I modelli di clausole contrattuali tipo per i flussi transfrontalieri di dati personali

La protezione “vola” con i dati personali quando escono dalla giurisdizione degli Stati Parte della Convenzione 108+

Uno degli obiettivi principali della Convenzione 108+ del Consiglio d'Europa è facilitare il libero flusso di informazioni tra le gli Stati Parte della Convenzione e dagli Stati Parte a quelli non Parte, garantendo allo stesso tempo che la protezione “voli” con i dati personali quando escono dalla giurisdizione delle Parti. Le ragioni principali di tali esigenze sono esposte nel Preambolo della Convenzione stessa: “(…) è necessario garantire la dignità umana e la protezione dei diritti umani e delle libertà fondamentali di ogni individuo e, data la diversificazione, intensificazione e globalizzazione del trattamento dei dati e flussi di dati personali, autonomia personale basata sul diritto dell'interessato al controllo dei propri dati personali e al trattamento di tali dati”. Partendo da tali premesse, il Comitato della Convenzione 108 (T-PD) del Consiglio d'Europa, nel corso della sua 44a riunione plenaria tenutasi a Strasburgo dal 14 al 16 giugno 2023, ha adottato il primo modello di clausole contrattuali tipo per i flussi transfrontalieri di dati personali sviluppato sulla base della Convenzione 108+, per i flussi di dati da titolare a titolare del trattamento. Si tratta di un documento molto importante per la vocazione globale della Convenzione 108+ perché rappresenta un modello di clausole contrattuali di cui i titolari del trattamento potranno avvalersi, in base all'art. 14. 2.b della Convenzione 108+, per garantire un livello appropriato di protezione nei trasferimenti di dati personali verso Paesi che non sono parti della Convenzione. Significativo il plauso del Garante europeo per la protezione dei dati e della Commissione europea, segno che il testo appare coerente con i principi europei in materia di trasferimenti di dati.

Il quadro normativo europeo per i flussi transfrontalieri di dati personali

In proposito, giova richiamare che a livello nazionale ed europeo i trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un'organizzazione internazionale sono consentiti a condizione che l'adeguatezza del Paese terzo o dell'organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 GDPR). In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 GDPR). Al riguardo, tra le garanzie che possono essere considerate adeguate per trasferire dati senza autorizzazione da parte del Garante, si evidenziano le clausole tipo (art. 46, par. 2, lett. c e d) e le clausole contrattuali ad hoc (art. 46, par. 3, lett. a). La Commissione europea o l'autorità di controllo competente previa approvazione della Commissione può stabilire che determinati strumenti contrattuali consentono di trasferire dati personali verso Paesi terzi o organizzazioni internazionali (art. 46, par. 2, lett. c) e d). In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l'esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nel Regolamento anche nel Paese terzo o all'interno dell'organizzazione di destinazione. È importante sottolineare che le clausole tipo di protezione dati non ammettono emendamenti e devono essere sottoscritte dalle parti. Tuttavia, esse possono essere incorporate in un contratto più generale e vi si possono aggiungere clausole ulteriori purché non in conflitto, direttamente o indirettamente, con le clausole tipo così adottate (v. Considerando 109).

“Il 4 giugno 2021, la Commissione europea, con decisione n. 2021/914/UE, ha stabilito che le clausole tipo allegate alla decisione rappresentano garanzie adeguate, ai sensi dell'articolo 46, par. 1, e par. 2, lett. c), del Regolamento (UE) 2016/679, ai fini del trasferimento di dati da un titolare o un responsabile del trattamento soggetto al Regolamento UE 2016/679 (esportatore) a un titolare o un (sub-)responsabile del trattamento rispetto al quale non trova applicazione il predetto Regolamento (importatore). La Commissione - che ha contestualmente abrogato, a far data dal 27 settembre 2021, le precedenti decisioni in materia (cfr. decisione 2001/497/CE del 15 giugno 2001 e decisione 2010/87/UE del 5 febbraio 2010) - ha comunque previsto che per quanto concerne i contratti conclusi prima di tale data, essi rimangono validi fino al 27 dicembre 2022, purché i trattamenti ivi indicati restino invariati e il ricorso a tali clausole garantisca che il trasferimento di dati personali sia soggetto a garanzie adeguate”.

