Clausole tipo per il Trasferimento dei Dati Extra-UE
Questa pubblicazione fa parte di una serie dedicata al Registro dei Trattamenti in conformità al GDPR, il presente focus esaminerà le clausole tipo per la protezione dei dati in ottemperanza all’articolo 46 del GDPR, offrendo una panoramica dettagliata sulle garanzie adeguate per i trasferimenti di dati verso paesi terzi.
Clausole tipo per la Protezione dei Dati: garanzie GDPR per Trasferimenti Extra-UE
L’articolo 46 del GDPR elenca due ulteriori garanzie adeguate per il titolare del trattamento dei dati nelle ipotesi di trasferimento dei dati in paesi extra-UE:
- Le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.
- Le clausole tipo di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.
Si tratta di uno strumento negoziale che può essere aggiunto al contratto che le parti intendono sottoscrivere per regolamentare i loro rapporti. È utile richiamare il Considerando 109, che sottolinea la possibilità per le parti di non eliminare, ma solo aggiungere ulteriori clausole rispetto a quelle adottate o approvate dalla Commissione o da un’autorità, purché non siano in contrasto, né direttamente né indirettamente, con le clausole tipo di protezione. È inoltre necessario incoraggiare i titolari e i responsabili del trattamento a fornire garanzie supplementari attraverso impegni contrattuali che integrino le clausole tipo di protezione.
Garanzie adeguate GDPR: clausole contrattuali e approvazioni
Se concordate in autonomia dalle parti e in alternativa alle clausole di cui all’articolo 46, paragrafo 2, lettere c) e d), le clausole contrattuali tra il titolare del trattamento o il responsabile del trattamento e il destinatario dei dati personali nel paese terzo possono costituire garanzie adeguate a norma dell’articolo 46, paragrafo 3, lettera a) del GDPR, purché approvate preliminarmente dall’Autorità e in aderenza al principio del meccanismo di coerenza di cui all’articolo 63, paragrafo 3 del GDPR.
Garanzie adeguate non condizionate
Tra le garanzie adeguate non condizionate, a norma dell’articolo 46, paragrafo 2, lettere e) e f), per le quali non sono richieste autorizzazioni da parte della Commissione europea né dell’Autorità, ci sono:
- Un codice di condotta approvato a norma dell’articolo 40, unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.
- Un meccanismo di certificazione approvato a norma dell’articolo 42, unitamente all’impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.
Codici di condotta e certificazioni GDPR: requisiti e applicabilità
Un codice di condotta approvato a norma dell’articolo 40 del GDPR deve includere sanzioni interne e garantire agli interessati la possibilità di azionare tutti gli strumenti previsti dal GDPR a loro tutela. In merito alle figure che possono avvalersi dei codici di condotta, l’articolo 40, paragrafo 3, include anche i titolari del trattamento o i responsabili del trattamento che non sono soggetti al Regolamento ai sensi dell’articolo 3.
Analogo ragionamento si applica alle certificazioni, poiché l’articolo 46, paragrafo 2, lettera f) del GDPR richiede le medesime garanzie: devono essere vincolanti ed esigibili. La certificazione, al pari del codice di condotta, non è da sola sufficiente a rendere la certificazione una garanzia adeguata; è necessario un meccanismo di certificazione approvato a norma dell’articolo 42, unitamente all’impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo a adottare le garanzie adeguate.
Le clausole tipo, i codici di condotta e le certificazioni sono strumenti cruciali nel GDPR per garantire trasferimenti sicuri e conformi di dati personali verso paesi extra-UE. Questi strumenti devono essere attentamente implementati e approvati per assicurare che i diritti degli interessati siano sempre protetti.
L’articolo ha esaminato in dettaglio le Clausole Tipo per la protezione dei dati secondo l’articolo 46 del GDPR, evidenziando come queste rappresentino uno strumento negoziale fondamentale che può essere integrato nei contratti tra le parti. Le Clausole Tipo, sia quelle adottate dalla Commissione che quelle approvate dalle autorità di controllo, forniscono una panoramica completa delle garanzie adeguate per i trasferimenti di dati verso paesi terzi, permettendo anche l’aggiunta di clausole supplementari purché non in contrasto con quelle standard.
Il prossimo approfondimento tratterà nel dettaglio l’articolo 48 del GDPR dedicato al trasferimento e comunicazione non autorizzata dal diritto dell’Unione. Per ulteriori analisi vi invitiamo a scaricare gratuitamente e con libero accesso il contenuto integrale “La compilazione del Registro dei trattamenti nel nuovo quadro normativo del Reg. UE 679/2016“.
Tecnologo presso l’UAIG del CNR.
Abilitato all’esercizio della professione forense.
