Clausole contrattuali standard e Responsabili esterni del trattamento: la Commissione europea pubblica il proprio modello
Sono disponibili i modelli di nomina predisposti dalla Commissione europea. Vediamo come si sono pronunciati i Garanti europei.
Le conseguenze della sentenza Schrems II continuano a propagarsi. Oggi parliamo della nomina dei responsabili esterni del trattamento.
La Commissione europea non è intervenuta soltanto in materia di trasferimento dei dati personali all’esterno dell’Unione Europea. L’Autorità ha messo a disposizione anche il proprio modello di nomina a responsabile esterno del trattamento, secondo quanto previsto dall’art. 28 GDPR.
Partiamo dal dato normativo.
L’art. 28 GDPR, al secondo comma, dispone che: “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.
Il rapporto tra il Titolare del trattamento e il Responsabile del trattamento deve, pertanto, essere regolamentato con uno specifico contratto con un preciso contenuto minimo previsto dal GDPR.
Sino ad oggi è stata lasciata ampia discrezionalità ai titolari del trattamento in merito al modello documentale da adottare. Gli unici aspetti su cui si sono soffermati i Garanti europei sono i contenuti minimi dell’accordo.
I documenti utilizzati dalle aziende sono i più disparati ed eterogenei: si va dalla semplice nomina con alcune puntuali indicazioni, a corposi articolati di decine di pagine.
La tendenza che abbiamo riscontrato maggiormente è la redazione di un documento standard per i fornitori con allegati adattabili, caso per caso.
La Commissione Europea è intervenuta lo scorso novembre pubblicando i modelli di clausole contrattuali standard per i trasferimenti extra UE di dati personali. Il modello documentale era datato al 2001. È stato predisposto anche un modello standard di nomina del responsabile esterno del trattamento.
L’intervento è stato necessario a causa dell’impatto della sentenza Shrems II nel panorama dei trasferimenti extra UE di dati personali: con la perdita dell’efficacia del c.d. “Privacy Shield” c’è stata la corsa all’utilizzo delle clausole contrattuali standard per i trasferimenti di dati negli Stati Uniti.
L’EDPB (European Data Protection Board) e l’EDPS (European Data Protection Supervisor) hanno espresso il proprio parere sui documenti pubblicati.
Con comunicato stampa del 15 gennaio 2021, le due Autorità hanno evidenziato l’importanza di adottare un nuovo strumento di trasferimento di dati tra titolare e responsabile ai sensi dell’art. 28 GDPR, esortando pertanto il lavoro svolto dalla Commissione, in quanto ciò permetterà di avere una maggior trasparenza ed efficienza per la conformità degli operatori del mercato al Regolamento Europeo nei trasferimenti di dati personali all’interno dell’Unione Europea.
Concretamente l’utilizzo del modello documentale all’interno di tutto il territorio dell’Unione Europea porterà sicuramente uniformità trai i vari operatori economici coinvolti nelle attività di trattamento. Vi ricordiamo che si tratta di modelli non obbligatori: standard provenienti da una fonte autorevole di matrice europea.
Le clausole, decorso il periodo di pubblicazione, entreranno ufficialmente in vigore nel 2022.