Trasferimento dati all’estero: la clausola contrattuale standard 2010/87/EU
“La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi ed organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali”.
Il contenuto di uno dei primi considerando del GDPR (General Data Protection Regulation), in vigore dallo scorso 24 maggio, sottolinea la mutata (rectius consolidata) prospettiva di intervento riferita al trattamento dei dati personali che non può ad oggi esimersi dall’includere profili internazionalistici e transfrontalieri nello studio e nella gestione di quelle che sono le principali problematiche che tale materia porta con sé.
Trasferimento di dati all’estero, le garanzie richieste
Sulla scorta di quanto negli anni avevano stabilito da un lato la Direttiva CE/95/46 e dall’altro le numerose Opinion del Working Party, anche il Regolamento Europeo sulla Data Protection riconosce il valore effettivo dei flussi di dati personali verso Paesi terzi ed organizzazioni internazionali (ossia non appartenenti all’Unione Europea), necessariamente connessi all’espansione del commercio internazionale e della cooperazione internazionale.
Il testo della neonata normativa, in accordo con quanto in precedenza stabilito dalla Direttiva e dagli strumenti di attuazione nazionale, consente il trasferimento di dati personali verso Paesi che non appartengono all’Unione Europea, solo in presenza di adeguate garanzie per i diritti degli interessati i cui dati personali sono trasferiti. La ratio del divieto di trasferimento, in assenza di garanzie adeguate, è facilmente intuibile se si analizzano i rischi che tale particolare attività provoca nei confronti dei singoli interessati. Tali rischi sono facilmente intuibili e derivanti dalla circostanza per cui – in caso di trasferimento – la persona fisica si trovi nell’impossibilità di esercitare un controllo effettivo sulla circolazione dei propri dati, per tutelarsi, ad esempio, da usi o comunicazioni illeciti di tali informazioni.
Le garanzie che la normativa prevede sono da rinvenirsi nella presenza di decisioni di adeguatezza che interessano il Paese terzo verso cui sia diretto il trasferimento di dati personali (decisioni finalizzate ad accertare ed assicurare che esso garantisca un livello di protezione consono delle informazioni), per i gruppi multinazionali, la predisposizione di apposite norme vincolanti di impresa (le cosiddette Binding Corporate Rules) che fissano anche esse i principi e le regole che le diverse branches sono tenute a rispettare.
Le clausole contrattuali
Possono, infine, costituire garanzie adeguate, le clausole contrattuali standard come approvate dalla Commissione Europea, le quali, inserite nel contratto tra esportatore ed importatore delle informazioni assicurano il rispetto dei principi e degli obblighi che la normativa europea individua a tutela del dato personale.
Tra le clausole contrattuali approvate dalla Commissione, merita particolare attenzione il documento 2010/87/EU, assai diffuso nella prassi, in quanto disciplina i trasferimenti da Data Controller europei verso Data Processor stabiliti in paesi terzi.
Frequentemente assistiamo a Data Controller europei che affidano a terzi attività relative al proprio core business (dalla gestione dei propri sistemi informatici alle attività di marketing) che comportano il trasferimento di dati personali dal luogo di stabilimento del Data Controller verso Paesi, la cui normativa non appronta garanzie adeguate e similari rispetto a quanto presente negli ordinamenti europei.
Ebbene, l’applicazione della clausola 2010/87/EU consente il trasferimento in tale particolare ipotesi in quanto mediante questa sono stabiliti nei confronti del Data Processor precisi e restrittivi obblighi a presidio della sicurezza del trattamento. Gli obblighi previsti sono ribaltati altresì sull’eventuale fornitore estero cui il Data Processor estero affidi il trattamento o parte di questo.
Ipotesi diversa è quella in cui il Data Controller europeo affidi ad un Data Processor, anche esso stabilito nell’Unione Europea, il trattamento di dati personali ed il Data Processor, a sua volta, ricorra ad un fornitore estero per l’esecuzione dei trattamenti demandati: in tale caso il Working Party ha autorizzato il ricorso alla medesima clausola 2010/87/EU, tuttavia nel rispetto di alcuni precisi correttivi.
