Nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, è stata pubblicata un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Da allora stiamo sviscerando su questo portale il tema del trasferimento dei dati personali. A inizio luglio ci siamo soffermati sulla nozione di trasferimento (premere qui per leggere), per poi proseguire con i profili del trasferimento nell’ambito del cloud computing (premere qui per leggere), passando per un’indagine sulla nozione generale di adeguatezza (premere qui per leggere), e sui profili pratici del trasferimento dei dati personali basato su una decisione di adeguatezza (premere qui per leggere), continuando ancora con un’analisi delle model contractual clauses come alternative alla decisione di adeguatezza (premere qui per leggere) e ancora dei codici di condotta e meccanismi di certificazione (premere qui per leggere), infine un passaggio in rassegna le principali decisioni di adeguatezza adottate prima e dopo l’introduzione del GDPR (premere qui per leggere), un focus sulle norme vincolanti di impresa (premere qui per leggere).
Dopodiché si è passati a trattare il tema delle deroghe al trasferimento in specifiche situazioni (premere qui per leggere), cominciando con il consenso dell’interessato (premere qui per leggere).
Proseguiamo dunque su questa strada analizzando l’esecuzione di un contratto con l’interessato prima, e l’esecuzione di un contratto in favore dell’interessato, poi.
L’art. 49, par. 1, lett. b) del Regolamento Generale sulla Protezione dei Dati (GDPR) consente il trasferimento di dati personali verso paesi terzi quando tale trasferimento risulti necessario per l’esecuzione di un contratto tra il titolare del trattamento e l’interessato, o per l’adozione di misure precontrattuali su richiesta dell’interessato. Tuttavia, il Considerando 111, precisa che questo trasferimento debba essere non solo necessario, ma anche di carattere occasionale.
La necessità del trasferimento deve essere quindi valutata in funzione dell’esecuzione del contratto, e solo quei trasferimenti che presentano un nesso funzionale con le finalità contrattuali possono considerarsi legittimi. Già il Gruppo di lavoro ex articolo 29 aveva introdotto il concetto di “test di necessità“, finalizzato a verificare se vi sia un legame stretto e sostanziale tra l’interessato e le finalità del contratto. Successivamente l’European Data Protetion Board (EDPB), nelle sue Linee guida 2/2018, ha confermato tale approccio, ribadendo che il trasferimento può avvenire solo quando sussista un collegamento significativo e imprescindibile con l’obiettivo del contratto.
È interessante notare la distinzione tra necessità e “necessarietà” avanzata da parte della dottrina, secondo cui il trasferimento non deve essere l’unica modalità possibile per eseguire il contratto, ma una tra le diverse soluzioni possibili. Questo approccio, tuttavia, comporta il rischio che il titolare del trattamento possa ricorrere alla deroga anche quando esistono soluzioni alternative che garantiscano una maggiore protezione per l’interessato.
Per quanto concerne invece l’occasionalità, l’EDPB chiarisce che un trasferimento può considerarsi tale quando avviene in circostanze eccezionali o non prevedibili. La ripetizione del trasferimento non esclude automaticamente il carattere occasionale, a meno che essa avvenga con regolarità all’interno di un rapporto stabile, nel qual caso non può essere considerata occasionale. Un classico esempio di trasferimento occasionale è quello di dati di un cliente da parte di una banca per eseguire un pagamento verso un istituto situato in un paese terzo, a condizione che non avvenga nel quadro di una cooperazione stabile e continuativa tra i due istituti.
Va comunque sottolineato che questa deroga non può essere invocata per trasferire dati supplementari o estranei a quelli strettamente necessari per l’esecuzione del contratto, e che comunque essa non si applica ai trasferimenti effettuati dalle autorità pubbliche nell’esercizio dei loro poteri sovrani.
L’art. 49, par. 1, lett. c) del GDPR consente invece il trasferimento di dati personali verso paesi terzi quando tale trasferimento risulta necessario per la conclusione o l’esecuzione di un contratto stipulato dal titolare del trattamento con un soggetto terzo, di cui l’interessato è beneficiario. In altre parole, il trasferimento è ammesso quando i dati dell’interessato devono essere trasferiti per consentire l’esecuzione di un contratto che, pur non essendo stipulato direttamente con l’interessato, lo riguarda indirettamente in qualità di beneficiario.
Anche in questo caso, come per la deroga prevista dall’art. 49, par. 1, lett. b), l’EDPB, nelle già richiamate Linee guida 2/2018, impone l’applicazione del cosiddetto “test di necessità“. Questo test richiede che vi sia un collegamento stretto tra l’interesse dell’interessato e le finalità del contratto. In altre parole, il trasferimento dei dati deve essere strettamente funzionale al perseguimento degli obiettivi contrattuali che coinvolgono indirettamente l’interessato.
Come nel caso del trasferimento legato all’esecuzione di un contratto direttamente con l’interessato, anche qui il trasferimento deve essere occasionale per poter essere considerato legittimo. Naturalmente il Considerando 111 conferma questo requisito, chiarendo che la natura del trasferimento non può essere sistematica o regolare, ma deve avvenire in circostanze eccezionali o non prevedibili, analogamente a quanto previsto per le altre deroghe al regime ordinario del trasferimento di dati personali verso paesi terzi.
Per approfondire
- BOLOGNINI (a cura di), Il Regolamento privacy europeo, Milano, 2016, 526;
- MENEGHETTI, Trasferimenti dei dati personali verso paesi terzi o organizzazioni internazionali, in FINOCCHIARO, Torino, 2017, 482;
- PIZZETTI, Privacy e il diritto europeo alla protezione dei dati, Torino, 2016, 85;
- VOIGT-VON DEM BUSSCHE, The EU General Data Protection Regulation (GDPR), Cham, 2017, 131.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Analisi giuridica e peculiarità del reato di frode informatica - Dicembre 16, 2024
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024