09/12/2020 DIRITTO EUROPEO E DELLA CONCORRENZA, PROTEZIONE DEI DATI E CYBERSECURITY, PROSPETTIVE
DE XXXXX XXXXXXX XXXXXXXXX FORLANI
Trasferimenti di dati personali. Le nuove clausole contrattuali standard della Commissione
09/12/2020 DIRITTO EUROPEO E DELLA CONCORRENZA, PROTEZIONE DEI DATI E CYBERSECURITY, PROSPETTIVE
Xxxxxxx A. Xxxxxxx Xxxxx Xxxxxx
La c.d. “sentenza Xxxxxxx II”1 ha segnato una svolta epocale per quanto riguarda il trasferimento dei dati personali al di fuori dell’Unione Europea. Non solo, infatti, la Corte di Giustizia ha dichiarato invalida la Decisione della Commissione del 2016 contenente il c.d. “Privacy Shield”2 che legittimava il trasferimento di dati personali negli Stati Uniti, ma ha anche stabilito che il titolare o il responsabile del trattamento possono
trasferire dati personali verso un Paese terzo solo se quest’ultimo ha previsto un livello di protezione adeguato essenzialmente equivalente a quello garantito all’interno dell’Unione, ed a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi, che possono essere assicurati mediante le clausole contrattuali standard (Standard Contractual Clauses, SCC)3 approvate dalla Commissione.
Il clima di incertezza in materia di data transfer a cui la sentenza ha dato luogo
1 CGUE 16.07.2020, Causa C-311/18, Data Protection Commissioner c. Facebook Ireland Ltd e Xxxxxxxxxx Xxxxxxx. Per ulteriori informazioni si veda il nostro precedente contributo, disponibile al seguente LINK.
2 Decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la Privacy, GUUE L 207 del 01.08.2016.
3 Decisione della Commissione, del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, GUUE L 39 del 12.02.2010.
ha indotto i Garanti della privacy europei ad intervenire al fine di fornire indicazioni sulla gestione dei trasferimenti dei dati al di fuori dell’Unione. Ad esito di questo processo, in data 10 novembre 2020 il Comitato europeo per la protezione dei dati (European Data Protection Board, EDPB)4 ha rilasciato due Raccomandazioni che dovrebbero agevolare gli esportatori di dati nel valutare l’adeguatezza del livello di protezione offerto nel Paese di destinazione e nel delineare eventuali misure supplementari.
La prima Raccomandazione5 traccia una roadmap articolata in sei step. Il primo step consiste nel realizzare una mappatura dei flussi di dati personali verso Paesi terzi che, al fine di essere
conforme al principio di minimizzazione ai sensi del Regolamento (UE) 2016/679 (General Data Protection Regulation, GDPR)6, implica una verifica dell’adeguatezza e pertinenza dei flussi in questione nonché della loro limitazione a quanto necessario in relazione alle finalità del trattamento. Il secondo step consiste nel verificare che i metodi di trasferimento prescelti (quali, tra gli altri, le stesse SCC della Commissione) siano conformi al GDPR. Qualora il Paese di destinazione sia già stato oggetto di una decisione di adeguatezza7 da parte della Commissione, l’esportatore non dovrà adottare ulteriori misure. In caso contrario, invece, sarà necessario passare al terzo step, che consiste in una verifica da parte dell’esportatore dell’eventuale presenza, nella
4 L’EDPB è un organo europeo indipendente, composto da rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati (European Data Protection Supervisor, EDPS), che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione e promuove la cooperazione tra le autorità competenti.
5 Disponibile al seguente LINK.
6 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, GUUE L 119 del 04.05.2016. L’articolo 5 del GDPR, intitolato “Principi applicabili al trattamento di dati personali”, al paragrafo 1 lettera d) dispone “... I dati personali sono:
(...)
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)...”.
7 L’articolo 45 GDPR, intitolato “Trasferimento sulla base di una decisione di adeguatezza”, ai paragrafi 1-2 dispone: “... Il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all'interno del paese terzo, o l'organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche.
