DECISIONE DI ESECUZIONE (UE) 2021/914 DELLA COMMISSIONE
DECISIONE DI ESECUZIONE (UE) 2021/914 DELLA COMMISSIONE
del 4 giugno 2021
relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea,
visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (1), in particolare l’articolo 28, paragrafo 7, e l’articolo 46, paragrafo 2, lettera c),
considerando quanto segue:
(1) Gli sviluppi tecnologici facilitano i flussi transfrontalieri di dati necessari per l’espansione della cooperazione internazionale e del commercio internazionale. Nel contempo occorre assicurare che il livello di protezione delle persone fisiche garantito dal regolamento (UE) 2016/679 non sia pregiudicato qualora i dati personali siano trasferiti verso paesi terzi, anche in caso di trasferimenti successivi (2). Le disposizioni sui trasferimenti di dati di cui al capo V del regolamento (UE) 2016/679 sono intese a garantire la continuità di tale livello elevato di protezione quando i dati personali sono trasferiti verso un paese terzo (3).
(2) In conformità dell’articolo 46, paragrafo 1, del regolamento (UE) 2016/679, in mancanza di una decisione di adeguatezza della Commissione ai sensi dell’articolo 45, paragrafo 3, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Possono costituire siffatte garanzie le clausole tipo di protezione dei dati adottate dalla Commissione a norma dell’articolo 46, paragrafo 2, lettera c).
(3) Il ruolo delle clausole contrattuali tipo è limitato ad assicurare garanzie adeguate in materia di protezione dei dati per i trasferimenti internazionali di dati. Pertanto, il titolare del trattamento o il responsabile del trattamento che trasferisce i dati personali verso un paese terzo («esportatore») e il titolare del trattamento o il responsabile del trattamento che riceve i dati personali («importatore») sono liberi di includere tali clausole contrattuali tipo in un contratto più ampio e di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le clausole contrattuali tipo o pregiudichino i diritti o le libertà fondamentali degli interessati. I titolari del trattamento e i responsabili del trattamento sono incoraggiati a fornire garanzie supplementari attraverso impegni contrattuali che integrino le clausole contrattuali tipo (4). L’utilizzo delle clausole contrattuali tipo lascia impregiudicato qualunque obbligo contrattuale dell’esportatore e/o dell’importatore di garantire il rispetto dei privilegi e delle immunità applicabili.
(4) Oltre ad utilizzare clausole contrattuali tipo per fornire garanzie adeguate per i trasferimenti in conformità dell’articolo 46, paragrafo 1, del regolamento (UE) 2016/679, l’esportatore deve adempiere alle responsabilità generali che gli incombono in quanto titolare del trattamento o responsabile del trattamento a norma del regolamento (UE) 2016/679. Tali responsabilità comprendono l’obbligo del titolare del trattamento di fornire agli interessati informazioni in merito alla sua intenzione di trasferire i dati personali verso un paese terzo in conformità dell’articolo 13, paragrafo 1, lettera f), e dell’articolo 14, paragrafo 1, lettera f), del regolamento (UE) 2016/679. Nel caso di trasferimenti in conformità dell’articolo 46 del regolamento (UE) 2016/679, tali informazioni devono includere un riferimento alle garanzie adeguate e ai mezzi per ottenere una copia di tali dati o informazioni sul luogo dove sono stati resi disponibili.
(1) GU L 119 del 4.5.2016, pag. 1.
(2) Articolo 44 del regolamento (UE) 2016/679.
(3) Cfr. anche la sentenza della Corte di giustizia del 16 luglio 2020 nella causa C-311/18, Data Protection Commissioner contro Facebook Ireland Ltd e Xxxxxxxxxxx Xxxxxxx (“Xxxxxxx II»), ECLI:EU:C:2020:559, punto 93.
(4) Considerando 109 del regolamento (UE) 2016/679.
(5) La decisione 2001/497/CE della Commissione (5) e la decisione 2010/87/UE della Commissione (6) contengono clausole contrattuali tipo per facilitare il trasferimento di dati personali da un titolare del trattamento stabilito nell’Unione a un titolare del trattamento o un responsabile del trattamento stabilito in un paese terzo che non offre un livello di protezione adeguato. Tali decisioni si basavano sulla direttiva 95/46/CE del Parlamento europeo e del Consiglio (7).
(6) In conformità dell’articolo 46, paragrafo 5, del regolamento (UE) 2016/679, la decisione 2001/497/CE e la decisione 2010/87/UE restano in vigore fino a quando non vengono modificate, sostituite o abrogate, se necessario, da una decisione della Commissione adottata a norma dell’articolo 46, paragrafo 2, del medesimo regolamento. Le clausole contrattuali tipo contenute nelle decisioni hanno reso necessario un aggiornamento alla luce dei nuovi requisiti di cui al regolamento (UE) 2016/679. Inoltre, dall’adozione di tali decisioni si sono verificati importanti sviluppi nell’economia digitale, con l’uso diffuso di nuovi e più complessi trattamenti che coinvolgono spesso numerosi importatori ed esportatori, lunghe e complesse catene di trattamento e relazioni commerciali in evoluzione. Ciò richiede una modernizzazione delle clausole contrattuali tipo per rispecchiare meglio tali realtà, contemplando ulteriori situazioni di trattamento e trasferimento, e consentire un approccio più flessibile, ad esempio per quanto riguarda il numero di parti che possono aderire al contratto.
(7) Il titolare del trattamento o il responsabile del trattamento può utilizzare le clausole contrattuali tipo figuranti nell’allegato della presente decisione per fornire garanzie adeguate ai sensi dell’articolo 46, paragrafo 1, del regolamento (UE) 2016/679 ai fini del trasferimento di dati personali a un responsabile del trattamento o a un titolare del trattamento stabilito in un paese terzo, fatta salva l’interpretazione della nozione di trasferimento internazionale ai sensi del regolamento (UE) 2016/679. Le clausole contrattuali tipo possono essere utilizzate per tali trasferimenti soltanto nella misura in cui il trattamento da parte dell’importatore non rientri nell’ambito di applicazione del regolamento (UE) 2016/679. Ciò comprende anche il trasferimento di dati personali ad opera di un titolare del trattamento o un responsabile del trattamento che non è stabilito nell’Unione, nella misura in cui il trattamento sia soggetto al regolamento (UE) 2016/679 (in conformità dell’articolo 3, paragrafo 2, del medesimo), in quanto si riferisce all’offerta di beni o servizi ad interessati nell’Unione o al monitoraggio del loro comportamento nella misura in cui questo abbia luogo all’interno dell’Unione.
(8) Dato l’allineamento generale del regolamento (UE) 2016/679 e del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (8), dovrebbe essere possibile utilizzare le clausole contrattuali tipo anche nel contesto di un contratto di cui all’articolo 29, paragrafo 4, del regolamento (UE) 2018/1725 per il trasferimento di dati personali a un sub-responsabile del trattamento in un paese terzo ad opera di un responsabile del trattamento che non sia un’istituzione o un organo dell’Unione ma che sia soggetto al regolamento (UE) 2016/679 e che tratti dati personali per conto di un’istituzione o di un organo dell’Unione conformemente all’articolo 29 del regolamento (UE) 2018/1725. A condizione che il contratto rifletta gli stessi obblighi in materia di protezione dei dati stabiliti nel contratto o altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento in conformità dell’articolo 29, paragrafo 3, del regolamento (UE) 2018/1725, in particolare fornendo garanzie sufficienti per le misure tecniche e organizzative volte ad assicurare che il trattamento soddisfi i requisiti di tale regolamento, ciò garantirà il rispetto dell’articolo 29, paragrafo 4, del regolamento (UE) 2018/1725. Si tratta, segnatamente, del caso in cui il titolare del trattamento e il responsabile del trattamento utilizzano le clausole contrattuali tipo stabilite nella decisione di esecuzione della Commissione relativa alle clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento a norma dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio e dell’articolo 29, paragrafo 7, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (9).
(9) Qualora il trattamento comporti trasferimenti di dati da titolari del trattamento soggetti al regolamento (UE) 2016/679 a responsabili del trattamento che non rientrano nell’ambito di applicazione territoriale di tale regolamento, o da responsabili del trattamento soggetti al regolamento (UE) 2016/679 a sub-responsabili del trattamento che non rientrano nell’ambito di applicazione territoriale di tale regolamento, le clausole contrattuali tipo figuranti nell’allegato della presente decisione dovrebbero consentire di soddisfare anche i requisiti di cui all’articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679.
(10) Le clausole contrattuali tipo figuranti nell’allegato della presente decisione combinano clausole generali con un approccio modulare per rispondere ai diversi scenari di trasferimento e alla complessità delle moderne catene di trattamento. Oltre alle clausole generali, i titolari del trattamento e i responsabili del trattamento dovrebbero scegliere il modulo applicabile alla loro situazione, in modo da adattare gli obblighi derivanti dalle clausole
(5) Decisione 2001/497/CE della Commissione, del 15 giugno 2001, relativa alle clausole contrattuali tipo per il trasferimento di dati a carattere personale verso xxxxx xxxxx x xxxxx xxxxx xxxxxxxxx 00/00/XX (XX L 181 del 4.7.2001, pag. 19).
(6) Decisione 2010/87/UE della Commissione, del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio (GU L 39 del 12.2.2010, pag. 5).
(7) Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).
(8) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39); cfr. il considerando 5.
contrattuali tipo al loro ruolo e alle loro responsabilità in relazione al trattamento di dati in questione. Alle clausole contrattuali tipo dovrebbero poter aderire più di due parti. Inoltre, dovrebbe essere consentito a ulteriori titolari del trattamento e responsabili del trattamento di aderire alle clausole contrattuali tipo in qualità di esportatori o importatori durante l’intero ciclo di vita del contratto di cui tali clausole fanno parte.
(11) Al fine di offrire garanzie adeguate, le clausole contrattuali tipo dovrebbero assicurare che ai dati personali trasferiti sulla loro base sia assicurato un livello di protezione sostanzialmente equivalente a quello assicurato all’interno dell’Unione (10). Per garantire la trasparenza del trattamento, gli interessati dovrebbero ricevere una copia delle clausole contrattuali tipo ed essere informati, in particolare, delle categorie di dati personali trattati, del diritto di ottenere una copia delle clausole contrattuali tipo e di eventuali trasferimenti successivi. I trasferimenti successivi dall’importatore a un terzo in un altro paese terzo dovrebbero essere consentiti solo se il terzo aderisce alle clausole contrattuali tipo, se la continuità della protezione è garantita in altro modo, o in situazioni specifiche, ad esempio sulla base del consenso esplicito e informato dell’interessato.
(12) Con alcune eccezioni, in particolare per quanto concerne determinati obblighi che riguardano esclusivamente il rapporto tra l’esportatore e l’importatore, gli interessati dovrebbero poter invocare e, se necessario far valere, le clausole contrattuali tipo in qualità di terzi beneficiari. Pertanto, anche se le parti devono poter scegliere la legge di uno degli Stati membri quale legge applicabile alle clausole contrattuali tipo, tale legge deve prevedere i diritti del terzo beneficiario. Al fine di facilitare il ricorso individuale, le clausole contrattuali tipo dovrebbero imporre all’importatore di informare gli interessati circa un punto di contatto e di trattare prontamente eventuali reclami o richieste. In caso di controversia tra l’importatore e un interessato che invochi i propri diritti in qualità di terzo beneficiario, l’interessato dovrebbe poter proporre reclamo all’autorità di controllo competente o deferire la controversia agli organi giurisdizionali competenti dell’UE.
