LE NUOVE CLAUSOLE CONTRATTUALI STANDARD
Il 4 giugno 2021 la Commissione UE ha approvato le clausole contrattuali standard dei contratti in outsourcing di trattamenti, e le attese clausole contrattuali standard per il trasferimento di dati verso paesi terzi, riformulate a seguito della pronuncia del 16 luglio 2020 della Corte di giustizia UE che ha annullato il Privacy Shield, prescrivendo accortezze aggiuntive in caso di trasferimento dati extra UE.
I FORNITORI: TITOLARI AUTONOMI O RESPONSABILI DEL TRATTAMENTO?
Le aziende, ogni qualvolta emerga la necessità di esternalizzare un servizio, si rivolgono a fornitori esterni a cui appaltano il servizio necessario.
In via preliminare, il titolare del trattamento deve comprendere la natura del servizio svolto dal fornitore cui intende avvalersi. In particolare, dovrà valutare se occorra nominare il fornitore esterno responsabile del trattamento o titolare autonomo. Nel primo caso il fornitore agisce per conto del committente, avvalendosi della propria organizzazione, mentre nel secondo caso egli determina autonomamente mezzi e modalità del trattamento dati.
Nell’ipotesi in cui tale soggetto agisca per conto del titolare, per altro la più frequente nella pratica, quest’ultimo, in ossequio all’art. 28 del GDPR, prima di affidare il trattamento dei dati ai fini del servizio prestato, ha il dovere di nominare il fornitore quale responsabile del trattamento dei dati personali, attraverso la predisposizione di un contratto.
L’accordo deve necessariamente contenere gli obblighi cui il responsabile del trattamento è tenuto, ed attestare che siano state predisposte idonee misure di sicurezza nel trattamento dati in linea con l’art. 32 GDPR.
I POTERI ISPETTIVI DEL TITOLARE DEL TRATTAMENTO
Uno dei punti fondamentali delle clausole contrattuali approvate dalla Commissione UE, regolanti il rapporto tra titolare e responsabile, è la previsione, in capo al titolare del trattamento, di poteri ispettivi.
Il titolare, a seguito di congruo preavviso, può ispezionare, anche con sopralluogo in loco, il responsabile, al fine di verificare la corretta predisposizione di adeguati strumenti di garanzia nel trattamento dei dati personali, idonei alla tutela dei diritti dell’interessato.
Il responsabile sarà tenuto in particolare a dimostrare di:
- Aver adempiuto agli obblighi derivanti dal GDPR, come la predisposizione del registro dei trattamenti del responsabile;
- Attenersi alle istruzioni tecniche-organizzative impartite dal titolare, nel trattamento dei dati personali;
- Individuare e nominare per iscritto le persone autorizzate al trattamento;
- Aver predisposto idonea procedura in caso di esercizio, da parte dell’interessato, dei diritti previsti dal regolamento UE.
CLAUSOLE CONTRATTUALI STANDARD PER IL TRASFERIMENTO DI DATI EXTRA UE: 18 MESI PER ADEGUARSI
Il 4 giugno sono state approvate altresì le attese clausole contrattuali standard per il trasferimento dei dati verso paesi terzi. In mancanza di una pronuncia di adeguatezza, tali clausole divengono essenziali ai fini del trasferimento dati fuori dal territorio dell’Unione Europea.
Le previgenti clausole sono state considerate, dopo la decisione della Corte europea “Schrems II”, non più valide. La Corte ha imposto requisiti aggiuntivi sulla base delle garanzie adeguate individuate dall’art. 46 del GDPR, che entrano in gioco in mancanza di una decisione di adeguatezza. Le nuove clausole approvate il 4 giugno, in linea con le disposizioni della Corte, prescrivono, tra le altre cose, le misure da adottare in caso di trasferimento dati in paesi in cui non vi siano garanzie di difesa contro l’autorità che li acquisiscono per scopi di sicurezza nazionale.
Infine, si ricorda che i contratti di export dati extra UE potranno essere aggiornati, alla luce delle nuove clausole, nel termine di 18 mesi, che sono iniziati a decorrere dal 7 giugno, data di pubblicazione della decisione in Gazzetta Ufficiale.
