Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

NORMATIVA PRIVACY

Trasferimento dati verso paesi terzi: validità delle “clausole contrattuali tipo” alla luce del GDPR

Per il trasferimento di dati personali verso paesi terzi è possibile avvalersi delle “clausole contrattuali tipo” elaborate dalla Commissione Europea, anche alla luce delle innovazioni in tema di protezione dei dati personali introdotti dal GDPR. Ecco gli obblighi e gli strumenti normativi per la liceità del trasferimento

13 Set 2019
P
Rosario Palumbo

Giurista d'impresa, Data protection specialist


Il trasferimento di dati personali verso paesi terzi può avvenire solo e nella misura in cui rispetti le condizioni e i limiti stabiliti dal Regolamento Europeo in materia di protezione e circolazione dei dati personali (GDPR)[1] e, in particolare, delle decisioni della Commissione Europea e le relative autorizzazioni e decisioni eventualmente adottate dal Garante per la protezione dei dati personali.

In particolare, in relazione tema dell’utilizzo delle clausole contrattuali tipo da parte dei titolari e responsabili del trattamento, secondo il modello titolare-responsabile o da responsabile a responsabile (quest’ultimo attualmente non in vigore), si ingenera l’interrogativo sulla persistente validità di tale strumento regolamentare, alla luce del mutato quadro normativo (GDPR 679/16).

Infatti, si rammenta che le clausole contrattuali tipo, quale strumento per un lecito trasferimento di dati personali, così come elaborate dalla Commissione Europea, non sono coordinate con le innovazioni contenute nel Reg. UE 679/2016 (GDPR) e, segnatamente, con il c.d. principio di responsabilizzazione (accountability), quale “summa” dei principi previsti dalla normativa sovranazionale.

Per avere un quadro più chiaro, si consideri che qualora il trasferimento verso un paese terzo sia effettuato sulla base di clausole contrattuali tipo, debitamente adottate ai sensi dell’art. 46, par. 2, lett. c) e d), viene meno il requisito dell’obbligo di notifica preventiva all’Autorità di controllo nazionale.

Ad oggi, i titolari ed i responsabili del trattamento, possono avvalersi delle seguenti clausole contrattuali standard attualmente in vigore:

  1. decisioni della Commissione europea del 15 giugno 2001, n. 2001/497/CE – I insieme di clausole tipo;
  2. decisioni della Commissione europea del 27 dicembre 2004, n. 2004/915/CE – II insieme di clausole tipo;
  3. decisioni della Commissione europea del 27 dicembre 2001, n. 2002/16/CE e del 5 febbraio 2010, n. 2010/87/UE.

Alla luce della distanza temporale tra il GDPR e le suesposte decisioni, si ingenera il seguente interrogativo: è configurabile un obbligo in capo ai titolari e responsabili del trattamento, sulla base del principio di “responsabilizzazione”, di modifica formale ovvero sostanziale delle suddette clausole contrattuali da sottoporre poi all’autorizzazione preventiva nazionale dell’Autorità di controllo?

Purtuttavia, il dettato normativo (art. 46, par. 5, RGPD), mediante l’utilizzo del canone interpretativo letterale e comunque aderente all’intenzione del legislatore, indica una chiara e precisa soluzione al suddetto interrogativo: “in claris non fit interpretatio!”; ossia, nella chiarezza del dettato normativo, all’interprete non resta che percorrere la strada dell’interpretazione letterale del complesso reticolato giuridico di matrice europea.

Cionondimeno, tale assunto non esime lo stesso interprete, in un certo senso, ad un moto di perplessità verso quello che appare uno strumento regolamentare contrattuale che necessita di un aggiornamento almeno formale, se non di un’integrazione sostanziale; a meno di non voler attendere pokorno[2] una nuova decisione della Commissione europea su nuovi insiemi di clausole contrattuali tipo.

Il rischio è quello di un possibile esiziale scollamento tra la tutela dei diritti e le libertà dei cittadini europei per i trattamenti effettuati all’interno dell’UE rispetto a quella garantita nell’ipotesi di un trasferimento di dati personali verso Paesi terzi mediante l’utilizzo delle clausole contrattuali tipo che poggia le fondamenta su norme ormai, in maniera espressa, abrogate.