(13) Al fine di garantire un’applicazione efficace, l’importatore dovrebbe essere tenuto a sottoporsi alla giurisdizione di tali autorità e organi giurisdizionali e a impegnarsi ad attenersi a qualunque decisione vincolante a norma della legislazione applicabile dello Stato membro. In particolare, l’importatore dovrebbe accettare di rispondere alle richieste di informazioni, sottoporsi ad attività di revisione e rispettare le misure adottate dall’autorità di controllo, comprese le misure di riparazione e risarcimento. Inoltre, l’importatore dovrebbe avere l’opzione di offrire agli interessati la possibilità di rivolgersi gratuitamente a un organismo indipendente di risoluzione delle controversie. In linea con l’articolo 80, paragrafo 1, del regolamento (UE) 2016/679, gli interessati dovrebbero essere autorizzati a farsi rappresentare, se lo desiderano, da associazioni o altri organismi nelle controversie contro l’importatore.
(14) Le clausole contrattuali tipo dovrebbero prevedere norme sulla responsabilità tra le parti e nei confronti degli interessati, e norme sull’indennizzo tra le parti. Qualora subisca un danno materiale o immateriale causato da una violazione dei diritti del terzo beneficiario derivanti dalle clausole contrattuali tipo, l’interessato dovrebbe avere diritto al risarcimento. Ciò dovrebbe lasciare impregiudicata qualunque responsabilità ai sensi del regolamento (UE) 2016/679.
(15) In caso di trasferimento a un importatore che agisce in qualità di responsabile del trattamento o sub-responsabile del trattamento, dovrebbero applicarsi requisiti specifici conformemente all’articolo 28, paragrafo 3, del regolamento (UE) 2016/679. Le clausole contrattuali tipo dovrebbero imporre all’importatore di mettere a disposizione tutte le informazioni necessarie per dimostrare il rispetto degli obblighi stabiliti dalle clausole e di consentire e contribuire alle attività di revisione delle sue attività di trattamento da parte dell’esportatore. Per quanto riguarda il ricorso dell’importatore a un sub-responsabile del trattamento, conformemente all’articolo 28, paragrafi 2 e 4, del regolamento (UE) 2016/679, le clausole contrattuali tipo dovrebbero stabilire in particolare la procedura per l’autorizzazione generale o specifica da parte dell’esportatore e il requisito di un contratto scritto con il sub- responsabile del trattamento che garantisca lo stesso livello di protezione previsto dalle clausole.
(16) È opportuno prevedere nelle clausole contrattuali tipo garanzie diverse che coprano la situazione specifica di un trasferimento di dati personali da un responsabile del trattamento nell’Unione al suo titolare del trattamento in un paese terzo, e che rispecchino i limitati obblighi autonomi per i responsabili del trattamento a norma del regolamento (UE) 2016/679. In particolare, le clausole contrattuali tipo dovrebbero fare obbligo al responsabile del trattamento di informare il titolare del trattamento qualora non sia in grado di seguire le sue istruzioni, compreso se tali istruzioni violano la legislazione dell’Unione in materia di protezione dei dati, e al titolare del trattamento di astenersi da qualunque azione che impedisca al responsabile del trattamento di adempiere ai propri obblighi a norma del regolamento (UE) 2016/679. Dovrebbero inoltre imporre alle parti di prestarsi reciproca assistenza nel rispondere alle richieste di informazioni e alle richieste presentate dagli interessati a norma della legislazione locale applicabile all’importatore o, per il trattamento dei dati nell’Unione, a norma del regolamento (UE) 2016/679. Qualora il responsabile del trattamento dell’Unione combini i dati personali ricevuti dal titolare del trattamento del
(10) Xxxxxxx II, punti 96 e 103. Cfr. anche il regolamento (UE) 2016/679, considerando 108 e 114.
paese terzo con dati personali che ha raccolto nell’Unione, si dovrebbero applicare ulteriori requisiti per far fronte a eventuali effetti della legislazione del paese terzo di destinazione sul rispetto delle clausole da parte del titolare del trattamento, in particolare per quanto riguarda il modo in cui trattare le richieste vincolanti di autorità pubbliche del paese terzo di comunicare i dati personali trasferiti. Per contro, tali requisiti non sono giustificati quando l’esternalizzazione comporta unicamente il trattamento e il ritrasferimento di dati personali che sono stati ricevuti dal titolare del trattamento e che, in ogni caso, sono stati e rimarranno soggetti alla giurisdizione del paese terzo in questione.
(17) Le parti dovrebbero essere in grado di dimostrare il rispetto delle clausole contrattuali tipo. In particolare, l’importatore dovrebbe essere tenuto a conservare documentazione adeguata delle attività di trattamento sotto la sua responsabilità e a informare prontamente l’esportatore qualora, per qualunque motivo, non sia in grado di rispettare le clausole. A sua volta, l’esportatore dovrebbe sospendere il trasferimento e, nei casi particolarmente gravi, avere il diritto di risolvere il contratto, per quanto riguarda il trattamento di dati personali nell’ambito delle clausole contrattuali tipo, qualora l’importatore violi le clausole o non sia in grado di rispettarle. Si dovrebbero applicare norme specifiche qualora la legislazione locale incida sul rispetto delle clausole. I dati personali che sono stati trasferiti prima della risoluzione del contratto e le loro eventuali copie dovrebbero, a scelta dell’esportatore, essere restituiti all’esportatore o distrutti integralmente.
(18) Le clausole contrattuali tipo dovrebbero prevedere garanzie specifiche, in particolare alla luce della giurisprudenza della Corte di giustizia (11), per far fronte a eventuali effetti della legislazione del paese terzo di destinazione sul rispetto delle clausole da parte dell’importatore, in particolare per quanto riguarda il modo in cui trattare le richieste vincolanti di autorità pubbliche del paese terzo di comunicare i dati personali trasferiti.
(19) Il trasferimento e il trattamento dei dati personali nell’ambito delle clausole contrattuali tipo non dovrebbero aver luogo se la legislazione e le prassi del paese terzo di destinazione impediscono all’importatore di rispettare le clausole. In tale contesto, la legislazione e le prassi che rispettano l’essenza dei diritti e delle libertà fondamentali e non vanno oltre quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679 non dovrebbero ritenersi in conflitto con le clausole contrattuali tipo. Le parti dovrebbero garantire che, al momento dell’accettazione delle clausole contrattuali tipo, non hanno motivo di ritenere che la legislazione e le prassi applicabili all’importatore non sono in linea con tali requisiti.
(20) Le parti dovrebbero tenere conto in particolare delle circostanze specifiche del trasferimento (quali il contenuto e la durata del contratto, la natura dei dati da trasferire, il tipo di destinatario, la finalità del trattamento), della legislazione e delle prassi del paese terzo di destinazione pertinenti alla luce delle circostanze del trasferimento, e delle eventuali garanzie messe in atto per integrare le garanzie previste dalle clausole contrattuali tipo (comprese le pertinenti misure contrattuali, tecniche e organizzative che si applicano alla trasmissione e al trattamento dei dati personali nel paese di destinazione). Per quanto riguarda l’impatto della legislazione e delle prassi sul rispetto delle clausole contrattuali tipo, possono essere presi in considerazione diversi elementi nell’ambito di una valutazione globale, tra cui informazioni affidabili sull’applicazione pratica della legislazione (come la giurisprudenza e le relazioni di organismi di vigilanza indipendenti), l’esistenza o l’assenza di richieste nello stesso settore e, in condizioni rigorose, l’esperienza pratica documentata dell’esportatore e/o dell’importatore.
(21) L’importatore dovrebbe informare l’esportatore se, dopo aver accettato le clausole contrattuali tipo, ha motivo di ritenere di non essere in grado di rispettarle. Se riceve tale notifica o viene altrimenti a conoscenza del fatto che l’importatore non è più in grado di rispettare le clausole contrattuali tipo, l’esportatore dovrebbe individuare le misure appropriate per far fronte alla situazione, se necessario in consultazione con l’autorità di controllo competente. Tali misure possono comprendere l’adozione di misure supplementari ad opera dall’esportatore e/o dell’importatore, quali misure tecniche o organizzative per garantire la sicurezza e la riservatezza. L’esportatore dovrebbe essere tenuto a sospendere il trasferimento se ritiene che non possano essere assicurate garanzie adeguate o su istruzione dell’autorità di controllo competente.
(22) Se riceve una richiesta giuridicamente vincolante di un’autorità pubblica (anche giudiziaria), a norma della legislazione del paese di destinazione, di comunicare dati personali trasferiti in conformità delle clausole contrattuali tipo, l’importatore dovrebbe informarne l’esportatore e l’interessato, ove possibile. analogamente, dovrebbe informarli se viene a conoscenza di un accesso diretto a tali dati personali da parte di autorità pubbliche, conformemente alla legislazione del paese terzo di destinazione. Se, pur avendo fatto tutto il possibile, non è in grado di informare l’esportatore e/o l’interessato di specifiche richieste di comunicazione, l’importatore dovrebbe fornire all’esportatore quante più informazioni pertinenti possibili sulle richieste. Inoltre dovrebbe fornire periodicamente all’esportatore informazioni aggregate. L’importatore dovrebbe altresì essere tenuto a documentare tutte le richieste di comunicazione ricevute e le risposte fornite e a mettere tali informazioni a disposizione dell’esportatore o dell’autorità di controllo competente, o di entrambi, su richiesta. Se, a seguito di un riesame della legittimità di una siffatta richiesta a norma della legislazione del paese di destinazione, conclude che sussistono fondati motivi per ritenere che essa sia illegittima a norma della legislazione del paese terzo di destinazione, l’importatore dovrebbe contestarla, se del caso anche esaurendo le possibilità di ricorso disponibili. In ogni caso, se non è più in grado di rispettare le clausole contrattuali tipo, l’importatore dovrebbe informarne l’esportatore, anche qualora tale incapacità sia la conseguenza di una richiesta di comunicazione.
(23) Poiché le esigenze dei portatori di interessi, la tecnologia e i trattamenti possono cambiare, la Commissione dovrebbe valutare il funzionamento delle clausole contrattuali tipo alla luce dell’esperienza, nell’ambito della valutazione periodica del regolamento (UE) 2016/679 prevista all’articolo 97 di tale regolamento.
(24) La decisione 2001/497/CE e la decisione 2010/87/UE dovrebbero essere abrogate tre mesi dopo l’entrata in vigore della presente decisione. Durante tale periodo gli esportatori e gli importatori dovrebbero, ai fini dell’articolo 46, paragrafo 1, del regolamento (UE) 2016/679, poter continuare a utilizzare le clausole contrattuali tipo di cui alle decisioni 2001/497/CE e 2010/87/UE. Per un ulteriore periodo di 15 mesi, gli esportatori e gli importatori dovrebbero, ai fini dell’articolo 46, paragrafo 1, del regolamento (UE) 2016/679, poter continuare a basarsi sulle clausole contrattuali tipo di cui alle decisioni 2001/497/CE e 2010/87/UE per l’esecuzione di contratti conclusi tra loro prima della data di abrogazione di tali decisioni, purché i trattamenti oggetto dei contratti rimangano invariati e il ricorso alle clausole garantisca che il trasferimento di dati personali sia soggetto a garanzie adeguate ai sensi dell’articolo 46, paragrafo 1, del regolamento (UE) 2016/679. In caso di modifiche rilevanti del contratto, l’esportatore dovrebbe essere tenuto a basarsi su un nuovo fondamento per i trasferimenti di dati in virtù del contratto, in particolare sostituendo le clausole contrattuali tipo esistenti con le clausole contrattuali tipo figuranti nell’allegato della presente decisione. Lo stesso dovrebbe valere per qualunque subcontratto che affidi i trattamenti oggetto del contratto a un (sub-)responsabile del trattamento.
