Il trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali

Premesse storiche e sistematiche

L’aspetto del trasferimento di dati personali oltre frontiera ha da tempo risalente rappresentato un “nodo” discusso da legislatori e stakeholders in quanto coinvolge problematiche giuridiche non indifferenti.

Il trasferimento dei dati personali comporta oggi, infatti, nella stragrande maggioranza dei casi l’emigrazione di nuclei “in formato interoperabile”[1] di informazioni – talvolta anche intime – trasmessi verso realtà nazionali od organizzative differenti da quella in cui viviamo, che hanno avuto, hanno o possono ancora avere concezioni sulla tutela del dato personale alcune volte più “flessibili”, altre volte del tutto antitetiche[2] rispetto a quelle garantite dalla nostra Costituzione e dal nostro ordinamento.

A tutto questo, nel costante divenire dell’evoluzione tecnologica e dei processi di datafication in corso d’opera per ogni settore[3], va aggiunto, fra le criticità che il fenomeno suscita, l’imponente e massiccio uso delle tecnologie di cloud computing[4], che attraverso il principio di “ridondanza” dei dati verso server collocati spessissimo fuori non solo dall’Italia, ma anche dall’Europa, stimolano interrogativi sui livelli di protezione che una tale tecnologia può offrire alle informazioni collocate sulle piattaforme che offrono agli utenti un tale servizio.

L’allora Comunità europea (CE) già nel 1995 prese sul serio l’eventualità che i dati personali, nella trasmigrazione da uno Stato membro a un altro situato fuori dalla Comunità (o verso un’organizzazione internazionale[5]), potessero approdare verso una destinazione priva degli stessi standard di protezione. Nell’alveo della c.d. “Direttiva madre” in materia di privacy[6], infatti, vennero inseriti dal regolatore gli articoli 25 e successivi, che presentavano il principio fondamentale secondo cui la libera trasferibilità da uno Stato all’altro di dati personali fosse subordinata alla garanzia di un livello di protezione adeguato. Il concetto di “adeguatezza”, tuttavia, non fu meglio specificato nonostante la sua indispensabilità per consentire il trasferimento dei dati. Si previde soltanto un potere per la Commissione di stabilire se sussistesse siffatta adeguatezza, mediante una specifica decisione che tenesse conto degli aspetti di cui al comma 6 del medesimo articolo[7].

Comunque, sussistevano delle deroghe al placet della Commissione al successivo art. 26, che giustificava il trasferimento di dati personali verso un Paese terzo non “adeguato” qualora:

1. Vi fosse il consenso dell’interessato;
2. Fosse necessario per l’esecuzione di un contratto tra il responsabile (leggasi titolare) e la persona interessata o per l’esecuzione di misure precontrattuali;
3. Fosse necessario per la conclusione o l’esecuzione di un contratto da concludere, concluso nell’interesse della persona interessata, del responsabile del trattamento o di un terzo;
4. Fosse necessario per la salvaguardia di un interesse pubblico rilevante, oppure per constatare, esercitare o difendere un diritto per via giudiziaria;
5. Fosse necessario per la salvaguardia di un interesse vitale dell’interessato;
6. Il trasferimento avvenisse da un registro pubblico, in forza di disposizioni legislative o regolamentari.

All’art. 26, comma 2 della Direttiva, inoltre, si prevedeva un’ulteriore ipotesi, data dall’autorizzazione da parte dello Stato dell’Unione europea su richiesta del responsabile (leggasi titolare) del trattamento debitamente documentata da garanzie “adeguate” di livello contrattuale per la tutela dei dati personali dell’interessato oggetto di trasferimento[8].

Una tale disciplina fu, in seguito, trasposta nella variegata normativa nazionale che, in mancanza di stringenti imposizioni eurounitarie, poteva tranquillamente prevedere delle deroghe. In Italia, la materia fu regolata per anni dal Codice privacy nel Titolo VII[9]. Inutile dire che l’accrescersi e l’evolversi delle discipline non fece altro che diversificarle sostanzialmente, perlomeno fino all’emanazione del Regolamento (UE) 2016/679[10], che ne ha dettato la definitiva stabilizzazione su tutto il territorio dell’Unione europea e ha costituito, congiuntamente alla Convenzione 108/1981 del Consiglio d’Europa[11], l’unico strumento per il tema vincolante a livello internazionale.

La disciplina del trasferimento dei dati personali oltre frontiera nel GDPR

Il collocamento normativo del tema relativo al trasferimento di dati personali verso Paesi terzi od organizzazioni internazionali è situato nel Capo V del GDPR, agli articoli da 44 a 50.

