Qualche settimana fa è stata pubblicata nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Da allora stiamo sviscerando su questo portale il tema del trasferimento dei dati personali. A inizio mese ci siamo soffermati sulla nozione di trasferimento (premere qui per leggere), per poi proseguire con i profili del trasferimento nell’ambito del cloud computing (premere qui per leggere). Con il presente contributo, invece, si vuole indagare sulla nozione generale di adeguatezza.
Ebbene, anche per il fatto di aver preso parte attivamente, come Studio Legale, all’azione di classe contro Facebook, passata alla storia come “Caso Schrems” (o “Schrems I”), ci piace richiamare l’Opinione dell’Avvocato Generale Yves Bot, presentata il 23/09/2015, il quale sostanzialmente affermò che un paese terzo assicura un livello di protezione adeguato solo se, al termine di una valutazione complessiva del diritto e della prassi del paese in questione, si può dimostrare che tale paese offre una protezione sostanzialmente equivalente a quella offerta dalla direttiva europea, anche se le modalità di tale protezione possono differire da quelle generalmente vigenti all’interno dell’Unione Europea.
Va detto che vi è un problema linguistico di non poco conto. Il termine “adeguatezza”, infatti, deriva dal latino “adaequatio“, che letteralmente significa “rendere uguale” o “equivalere”. E questo implicherebbe dunque una condizione di equivalenza o corrispondenza tra due elementi. In lingua italiana non sembrerebbero quindi esserci particolari problemi. Tuttavia non è così nella lingua inglese.
E l’Avvocato Bot chiarì bene che, sebbene il termine inglese “adequate” possa essere inteso linguisticamente come un livello di protezione “appena sufficiente”, l’unico criterio che deve guidare l’interpretazione di questo termine è l’obiettivo di conseguire un livello elevato di protezione dei diritti fondamentali, come richiesto dalla direttiva 95/46. Ciò significa che l’adeguatezza deve garantire una protezione dei dati personali che, pur potendo essere attuata con modalità diverse da quelle europee, raggiunge comunque gli stessi standard elevati di protezione dei diritti fondamentali.
Ora, è chiaro che tale opinione fosse basata sulle norme allora vigenti, e il GDPR al tempo, sebbene in procinto di essere approvato, non aveva ancora visto ufficialmente la luce (lo avrebbe fatto il 27 aprile 2016, per poi entrare in vigore il 25 maggio 2018), ma ci sembra di poter affermare che l’attuale articolo 45 del GDPR prosegua la strada tracciata dalla direttiva, e ben illuminata dall’Avvocato Bot, andando anzi ad elencare, a differenza della direttiva, una serie di elementi da considerare per valutare l’adeguatezza del livello di protezione dei dati personali. Tra questi elementi ci sono lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la legislazione pertinente sia generale che settoriale (come sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso ai dati da parte delle autorità pubbliche), e l’attuazione di tale legislazione. Inoltre, vengono prese in considerazione le norme sulla protezione dei dati, le norme professionali, le misure di sicurezza, incluse le norme per il trasferimento successivo dei dati personali verso altri paesi o organizzazioni internazionali, e la giurisprudenza. Va da se che tutto ciò non è sufficiente, ma è a dir poco essenziale che gli strumenti di tutela siano efficaci nella pratica, per garantire una protezione sostanzialmente equivalente a quella garantita all’interno dell’Unione Europea.
Ed allora, quando la Commissione è chiamata a valutare l’adeguatezza, essa dovrà quindi valutare il contenuto delle norme applicabili nel paese terzo derivanti dalla legislazione nazionale o dagli impegni internazionali di quest’ultimo, nonché la prassi intesa a garantire il rispetto di tali norme. Tale aspetto è stato sottolineato dalla Corte di Giustizia dell’Unione Europea nel già citato caso Schrems (6 ottobre 2015, causa C-362/14), quando ha affermato che non è sufficiente solo un quadro normativo, ma è necessaria un’attuazione pratica efficace.
Oltre a tutto questo, ad essere valutate sono anche l’esistenza e il funzionamento effettivo di una o più autorità di controllo indipendenti nel paese terzo o nell’organizzazione internazionale. La Commissione, in particolare, deve verificare che queste autorità abbiano poteri di esecuzione adeguati e che cooperino con i soggetti interessati per l’esercizio dei diritti riconosciuti dal GDPR.
Per concludere potremmo dunque dire che la nozione di adeguatezza è intrinsecamente relazionale: essa cioè non si riferisce a uno standard assoluto di protezione, ma piuttosto a una comparazione tra il regime di protezione dei dati di un paese terzo e quello dell’UE.
Il concetto di adeguatezza potremmo allora intenderlo come dinamico, nel senso che deve adattarsi ai cambiamenti nel panorama della protezione dei dati. E questo implica che una valutazione di adeguatezza non è una valutazione definitiva, ma deve essere soggetta a revisione periodica (come di fatto sta avvenendo).
A nostro sommesso avviso le tecnologie emergenti, le nuove pratiche di trattamento dei dati e le modifiche legislative possono influenzare la percezione e la realtà dell’adeguatezza, sarebbe dunque opportuno un approccio proporzionale e contestuale, valutando non solo le normative scritte, ma anche la loro applicazione pratica e l’efficacia delle misure di protezione. Deve essere innanzitutto tenuta in debita considerazione la capacità delle autorità di protezione dei dati di far rispettare le leggi e di offrire rimedi efficaci agli individui i cui diritti siano stati violati.
Per approfondire:
- BIGNAMI-RESTA, Transatlantic Privacy Regulation: Conflict and Cooperation, in Law & Cont. Probl. 101 (2015);
- BOLOGNINI-PELINO-BISTOLFI, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016;
- KIRSCHEN, Il trasferimento all’estero dei dati, in PANETTA, Circolazione e protezione dei dati personali, tra libertà e regole del mercato, 2019;
- MANTELERO, L’ECJ invalida l’accordo per il trasferimento dei dati personali fra EU ed USA. Quali scenari per i cittadini ed imprese?, in Contr. e impresa/Europa, 2015, 719;
- MENEGHETTI, L’adeguatezza dei trasferimenti di dati personali negli USA, anche alla luce del nuovo Regolamento privacy Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali (artt. 44-50), in FINOCCHIARO, Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna-Roma, 2017;
- PIRODDI, I trasferimenti di dati personali verso Paesi terzi dopo la sentenza Schrems e nel nuovo regolamento generale sulla protezione dei dati, in Dir. inf., 2015, 827;
- RESTA-ZENO-ZENCOVICH (a cura di), La protezione transnazionale dei dati personali. Dai "safe harbour principles" al "privacy shield", Roma, 2016;
- RICCIO-PEZZA, Trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali, in TOSI, Privacy digitale. Riservatezza e protezione dei dati personali tra GDPR e nuovo Codice Privacy, Milano, 2019;
- SWIRE, US Surveillance Law, Safe Harbor, and Reforms Since 2013, in Georgia Tech Scheller College of Business Research Paper, No. #36, 2015.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024
- Trasferimento di dati da registri pubblici: le deroghe e i limiti dell’art. 49 del GDPR - Novembre 4, 2024
- L’interesse vitale dell’interessato o di altre persone come deroga al trasferimento transfrontaliero di dati personali - Ottobre 28, 2024