Le model contractual clauses come alternative alla decisione di adeguatezza

Tempo di lettura stimato:5 Minuti, 6 Secondi

Nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, è stata pubblicata un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Da allora stiamo sviscerando su questo portale il tema del trasferimento dei dati personali. A inizio luglio ci siamo soffermati sulla nozione di trasferimento (premere qui per leggere), per poi proseguire con i profili del trasferimento nell’ambito del cloud computing (premere qui per leggere), passando per un’indagine sulla nozione generale di adeguatezza (premere qui per leggere), e sui profili pratici del trasferimento dei dati personali basato su una decisione di adeguatezza (premere qui per leggere). Con il presente contributo, invece, ci si soffermerà sulle model contractual clauses come alternative alla decisione di adeguatezza.

Sulla falsa riga della direttiva 95/46/CE, il GDPR ha confermato le clausole tipo, note anche come model contractual clauses o standard contractual clauses, come alternative alla decisione di adeguatezza. Tali clausole possono infatti essere adottate dalla Commissione Europea oppure dall’Autorità Garante e successivamente approvate dalla Commissione. In entrambi i casi, si segue la procedura di esame di cui all’art. 93, paragrafo 2 del GDPR.

In assenza di accordi di adeguatezza, le clausole contrattuali tipo (model contract clauses) sono lo strumento maggiormente utilizzato dalle società commerciali per il trasferimento dei dati personali. Queste clausole sono generalmente incorporate nei contratti che regolano l’esportazione di dati personali, ai quali aderisce il soggetto importatore stabilito al di fuori dell’Unione Europea, assumendo specifiche obbligazioni. Nella prassi, le clausole sono spesso allegate al contratto che disciplina un rapporto commerciale tra un soggetto europeo e uno stabilito fuori dal territorio comunitario.

Le model contractual clauses sono una fonte di integrazione del contratto; gli interessi che tutelano non appartengono alle parti del contratto, ma al soggetto interessato, che è naturalmente terzo rispetto al contratto stipulato tra le parti. Le parti si impegnano a non alterare o non modificare le clausole approvate dalla Commissione. È ammesso invece l’inserimento di altre clausole, purché non siano in contrasto con quelle previste dalla Decisione stessa.

Se si ammette che le clausole siano immodificabili, come appare preferibile, dovrebbe ritenersi che il contratto possa essere stipulato esclusivamente in una delle lingue dell’Unione Europea (lingue nelle quali le standard contract clauses sono disponibili) e che l’eventuale traduzione nella lingua madre dell’importatore, costituendo in ogni caso una variazione rispetto al testo licenziato dalla Commissione, non possa essere la lingua del contratto avente ad oggetto il trasferimento dei dati personali.

Le nuove clausole contrattuali tipo mirano a fornire un modello adeguato alle nuove disposizioni del Regolamento e alla decisione “Schrems II“ della Corte di Giustizia, adottando un approccio flessibile. Questo approccio è realizzato sia tramite la suddivisione delle clausole contrattuali tipo in moduli, sia ampliando il numero delle parti che possono aderire al contratto e utilizzare le stesse clausole. In particolare, riguardo alla conclusione del Privacy Shield, la Commissione ha introdotto una “toolbox” che permette di conformarsi alla sentenza Schrems II. Questo strumento offre una panoramica delle diverse misure che le imprese devono adottare per soddisfare i requisiti della sentenza Schrems II, includendo numerosi esempi di possibili “misure supplementari”, come ad esempio la cifratura dei dati.

Le nuove clausole prevedono obblighi di indennizzo in caso di danni derivanti dalla violazione delle clausole o comunque da violazioni dei dati personali esportati. Inoltre, impongono al soggetto che effettua il trasferimento dei dati di rispettare le decisioni provenienti dalla giurisdizione dello stato membro di origine dei dati e di verificare che le leggi del paese terzo non interferiscano con il rispetto delle clausole.

