Estratto SIG – Clausole tipo tra titolari e responsabili – 1

 In Editoriale - Rss, Puntate 2019 - Rss
Print Friendly, PDF & Email

Contemporaneamente all’adozione delle più note SCC, vale a dire delle clausole tipo per il trasferimento di dati personali verso paesi terzi, la Commissione UE ha pubblicato l’ulteriore decisione 2021/915 che adotta le clausole tipo tra titolari e responsabili del trattamento.

Sintesi

 

SCC (artt. 46.1, c) e 28.7 GDPR)

Le prescrizioni degli articoli sul trasferimento di dati verso paesi terzi (art. 46.1, lett. c) nonchè sulla contrattualizzazione del rapporto titolare/responsabile o sub-responsabile (art. 28.7) si riferiscono entrambe a clausole tipo adottate dalla Commissione UE. 

  1. Analogie

Entrambe le clausole tipo non vanno modificate in modo da cotraddirne il contenuto o confliggere col GDPR; in ambedue i casi, tuttavia, esse possono essere incorporate in contratti più ampi e richiedono la personalizzazione conseguente alla specificità del contesto di riferimento negli appositi moduli e/o allegati. 

  1. Differenze

Sin qui le analogie; tuttavia, intercorre una sostanziale differenza tra le due clausole tipo – in aggiunta alla diversità di oggetto – consistente nella tassatività della misura delle SCC ex art. 46, caratteristica che non trova riscontro nelle SCC ex art. 28. Le SCC ex art. 28, infatti, sono solo una delle opzioni rimesse a titolari e responsabili del trattamento per documentare il loro rapporto; esse non godono di prevalenza rispetto ai contratti che le parti dovessero eventualmente negoziare tra loro su base individuale, purchè essi siano comunque rispettosi delle condizioni dell’articolo 28. Recita il Considerando (81), «Il titolare del trattamento e il responsabile del trattamento possono scegliere di usare un contratto individuale o clausole contrattuali tipo che sono adottate direttamente dalla Commissione oppure da un’autorità di controllo in conformità del meccanismo di coerenza e successivamente dalla Commissione.».

Di converso, qualora esportatore e importatore intendessero avvalersi delle SCC ex art. 46 per legittimare il flusso estero di dati, non potrebbero discrezionalmente sostituirle con contratti redatti autonomamente dalle parti, fatto salvo il ricorso ad una diversa ipotesi di garanzia per la quale il GDPR richiede la sottoposizione di tali clausole a preventiva autorizzazione dell’autorità di controllo competente, ai sensi dell’articolo 46.3, lett. a) del GDPR. 

Art. 28: SCC della Commissione e SCC dell’Autorità di controllo

Nell’ambito del profilo della contrattualizzazione dei rapporti titolare/responsabile e responsabile/sub-responsabile (cioè delle prescrizioni degli articoli 28.3 e 28.4 del GDPR), il regolamento riconosce la possibilità dell’adozione di clausole tipo sia alla Commissione sia ad un’autorità di controllo, come riportato anche nel citato Considerando (81). 

Recita il paragrafo 7 dell’articolo 28:  «7. La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.»

Il paragrafo 8 del medesimo articolo  così prosegue: «8.   Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63».

Tralasciando la diversità di procedura richiesta per l’iter di approvazione delle clausole tipo nelle due casistiche – essenzialmente dovuto alla necessità di assicurare omogeneità di approccio nell’ipotesi di clausole adottate da un’autorità nazionale – il GDPR riconosce un analogo potere decisorio in favore sia della Commissione sia delle ASN. Esempio dell’ultima opzione (art. 28.8) sono state le clausole tipo adottate dall’autorità di controllo danese, a seguito dell’approvazione dell’EDPB (Parere 14/2019 adottato il 9/7/2019). Analoga situazione si è verificata con il parere emesso dall’EDPB e le conseguenti clausole tipo titolare/responsabile dell’autorità di controllo slovena.