Uno di questi è rappresentato dall’inserimento nel contratto tra Data Controller e Data Processor europei di una clausola mandataria, attestante la facoltà del Data Processor di sottoscrivere con i subprocessor esteri, la clausola contrattuale sopraindicata in nome e per conto del Data Controller. In tale modo, il fornitore estero sarà vincolato al contenuto degli obblighi in essa previsti.
Stante la possibilità per il Data Controller di “demandare” la sottoscrizione ad un terzo, risulta, ad ogni modo, fondamentale che il Data Controller approvi il contenuto della clausola rivolta al subprocessor estero, specialmente nella parte in cui sono elencate le misure di sicurezza che devono essere predisposte a presidio del trattamento. Da determinare sulla base della tipologia del trasferimento e dei dati personali trasferiti, se la clausola mandataria possa essere di natura generale o specifica: in tale ultimo caso per ogni nuovo subrprocessor estero dovrà essere previsto specifico mandato.
Il terzo beneficiario
Tra i contenuti dalla clausola contrattuale 2010/87/EU, la Commissione Europea ha indicato le principali definizioni, come mutuate dalla normativa europea, la clausola del terzo beneficiario, ossia il diritto dell’interessato ad ottenere il risarcimento del danno connesso al mancato rispetto di quanto previsto dal contenuto delle clausole non solo nei confronti del Data Controller, bensì anche nei confronti del Data Processor o degli eventuali subprocessor, qualora il diretto destinatario della richiesta risarcitoria risulti scomparso, abbia giuridicamente cessato di esistere.
Specifici obblighi informativi vengono, altresì, stabiliti nei confronti delle Parti attive nel trasferimento dei dati personali. Sia il Data Controller che il Data Processor dovranno informare i soggetti interessati che i dati personali a questi ultimi riferiti saranno oggetto di trasferimento.
Le Parti dovranno, poi, indicare, in un’apposita Appendice allegata alle clausole contrattuali, le misure tecniche ed organizzative adottate affinché il livello di sicurezza sia commisurato ai rischi inerenti il trattamento ed alla natura dei dati da tutelare: crittografia, pseudonimizzazione, data retention e tempistiche di ripristino dei dati personali e di comunicazione dei Data breach, sono solo alcuni esempi di misure di sicurezza a presidio dei dati e delle informazioni. Obblighi questi che devono essere rivolti e rispettati anche dagli eventuali subprocessor coinvolti nel flusso dei trasferimenti.
Indicazioni specifiche regolano, infine, la cessazione delle attività di trattamento dei dati da parte del Data Processor estero (e degli eventuali subprocessor), il quale dovrà restituire al Data Controller tutti i dati personali trattati e le relative copie, certificando il processo di migrazione (nel rispetto delle tempistiche imposte dal Data Controller) e di cancellazione della banca dati, con diretta assunzione di responsabilità in ipotesi di contestazione circa la correttezza delle operazioni. Ovviamente, le esigenze di cancellazione lasciano spazio ad eventuali obblighi di legge che impongano la conservazione del dato per un periodo di tempo più ampio e definito.
Il fattore accelerativo che affretterà il ricorso a tali strumenti da parte delle aziende europee è rappresentato dal mutato panorama sanzionatorio introdotto dal Regolamento sulla Data Protection. Si evidenzia che per il mancato rispetto delle regole relative ai trasferimenti all’estero, la potestà sanzionatoria delle Autorità di Controllo potrà arrivare fino a 20 MIL o al 4% del fatturato mondiale annuo. Cifre queste che giustificano nuovi e oculati investimenti nella sicurezza delle informazioni, ma anche la scelta di fornitori che per esperienza e capacità assicurino ab origine un trattamento sicuro dei dati personali.