Proprio l’art. 44 rappresenta il “manifesto” dei vincoli imposti dal Regolamento in termini di tutela dei dati personali. A differenza della Direttiva 46/95/CE, il GPDR non contiene una definizione di “trasferimento”. Deve, comunque, ritenersi che esso sussista ogniqualvolta un dato personale sia materialmente trasferito al di fuori dello Spazio economico europeo[12]. La dottrina, inoltre, pare concorde nel ritenere che il mero transito di dati personali su strumenti non fisicamente presenti nel territorio dell’Unione non integri un’ipotesi di trasferimento, anche alla luce del dato letterale dell’art. 44 del GDPR.

Il successivo articolo 45 prevede, così come già previsto nelle discipline europea e nazionale precedenti, la subordinazione della legittimità del trasferimento a una decisione di adeguatezza presa dalla Commissione. Nella valutazione dell’adeguatezza, la norma elenca alcuni elementi di cui la stessa deve necessariamente tenere conto, di fatto recependo le indicazioni della Corte di Giustizia UE nel caso Schrems (C-362/14). La nominata sentenza ha influenzato anche la successiva previsione, al paragrafo 3 del medesimo articolo, di un riesame ogni quattro anni che tenga conto anche degli sviluppi in materia di protezione dei dati personali nel Paese terzo o nell’organizzazione internazionale verso cui i dati possono essere trasferiti.

Senza soffermarsi ulteriormente su questo aspetto, va segnalato che, ad oggi, esiste un elenco in continuo aggiornamento di Paesi che soddisfano le condizioni ex art. 25, comma 6 della Direttiva e che resteranno in vigore fino a modifica, sostituzione o abrogazione ad opera dell’art. 45 del GDPR:

• Andorra;
• Argentina;
• Australia;
• Canada;
• FaerOer;
• Guenesey;
• Isola di Man;
• Israele;
• Jersey;
• Nuova Zelanda;
• Svizzera.

Inoltre, anche se non in forza di una decisione di adeguatezza, nella lista vanno inclusi i Paesi dell’EFTA (Islanda, Lichtenstein e Norvegia)[13].

Al successivo art. 46 si prevede la possibilità, se ricorrono determinate circostanze, di trasferire i dati personali all’estero anche se in assenza della predetta decisione di adeguatezza. Tuttavia, a differenza della formulazione dell’ultima norma citata, l’art. 46 del GDPR, nel primo paragrafo, contiene due precondizioni fondamentali:

1. Fornire garanzie adeguate;
2. Dotare gli interessati di diritti azionabili o altri mezzi di ricorso effettivi per potere esercitare utilmente i propri diritti[14].

Ai sensi del considerando 108, peraltro, gli strumenti di cui sopra devono consistere anche nel “ricorso in sede amministrativa o giudiziale e la richiesta di risarcimento, nell’Unione o in un paese terzo”.

Quanto al punto a), resta inteso che le “garanzie adeguate” rientrano in un ventaglio molto più ampio rispetto alla normativa del passato in materia, con l’inclusione nella valutazione di criteri come quelli di, a titolo esemplificativo, privacy by design o privacy by default, accountability e, in maniera ancora più stringente, di sicurezza del trattamento ai sensi degli artt. 24, 25, 32 del GDPR.

L’elenco di cui al paragrafo 2 è ritenuto dalla dottrina tassativo e comprende ulteriori ipotesi di trasferimenti autorizzabili qualora esistano:

• Strumenti giuridicamente vincolanti efficaci tra autorità od organismi pubblici;
• Norme vincolanti di impresa di cui all’art. 47 del GDPR;
• Clausole contrattuali tipo, anche chiamate standard, adottate o approvate dalla Commissione UE[15];
• Codici di condotta e/o meccanismi di certificazione ai sensi degli artt. 40-42 del GDPR.

Ai sensi dei paragrafi successivi dell’art. 46, rimangono garanzie adeguate previa autorizzazione dell’Autorità di controllo competente:

• Clausole contrattuali fra titolare o il responsabile del trattamento e un altro titolare, responsabile del trattamento o destinatario di dati personali nel Paese terzo o nell’organizzazione internazionale;
• Disposizioni appositamente inserite in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati.

Senza dilungarsi ulteriormente, un breve cenno va fatto anche alle cc.dd. binding corporate rules, tradotte nella versione italiana del Regolamento in norme vincolanti d’impresa.

Esse nascono dall’esigenza[16], sentita con l’aumentare degli scambi commerciali internazionali e del livello di tecnologia di trasmissione delle informazioni, di creare degli strumenti che permettessero alle multinazionali di far transitare in maniera più fluida le informazioni tra le varie sedi senza barcamenarsi in lungaggini imposte dalla legge.

