Possono essere utilizzate le Standard Contractual Clauses tra titolare e responsabile anche da un responsabile del trattamento per un trasferimento a un sub-responsabile?
di Alessandro Amoroso
Come è noto ad ogni esperto in materia di privacy il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali dipende da tre meccanismi:
- una decisione d’adeguatezza da parte della Commissione europea (art. 45 GDPR);
- alcune deroghe in specifiche situazioni (art. 49 GDPR);
- la previsione di strumenti che costituiscano garanzie adeguate di protezione e tutela per il trasferimento (art. 46 GDPR).
Con riferimento a quest’ultima ipotesi, l’art. 46 lett. c) del GDPR prevede che la Commissione europea possa approvare set di clausole contrattuali tipo, più note con l’espressione inglese di Standard Contractual Clauses (“SCC”).
Ad oggi, la Commissione europea ha approvato:
- due set di clausole tipo per il trasferimento di dati personali da titolari del trattamento siti nell’Unione europea verso titolari al di fuori dell’Unione europea o dello Spazio economico europeo (“SEE”) (decisione 2001/497/EC e decisione 2004/915/EC);
- un set di clausole tipo per il trasferimento di dati personali da titolari del trattamento siti nell’Unione europea verso responsabili del trattamento al di fuori dell’Unione europea o dello Spazio economico europeo (decisione 2010/87/EU).
Emerge subito, dunque, la mancanza di clausole tipo in relazione ai trasferimenti tra responsabili e sub-responsabili del trattamento[1]. Nel 2014, il Gruppo di lavoro articolo 29 (“Working Party Art. 29” o “WP29”) aveva adottato una bozza di SCC da stipulare tra responsabili nell’UE e sub-responsabili del trattamento non nell’UE ma la Commissione non approvò tali clausole contrattuali tipo.
E dunque, non essendoci uno specifico modello, le SCC tra titolare e responsabile della decisione 2010/87/EU possono essere utilizzate anche dal responsabile nel caso di un trasferimento a un sub-responsabile?
Ai sensi del considerando 23 della decisione 2010/87/EU, le SCC ivi contenute possono essere utilizzate solo nel caso di un responsabile del trattamento e un sub-responsabile siti entrambi in un paese terzo (cfr. grafico sotto)[2].
È espressamente vietato, invece, l’utilizzo delle stesse tra un responsabile sito nell’Unione e un sub-responsabile sito al di fuori (cfr. grafico sotto).
Uno spiraglio d’apertura sembrava essere previsto nella seconda parte di tale considerando, che apparentemente rimetteva in capo agli Stati membri una valutazione d’adeguatezza d’utilizzo anche per l’ipotesi esclusa[3].
Il 12 luglio 2010, tuttavia, il WP29 (con delle FAQ) chiarì la non utilizzabilità delle SCC citate per l’ipotesi di un responsabile intra SEE che trasferisca dati a un sub-responsabile extra SEE e spiegò che esse sono utilizzabili solo dal sub-responsabile in un paese terzo quando si avvalga di un ulteriore sub-responsabile in un paese terzo.
Il WP29 giustificò tale interpretazione facendo leva sull’interpretazione del testo della decisione in esame e, in particolare, su 3 argomentazioni: (i) il responsabile del trattamento sito nel SEE non può rientrare nella nozione di “importatore” previsto dalla decisione; (ii) le obbligazioni previste su tale responsabile non avrebbero senso per un soggetto sito all’interno del SEE; (iii) l’esportatore è definito e inteso come il titolare del trattamento, per cui non può certo essere un responsabile del trattamento.
Alla luce di quanto sopra, il WP29 evidenziò quindi 3 diverse soluzioni:
- la firma direttamente da parte del titolare con il sub-responsabile;
- la previsione di un mandato con rappresentanza del titolare al responsabile;
- un contratto ad hoc da presentare all’autorità di controllo e sottoporre ad autorizzazione dello stesso.
Specificando le FAQ di cui sopra, il Garante italiano con il provvedimento n. 342 del 15 novembre 2012, relativamente al punto 2, richiedeva il conferimento da parte del titolare al responsabile di un mandato con rappresentanza ai sensi dell’art. 1704 c.c. per la sottoscrizione da parte del responsabile delle clausole tipo [4], e con il provvedimento 444 del 10 ottobre 2013, relativamente al punto 3, chiariva che il contratto ad hoc debba comunque essere tra titolare e sub-responsabile.
Tutto quanto sopra considerato, possiamo concludere che le SCC (della decisione 2010/87) non siano utilizzabili da un responsabile del trattamento all’interno del SEE per i trasferimenti a un sub-responsabile al di fuori (salvo nel caso in cui il titolare abbia conferito un mandato con rappresentanza al responsabile), mentre anche con i sub-responsabili dovranno essere sempre firmate dal titolare.
Resta auspicabile, quindi, l’adozione da parte della Commissione di uno specifico modello per tali ipotesi.
[1] Cfr. https://www.ucl.ac.uk/legal-services/sites/legal-services/files/ucl_guidance_note_-_transfers_outside_the_eea.pdf.
[2] “La presente decisione si applica solo ove l’incaricato del trattamento (leggi “responsabile del trattamento” N.d.A.) stabilito in un paese terzo affidi il trattamento a un subincaricato (leggi “subresponsabile” -N.d.A.) stabilito in un paese terzo e non ai casi in cui l’incaricato del trattamento (leggi “˝ del trattamento” – N.d.A.) stabilito nell’Unione europea, che tratta dati personali per conto di un responsabile (leggi “titolare del trattamento” N.d.A.) stabilito nell’Unione europea, affidi il trattamento a un subincaricato (leggi “subresponsabile” N.d.A.)stabilito in un paese terzo.”
[3] “In tali situazioni è facoltà degli Stati membri tenere conto del fatto che alla decisione di affidare il trattamento a un sud incaricato stabilito in un paese terzo presiedono i principi alle garanzie delle clausole contrattuali tipo di cui alla presente decisione, nell’intento di garantire protezione adeguata ai diritti degli interessati i cui dati personali sono trasferiti per il trattamento”.
[4] Per completezza, vedi anche i precedenti provvedimento n. 35 del 27 maggio 2010 (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1728496) e il provvedimento del 10 aprile 2002 (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1065361).
Autore
