) che la Commissione ha emanato nel giugno 2021 nella “versione” dedicata ai trasferimenti in questione.
L’utilità delle SCCs
A motivo del fatto di essere state approvate e adottate dalla Commissione, le Clausole costituiscono un modello pronto all’uso e uno strumento di abbastanza agile implementazione anche per aziende che potrebbero faticare nel negoziare con partner più “pesanti” dal punto di vista dei poteri contrattuali.
Per quanto riguarda le Clausole dedicate ai trasferimenti, esse appaiono lo strumento maggiormente utilizzato allo scopo.
Le Q&A in breve
La pubblicazione della Commissione, non particolarmente innovativa, presenta però alcune utilità.
E’ disponibile ai link che abbiamo già segnalato (per comodità anche qui: _ _ EU_Commission_Q_A_on_2021_SCCs_1653482684).
Alcune indicazioni, senza pretesa di completezza:
- le Clausole non sono negoziabili dalle parti e non possono essere modificate se non nelle specifiche sezioni disponibili;
- è invece possibile aggiungere clausole o specificazioni che, però e ovviamente, non possono essere in contraddizione con quanto previsto dalle clausole ufficiali;
- non è possibile, contrattualmente, per le parti, limitare o escludere responsabilità “legali” o comunque derivanti dalla generale normativa in materia di protezione dati;
- viene indicata come obbligatoria la buona e probabilmente doverosa prassi di indicare con precisione i sub responsabili, anche quando le parti, come frequentemente avviene, inseriscono una clausola generale di autorizzazione alla “sub” nomina;
- un aspetto rilevante è la previsione per la quale laddove prevista l’autorizzazione generale alla nomina di sub responsabili, il responsabile sia comunque tenuto a informare per iscritto il titolare, eventualmente rispettando il periodo di preavviso concordato;
- nell’ipotesi in cui il titolare si opponesse a tale conferimento di ulteriore attività, il responsabile non potrebbe conferire il sub trattamento in questione.
- viene ribadito che le clausole “Docking”, ossia quelle che consentono ad ulteriori parti di aderire, anche successivamente, all’accordo, oltre che in osservanza delle specifiche norma nazionali applicabili, dovranno essere compiutamente sottoscritte anche dal soggetto interveniente, unitamente a tutti gli allegati. In tal modo il nuovo soggetto assumerà, a seconda del proprio ruolo (Titolare o Responsabile, Esportatore o Importatore), tutti i diritti e gli obblighi discendenti;
- resta imprescindibile, nel caso dei trasferimenti extra Ue, effettuare la c.d. “TIA”, transfer impact assessment, per valutare l’adeguatezza delle normative presenti nel paese di trasferimento e l’eventuale rischio associato ad esso in dipendenza di particolari poteri “invasivi” delle autorità nei confronti del Responsabile così come, in generale, del complesso di norme a tutela dei diritti e delle libertà degli interessati, oltre che di rispetto dei principi di diritto “comuni” al livello europeo;
- le clausole non possono essere utilizzate per il trasferimento verso organizzazioni internazionali.
In generale non sembrano esserci particolari novità. Certamente si tratta di un altro, corposo, set di indicazioni proveniente dalla Commissione.