Il GDPR permette alle società, previa approvazione dell’Autorità di controllo delle suddette norme, di trasferire liberamente i dati personali degli interessati all’estero, a condizione che le BCR:

1. Siano giuridicamente vincolanti e si applichino a tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese che svolge attività in comune[17];
2. Conferiscano espressamente agli interessati diritti azionabili in relazione al trattamento dei loro dati personali;
3. Soddisfino i requisiti previsti espressamente dal secondo paragrafo dell’articolo 47.

Esistono già diversi modelli-tipo per la redazione di binding corporate rules[18].

A chiusura del sistema, tralasciando per esigenze di celerità, fra l’altro, l’art. 50 del GDPR quale norma di scopo e con una funzione particolare in relazione alle autorità di controllo e alla Commissione, va precisato che esiste un complesso sistema di deroghe nell’articolo 49, il quale, al netto dei numerosi “nuovi” combinati disposti derivanti dalle previsioni del GDPR non esistenti nella Direttiva 95/46/CE, va a ricalcare sostanzialmente quanto già previsto nell’abrogata Direttiva madre in materia di privacy.

Sulle condizioni tassative che permettono di derogare al generale divieto di trasferimento dei dati personali, si rinvia al contenuto del primo paragrafo dell’art. 49. Non devono verificarsi tutte, per permettere la liceità del trasferimento basta l’avverarsi di una di esse.

Infine, il secondo capoverso del paragrafo 1 dell’art. 49, qualora tutte le ipotesi finora esaminate non siano applicabili al trasferimento, esiste un’ultima ipotesi derogatoria, che ammette il trasferimento di dati personali quando:

1. Il trattamento non è ripetitivo;
2. Riguarda dati riferibili a un numero limitato di interessati (se il trattamento è in larga scala, dunque, automaticamente la deroga non si applica);

• È necessario per il perseguimento di “interessi legittimi cogenti” del titolare del trattamento;

1. Gli interessi o i diritti e le libertà degli interessati non prevalgono su tali interessi legittimi;
2. Il titolare del trattamento ha valutato tutte le circostanze relative a trattamento e ha adottato misure adeguate per garantire la protezione dei dati personali coinvolti.

La formulazione relativa alla “cogenza” dei legittimi interessi del titolare del trattamento, in buona sostanza e a modesto parere di chi scrive, non fa altro che allargare le maglie interpretative della norma e introduce nel sistema un potenziale espediente per eludere la disciplina.

Conclusioni

Il nuovo sistema stabilito dal regolatore europeo sul trasferimento transfrontaliero di dati personali, come non esaustivamente sintetizzato, pare riprendere la disciplina precedente, ma con le necessarie precisazioni in termini di evoluzione delle tecnologie sottostanti, che permettono un approccio flessibile e, allo stesso tempo, tutelato con robustezza[19], alle possibilità di flussi “internazionali” di dati personali garantiti da effettive e celeri tutele.

Quel che continua, oggi come allora, a destare preoccupazione nell’interprete è il problema dell’effettività di queste norme. La vaghezza nella formulazione delle deroghe al divieto di trasferimento di cui al secondo capoverso dell’art. 49, par. 1, le clausole contrattuali tipicamente applicate nelle prassi commerciali che spesso rimangono “lettera morta”, l’impossibilità materiale per le autorità di controllo di verificare sistematicamente il rispetto del Regolamento, rimangono un grande interrogativo che deve, al più presto, trovare risposte concrete.

Sempre di più si sente l’esigenza di non permettere che i dati personali diventino “merce da profilazione” venduta al miglior offerente all’estero, senza alcuno scrupolo sulla tutela della riservatezza e privo di qualunque barriera che impedisca l’accesso alle proprie informazioni, da cui a conti fatti si può attingere per le finalità più variegate e, in molti casi, non proprio lecite.

[1] Mutuando un’espressione utilizzata nel GDPR (General Data Protection Regulation) con riguardo alla c.d. data portability (portabilità dei dati) ex art. 20. Con siffatta espressione si intende che, nella stragrande maggioranza dei casi, siamo noi utenti a collocare i nostri dati in formati “disponibili” all’interno della rete, non preoccupandoci degli standard di sicurezza di chi, invece, ospita le nostre informazioni.

[2] Un esempio è quello della prevalenza assoluta, per non dire oltranzista, delle tutele garantite dal I Emendamento alla Costituzione statunitense rispetto alle esigenze di riservatezza dei cittadini. Ancora, sotto il profilo del trattamento di dati personali di cittadini europei effettuato dagli Stati Uniti, assume un connotato particolarmente “aspro” lo scandalo del c.d. Datagate e la recente sentenza Schrems della Corte di Giustizia dell’Unione europea, consultabile qui: http://curia.europa.eu/juris/document/document.jsf?docid=169195&doclang=IT.

