Guida IX al Regolamento Privacy 679/2016: Trasferimento dei dati personali verso Paesi terzi e Organizzazioni Internazionali, parte II
Indice
1. Introduzione
2. Le Norme Vincolanti d’Impresa
3. Clausole Contrattuali Standard o Tipo
4. Importatori, esportatori ed eventuali sub-contratti
1. Introduzione
A seguito della prima parte della Guida al Regolamento Privacy sul Trasferimento dei dati personali verso Paesi terzi ed Organizzazioni Internazionali, proseguiamo in questo secondo contributo con l’analisi delle Norme Vincolanti d’Impresa e delle Clausole Contrattuali Standard.
2. Le Norme Vincolanti d’Impresa
Approvate dal WP29 nel WP 107, alle “Norme vincolanti d’impresa”, più comunemente note come Binding Corporate Rules (“BCR”), è dedicato l’intero articolo 47 del Regolamento: possibili fruitori delle BCR sono solamente società facenti parte di gruppi infrasocietari, e le BCR consistono in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti allo stesso gruppo societario (corporate).
Nello specifico, il contenuto di queste clausole consiste nel complesso delle regole tecniche, delle norme, degli strumenti di sicurezza e delle policy aziendali che le società programmano di attuare, adottate dalle società infragruppo per il trasferimento di dati.
Quindi, requisito fondamentale per attingere a tale strumento è l’appartenenza della società “importatrice” ed “esportatrice” (anche se situate in due paesi differenti) al medesimo gruppo societario.
Per poter essere utilizzate è necessario che le BCR siano di volta in volta approvate dall’autorità di controllo competente in materia, conformemente al meccanismo di coerenza ex articolo 63.
La procedura per la definizione del testo delle Clausole è suddiviso in una fase “europea” e in una seconda fase, ove necessaria, detta “nazionale”.
A livello europeo, dato che le società del gruppo possono essere dislocate potenzialmente ovunque, l’autorizzazione al trasferimento transfrontaliero dei dati ha valenza solamente se rilasciata da tutte le Data Protection Authorities competenti negli Stati membri da cui i trasferimenti hanno origine.
Per semplificare questa operazione, che spesso procedeva a rilento, il WP 29 ha elaborato una procedura di cooperazione a livello europeo che consente di assicurare l’approvazione di un testo di BCR condiviso da tutte le Autorità: viene difatti incaricata della procedura una sola Autorità, detta Lead Authority (autorità capofila), la quale, rappresentando tutte le altre, dialoga con la società capogruppo. Il numero di soggetti attivi della negoziazione si assottiglia così di molto.
La capogruppo presenta una bozza alla Lead Authority che, dopo un primo esame, fa pervenire la bozza alle altre autorità per eventuali commenti da riferire alla società, in modo tale da fare confluire le osservazioni nel testo (fase del cd. Final draft).
A questo punto, la bozza finale del documento viene inviata alle Autorità partecipanti alla procedura per darne una valutazione finale in termini di adeguatezza.
Per snellire questo procedimento, di recente alcune Autorità hanno aderito alla c.d. “dichiarazione di Mutuo riconoscimento”: seguendo tale nuovo modello, la Lead Authority, con il supporto di altre due Autorità, dialoga con la società capogruppo al fine di giungere alla redazione di un testo ritenuto conforme ai principi fissati dal WP 29 in materia.
Se la Lead Authority attesta positivamente la conformità del testo ai principi sopra indicati, si riterrà che tale conformità sia riconosciuta anche dalle altre Autorità aderenti al mutuo riconoscimento, quale fondamento sufficiente al rilascio della propria autorizzazione nazionale.
Non si scavalca quindi la necessità di raccolta di approvazione preventiva, ma si è decisamente snellito il processo di approvazione.
A livello nazionale, se i dati trattati non superano i confini nazionali, anche il Garante nazionale può autorizzare il trasferimento: la società italiana invia una specifica richiesta di autorizzazione al trattamento tramite BCR, indicando, altresì, finalità, modalità di trattamento e tipologia di dati e, nel termine di 45 giorni, l’Autorità dovrà fornire risposta alla società richiedente.
3. Clausole Contrattuali Standard o Tipo (da qui in avanti, “Clausole”)
Saranno ancora utilizzabili le “Clausole contrattuali tipo”, altrimenti dette Clausole contrattuali standard, strumenti atti a garantire il trasferimento dei dati verso Paesi sprovvisti di una Decisione che confermi la presenza di un livello adeguato di tutela, create sulla base dell’art. 26 comma 2 della Direttiva 95/46 CE, e approvate dalla Commissione.
Con l’approvazione di tali clausole la Commissione ritiene che, tramite questo meccanismo contrattuale, siano date sufficienti garanzie per la tutela del soggetto interessato, altrimenti detto “terzo beneficiario”; se il soggetto che esegue il trattamento non rispetta i principi prestabiliti, l’interessato può eventualmente agire per l’interruzione del flusso dei dati.
