Parere 17/2020 sul progetto di clausole contrattuali tipo presentato dall’autorità di controllo slovena (articolo 28, paragrafo 8, del RGPD)
Parere 17/2020 sul progetto di clausole contrattuali tipo presentato dall’autorità di controllo slovena (articolo 28, paragrafo 8, del RGPD)
Adottato il 19 maggio 2020
Translations proofread by EDPB Members.
This language version has not yet been proofread.
INDICE
1 Sintesi dei fatti 4
2 Valutazione 4
2.1 Motivazione generale del comitato riguardante l’insieme di clausole contrattuali tipo 4
2.2 Analisi del progetto di clausole contrattuali tipo 5
2.2.1 Osservazioni generali sulle clausole contrattuali tipo nel loro complesso 5
2.2.2 Preambolo (clausola 1 delle clausole contrattuali tipo) 6
2.2.3 Il responsabile del trattamento agisce in conformità delle istruzioni (clausola 3 delle clausole contrattuali tipo) 6
2.2.4 Riservatezza (clausola 4 delle clausole contrattuali tipo) 6
2.2.5 Sicurezza del trattamento (clausola 5 delle clausole contrattuali tipo e appendice C.2).
......................................................................................................................................... 6
2.2.6 Il trasferimento dei dati verso paesi terzi o organizzazioni internazionali (clausola 7 e appendice C.6 delle clausole contrattuali tipo) 7
2.2.7 Assistenza al titolare del trattamento (clausola 8 e appendice C.3 delle clausole contrattuali tipo) 7
2.2.8 Notifica della violazione dei dati personali (clausola 9 delle clausole contrattuali tipo) 8
2.2.9 Cancellazione e restituzione dei dati (clausola 10 delle clausole contrattuali tipo e appendice C.4) 8
2.2.10 Revisione e ispezione (clausola 11 delle clausole contrattuali tipo e appendici C.7 e C.8)
......................................................................................................................................... 8
2.2.11 Decorrenza e risoluzione (clausola 13 delle clausole contrattuali tipo) 9
2.2.12 Contatti/referenti del titolare del trattamento e del responsabile del trattamento (clausola 14 delle clausole contrattuali tipo) 9
2.2.13 Appendice A 9
2.2.14 Appendice B 9
3 Conclusioni 10
4 Osservazioni finali 10
Il comitato europeo per la protezione dei dati
visti l’articolo 28, paragrafo 8, l’articolo 63 e l’articolo 64, paragrafo 1, lettera d), paragrafi 3-8, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (in prosieguo il «RGPD»),
visto l’accordo SEE, in particolare l’allegato XI e il protocollo n. 37 dello stesso, modificati dalla decisione del Comitato misto SEE n. 154/2018 del 6 luglio 2018 (1),
visti gli articoli 10 e 22 del proprio regolamento interno del 25 maggio 2018,
considerando che:
1) Il ruolo principale del comitato europeo per la protezione dei dati (in appresso il «comitato») è assicurare l’applicazione coerente del RGPD in tutta l’Unione. A tal fine, il comitato emette un parere ai sensi dell’articolo 64, paragrafo 1, lettera d), del RGPD quando un’autorità di controllo mira a determinare clausole contrattuali tipo di cui all’articolo 28, paragrafo 8, del RGPD. L’obiettivo del presente parere consiste quindi nel contribuire a un approccio armonizzato per quanto concerne le misure che devono essere adottate da un’autorità di controllo e che sono intese a produrre effetti giuridici con riguardo ad attività di trattamento che incidono in modo sostanziale su un numero significativo di interessati in vari Stati membri, oltre all’attuazione coerente delle disposizioni specifiche del RGPD.
2) Nell’ambito della relazione tra un titolare del trattamento e un responsabile del trattamento (o diversi responsabili del trattamento) ai fini del trattamento dei dati personali, il RGPD stabilisce, nell’articolo 28, una serie di disposizioni relative alla stipula di un contratto specifico tra le parti coinvolte e alle disposizioni imperative che dovrebbero esservi inserite.
