La Commissione Europea approva le nuove clausole contrattuali standard
Lo scorso 4 giugno 2021 la Commissione Europea ha approvato due nuovi modelli di clausole contrattuali standard riguardanti l’applicazione del Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati personali o “GDPR”) (e, per inciso, mutatis mutandis anche del Regolamento (UE) 2018/1725, che tuttavia non sarà oggetto di approfondimento qui). Si tratta di due distinti strumenti giuridici basati su diverse previsioni del GDPR:
- Le clausole che disciplinano i rapporti tra i titolari e responsabili del trattamento, ai sensi dell’articolo 28, paragrafo 7, GDPR, (Decisione 2021/915/UE); nonché
- Le clausole recanti garanzie adeguate per i trasferimenti al di fuori dell’Unione europea (Decisione 2021/914/UE),ai sensi dell’articolo 46, paragrafo 2, lett, c), GDPR.
Queste nuove clausole standard sono state pubblicate nella Gazzetta ufficiale dell’Unione Europea del 7 giugno 2021 (L199) ed entreranno ufficialmente in vigore il 27 giugno 2021, cioè il ventesimo giorno successivo alla pubblicazione.
1. Le nuove clausole tipo per i trasferimenti: le cose da sapere
1.1 Le clausole tipo per i trasferimenti. L’aggiornamento di questo strumento era da lungo atteso; le ultime clausole in vigore erano state infatti adottate con una decisione di oltre 11 anni fa. .
1.2 Le principali novità. Nel loro nuovo formato tali clausole standard assumono una veste modulare, regolando 4 diversi scenari di trasferimento di dati personali: (i) da titolare a responsabile; (ii) da titolare a titolare; (iii) da responsabile a responsabile del trattamento; e (iv) da un responsabile del trattamento a un titolare del trattamento. Di notevole rilevanza poi anche il fatto che esse regolano direttamente anche i sub-trasferimenti (offrendo la possibilità a più di due parti di aderire e utilizzare le clausole, lungo l’intero arco di vita del contratto) nonché la circostanza che esse danno atto dell’obbligatoria valutazione sul trasferimento che l’esportatore deve porre in essere come conseguenza della decisione della Corte di Giustizia dell’Unione europea nel caso Schrems II (CGUE sentenza nella causa C-311/18).
1.3 La validità delle precedenti versioni. Le vecchie clausole contrattuali standard (di cui alla Decisione 2001/497/CE e alla Decisione 2010/87/UE) dovranno considerarsi abrogate 3 mesi dopo l’entrata in vigore di quelle nuove; tuttavia, se inserite in contratti in essere, manterranno la loro validità per i 15 mesi successivi alla data dell’abrogazione.
1.4 Cosa fare. L’approvazione del nuovo set di clausole tipo aggiunge un importante tassello alla soluzione del puzzle sui trasferimenti di dati venutosi a configurare negli ultimi anni con le sentenze demolitorie della CGUE. Le nuove clausole tipo dunque vanno adottate, in sostituzione di quelle eventualmente già stipulate, prima possibile; l’occasione va colta poi per aggiornare, se necessario, la mappatura dei trasferimenti in essere, sui quali rimane necessaria l’effettuazione di un data transfer assessment.
Cassazione: per il risarcimento del danno patrimoniale subito da illecito trattamento dei dati personali è necessaria un’offesa in modo sensibile del diritto nonché la prova delle lesioni subite
Con la recente sentenza n. 16402 del 10 giugno 2021, la Corte di Cassazione ha ribadito due principi di diritto elaborati dalla propria giurisprudenza in materia di protezione dei dati personali:
- il danno patrimoniale risarcibile per la violazione della normativa in materia di trattamento dei dati personali richiede un’offesa che incida in modo sensibile sulla portata del diritto;
- il risarcimento del danno patrimoniale richiede la prova, anche per presunzioni, delle lesioni subite.