Le Clausole vengono incorporate nel testo del Data Transfer Agreement, il contratto con il quale si predispone il trasferimento dei dati all’estero. Col loro inserimento nel contratto, il titolare del trattamento garantisce che nel Paese di destinazione i dati verranno trattati in modo conforme a quanto stabilito prima dalla direttiva 46/95 ed oggi del Regolamento, cioè nel pieno rispetto delle misure di sicurezza idonee al trattamento.
Le clausole sono utilizzabili sia tra due titolari (uno comunitario, l’“esportatore”, ed un secondo stabilito in un Paese terzo, l’“importatore”), sia tra un titolare ed un soggetto semplicemente incaricato del trattamento.
Finora le decisioni adottate dalla Commissione in materia sono state quattro, e sono elencate sul sito del Garante linkato qui.
4. Importatori, esportatori ed eventuali sub-contratti
All’interno delle Clausole sono illustrati gli obblighi di importatore ed esportatore ed i diritti facenti capo al beneficiario terzo, tra cui la richiesta di esecuzione delle stesse in caso di inadempimento del soggetto importatore o esportatore e l’eventuale risarcimento del danno conseguente.
Come visto sopra, ad oggi la Commissione Europea ha adottato quattro decisioni in materia: nell’ultima, la 2010/87/CE, vengono stabiliti una serie di principi generali ai quali queste Clausole e i contratti che le contengono devono adeguarsi, al fine di consentire un legittimo trasferimento di dati personali all’estero.
Innanzitutto, le Clausole devono prevedere quali misure tecniche ed organizzative di sicurezza l’incaricato del trattamento sarà tenuto ad applicare, affinché il livello di controllo sia commisurato ai rischi del trattamento e, nel contratto, le parti devono prevedere misure necessarie ad evitare la perdita, la distruzione, la diffusione o qualsiasi altra forma di trattamento non autorizzato dei dati personali.
Inoltre, nei Considerando n.16, 17 e 18 e nella clausola 6 è ammessa anche l’ipotesi di eventuali sub-contratti, ossia casi in cui l’importatore conferisce a terzi l’esecuzione parziale o totale degli eventuali obblighi assunti nei confronti dell’esportatore, del quale è in tal caso richiesto previamente il consenso. Lo schema è dunque quello del sub-appalto: il titolare comunitario dovrà fornire specifiche indicazioni all’incaricato e, se quest’ultimo ha eseguito con diligenza le direttive, un’ipotetica azione di risarcimento sarà esperibile solo nei confronti del titolare.
Anche a fronte di un subcontratto, l’importatore resterà comunque solidalmente responsabile nei confronti dell’esportatore e dell’interessato per obblighi eventualmente previsti dall’accordo precedentemente stipulato con l’esportatore.
La clausola 6 della Decisione del 2010 dispone che l’interessato, il quale abbia subito un danno per via del comportamento di uno dei soggetti parte del contratto di Data transfering o del sub incaricato, possa “ottenere dall’esportatore il risarcimento del danno sofferto”: l’esportatore ha quindi un ruolo di solidalmente co-obbligato per il risarcimento degli eventuali trattamenti di dati illeciti compiuti dagli incaricati.
Questa disposizione favorisce la posizione dell’interessato, che non dovrà rivolgere la propria azione risarcitoria ad un soggetto situato fuori dall’Unione europea, con tutte le difficoltà derivanti dal caso.
Proseguendo poi con la Clausola 6, la Decisione analizza anche l’ipotetico caso in cui l’esportatore sia “scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente”: in questa situazione la responsabilità ricadrà sull’importatore (anche per le eventuali violazioni dell’esportatore) nonché, solidalmente, anche quella per gli atti commessi dal sub incaricato. Tutto ciò, però, solo se non vi è stato un trasferimento degli obblighi dell’esportatore al suo successore, per contratto o per legge poiché in tal caso l’interessato potrà far valere i suoi diritti nei confronti di quest’ultimo.
In ultima istanza, al paragrafo 3 della Clausola 6 viene presa in considerazione l’ipotesi in cui non siano aggredibili né l’esportatore né l’importatore: il tal caso, il principio di sussidiarietà agisce nei confronti del sub incaricato per tutti gli atti da lui stesso compiuti e “riconosce all’interessato stesso il diritto di agire nei suoi confronti per quanto riguarda i trattamenti da quello effettuati ai sensi delle presenti clausole così come se egli fosse l’esportatore o l’importatore”.
Ovviamente, tali Clausole costituiscono non solo parte integrante del documento contrattuale ma anche sua condizione di efficacia. Le Clausole possono essere considerate uno strumento essenziale per le attività degli operatori economici, agevolando il trasferimento dei dati personali in mancanza di una decisione di adeguatezza. Eppure, introducendosi in una negoziazione come clausola da porre in un regolamento contrattuale, grava l’importatore di ampie responsabilità e comporta un aumento esponenziale dei costi transattivi.