3) Ai sensi dell’articolo 28, paragrafo 3, del RGPD, i trattamenti da parte di un responsabile del trattamento «sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento». Si stabilisce quindi una serie di aspetti specifici intesi a disciplinare il rapporto contrattuale tra le parti, tra cui figurano anche la materia disciplinata e la durata del trattamento, la natura e la finalità di quest’ultimo, il tipo di dati personali e le categorie di interessati.
4) Ai sensi dell’articolo 28, paragrafo 6, del RGPD, fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui all’articolo 28, paragrafi 3 e 4, del RGPD può basarsi, in tutto o in parte, su clausole contrattuali tipo. Queste clausole contrattuali tipo devono essere adottate per le materie di cui ai paragrafi 3 e 4.
5) Inoltre, l’articolo 28, paragrafo 8, del RGPD stabilisce che un’autorità di controllo può adottare clausole contrattuali tipo in conformità del meccanismo di coerenza di cui all’articolo 63. In proposito,
(1) Nel presente parere, i riferimenti all’«Unione» sono da intendersi come riferimenti al «SEE».
le autorità di controllo sono tenute a cooperare con gli altri membri del comitato e, ove pertinente, con la Commissione europea mediante il meccanismo di coerenza. Ai sensi dell’articolo 64, paragrafo 1, lettera d), le autorità di controllo sono tenute a comunicare al comitato il progetto di decisione finalizzato a determinare clausole contrattuali tipo ai sensi dell’articolo 28, paragrafo 8. In tali casi, ai sensi dell’articolo 64, paragrafo 3, il comitato emette un parere sulla questione, qualora non abbia già emesso un parere sulla medesima questione.
6) Le clausole contrattuali tipo adottate costituiscono una serie di garanzie da usare come tali in quanto finalizzate alla protezione degli interessati e a mitigare i rischi specifici associati con i principi fondamentali in materia di tutela dei dati.
7) Il parere del comitato è adottato ai sensi dell’articolo 64, paragrafo 3, del RGPD in combinato disposto con l’articolo 10, paragrafo 2, del regolamento interno del comitato europeo per la protezione dei dati, entro otto settimane a partire dal primo giorno lavorativo dopo la data in cui il presidente e l’autorità di controllo competente hanno deciso che il fascicolo è stato completato. Su decisione del presidente, tale termine può essere prorogato di ulteriori sei settimane, tenendo conto della complessità della questione,
HA ADOTTATO IL PRESENTE PARERE:
1 SINTESI DEI FATTI
1. L’autorità di controllo slovena ha presentato al comitato il proprio progetto di decisione e di clausole contrattuali tipo, richiedendone il parere ai sensi dell’articolo 64, paragrafo 1, lettera d), in modo da conseguire un approccio coerente a livello dell’Unione. La decisione concernente la completezza del fascicolo è stata assunta il 21 febbraio 2020 e alla stessa data il segretariato del comitato ha diffuso il fascicolo a tutti i membri per conto della presidente.
2. Il comitato ha ricevuto il progetto di clausole contrattuali tipo dall’autorità di controllo slovena corredato di un progetto di decisione che spiega il contesto e la struttura delle clausole. I due documenti sono stati resi disponibili dall’autorità di controllo slovena in lingua inglese.
3. Ai sensi dell’articolo 10, paragrafo 2, del regolamento interno del comitato (2), data la complessità della questione, il presidente ha deciso di prorogare di ulteriori sei settimane il periodo di adozione iniziale di otto settimane (fino al 29 maggio 2020).
2 VALUTAZIONE
2.1 Motivazione generale del comitato riguardante l’insieme di clausole contrattuali tipo
4. Ogni insieme di clausole contrattuali tipo trasmesso al comitato ai sensi dell’articolo 28, paragrafo 8, e dell’articolo 64, paragrafo 1, lettera d), deve ulteriormente precisare le disposizioni previste
(2) Versione 6, modificata da ultimo e adottata il 29 gennaio 2020.
nell’articolo 28 del RGPD. Il parere del comitato è finalizzato a garantire l’applicazione coerente e corretta dell’articolo 28 del RGPD con riguardo al progetto di clausole sottoposto al suo esame, che possono fungere da clausole contrattuali tipo ai sensi dell’articolo 28, paragrafo 8.
