Trasferimento dati all’estero: la clausola contrattuale standard 2010/87/EU

23/06/2016
di roberto

La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi ed organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali”.

Il contenuto di uno dei primi considerando del GDPR (General Data Protection Regulation), in vigore dallo scorso 24 maggio, sottolinea la mutata (rectius consolidata) prospettiva di intervento riferita al trattamento dei dati personali che non può ad oggi esimersi dall’includere profili internazionalistici e transfrontalieri nello studio e nella gestione di quelle che sono le principali problematiche che tale materia porta con sé.

Trasferimento di dati all’estero, le garanzie richieste

web-845174Sulla scorta di quanto negli anni avevano stabilito da un lato la Direttiva CE/95/46 e dall’altro le numerose Opinion del Working Party, anche il Regolamento Europeo sulla Data Protection riconosce il valore effettivo dei flussi di dati personali verso Paesi terzi ed organizzazioni internazionali (ossia non appartenenti all’Unione Europea), necessariamente connessi all’espansione del commercio internazionale e della cooperazione internazionale.

Il testo della neonata normativa, in accordo con quanto in precedenza stabilito dalla Direttiva e dagli strumenti di attuazione nazionale, consente il trasferimento di dati personali verso Paesi che non appartengono all’Unione Europea, solo in presenza di adeguate garanzie per i diritti degli interessati i cui dati personali sono trasferiti. La ratio del divieto di trasferimento, in assenza di garanzie adeguate, è facilmente intuibile se si analizzano i rischi che tale particolare attività provoca nei confronti dei singoli interessati. Tali rischi sono facilmente intuibili e derivanti dalla circostanza per cui – in caso di trasferimento – la persona fisica si trovi nell’impossibilità di esercitare un controllo effettivo sulla circolazione dei propri dati, per tutelarsi, ad esempio, da usi o comunicazioni illeciti di tali informazioni.

Le garanzie che la normativa prevede sono da rinvenirsi nella presenza di decisioni di adeguatezza che interessano il Paese terzo verso cui sia diretto il trasferimento di dati personali (decisioni finalizzate ad accertare ed assicurare che esso garantisca un livello di protezione consono delle informazioni), per i gruppi multinazionali, la predisposizione di apposite norme vincolanti di impresa (le cosiddette Binding Corporate Rules) che fissano anche esse i principi e le regole che le diverse branches sono tenute a rispettare.

Le clausole contrattuali

Possono, infine, costituire garanzie adeguate, le clausole contrattuali standard come approvate dalla Commissione Europea, le quali, inserite nel contratto tra esportatore ed importatore delle informazioni assicurano il rispetto dei principi e degli obblighi che la normativa europea individua a tutela del dato personale.

Tra le clausole contrattuali approvate dalla Commissione, merita particolare attenzione il documento 2010/87/EU, assai diffuso nella prassi, in quanto disciplina i trasferimenti da Data Controller europei verso Data Processor stabiliti in paesi terzi.

Frequentemente assistiamo a Data Controller europei che affidano a terzi attività relative al proprio core business (dalla gestione dei propri sistemi informatici alle attività di marketing) che comportano il trasferimento di dati personali dal luogo di stabilimento del Data Controller verso Paesi, la cui normativa non appronta garanzie adeguate e similari rispetto a quanto presente negli ordinamenti europei.

Ebbene, l’applicazione della clausola 2010/87/EU consente il trasferimento in tale particolare ipotesi in quanto mediante questa sono stabiliti nei confronti del Data Processor precisi e restrittivi obblighi a presidio della sicurezza del trattamento. Gli obblighi previsti sono ribaltati altresì sull’eventuale fornitore estero cui il Data Processor estero affidi il trattamento o parte di questo.

Ipotesi diversa è quella in cui il Data Controller europeo affidi ad un Data Processor, anche esso stabilito nell’Unione Europea, il trattamento di dati personali ed il Data Processor, a sua volta, ricorra ad un fornitore estero per l’esecuzione dei trattamenti demandati: in tale caso il Working Party ha autorizzato il ricorso alla medesima clausola 2010/87/EU, tuttavia nel rispetto di alcuni precisi correttivi.

