I pareri delle autorità garanti europee EDPB ed EDPS hanno fatto emergere diverse lacune sul lavoro svolto dalla Commissione Europea in merito alla propria bozza sulle clausole contrattuali standard: le mancanze evidenziate possono essere sintetizzate in una certa genericità della Commissione nel prevedere delle disposizioni, talvolta ambigue e in alcuni casi dirette solo a una delle parti contraenti nonostante il GDPR disponga diversamente.
L’occasione di avere un modello di riferimento, per la autorità, dovrebbe proprio costituire un valore aggiunto per l’accountability, tanto più replichi norme di legge e resti sulle generali, tanto meno sarà utile.
Sebbene tale opinione possa essere disattesa in tutto o in parte dalla Commissione, il contributo offerto dall’EDPB e dall’EDPS fornisce una visione più precisa e cogente di quanto i contratti tra titolari e responsabili debbano essere puntuali nel predeterminare i profili del rapporto – anche a prescindere dal modello SCC in parola, con ragionamenti utili per qualsivoglia contratto mirato a tale scopo.
La bozza è attualmente sottoposta a consultazione. Attendiamo la versione definitiva delle SCC proposte per fare un bilancio complessivo e comprendere quanto tale modello potrà costituire un effettivo benchmark operativo.
Indice degli argomenti
Le considerazioni generali di EDPB e EDPS
Il tema è noto: l’art. 28 del GDPR prevede che il trattamento di dati personali da parte di un responsabile, per conto del titolare, venga regolato da un contratto (o altro atto giuridico) ai sensi del diritto dell’Unione o degli Stati membri. Lo stesso articolo prevede che la Commissione UE possa stabilire clausole contrattuali standard (SCC), presentate per la prima volta dalla Commissione nel novembre scorso.
In generale, l’EDPB e l’EDPS accolgono con favore l’adozione di clausole contrattuali standard quale strumento che può facilitare la conformità da parte dei titolari e responsabili verso i loro obblighi normativi. L’opinione in parola comprende un articolato generale che esplicita i commenti dei due organi, oltre a un allegato contenente le note al testo apportate sul testo della bozza di SCC.
Entrambe le autorità sono concordi sul fatto che le clausole, quando si sostanziano in una mera riproduzione del contenuto dei commi 3 e 4 dell’art. 28 GDPR, siano di per sé insufficienti a costituire delle clausole contrattuali standard, peccando di genericità. Un contratto ai sensi dell’art. 28 del GDPR deve altresì chiarire come, nella pratica, le disposizioni verranno applicate e soddisfatte dalle parti contraenti.
Relativamente all’articolo 2 della bozza[1], l’EDPB e l’EDPS sono del parere che l’attuale formulazione di questo articolo sia fonte di incertezza, circa le situazioni in cui titolare e responsabile potranno fare affidamento alle predette SCC.
Non si fornirebbe sufficiente chiarezza sull’ambito di operatività: l’intenzione della Commissione sarebbe l’applicazione di queste SCC solo ai rapporti intra-UE e non dovrebbero essere invocate in caso di trasferimento dati ai sensi del Capo V del GDPR – ovvero nel caso di trasferimenti extra-UE.
In questi diversi casi, per la Commissione le parti dovrebbero piuttosto fare affidamento sulle diverse SCC dedicate proprio al trasferimento internazionale dei dati, anch’esse attualmente in consultazione pubblica.
Ebbene, per le autorità, invece, non si vede alcuna ragione per cui un titolare (o responsabile), nel momento in cui si trovi in uno dei cosiddetti Paesi extra-UE considerati “adeguati” circa il rispetto della tutela dei dati personali, non possa applicare le SCC qui sotto esame.
Le osservazioni sulle singole clausole contrattuali standard
Le varie SCC, infatti, si possono ben sovrapporre e non escludere mutualmente. Sul contenuto della clausola 1(a), sappiamo che lo scopo delle SCC è garantire la conformità dell’accordo titolare-responsabile rispetto a quanto previsto dal GDPR e dal Regolamento (UE) 2018/1725 (sorta di GDPR per le istituzioni comunitarie, da qui il coinvolgimento dell’EDPS che le sorveglia).
Sul punto, l’Opinion suggerisce che il titolare e il responsabile al momento dell’adozione delle clausole debbano avere la possibilità di selezionare le clausole pertinenti all’uno o all’altro regolamento, in relazione alla specifica situazione a loro applicabile.
In tal guisa, coloro i quali utilizzeranno le SCC relative all’art.28 GDPR eviteranno di utilizzare quelle previste dal Regolamento (UE) 2018/1725 e viceversa. Ciò potrebbe contribuire a una maggiore chiarezza nei rapporti tra le parti.