5. Il comitato rileva che il progetto di clausole contrattuali tipo sottopostogli è suddiviso in due parti:
1) una generale contenente disposizioni generali da usare «come tali» e
2) una specifica da compilare a opera delle parti con riguardo al trattamento specifico oggetto di disciplina del contratto.
6. Inoltre, nel suo progetto di decisione, l’autorità di controllo slovena spiega che il contratto tipo affronta le principali questioni spesso discusse dai titolari del trattamento e dai responsabili del trattamento nello stabilire i diritti e gli obblighi reciproci, e che, più nello specifico, si concentra anzitutto sul contenuto di cui all’articolo 28, paragrafo 3, del RGPD, oltre ad affrontare questioni che, secondo la loro esperienza, possono causare incertezza tra le parti e richiedono particolare attenzione.
7. Nella sua richiesta, tra gli elementi di cui il comitato deve tener conto, l’autorità di controllo slovena ha specificato ai membri di quest’ultimo il fatto di seguire l’esempio delle clausole contrattuali tipo trasmesse dall’autorità di controllo danese (3) e la presa in considerazione del parere 14/2019 del comitato, adottato il 9 luglio 2019 (4). Il comitato riconosce che l’autorità di controllo slovena ha tenuto conto del succitato parere già da esso adottato sui progetti di clausole contrattuali tipo ai fini della conformità con l’articolo 28 del RGPD. Inoltre rammenta che la valutazione di ciascun progetto di decisione soggetto al meccanismo di coerenza viene effettuata individualmente e nel merito, tenendo presente l’obiettivo di garantire la coerenza.
8. Laddove il presente parere non si esprima su una o più clausole contrattuali tipo trasmesse dall’autorità di controllo slovena, significa che il comitato non richiede a quest’ultima di adottare ulteriori misure relativamente a tali clausole specifiche.
2.2 Analisi del progetto di clausole contrattuali tipo
2.2.1 Osservazioni generali sulle clausole contrattuali tipo nel loro complesso
9. Poiché un contratto ai sensi dell’articolo 28 del RGPD dovrebbe stabilire e chiarire ulteriormente come saranno rispettati gli obblighi di cui al suddetto articolo, paragrafi 3 e 4, occorre analizzare le clausole contrattuali tipo nel loro insieme.
10. In aggiunta, il comitato ricorda che la possibilità di usufruire delle clausole contrattuali tipo adottate da un’autorità di controllo non impedisce alle parti di aggiungere altre clausole o salvaguardie supplementari, a condizione che esse non contraddicano, direttamente o indirettamente, le clausole contrattuali tipo adottate né pregiudichino i diritti o le libertà fondamentali degli interessati. Inoltre,
(3) La versione definitiva delle clausole contrattuali tipo ai fini della conformità con l’articolo 28 del RGPD adottate dall’autorità di controllo danese è disponibile al seguente indirizzo: xxxxx://xxxx.xxxxxx.xx/xxx-xxxx- tools/our-documents/decision-sa/dk-sa-standard-contractual-clauses-purposes-compliance-art_it.
(4) Parere 14/2019 del comitato sul progetto di clausole contrattuali tipo presentato dall’autorità di controllo danese (articolo 28, paragrafo 8, del RGPD), adottato il 9 luglio 2019, disponibile al seguente indirizzo: xxxxx://xxxx.xxxxxx.xx/xxxxx/xxxx/xxxxx/xxxxx/xxxx0/xxxx_xxxxxxx_000000_xx_xxx_xx.xxx.
in caso di modifica alle clausole tipo sulla protezione dei dati, non si riterrà più che le parti abbiano dato esecuzione alle clausole contrattuali tipo adottate.