(25) Il garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati sono stati consultati a norma dell’articolo 42, paragrafi 1 e 2, del regolamento (UE) 2018/1725 e hanno espresso un parere congiunto il 14 gennaio 2021 (12), di cui si è tenuto conto nella preparazione della presente decisione.
(26) Le misure di cui alla presente decisione sono conformi al parere del comitato istituito a norma dell’articolo 93 del regolamento (UE) 2016/679,]
ha aDOTTaTO La PRESENTE DECISIONE:
Articolo 1
1. Le clausole contrattuali tipo figuranti in allegato sono ritenute fornire garanzie adeguate ai sensi dell’articolo 46, paragrafo 1, e dell’articolo 46, paragrafo 2, lettera c), del regolamento (UE) 2016/679 ai fini del trasferimento da un titolare del trattamento o un responsabile del trattamento di dati personali trattati soggetti a tale regolamento (esportatore) a un titolare del trattamento o un (sub-)responsabile del trattamento il cui trattamento di dati non è soggetto tale regolamento (importatore).
2. Le clausole contrattuali tipo stabiliscono inoltre i diritti e gli obblighi dei titolari del trattamento e dei responsabili del trattamento in relazione alle questioni di cui all’articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679 per quanto riguarda il trasferimento di dati personali da un titolare del trattamento a un responsabile del trattamento o da un responsabile del trattamento a un sub-responsabile del trattamento.
(12) Parere congiunto 2/2021 dell’EDPB e del GEPD sulla decisione di esecuzione della Commissione europea relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi riguardo alle questioni di cui all’articolo 46, paragrafo 2, lettera c), del regolamento (UE) 2016/679
Articolo 2
Qualora l’importatore sia o sia diventato soggetto a una legislazione o prassi del paese terzo di destinazione che gli impedisce di rispettare le clausole contrattuali tipo figuranti in allegato e, di conseguenza, le autorità competenti dello Stato membro esercitino i poteri correttivi di cui all’articolo 58 del regolamento (UE) 2016/679 per sospendere o vietare i trasferimenti di dati verso paesi terzi, lo Stato membro interessato informa senza indugio la Commissione, che trasmette l’informazione agli altri Stati membri.
Articolo 3
La Commissione valuta l’applicazione pratica delle clausole contrattuali tipo figuranti in allegato, sulla base di tutte le informazioni disponibili, nell’ambito della valutazione periodica prevista all’articolo 97 del regolamento (UE) 2016/679.
Articolo 4
1. La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
2. La decisione 2001/497/CE è abrogata con effetto a decorrere dal 27 settembre 2021.
3. La decisione 2010/87/UE è abrogata con effetto a decorrere dal 27 settembre 2021.
4. I contratti conclusi prima del 27 settembre 2021 sulla base della decisione 2001/497/CE o della decisione 2010/87/UE sono ritenuti fornire garanzie adeguate ai sensi dell’articolo 46, paragrafo 1, del regolamento (UE) 2016/679 fino al 27 dicembre 2022, purché i trattamenti oggetto dei contratti rimangano invariati e il ricorso a tali clausole garantisca che il trasferimento di dati personali sia soggetto a garanzie adeguate.
Fatto a Bruxelles, il 4 giugno 2021
Per la Commissione La presidente
Xxxxxx XXX XXX XXXXX
CLAUSOLE CONTRATTUALI TIPO
SEZIONE I
Clausola 1
Scopo e ambito di applicazione
a) Scopo delle presenti clausole contrattuali tipo è garantire il rispetto dei requisiti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (1) in caso di trasferimento di dati personali verso un paese terzo.
b) Le parti:
i) la o le persone fisiche o giuridiche, la o le autorità pubbliche, lo o gli organismi o altri organi (di seguito la o le
«entità») che trasferiscono i dati personali, elencate nell’allegato I.a. (di seguito «esportatore»), e
ii) la o le entità di un paese terzo che ricevono i dati personali dall’esportatore, direttamente o indirettamente tramite un’altra entità anch’essa parte delle presenti clausole, elencate nell’allegato I.a. (di seguito «importatore»)
hanno accettato le presenti clausole contrattuali tipo (di seguito «clausole»).
c) Le presenti clausole si applicano al trasferimento di dati personali specificato all’allegato I.B.
d) L’appendice delle presenti clausole contenente gli allegati ivi menzionati costituisce parte integrante delle presenti clausole.
Clausola 2
Effetto e invariabilità delle clausole
a) Le presenti clausole stabiliscono garanzie adeguate, compresi diritti azionabili degli interessati e mezzi di ricorso effettivi, in conformità dell’articolo 46, paragrafo 1, e dell’articolo 46, paragrafo 2, lettera c), del regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati da titolari del trattamento a responsabili del trattamento e/o da responsabili del trattamento a responsabili del trattamento, clausole contrattuali tipo in conformità dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679, purché non siano modificate, tranne per selezionare il modulo o i moduli appropriati o per aggiungere o aggiornare informazioni nell’appendice. Ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio e di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le presenti clausole o ledano i diritti o le libertà fondamentali degli interessati.
b) Le presenti clausole non pregiudicano gli obblighi cui è soggetto l’esportatore a norma del regolamento (UE) 2016/679.
Clausola 3
Terzi beneficiari
a) Gli interessati possono invocare e far valere le presenti clausole, in qualità di terzi beneficiari, nei confronti dell’esportatore e/o dell’importatore, con le seguenti eccezioni:
i) clausola 1, clausola 2, xxxxxxxx 3, clausola 6, clausola 7;
(1) Qualora l’esportatore sia un responsabile del trattamento soggetto al regolamento (UE) 2016/679 che agisce per conto di un’istituzione o di un organo dell’Unione in qualità di titolare del trattamento, l’utilizzo delle presenti clausole quando è fatto ricorso a un altro responsabile del trattamento (sub-responsabile del trattamento) non soggetto al regolamento (UE) 2016/679 garantisce anche il rispetto dell’articolo 29, paragrafo 4, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39), nella misura in cui le presenti clausole e gli obblighi in materia di protezione dei dati stabiliti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento in conformità dell’articolo 29, paragrafo 3, del regolamento (UE) 2018/1725 sono allineati. Si tratta, in particolare, del caso in cui il titolare del trattamento e il responsabile del trattamento si basano sulle clausole contrattuali tipo incluse nella decisione 2021/915.
ii) clausola 8 - modulo uno: clausola 8.5, lettera e), e clausola 8.9, lettera b); modulo due: clausola 8.1, lettera b), clausola 8.9, lettere a), c), d) ed e); modulo tre: clausola 8.1, lettere a), c) e d), e clausola 8.9, lettere a), c), d), e), f) e g); modulo quattro: clausola 8.1, lettera b), e xxxxxxxx 8.3, lettera b);
iii) clausola 9 - modulo due: clausola 9, lettere a), c), d) ed e); modulo tre: clausola 9, lettere a), c), d) ed e);
iv) clausola 12 - modulo uno: clausola 12, lettere a) e d); moduli due e tre: clausola 12, lettere a), d) e f);
v) clausola 13;
vi) clausola 15.1, lettere c), d) ed e);
vii) clausola 16, lettera e);
viii) clausola 18 - moduli uno, due e tre: clausola 18, lettere a) e b); modulo quattro: clausola 18.
b) La lettera a) lascia impregiudicati i diritti degli interessati a norma del regolamento (UE) 2016/679.
Clausola 4
Interpretazione
a) Quando le presenti clausole utilizzano termini che sono definiti nel regolamento (UE) 2016/679, tali termini hanno lo stesso significato di cui a detto regolamento.
b) Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679.
c) Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal regolamento (UE) 2016/679.
Clausola 5
Gerarchia
In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati, vigenti tra le parti al momento dell’accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole.
Clausola 6
Descrizione dei trasferimenti
I dettagli dei trasferimenti, in particolare le categorie di dati personali trasferiti e le finalità per le quali i dati sono trasferiti, sono specificati nell’allegato I.B.
Clausola 7 — Facoltativa
Clausola di adesione successiva
a) Un’entità che non sia parte delle presenti clausole può, con l’accordo delle parti, aderire alle presenti clausole in qualunque momento, in qualità di esportatore o di importatore, compilando l’appendice e firmando l’allegato I.a.
b) Una volta compilata l’appendice e firmato l’allegato I.a, l’entità aderente diventa parte delle presenti clausole e ha i diritti e gli obblighi di un esportatore o di un importatore, conformemente alla sua designazione nell’allegato I.a.
c) L’entità aderente non ha diritti od obblighi derivanti a norma delle presenti clausole per il periodo precedente all’adesione.
SEZIONE II — OBBLIGhI DELLE PaRTI
Clausola 8
Garanzie in materia di protezione dei dati
L’esportatore garantisce di aver fatto quanto ragionevolmente possibile per stabilire che l’importatore, grazie all’attuazione di misure tecniche e organizzative adeguate, è in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole.
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento
8.1. Limitazione delle finalità
L’importatore tratta i dati personali soltanto per le finalità specifiche del trasferimento di cui all’allegato I.B. Può trattare i dati personali per un’altra finalità soltanto:
i) se ha ottenuto il consenso preliminare dell’interessato;
ii) se il trattamento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; o
iii) se il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
8.2. Trasparenza
a) Per consentire agli interessati di esercitare effettivamente i propri diritti in conformità della clausola 10, l’importatore li informa, direttamente o tramite l’esportatore, circa:
i) la sua identità e i suoi dati di contatto;
ii) le categorie di dati personali trattati;
iii) il diritto di ottenere una copia delle presenti clausole;
iv) qualora intenda trasferire successivamente i dati personali a terzi, il destinatario o le categorie di destinatari (ove opportuno al fine di fornire informazioni significative), la finalità del trasferimento successivo e il motivo dello stesso in conformità della clausola 8.7.
b) La lettera a) non si applica se l’interessato dispone già delle informazioni, anche quando tali informazioni sono già state fornite dall’esportatore, o se la comunicazione delle informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato per l’importatore. In quest’ultimo caso l’importatore, per quanto possibile, rende pubbliche le informazioni.
c) Su richiesta, le parti mettono gratuitamente a disposizione dell’interessato una copia delle presenti clausole, compresa l’appendice da loro compilata. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, le parti possono espungere informazioni dall’appendice prima di trasmetterne una copia, fornendo tuttavia una sintesi significativa qualora l’interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le parti comunicano all’interessato le ragioni delle espunzioni, per quanto possibile senza rivelare le informazioni espunte.
d) Le lettere da a) a c) lasciano impregiudicati gli obblighi incombenti all’esportatore a norma degli articoli 13 e 14 del regolamento (UE) 2016/679.
8.3. Esattezza e minimizzazione dei dati
a) Ciascuna parte provvede affinché i dati personali siano esatti e, se necessario, aggiornati. L’importatore adotta tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
b) Se una parte viene a conoscenza del fatto che i dati personali che ha trasferito o ricevuto sono inesatti o obsoleti, ne informa senza ingiustificato ritardo l’altra parte.
c) L’importatore provvede affinché i dati personali siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
8.4. Limitazione della conservazione
L’importatore conserva i dati personali per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati. Mette in atto misure tecniche o organizzative adeguate per garantire il rispetto di tale obbligo, compresa la cancellazione o l’anonimizzazione (2) dei dati e di tutti i backup alla fine del periodo di conservazione.