Più di recente, infine, lo scandalo di Cambridge Analytica ha ulteriormente deteriorato i rapporti fra l’Unione europea e gli Stati Uniti, per i metodi discutibili di tutela dei dati personali di cittadini europei messi in atto dalle loro grandi multinazionali.

[3] Ad esempio, la ramificazione delle multinazionali su più Paesi e su più continenti, che coinvolge diversi standard di tutela delle informazioni atteso che i dati possono migrare da sistemi virtuosi a sistemi carenti.

[4] L’argomento merita un approfondimento separato, in quanto pregno di complessità sotto molteplici aspetti.

[5] Con “organizzazione internazionale” deve intendersi un soggetto giuridico costituito e formato da enti pubblici (e.g., gli Stati) che persegue finalità pubblicistiche, restando escluse quelle organizzazioni che, pur perseguendo finalità di pubblico interesse, non sono costituite da soggetti di diritto pubblico. In tal senso, G. M. Riccio, GDPR e normativa privacy, commentario, a cura di G. M. Riccio, G. Scorza, E. Belisario, 395, cit.

[6] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, consultabile qui: https://www.garanteprivacy.it/documents/10160/10704/Direttiva+95+46+CE.pdf/98ae1df8-185b-48cd-a107-ed8da71e05fe?version=1.3.

[7] Si sarebbe presa in esame la legislazione nazionale del Paese membro in materia di privacy, nonché gli impegni internazionali assunti per tutelare la vita privata delle persone fisiche. Requisito ormai non più operante dopo l’abrogazione della Direttiva ad opera del GDPR, né più sensato.

[8] V. Colarocco, Il trasferimento di dati verso Paesi terzi, in Il processo di adeguamento al GDPR, a cura di G. Cassano, V. Colarocco, G. B. Gallus, F. P. Micozzi, 236.

[9] Codice in materia di protezione dei dati personali, d. lgs. 196/2003, disponibile qui: https://www.garanteprivacy.it/documents/10160/0/Codice+in+materia+di+protezione+dei+dati+personali+%28Testo+coordinato%29.pdf/b1787d6b-6bce-07da-a38f-3742e3888c1d?version=1.5.

[10] General Data Protection Regulation (GDPR), disponibile qui: https://www.garanteprivacy.it/documents/10160/0/Regolamento+UE+2016+679.+Arricchito+con+riferimenti+ai+Considerando+Aggiornato+alle+rettifiche+pubblicate+sulla+Gazzetta+Ufficiale++dell%27Unione+europea+127+del+23+maggio+2018.pdf/1bd9bde0-d074-4ca8-b37d-82a3478fd5d3?version=1.9.

[11] Il testo in italiano della Convenzione è disponibile qui: https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=0900001680078c45.

[12] V. ancora G. M. Riccio, GDPR e normativa privacy, 396, cit.

[13] V. Colarocco, Il trasferimento di dati verso Paesi terzi, 244 cit.

[14] Cfr. Meneghetti, L’adeguatezza dei trasferimenti di dati personali negli USA, anche Paesi terzi o organizzazioni internazionali (artt- 44-50), in Finocchiaro, Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna-Roma, 2017.

[15] Le model contract clauses sono lo strumento più utilizzato dalle società commerciali, in assenza di decisione di adeguatezza, per il trasferimento dei dati. Sono generalmente incluse nel testo dei contratti internazionali e comportando obbligazioni specifiche per il soggetto importatore allocato al di fuori del territorio dell’UE. Normalmente le clausole sono una fonte di integrazione del contratto e, materialmente, vengono allegate alla parte di testo che disciplina il rapporto commerciale tra i due soggetti (uno fuori e uno dentro l’Unione europea). La dottrina ritiene che il testo del contratto debba essere stipulato nella lingua di uno dei Paesi UE e che, anche qualora ve ne fosse una traduzione, il testo vincolante rimane quello originale.

[16] Anche alla luce del privacy shield con gli USA.

[17] Dalla lettera della norma si evince che neppure le reti di imprese o i consorzi esterni temporanei siano esonerati da tali accorgimenti.

[18] Pubblicati ad opera del Working Party ex art. 29 (Working documents nn. 154, 256, 257, 263, 264, 265, disponibili sul sito . Anche il Garante privacy ha pubblicato sulla Gazzetta Ufficiale della Repubblica dei provvedimenti in merito all’autorizzazione di trasferimenti di dati personali mediante BCR prima del 25 maggio 2018.

[19] Si segnala anche l’obbligo di inserimento nel Registro ex art. 30 del GDPR dei trasferimenti di dati personali all’estero o verso organizzazioni internazionali.