Trasferimento dati verso paesi terzi e transfrontaliero: le differenze

Il tema del trasferimento verso paesi terzi non deve essere confuso, come purtroppo soventemente accade, con quello del trasferimento transfrontaliero di dati personali.

Infatti, per trasferimento di dati personali transfrontalieri si intende, ai sensi delle definizioni contenute nel Regolamento Ue 679/16, alternativamente, un trattamento di dati personali:

  1. che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro;
  2. che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro.

Ma non solo: il trasferimento transfrontaliero di dati personali coinvolge il tema del necessario coordinamento delle varie Autorità indipendenti nazionali e, in particolare, richiama il concetto di Autorità di controllo capofila, che assume un ruolo di fondamentale importanza anche nell’ottica di una adeguata difesa e valorizzazione dello spazio economico digitale europeo.

Per trasferimento di dati personali verso Paesi terzi, invece, si intende il trasferimento verso Paesi non appartenenti all’UE che non garantiscono un livello di protezione adeguato, il quale può avvenire sulla base di quanto esposto nel prosieguo.

Strumenti normativi per il trasferimento dati verso paesi terzi

Nell’ottica di una adeguata protezione delle persone fisiche, le organizzazioni dell’UE, in un delicato equilibrio con l’esercizio del diritto alla libertà d’impresa, possono procedere al trasferimento di dati personali verso paesi terzi – salvo l’ipotesi di trasferimento occasionale e le deroghe di cui all’art. 49[3] – solo in presenza di:

  1. una decisione di adeguatezza della Commissione Europea;
  2. un trasferimento soggetto a garanzie adeguate;
  3. norme vincolanti d’impresa (BCR, Binding Corporate Rules).

Ebbene, per quanto attiene alla decisione di adeguatezza contenuta nella decisione di esecuzione (UE) 2016/1250 (c.d. scudo UE-USA), non possiamo non rammentare l’attesa decisione della Corte UE che dovrà pronunciarsi sull’accoglimento della domanda di annullamento della prefata decisione, sulla base dei seguenti 4 motivi:

  1. la Commissione non ha tratto la conclusione che la normativa degli Stati Uniti pregiudica segnatamente il contenuto essenziale del diritto fondamentale al rispetto della vita privata garantito dall’articolo 7 della Carta;
  2. la decisione impugnata avrebbe erroneamente constatato che lo scudo UE-USA per la privacy assicura un livello di tutela dei diritti fondamentali sostanzialmente equivalente a quello garantito in seno all’Unione nonostante la mancata limitazione allo stretto necessario delle operazioni autorizzate dalla normativa degli Stati Uniti;
  3. la decisione impugnata non avrebbe preso in considerazione l’assenza di ricorso effettivo previsto dalla normativa degli Stati Uniti e avrebbe, nonostante tale omissione, concluso per l’equivalenza della tutela succitata;
  4. nella decisione impugnata si sarebbe ritenuto in maniera manifestamente errata che lo scudo UE-USA per la privacy assicurasse una tutela equivalente a quella garantita nell’Unione, nonostante l’assenza di controllo indipendente previsto dalla normativa degli Stati Uniti

Validità delle clausole contrattuali tipo: obblighi per le imprese UE

Le clausole contrattuali tipo, ascrivibili alla categoria del trasferimento soggetto a garanzie adeguate, costituiscono una modalità agevole di circolazione dei dati personali effettuata in maniera protetta e sicura in relazione ai diritti e alle libertà delle persone fisiche.

Tuttavia, come sopra riportato, l’ultima decisione della Commissione europea, risalente al 2010, inevitabilmente, si riferisce ad un quadro normativo previgente.

Ebbene, alla luce delle considerazioni effettuate, possiamo rispondere all’interrogativo circa la configurabilità di un obbligo di un aggiornamento formale, oppure ad una più penetrante modifica sostanziale, delle clausole contrattuali tipo in capo ai titolari ed i responsabili del trattamento che intendono, in maniera lecita, procedere al trasferimento di dati personali verso paesi terzi.

L’indicazione normativa, da parte del legislatore europeo, appare chiara laddove all’art. 46, paragrafo 5, dispone che “le autorizzazioni rilasciate da uno Stato membro o dall’autorità di controllo in base all’articolo 26, paragrafo 2, della direttiva 95/46/CE restano valide fino a quando non vengono modificate, sostituite o abrogate, se necessario, dalla medesima autorità di controllo. Le decisioni adottate dalla Commissione in base all’articolo 26, paragrafo 4, della direttiva 95/46/CE restano in vigore fino a quando non vengono modificate, sostituite o abrogate, se necessario, da una decisione della Commissione adottata conformemente al paragrafo 2 del presente articolo”.