Nel valutare l'adeguatezza del livello di protezione, la Commissione prende in considerazione in particolare i seguenti elementi:
a) lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), così come l'attuazione di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un'altra organizzazione internazionale osservate nel paese o dall'organizzazione internazionale in questione, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento;
b) l'esistenza e l'effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o cui è soggetta un'organizzazione internazionale, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati in merito all'esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri; e
c) gli impegni internazionali assunti dal paese terzo o dall'organizzazione internazionale in questione o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti come pure dalla loro partecipazione a sistemi multilaterali o regionali, in particolare in relazione alla protezione dei dati personali...”.
legislazione o nella prassi del Paese di destinazione, di elementi che potrebbero inficiare l’efficacia dello strumento di trasferimento prescelto8. A tale scopo, la seconda Raccomandazione9 definisce le garanzie essenziali da prendere in considerazione nell’ambito di tale valutazione, che consistono, più particolarmente, i) in un trattamento dei dati basato su regole chiare, precise e accessibili, ii) nella necessità e proporzionalità del trattamento rispetto agli obiettivi perseguiti, iii) nell’esistenza di un meccanismo di controllo indipendente, e iv) nella presenza di tutele efficaci per l’interessato. Il quarto step si rende necessario qualora la suddetta valutazione rilevi elementi normativi che potrebbero interferire con il rispetto della normativa europea, e consiste nell’adozione delle misure di sicurezza supplementari necessarie per far sì che il livello di protezione dei dati trasferiti all’estero sia conforme o quantomeno equivalente agli standard europei. Tali misure sono individuate, in modo non esaustivo, nell’allegato II della Raccomandazione, che le ripartisce in tecniche10, contrattuali11 ed organizzative12. In aggiunta a tali misure supplementari, il quinto step prevede
l’adozione di procedure formali che garantiscano ulteriormente la conformità del trasferimento e che dipendono dal tipo di strumento prescelto in conformità con l’articolo 46 GDPR13. Il sesto step, infine, impone all’esportatore di monitorare costantemente il livello di protezione dei dati offerto nel Paese di destinazione, di modo tale da adottare, qualora ve ne fosse bisogno, le ulteriori misure necessarie.
In linea con le Raccomandazioni dell’EDPB, in data 12 novembre 2020 la Commissione ha pubblicato due progetti di decisioni di esecuzione.
Il primo progetto14 riguarda le SCC per i trasferimenti di dati personali verso Paesi terzi, che vengono predisposte nel relativo allegato15. Le nuove SCC transfrontaliere sono le prime ad essere rilasciate in conformità al GDPR e, come tali, ne riflettono i requisiti. Più in particolarmente, il loro ambito di applicazione è più ampio rispetto alle precedenti: a differenza di queste ultime, che riguardavano solamente due tipi di trasferimenti (da titolare a titolare e da titolare a responsabile), le nuove SCC adottano un approccio “per moduli” che
8 L’articolo 46 GDPR, intitolato “Trasferimento soggetto a garanzie adeguate”, al paragrafo 1 dispone: “... In mancanza di una decisione ai sensi dell'articolo 45, paragrafo 3, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un'organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi...”.
9 Disponibile al seguente LINK.
10 Quali, ad esempio, il trasferimento di dati pseudonimizati, il trattamento di dati suddivisi in sotto- parti o il mero transito di dati crittografati attraverso il Paese in questione.
11 Quali, ad esempio, la previsione di obblighi positivi e di trasparenza.
12 Quali, ad esempio, l’adozione di best practice o policies conformi agli standard europei.
13 L’articolo 46 GDPR al paragrafo 2 dispone: “... Possono costituire garanzie adeguate di cui al paragrafo 1 senza necessitare di autorizzazioni specifiche da parte di un'autorità di controllo:
a) uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;
b) le norme vincolanti d'impresa in conformità dell'articolo 47;
c) le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d'esame di cui all'articolo 93, paragrafo 2;
d) le clausole tipo di protezione dei dati adottate da un'autorità di controllo e approvate dalla Commissione secondo la procedura d'esame di cui all'articolo 93, paragrafo 2;
e) un codice di condotta approvato a norma dell'articolo 40, unitamente all'impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati; o
f) un meccanismo di certificazione approvato a norma dell'articolo 42, unitamente all'impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati...”. 14 Disponibile al seguente LINK.
