Regolamento - 27/04/2016 - n. 679 art. 46 - Trasferimento soggetto a garanzie adeguate

Clausole tipo della Commissione

L'art. 46.2.c) prevede che, in mancanza di una decisione di adeguatezza, il trasferimento di dati possa avvenire mediante l'utilizzo delle cd. “clausole tipo” (cd. standard model clause), adottate dalla Commissione. Queste consistono in testi contrattuali standard sottoscritti da ambo le parti (esportatore ed importatore dei dati) di solito allegati ai contratti di servizio o agli intercompany agreement in forza dei quali il trasferimento può avvenire verso soggetti collocati all'interno di paesi terzi che non assicurano un adeguato livello di tutela ai dati personali – e per questo non hanno ottenuto la decisione di adeguatezza. Si consideri che le predette clausole erano già state previste nel vigore della dir. 95/46/CE ex art. 26.4 GDPR e che la Commissione aveva adottato due set di clausole tipo: quelle per i trasferimenti da un titolare del trattamento ad un altro titolare, collocato al di fuori dell'UE; quelle per i trasferimenti da un titolare a un responsabile collocato al di fuori dell'UE. L'adozione da parte della Commissione delle clausole tipo è sottoposta alla procedura di esame di cui all'art. 93.2 del Regolamento in virtù della quale la proposta della Commissione, dopo essere stata sottoposta al parere del comitato europeo per la protezione dei dati e a quello dell'EDPS, viene approvata dal comitato istituito ex art. 93.1 GDPR.

Una delle principali novità introdotte dal Regolamento consiste nella possibilità per le DPA nazionali di adottare proprie clausole tipo. Anche queste, comunque, al fine di garantire una omogenea applicazione del Regolamento all'interno di ciascuno Stato membro, come nel caso delle model clauses adottate in forza dell'art. 46.2.c) del Regolamento, devono essere approvate dalla Commissione seguendo la procedura d'esame di cui all'art. 93.2. Nel caso delle clausole tipo adottate dalla DPA, l'art. 64.1.d) GDPR impone inoltre alla DPA di comunicare la decisione di adottare clausole tipo al comitato per la protezione dei dati affinché esso possa emettere un parere.

Sulla scorta di quanto affermato al considerando 108, e cioè che «In mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento dovrebbe provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell'interessato», l'art. 46.3.a) ammette che, in sostituzione della decisione di adeguatezza o della stipula delle model clause, titolare e responsabile possano realizzare clausole contrattuali apposite per disporre il trasferimento dei dati personali nel paese terzo o verso l'organizzazione internazionale o verso un altro tipo di destinatario fuori dalla UE. Tuttavia, per assicurare il principio di coerenza di cui all'art. 63, l'art. 46.4 stabilisce che siffatti contratti ad hoc, anche se di natura privata, siano sottoposti all'autorità di controllo, la quale ex art. 57.1.r) GDPR ha il compito di autorizzarne la validità. Inoltre, l'art. 64.1.e) GDPR impone all'autorità di comunicare la decisione di autorizzazione al comitato per la protezione dei dati affinché esso possa emettere un parere.

Ai sensi dell'art. 46.3.b), così come nel caso dei contratti ad hoc, costituiscono “garanzie adeguate” ai sensi dell'art. 46.1 anche le disposizioni inserite in accordi amministrativi «tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati». Tali contratti hanno, sostanzialmente, la stessa funzione di quelli previsti tra titolari e responsabili ma, applicandosi ai trasferimenti effettuati da autorità o organismi pubblici verso autorità o organismi pubblici in paesi terzi (o organizzazioni internazionali) che abbiano analoghi compiti o funzioni, essi hanno la natura di un contratto di diritto amministrativo. Un esempio è fornito dal cd. memorandum d'intesa che, esprimendo una convergenza di interessi fra le parti, permette di definire una linea di azione prestabilita e comune circa i diritti effettivi e azionabili dagli interessati, al fine di garantire l'applicazione del Regolamento anche al di fuori dell'UE. Si consideri, comunque, che al pari dei contratti ad hoc, ex art. 46.4 anche i contratti di diritto amministrativo tra soggetti pubblici sono subordinati ad autorizzazione della DPA (cfr. art. 57.1.r) in applicazione del principio di coerenza di cui all'art. 63 (Bolognini, Pelino, Bistolfi).