8.5. Sicurezza del trattamento
a) L’importatore e, durante la trasmissione, anche l’esportatore mettono in atto misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali, compresa la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a tali dati (di seguito «violazione dei dati personali»). Nel valutare l’adeguato livello di sicurezza, essi tengono debitamente conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi derivanti dal trattamento per gli interessati. Le parti prendono in considerazione in particolare la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere conseguita in tal modo.
b) Le parti concordano le misure tecniche e organizzative di cui all’allegato II. L’importatore effettua controlli regolari per garantire che tali misure continuino a offrire un adeguato livello di sicurezza.
c) L’importatore garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
d) In caso di una violazione dei dati personali trattati dall’importatore a norma delle presenti clausole, l’importatore adotta misure adeguate per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi.
e) In caso di una violazione dei dati personali che possa presentare un rischio per i diritti e le libertà delle persone fisiche, l’importatore informa l’esportatore e l’autorità di controllo competente in conformità della clausola 13 senza ingiustificato ritardo. Tale notifica contiene i) una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati personali in questione),
ii) le sue probabili conseguenze, iii) le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e iv) i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni. Nella misura in cui non gli sia possibile fornire le informazioni contestualmente, l’importatore può fornirle in fasi successive senza ulteriore ingiustificato ritardo.
f) In caso di una violazione dei dati personali che possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, l’importatore informa senza ingiustificato ritardo gli interessati della violazione dei dati personali e della sua natura, se necessario in cooperazione con l’esportatore, unitamente alle informazioni di cui alla lettera e), punti da ii) a iv), a meno che l’importatore abbia attuato misure volte a ridurre in modo significativo il rischio per i diritti o le libertà delle persone fisiche o che la notifica implichi uno sforzo sproporzionato. In quest’ultimo caso, l’importatore effettua una comunicazione pubblica o adotta misure analoghe per informare il pubblico della violazione dei dati personali.
g) L’importatore documenta tutte le circostanze pertinenti relative alla violazione dei dati personali, comprese le sue conseguenze e i provvedimenti adottati per porvi rimedio, e ne tiene un registro.
8.6. Dati sensibili
Qualora il trasferimento riguardi dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati (in prosieguo «dati sensibili»), l’importatore applica limitazioni specifiche e/o garanzie supplementari adeguate alla natura specifica dei dati e ai rischi connessi. Ciò può includere limitazioni del personale autorizzato ad accedere ai dati personali, misure di sicurezza supplementari (quali la pseudonimizzazione) e/o limitazioni aggiuntive all’ulteriore divulgazione.
(2) Questo richiede di rendere anonimi i dati in modo tale che la persona non sia più identificabile da nessuno, in linea con il considerando 26 del regolamento (UE) 2016/679, e che tale processo sia irreversibile.
8.7. Trasferimenti successivi
L’importatore non comunica i dati personali a terzi situati al di fuori dell’Unione europea (3) (nel suo stesso paese o in un altro paese terzo - di seguito: «trasferimento successivo»), a meno che il terzo sia o accetti di essere vincolato dalle presenti clausole, secondo il modulo appropriato. altrimenti, il trasferimento successivo da parte dell’importatore può aver luogo solo se:
i) è diretto verso un paese che beneficia di una decisione di adeguatezza in conformità dell’articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;
ii) il terzo fornisce in altro modo garanzie adeguate in conformità dell’articolo 46 o 47 del regolamento (UE) 2016/679 in relazione al trattamento in questione;
iii) il terzo stipula uno strumento vincolante con l’importatore che garantisce lo stesso livello di protezione dei dati previsto dalle presenti clausole e l’importatore fornisce una copia di tali garanzie all’esportatore;
iv) il trasferimento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari;
v) il trasferimento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, o
vi) qualora non ricorra nessuna delle altre condizioni, l’importatore ha ottenuto il consenso esplicito dell’interessato al trasferimento successivo in una situazione specifica, dopo averlo informato delle sue finalità, dell’identità del destinatario e dei possibili rischi di siffatto trasferimento per l’interessato dovuti alla mancanza di garanzie adeguate in materia di protezione dei dati. In tal caso, l’importatore informa l’esportatore e, su richiesta di quest’ultimo, gli trasmette copia delle informazioni fornite all’interessato.
Qualunque trasferimento successivo è soggetto al rispetto da parte dell’importatore di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.
8.8. Trattamento sotto l’autorità dell’importatore
L’importatore provvede affinché chiunque agisca sotto la sua autorità, compreso un responsabile del trattamento, tratti i dati soltanto su sua istruzione.
8.9. Documentazione e rispetto
a) Xxxxxxxx parte deve essere in grado di dimostrare il rispetto degli obblighi che le incombono a norma delle presenti clausole. In particolare, l’importatore conserva documentazione adeguata delle attività di trattamento effettuate sotto la sua responsabilità.
b) Su richiesta, l’importatore mette tale documentazione a disposizione dell’autorità di controllo competente.
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
8.1. Istruzioni
a) L’importatore tratta i dati personali soltanto su istruzione documentata dell’esportatore. L’esportatore può impartire tali istruzioni per tutta la durata del contratto.
b) L’importatore informa immediatamente l’esportatore qualora non sia in grado di seguire tali istruzioni.
8.2. Limitazione delle finalità
L’importatore tratta i dati personali soltanto per le finalità specifiche del trasferimento di cui all’allegato I.B, salvo ulteriori istruzioni dell’esportatore.
(3) L’accordo sullo Spazio economico europeo (accordo SEE) prevede l’estensione del mercato interno dell’Unione europea ai tre Stati del SEE: Islanda, Liechtenstein e Norvegia. La legislazione dell’Unione sulla protezione dei dati, regolamento (UE) 2016/679 compreso, è materia contemplata dall’accordo SEE, nel cui allegato XI è stata integrata. Pertanto, qualunque comunicazione da parte dell’importatore a terzi situati nel SEE non può essere considerata un trasferimento successivo ai fini delle presenti clausole.
8.3. Trasparenza
Su richiesta, l’esportatore mette gratuitamente a disposizione dell’interessato una copia delle presenti clausole, compresa l’appendice compilata dalle parti. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, comprese le misure descritte nell’allegato II e i dati personali, l’esportatore può espungere informazioni dall’appendice delle presenti clausole prima di trasmetterne una copia, fornendo tuttavia una sintesi significativa qualora l’interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le parti comunicano all’interessato le ragioni delle espunzioni, per quanto possibile senza rivelare le informazioni espunte. Questa clausola lascia impregiudicati gli obblighi incombenti all’esportatore a norma degli articoli 13 e 14 del regolamento (UE) 2016/679.
8.4. Esattezza
Se l’importatore viene a conoscenza del fatto che i dati personali che ha ricevuto sono inesatti o obsoleti, ne informa senza ingiustificato ritardo l’esportatore. In tal caso, l’importatore coopera con l’esportatore per cancellarli o rettificarli.
8.5. Durata del trattamento e cancellazione o restituzione dei dati
L’importatore tratta i dati personali soltanto per la durata specificata nell’allegato I.B. al termine della prestazione dei servizi di trattamento l’importatore, a scelta dell’esportatore, cancella tutti i dati personali trattati per conto dell’esportatore e certifica a quest’ultimo di averlo fatto, oppure restituisce all’esportatore tutti i dati personali trattati per suo conto e cancella le copie esistenti. Finché i dati non sono cancellati o restituiti, l’importatore continua ad assicurare il rispetto delle presenti clausole. Qualora la legislazione locale applicabile all’importatore vieti la restituzione o la cancellazione dei dati personali, l’importatore garantisce che continuerà ad assicurare il rispetto delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesto dalla legislazione locale. Ciò lascia impregiudicata la clausola 14, in particolare il requisito per l’importatore, a norma della clausola 14, lettera e), di informare l’esportatore per tutta la durata del contratto se ha motivo di ritenere di essere, o essere diventato, soggetto a una legislazione o prassi non conformi ai requisiti di cui alla clausola 14, lettera a).
8.6. Sicurezza del trattamento
a) L’importatore e, durante la trasmissione, anche l’esportatore mettono in atto misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a tali dati (di seguito «violazione dei dati personali»). Nel valutare l’adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi derivanti dal trattamento per gli interessati. Le parti prendono in considerazione in particolare la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere conseguita in tal modo. In caso di pseudonimizzazione, le informazioni aggiuntive per l’attribuzione dei dati personali a un interessato specifico restano, ove possibile, sotto il controllo esclusivo dell’esportatore. Nell’adempiere all’obbligo ai sensi del presente paragrafo, l’importatore mette in atto almeno le misure tecniche e organizzative specificate nell’allegato II. L’importatore effettua controlli regolari per garantire che tali misure continuino a offrire un adeguato livello di sicurezza.
b) L’importatore concede l’accesso ai dati personali ai membri del suo personale soltanto nella misura strettamente necessaria per l’attuazione, la gestione e il controllo del contratto. Garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
c) In caso di violazione dei dati personali trattati dall’importatore a norma delle presenti clausole, l’importatore adotta misure adeguate per porre rimedio alla violazione, anche per attenuarne gli effetti negativi. L’importatore informa l’esportatore senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. Tale notifica contiene i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni, una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati personali in questione), le sue probabili conseguenze e le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione, se del caso anche per attenuarne i possibili effetti negativi. Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo;
d) L’importatore coopera con l’esportatore e lo assiste per consentirgli di adempiere agli obblighi che gli incombono a norma del regolamento (UE) 2016/679, in particolare di dare notifica all’autorità di controllo competente e agli interessati in questione, tenuto conto della natura del trattamento e delle informazioni di cui dispone l’importatore.
8.7. Dati sensibili
Qualora il trasferimento riguardi dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici, o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati (in prosieguo «dati sensibili»), l’importatore applica le limitazioni specifiche e/o le garanzie supplementari di cui all’allegato I.B.
8.8. Trasferimenti successivi
L’importatore comunica i dati personali a terzi soltanto su istruzione documentata dell’esportatore. L’importatore non comunica i dati personali a terzi situati al di fuori dell’Unione europea (4) (nel suo stesso paese o in un altro paese terzo - di seguito: «trasferimento successivo»), a meno che il terzo sia o accetti di essere vincolato dalle presenti clausole, secondo il modulo appropriato.
i) il trasferimento successivo è diretto verso un paese che beneficia di una decisione di adeguatezza in conformità dell’articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;
ii) il terzo fornisce in altro modo garanzie adeguate in conformità dell’articolo 46 o 47 del regolamento (UE) 2016/679 in relazione al trattamento in questione;
iii) il trasferimento successivo è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; o
iv) il trasferimento successivo è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
Qualunque trasferimento successivo è soggetto al rispetto da parte dell’importatore di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.
8.9. Documentazione e rispetto
a) L’importatore risponde prontamente e adeguatamente alle richieste di informazioni dell’esportatore relative al trattamento a norma delle presenti clausole.
b) Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole. In particolare, l’importatore conserva documentazione adeguata delle attività di trattamento effettuate per conto dell’esportatore.
c) L’importatore mette a disposizione dell’esportatore tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alle presenti clausole e, su richiesta dell’esportatore, consente e contribuisce alle attività di revisione delle attività di trattamento di cui alle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di inosservanza. Nel decidere in merito a un riesame o a un’attività di revisione, l’esportatore può tenere conto delle pertinenti certificazioni in possesso dell’importatore.
d) L’esportatore può scegliere di condurre l’attività di revisione autonomamente o di incaricare un revisore indipendente. Le attività di revisione possono comprendere ispezioni nei locali o nelle strutture fisiche dell’importatore e, se del caso, sono effettuate con un preavviso ragionevole.
e) Le parti mettono a disposizione dell’autorità di controllo competente, su richiesta, le informazioni di cui alle lettere b) e c), compresi i risultati di eventuali attività di revisione.