15 Disponibile al seguente LINK.
risponde a quattro diversi scenari di trasferimento, ossia i) da titolare a titolare, ii) da titolare a responsabile, iii) da responsabile a responsabile, e iv) da responsabile a titolare. I recenti sviluppi dell'economia digitale, infatti, hanno reso necessario aggiornare le precedenti SCC onde riflettere meglio le realtà delle moderne operazioni di trasferimento dei dati. Ciascuna clausola delle nuove SCC, pertanto, contiene diversi moduli applicabili a seconda del tipo di trasferimento di dati oggetto del contratto, ciò che consente ai titolari e ai responsabili del trattamento di adattare i rispettivi obblighi alle particolarità del caso concreto. Inoltre, più di due parti possono aderire al contratto, ed altre ancora possono inserirsi successivamente in qualità di esportatori o importatori con il consenso dei contraenti originari16.
Il progetto di decisione riprende quanto stabilito dalla Corte di Giustizia nella “sentenza Xxxxxxx II”, statuendo che le SCC devono assicurare che ai dati personali trasferiti sia concesso un livello di protezione sostanzialmente equivalente a quello garantito nell’Unione. Al fine di garantire la trasparenza del trattamento, gli interessati dovrebbero ricevere una copia delle SCC e dovrebbero essere informati di qualsiasi cambiamento delle finalità del trattamento e dell'identità di eventuali terzi a cui i dati vengano comunicati17.
Inoltre, le SCC dovrebbero prevedere norme non solo sulla responsabilità tra le
parti e nei confronti degli interessati18, e bensì anche sull'indennizzo tra le stesse19. Infine, l'importatore è tenuto a conservare, sotto la propria responsabilità, la documentazione relativa alle attività di trattamento, e ad informare tempestivamente l'esportatore qualora egli, per qualsiasi motivo, non sia in grado di rispettare le SCC. In tale ipotesi, l'esportatore potrebbe sospendere il trasferimento e, in casi gravi, addirittura risolvere il contratto20.
In ogni caso, il progetto di decisione richiede alle parti di valutare se le leggi del Paese di destinazione potrebbero impedire all'importatore di dati di conformarsi ai requisiti previsti dalle SCC21. A tale scopo, esse dovrebbero tenere conto di diversi elementi quali, tra gli altri, le circostanze specifiche del trasferimento, la normativa in vigore nel Paese di destinazione nonché qualsiasi misura di salvaguardia ulteriore rispetto a quelle previste dalle SCC22.
Per il periodo di un anno dall’entrata in vigore della decisione e delle nuove SCC, esportatore ed importatore dei dati potranno continuare a far affidamento sulle precedenti clausole, per dare esecuzione al contratto concluso prima dell’entrata in vigore della decisione23.
Il secondo progetto24 riguarda, invece, le nuove SCC tra i titolari ed i responsabili del trattamento relativamente alle materie e questioni di cui all’articolo 28, paragrafi 3 e 4, GDPR25. Le nuove SCC
16 Si veda il considerando (10) del Progetto di decisione. 17 Si veda il considerando (11) del Progetto di decisione. 18 Si veda la Clausola 7 dell’Allegato.
19 Si veda la Clausola 8 dell’Allegato.
20 Si veda il considerando (17) del Progetto di decisione. 21 Si veda il considerando (19) del Progetto di decisione. 22 Si veda la Clausola 2 dell’Allegato.