2.2.2 Preambolo (clausola 1 delle clausole contrattuali tipo)
11. Per quanto riguarda la clausola 1.5 delle clausole contrattuali tipo, il comitato rileva che altri obiettivi sono altresì perseguiti attraverso siffatte clausole adottate ai fini dell’articolo 28. Pertanto, il comitato esorta l’autorità di controllo slovena a riformulare la frase nei seguenti termini: «Le clausole sono finalizzate alla protezione dei diritti degli interessati, a mitigare i rischi specifici in materia di tutela dei dati e a garantire chiarezza nella relazione tra il titolare del trattamento e il responsabile del trattamento, nonché per quanto concerne i rispettivi diritti e doveri».
2.2.3 Il responsabile del trattamento agisce in conformità delle istruzioni (clausola 3 delle clausole contrattuali tipo)
12. Per quanto riguarda la clausola 3.1 delle clausole contrattuali tipo, il comitato invita l’autorità di controllo slovena ad aggiungere la parola «o» nell’espressione «diritto dell’Unione [o] degli Stati membri».
13. Nella clausola 3.3, le clausole contrattuali tipo specificano che «ai sensi dell’articolo 30, paragrafo 2, del RGPD, [i]l responsabile del trattamento e, ove applicabile, il suo rappresentante, tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento». Benché l’articolo 28, paragrafo 3, del RGPD non imponga specificamente ai titolari del trattamento e ai responsabili del trattamento di includere nel contratto l’obbligo, per il responsabile del trattamento, di tenere un registro ai sensi dell’articolo 30, paragrafo 2, del RGPD, il comitato ritiene che tale misura contribuisca «a dimostrare il rispetto» e sia utile per «assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36» (articolo 28, paragrafo 3, lettere h) e f), del RGPD).
2.2.4 Riservatezza (clausola 4 delle clausole contrattuali tipo)
14. Secondo il comitato, la clausola 4.2 delle clausole contrattuali tipo rimanda alla possibilità, per il titolare del trattamento, di chiedere al responsabile del trattamento di dimostrare che le persone soggette alla sua autorità e con accesso ai dati personali sono vincolate da un obbligo di riservatezza e che il suddetto accesso è concesso solo in base alla necessità di sapere. Di conseguenza, il comitato incoraggia l’autorità di controllo slovena a riformulare leggermente la clausola a fini di chiarimento. A titolo esemplificativo, la clausola potrebbe essere rielaborata come segue: «Il responsabile del trattamento, su richiesta del titolare del trattamento, è tenuto a dimostrare che le persone interessate sotto la sua autorità sono soggette al succitato obbligo di riservatezza e ottengono l’accesso ai dati personali solo in base alla necessità di sapere».
2.2.5 Sicurezza del trattamento (clausola 5 delle clausole contrattuali tipo e appendice C.2)
15. Per quanto riguarda la clausola 5.1 delle clausole contrattuali tipo, il comitato desidera sottolineare che, in generale, non è opportuno che tali clausole si limitino a riaffermare il contenuto delle disposizioni del RGPD, in quanto dovrebbero piuttosto specificare l’applicazione concreta degli obblighi pertinenti. Sebbene tale clausola non sia considerata problematica, il comitato incoraggia
l’autorità di controllo slovena a riformularla leggermente (ad esempio nei seguenti termini: «Ai sensi dell’articolo 32 del RGPD, il quale stabilisce che [...], le parti mettono in atto [...]»).