LE NUOVE CLAUSOLE CONTRATTUALI STANDARD
Il 4 giugno 2021 la Commissione UE ha approvato le clausole contrattuali standard dei contratti in outsourcing di trattamenti, e le attese clausole contrattuali standard per il trasferimento di dati verso paesi terzi, riformulate a seguito della pronuncia del 16 luglio 2020 della Corte di giustizia UE che ha annullato il Privacy Shield, prescrivendo accortezze aggiuntive in caso di trasferimento dati extra UE.
I FORNITORI: TITOLARI AUTONOMI O RESPONSABILI DEL TRATTAMENTO?
Le aziende, ogni qualvolta emerga la necessità di esternalizzare un servizio, si rivolgono a fornitori esterni a cui appaltano il servizio necessario.
In via preliminare, il titolare del trattamento deve comprendere la natura del servizio svolto dal fornitore cui intende avvalersi. In particolare, dovrà valutare se occorra nominare il fornitore esterno responsabile del trattamento o titolare autonomo. Nel primo caso il fornitore agisce per conto del committente, avvalendosi della propria organizzazione, mentre nel secondo caso egli determina autonomamente mezzi e modalità del trattamento dati.
Nell’ipotesi in cui tale soggetto agisca per conto del titolare, per altro la più frequente nella pratica, quest’ultimo, in ossequio all’art. 28 del GDPR, prima di affidare il trattamento dei dati ai fini del servizio prestato, ha il dovere di nominare il fornitore quale responsabile del trattamento dei dati personali, attraverso la predisposizione di un contratto.
L’accordo deve necessariamente contenere gli obblighi cui il responsabile del trattamento è tenuto, ed attestare che siano state predisposte idonee misure di sicurezza nel trattamento dati in linea con l’art. 32 GDPR.
I POTERI ISPETTIVI DEL TITOLARE DEL TRATTAMENTO
Uno dei punti fondamentali delle clausole contrattuali approvate dalla Commissione UE, regolanti il rapporto tra titolare e responsabile, è la previsione, in capo al titolare del trattamento, di poteri ispettivi.
Il titolare, a seguito di congruo preavviso, può ispezionare, anche con sopralluogo in loco, il responsabile, al fine di verificare la corretta predisposizione di adeguati strumenti di garanzia nel trattamento dei dati personali, idonei alla tutela dei diritti dell’interessato.
Il responsabile sarà tenuto in particolare a dimostrare di:
- Aver adempiuto agli obblighi derivanti dal GDPR, come la predisposizione del registro dei trattamenti del responsabile;
- Attenersi alle istruzioni tecniche-organizzative impartite dal titolare, nel trattamento dei dati personali;
- Individuare e nominare per iscritto le persone autorizzate al trattamento;
- Aver predisposto idonea procedura in caso di esercizio, da parte dell’interessato, dei diritti previsti dal regolamento UE.
CLAUSOLE CONTRATTUALI STANDARD PER IL TRASFERIMENTO DI DATI EXTRA UE: 18 MESI PER ADEGUARSI
Il 4 giugno sono state approvate altresì le attese clausole contrattuali standard per il trasferimento dei dati verso paesi terzi. In mancanza di una pronuncia di adeguatezza, tali clausole divengono essenziali ai fini del trasferimento dati fuori dal territorio dell’Unione Europea.
Le previgenti clausole sono state considerate, dopo la decisione della Corte europea “Schrems II”, non più valide. La Corte ha imposto requisiti aggiuntivi sulla base delle garanzie adeguate individuate dall’art. 46 del GDPR, che entrano in gioco in mancanza di una decisione di adeguatezza. Le nuove clausole approvate il 4 giugno, in linea con le disposizioni della Corte, prescrivono, tra le altre cose, le misure da adottare in caso di trasferimento dati in paesi in cui non vi siano garanzie di difesa contro l’autorità che li acquisiscono per scopi di sicurezza nazionale.
Infine, si ricorda che i contratti di export dati extra UE potranno essere aggiornati, alla luce delle nuove clausole, nel termine di 18 mesi, che sono iniziati a decorrere dal 7 giugno, data di pubblicazione della decisione in Gazzetta Ufficiale.