Il primo modello di clausole contrattuali tipo per i flussi transfrontalieri di dati personali verso Paesi terzi (art. 14.2.b Convenzione 108+), da titolare a titolare del trattamento

Nel pieno rispetto e nella profonda considerazione dei richiamati principi europei in materia di trasferimenti di dati, il Comitato T-PD del Consiglio d'Europa ha elaborato il primo modello di clausole contrattuali tipo per i flussi transfrontalieri di dati personali sviluppato sulla base della Convenzione 108+, per i flussi di dati da titolare a titolare del trattamento. Queste clausole tanto attese hanno il potenziale per collegare strumenti di trasferimento simili (come quelli esistenti negli Stati membri dell'UE, in America Latina, per i paesi Asean e quelli nazionali, ecc.) e per contribuire alla convergenza verso un'adeguata protezione dei dati standard a livello globale. Il Consiglio d'Europa raccomanda di utilizzare le clausole così come adottate, essendo le stesse pronte per la pre-approvazione da parte delle autorità nazionali competenti per essere recepite nell'insieme di strumenti di trasferimento e meccanismi per i responsabili del trattamento dei dati disponibili a livello nazionale e regionale.

Per essere pienamente efficaci, tali clausole dovranno essere integrate con un secondo modello di clausole che sarà presto adottato dal Consiglio d'Europa, ossia quello relativo ai flussi di dati tra titolare e responsabile del trattamento.

Il secondo modello (in progress) di clausole contrattuali per il trasferimento di dati personali verso Paesi terzi (art. 14.3.b Convenzione 108+), tra titolare e responsabile del trattamento

E proprio in considerazione del successo del primo modello, il Comitato T-PD sta attualmente discutendo su un secondo modello di clausole contrattuali per il trasferimento di dati personali verso Paesi terzi (ai sensi dell'art. 14, par. 3, lett. b) Convenzione 108+) stavolta tra titolare e responsabile del trattamento. La bozza preliminare di documento è stata elaborata adattando le descritte clausole contrattuali tra titolare (di uno Stato Parte) e titolare (di un Paese terzo) adottate lo scorso giugno. Sono state apportate alcune modifiche al testo soprattutto alla luce delle osservazioni della Commissione europea volte ad assicurare la coerenza del documento con le omologhe clausole contrattuali vigenti nell'Unione europea. Il testo sarà probabilmente finalizzato nel corso della prossima Plenaria del Comitato T-PD di novembre 2023. Dalla bozza di documento emerge che con il secondo modello di clausole vengono stabilite garanzie adeguate, inclusi obblighi per gli esportatori di dati e responsabili del trattamento, diritti degli interessati e mezzi di ricorso effettivi, ai sensi degli artt. 14(2) e 14(3)(b) della Convenzione 108+, purché non siano modificati, salvo per aggiungere o aggiornare informazioni contenute negli allegati o scegliere un'opzione laddove prevista dalla specifica clausola. Ciò non impedisce alle Parti di inserire tali clausole in un contratto più ampio e/o di integrarle in altre clausole o garanzie aggiuntive, purché non contraddicano, direttamente o indirettamente, le clausole stesse, o la legge applicabile, o pregiudichino i diritti umani e le libertà fondamentali degli interessati riconosciuti dalla Convenzione 108+.

