Trasferimento dati personali: le nuove clausole contrattuali standard della Commissione europea

Luca Davini
Avvocato in Milano e Torino

Recentemente la Commissione europea è intervenuta in materia di trasferimento dei dati personali all’interno e all’esterno dell’Unione europea, attraverso l’emissione di una serie di clausole contrattuali standard indirizzate a titolari e responsabili del trattamento.

Tali clausole sono state sviluppate dalla Commissione al fine di fornire un concreto aiuto alle imprese e alle altre organizzazioni che si avvalgono di terze parti per eseguire attività di trattamento dei dati per conto loro.

In questo modo, attraverso l’utilizzo di clausole standard, sia i titolari che i responsabili del trattamento dei dati personali disporranno di uno strumento chiaro che permetterà loro di conformarsi ai requisiti imposti dal Regolamento Ue sulla protezione dei dati (n. 679/2016, c.d. GDPR).

A titolo esemplificativo, una delle clausole in esame prevede un meccanismo pratico per consentire ad altri soggetti (sia titolari che incaricati del trattamento) di accedere al regime di trattamento dei dati mediante la compilazione e sottoscrizione dei rispettivi allegati (c.d. “clausola di aggancio”, “docking clause”), semplificando in tal modo il processo di firma per le c.d. elaborazioni multiparte.

Ancora, le clausole in esame richiedono espressamente alle parti di concordare misure tecniche e organizzative specifiche – sulla base di un elenco di 17 esempi fornito dalla Commissione Ue – le quali dovranno necessariamente essere descritte nel dettaglio, non essendo quindi sufficiente una descrizione generica.

Sebbene il GDPR sul punto non sia così rigido – all’art. 28 si richiede solo che il responsabile del trattamento si impegni ad adottare misure idonee a proteggere i dati, senza specificare quali siano tali misure – va considerato che le clausole così formulate sono destinate a porsi quali un futuro standard di riferimento, con la conseguenza che è verosimile che le autorità locali per la protezione dei dati negli Stati membri Ue si adatteranno a tale standard, richiedendo che le imprese preparino tali allegati.

In alternativa, trattandosi ad ogni modo di clausole non obbligatorie, le parti possono optare per l’esclusione di tali clausole e la negoziazione di un contratto contenente esclusivamente i requisiti obbligatori di cui all’articolo 28 GDPR.

Stante un quadro di riferimento piuttosto frammentato e in continua evoluzione, dal punto di vista delle aziende, tutto ciò si traduce nella necessità di dover dimostrare l’effettiva implementazione della data protection non soltanto alla luce del GDPR, ma anche di tutti gli altri possibili cambiamenti, come appunto le recenti clausole introdotte dalla Commissione Ue.

In tutti questi casi, un’attenta e continua revisione risulta essenziale per permettere all’impresa di rimanere “compliant” con la normativa privacy, accompagnando inoltre tale revisione ad un aggiornamento dei meccanismi di trattamento dei dati.

#trattamentodatipersonali #trasferimentodatipersonali #clausolestandard #clausoleintraUe #clausoladiaggancio #dockingclause #CommissioneUe #privacy #GDPR #compliance #complianceGDPR #dataprotection #EDPB #dirittonuovetecnologie #riskmanagement

Condividi su:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

*