Contenuto delle clausole tipo adottate dalla Commissione

Le decisioni della Commissione che stabiliscono le clausole tipo adottate nel vigore della dir. 95/46/CE furono: la decisione 2001/497/CE per i trasferimenti tra titolari (emendata con decisione della Commissione 2004/915) e la decisione 2010/87/UE per i trasferimenti da titolare a responsabile extra UE.

Innanzitutto, in tali clausole vengono definite le generalità dell'“esportatore” e dell'“importatore” dei dati, poiché entrambi sono tenuti a sottoscrivere il contratto. Vi sono poi le definizioni dei termini utilizzati, secondo un modello più simile a quello contrattualistico anglosassone. I particolari dettagliati relativi al trasferimento di dati, in concreto, vengono rinviati all'appendice (o allegato) alle clausole, dove le parti possono specificare liberamente le informazioni del caso (es. tipi di dati, di trattamenti, categorie di interessati, tipi di attività svolte dall'importatore in relazione al trasferimento e altri elementi utili a perimetrare l'operazione). Quindi, i due soggetti – esportatore e importatore – sono sottoposti ad una serie di obbligazioni, che hanno forza sia tra le parti sia a favore degli interessati, per i quali è previsto il ruolo di “terzi beneficiari” del contratto. Nelle clausole tipo titolare-titolare del 27 dicembre 2004, il titolare “esportatore” deve garantire, ad esempio, che, se il trasferimento coinvolge categorie speciali di dati (cioè dati sensibili o giudiziari), l'interessato è stato informato o sarà informato prima che il trasferimento abbia luogo e di rendere a tutti gli interessati una copia, su richiesta, delle clausole sottoscritte, nonché impegnarsi a collaborare con la DPA nazionale nel caso in cui essa formuli espressa richiesta di informazioni. L'importatore deve garantire la sua adesione a tutti i principi richiamati dalle clausole (in definitiva, quelli di cui alla normativa europea in materia di protezione dei dati personali) e, per questo, nel caso di violazioni sono previsti strumenti di mediazione e risoluzione delle controversie; nel caso in cui un interessato venga danneggiato, spetta alla parte responsabile risarcirlo (o ad entrambe, se la violazione è stata commessa sia dall'importatore sia dall'esportatore). Per la risoluzione delle controversie l'interessato ha diritto di rivolgersi alla DPA del paese “esportatore” a prescindere da quale dei due soggetti abbia commesso la violazione ma, nei casi in cui l'importatore sia responsabile della violazione, l'interessato deve prima di tutto richiedere l'intervento dell'esportatore il quale deve fornire all'importatore trenta giorni di tempo per adeguarsi nuovamente ai principi delle clausole tipo – potendo, peraltro, sospendere temporaneamente la validità del contratto. Qualora, l'importatore non prenda le dovute misure di riadeguamento, allora l'interessato potrà ricorrere alla DPA del paese in cui è stabilito l'esportatore. Si consideri che la legge applicabile alle clausole tipo è proprio quella del paese in cui è stabilito l'esportatore. È bene precisare che, pur se per entrambe le parti (importatore/esportatore dei dati) sussiste la possibilità di recedere dal contratto, esse saranno tenute comunque a rispettare le clausole tipo per i dati sino a quel momento trasferiti. Tutto l'impianto e il contenuto delle clausole tipo mira a rendere la tutela dell'interessato-terzo beneficiario il più possibile semplice, effettiva ed efficace, aggravando sia l'esportatore sia, soprattutto, l'importatore di oneri, obblighi e responsabilità che li vedano facilmente “raggiungibili” dalla persona a cui si riferiscono i dati. (Bolognini, Pelino, Bistolfi).

Il 4 giugno 2021 la Commissione ha pubblicato le nuove clausole contrattuali tipo da utilizzare per il trasferimento di dati personali verso paesi terzi, (disponibili all'indirizzo https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contracctual-clauses-scc/standard-contractual-clauses-international-transfers_it) che appaiono fortemente innovative rispetto alla versione precedente (vedasi per approfondimenti il paragrafo successivo).