Tra gli altri aspetti su cui il T-PD sta discutendo, si segnalano quelli relativi alla trasparenza e all'accuratezza dei dati. Dalla bozza emerge che al fine di consentire agli interessati di esercitare effettivamente i propri diritti ai sensi delle clausole in questione, l'importatore di dati dovrà informarli in modo proattivo, a titolo gratuito, direttamente o tramite l'esportatore di dati, in relazione a tutte le informazioni relative alla sua identità e dettagli di contatto, allo scopo e base giuridica del trattamento, alle categorie di dati personali trattati, ai destinatari e modalità per esercitare i diritti previsti dalle clausole stesse, nonché qualsiasi informazione aggiuntiva necessaria al fine di garantire la giusta trasparenza e accuratezza. In proposito, se l'importatore di dati si rende conto che i dati personali ricevuti non sono accurati o sono diventati obsoleti, informerà l'esportatore di dati senza ritardo. In questo caso, l'importatore di dati collaborerà con l'esportatore di dati per cancellare o rettificare i dati. Altro aspetto interessante è quello relativo alle misure di sicurezza. Dai lavori in corso, viene confermato che l'importatore dei dati e, durante la trasmissione, anche l'esportatore dei dati adottano misure di sicurezza adeguate, sia di natura tecnica che organizzativa, per ciascun trattamento, in particolare per proteggere dal rischio di violazione dei dati. Nell'adottare tali misure, essi terranno conto, in particolare, della natura del trattamento, della natura e del volume dei dati personali trattati, del grado di vulnerabilità dei mezzi tecnici utilizzati per il trattamento, dello stato dell'arte e del costo di implementazione. Viene altresì ribadito che le misure di sicurezza dovrebbero essere commisurate alla gravità e alla probabilità dei rischi potenziali.

Inoltre, come per il primo modello di clausole, si evidenzia che ciascuna Parte sarà responsabile nei confronti dell'altra/e per eventuali danni arrecati all'altra/e Parte/i a causa di qualsiasi violazione delle clausole in discussione.

In conclusione

Il Consiglio d'Europa tiene a sottolineare come la pratica dimostri che l'uso di clausole contrattuali è considerato un modo pratico da caldeggiare per il trasferimento di dati oltre frontiera e su cui fa affidamento la maggior parte degli esportatori e importatori di dati nel settore privato in un contesto di costante flusso transfrontaliero di informazioni personali. I trasferimenti internazionali di dati rappresentano meccanismi di condivisione delle informazioni di vitale importanza per le economie e le società globali, tutte impegnate, sebbene con diversi approcci, nella valutazione e costruzione di strategie sui flussi di dati transfrontalieri in grado di favorire l'economia, l'innovazione e allo stesso tempo la protezione e la libera – o quantomeno agevole – circolazione delle informazioni. A livello OCSE è stato di recente analizzato come sia fondamentale un accordo internazionale per i flussi transfrontalieri di dati. Il rapporto pubblicato in data 12 ottobre 2022 dall'OCSE sul tema “Cross-border Data Flows: Taking Stock of Key Policies and Initiatives” (Flussi di dati transfrontalieri: Bilancio delle principali politiche e iniziative) mette in luce come sia necessaria una cooperazione globale. La parola che più appare presente nel rapporto OCSE è “fiducia”; infatti, le persone possono essere riluttanti a collaborare con società in cui percepiscono un deficit di fiducia e, a loro volta, le aziende possono faticare a raccogliere i benefici del mercato digitale se non possono operare con fiducia a livello globale. La nozione di fiducia gioca anche un ruolo nel modo in cui i governi e gli individui interagiscono con altri governi, consentendo una cooperazione normativa transfrontaliera basata sulla fiducia. Nelle more di un vero e proprio accordo internazionale solido come una casa di mattoni, continueremo a proteggere i trasferimenti di dati personali con strumenti che possano comunque raggiungere una sorta di consenso e fiducia globale e una profonda visione comune tra Paesi. In tale contesto, i modelli di clausole sviluppati da Consiglio d'Europa si prestano a diventare un prezioso strumento internazionale cui far riferimento costante per i prossimi anni.