Pertanto, il legislatore europeo ha propeso verso una sorta di “ultrattività” delle decisioni della Commissione europea che, di conseguenza, possono essere utilizzate dai titolari e dai responsabili del trattamento per il trasferimento di dati personali extra-UE nonostante l’entrata in vigore del GDPR.

Infatti, come si legge, ad esempio, nella “Comunicazione della Commissione al Parlamento Europeo e al Consiglio – Maggiore protezione, nuove opportunità – Orientamenti della Commissione per l’applicazione diretta del regolamento generale sulla protezione dei dati a partire dal 25 maggio 2018”, […] “l’architettura delle norme sui trasferimenti internazionali del regolamento resta sostanzialmente identica a quella della direttiva del 1995, ma la riforma ne chiarisce e semplifica l’impiego e introduce nuovi strumenti per i trasferimenti”[4].

In definitiva, possiamo concludere per una persistente validità delle clausole contrattuali tipo in conseguenza dell’assenza di un richiamo puntuale del Legislatore europeo circa l’aggiornamento[5] di tale strumento contrattuale in relazione alle innovazioni giuridiche contenute nel Reg. UE 679/2016 e considerando, peraltro, che la stessa Commissione europea al momento non sta lavorando a nuove decisioni in tale materia.

Presupposto di liceità del trasferimento: l’informativa

I titolari ed i responsabili del trattamento che intendono procedere ad un trasferimento di dati personali verso un paese “terzo” debbono, in ogni caso, adempiere a quell’obbligo di trasparenza verso gli interessati mediante lo strumento dell’informativa ex art. 13 GDPR, nell’ipotesi di dati personali raccolti presso l’interessato.

In tale documento, il quale, com’è noto, costituisce un pilastro del diritto alla protezione dei dati personali, deve essere riportato con un linguaggio chiaro e semplice l’eventuale trasferimento di dati verso paesi extra-UE e lo strumento giuridico utilizzato per il suddetto trasferimento, a garanzia di un trattamento corretto e trasparente.

Nell’ipotesi in cui lo strumento utilizzato sia quello delle clausole contrattuali tipo – le quali devono essere applicate integralmente, pena nullità – queste ultime, se richieste, debbono essere rese disponibili all’interessato e, altresì, all’Autorità nazionale di controllo.

Da un punto di vista sanzionatorio, com’è noto, la violazione delle disposizioni inerenti il trasferimento verso paesi terzi e quella relativa ai diritti degli interessati, ivi compresa il diritto all’informativa, sono soggette a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Conclusioni

Sulla scorta delle considerazioni fin qui svolte, avuto riguardo a quanto stabilito nell’art. 46, par. 5, Reg. UE 679/2016, possiamo ritenere dipanato ogni dubbio inerente alla validità della clausole contrattuali tipo e, altresì, sull’inesistenza di alcun obbligo di modifica e/o integrazione in capo alle organizzazioni UE che intendono procedere ad un trasferimento di dati personali verso un paese “terzo” utilizzando lo strumento delle clausole contrattuali tipo.

Tuttavia, occorre precisare, che non sussiste un divieto di integrazione di tale strumento contrattuale alternativo di trasferimento di dati in territorio extra-UE.

Infatti, i soggetti protagonisti di tale flusso informativo immateriale internazionale possono anche procedere all’inserimento, secondo quanto disposto dal considerando n. 109 del GDPR, di clausole o garanzie supplementari, “purché non contraddicano, direttamente o indirettamente, le clausole contrattuali tipo adottate dalla Commissione o da un’autorità di controllo o ledano i diritti o le libertà fondamentali degli interessati”.

Pertanto, il Legislatore europeo incoraggia l’integrazione delle clausole contrattuali tipo ad opera di soggetti privati, i quali, in tal caso, dovranno procedere ad un’attenta analisi circa la compatibilità delle clausole che intendono adottare in via aggiuntiva con il contenuto delle clausole obbligatorie attualmente in vigore e ad un complesso bilanciamento con i diritti degli interessati.