Uno di questi è rappresentato dall’inserimento nel contratto tra Data Controller e Data Processor europei di una clausola mandataria, attestante la facoltà del Data Processor di sottoscrivere con i subprocessor esteri, la clausola contrattuale sopraindicata in nome e per conto del Data Controller. In tale modo, il fornitore estero sarà vincolato al contenuto degli obblighi in essa previsti.

security_13998514_xxlStante la possibilità per il Data Controller di “demandare” la sottoscrizione ad un terzo, risulta, ad ogni modo, fondamentale che il Data Controller approvi il contenuto della clausola rivolta al subprocessor estero, specialmente nella parte in cui sono elencate le misure di sicurezza che devono essere predisposte a presidio del trattamento. Da determinare sulla base della tipologia del trasferimento e dei dati personali trasferiti, se la clausola mandataria possa essere di natura generale o specifica: in tale ultimo caso per ogni nuovo subrprocessor estero dovrà essere previsto specifico mandato.

Il terzo beneficiario

Tra i contenuti dalla clausola contrattuale 2010/87/EU, la Commissione Europea ha indicato le principali definizioni, come mutuate dalla normativa europea, la clausola del terzo beneficiario, ossia il diritto dell’interessato ad ottenere il risarcimento del danno connesso al mancato rispetto di quanto previsto dal contenuto delle clausole non solo nei confronti del Data Controller, bensì anche nei confronti del Data Processor o degli eventuali subprocessor, qualora il diretto destinatario della richiesta risarcitoria risulti scomparso, abbia giuridicamente cessato di esistere.

Specifici obblighi informativi vengono, altresì, stabiliti nei confronti delle Parti attive nel trasferimento dei dati personali. Sia il Data Controller che il Data Processor dovranno informare i soggetti interessati che i dati personali a questi ultimi riferiti saranno oggetto di trasferimento.

Le Parti dovranno, poi, indicare, in un’apposita Appendice allegata alle clausole contrattuali, le misure tecniche ed organizzative adottate affinché il livello di sicurezza sia commisurato ai rischi inerenti il trattamento ed alla natura dei dati da tutelare: crittografia, pseudonimizzazione, data retention e tempistiche di ripristino dei dati personali e di comunicazione dei Data breach, sono solo alcuni esempi di misure di sicurezza a presidio dei dati e delle informazioni. Obblighi questi che devono essere rivolti e rispettati anche dagli eventuali subprocessor coinvolti nel flusso dei trasferimenti.

Indicazioni specifiche regolano, infine, la cessazione delle attività di trattamento dei dati da parte del Data Processor estero (e degli eventuali subprocessor), il quale dovrà restituire al Data Controller tutti i dati personali trattati e le relative copie, certificando il processo di migrazione (nel rispetto delle tempistiche imposte dal Data Controller) e di cancellazione della banca dati, con diretta assunzione di responsabilità in ipotesi di contestazione circa la correttezza delle operazioni. Ovviamente, le esigenze di cancellazione lasciano spazio ad eventuali obblighi di legge che impongano la conservazione del dato per un periodo di tempo più ampio e definito.

Il fattore accelerativo che affretterà il ricorso a tali strumenti da parte delle aziende europee è rappresentato dal mutato panorama sanzionatorio introdotto dal Regolamento sulla Data Protection. Si evidenzia che per il mancato rispetto delle regole relative ai trasferimenti all’estero, la potestà sanzionatoria delle Autorità di Controllo potrà arrivare fino a 20 MIL o al 4% del fatturato mondiale annuo. Cifre queste che giustificano nuovi e oculati investimenti nella sicurezza delle informazioni, ma anche la scelta di fornitori che per esperienza e capacità assicurino ab origine un trattamento sicuro dei dati personali.

Riproduzione riservata ©

ALTRE NEWS

Strumenti a tutela della Privacy: firmato un protocollo di intenti tra Governo e Garante

Firmato un protocollo di intenti tra Antonello Soro il Presidente dell’Autorità Garante per la protezione dei dati personali e Giampiero Massolo, Direttore generale del Dis… Leggi Tutto

Il Regolamento Europeo: gli adempimenti documentali

L’incremento delle violazioni informatiche e la percezione dei rischi nelle operazioni on-line, come del resto l’incertezza giuridica specie per le multinazionali circa il diritto applicabile,… Leggi Tutto

Il Commercio Elettronico: indicazioni per venditori e consumatori

Lo sviluppo dei commerci mediante internet è un fenomeno tangibile, cui oggi possiamo assistere grazie alla diffusione su scala internazionale di questo prezioso strumento. Internet… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form