Prima dell’entrata in vigore del GDPR, la Commissione Europea ha adottato quattro decisioni relative alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi:

1. Decisione della Commissione del 5 febbraio 2010, n. 2010/87/UE: clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento in paesi terzi, direttiva 95/46/CE.

2. Decisione della Commissione del 27 dicembre 2004, n. 2004/915/CE: introduzione di un insieme alternativo di clausole contrattuali tipo per il trasferimento di dati personali a paesi terzi.

3. Decisione della Commissione del 27 dicembre 2001, n. 2002/16/CE: clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento residenti in paesi terzi, direttiva 95/46/CE.

4. Decisione della Commissione del 5 giugno 2001: clausole contrattuali tipo per il trasferimento di dati a carattere personale verso paesi terzi a norma della direttiva 95/46/CE.

Dopo l’entrata in vigore del GDOR, e più precisamente in data 4 giugno 2021, la Commissione Europea ha adottato due decisioni di esecuzione riguardanti le nuove clausole contrattuali tipo. La prima decisione riguarda il trasferimento di dati personali verso Paesi terzi (Decisione 4 giugno 2021, n. 2021/914/UE), mentre la seconda concerne i rapporti tra titolari e responsabili del trattamento, conformemente all’articolo 28, paragrafo 7, del GDPR (Decisione 4 giugno 2021, n. 2021/915/UE).

Per approfondire:

- BIGNAMI-RESTA, Transatlantic Privacy Regulation: Conflict and Cooperation, in 78 Law & Cont. Probl., 101 (2015); 

- BOLOGNINI-PELINO-BISTOLFI, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016; 

- MANTELERO, L’ECJ invalida l’accordo per il trasferimento dei dati personali fra EU ed USA. Quali scenari per i cittadini ed imprese?, in Contr. e impresa/Europa, 2015, 719; 

- MENEGHETTI, L’adeguatezza dei trasferimenti di dati personali negli USA, anche alla luce del nuovo Regolamento privacy Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali (artt. 44-50), in FINOCCHIARO, Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna-Roma, 2017; 

- PIRODDI, I trasferimenti di dati personali verso Paesi terzi dopo la sentenza Schrems e nel nuovo regolamento generale sulla protezione dei dati, in Dinf, 2015, 827; 

- RESTA-ZENO-ZENCOVICH (a cura di), La protezione transnazionale dei dati personali. Dai "safe harbour principles" al "privacy shield", Roma, 2016; 

- RICCIO, Model Contractual Clauses e Corporate Binding Rules: valide alternative al Safe Harbor Agreement?, in Dinf, 2015, 867; 

- SICA-D’ANTONIO-RICCIO, La nuova disciplina europea della privacy, Padova 2016; 

- SWIRE, US Surveillance Law, Safe Harbor, and Reforms Since 2013, Georgia Tech Scheller College of Business Research Paper, No. #36, 2015.

Bio
Ultimi Post

Nicola Nappi

⚖️ Diritto commerciale, assicurativo, bancario, delle esecuzioni, di famiglia. Diritti reali, di proprietà, delle locazioni e del condominio. IT Law. a Studio Legale Nappi

*Giurista, Master Universitario di II° livello in Informatica Giuridica, nuove tecnologie e diritto dell'informatica, Master Universitario di I° livello in Diritto delle Nuove Tecnologie ed Informatica Giuridica, Corso di Specializzazione Universitario in Regulatory Compliance, Corso di Specializzazione Universitario in European Business Law, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Le procedure di investigazione e di rimozione dei contenuti digitali, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Intelligenza Artificiale, attacchi, crimini informatici, investigazioni e aspetti etico-sociali, Master Data Protection Officer, Consulente esperto qualificato nell’ambito del trattamento dei dati.

Ultimi post di Nicola Nappi (vedi tutti)

Analisi giuridica e peculiarità del reato di frode informatica - Dicembre 16, 2024
Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Per approfondire:

Nicola Nappi

Ultimi post di Nicola Nappi (vedi tutti)

Correlati