Tale possibilità, però, nell’esperienza concreta, mal si concilia con esigenze di speditezza nei rapporti di impresa e, paradossalmente, potrebbe apparire in contrasto con la ratio di tale strumento giuridico consistente in uno strumento contrattuale vincolante ma comunque utilizzabile dalle imprese europee, anche di piccola e media dimensione, per procedere agevolmente e lecitamente al trasferimento di tale flusso informativo in territorio extra-UE.

Pertanto, fermo restando la possibilità offerta dal considerando n. 109 del GDPR, alla luce delle considerazioni svolte, possiamo concludere che:

  1. le clausole contrattuali tipo approvate dalla Commissione europea sono valide e possono essere utilizzate dalle organizzazioni UE per un trasferimento lecito di dati personali extra-UE;
  2. non può configurarsi alcun obbligo in capo alle organizzazioni UE di modifica e/o aggiornamento, né formale né sostanziale, delle suddette clausole nell’ipotesi di trasferimento di dati extra-UE.

La soluzione più soddisfacente in termini di tutela dei diritti e delle libertà delle persone fisiche che è possibile avanzare in questa sede – che tenga in equilibrio il diritto alla protezione dei dati personali con quello alla libertà di impresa e comunque nel solco costituzionale (art. 41) della funzione sociale di impresa – appare dunque quella di richiedere, a livello pattizio, al soggetto “importatore” stabilito in un Paese Extra-UE quelle garanzie tecniche ed organizzative imposte dal Regolamento Europeo 679/2016.

Segnatamente, sull’applicazione dei principi generali di protezione dei dati, sulle modalità di esercizio dei diritti degli interessati nonché sulle istruzioni che l’importatore deve impartire agli autorizzati, sull’esistenza di un obbligo di riservatezza, sulle misure di sicurezza di cui all’art. 32 GDPR e sull’obbligo di assistenza al titolare nell’ipotesi di esercizio dei diritti da parte degli interessati e in merito alle attività ispettive.

Nell’ottica di porsi l’obiettivo di raggiungere un elevato standard di tutela e tenendo conto di quanto prescritto dal considerando n. 81 del GDPR, nei rapporti titolare-responsabile, il quale, espressamente, prevede che “il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento”.

Come espressamente disciplinato dall’art. 28 GDPR, inoltre, il contratto o un altro atto giuridico tra il titolare e il responsabile del trattamento può basarsi, in tutto o in parte, su clausole contrattuali tipo le quali possono essere adottate anche dall’Autorità di controllo nazionale secondo il meccanismo di coerenza di cui all’art. 63 GDPR.

Ricordando, in conclusione, in relazione alla necessità di aggiornamento degli strumenti e delle norme giuridiche alle nuove istanze extra-legali di tutela dei cittadini in un mondo digitale globalizzato, quanto affermato, in via generale, dallo storico Paolo Grossi che “il diritto è figlio del tempo e di tempo si impasta e al tempo deve fedeltà[6].

NOTE

  1. Il considerando n. 101 prevede che sia (ndr) […] opportuno però che, quando i dati personali sono trasferiti dall’Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di tutela delle persone fisiche assicurato nell’Unione dal presente regolamento non sia compromesso, anche nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall’organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo o presso un’altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali potrebbero essere effettuati soltanto nel pieno rispetto del presente regolamento. Il trasferimento potrebbe aver luogo soltanto se, fatte salve le altre disposizioni del presente regolamento, il titolare del trattamento o il responsabile del trattamento rispetta le condizioni stabilite dalle disposizioni del presente regolamento in relazione al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali.
  2. Espressione russa, quasi una virtù ascetica, con la quale si indica docilità, rassegnazione, arrendevolezza, ubbidienza.
  3. Cfr. Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del regolamento 2016/679 – Adottate il 25 maggio 2018
  4. Sulla continuità e sulle novità del GDPR in relazione alla Direttiva 95/46, cfr. F. Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali, Giappichelli Editore, I, 2016, p. 161 ss,
  5. L’art. 28 GDPR, par.7 e 8, prevede che “La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2. Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63”.
  6. Paolo Grossi, Scienza giuridica Italiana, Giuffrè editore, 2000, pag. 230
@RIPRODUZIONE RISERVATA

Articolo 1 di 5