Rilevano in tal senso varie norme del Reg. UE 2016/679 (c.d. GDPR), che assicura, in caso di flusso di dati personali verso Stati terzi, una forte protezione, anche tramite clausole contrattuali standard, da inserire negli accordi tra esportatori e importatori di dati, secondo le puntuali indicazioni della Commissione formulate nella Decisione in commento. Eccone, a seguire, una breve sintesi.
Introduzione: clausole contrattuali tipo in assenza di decisioni di adeguatezza
Come prescritto dalle norme di settore (artt. 44 ss. GDPR) il trasferimento dei dati personali verso Paesi estranei allo Spazio Economico Europeo (SEE, ossia membri UE, oltre Islanda, Liechtenstein e Norvegia), o verso organizzazioni internazionali, sono consentiti a condizione che l’adeguatezza del Paese terzo, o dell’organizzazione, sia riconosciuta tramite decisione della Commissione UE.
In assenza di una simile decisione, il trasferimento sarà ugualmente consentito, ma solo ove i soggetti coinvolti, forniscano adeguate garanzie che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati. Al riguardo, fra gli strumenti disponibili, costituiscono garanzie adeguate anche le clausole contrattuali tipo previste espressamente all’art. 46 del GDPR, attuato in concreto con la Decisione di esecuzione in commento.
I contenuti della Decisione: rapporti e temi regolati dalla Commissione
Diversamente dal recente passato - dove i pregressi provvedimenti in materia regolavano un numero limitato di situazioni - la Decisione 2021/914 introduce e disciplina varie situazioni soggettive, oltre a prevedere varie clausole generali, applicabili, in linea di massima, sempre e comunque. Queste le primarie relazioni soggettive previste e regolate dalla Commissione (declinate nei macro-temi di cui al secondo elenco che segue):
- Trasferimento da titolare del trattamento a titolare del trattamento (Modulo Uno);
- Trasferimento da titolare del trattamento a responsabile del trattamento (Modulo Due);
- Trasferimento da responsabile del trattamento a responsabile del trattamento (Modulo Tre);
- Trasferimento da responsabile del trattamento a titolare del trattamento (Modulo Quattro).
Oltre alle quattro relazioni tipo, la Decisione in commento introduce alcuni modelli di clausole dedicate, nella specie, al sub-responsabile del trattamento, e, in particolare, alla sua individuazione/nomina, e relativi rapporti con l’importatore e/o esportatore dei dati oggetto di trasferimento.
Come anticipato, le clausole contrattuali tipo, dettate dalla Commissione, sono organizzate, per macro-temi, che interessano, in particolare, i seguenti argomenti (in grassetto quelli più rilevanti):
- Scopo e ambito di applicazione delle clausole contrattuali tipo e loro invariabilità
- Terzi beneficiari (da intendersi quali interessati, i cui dati sono oggetto di trasferimento)
- Interpretazione e gerarchia (delle clausole contrattuali tipo)
- Clausola di adesione successiva (per soggetti diversi dall’esportatore e importatore dati)
- Garanzie in tema di protezione dei dati (limitazione finalità, trasparenza, tempo di conservazione, esattezza e minimizzazione dati, sicurezza, dati sensibili, trasferimenti successivi, ecc.)
- Ricorso a sub-responsabili del trattamento
- Diritti dell’interessato, ricorso, responsabilità, controllo
- Legislazione e prassi locali che incidono sul rispetto delle clausole;
- Obblighi dell’importatore in caso di accesso da parte di autorità pubbliche
- Inosservanza delle clausole e risoluzione
- Legge applicabile scelta del foro e giurisdizione.
Quanto ai diritti degli interessati, come alle facoltà, prerogative e/o garanzie loro riservate, la Decisione in commento si dilunga, giustamente, nel delinearne il relativo regime nell’ipotesi, ovvio, di trasferimento dati. Non è, tuttavia, qui il caso di approfondire simili tematiche, posto che la Decisione, come i relativi allegati, si limitano in proposito a riprodurre quanto sancito nel citato GDPR (vedi nella specie il relativo Capo V).
Immodificabilità delle clausole contrattuali tipo
Quanto all’applicazione concreta della Decisione, si rammenta come le clausole e i moduli proposti risultino di fatto immodificabili, pur se le parti resteranno libere di inserire le clausole tipo in contratti più ampi, integrandoli con altre disposizioni o garanzie supplementari.
Tutto ciò, però, a condizione che simili “innesti” non contraddicano, direttamente o indirettamente, le clausole contrattuali tipo o pregiudichino i diritti o le libertà fondamentali degli interessati. E sul punto è lecito ipotizzare un possibile strait-jacket-effect, connesso alla rigida applicazione della Decisione, consistente, per l’appunto, nella materiale impossibilità di adattare e/o modificare le clausole tipo alle evenienze del caso, con seguente irrigidimento delle relazioni contrattuali-tipo elencate nel paragrafo 2.
Tuttavia, è altrettanto opportuno osservare come un simile effetto risulti, in definitiva, più che accettabile (se non indispensabile), vista l’esigenza di tutelare gli interessati dei cui dati personali si tratti, che potrebbero esser pregiudicati da pesanti modifiche alle clausole tipo per effetto di un accordo fra le parti.
Entrata in vigore e periodo transitorio
La Decisione in commento è in vigore sin dalla fine del giugno ultimo scorso, coesistendo, nel frattempo, sino al 27 settembre 2021, con i pregressi interventi in materia (v. le Decisioni nn. 497/2001 e 87/2010).
Opportunamente la Commissione ha, infine, previsto un periodo di adeguamento con scadenza per il 27 dicembre 2022. Ciò implica, in pratica, che i contratti conclusi in conformità alle pregresse Decisioni (e siglati prima della loro abrogazione), saranno validi sino al dicembre 2022 incluso; ciò, tuttavia, a condizione che i trattamenti oggetto di tali contratti rimangano invariati e le relative clausole offrano adeguate garanzie nella cessione dei dati personali trasferiti verso i paesi terzi.