16. Relativamente alla clausola 5.3 (5) delle clausole contrattuali tipo, il comitato è del parere che essa si riferisca a una valutazione dei rischi effettuata in modo indipendente dal responsabile del trattamento al fine di ottemperare all’articolo 32 e al considerando 83 del RGPD. Il comitato invita l’autorità di controllo slovena a chiarire che tale valutazione si riferisce al trattamento affidato al responsabile del trattamento da parte del titolare del trattamento e ricorda che quest’ultimo non è comunque esentato dall’obbligo di rispettare gli articoli 25, 32, 35 e 36 del RGPD. A titolo esemplificativo, la clausola 5.3 potrebbe essere riformulata come segue: «Ai sensi dell’articolo 32 del RGPD, il responsabile del trattamento valuta anche, indipendentemente dal titolare del trattamento, i rischi per i diritti e le libertà delle persone fisiche inerenti all’attività di trattamento affidatagli dal titolare del trattamento e attua misure per attenuare tali rischi. A tal fine, il titolare del trattamento fornisce al responsabile del trattamento tutte le informazioni necessarie per identificare e valutare tali rischi».
17. L’appendice C.2 invita le parti a elencare le misure di sicurezza da esse concordate e che devono essere attuate dal responsabile del trattamento. Il comitato rammenta che il grado di dettaglio di tali informazioni deve essere tale da consentire al titolare del trattamento di valutare l’adeguatezza delle misure e di adempiere al proprio obbligo di responsabilità.
2.2.6 Il trasferimento dei dati verso paesi terzi o organizzazioni internazionali (clausola 7 e appendice C.6 delle clausole contrattuali tipo)
18. Il comitato incoraggia l’autorità di controllo slovena a chiarire che l’espressione «paesi terzi» si riferisce a paesi al di fuori del SEE e non della Slovenia. Ciò potrebbe avvenire aggiungendo quanto segue nella clausola 7.1: «[...] paesi terzi (ossia paesi al di fuori dello Spazio economico europeo) [...]».
19. Per quanto concerne la clausola 7.3 delle clausole contrattuali tipo, il comitato invita l’autorità di controllo slovena a specificare che il riferimento all’«autorizzazione» del titolare del trattamento non costituisce un’alternativa alle «istruzioni documentate», ma descrive piuttosto un possibile contenuto di tali istruzioni. Inoltre, il comitato sollecita l’autorità di controllo slovena a chiarire ulteriormente il nesso tra le clausole 7.1, 7.2 e 7.3. Di conseguenza, la clausola 7.3 potrebbe essere riformulata come segue: «In assenza di istruzioni documentate da parte del titolare del trattamento che prevedano, ad esempio, un’autorizzazione o un requisito specifico ai sensi del diritto dell’UE o degli Stati membri cui il responsabile del trattamento è soggetto, quest’ultimo non può, nell’ambito delle clausole [...]».
2.2.7 Assistenza al titolare del trattamento (clausola 8 e appendice C.3 delle clausole contrattuali tipo)
20. Secondo il comitato occorre evitare di fare riferimento a una specifica autorità di controllo nazionale in un contratto tipo, poiché l’individuazione dell’autorità di controllo competente dipenderà dal trattamento specifico in questione e dalle circostanze specifiche. Di conseguenza, il comitato
(5) Il progetto della clausola 5.3 specifica quanto segue: «Ai sensi dell’articolo 32 del RGPD, il responsabile del trattamento valuta anche, indipendentemente dal titolare del trattamento, i rischi per i diritti e le libertà delle persone fisiche inerenti al trattamento e attua misure per attenuare tali rischi. A tal fine, il titolare del trattamento fornisce al responsabile del trattamento tutte le informazioni necessarie per identificare e valutare tali rischi».
raccomanda l’eliminazione dei riferimenti all’autorità di controllo slovena dalla clausola 8.2 e la loro sostituzione, in entrambi i punti a. e d., con uno spazio vuoto accompagnato da una nota che invita le parti a specificare l’autorità di controllo competente (ad esempio «[indicare l’autorità di controllo competente]»).
2.2.8 Notifica della violazione dei dati personali (clausola 9 delle clausole contrattuali tipo)
21. Relativamente alla clausola 9.3 delle clausole contrattuali tipo, il comitato raccomanda la sostituzione del riferimento alla clausola 9.2.a con un riferimento alla clausola 8.2.a. Inoltre, il comitato raccomanda la sostituzione del riferimento all’appendice D nella clausola 9.4 con un riferimento all’appendice C.3 e del riferimento alle clausole 9.1 e 9.2 nell’appendice C.3 con riferimenti alle clausole 8.1 e 8.2.