(4) L’accordo sullo Spazio economico europeo (accordo SEE) prevede l’estensione del mercato interno dell’Unione europea ai tre Stati del SEE: Islanda, Liechtenstein e Norvegia. La legislazione dell’Unione sulla protezione dei dati, regolamento (UE) 2016/679 compreso, è materia contemplata dall’accordo SEE, nel cui allegato XI è stata integrata. Pertanto, qualunque comunicazione da parte dell’importatore a terzi situati nel SEE non può essere considerata un trasferimento successivo ai fini delle presenti clausole.
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
8.1. Istruzioni
a) L’esportatore informa l’importatore del fatto che agisce in qualità di responsabile del trattamento seguendo le istruzioni del o dei titolari del trattamento, che mette a disposizione dell’importatore prima del trattamento.
b) L’importatore tratta i dati personali soltanto su istruzione documentata del titolare del trattamento, quale comunicatagli dall’esportatore, e su qualunque istruzione documentata aggiuntiva dell’esportatore. Tali istruzioni aggiuntive non devono essere in contrasto con le istruzioni del titolare del trattamento. Il titolare del trattamento o l’esportatore può impartire ulteriori istruzioni documentate in merito al trattamento dei dati per tutta la durata del contratto.
c) L’importatore informa immediatamente l’esportatore qualora non sia in grado di seguire tali istruzioni. Qualora l’importatore non sia in grado di seguire le istruzioni del titolare del trattamento, l’esportatore ne dà immediatamente notifica al titolare del trattamento.
d) L’esportatore garantisce di aver imposto all’importatore gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico a norma del diritto dell’Unione o degli Stati membri tra il titolare del trattamento e l’esportatore (5).
8.2. Limitazione delle finalità
L’importatore tratta i dati personali soltanto per le finalità specifiche del trasferimento di cui all’allegato I.B, salvo ulteriori istruzioni del titolare del trattamento, quali comunicategli dall’esportatore, o dell’esportatore.
8.3. Trasparenza
Su richiesta, l’esportatore mette gratuitamente a disposizione dell’interessato una copia delle presenti clausole, compresa l’appendice compilata dalle parti. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, le parti possono espungere informazioni dall’appendice prima di trasmetterne una copia, fornendo tuttavia una sintesi significativa qualora l’interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le parti comunicano all’interessato le ragioni delle espunzioni, per quanto possibile senza rivelare le informazioni espunte.
8.4. Esattezza
Se l’importatore viene a conoscenza del fatto che i dati personali che ha ricevuto sono inesatti o obsoleti, ne informa senza ingiustificato ritardo l’esportatore. In tal caso, l’importatore coopera con l’esportatore per rettificarli o cancellarli.
8.5. Durata del trattamento e cancellazione o restituzione dei dati
L’importatore tratta i dati personali soltanto per la durata specificata nell’allegato I.B. al termine della prestazione dei servizi di trattamento l’importatore, a scelta dell’esportatore, cancella tutti i dati personali trattati per conto del titolare del trattamento e certifica all’esportatore di averlo fatto, oppure restituisce all’esportatore tutti i dati personali trattati per suo conto e cancella le copie esistenti. Finché i dati non sono cancellati o restituiti, l’importatore continua ad assicurare il rispetto delle presenti clausole. Qualora la legislazione locale applicabile all’importatore vieti la restituzione o la cancellazione dei dati personali, l’importatore garantisce che continuerà ad assicurare il rispetto delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesto dalla legislazione locale. Ciò lascia impregiudicata la clausola 14, in particolare il requisito per l’importatore, a norma della clausola 14, lettera e), di informare l’esportatore per tutta la durata del contratto se ha motivo di ritenere di essere, o essere diventato, soggetto a una legislazione o prassi non conformi ai requisiti di cui alla clausola 14, lettera a).
(5) Cfr. l’articolo 28, paragrafo 4, del regolamento (UE) 2016/679 e, qualora il titolare del trattamento sia un’istituzione o un organo dell’UE, l’articolo 29, paragrafo 4, del regolamento (UE) 2018/1725.
8.6. Sicurezza del trattamento
a) L’importatore e, durante la trasmissione, anche l’esportatore mettono in atto misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a tali dati (di seguito «violazione dei dati personali»). Nel valutare l’adeguato livello di sicurezza, essi tengono debitamente conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi derivanti dal trattamento per gli interessati. Le parti prendono in considerazione in particolare la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere conseguita in tal modo. In caso di pseudonimizzazione, le informazioni aggiuntive per l’attribuzione dei dati personali a un interessato specifico restano, ove possibile, sotto il controllo esclusivo dell’esportatore o del titolare del trattamento. Nell’adempiere all’obbligo ai sensi del presente paragrafo, l’importatore mette in atto almeno le misure tecniche e organizzative specificate nell’allegato II. L’importatore effettua controlli regolari per garantire che tali misure continuino a offrire un adeguato livello di sicurezza.
b) L’importatore concede l’accesso ai dati ai membri del suo personale soltanto nella misura strettamente necessaria per l’attuazione, la gestione e il controllo del contratto. Garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
c) In caso di violazione dei dati personali trattati dall’importatore a norma delle presenti clausole, l’importatore adotta misure adeguate per porre rimedio alla violazione, anche per attenuarne gli effetti negativi. L’importatore informa l’esportatore e, ove opportuno e fattibile, il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. Tale notifica contiene i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni, una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati personali in questione), le sue probabili conseguenze e le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi. Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo;
d) L’importatore coopera con l’esportatore e lo assiste per consentirgli di adempiere agli obblighi che gli incombono a norma del regolamento (UE) 2016/679, in particolare di dare notifica al titolare del trattamento affinché quest’ultimo possa a sua volta dare notifica all’autorità di controllo competente e agli interessati in questione, tenuto conto della natura del trattamento e delle informazioni di cui dispone l’importatore.
8.7. Dati sensibili
Qualora il trasferimento riguardi dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici, o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati (in prosieguo «dati sensibili»), l’importatore applica le limitazioni specifiche e/o le garanzie supplementari di cui all’allegato I.B.
8.8. Trasferimenti successivi
L’importatore comunica i dati personali a terzi soltanto su istruzione documentata del titolare del trattamento, quale comunicatagli dall’esportatore. L’importatore non comunica i dati personali a terzi situati al di fuori dell’Unione europea (6) (nel suo stesso paese o in un altro paese terzo - di seguito: «trasferimento successivo»), a meno che il terzo sia o accetti di essere vincolato dalle presenti clausole, secondo il modulo appropriato.
i) il trasferimento successivo è diretto verso un paese che beneficia di una decisione di adeguatezza in conformità dell’articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;
(6) L’accordo sullo Spazio economico europeo (accordo SEE) prevede l’estensione del mercato interno dell’Unione europea ai tre Stati del SEE: Islanda, Liechtenstein e Norvegia. La legislazione dell’Unione sulla protezione dei dati, regolamento (UE) 2016/679 compreso, è materia contemplata dall’accordo SEE, nel cui allegato XI è stata integrata. Pertanto, qualunque comunicazione da parte dell’importatore a terzi situati nel SEE non può essere considerata un trasferimento successivo ai fini delle presenti clausole.
ii) il terzo fornisce in altro modo garanzie adeguate in conformità dell’articolo 46 o 47 del regolamento (UE) 2016/679;
iii) il trasferimento successivo è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; o
iv) il trasferimento successivo è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
Qualunque trasferimento successivo è soggetto al rispetto da parte dell’importatore di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.
8.9. Documentazione e rispetto
a) L’importatore risponde prontamente e adeguatamente alle richieste di informazioni dell’esportatore o del titolare del trattamento relative al trattamento a norma delle presenti clausole.
b) Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole. In particolare, l’importatore conserva documentazione adeguata delle attività di trattamento effettuate per conto del titolare del trattamento.
c) L’importatore mette tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alle presenti clausole a disposizione dell’esportatore, che le fornisce al titolare del trattamento.
d) L’importatore consente e contribuisce alle attività di revisione dell’esportatore delle attività di trattamento di cui alle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di inosservanza. Lo stesso vale qualora l’esportatore richieda che sia effettuata un’attività di revisione su istruzione del titolare del trattamento. Nel decidere in merito a un’attività di revisione, l’esportatore può tenere conto delle pertinenti certificazioni in possesso dell’importatore.
e) Qualora l’attività di revisione sia effettuata su istruzione del titolare del trattamento, l’esportatore ne mette i risultati a disposizione del titolare del trattamento.
f) L’esportatore può scegliere di condurre l’attività di revisione autonomamente o di incaricare un revisore indipendente. Le attività di revisione possono comprendere ispezioni nei locali o nelle strutture fisiche dell’importatore e, se del caso, sono effettuate con un preavviso ragionevole.
g) Le parti mettono a disposizione dell’autorità di controllo competente, su richiesta, le informazioni di cui alle lettere b) e c), compresi i risultati di eventuali attività di revisione.
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento
8.1. Istruzioni
a) L’esportatore tratta i dati personali soltanto su istruzione documentata dell’importatore, che agisce in qualità di titolare del trattamento.
b) L’esportatore informa immediatamente l’importatore qualora non sia in grado di seguire tali istruzioni, compreso qualora tali istruzioni violino il regolamento (UE) 2016/679 o altra legislazione dell’Unione o degli Stati membri in materia di protezione dei dati.
c) L’importatore si astiene da qualunque azione che impedisca all’esportatore di adempiere ai propri obblighi a norma del regolamento (UE) 2016/679, anche nel contesto di un sub-trattamento o per quanto riguarda la cooperazione con le autorità di controllo competenti.
d) al termine della prestazione dei servizi di trattamento l’esportatore, a scelta dell’importatore, cancella tutti i dati personali trattati per conto dell’importatore e certifica a quest’ultimo di averlo fatto, oppure restituisce all’importatore tutti i dati personali trattati per suo conto e cancella le copie esistenti.
8.2. Sicurezza del trattamento
a) Le parti mettono in atto misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, anche durante la trasmissione, e la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a tali dati (di seguito
«violazione dei dati personali»). Nel valutare l’adeguato livello di sicurezza, tengono debitamente conto dello stato dell’arte, dei costi di attuazione, della natura dei dati personali (7), nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi derivanti dal trattamento per gli interessati e, in particolare, prendono in considerazione la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere conseguita in tal modo.
b) L’esportatore assiste l’importatore nel garantire un’adeguata sicurezza dei dati conformemente alla lettera a). In caso di violazione dei dati personali trattati dall’esportatore a norma delle presenti clausole, l’esportatore informa l’importatore senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione e assiste l’importatore nel porvi rimedio.
c) L’esportatore garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
8.3. Documentazione e rispetto
a) Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole.
b) L’esportatore mette a disposizione dell’importatore tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alle presenti clausole, e consente e contribuisce alle attività di revisione.
Clausola 9
Ricorso a sub-responsabili del trattamento
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
a) OPZIONE 1: aUTORIZZaZIONE
PRELIMINaRE
SPECIFICa
L’importatore non può subcontrattare a un sub-
responsabile del trattamento le attività di trattamento da effettuare per conto dell’esportatore a norma delle presenti clausole senza la previa autorizzazione specifica scritta dell’esportatore. L’importatore presenta la richiesta di autorizzazione specifica almeno [specificare il periodo] prima di ricorrere al sub-responsabile del trattamento, unitamente alle informazioni necessarie per consentire all’esportatore di decidere in merito all’autorizzazione. L’elenco dei sub- responsabili del trattamento già autorizzati dall’esportatore figura nell’allegato III. Le parti tengono aggiornato tale allegato.