Le nuove clausole tipo adottate dalla Commissione

Una delle grandi novità delle nuove clausole tipo sta nella previsione di nuovi schemi per il trasferimento, che pongono rimedio ad una serie di difficoltà applicative che si incontravano nella vigenza delle precedenti. Infatti, le decisioni sopra esaminate prevedevano unicamente due modalità di trasferimento: da titolare a titolare ovvero d titolare a responsabile. Non potevano essere utilizzate, quindi, nel caso in cui il trasferimento fosse effettuato verso un responsabile all'interno dell'Unione Europea che a sua volta trasferisse i dati a un sub-responsabile in un paese terzo. La questione era stata affrontata dall'EDPB, che nel documento sulle domande più frequenti relative alla decisione 2010/87/UE chiariva come tali clausole non potessero essere stipulate tra un titolare intra UE e un responsabile extra UE, e proponeva tre diverse soluzioni per garantire comunque una copertura ai trasferimenti di questo tipo che comportassero un successivo trasferimento a ad un sub-responsabile extra UE: la conclusione diretta delle SCC tra il titolare europeo e il sub-responsabile extra europeo; il conferimento di un chiaro mandato da parte del titolare europeo al responsabile europeo a sottoscrivere le model clauses con il sub responsabile extra europeo per suo conto e in suo nome; un contratto ad hoc sottoposto a valutazione da parte dell'autorità di controllo (cfr. Wp29, FAQ n. 1 e 3).

Le nuove clausole mettono fine ai dubbi e prevedono espressamente altri due schemi di trasferimento: quello da responsabile a responsabile e quello da responsabile a titolare. Lo scopo del nuovo testo non è solo quello di adeguare le clausole all'intervenuto Regolamento 2016/679, ma anche tenere conto dell'evolversi dell'economia digitale ove si sono diffuse forme sempre più complesse di trattamento che coinvolgono molteplici titolari e responsabili, attraverso lunghe e complicate catene di trattamenti e di relazioni e adottare, quindi un approccio più flessibile, ad esempio con riferimento al numero dei soggetti che possono aderire all'accordo.

Nel preambolo è chiarito che il set di norme è utilizzabile per i trasferimenti di dati verso titolari o responsabili stabiliti al di fuori dello SEE, limitatamente al caso in cui l'importatore non rientri nell'ambito di applicazione del GDPR. Si dovranno, per esempio, utilizzare tali clausole standard anche nel caso di trasferimenti da parte di titolari o responsabili del trattamento stabiliti al di fuori dell'Unione ma soggetti al GDPR in considerazione dell'art. 3 paragrafo 2 (perché il trattamento si riferisce all'offerta di beni o servizi a soggetti nell'Unione Europea o al monitoraggio del loro comportamento che all'interno dell'Unione.). L'intento della Commissione di modernizzare le clausole tipo al fine di riflettere meglio la realtà dei rapporti è perseguito quindi attraverso la previsione di nuove situazioni di trasferimento. Le clausole vengono costruite con un approccio a due livelli: una prima parte di clausole generali, applicabili indipendentemente dallo schema di trasferimento, ed una parte di clausole specifiche (a moduli) da selezionare e integrare a seconda dello schema prescelto, al fine di personalizzare le obbligazioni in considerazione di ruoli e responsabilità. Nel caso in cui lo scenario sia quello del trasferimento titolare-responsabile o responsabile e –responsabile, le clausole sono costruite in modo da poter rispettare anche i requisiti di cui all'art. 28 GDPR.

Sempre nell'ottica di modernizzazione della Commissione rientra anche la previsione introdotta alla clausola numero 7 (“docking clause”) che rende le clausole uno strumento flessibile a cui possono aderire parti ulteriori durante tutta la vita del rapporto contrattuale: è infatti previsto che un'entità non parte delle clausole possa, con l'accordo delle parti, aderirvi (in qualità di esportatore o importatore) in qualsiasi momento semplicemente compilandone gli allegati (il primo relativo alle parti, il secondo alla descrizione del trattamento e il terzo relativo alle misure di sicurezza) e che, a partire da quel momento assuma gli stessi diritti ed obblighi delle altre parti. Tale clausola appare particolarmente utile nel caso di trasferimenti successivi, per cui il ricevente potrà aderire alle clausole.

Le SCC prevedono che le parti debbano essere in grado di provare la conformità con le stesse: nel caso in cui l'importatore violi le clausole o non sia in grado di rispettarle, l'esportatore dovrà sospendere il trasferimento o, nei casi più gravi, risolvere il contratto.