Rispetto a quanto previsto dalle clausole 1(b) e 1(c) (e in conformità con la docking clause prevista al punto 5, su cui vedi oltre), l’EDPB e l’EDPS osservano che nel caso in cui le SCC vengano applicate da una pluralità di parti contraenti, le SCC e i relativi Allegato I – [Le parti] e Allegato II – [Descrizione delle attività di trattamento] debbano prevedere nel dettaglio quali attività di trattamento risultano assegnate a ciascuna parte, in modo tale da evitare incertezze e confusione.
L’attuale formulazione di queste clausole delle SCC e degli allegati possono creare confusione circa la qualifica e il ruolo di ciascuna parte rispetto a una data operazione di trattamento, soprattutto considerata la possibilità di inserire la summenzionata docking clause.
La bozza della clausola 2 [Invariabilità delle clausole] prevede che le parti si impegnino a non modificare le SCC con altre clausole che possano contraddire, direttamente o indirettamente le SCC o prevedano disposizioni che possano mettere a rischio i diritti e le libertà degli interessati.
Per fornire a titolari e responsabili maggiore certezza, l’EDPB e l’EDPS suggeriscono di fornire chiarimenti sul tipo di clausole che, a parere della Commissione UE, potrebbero essere in contraddizione diretta o indiretta con le SCC.
Si potrebbe, ad esempio, indicare quali clausole che contraddicono gli SCC quelle che influiscono negativamente sugli obblighi contenuti nelle stesse SCC, oppure quelle che impediscono il rispetto degli obblighi previsti dal GDPR e dalla normativa applicabile.
Più nel concreto, potrebbero rientrare in tale insieme tutte quelle clausole che consentono al responsabile di utilizzare i dati per propri scopi, contrariamente all’obbligo di trattare i dati personali solo per conto del titolare del trattamento e per le finalità e con i mezzi da questi individuati.
La “docking clause” e la clausola 5 (a)
La docking clause – prevista con la opzionale clausola 5 – consente, a qualsiasi entità, di accedere alle SCC già stipulate, diventando una nuova parte contrattuale, in qualità di titolare o responsabile del trattamento.
Come già accennato in precedenza, la qualifica e il ruolo di tale nuova parte nel contratto dovrebbe essere chiaramente specificata nell’Allegato I, le parti dovrebbero approfondire e delimitare la ripartizione delle responsabilità nonché indicare chiaramente quale trattamento sia effettuato da un determinato responsabile, per conto di quale titolare, per quali scopi.
La clausola 5 (a) subordina l’adesione di nuovi soggetti alle SCC solo previa approvazione unanime di tutte le altre parti già contraenti.
Per agevolare questo processo, potenzialmente molto macchinoso, l’EDPB e l’EDPS apprezzerebbero dei chiarimenti sul modo in cui tale approvazione potrebbe essere fornita dalle altre parti (per iscritto o meno, con quali termini, se vi siano condizioni preventive da rispettare, ecc.).
La clausola 7 e gli obblighi delle parti
Quanto alla clausola 7 [Obblighi delle parti], l’EDPB e l’EDPS fanno notare che sebbene il titolo di questa clausola pare riferirsi agli obblighi sia del titolare che del responsabile del trattamento, nella sua forma attuale essa fa riferimento esclusivamente agli obblighi imposti al responsabile del trattamento, scollandosi di fatto dal dettato dell’art. 28 c. 3 GDPR ove si specifica che l’accordo tra titolare e responsabile debba prevedere diritti e obblighi per entrambe le parti.
Un possibile rimedio potrebbe essere dato dall’integrazione della clausola 7(a) con quanto segue: “Il titolare del trattamento ha il diritto e l’obbligo di prendere decisioni in merito alle finalità e ai mezzi del trattamento dei dati personali ed è responsabile nel garantire che il trattamento dei dati personali avvenga nel rispetto del GDPR e delle disposizioni applicabili in materia di protezione dei dati previste dall’Unione Europea e dagli Stati membri nonché delle presenti clausole (inclusa la garanzia che il trattamento dei dati personali posto in essere dal responsabile del trattamento è basato su una base giuridica ai sensi dell’articolo 6 GDPR o all’articolo 5 del Regolamento (UE) 2018/1725)”[2].
Per quanto riguarda il caso di istruzioni illecite impartite dal titolare del trattamento, le autorità ritengono che il contratto tra titolare e responsabile debba includere alcune informazioni più precise sulle conseguenze e sulle soluzioni previste nel caso in cui il responsabile informi il titolare che – a suo avviso – le istruzioni impartite siano in violazione del GDPR e delle normative in materia.