OPZIONE 2: aUTORIZZaZIONE SCRITTa GENERaLE L’importatore ha l’autorizzazione generale dell’esportatore per ricorrere a sub-responsabili del trattamento sulla base di un elenco concordato. L’importatore informa specificamente per iscritto l’esportatore di eventuali modifiche previste di tale elenco riguardanti l’aggiunta o la sostituzione di sub- responsabili del trattamento con un anticipo di almeno [Specificare il periodo], dando così all’esportatore tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai sub-responsabili del trattamento. L’importatore fornisce all’esportatore le informazioni necessarie per consentirgli di esercitare il diritto di opposizione.
b) Qualora l’importatore ricorra a un sub-responsabile del trattamento per l’esecuzione di specifiche attività di trattamento (per conto dell’esportatore), stipula un contratto scritto che prevede, nella sostanza, gli stessi obblighi in materia di protezione dei dati che vincolano l’importatore a norma delle presenti clausole, anche in termini di diritti del terzo beneficiario per gli interessati (8). Le parti convengono che, conformandosi alla presente clausola, l’importatore adempie agli obblighi di cui alla clausola 8.8. L’importatore garantisce che il sub-responsabile del trattamento rispetta gli obblighi cui l’importatore è soggetto in conformità delle presenti clausole.
(7) Compreso il fatto che il trasferimento e l’ulteriore trattamento riguardino o meno dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati.
(8) Questo requisito può essere soddisfatto dal sub-responsabile del trattamento che aderisce alle presenti clausole secondo il modulo appropriato, conformemente alla clausola 7.
c) Su richiesta dell’esportatore, l’importatore gli fornisce copia del contratto stipulato con il sub-responsabile del trattamento e di ogni successiva modifica. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, l’importatore può espungere informazioni dal contratto prima di trasmetterne una copia.
d) L’importatore rimane pienamente responsabile nei confronti dell’esportatore dell’adempimento degli obblighi del sub- responsabile del trattamento derivanti dal contratto che questi ha stipulato con l’importatore. L’importatore notifica all’esportatore qualunque inadempimento, da parte del sub-responsabile del trattamento, degli obblighi derivanti da tale contratto.
e) L’importatore concorda con il sub-responsabile del trattamento una clausola del terzo beneficiario secondo la quale, qualora l’importatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l’esportatore ha diritto di risolvere il contratto con il sub-responsabile del trattamento e di imporre a quest’ultimo di cancellare o restituire i dati personali.
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
a) OPZIONE 1: aUTORIZZaZIONE
PRELIMINaRE
SPECIFICa
L’importatore non può subcontrattare a un sub-
responsabile del trattamento le attività di trattamento da effettuare per conto dell’esportatore a norma delle presenti clausole senza la previa autorizzazione specifica scritta del titolare del trattamento. L’importatore presenta la richiesta di autorizzazione specifica almeno [specificare il periodo] prima di ricorrere al sub-responsabile del trattamento, unitamente alle informazioni necessarie per consentire al titolare del trattamento di decidere in merito all’autorizzazione. Informa l’esportatore di tale ricorso. L’elenco dei sub-responsabili del trattamento già autorizzati dal titolare del trattamento figura nell’allegato III. Le parti tengono aggiornato tale allegato.
OPZIONE 2: aUTORIZZaZIONE SCRITTa GENERaLE L’importatore ha l’autorizzazione generale del titolare del trattamento per ricorrere a sub-responsabili del trattamento sulla base di un elenco concordato. L’importatore informa specificamente per iscritto il titolare del trattamento di eventuali modifiche previste di tale elenco riguardanti l’aggiunta o la sostituzione di sub-responsabili del trattamento con un anticipo di almeno [Specificare il periodo], dando così al titolare del trattamento tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai sub-responsabili del trattamento. L’importatore fornisce al titolare del trattamento le informazioni necessarie per consentirgli di esercitare il diritto di opposizione. L’importatore informa l’esportatore del ricorso al o ai sub-responsabili del trattamento.
b) Qualora l’importatore ricorra a un sub-responsabile del trattamento per l’esecuzione di specifiche attività di trattamento (per conto del titolare del trattamento), stipula un contratto scritto che prevede, nella sostanza, gli stessi obblighi in materia di protezione dei dati che vincolano l’importatore a norma delle presenti clausole, anche in termini di diritti del terzo beneficiario per gli interessati (9). Le parti convengono che, conformandosi alla presente clausola, l’importatore adempie agli obblighi di cui alla clausola 8.8. L’importatore garantisce che il sub-responsabile del trattamento rispetta gli obblighi cui l’importatore è soggetto in conformità delle presenti clausole.
c) Su richiesta dell’esportatore o del titolare del trattamento, l’importatore fornisce copia del contratto stipulato con il sub- responsabile del trattamento e di ogni successiva modifica. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, l’importatore può espungere informazioni dal contratto prima di trasmetterne una copia.
d) L’importatore rimane pienamente responsabile nei confronti dell’esportatore dell’adempimento degli obblighi del sub- responsabile del trattamento derivanti dal contratto che questi ha stipulato con l’importatore. L’importatore notifica all’esportatore qualunque inadempimento, da parte del sub-responsabile del trattamento, degli obblighi derivanti da tale contratto.
e) L’importatore concorda con il sub-responsabile del trattamento una clausola del terzo beneficiario secondo la quale, qualora l’importatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l’esportatore ha diritto di risolvere il contratto con il sub-responsabile del trattamento e di imporre a quest’ultimo di cancellare o restituire i dati personali.
(9) Questo requisito può essere soddisfatto dal sub-responsabile del trattamento che aderisce alle presenti clausole secondo il modulo appropriato, conformemente alla clausola 7.
Clausola 10
Diritti dell’interessato
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento
a) L’importatore, se del caso con l’assistenza dell’esportatore, tratta qualunque richiesta di informazioni e richiesta ricevute da un interessato in relazione al trattamento dei suoi dati personali e all’esercizio dei suoi diritti in virtù delle presenti clausole senza ingiustificato ritardo, al più tardi entro un mese dal ricevimento della richiesta di informazioni o richiesta (10). L’importatore adotta misure adeguate per agevolare tali richieste di informazioni, richieste e l’esercizio dei diritti dell’interessato. Tutte le informazioni fornite all’interessato sono in forma intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
b) In particolare, su richiesta dell’interessato, e gratuitamente, l’importatore:
i) conferma all’interessato se i dati personali che lo riguardano sono o meno oggetto di trattamento e, in caso affermativo, fornisce una copia di tali dati e le informazioni di cui all’allegato I; se i dati personali sono stati o saranno oggetto di un trasferimento successivo, fornisce informazioni circa i destinatari o le categorie di destinatari (se del caso al fine di fornire informazioni significative) a cui i dati personali sono stati o saranno trasferiti, la finalità di tali trasferimenti successivi e il loro motivo in conformità della clausola 8.7; e fornisce informazioni sul diritto di proporre reclamo a un’autorità di controllo conformemente alla clausola 12, lettera c), punto i);
ii) rettifica i dati inesatti o incompleti dell’interessato;
iii) cancella i dati personali dell’interessato se tali dati sono o sono stati trattati in violazione di una delle presenti clausole, garantendo i diritti del terzo beneficiario, o se l’interessato revoca il consenso su cui si basa il trattamento.
c) Qualora l’importatore tratti i dati personali per finalità di marketing diretto, cessa il trattamento per tali finalità se l’interessato vi si oppone.
d) L’importatore non prende alcuna decisione basata unicamente sul trattamento automatizzato dei dati personali trasferiti (di seguito «decisione automatizzata»), che produca effetti giuridici che riguardano l’interessato o che incida in modo analogo significativamente sulla sua persona, salvo con il consenso esplicito dell’interessato o se autorizzato in tal senso dalla legislazione del paese di destinazione, a condizione che tale legislazione preveda misure adeguate a tutela dei diritti e dei legittimi interessi dell’interessato. In tal caso l’importatore, se necessario in cooperazione con l’esportatore:
i) informa l’interessato della prevista decisione automatizzata, delle conseguenze previste e della logica utilizzata; e
ii) attua garanzie adeguate, consentendo almeno all’interessato di contestare la decisione, esprimere la propria opinione e ottenere il riesame da parte di un essere umano.
e) Qualora le richieste dell’interessato siano eccessive, in particolare per il carattere ripetitivo, l’importatore può addebitare un contributo spese ragionevole tenuto conto dei costi amministrativi dell’accoglimento della richiesta o rifiutarsi di soddisfare la richiesta.
f) L’importatore può rifiutare la richiesta dell’interessato se tale rifiuto è consentito dalla legislazione del paese di destinazione ed è necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679.
g) Se l’importatore intende rifiutare la richiesta dell’interessato, informa quest’ultimo dei motivi del rifiuto e della possibilità di proporre reclamo all’autorità di controllo competente e/o di proporre ricorso giurisdizionale.
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento
a) L’importatore notifica prontamente all’esportatore qualunque richiesta ricevuta da un interessato. Non risponde egli stesso alla richiesta, a meno che sia stato autorizzato in tal senso dall’esportatore.
(10) Tale termine può essere prorogato al massimo di due mesi, se necessario, tenuto conto della complessità e del numero di richieste. L’importatore informa debitamente e prontamente l’interessato di tale proroga.
b) L’importatore assiste l’esportatore nell’adempimento degli obblighi di rispondere alle richieste degli interessati per l’esercizio dei loro diritti in virtù del regolamento (UE) 2016/679. a tale riguardo, le parti stabiliscono nell’allegato II le misure tecniche e organizzative adeguate, tenuto conto della natura del trattamento, mediante le quali è fornita l’assistenza, nonché l’ambito di applicazione e la portata dell’assistenza richiesta.
c) Nell’adempiere agli obblighi di cui alle lettere a) e b), l’importatore si attiene alle istruzioni dell’esportatore.
MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
a) L’importatore notifica prontamente all’esportatore e, se del caso, al titolare del trattamento qualunque richiesta ricevuta da un interessato, senza rispondere a tale richiesta, a meno che sia stato autorizzato in tal senso dal titolare del trattamento.
b) L’importatore assiste, se del caso in cooperazione con l’esportatore, il titolare del trattamento nell’adempimento degli obblighi di rispondere alle richieste degli interessati per l’esercizio dei loro diritti in virtù del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, a seconda del caso. a tale riguardo, le parti stabiliscono nell’allegato II le misure tecniche e organizzative adeguate, tenuto conto della natura del trattamento, mediante le quali è fornita l’assistenza, nonché l’ambito di applicazione e la portata dell’assistenza richiesta.
c) Nell’adempiere agli obblighi di cui alle lettere a) e b), l’importatore si attiene alle istruzioni del titolare del trattamento comunicate dall’esportatore.
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento
Le parti dovrebbero prestarsi reciproca assistenza nel rispondere alle richieste di informazioni e alle richieste presentate dagli interessati a norma della legislazione locale applicabile all’importatore o, per il trattamento dei dati da parte dell’esportatore nell’UE, a norma del regolamento (UE) 2016/679.
Clausola 11
Ricorso
a) L’importatore informa gli interessati, in forma trasparente e facilmente accessibile, mediante avviso individuale o sul suo sito web, di un punto di contatto autorizzato a trattare i reclami. Tratta prontamente qualunque reclamo ricevuto da un interessato.
[OPZIONE: L’importatore accetta che gli interessati abbiano anche la possibilità di presentare gratuitamente reclamo a un organismo indipendente di risoluzione delle controversie (11). Informa gli interessati, secondo le modalità di cui alla lettera a), di tale meccanismo di ricorso e del fatto che non sono tenuti ad avvalersene o a seguire una particolare sequenza nel proporre ricorso.]
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
b) In caso di controversia tra un interessato e una delle parti sul rispetto delle presenti clausole, la parte in questione fa tutto il possibile per risolvere la questione in via amichevole in modo tempestivo. Le parti si tengono reciprocamente informate di tali controversie e, se del caso, cooperano per risolverle.
c) Qualora l’interessato invochi un diritto del terzo beneficiario in conformità della clausola 3, l’importatore accetta la decisione dell’interessato di:
i) proporre reclamo all’autorità di controllo dello Stato membro di residenza abituale o del luogo di lavoro o all’autorità di controllo competente in conformità della clausola 13;
ii) deferire la controversia agli organi giurisdizionali competenti ai sensi della clausola 18.