Il testo tiene in considerazione le risultanze della sentenza Schrems II, citata nel preambolo, e prevede disposizioni specifiche sulla valutazione delle leggi locali che potrebbero compromettere l'adeguatezza delle clausole, nonché obblighi di trasparenza e notifica relativamente alle richieste di accesso da parte di autorità governative. In particolare, non è possibile procedere con il trasferimento nel caso in cui le leggi e le prassi del paese di destinazione impediscano all'importatore di rispettare le clausole. Le parti devono garantire che, al momento dell'accordo, non vi siano ragioni per ritenere che le leggi e prassi del paese dell'importatore non siano in linea con questi requisiti. Le parti devono tenere in considerazione le specifiche circostanze del trasferimento (come il contenuto e la durata dell'accordo, la natura dei dati trasferiti, il tipo di destinatario, la finalità del trattamento). Le leggi e prassi del paese di destinazione, infatti, devono essere valutate in base alle circostanze del trasferimento ed alle specifiche misure di salvaguardia adottate (incluse le misure di sicurezza contrattuali, tecniche ed organizzative adottate per la trasmissione dei dati o per il trattamento nel paese di destinazione).

Quanto alle eventuali richieste di comunicazione dei dati trasferiti da parte di autorità pubbliche nel paese di destinazione, è previsto che l'importatore, ove possibile, ne dia notizia all'esportatore. Analogamente, dovranno essere notificati eventuali accessi diretti ai dati di cui venga a conoscenza l'importatore. Nel caso in cui l'importatore non sia in grado di effettuare tale notifica, dovrà comunque fornire all'esportatore più informazioni possibili sulla richiesta, oltre a fornire informazioni aggregate periodiche. Nel caso in cui l'importatore consideri che la richiesta da parte dell'autorità sia illegale sulla base delle leggi del paese di destinazione, dovrà contestarla ed esperire eventuali mezzi di impugnazione.

Al fine di garantire il principio di trasparenza, è previsto che gli interessati abbiano la possibilità di ottenere una copia delle standard contractual clauses ed essere informati di tale possibilità. Le parti devono inoltre garantire la sicurezza dei dati sia nel corso del trasferimento che per quanto attiene al trattamento successivo. In particolare, le misure di sicurezza devono essere specificate nell'apposito Annex II, ove è precisato che le stesse devono essere indicate in modo specifico e non generico, e ove la commissione elenca una serie di misure a titolo esemplificativo. Peraltro qualora si faccia uso della pseudonimizzazione, le SCC prevedono che le informazioni aggiuntive che consentono di attribuire i dati personali ad un determinato individuo debbano rimanere, ove possibile, sotto il controllo esclusivo dell'esportatore. Nel caso in cui siano trasferiti dati sensibili, le parti devono adottare misure di sicurezza o restrizioni aggiuntive. Inoltre, sono previsti obblighi di notifica degli eventuali data breach da parte dell'importatore verso l'esportatore, anche nel caso di trasferimento da titolare del trattamento ad altro titolare.

Quanto agli eventuali trasferimenti successivi da parte dell'importatore ad una terza parte in un paese terzo (“onward transfers”) gli stessi sono consentiti solo nel caso in cui il soggetto terzo aderisca alle standard clauses o nel caso in cui la tutela sia comunque garantita o infine, in caso di situazioni specifiche, sulla base del consenso informato dell'interessato.

Nel caso di trasferimento da titolare a responsabile o da responsabile a responsabile dovrà essere compilato anche lo specifico Annex III con la lista dei sub-processors, dove devono essere indicati i riferimenti del sub-responsabili e una descrizione del trattamento (“inclusa una chiara limitazione delle responsabilità nel caso in cui siano autorizzati vari sub-processors”).

Infine, si evidenzia la peculiare l'ipotesi del trasferimento responsabile-titolare del trattamento: in tal caso le clausole impongono al responsabile di comunicare al titolare eventuali impedimenti nel rispettare le sue istruzioni, per possibile violazione del diritto UE, e l'obbligo del titolare di astenersi da qualsiasi azione che impedisca al responsabile di rispettare il GDPR; è richiesta la collaborazione delle parti nel soddisfare eventuali richieste degli interessati, sia in considerazione della legge applicabile all'importatore che del GDPR. Infine sono previsti requisiti aggiuntivi, specie con riferimento alle richieste delle autorità, e in tal caso è specificato che tali disposizioni si applicano solo ove il responsabile combini i dati ricevuti dal titolare extra UE con dati raccolti direttamente all'interno dell'Unione. Oove invece l'attività esternalizzata consista solo nel trattamento e nella restituzione di dati ricevuti dal titolare le operazioni restano soggette alla giurisdizione del paese terzo e quindi tali requisiti non sarebbero giustificati.

