Trasferimenti transfrontalieri di dati personali
La previsione di una tutela omogenea a livello europeo della protezione dei dati personali si è concretizzata solo nel 2016 con l’approvazione del noto GDPR, regolamento finalizzato ad offrire un elevato livello di tutela a tutti i cittadini dell’Unione.
Conseguentemente si è presentato il problema del rapporto con i Paesi extra europei, in quanto, nel mercato globale, il trattamento dei dati non si arresta certo di fronte ai confini nazionali o unionali. Inoltre, si deve considerare che il diritto alla sicurezza dei dati personali costituisce, altresì, un baluardo contro illeciti controlli e interferenze che incidono sulla nostra libertà individuale, e che la tutela della privacy non è più considerabile soltanto come un elemento della sfera personale, ma piuttosto come un interesse fondamentale dello Stato. Del resto, i flussi di dati transfrontalieri sono diventati sempre più importanti in termini economici, politici e sociali, in aggiunta non è possibile ignorare il c.d. fenomeno dell’ubiquità dei trasferimenti di dati online; infatti, l’architettura stessa di Internet consente che un passaggio da un mittente ad un destinatario, pur trovandosi nello stesso paese, possa comportare il transito del messaggio o del file attraverso altri Stati, senza che entrambi ne siano mai consapevoli.
A fronte di queste premesse il legislatore europeo è intervenuto dapprima con la Direttiva 95/46/CE e successivamente con il Regolamento Generale sulla Protezione dei Dati, 2016/679/UE, inserendo principi e meccanismi idonei a proteggere i dati personali degli utenti dell’Unione anche al di fuori dei suoi confini geografici. In particolare, ai trasferimenti transfrontalieri si applica la disciplina prevista al Capo V del GDPR, che riassumendo individua tre possibili scenari in cui tale operazione è ammessa:
1. Nell’ipotesi in cui la Commissione, a norma dell’art. 45 del GDPR si sia espressa con una decisione di adeguatezza verso un Paese terzo, tale disposizione si basa su un esame ex ante teso all’accertamento della sussistenza di un adeguato livello di protezione. La decisione è poi soggetta a riesame periodico che attesti la permanenza dei requisiti richiesti, altrimenti si incorre in procedure di sospensione o revoca. Questo strumento è certamente il più efficace e consente uno scambio di dati personali da Paese UE a Paese Terzo, laddove vi sia la decisione di adeguatezza della Commissione, senza la necessità di formalità ulteriori.
2. In subordine, a norma dell’art. 46, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un Paese Terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. A tal fine, costituiscono garanzie adeguate:
a. Gli strumenti giuridicamente vincolanti tra autorità o organismi pubblici;
b. Norme vincolanti di impresa, ovvero Binding Corporate Rules come previste all’art. 47 GDPR;
c. Le clausole contrattuali tipo, ossia Standard Contractual Clauses (SCC) come predisposte dalla Commissione Europea, oppure, previa autorizzazione delle autorità di controllo, redatte ad hoc dalle imprese coinvolte;
d. I codici di condotta di cui all’ 40 GDPR;
e. I meccanismi di certificazione ex art. 42 GDPR.
3. Nella totale assenza dei presupposti sopra riportati sono previste alcune specifiche deroghe determinate dal legislatore e riportate all’art. 49 del GDPR. Alcuni casi sono dati dalle ipotesi in cui l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi, ovvero il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento.
Le richiamate decisioni di adeguatezza rappresentano la soluzione da preferire, poiché presuppongono una tutela in concreto equivalente a quella propria del nostro ordinamento. Tale strumento risulta imprescindibile specialmente per i Paesi Terzi che sono partner strategici per l’Unione Europea e con i quali gli scambi sono elemento sostanziale dell’economia, è questo il caso degli Stati Uniti.
Ebbene, la situazione con gli USA ha trovato solo recentemente un punto di equilibrio, risale infatti al 10 luglio 2023 la decisione di adeguatezza 2023/1795/UE che ha istituito il c.d. Data Privacy Framework (DPF). Con quest’ultimo si è posto fine ad un periodo di incertezza che ha visto anche l’intervento della Corte di Giustizia dell’Unione Europea (CGUE), che con le sentenze Schrems I e Schrems II aveva invalidato la previgente decisione 2000/520/CE (c.d. Safe Harbour) e la successiva decisione 2016/1250 (c.d. Privacy Shield). Ad oggi Il DPF si basa su una serie di garanzie fornite dagli USA riguardo il possibile accesso da parte delle agenzie di intelligence ai dati personali trasferiti in suolo americano. Tale forma viene, infatti, limitata a fattispecie determinate e solo dove ciò sia necessario e proporzionato al caso concreto. Inoltre, è stato istituito il Data Protection Review Court (DPRC), che in qualità di autorità indipendente è deputata a conoscere dei ricorsi provenienti dai cittadini UE per possibili violazioni circa la raccolta e l’utilizzo dei relativi dati personali.
A seguito di queste premesse, è quindi possibile un diretto trasferimento dall’UE agli USA per tutte le società che rientrano nella lista redatta dallo U.S. Department of Commerce (DoC); il procedimento di registrazione richiede che un’organizzazione produca e invii un’auto-certificazione al DoC dove si dimostra l’adesione ai Principi propri del DPF e che vengano comunicate al pubblico le relative privacy policies adottate.
Infine, qualora una società non sia certificata è comunque possibile procede al trattamento dei dati personali, tuttavia questo deve avvenire sulle premesse poste dall’art. 46 del GDPR, così come ribadito dall’European Data Protection Board (EDPB) nelle note informative rilasciate successivamente alla decisione di adeguatezza del 10 luglio 2023.
Concludendo questa disamina, si evince come l’UE sia stata in grado di regolamentare un’area in cui la tutela dei diritti fondamentali poteva essere potenzialmente a rischio, e che allo stesso tempo sono oggetto di un mercato importante per molte compagnie con sedi extra-UE. Certamente significativo è il fatto che in Paesi dove non vi sono normative specifiche in materia di dati personali, il GDPR è risultato idoneo ad esplicare i suoi effetti, espandendo la sua valenza anche oltre i confini geografici dell’Unione e stabilendo un nuovo standard di tutela.
A cura di Edoardo Calza