(11) L’importatore può offrire una risoluzione indipendente delle controversie tramite un organo arbitrale solo se è stabilito in un paese che ha ratificato la convenzione di New York sull’esecuzione dei lodi arbitrali.
d) Le parti accettano che l’interessato possa essere rappresentato da un organismo, un’organizzazione o un’associazione senza scopo di lucro alle condizioni di cui all’articolo 80, paragrafo 1, del regolamento (UE) 2016/679.
e) L’importatore si attiene a qualunque decisione vincolante a norma della legislazione applicabile dell’UE o degli Stati membri.
f) L’importatore dichiara che la scelta compiuta dall’interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla legislazione applicabile.
Clausola 12
Responsabilità
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento
a) Xxxxxxxx parte è responsabile nei confronti delle altre parti per i danni che essa ha causato loro violando le presenti clausole.
b) Xxxxxxxx parte è responsabile nei confronti dell’interessato per i danni materiali o immateriali che essa gli ha causato violando i diritti del terzo beneficiario previsti dalle presenti clausole, e l’interessato ha il diritto di ottenere il risarcimento. Ciò lascia impregiudicata la responsabilità dell’esportatore a norma del regolamento (UE) 2016/679.
c) Qualora più di una parte sia responsabile per un danno causato all’interessato a seguito di una violazione delle presenti clausole, tutte le parti responsabili sono responsabili in solido e l’interessato ha il diritto di agire in giudizio contro una qualunque di loro.
d) Le parti convengono che, se una delle parti è ritenuta responsabile a norma della lettera c), essa ha il diritto di reclamare dalle altre parti la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno.
e) L’importatore non può invocare il comportamento di un responsabile del trattamento o un sub-responsabile del trattamento per sottrarsi alla propria responsabilità.
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
a) Xxxxxxxx parte è responsabile nei confronti delle altre parti per i danni che essa ha causato loro violando le presenti clausole.
b) L’importatore è responsabile nei confronti dell’interessato per i danni materiali o immateriali che egli stesso o il suo sub- responsabile del trattamento ha causato all’interessato violando i diritti del terzo beneficiario riconosciuti dalle presenti clausole, e l’interessato ha il diritto di ottenere il risarcimento.
c) Nonostante la lettera b), l’esportatore è responsabile nei confronti dell’interessato per i danni materiali o immateriali che egli stesso o l’importatore (o il suo sub-responsabile del trattamento) ha causato all’interessato violando i diritti del terzo beneficiario riconosciuti dalle presenti clausole, e l’interessato ha il diritto di ottenere il risarcimento. Ciò lascia impregiudicata la responsabilità dell’esportatore e, qualora l’esportatore sia un responsabile del trattamento che agisce per conto di un titolare del trattamento, la responsabilità del titolare del trattamento a norma del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, a seconda del caso.
d) Le parti convengono che, se l’esportatore è ritenuto responsabile a norma della lettera c) per i danni causati dall’importatore (o dal suo sub-responsabile del trattamento), egli ha il diritto di reclamare dall’importatore la parte del risarcimento corrispondente alla sua parte di responsabilità per il danno.
e) Qualora più di una parte sia responsabile per un danno causato all’interessato a seguito di una violazione delle presenti clausole, tutte le parti responsabili sono responsabili in solido e l’interessato ha il diritto di agire in giudizio contro una qualunque di loro.
f) Le parti convengono che, se una delle parti è ritenuta responsabile a norma della lettera e), essa ha il diritto di reclamare dalle altre parti la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno.
g) L’importatore non può invocare il comportamento di un sub-responsabile del trattamento per sottrarsi alla propria responsabilità.
Clausola 13
Controllo
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
a) [Qualora l’esportatore sia stabilito in uno Stato membro dell’UE:] L’autorità di controllo responsabile di garantire che l’esportatore rispetti il regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati, quale indicata all’allegato I.C, agisce in qualità di autorità di controllo competente.
[Qualora l’esportatore non sia stabilito in uno Stato membro dell’UE ma rientri nell’ambito di applicazione territoriale del regolamento (UE) 2016/679 conformemente all’articolo 3, paragrafo 2, di tale regolamento e abbia nominato un rappresentante in conformità dell’articolo 27, paragrafo 1, del medesimo regolamento:] L’autorità di controllo dello Stato membro in cui il rappresentante ai sensi dell’articolo 27, paragrafo 1, del regolamento (UE) 2016/679 è stabilito, quale indicata all’allegato I.C, agisce in qualità di autorità di controllo competente.
[Qualora l’esportatore non sia stabilito in uno Stato membro dell’UE ma rientri nell’ambito di applicazione territoriale del regolamento (UE) 2016/679 conformemente all’articolo 3, paragrafo 2, di tale regolamento e non abbia tuttavia nominato un rappresentante in conformità dell’articolo 27, paragrafo 2, del medesimo regolamento:] L’autorità di controllo di uno degli Stati membri in cui si trovano gli interessati i cui dati personali sono trasferiti a norma delle presenti clausole in relazione all’offerta di beni o alla prestazione di servizi, o il cui comportamento è oggetto di monitoraggio, quale indicata all’allegato I.C, agisce in qualità di autorità di controllo competente.
b) L’importatore accetta di sottoporsi alla giurisdizione dell’autorità di controllo competente e di cooperare con la stessa nell’ambito di qualunque procedura volta a garantire il rispetto delle presenti clausole. In particolare, l’importatore accetta di rispondere alle richieste di informazioni, sottoporsi ad attività di revisione e rispettare le misure adottate dall’autorità di controllo, comprese le misure di riparazione e risarcimento. Fornisce all’autorità di controllo conferma scritta che sono state adottate le misure necessarie.
SEZIONE III — LEGISLaZIONE E OBBLIGhI LOCaLI IN CaSO DI aCCESSO Da PaRTE DI aUTORITÀ PUBBLIChE
Clausola 14
Legislazione e prassi locali che incidono sul rispetto delle clausole
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento(qualora il responsabile del trattamento stabilito nell’UE combini i dati personali ricevuti dal titolare del trattamento stabilito nel paese terzo con dati personali che ha raccolto nell’UE)
a) Le parti garantiscono di non avere motivo di ritenere che la legislazione e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore, compresi eventuali requisiti di comunicazione dei dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscono all’importatore di rispettare gli obblighi che gli incombono a norma delle presenti clausole. Ciò si basa sul presupposto che la legislazione e le prassi che rispettano l’essenza dei diritti e delle libertà fondamentali e non vanno oltre quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679 non sono in contraddizione con le presenti clausole.
b) Le parti dichiarano che, nel fornire la garanzia di cui alla lettera a), hanno tenuto debitamente conto dei seguenti elementi:
i) le circostanze specifiche del trasferimento, tra cui la lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui ha luogo il trasferimento; il luogo di conservazione dei dati trasferiti;
ii) la legislazione e le prassi del paese terzo di destinazione — comprese quelle che impongono la comunicazione di dati alle autorità pubbliche o che le autorizzano ad accedere ai dati — pertinenti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili (12);
iii) qualunque garanzia contrattuale, tecnica o organizzativa pertinente predisposta per integrare le garanzie di cui alle presenti clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.
c) L’importatore garantisce che, nell’effettuare la valutazione di cui alla lettera b), ha fatto tutto il possibile per fornire all’esportatore le informazioni pertinenti e dichiara che continuerà a cooperare con l’esportatore per garantire il rispetto delle presenti clausole.
d) Le parti accettano di documentare la valutazione di cui alla lettera b) e di metterla a disposizione dell’autorità di controllo competente su richiesta.
e) L’importatore accetta di informare prontamente l’esportatore se, dopo aver accettato le presenti clausole e per la durata del contratto, ha motivo di ritenere di essere, o essere diventato, soggetto a una legislazione o prassi non conformi ai requisiti di cui alla lettera a), anche a seguito di una modifica della legislazione del paese terzo o di una misura (ad esempio una richiesta di comunicazione) che indichi un’applicazione pratica di tale legislazione che non è conforme ai requisiti di cui alla lettera a). [Per il modulo tre: L’esportatore trasmette la notifica al titolare del trattamento.]
f) a seguito di una notifica in conformità della lettera e), o se ha altrimenti motivo di ritenere che l’importatore non sia più in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole, l’esportatore individua prontamente le misure adeguate (ad esempio, misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che egli stesso e/o l’importatore devono adottare per far fronte alla situazione [per il modulo tre:, se del caso in consultazione con il titolare del trattamento]. L’esportatore sospende il trasferimento dei dati se ritiene che non possano essere assicurate garanzie adeguate per tale trasferimento, o su istruzione [per il modulo tre: del titolare del trattamento o] dell’autorità di controllo competente. In tal caso l’esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole. Se le parti del contratto sono più di due, l’esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti. In caso di risoluzione del contratto in conformità della presente clausola, si applica la clausola 16, lettere d) ed e).
Clausola 15
Obblighi dell’importatore in caso di accesso da parte di autorità pubbliche
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento(qualora il responsabile del trattamento stabilito nell’UE combini i dati personali ricevuti dal titolare del trattamento stabilito nel paese terzo con dati personali che ha raccolto nell’UE)
(12) Per quanto riguarda l’impatto della legislazione e delle prassi sul rispetto delle presenti clausole, possono essere presi in considerazione diversi elementi nell’ambito di una valutazione globale. Tali elementi possono includere un’esperienza pratica pertinente e documentata in casi precedenti di richieste di comunicazione da parte di autorità pubbliche, o l’assenza di tali richieste, per un periodo di tempo sufficientemente rappresentativo. Si tratta in particolare di registri interni o altra documentazione, elaborati su base continuativa conformemente alla dovuta diligenza e certificati a livello di alta dirigenza, sempre che tali informazioni possano essere lecitamente condivise con terzi. Qualora per concludere che all’importatore non sarà impedito di rispettare le presenti clausole si faccia affidamento su questa esperienza pratica, essa deve essere sostenuta da altri elementi pertinenti e oggettivi, e spetta alle parti valutare attentamente se tali elementi, congiuntamente, abbiano un peso sufficiente in termini di affidabilità e rappresentatività per sostenere tale conclusione. In particolare, le parti devono considerare se la loro esperienza pratica è corroborata e non contraddetta da informazioni disponibili al pubblico, o altrimenti accessibili, e affidabili sull’esistenza o sull’assenza di richieste nello stesso settore e/o sull’applicazione pratica della legislazione, come la giurisprudenza e le relazioni di organi di vigilanza indipendenti.
15.1. Notifica
a) L’importatore accetta di informare prontamente l’esportatore e, ove possibile, l’interessato (se necessario con l’aiuto dell’esportatore) se:
i) riceve una richiesta giuridicamente vincolante di un’autorità pubblica, comprese le autorità giudiziarie, a norma della legislazione del paese di destinazione, di comunicare dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende informazioni sui dati personali richiesti, sull’autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; o
ii) viene a conoscenza di qualunque accesso diretto effettuato, conformemente alla legislazione del paese terzo di destinazione, da autorità pubbliche ai dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende tutte le informazioni disponibili all’importatore.