Se è pacifico che le Standard Clauses, incluse quelle processor to controller, siano utilizzabili nel caso di trasferimenti da un esportatore stabilito all'interno del SEE e soggetto all'applicazione del GDPR, nei confronti di un importatore extra SEE e non soggetto al GDPR, è invece dubbia l'applicabilità di tale strumento nel caso di trasferimenti da parte di un controller/processor stabilito nella UE nei confronti di un soggetto al di fuori del SEE che sia tenuto ad applicare il GDPR ai sensi dell'art 3 paragrafo 2. Si tratterebbe, in tal caso, di una sorta di “auto-sottoscrizione” di clausole contrattuali di garanzia tra de soggetti entrambi tenuti, comunque, al rispetto delle garanzie previste dal GDPR. Ad avviso di chi scrive, considerato il tenore letterale delle norme e le considerazioni di cui al preambolo della decisione, quest'ultima ipotesi è da escludersi.

La decisione della Commissione prevede comunque un regime transitorio: in particolare, le precedenti decisioni 2001/497/EC e 2010/87/EU cesseranno di avere efficacia dopo 3 mesi dalla pubblicazione delle nuove SCC. È inoltre previsto un successivo periodo di 15 mesi in cui potranno continuare ad essere utilizzate le clausole nel testo previgente, sempre che il contratto rimanga immodificato e che siano adottate le misure supplementari necessarie al fine di assicurare le garanzie adeguate ai sensi dell'art. 46 GDPR. Nel caso, invece, in cui siano apportate modifiche significative al contratto, l'esportatore dovrà provvedere all'aggiornamento delle clausole.

L'inserimento delle clausole tipo nei contratti 

Il Regolamento prevede esplicitamente la possibilità che il titolare o il responsabile utilizzino clausole tipo di protezione dei dati adottate dalla Commissione o dalla DPA includendole in contratti più ampi, potendo anche aggiungere altre clausole o garanzie supplementari ex considerando 109. L'unica condizione affinché tale aggiunta/integrazione sia considerata legittima è costituita dal fatto che essa non deve in alcun modo contraddire le clausole contrattuali tipo della Commissione o delle DPA, in quanto ciò andrebbe a ledere i diritti o le libertà fondamentali degli interessati e, quindi, comprometterebbe la base di liceità del trasferimento stesso (Bolognini, Pelino, Bistolfi).

Autorizzazioni degli Stati membri ai trasferimenti extra UE nel vigore della direttiva 

Si noti che, l'art. 46.5 GDPR prevede che anche le autorizzazioni rilasciate da uno Stato membro o dall'autorità di controllo in base all'art. 26, par. 2, della dir. 95/46/CE restano valide fino a quando non vengono modificate, sostituite o abrogate, se necessario, dalla medesima autorità di controllo. L'art. 26.2 della dir. 95/46/CE, infatti, permetteva ad uno Stato membro di autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantiva un livello di protezione adeguato, qualora il titolare del trattamento presentasse garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi, ad esempio adottando clausole contrattuali appropriate come quelle oggi previste dall'art. 46.3.a GDPR (Bolognini, Pelino, Bistolfi).

Trasferimenti di dati personali da autorità o organismi pubblici del SEE ad organismi pubblici di paesi terzi

Nel caso di trasferimenti tra autorità o organismi pubblici, l'art. 46 prevede come ulteriori meccanismi legittimanti, al paragrafo 1 lettera a “uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici” e al paragrafo 2 lettera b), previa autorizzazione dell'autorità competente, “le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati”.

L'EDPB ha adottato le linee guida 2/2020 al fine di dare indicazioni e chiarimenti su tali strumenti, che riguardano i trasferimenti internazionali di dati tra organismi pubblici effettuati per vari scopi di cooperazione amministrativa che rientrano nell'ambito di applicazione del GDPR, mentre non si applicano ai trasferimenti nel settore della sicurezza pubblica, della difesa o della sicurezza dello Stato, né ai trasferimenti dei dati da parte delle autorità̀ competenti a fini giudiziari e di polizia (soggetti alla direttiva sulla protezione dei dati nelle attività̀ di polizia e giudiziarie), né i trasferimenti di dati personali fra organismi pubblici e soggetti privati.

