Garante per la protezione
    dei dati personali

Newsletter

CLAUSOLE CONTRATTUALI PER EXPORT DI DATI: IN ARRIVO LA DECISIONE DELLA COMMISSIONE SUL TRASFERIMENTO DI INFORMAZIONI A FILIALI FUORI DELL’UE

La Commissione europea ha ottenuto il via libera del Comitato consultivo formato da rappresentanti dei governi dei Paesi membri dell’UE rispetto al progetto di decisione che riguarda l’adeguatezza delle clausole contrattuali standard per il trasferimento di dati personali verso incaricati (i "responsabili" della legge italiana) in Paesi terzi. Dopo il parere favorevole del Gruppo dei Garanti europei, ottenuto lo scorso settembre, si attende la comunicazione del Parlamento europeo sul testo. Secondo i servizi della Commissione, è molto probabile che la decisione possa essere pubblicata sulla Gazzetta Ufficiale delle Comunità Europee entro la fine di quest’anno. In tal caso, le clausole saranno applicabili dal 3 aprile 2002.

Come avvenuto per le clausole contrattuali tipo già approvate, che sono state rese esecutive nel nostro Paese con un’autorizzazione del Garante (pubblicata sulla Gazzetta Ufficiale n. 250 del 26.11.2001), è probabile che anche per queste nuove clausole si ricorra ad un analogo provvedimento dell’Autorità.

Anche in questo caso, come per le clausole contrattuali standard riguardanti il trasferimento verso titolari aventi sede in Paesi terzi, l’obiettivo è facilitare i flussi di dati verso Paesi nei quali, sinora, la Commissione non ha ritenuto che esista un livello di protezione dei dati "adeguato" ai sensi della Direttiva 95/46 — in pratica, tutti i Paesi al di fuori dello Spazio economico europeo tranne Ungheria e Svizzera, le quali sono state oggetto di una decisione in cui si è riconosciuta l’adeguatezza della legislazione nazionale in termini di protezione dei dati.

Le clausole contrattuali proposte realizzano una delle possibilità previste dall’articolo 26(2) della direttiva comunitaria, che consente il trasferimento di dati verso Paesi terzi dove non sussista un livello di protezione adeguato nel rispetto di determinate condizioni — fra cui, in particolare, l’impiego di specifiche clausole contrattuali. In pratica, gli Stati membri dell’UE dovranno considerare di regola lecito il trasferimento di dati personali verso un "responsabile" del trattamento situato in un Paese terzo che non assicuri un adeguato livello di protezione dei dati personali in tale Paese, se il titolare con sede nell’UE e il responsabile con sede nel Paese terzo si accorderanno sull’incorporazione in un contratto delle clausole in questione. Si tratta di uno strumento che integra la decisione della Commissione con cui, nello scorso luglio, si è approvato l’uso di analoghe clausole contrattuali standard per i trasferimenti di dati fra distinti "titolari" di trattamento (decisione 2000/497/CE).

Va sottolineato che l’utilizzazione di tali clausole avviene su base volontaria. Esse si applicheranno, come si è detto, al trasferimento di dati personali effettuato da un titolare di trattamento ("azienda madre") situato sul territorio dell’UE verso un incaricato del trattamento ("filiale") situato in un Paese terzo.

Le clausole contrattuali tipo saranno utilizzabili, in sostanza, nel quadro di un accordo fra l’esportatore dei dati (il titolare che trasferisce i dati personali) e l’importatore dei dati (il responsabile che riceve i dati personali dall’esportatore ai fini di un trattamento da effettuarsi per conto del titolare-esportatore e in conformità alle clausole stesse) situato in un Paese terzo. Il principio fondamentale è che la legge regolatrice del contratto è quella dello Stato membro in cui ha sede l’esportatore dei dati (quindi, la legge di uno dei Paesi dell’UE). Rispetto alle clausole contrattuali standard riferite ai trattamenti fra "titolari UE" e "titolari non-UE", in questo caso gli obblighi e le responsabilità di esportatore ed importatore non sono in tutto identici proprio perché l’importatore agisce comunque sul presupposto del rispetto di istruzioni impartite dal "titolare UE". Questi ha dunque, in particolare, l’obbligo di fornire al responsabile istruzioni coerenti con il rispetto della normativa sulla protezione dei dati nel Paese di origine; di verificare che l’importatore offra garanzie adeguate in termini di misure di sicurezza, di informarlo di ogni correzione, cancellazione, aggiornamento o altra modifica apportata ai dati personali oggetto del trasferimento. L’importatore, a sua volta, è tenuto al rispetto delle istruzioni impartite dal titolare-esportatore, ad impegnarsi a non trasferire a terzi i dati ricevuti dall’esportatore senza l’autorizzazione di quest’ultimo, a dare formale garanzia (attraverso la sottoscrizione delle clausole contrattuali stesse) di avere adottato le misure tecniche ed organizzative previste dalla legge dello Stato in cui ha sede l’esportatore, comprese le misure di sicurezza necessarie, ed ogni altro provvedimento eventualmente opportuno alla luce degli specifici rischi per il trattamento derivanti dal fatto che esso si svolge nel Paese terzo in questione. La pertinente documentazione deve essere allegata al contratto e ne costituisce parte integrante.

L’esportatore è responsabile per i danni derivanti da violazioni delle disposizioni che riguardano gli interessati (i quali nelle clausole vengono indicati come "terzi beneficiari" del contratto), indipendentemente dal fatto che tali violazioni siano state commesse dall’esportatore stesso o dal responsabile/incaricato che ha importato i dati. Gli interessati hanno dunque diritto al risarcimento del danno nei confronti del solo esportatore, ma possono rivalersi sull’importatore qualora il titolare-esportatore abbia dichiarato fallimento o risulti irreperibile; importatore ed esportatore sono tenuti ad un indennizzo reciproco per quanto riguarda spese processuali, ammende o perdite sostenute dall’uno o dall’altro a seguito di violazioni delle clausole. Se la controversia non può essere risolta in via amichevole gli interessati possono ricorrere alla mediazione di un terzo indipendente (compresa eventualmente l’autorità di controllo nazionale), oppure all’autorità giudiziaria dello Stato UE in cui ha sede l’esportatore, oppure ad un organismo arbitrale (previo accordo dell’importatore con l’interessato).

Le autorità nazionali di controllo avranno il compito di vigilare sull’applicazione corretta delle clausole contrattuali; in particolare, esse possono chiedere alle parti il deposito del contratto, ed hanno il diritto di condurre accertamenti presso l’importatore alle stesse condizioni e con gli stessi poteri applicabili nei confronti dell’esportatore-titolare ai sensi del diritto interno.

Va sottolineato che una clausola specifica riguarda la conclusione del contratto; ossia, al termine dei trattamenti che hanno reso necessaria la sottoscrizione delle clausole, l’importatore è tenuto a restituire all’esportatore tutti i dati personali trasferiti e le eventuali copie, ovvero a distruggerli dandone attestazione all’esportatore. La decisione in merito spetta al titolare-esportatore; qualora la normativa del Paese terzo vieti la distruzione o la cessione dei dati personali trasferiti, l’importatore si impegna a garantirne la riservatezza e a non utilizzarli per alcun trattamento.

Analogamente alle clausole contrattuali già approvate dalla Commissione, anche queste dovranno essere sottoscritte da entrambe le parti (esportatore e importatore), che sono tenute inoltre a compilare e sottoscrivere un’Appendice in cui sono specificate le attività pertinenti al trasferimento, le generalità di esportatore e importatore, le categorie di interessati, le categorie di dati oggetto del trasferimento (in particolare per quanto riguarda i dati cosiddetti "sensibili"); in un’altra Appendice dovranno essere elencate le misure di sicurezza messe in atto dall’importatore ai sensi delle clausole o della normativa di riferimento, da allegare anch’essa al contratto.