23 Si veda l’articolo 6 del Progetto di decisione.
24 Disponibile al seguente LINK.
25 L’articolo 28 GDPR, intitolato “Responsabile del trattamento”, ai paragrafi 3-4 dispone: “... I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:
hanno lo scopo di assistere le organizzazioni che si affidano a terzi nello Spazio Economico Europeo (SEE) per svolgere determinate attività di elaborazione dei dati per loro conto ad ottemperare agli obblighi previsti dal GDPR. L'articolo 28, infatti, richiede al titolare di stipulare un contratto o un altro atto giuridico che vincoli il responsabile del trattamento e che disciplini, tra le altre cose, la durata del trattamento, la sua finalità, il tipo di dati personali coinvolti, le categorie di interessati nonché gli obblighi e i diritti del titolare del trattamento.
Di conseguenza, attraverso le nuove SCC la Commissione cerca di fornire a tali organizzazioni un prototipo di accordo standard sul trattamento dei dati che soddisfi i requisiti stabiliti dal GDPR. Il progetto contiene una serie di allegati che devono essere completati dalle parti per fornire una descrizione dettagliata,
tra le altre cose, i) dell'attività di trattamento, ii) delle misure di sicurezza predisposte, iii) delle istruzioni del titolare del trattamento, iv) dei soggetti coinvolti, e v) delle misure attraverso cui il responsabile del trattamento è tenuto a coadiuvare il titolare.
Conformemente alle Raccomandazioni dell'EDPB del 2 settembre 202026, l'utilizzo delle SCC non è obbligatorio, e titolare e responsabile del trattamento possono comunque decidere di negoziare contratti individuali per soddisfare i requisiti di cui all'articolo 28 GDPR. Le parti, inoltre, sono libere di includere le SCC eventualmente adottate in un contratto più ampio, e di aggiungere ulteriori clausole e garanzie purché queste ultime non contraddicano le SCC stesse o non pregiudichino i diritti o le libertà fondamentali degli
a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
c) adotti tutte le misure richieste ai sensi dell'articolo 32;
d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III;
f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati; e
h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi il presente regolamento o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati.
Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile...”.
26 Disponibili al seguente LINK.
interessati27. Tuttavia, in caso di conflitto tra le SCC e le disposizioni di qualsiasi altro accordo tra le parti esistente al momento in cui le stesse vengono concordate o concluse successivamente, queste ultime prevalgono28.
I due progetti sono stati sottoposti ad una consultazione pubblica che avrà termine il 10 dicembre 2020 e che darà ai vari stakeholders la possibilità di esprimere il
proprio parere. Dopodiché, conformemente alla procedura c.d. di comitatologia29, ai fini dell’approvazione delle nuove SCC sarà necessario il parere positivo dell’EDPB e dell’EDPS nonché il voto degli Stati Membri. In ogni caso, qualora dovessero essere adottate, le nuove SCC potrebbero aprire nuovi ed inattesi scenari in materia di data transfer, soprattutto per quanto riguarda le c.d. “Big Tech”.
27 Si veda la Clausola 2 del Progetto di decisione.
28 Si veda la Clausola 4 del Progetto di decisione.
29 Per ulteriori informazioni si veda il seguente LINK.
Xxxxxxx X. Xxxxxxx
PARTNER
+39 02 72554.1
Xxx Xxx Xxxxx 0 00000 - Xxxxxx
Xxxxx Xxxxxx
ASSOCIATE
x00 (0)00000000
Xxxxxxxx xx Xx Xxxxx 000 0000 - Xxxxxxxxx
MILANO
Xxx Xxx Xxxxx, 0 · 00000 Xxxxxx, Xxxxxx
T. +39 02 72554.1 · F. +39 02 72554.400
ROMA
Xxx Xxxxxxxx Xxxxxxx, 00 · 00000 Xxxx, Xxxxxx T. +39 06 809154.1 · F. +39 06 809154.44
BRUXELLES
Xxxxxxxx xx Xx Xxxxx 000 · 0000 Xxxxxxxxx, Xxxxxxxx T. x00 (0)00000000 · F. x00 (0)00000000
MOSCOW
Xxxxxx Xxxxxxxx Xxxxxxx 00/0 · 000000, Xxxxxx, Xxxxxx T. x0 000 000 00 00 · F. x0 000 000 00 00