[Per il modulo tre: L’esportatore trasmette la notifica al titolare del trattamento.]
b) Se la legislazione del paese di destinazione vieta all’importatore di informare l’esportatore e/o l’interessato, l’importatore accetta di fare tutto il possibile per ottenere un’esenzione dal divieto, al fine di comunicare al più presto quante più informazioni possibili. Per poterlo dimostrare su richiesta dell’esportatore, l’importatore accetta di documentare di aver fatto tutto il possibile.
c) Laddove consentito dalla legislazione del paese di destinazione, l’importatore accetta di fornire periodicamente all’esportatore, per la durata del contratto, quante più informazioni pertinenti possibili sulle richieste ricevute (in particolare, il numero di richieste, il tipo di dati richiesti, la o le autorità richiedenti, se le richieste sono state contestate e l’esito di tali contestazioni ecc.). [Per il modulo tre: L’esportatore trasmette le informazioni al titolare del trattamento.]
d) L’importatore accetta di conservare le informazioni di cui alle lettere da a) a c) per la durata del contratto e di metterle a disposizione dell’autorità di controllo competente su richiesta.
e) Le lettere da a) a c) lasciano impregiudicato l’obbligo dell’importatore in conformità della clausola 14, lettera e), e della clausola 16 di informare prontamente l’esportatore qualora non sia in grado di rispettare le presenti clausole.
15.2. Riesame della legittimità e minimizzazione dei dati
a) L’importatore accetta di riesaminare la legittimità della richiesta di comunicazione, in particolare il fatto che essa rientri o meno nei poteri conferiti all’autorità pubblica richiedente, e di contestarla qualora, dopo un’attenta valutazione, concluda che sussistono fondati motivi per ritenere che essa sia illegittima a norma della legislazione del paese di destinazione, compresi gli obblighi applicabili a norma del diritto internazionale e dei principi di cortesia internazionale. L’importatore, alle stesse condizioni, si avvale delle possibilità di ricorso. Quando contesta una richiesta, l’importatore chiede l’adozione di provvedimenti provvisori affinché gli effetti della richiesta siano sospesi fintantoché l’autorità giudiziaria competente non abbia deciso nel merito. Non comunica i dati personali richiesti fino a quando non sia tenuto a farlo ai sensi delle norme procedurali applicabili. Tali requisiti lasciano impregiudicati gli obblighi dell’importatore a norma della clausola 14, lettera e).
b) L’importatore accetta di documentare la propria valutazione giuridica e qualunque contestazione della richiesta di comunicazione e, nella misura consentita dalla legislazione del paese di destinazione, mette tale documentazione a disposizione dell’esportatore. Su richiesta, la mette a disposizione anche dell’autorità di controllo competente. [Per il modulo tre: L’esportatore mette la valutazione a disposizione del titolare del trattamento.]
c) Quando risponde a una richiesta di comunicazione l’importatore accetta di fornire la quantità minima di informazioni consentite, sulla base di un’interpretazione ragionevole della richiesta.
SEZIONE IV — DISPOSIZIONI FINaLI
Clausola 16
Inosservanza delle clausole e risoluzione
a) L’importatore informa prontamente l’esportatore qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole.
b) Qualora l’importatore violi le presenti clausole o non sia in grado di rispettarle, l’esportatore sospende il trasferimento dei dati personali all’importatore fino a che il rispetto non sia nuovamente garantito o il contratto non sia risolto. Ciò lascia impregiudicata la clausola 14, lettera f).
c) L’esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole qualora:
i) l’esportatore abbia sospeso il trasferimento dei dati personali all’importatore in conformità della lettera b) e il rispetto delle presenti clausole non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;
ii) l’importatore violi in modo sostanziale o persistente le presenti clausole; o
iii) l’importatore non si conformi a una decisione vincolante di un organo giurisdizionale competente o di un’autorità di controllo competente in merito agli obblighi che gli incombono a norma delle presenti clausole.
In tali casi, informa l’autorità di controllo competente [per il modulo tre: e il titolare del trattamento] di tale inosservanza. Qualora le parti del contratto siano più di due, l’esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti.
d) [Per i moduli uno, due e tre: I dati personali che sono stati trasferiti prima della risoluzione del contratto in conformità della lettera c) sono, a scelta dell’esportatore, restituiti immediatamente all’esportatore o cancellati integralmente. Lo stesso vale per qualunque copia dei dati.] [Per il modulo quattro: I dati personali raccolti dall’esportatore nell’UE che sono stati trasferiti prima della risoluzione del contratto in conformità della lettera c) sono cancellati immediatamente e integralmente, compresa qualunque loro copia. L’importatore certifica all’esportatore la cancellazione dei dati. Finché i dati non sono cancellati o restituiti, l’importatore continua ad assicurare il rispetto delle presenti clausole. Qualora la legislazione locale applicabile all’importatore vieti la restituzione o la cancellazione dei dati personali trasferiti, l’importatore garantisce che continuerà ad assicurare il rispetto delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesto dalla legislazione locale.
e) Ciascuna parte può revocare il proprio accordo a essere vincolata dalle presenti clausole qualora i) la Commissione europea adotti una decisione in conformità dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 riguardante il trasferimento di dati personali cui si applicano le presenti clausole; o ii) il regolamento (UE) 2016/679 diventi parte del quadro giuridico del paese verso il quale i dati personali sono trasferiti. Ciò lascia impregiudicati gli altri obblighi che si applicano al trattamento in questione a norma del regolamento (UE) 2016/679.
Clausola 17
Legge applicabile
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
[OPZIONE 1: Le presenti clausole sono disciplinate dalla legge di uno degli Stati membri dell’UE, purché essa riconosca i diritti del terzo beneficiario. Le parti convengono che tale legge è quella di (specificare lo Stato membro).]
[OPZIONE 2 (per i moduli due e tre): Le presenti clausole sono disciplinate dalla legge dello Stato membro in cui è stabilito l’esportatore. Qualora tale legge non preveda i diritti del terzo beneficiario, questi sono disciplinati dalla legge di un altro Stato membro dell’UE che riconosce i diritti del terzo beneficiario. Le parti convengono che tale legge è quella di (specificare lo Stato membro).]
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento
Le presenti clausole sono disciplinate dalla legge di un paese che riconosce i diritti del terzo beneficiario. Le parti convengono che tale legge è quella di (specificare il paese).
Clausola 18
Scelta del foro e giurisdizione
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
a) Qualunque controversia derivante dalle presenti clausole è risolta dagli organi giurisdizionali di uno Stato membro dell’UE.
b) Le parti convengono che tali organi giurisdizionali sono quelli di (specificare lo Stato membro).]
c) L’interessato può agire in giudizio contro l’esportatore e/o l’importatore anche dinanzi agli organi giurisdizionali dello Stato membro in cui ha la propria residenza abituale.
d) Le parti accettano di sottoporsi alla giurisdizione di tali organi giurisdizionali.
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento
Qualunque controversia derivante dalle presenti clausole è risolta dagli organi giurisdizionali di (specificare il paese).
APPENDICE
Deve essere possibile distinguere chiaramente le informazioni applicabili a ciascun trasferimento o a ciascuna categoria di trasferimenti e, a tale riguardo, determinare i ruoli rispettivi delle parti quali esportatori e/o importatori. Non occorre per forza compilare e firmare appendici distinte per ciascun trasferimento/categoria di trasferimenti e/o rapporto contrattuale laddove tale trasparenza possa essere garantita con un’unica appendice. Tuttavia, ove necessario per assicurare una sufficiente chiarezza, dovrebbero essere utilizzate appendici distinte.
a. ELENCO DELLE PARTI
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento
Esportatore/i:[Identità e dati di contatto del o degli esportatori e, se del caso, del suo/loro responsabile della protezione dei dati e/o rappresentante nell’Unione europea]
1. Nome: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Indirizzo: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nome, qualifica e dati di contatto del referente: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
attività pertinenti ai dati trasferiti a norma delle presenti clausole: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Firma e data: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Xxxxx (titolare del trattamento/responsabile del trattamento): . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Importatore/i:[Identità e dati di contatto del o degli importatori, compreso qualsiasi referente con responsabilità in materia di protezione dei dati]
1. Nome: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Indirizzo: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nome, qualifica e dati di contatto del referente: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
attività pertinenti ai dati trasferiti a norma delle presenti clausole: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Firma e data: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Xxxxx (titolare del trattamento/responsabile del trattamento): . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
B. DESCRIZIONE DEL TRASFERIMENTO
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento
Categorie di interessati i cui dati personali sono trasferiti
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Categorie di dati personali trasferiti
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Dati sensibili trasferiti (se del caso) e limitazioni o garanzie applicate che tengono pienamente conto della natura dei dati e dei rischi connessi, ad esempio una rigorosa limitazione delle finalità, limitazioni all’accesso (tra cui accesso solo per il personale che ha seguito una formazione specializzata), tenuta di un registro degli accessi ai dati, limitazioni ai trasferimenti successivi o misure di sicurezza supplementari.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
La frequenza del trasferimento (ad esempio se i dati sono trasferiti come evento singolo o su base continua)
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Natura del trattamento
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Finalità del trasferimento dei dati e dell’ulteriore trattamento
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Periodo di conservazione dei dati personali oppure, se non è possibile, criteri utilizzati per determinare tale periodo
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Per i trasferimenti a (sub-)responsabili del trattamento, specificare anche la materia disciplinata, la natura e la durata del trattamento
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C. AUTORITÀ DI CONTROLLO COMPETENTE
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento Identificare la o le autorità di controllo competenti conformemente alla clausola 13
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
MISURE TECNICHE E ORGANIZZATIVE, COMPRESE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI
MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
NOTa ESPLICaTIVa:
Le misure tecniche e organizzative devono essere descritte in termini specifici (e non generici). Si veda anche la nota esplicativa nella prima pagina dell’appendice, in particolare riguardo alla necessità di indicare chiaramente quali misure si applicano a ciascun trasferimento/insieme di trasferimenti.
Descrizione delle misure tecniche e organizzative messe in atto dal o dagli importatori (comprese le eventuali certificazioni pertinenti) per garantire un adeguato livello di sicurezza, tenuto conto della natura, dell’ambito di applicazione, del contesto e della finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.
[Esempi di possibili misure:
misure di pseudonimizzazione e cifratura dei dati personali
misure per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
misure per assicurare la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento
misure di identificazione e autorizzazione dell’utente misure di protezione dei dati durante la trasmissione misure di protezione dei dati durante la conservazione
misure per garantire la sicurezza fisica dei luoghi in cui i dati personali sono trattati misure per garantire la registrazione degli eventi
misure per garantire la configurazione del sistema, compresa la configurazione per impostazione predefinita misure di informatica interna e di gestione e governance della sicurezza informatica
misure di certificazione/garanzia di processi e prodotti misure per garantire la minimizzazione dei dati misure per garantire la qualità dei dati
misure per garantire la conservazione limitata dei dati misure per garantire la responsabilità
misure per consentire la portabilità dei dati e garantire la cancellazione]
Per i trasferimenti a (sub-)responsabili del trattamento, descrivere anchele misure tecniche e organizzative specifiche che il (sub-) responsabile del trattamento deve prendere per essere in grado di fornire assistenza al titolare del trattamento e, per i trasferimenti da un responsabile del trattamento a un sub-responsabile del trattamento, all’esportatore
ELENCO DEI SUB-RESPONSABILI DEL TRATTAMENTO
MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento
NOTa ESPLICaTIVa:
Il presente allegato deve essere compilato per i moduli due e tre, in caso di autorizzazione specifica di sub-responsabili del trattamento (clausola 9, lettera a), opzione 1).
Il titolare del trattamento ha autorizzato il ricorso ai seguenti sub-responsabili del trattamento:
1. Nome: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Indirizzo: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nome, qualifica e dati di contatto del referente: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descrizione del trattamento (compresa una chiara delimitazione delle responsabilità qualora siano autorizzati più sub- responsabili del trattamento): . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .