Le clausole contrattuali rappresentano, ai sensi dell’art. 46 GDPR, una delle garanzie tramite cui il titolare o il responsabile del trattamento possono assicurare la conformità del trasferimento dati e legittimare il trasferimento medesimo. All’interno del novero delle “clausole contrattuali” rientrano le c.d. clausole contrattuali standard (in inglese, Standard Contractual Clauses, SCC) o clausole contrattuali tipo, ossia modelli contrattuali oggetto di approvazione e standardizzazione preventiva da parte della Commissione Europea, la cui formulazione è coerente a quanto previsto dal Regolamento.
Le SCC possono essere incorporate negli accordi contrattuali con terze parti, come partner commerciali, su base volontaria. Non sussiste, infatti, un obbligo di utilizzo delle clausole contrattuali standard, rappresentando le stesse un mero strumento di ausilio per titolari e responsabili.
Al fine di facilitare l’applicazione delle SCC, la Commissione ha elaborato una serie di indicazioni, che nel seguito si vanno a sintetizzare, nei punti più rilevanti.
Clausole contrattuali standard, la Svizzera le riconosce: quali garanzie per il trasferimento dati
Indice degli argomenti
Le nuove clausole contrattuali standard
Il 4 giugno 2021, la Commissione Europea ha emanato nuove clausole contrattuali standard che rispecchiano il contenuto del GDPR, al fine di consentire il trasferimento legittimo dei dati nei confronti di titolari e responsabili localizzati al di fuori dello Spazio Economico Europeo. Si tratta di due SCC:
- la prima regola il rapporto tra titolari e responsabili del trattamento, e può essere utilizzata sia da enti pubblici che privati, istituzioni, organi, uffici e agenzie dell’UE in tutto lo spazio economico europeo;
- la seconda regola il trasferimento dei dati verso Paesi che si collocano al di fuori dello Spazio Economico Europeo, e contiene salvaguardie specifiche per garantire che i dati personali continuino a beneficiare di un elevato livello di protezione anche se trasferiti al di fuori del SEE. Può essere utilizzata dagli esportatori di dati, senza che vi sia la necessità di ottenere una preventiva autorizzazione al trasferimento dei dati o all’utilizzo delle clausole da parte di un’autorità garante. Rispetto alle precedenti SCC, la nuova ha una struttura modulare, che copre quattro scenari di trasferimento, e che può essere adattata alle esigenze delle parti.
Le SCC rappresentano strumenti essenziali per le PMI o altre società che potrebbero non disporre delle risorse necessarie per negoziare dei contratti individuali con ciascuno dei loro partner commerciali.
Nel preparare le due serie di SCC, la Commissione ha cercato il contributo degli stakeholders per comprendere meglio le realtà e le esigenze pratiche degli stessi e imparare dall’esperienza degli stessi con le precedenti SCC. La Commissione ha ricevuto feedback dettagliati da varie parti interessate (tra cui industria, società civile, professionisti del diritto e accademici).
Le nuove clausole contrattuali standard vanno a sostituire le tre serie di clausole contrattuali standard che erano state precedentemente adottate nella vigenza della Direttiva 95/46 sulla protezione dei dati.
Le vecchie clausole contrattuali, a partire dal 27 settembre 2021, non possono più essere inserite all’interno di contratti destinati a regolare il trasferimento di dati; tuttavia, fino al 27 settembre 2022, i titolari del trattamento e i responsabili del trattamento possono continuare a fare affidamento sulle SCC precedenti per i contratti conclusi prima del 27 settembre 2021, a condizione che le operazioni di trattamento oggetto del contratto rimangano invariate.
Al fine di agevolare l’implementazione delle nuove clausole contrattuali standard, la Commissione Europea ha elaborato una serie di domande e risposte che hanno lo scopo ultimo di fornire una guida pratica sull’utilizzo delle clausole, e assistere le parti interessate nel processo di pianificazione ed esecuzione dei trattamenti in modo conforme a quanto disciplinato dal GDPR.
Le domande e risposte rese dalla Commissione si basano sui feedback ricevuti dalla stessa dai vari stakeholders, sull’esperienza maturata dagli stessi nell’utilizzo delle nuove SCC, nei primi mesi dalla loro adozione. Il contenuto delle domande e risposte è “dinamico”, e sarà oggetto di continuo aggiornamento con l’insorgere di nuove domande.
Sulla scorta di quanto previsto dall’art. 97 GDPR, inoltre, la Commissione provvederà ad una revisione delle clausole entro il 2024, provvedendo anche ad una valutazione degli effetti derivanti dall’applicazione pratica delle stesse.
Implementazione e modifica delle SCC
Come affermato dalla Commissione Europea all’interno del documento, le parti dovranno stipulare un accordo giuridicamente vincolante che regoli il loro rapporto e i rispettivi obblighi e responsabilità. A tal fine, si legge, gli allegati delle SCC dovranno essere debitamente compilati e sottoscritti dalle parti. Le modalità di formalizzazione della firma del documento sono lasciate al diritto nazionale che disciplina l’accordo.
Il testo delle SCC non può essere modificato rispetto a quello reso pubblico dalla Commissione Europea. L’unica facoltà che si lascia alle parti è quella di selezionare delle opzioni all’interno del testo, completare lo stesso ove necessario, compilare gli allegati, o aggiungere ulteriori garanzie che aumentino il livello di protezione dei dati. Si tratta, come evidente, non di modifiche sostanziali ma di adattamenti del testo alle necessità delle parti.
Qualora le parti modifichino il testo delle SCC (ossia non svolgano semplici adattamenti nelle parti consentite), le clausole modificate non potranno più essere utilizzate come base per trasferimenti di dati verso paesi terzi, a meno che non siano approvati da un’autorità nazionale per la protezione dei dati come “clausole ad hoc” (ai sensi dell’art. 46 comma 3, lett. a) GDPR).
Le parti, tuttavia, possono integrare le SCC con clausole aggiuntive o integrarle in un contratto commerciale più ampio, purché le altre disposizioni contrattuali non entrino in conflitto con il testo delle clausole approvato dalla Commissione Europea. A titolo esemplificativo, laddove le SCC richiedano alle parti di informarsi reciprocamente o di collaborare, le parti possono concordare clausole aggiuntive che stabiliscono come avverrà in pratica la comunicazione/ cooperazione tra le parti.
Allo stesso modo, le parti concorderanno le sole clausole che sono rilevanti per la loro situazione di fatto, eliminando i moduli e le opzioni che non sono applicabili.
La clausola di “docking”
La clausola di docking rappresenta una clausola facoltativa che le parti possono decidere di inserire nel contratto per permettere l’adesione, in futuro, anche di soggetti terzi. Tale clausole fornisce maggiore flessibilità al contratto, e ne allunga il ciclo di vita (nel caso in cui si renda necessario, ad esempio, estendere la catena di elaborazione dei dati includendo un sub-responsabile del trattamento).
Affinché il terzo soggetto divenga parte integrante dell’accordo, è necessario il consenso di tutte le parti preesistenti, in conformità con le disposizioni nazionali che disciplinano le SCC. “Ad esempio”, specifica la Commissione, “se consentito dal diritto contrattuale applicabile, una parte può essere nominata dalle altre per acconsentire all’adesione di una nuova parte per conto di tutte le parti preesistenti. Una volta formalizzata tale autorizzazione, il nuovo soggetto dovrà completare gli Allegati e firmare l’Allegato I delle SCC al fine di rendere effettiva tale adesione. La modifica dell’accordo principale a cui sono allegate le SCC, aggiungendo parti a tale accordo, non è sufficiente per aggiungere parti alle SCC”.
Il nuovo soggetto che aderisce all’accordo assume tutti i diritti e gli obblighi connessi al proprio ruolo al momento della sua adesione, al pari delle altre parti contrattuali, che avranno reciproci diritti e doveri.
Gli scenari di trasferimento dati delle nuove SCC
Come anticipato, le nuove SCC possono essere utilizzate da titolari e responsabili del trattamento soggetti al GDPR per trasferire dati al di fuori del SEE. Tuttavia, per come formulate, le stesse clausole possono essere utilizzate anche da titolari e responsabili non facenti parte dello Spazio Economico Europeo, per i trasferimenti di dati relativi a trattamenti svolti su soggetti non europei, nei casi in cui siano offerti anche al mercato del SEE.
Ad esempio: un’agenzia di viaggi in Thailandia è direttamente soggetta al GDPR ai sensi del suo articolo 3, paragrafo 2, perché offre pacchetti turistici rivolti a clienti europei (poiché l’offerta di questi pacchetti è realizzata nelle lingue utilizzate nel SEE, è adattata alle esigenze e preferenze dei turisti europei, con possibilità di pagare in euro o altra valuta utilizzata nel SEE, ecc.). Per organizzare l’alloggio in Thailandia, l’agenzia ha un accordo in corso con un hotel locale. L’agenzia di viaggi può utilizzare gli SCC per condividere i dati personali dei turisti europei con l’hotel.
Le SCC, al momento, non possono essere utilizzate per il trasferimento di dati tra soggetti direttamente soggetti al GDPR.
Le clausole sono state elaborate, come detto, in un set di quattro moduli, adattati a diversi scenari di trasferimento. Le parti dovranno scegliere il modulo che corrisponde alla propria situazione, alla luce dei diversi ruoli ricoperti. È anche possibile che le stesse parti concordino tra loro l’adozione di diversi moduli, nel caso in cui i loro ruoli mutino per alcuni trasferimenti di dati.
L’informativa e i diritti degli interessati
Nel caso in cui si utilizzino le SCC, le informazioni sul trasferimento dovranno essere fornite dall’esportatore. Una copia delle clausole, così come utilizzate, dovrebbe essere resa disponibile su richiesta dell’interessato (indicando anche le modalità per ottenerla), gratuitamente. Nel fornire una copia delle SCC, le parti possono solo oscurare informazioni che riguardano segreti commerciali o altre informazioni riservate, esplicando i motivi per i quali dette informazioni sono state omesse. Se il testo rimanente diventa troppo difficile da comprendere, le parti devono fornire un riassunto significativo del testo.
All’importatore si lascia l’obbligo di fornire determinate informazioni (ad esempio, dettagli di contatto, le categorie di dati personali che elabora e i destinatari con cui i dati potrebbero essere condivisi).
Nel caso in cui siano coinvolte più parti nel trattamento dei dati, e l’interessato non sappia chi riveste il ruolo di responsabile, è possibile contattare l’esportatore o l’importatore per ottenere dette informazioni.
All’interno delle SCC sono previsti anche diversi modi per consentire all’interessato di ottenere un risarcimento, nel caso in cui vi sia stata una violazione delle stesse:
- in primo luogo, la possibilità di proporre reclamo direttamente all’importatore dei dati, che ha l’obbligo di designare un punto di contatto dedicato alla gestione dei reclami, o all’organismo indipendente di risoluzione delle controversie altrimenti individuato dall’importatore;
- in secondo luogo, la possibilità di proporre reclamo finanzi all’autorità per la protezione dei dati del paese dello Spazio Economico Europeo in cui l’interessato risiede, nei confronti dell’importatore di dati che ha agito in violazione delle SCC o dell’esportatore che ha elaborato illegittimamente i dati.
- in terzo luogo, la facoltà di avviare procedimenti giudiziari nei confronti delle parti delle SCC, ad esempio per ottenere un provvedimento ingiuntivo o chiedere il risarcimento dei danni.
Nel caso in cui i dati siano stati trasferiti da un fornitore di servizi sito nel SEE che agisce per conto di un’entità non appartenente allo Spazio Economico Europeo, l’interessato ha la possibilità di presentare anche un reclamo direttamente all’importatore di dati o, se disponibile, ad un organismo di risoluzione delle controversie indipendente; ci si potrà rivolgere anche all’esportatore nel SEE, che dovrà collaborare nella gestione della richiesta con l’importatore dei dati.
Resta ferma la facoltà di avviare un procedimento giudiziario nei confronti delle parti che hanno violato le prescrizioni delle SCC o del GDPR, e di far valere i propri diritti secondo quanto previsto dal Regolamento medesimo.
La sentenza Schrems II
Con riferimento al trasferimento di dati post Schrems II, la clausola 14 dello schema predisposto dalla Commissione richiede alle parti di valutare, prima di concludere gli SCC, se le leggi e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore di dati potrebbero impedire a quest’ultimo di rispettare le Clausole.
Nell’effettuare questa “valutazione dell’impatto del trasferimento”, le parti dovrebbero tenere conto, in particolare, delle circostanze specifiche del trasferimento e delle leggi e prassi applicabili in tale contesto, al fine di verificare che non eccedano quanto necessario e proporzionato, in una società democratica, per la salvaguardia degli obiettivi di cui all’art. 23 GDPR.
“Per quanto riguarda l’impatto sul rispetto delle SCC”, afferma la Commissione, “le parti possono considerare diversi elementi nell’ambito di una valutazione complessiva (cfr. clausola 14, nota 12): informazioni affidabili sull’applicazione pratica del diritto (come giurisprudenza e segnalazioni di organi di controllo indipendenti), l’esistenza o meno di richieste nello stesso settore e, a condizioni rigorose, l’esperienza pratica documentata dell’esportatore di dati e / o importatore di dati. In caso di valutazione negativa, le parti possono trasferire i dati sulla base delle SCC solo se mettono in atto ulteriori salvaguardie (“supplementari”) (ad esempio misure tecniche per garantire la sicurezza dei dati, come ad esempio la crittografia end-to-end) che affrontino la situazione e quindi garantiscano il rispetto delle Clausole. Lo stesso vale se l’esportatore di dati viene successivamente a conoscenza del fatto che l’importatore di dati non è più in grado di rispettare le SCC, anche a seguito di una modifica delle leggi del paese terzo. L’esportatore di dati sarà tenuto a sospendere il trasferimento qualora ritenga che non possano essere assicurate garanzie adeguate, o se così indicato dall’autorità di controllo competente”.
Le SCC dovrebbero, inoltre, essere interpretate alla luce delle linee guida elaborate dal Comitato Europeo per la Protezione dei dati (EDPB) sul tema.