La Commissione dovrebbe quindi invitare le parti a includere ulteriori dettagli sulle conseguenze di tale notifica (ad esempio, una clausola sulla possibilità per il responsabile del trattamento di sospendere il trattamento dei dati fino a quando il titolare non confermi, modifichi o ritiri le istruzioni ritenute illecite).
Quanto alla clausola 7.3 relativa alla sicurezza del trattamento, le autorità fanno notare che tutti gli obblighi ricadono sul responsabile del trattamento, senza specificare il ruolo del titolare per quanto riguarda la valutazione del rischio – la quale deve essere eseguita proprio dal titolare, in considerazione delle finalità del trattamento determinate da quest’ultimo, oltre che delle conseguenti misure di sicurezza.
La clausola 7.3 (a) prevede che il responsabile debba notificare al titolare una violazione dei dati personali (data breach) al più tardi entro 48 ore dall’accaduto (ricordiamo che il titolare, a sua volta, ha 72 ore per compiere la propria notifica al Garante).
Tale termine potrebbe essere ritenuto troppo breve o troppo lungo e in alcuni casi creare confusione. In ossequio a quanto stabilito dall’art. 32 c. 2 GDPR, il suggerimento offerto alla Commissione è di lasciare alle parti il compito di fornire il termine appropriato per soddisfare questo requisito, valutando sempre la situazione specifica (ovviamente nel rispetto del principio secondo cui il data breach vada sempre comunicato “senza ingiustificato ritardo”).
La clausola 7.4 (c) prevede la possibilità per il titolare di condurre degli audit affidandosi a un revisore indipendente, incaricato dal responsabile del trattamento.
Tuttavia, viene osservato che tale disposizione non è prevista dall’articolo 28 c. 3 lett. h) GDPR. Pertanto, sebbene il responsabile del trattamento possa proporre un auditor, la decisione finale deve spettare al titolare del trattamento, come previsto dalla suddetta norma.
La clausola 8 e i diritti degli interessati
Circa il contenuto della clausola 8, le autorità ritengono che il titolo “Diritti degli interessati” non rifletta il contenuto delle succitate disposizioni.
Invero, se le clausole 8 (a) e 8 (b) delle bozze di clausole contrattuali standard fanno effettivamente riferimento all’obbligo di fornire assistenza – da parte del responsabile – circa gli obblighi del titolare quanto al rispondere alle richieste di esercizio dei diritti degli interessati, le clausole 8 (c) e 8 (d) fanno riferimento all’assistenza del responsabile del trattamento riguardo altri tipi di obblighi incombenti al titolare (in particolare ai sensi degli artt. 32-36 GDPR).
L’EDPB e l’EDPS suggeriscono pertanto di modificare il titolo di questa clausola in “Assistenza al titolare del trattamento ” o di suddividere la clausola in due parti, distinguendo tra l’attività di assistenza nei confronti del titolare in relazione agli adempimenti previsti dal GDPR e quella relativa all’assistenza quanto all’esercizio dei diritti degli interessati.
Inoltre, in relazione alla clausola 8 (a) delle SCC, si suggerisce che detta clausola debba specificare che le risposte agli interessati (circa loro richieste ed esercizio dei diritti) devono essere fornite in conformità con le istruzioni impartite dal titolare, oltre al fatto che tale ambito dovrebbe essere descritto e definito chiaramente nell’Allegato VII del modello.
Il tema dell’autorità di controllo viene trattato nelle clausole 8 (c) (1) e 9 (a). In merito si ritiene che nel caso in cui vi siano più titolari come parti del contratto (e quindi diverse autorità di vigilanza possano essere competenti) bisogna prevedere la possibilità di attivare più autorità.
Gli allegati alle clausole contrattuali standard
Infine, relativamente agli Allegati delle clausole contrattuali standard, secondo le autorità gli allegati devono delimitare con assoluta chiarezza i ruoli e le responsabilità di ciascuna delle parti, in ogni rapporto e in relazione a ciascuna attività di trattamento.
Posto che le SCC sono strutturate in modo tale da regolare i rapporti tra molteplici titolari-responsabili, qualsiasi ambiguità renderebbe estremamente difficoltoso (se non impossibile) l’adempimento degli obblighi incombenti sulle parti.
NOTE
- “The standard contractual clauses as set out in the Annex may be used in contracts between a controller and a processor who processes personal data on its behalf, where the controller and the processor are subject to Regulation (EU) 2016/679 or Regulation (EU) 2018/1725”. ↑
- “The data controller has the right and obligation to make decisions about the purposes and means of the processing of personal data and is responsible for ensuring that the processing of personal data takes place in compliance with the applicable EU or Member State data protection provisions and the Clauses (including ensuring that the processing of personal data which the processor is instructed to perform relies on a legal basis pursuant to Article 6 GDPR or Article 5 EUDPR)”. ↑