Integrazione nelle SCC art. 46

In precedenza, le clausole tipo adottate dalla Commissione durante la vigenza della direttiva 95/46/CE, ora abrogate e sostituite ad opera della Decisione 2021/914, coprivano unicamente la prescrizione relativa al trasferimento di dati personali verso paesi terzi; questa prescrizione richiede l’adozione di garanzie adeguate volte ad evitare il rischio che a seguito del trasferimento, i dati personali possano subire una riduzione della protezione loro accordata dal diritto europeo. Di conseguenza, quando il trasferimento riguardava un esportatore titolare o responsabile ed un importatore nel ruolo di responsabile o sub-responsabile, si rendeva necessario anche adempiere alla contrattualizzazione del rapporto ai sensi dell’articolo 28, paragrafi 3 e 4 del GDPR. In pratica, sarebbero stati necessari due contratti (SCC e quello dell’art. 28) oppure si sarebbero dovute integrare le SCC con le clausole dell’articolo 28, avendo cura di non contraddire le prime. 

Le SCC oggetto della decisione 2021/914 (o più correttamente i moduli applicabili alle citate casistiche), invece, ora incorporano anche le clausole tipo di cui all’articolo 28.7 del GDPR per cui, nel caso di un nuovo rapporto che comporta sia un flusso extra-UE di dati personali sia l’appalto di operazioni di trattamento per conto del titolare del trattamento, sarà sufficiente utilizzare i soli, pertinenti moduli delle nuove SCC.

Iter di adozione

La Decisione 2021/915 della Commissione è stata adottata a completamento della prevista procedura d’esame (art. 93.2) che ha avuto inizio col rilascio di una proposta nel novembre 2020. La decisione tiene anche conto del parere congiunto di EDPS ed EDPB del 14/1/2021 (parere congiunto 1/2021) in quanto le SCC trovano applicazione nei rapporti titolare/responsabile in ambito sia GDPR sia del regolamento per la protezione dei dati personali da parte delle istituzioni europee (2018/1725); questa la motivazione: come indicato nella decisione, le regole data protection applicabili al settore pubblico negli Stati membri e quelle per le istituzioni dell’Unione sono allineate il più possibile tra i Regolamenti 2016/679 e 2018/1725.

Titolare/Responsabile e Responsabile/Sub-responsabile

Le clausole tipo ex articolo 28 affrontano entrambi i profili dei rapporti 

  • tra titolare e responsabile (art. 28.3 GDPR) e
  • tra titolare, responsabile e sub-responsabile (art. 28.4 GDPR).

Il ricorso ad un sub-responsabile da parte dell’originario responsabile può avvenire solo previa autorizzazione del titolare del trattamento; questa può essere:

  • specifica o
  • generale.

L’autorizzazione è sempre preventiva all’incarico da assegnare in entrambi i casi i quali, in sostanza, differiscono riguardo alle conseguenze dell’eventuale mancata risposta del titolare alla scadenza del periodo previsto per la concessione dell’autorizzazione: per la prima, scaduto il termine previsto per l’autorizzazione, il silenzio del titolare equivale a diniego, per la seconda, invece, si applica l’istituto del silenzio-assenso.

Come evidenziato dall’EDPB, l’obbligo del responsabile di ribaltare sul sub-responsabile i medesimi obblighi che vincolano il responsabile al titolare, non significa una formale duplicazione del contratto principale, dovendosi interpretare invece la prescrizione come replica della sostanzialità degli impegni assunti dal responsabile.

Tempistica

Le clausole tipo ex art. 28 entrano in vigore, cioè possono essere validamente utilizzate dalle parti, a partire dal 27 giugno 2021, cioè il ventesimo giorno dalla pubblicazione della decisione nella gazzetta ufficiale dell’Unione.

Rosario Imperiali d’Afflitto

Contattaci

Scrivici via e-mail, ti risponderemo al più presto.

Not readable? Change text. captcha txt
0