In primo luogo l'EDPB fornisce una interpretazione circa la nozione di “autorità̀ o organismo pubblico”, non definita nel GDPR: la nozione è sufficientemente ampia da coprire sia gli organismi pubblici nei paesi terzi, determinata in base al diritto interno, sia le organizzazioni internazionali. Sono quindi incluse le autorità̀ governative a diversi livelli (ad es. autorità̀ nazionali, regionali e locali), e altri organismi di diritto pubblico (ad es. agenzie esecutive, università̀, ospedali, ecc.).

Inoltre, sono fornite una serie di raccomandazioni generali per contribuire a garantire che gli strumenti giuridicamente vincolanti o gli accordi amministrativi (“accordi internazionali”) tra organismi pubblici siano conformi al GDPR. Sono infatti indicate le seguenti garanzie minime da includere in tali accordi, al fine di assicurare che il livello di protezione delle persone fisiche ai sensi del GDPR non sia compromesso se i loro dati personali che gli interessati godano di un livello di protezione sostanzialmente equivalente:

• finalità e ambito di applicazione: gli accordi devono definire in modo specifico le finalità, le categorie di dati, le tipologie di trattamenti;

• definizioni: gli accordi internazionali dovrebbero contenere le definizioni dei concetti basilari relativi ai dati personali, in linea con il GDPR;

• principi di protezione dei dati: gli accordi internazionali devono contenere una formulazione specifica che imponga alle parti il rispetto dei principi fondamentali della protezione dei dati (principio di limitazione delle finalità, accuratezza dei dati e principio di minimizzazione, principio di limitazione della conservazione, sicurezza e riservatezza dei dati, diritti degli interessati, diritto alla trasparenza, diritti di accesso, rettifica, cancellazione, limitazione di trattamento e opposizione, diritto a non essere destinatari di una decisione basata unicamente su di un processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione, che produca effetti giuridici riguardanti l'interessato in questione o che incida in modo analogo sulla sua persona, diritto di riscorso);

• limitazioni ai trasferimenti successivi e alla condivisione dei dati: i trasferimenti successivi da parte dell'organismo pubblico destinatario o dell'organizzazione internazionale destinataria verso destinatari non vincolati dall'accordo dovrebbero, di regola, essere specificamente esclusi dall'accordo internazionale. A seconda dell'oggetto e delle circostanze particolari, l'accordo internazionale potrebbe prevedere tali trasferimenti successivi, se necessari. Gli stessi possono aver luogo solo se l'organismo pubblico trasferente ha dato la sua previa ed espressa autorizzazione e i destinatari si impegnano a rispettare gli stessi principi e garanzie di protezione dei dati inclusi nell'accordo internazionale. Le stesse garanzie si applicano nel caso di condivisione successiva dei dati all'interno del paese destinatario.

• dati sensibili: nel caso di trasferimento di dati sensibili dovrebbero essere incluse ulteriori garanzie da attuarsi a cura dell'organismo pubblico destinatario o dell'organizzazione internazionale destinataria (ad esempio, limitazioni all'accesso, alle finalità̀ per le quali le informazioni possono essere trattate, ai trasferimenti successivi, ecc., oppure misure di sicurezza aggiuntive);

• meccanismi di ricorso: l'accordo internazionale deve prevedere un sistema che consenta agli interessati di continuare a beneficiare di meccanismi di ricorso dopo che i loro dati sono stati trasferiti a un paese non SEE al fine di garantire diritti azionabili ed effettivi;

• meccanismi di controllo: devono essere previsti meccanismo di controllo interno periodico, nonché un meccanismo di controllo indipendente incaricato di garantire che le parti rispettino le pattuizioni dell'accordo (es. attraverso il ricorso ad autorità competenti del paese terzo o con altri mezzi)

• clausola di risoluzione: l'accordo deve prevedere che tutti i dati personali trasferiti dal SEE prima della sua effettiva risoluzione continueranno ad essere trattati in conformità̀ alle sue disposizioni.

Le linee guida forniscono altresì informazioni specifiche sugli strumenti giuridicamente vincolanti e aventi efficacia esecutiva (art. 46, paragrafo 2, lettera a), del GDPR): deve trattarsi strumenti giuridicamente vincolanti e con efficacia esecutiva e quindi possono essere utilizzati trattati internazionali, trattati di diritto pubblico o accordi amministrativi direttamente applicabili. “Benché la forma dello strumento non sia decisiva nella misura in cui si tratti di uno strumento giuridicamente vincolante e dotato di efficacia esecutiva, l'EDPB ritiene che l'opzione migliore sarebbe quella di incorporare nello strumento stesso clausole dettagliate sulla protezione dei dati. Se tuttavia questa strada non è percorribile in ragione delle specifiche circostanze, l'EDPB raccomanda vivamente di incorporare direttamente nel testo dello strumento almeno una clausola generale che stabilisca i principi di protezione dei dati, e di inserire le disposizioni e garanzie più̀ dettagliate in un allegato” (punto 69 LG2/2020).

Quanto invece agli accordi amministrativi di cui all'art. 46, paragrafo 3, lettera b), del GDPR (ad es. protocolli d'intesa), il punto 73 delle LG precisa quanto segue: “negli accordi amministrativi devono essere adottate misure specifiche per garantire diritti azionabili alle persone nonché' mezzi di ricorso e meccanismi di controllo effettivi. In particolare, per garantire diritti effettivi e azionabili, l'organismo pubblico che riceve i dati personali del SEE dovrebbe garantire, nello strumento non vincolante, che i diritti individuali siano pienamente garantiti dalla sua legislazione nazionale e possano essere esercitati dalle persone fisiche del SEE alle stesse condizioni dei cittadini e dei residenti del paese terzo interessato. Ciò̀ vale anche qualora per le persone fisiche del SEE sia disponibile un mezzo di ricorso amministrativo e giudiziario in base al diritto interno del Paese dell'organismo pubblico destinatario. Allo stesso modo, le organizzazioni internazionali dovrebbero fornire garanzie sui diritti individuali previsti dalle loro norme interne, nonché' sui meccanismi di ricorso disponibili”.

Infine, dal punto di vista procedurale, l'EDPB conferma che gli accordi amministrativi stabiliti ai sensi dell'art. 46, paragrafo 3, lettera b), del GDPR devono esaminati caso per caso tenuto conto della necessità di un'autorizzazione da parte dell'autorità̀ di controllo competente in base al meccanismo di coerenza di cui all'art 64 GDPR, ma raccomanda di consultare l'autorità competente anche nel caso in cui si integrino meccanismi di ricorso alternativi in strumenti vincolanti ed aventi efficacia esecutiva ai sensi dell'art. 46, paragrafo 2, lettera a), del GDPR.

Certificazioni

Come chiarito nelle Linee guida del Comitato europeo per la protezione dei dati (EDPB) 7/2022 sulla certificazione come strumento per i trasferimenti, a norma dell'art. 46, paragrafo 2, lettera f), GDPR, le garanzie adeguate possono essere previste da un meccanismo di certificazione approvato unitamente all'impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati. Di conseguenza, l'esportatore di dati potrebbe decidere di basarsi sulla certificazione ottenuta da un importatore di dati quale elemento per dimostrare l'adempimento dei suoi obblighi, ad esempio in conformità dell'art. 24, paragrafo 3, o dell'art. 28, paragrafo 5, GDPR. L'importatore di dati potrebbe decidere di chiedere la certificazione per dimostrare che sono predisposte garanzie adeguate. In generale, l'operazione di trasferire dati personali da uno Stato membro verso un paese terzo costituisce, in quanto tale, un trattamento di dati personali ai sensi dell'art. 4, punto 2, GDPR, effettuato nel territorio di uno Stato membro e pertanto certificabile a norma dell'art. 42, paragrafo 1, GDPR. Tuttavia, a seconda del contesto, in alcune situazioni il transito potrebbe rientrare nell'ambito di applicazione della certificazione come strumento per i trasferimenti. Ergo, l'oggetto della certificazione (che coincide con l'oggetto della valutazione durante la certificazione) dovrebbe generalmente essere il trattamento dei dati ricevuti dallo Spazio Economico Europeo da parte dell'importatore di dati nel paese terzo. L'entità che effettua la richiesta di certificazione dovrebbe essere pertanto l'importatore di dati nel paese terzo in relazione al suo oggetto della certificazione. L'esportatore di dati che desidera ricorrere a una certificazione quale garanzia adeguata in base all'art. 46, paragrafo 2, lettera f), GDPR, chiarisce l'EDPB, è in particolare tenuto a verificare se la certificazione cui intende fare affidamento è efficace alla luce delle caratteristiche del trattamento previsto. A tale scopo, l'esportatore di dati deve controllare la certificazione rilasciata al fine di verificare se il certificato è valido e non scaduto, se contempla il trasferimento specifico da effettuare e se il transito di dati personali rientra nell'ambito di applicazione della certificazione, come pure se sono previsti trasferimenti successivi ed è fornita una documentazione adeguata su questi ultimi. L'esportatore deve inoltre controllare che l'organismo di certificazione che rilascia la certificazione sia accreditato da un organismo nazionale di accreditamento o un'autorità di controllo competente. L'esportatore di dati dovrebbe altresì fare riferimento all'utilizzo della certificazione come strumento di trasferimento nel contratto relativo al trattamento dei dati a norma dell'articolo 28 GDPR in caso di trasferimenti dal titolare del trattamento al responsabile del trattamento o in un contratto sulla condivisione dei dati con l'importatore di dati in caso di trasferimenti tra titolari del trattamento. Tenendo conto del fatto che è responsabile dell'applicazione di tutte le disposizioni di cui al capo V, l'esportatore deve altresì valutare se la certificazione su cui intende fare affidamento come strumento per i trasferimenti è efficace alla luce delle normative e delle pratiche in vigore nel paese terzo pertinenti per il trasferimento in esame. Ai fini di tale valutazione e quale elemento significativo attraverso cui dimostrare l'adempimento delle proprie responsabilità, l'esportatore di dati può fare affidamento sulla verifica effettuata dall'organismo di certificazione della valutazione documentata dell'importatore delle normative e delle pratiche del paese terzo. Qualora la valutazione dell'importatore riveli che quest'ultimo e/o l'esportatore di dati può essere tenuto a fornire misure supplementari previste dalla certificazione per garantire un livello di protezione sostanzialmente equivalente a quello fornito nello Spazio Economico Europeo, l'esportatore di dati deve verificare le misure supplementari fornite dall'importatore di dati in possesso di una certificazione e se è in grado di dare seguito alle misure tecniche e (se del caso) supplementari richieste dall'importatore di dati.

