Skip to content

FAQ su clausole contrattuali standard

I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione Giuridica (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

FAQ su clausole contrattuali standard

Il 25 maggio 2022 la Commissione europea ha pubblicato una raccolta di domande e risposte sulle clausole contrattuali standard: (1) quelle nei rapporti tra i titolari e i responsabili del trattamento (art. 28 GDPR) e (2) quelle per i trasferimenti di dati verso paesi terzi (art. 46(2)(c) GDPR), entrambe adottate dalla Commissione europea il 4 giugno 2021.

Sintesi

Le SCC sono strumenti standardizzati che producono determinati effetti giuridici, adottati dalla Commissione in base ad un potere ad essa espressamente riconosciuto dal diritto dell’Unione (GDPR). Per questo motivo, le SCC non possono essere modificate in modo da risultare in conflitto con il testo originario.

Le SCC per i flussi esteri [art. 46(2)(c) GDPR] vanno lette in combinazione con le disposizioni del capo V sui trasferimenti esteri di dati personali, in quanto trovano applicazione solo in tali circostanze e, nello specifico, solo quando al titolare/responsabile del trattamento (importatore dei dati) non si applichi il GDPR. Negli altri casi, come anche per trasferimenti di dati a organizzazioni internazionali (importatori di dati), saranno applicabili ulteriori SCC, di prossima adozione da parte della Commissione UE.

SCC_Decisioni 2021/914_2021/915
Figura – Le SCC adottate con le decisioni della Commissione UE 2021/914 e 2021/915.

Clausole contrattuali tipo

Le clausole contrattuali tipo o standard, meglio note mediante l’uso dell’acronimo inglese “SCC”, sono modelli contrattuali tipo adottati dalla Commissione europea, da applicarsi nei rapporti tra titolari e responsabili del trattamento per conformarsi alle prescrizioni del GDPR. Il regolamento generale conferisce potere alla Commissione di adottare SSC in due specifiche circostanze:

  1. Per contrattualizzare i rapporti sulla protezione dei dati personali tra titolari e rispettivi responsabili del trattamento, per rispondere alle prescrizioni dell’articolo 28, paragrafi 3 e 4 e secondo il potere riconosciuto alla Commissione dal paragrafo 7 del medesimo articolo;
  2. Quale misura di garanzia per legittimare i flussi esteri di dati verso paesi privi di un regime di protezione dei dati personali sostanzialmente equivalente a quello dell’Unione, in adempimento di quanto previsto dall’articolo 46(2)(c) del GDPR.

L’articolo 97 del GDPR prevede che lo stesso sia oggetto di un’analisi ogni quattro anni, riguardo alla sua applicazione pratica da parte della Commissione; la prima valutazione si è avuta nel 2020, alla prossima tornata, prevista nel 2024, l’analisi includerà anche l’applicazione di queste SCC.

Concetto di trasferimento estero di dati personali

Le linee guida EDPB 05/2021 hanno indicato alcuni criteri identificativi del trasferimento estero di dati personali; al riguardo, possono farsi i seguenti esempi tratti dalle stesse linee guida:

Trasferimenti esteri_CapoV_GDPR
Figura – Esempi di trasferimenti e relativa applicabilità della disciplina del Capo V GDPR.
  1. un titolare o responsabile che è stabilito nella UE (A), effettua un trattamento di dati personali fuori dalla UE e trasferisce i dati ad un proprio responsabile (B) che si trova in un paese terzo: al trasferimento di dati tra (A) e (B) si applica il capo V del GDPR
  2. una società stabilita in un paese terzo (A), titolare del trattamento, cui si applica il GDPR ai sensi dell’art. 3.2, trasferisce i dati a due aziende (B) e (C) che effettuano operazioni di trattamento per suo conto, come responsabili del trattamento; (B) è stabilita nello stesso paese terzo di (A) e (C) è stabilita in altro paese terzo: per i trasferimenti tra (A) e (B) e tra (A) e (C) trova applicazione il capo V del GDPR
  3. un titolare stabilito in un paese terzo (A), effettua un trattamento cui si applica il GDPR in base all’art. 3.2 e rende disponibili i dati di questo, mediante accesso ai propri server, a un proprio responsabile (B) che si trova nella UE: il flusso di dati tra (A) e (B) e tra (B) e (A) è soggetto al capo V del GDPR
  4. un titolare stabilito in un paese terzo (A) effettua un trattamento di dati personali NON soggetto al GDPR, trasmette tali dati a un’azienda che agisce come suo responsabile (B) situato nella UE: il flusso di ritorno dei dati da (B) a (A) è disciplinato dal capo V del GDPR
  5. il dipendente autorizzato al trattamento (A) di un titolare di un trattamento soggetto al GDPR (B), mentre è in trasferta in un paese terzo, si collega ai sistemi aziendali mediante il suo pc ed effettua operazioni in merito a quel trattamento: al flusso di dati tra (A) e (B) non si applica il capo V del GDPR perchè lo stesso non avviene tra titolari e responsabili.

Parti delle SCC

Le SCC che disciplinano i trattamenti tra il titolare e il suo responsabile hanno come parti contrattuali titolari e responsabili stabiliti nello spazio SEE, pertanto, entrambi soggetti al GDPR.

Diversamente, le SCC del 2021 sui flussi esteri di dati prevedono come parti contrattuali titolari e responsabili (esportatori di dati) che sono soggetti al GDPR e titolari e responsabili (importatori di dati) ai quali non si applica il GDPR. In particolare, le casistiche di trasferimento dati ipotizzabili sono le seguenti:

  1. Da titolare (esportatore di dati) soggetto al GDPR a titolare (importatore di dati) non soggetto al GDPR(Modulo 1)
  2. Da titolare (esportatore di dati) soggetto al GDPR a responsabile del trattamento (importatore di dati) al quale non si applica il GDPR (Modulo 2)
  3. Da responsabile del trattamento (esportatore di dati) soggetto al GDPR a sub-responsabile (importatore di dati) non soggetto al GDPR (Modulo 3)
  4. Da responsabile del trattamento (esportatore di dati) al proprio titolare (importatore di dati) cui non si applica il GDPR (Modulo 4).
Figura – Ambito applicativo delle SCC oggetto della Decisione della Commissione 2021/914.

Continua…

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione Giuridica.

Sei già abbonato?