1. La minima lesione necessaria per la risarcibilità del danno
1.1 La soglia di tolleranza. Innanzitutto, la Corte ha riaffermato (cfr. Cass. n. 17383 del 20/08/2020 e 11020 del 26/04/2021) il principio secondo cui il danno non patrimoniale risarcibile, pur determinato dalla lesione di un diritto fondamentale tutelato dagli articoli 2 e 21 della Costituzione e 8 della Convenzione europea dei diritti umani, non si sottrae alla verifica della “gravità della lesione” e “serietà del danno”. In linea con la propria giurisprudenza, infatti, il giudice di legittimità ha stabilito che anche per tale diritto opera il bilanciamento con il principio di solidarietà dell’articolo 2 della Carta Costituzionale, di cui quello della tolleranza della lesione minima è intrinseco precipitato. Da ciò deriva che la mera violazione della normativa a tutela dei dati personali non può dar luogo a un risarcimento a meno che non si tratti di una lesione ingiustificabile del diritto.
1.2 L’accertamento da parte del giudice di merito. Riguardo la sussistenza e portata della lesione la Corte evidenzia che tale valutazione deve tener conto della concretezza della vicenda materiale portata alla cognizione giudiziale e dello specifico contesto temporale e sociale. In considerazione di siffatta concretezza dell’accertamento, è compito del giudice di merito valutare se l’offesa non superi la minima tollerabilità o se il danno sia futile, escludendo un risarcimento in tali ipotesi (cfr. Cass. n.16133 del 15/07/2014).
2. La prova del danno subito
2.1 Le conseguenze dannose della violazione devono essere provate. La Corte suprema ricorda poi come è stato altresì affermato che il danno alla privacy, come ogni altro danno, non sussiste “in re ipsa” ma richiede che siano specificate e provate (anche in via presuntiva) le conseguenze negative patite (cfr. Cass. n. 19434 del 18/07/2019 e 29206 del 12/11/2019). Sul punto, la Corte condivide l’interpretazione (svolta dal giudice di merito) secondo cui non è sufficiente indicare di aver sofferto genericamente un danno morale ma occorre fornire allegazioni sulle conseguenze negative subite a seguito del trattamento ritenuto illecito, in modo da fornire informazioni utili al fine di comprendere i motivi del turbamento sofferto.
3. Considerazioni conclusive
3.1 Osservazioni. Tale sentenza, benché riferita all’articolo 15 del D.lgs. 196/2003 (Codice in materia di protezione dei dati personali) nella versione antecedente al GDPR, sancisce un principio applicabile anche in relazione all’articolo 82 del GDPR, che ha una struttura simile, anche in tema di onere probatorio, a quella dettata dal combinato disposto dell’art. 15 citato e dell’art. 2050 cod. civ. Infatti, secondo l’articolo 82 comma 3 del GDPR, il titolare o il responsabile può fornire prova liberatoria “se dimostra che l’evento dannoso non gli è in alcun modo imputabile”. Resta tuttavia onere del danneggiato provare, anche per presunzioni, la sussistenza di un danno, peraltro non irrisorio. Nel caso di specie, né il giudice di merito né la Corte di Cassazione hanno ritenuto provata la soglia di gravità richiesta dall’ordinamento per la concessione della tutela risarcitoria, secondo un’ argomentazione costituzionalmente orientata che ci sembra reggere anche nel contesto del mutato scenario normativo. Rimarrà dunque improbabile, per esempio, ottenere tutela risarcitoria per aver ricevuto qualche email di spam (sul punto la Cassazione si era già pronunciata escludendo la risarcibilità di un danno conseguente alla ricezione di 10 mail di spam in tre anni, cfr. Cassazione civile sez. I, 08/02/2017, n.3311), mentre sarà più facile ottenere ristoro, ad esempio, da un istituto di credito che, per difetto di misure adeguate di sicurezza, non abbia impedito a terzi di introdursi illecitamente nell’home banking di un proprio correntista.