Codici di condotta

Ai sensi degli artt. 40.2.j) e 46.2.e) GDPR essi costituiscono uno strumento che fornisce adeguate garanzie per il trasferimento dei dati in mancanza di una decisione di adeguatezza se accompagnato da un impegno “vincolante ed esecutivo” da parte del titolare o del responsabile stabiliti nel paese terzo ad applicare le suddette garanzie adeguate rispetto ai principi di protezione dei dati e ai diritti dell'interessato. In sostanza, dunque, per comprendere la natura di tale impegno “vincolante ed esecutivo” ci si può ricondurre al principio di “vincolo giuridico” di cui si è parlato con riferimento alle BCR nel commento all'art. 47 GDPR. In effetti, queste ultime consistono in regole di comportamento in materia di protezione dei dati, categoria nella quale rientrano i codici di condotta. Tali codici, al pari delle norme vincolanti di impresa, per consentire il trasferimento dovranno dunque essere “giuridicamente vincolanti” in due sensi: in essi dovranno essere previste “sanzioni” nel caso di infrazione e si dovranno garantire esplicitamente meccanismi di esercizio dei diritti da parte degli interessati. L'art. 40.3, peraltro, prevede che possano aderire ai codici di condotta approvati anche i titolari o i responsabili del trattamento che non sono soggetti al Regolamento ai sensi dell'art. 3 «al fine di fornire adeguate garanzie nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali. [...] Detti titolari del trattamento o responsabili del trattamento assumono l'impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati». Pertanto, l'adesione ai codici di condotta deve passare per la sottoscrizione di un vero e proprio contratto o atto unilaterale (l'impegno vincolante ed esecutivo di cui all'art. 46.2.e) affinché anche i titolari o responsabili stabiliti in paesi terzi non adeguati divengano soggetti ai principi del Regolamento.

È ipotizzabile che siffatti “atti di impegno giuridico” siano, in futuro e in via generale, redatti, pubblicati e resi disponibili a soggetti extra-UE, per la loro adesione volontaria, anche da parte di DPA, di associazioni di consumatori o di enti di certificazione europei: è il caso del Voluntary Compliance Tool previsto dal progetto di ricerca Privacy Flag, finanziato dalla Commissione Europea nel programma Horizon 2020, di cui è stato partner anche l'Istituto Italiano per la Privacy e la Valorizzazione dei Dati (Bolognini, Pelino, Bistolfi).