22. Per quanto riguarda l’appendice C.3, il comitato esorta l’autorità di controllo slovena ad evitare il rimando al «ruolo e agli obblighi del responsabile del trattamento dei dati» nelle note che invitano le parti a introdurre ulteriori specificazioni, poiché una formulazione così ampia potrebbe generare incertezza sul modo in cui le parti devono riempire gli spazi vuoti. Di conseguenza, il comitato suggerisce di fare riferimento alle misure che il responsabile del trattamento deve adottare nonché alla procedura da seguire per fornire assistenza al titolare del trattamento (per quanto riguarda le notifiche di violazione dei dati e le valutazioni d’impatto sulla protezione dei dati).
2.2.9 Cancellazione e restituzione dei dati (clausola 10 delle clausole contrattuali tipo e appendice C.4)
23. Per quanto concerne la clausola 10.1 delle clausole contrattuali tipo, il comitato esorta l’autorità di controllo slovena a chiarire che il responsabile del trattamento deve cancellare o restituire i dati personali (e cancellarne le copie), salvo qualora il diritto dell’UE o degli Stati membri richieda un’ulteriore conservazione di tali dati da parte sua. Poiché l’eccezione all’obbligo legale si riferisce sia all’opzione 1 che all’opzione 2, l’espressione «salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati personali» non dev’essere in grassetto e dev’essere presentata in modo da garantire che le parti del contratto non la intendano unicamente riferita alla seconda opzione. Il comitato suggerisce di specificare ulteriormente questa formulazione (ad esempio nei seguenti termini: «salvo che il diritto dell’Unione o degli Stati membri preveda l’ulteriore conservazione dei dati personali da parte del responsabile del trattamento»).
24. Nell’appendice C.4 il comitato raccomanda che l’esempio non si riferisca solo a un «termine» ma anche, in alternativa, a un «evento» [«(INDICARE IL TERMINE / L’EVENTO)»], poiché potrebbero esservi situazioni in cui non è possibile stabilire il periodo di tempo preciso, ma i dati dovrebbero essere cancellati dopo il verificarsi di un evento specifico. Inoltre, l’appendice C.4 dovrebbe rimandare alla clausola 10.1 anziché alla clausola 11.1.
2.2.10 Revisione e ispezione (clausola 11 delle clausole contrattuali tipo e appendici C.7 e C.8)
25. Il comitato raccomanda di sostituire il riferimento alle appendici C.6 e C.7 nella clausola 11.2 con un riferimento alle appendici C.7 e C.8.
26. Inoltre, il comitato ricorda che le attività di revisione di cui all’articolo 28, paragrafo 3, lettera h), del RGPD sono realizzate dal titolare stesso del trattamento o da un altro soggetto da questi incaricato. Il
comitato raccomanda all’autorità di controllo slovena di adeguare il primo scenario delle appendici
C.7 e C.8 al fine di specificare che il revisore terzo è stato incaricato dal titolare del trattamento. Di conseguenza, il testo degli esempi contenuti nelle appendici C.7 e C.8 dev’essere modificato come segue: «Il responsabile del trattamento deve essere soggetto (INDICARE IL TERMINE) a spese del (RESPONSABILE DEL TRATTAMENTO/TITOLARE DEL TRATTAMENTO) a una (REVISIONE/ISPEZIONE) effettuata da un terzo indipendente, incaricato dal titolare del trattamento, riguardante la conformità del responsabile del trattamento al RGPD, a disposizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle clausole. Il revisore terzo indipendente trasmetterà una (RELAZIONE DI REVISIONE/RELAZIONE DI ISPEZIONE). Le parti hanno concordato che i seguenti tipi di (RELAZIONE DI REVISIONE/RELAZIONE DI ISPEZIONE) possono essere usati in ottemperanza alle clausole: (INDICARE LE RELAZIONI DI REVISIONE/RELAZIONI DI ISPEZIONE APPROVATE) [...]».