La regola dello sportello unico di cui al GDPR non impedisce a un’autorità locale di iniziare un procedimento avverso un soggetto il cui stabilimento principale non sia nel proprio territorio
Con la sentenza del 15 giugno 2021 nella causa C-645/19 la Corte di giustizia dell’Unione europea (“CGUE”) ha affermato che a certe condizioni anche l’autorità di controllo nazionale di uno Stato Membro diverso rispetto a quello in cui ha lo stabilimento principale o unico il titolare o il responsabile del trattamento (autorità di controllo capofila) può intentare un’azione o agire in sede giudiziale dinanzi a un giudice del proprio Stato, ai sensi dell’art. 58, paragrafo 5, GDPR.
1. Il procedimento di merito e il rinvio pregiudiziale
1.1 La vicenda. La controversia in esame traeva origine dal fatto che l’Autorità per la protezione dei dati personali belga agiva in giudizio (in qualità di successore legale del Presidente della Commissione belga per la tutela della vita privata) contro tre società del gruppo Facebook (Facebook Ireland, Facebook Inc. e Facebook Belgium) per asserite violazioni commesse nella raccolta e nell’uso di informazioni sul comportamento di navigazione degli utenti di Internet belgi, mediante varie tecnologie, quali i cookie, i social plugin o i pixel.
1.2 Il rinvio pregiudiziale d’interpretazione. La Corte d’appello di Bruxelles (Hof van beroep te Brussel), chiamata a giudicare sulla vicenda, ritenuto che fosse Facebook Ireland titolare del trattamento, nutriva dubbi circa la propria competenza a giudicare (con riferimento a Facebook Ireland e Facebook Inc.), in considerazione dell’art. 56 GDPR, nella parte in cui dispone il cd. criterio dello sportello unico. Secondo tale regola, i trattamenti transfrontalieri sono di competenza dell’autorità di controllo capofila, cioè quella competente sul territorio dello stabilimento principale o unico del titolare del trattamento o responsabile del trattamento, che dunque sarebbe stata quella irlandese.
2. La decisione della CGUE
2.1 Le condizioni per la competenza di un’autorità diversa. La CGUE stabilisce che il principio sancito dal GDPR riguardante la costituzione di un’autorità capofila per i trattamenti transfrontalieri non impedisce alle autorità di controllo degli altri Stati Membri di intentare un’azione avverso un soggetto avente lo stabilimento principale o unico nel territorio di un altro Stato Membro, purché siano rispettate certe condizioni. Segnatamente, tali condizioni sono che:
- ciò avvenga in una delle situazioni in cui il GDPR conferisce a tale autorità di controllo la competenza ad adottare una decisione che accerti che il trattamento in questione viola le norme in esso contenute nonché nel rispetto delle procedure di cooperazione e di coerenza previste da tale regolamento.
- l’esercizio di tale potere rientri nell’ambito d’applicazione territoriale di cui all’art. 3 GDPR;
- l’oggetto dell’azione giudiziale intentata riguardi un trattamento effettuato nell’ambito delle attività di uno stabilimento soggetto alla competenza dell’autorità nazionale, anche alla luce della prima condizione. Al riguardo, nel caso di specie, la CGUE ha rilevato che le attività dello stabilimento del gruppo Facebook situato in Belgio erano inscindibilmente connesse al trattamento dei dati personali per il quale il titolare è Facebook Ireland e, pertanto, l’oggetto dell’azione rientrava necessariamente nell’ambito delle attività di detto stabilimento.
3. Considerazioni su tale decisione
3.1 Osservazioni. Tale sentenza è particolarmente interessante in quanto sancisce un ampio ambito di competenza delle autorità nazionali e manifesta come le norme procedurali stabilite dal Regolamento debbano reggere un’interpretazione volta a garantire una maggiore, e non minore, protezione dei diritti degli interessati. Alla luce di ciò, il criterio dello sportello unico si configura dunque come un meccanismo di coordinamento e buon funzionamento che deve essere rispettato ma non è volto ad assurgere di per sé come limite alla ragionevole competenza di ciascuna autorità di controllo sulle violazioni del GDPR e delle disposizioni nazionali in materia di protezione dei dati personali.