Contemporaneamente all’adozione delle più note SCC, vale a dire delle clausole tipo per il trasferimento di dati personali verso paesi terzi, la Commissione UE ha pubblicato l’ulteriore decisione 2021/915 che adotta le clausole tipo tra titolari e responsabili del trattamento.

Sintesi

infografica clausole tipo art. 28 UE e riferimenti normativi

SCC (artt. 46.1, c) e 28.7 GDPR)

Le prescrizioni degli articoli sul trasferimento di dati verso paesi terzi (art. 46.1, lett. c) nonchè sulla contrattualizzazione del rapporto titolare/responsabile o sub-responsabile (art. 28.7) si riferiscono entrambe a clausole tipo adottate dalla Commissione UE.

A) Analogie

Entrambe le clausole tipo non vanno modificate in modo da cotraddirne il contenuto o confliggere col GDPR; in ambedue i casi, tuttavia, esse possono essere incorporate in contratti più ampi e richiedono la personalizzazione conseguente alla specificità del contesto di riferimento negli appositi moduli e/o allegati.

B) Differenze

Sin qui le analogie; tuttavia, intercorre una sostanziale differenza tra le due clausole tipo – in aggiunta alla diversità di oggetto – consistente nella tassatività della misura delle SCC ex art. 46, caratteristica che non trova riscontro nelle SCC ex art. 28. Le SCC ex art. 28, infatti, sono solo una delle opzioni rimesse a titolari e responsabili del trattamento per documentare il loro rapporto; esse non godono di prevalenza rispetto ai contratti che le parti dovessero eventualmente negoziare tra loro su base individuale, purchè essi siano comunque rispettosi delle condizioni dell’articolo 28. Recita il Considerando (81), «Il titolare del trattamento e il responsabile del trattamento possono scegliere di usare un contratto individuale o clausole contrattuali tipo che sono adottate direttamente dalla Commissione oppure da un’autorità di controllo in conformità del meccanismo di coerenza e successivamente dalla Commissione.».

Di converso, qualora esportatore e importatore intendessero avvalersi delle SCC ex art. 46 per legittimare il flusso estero di dati, non potrebbero discrezionalmente sostituirle con contratti redatti autonomamente dalle parti, fatto salvo il ricorso ad una diversa ipotesi di garanzia per la quale il GDPR richiede la sottoposizione di tali clausole a preventiva autorizzazione dell’autorità di controllo competente, ai sensi dell’articolo 46.3, lett. a) del GDPR.