2.2.11 Decorrenza e risoluzione (clausola 13 delle clausole contrattuali tipo)
27. Relativamente alla clausola 13.5 delle clausole contrattuali tipo, il comitato incoraggia l’autorità di controllo slovena a evitare di indicarla come clausola specifica, dal momento che essa include solamente la firma delle parti e suggerisce che le parti e la loro firma siano indicate allo stesso modo (ad esempio «Nome», «Posizione», «Data» e «Firma», eliminando i riferimenti a «Numero di telefono» e «E-mail» che saranno già inclusi nella clausola 14.2).
2.2.12 Contatti/referenti del titolare del trattamento e del responsabile del trattamento (clausola 14 delle clausole contrattuali tipo)
28. Il comitato invita l’autorità di controllo slovena a riformulare la clausola 14.1 come segue: «Ciascuna parte designa una persona responsabile dell’esecuzione di un contratto».
2.2.13 Appendice A
29. Il comitato rileva che l’appendice A mira a fornire dettagli sulle attività di trattamento svolte dal responsabile del trattamento per conto del titolare del trattamento e rammenta che tali attività devono essere descritte dalle parti nel modo più dettagliato possibile. È importante quindi che gli esempi forniti per illustrare il possibile contenuto delle sezioni dell’appendice possano ispirare la descrizione delle parti.
30. Alla luce delle considerazioni che precedono, il comitato accoglie con favore l’iniziativa dell’autorità di controllo slovena che prevede l’inclusione di esempi nell’appendice A.4 e suggerisce persino di ampliarla ulteriormente, tenendo conto del fatto che la maggior parte delle operazioni di trattamento coinvolge contemporaneamente diverse categorie di interessati che, a loro volta, possono essere classificati in vari modi, ad esempio come clienti, consumatori (adulti/bambini) e fornitori terzi.
2.2.14 Appendice B
31. Il comitato esorta l’autorità di controllo slovena a chiarire che più sub-responsabili del trattamento possono essere elencati dalle parti nell’appendice B.1, benché sia stato incluso un solo campo a titolo esemplificativo.
3 CONCLUSIONI
32. Il comitato accoglie molto favorevolmente l’iniziativa dell’autorità di controllo slovena di sottoporgli il proprio progetto di clausole contrattuali tipo per un parere che contribuisca all’attuazione armonizzata del RGPD.
33. Il comitato ritiene che il progetto di clausole contrattuali tipo dell’autorità di controllo slovena sottoposto a esame necessiti di ulteriori adattamenti per poter essere considerato come clausole contrattuali tipo. Qualora tutte le osservazioni elencate nel presente parere siano attuate, l’autorità di controllo slovena potrà usare questo progetto di accordo come clausole contrattuali tipo ai sensi dell’articolo 28, paragrafo 8, del RGPD senza necessità di una successiva adozione da parte della Commissione europea.
4 OSSERVAZIONI FINALI
34. Informacijski pooblaščenec (autorità di controllo slovena) è destinataria del presente parere, che sarà reso pubblico ai sensi dell’articolo 64, paragrafo 5, lettera b), del RGPD.
35. Conformemente all’articolo 64, paragrafi 7 e 8, del RGPD l’autorità di controllo comunica al presidente per xxx xxxxxxxxxxx xxxxx due settimane dal ricevimento del parere, se intende mantenere o modificare il progetto di clausole contrattuali tipo. Entro lo stesso termine fornisce il progetto di clausole contrattuali tipo modificato o, in alternativa, fornisce le pertinenti motivazioni per le quali non intende conformarsi al presente parere, in tutto o in parte. L’autorità di controllo comunica la decisione definitiva al comitato affinché sia inserita nel registro delle decisioni soggette al meccanismo di coerenza, ai sensi dell’articolo 70, paragrafo 1, lettera y), del RGPD.
Per il comitato europeo per la protezione dei dati La presidente
(Xxxxxx Xxxxxxx)