Nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, è stata pubblicata un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Da allora stiamo sviscerando su questo portale il tema del trasferimento dei dati personali. A inizio luglio ci siamo soffermati sulla nozione di trasferimento (premere qui per leggere), per poi proseguire con i profili del trasferimento nell’ambito del cloud computing (premere qui per leggere), passando per un’indagine sulla nozione generale di adeguatezza (premere qui per leggere), e sui profili pratici del trasferimento dei dati personali basato su una decisione di adeguatezza (premere qui per leggere), continuando ancora con un’analisi delle model contractual clauses come alternative alla decisione di adeguatezza (premere qui per leggere) e ancora dei codici di condotta e meccanismi di certificazione (premere qui per leggere), infine un passaggio in rassegna le principali decisioni di adeguatezza adottate prima e dopo l’introduzione del GDPR (premere qui per leggere), un focus sulle norme vincolanti di impresa (premere qui per leggere).
Dopodiché si è passati a trattare il tema delle deroghe al trasferimento in specifiche situazioni (premere qui per leggere), cominciando con il consenso dell’interessato (premere qui per leggere), e proseguendo con l’esecuzione di un contratto con l’interessato e in favore dell’interessato (premere qui per leggere).
Quest’oggi, invece, proseguiremo l’analisi delle deroghe, soffermandoci sugli importanti motivi di interesse pubblico.
Tra le deroghe previste dall’art. 49, par. 1, del GDPR, quella alla lettera d) si basa sull’esistenza di un rilevante interesse pubblico per il trasferimento di dati verso paesi terzi, in assenza di garanzie adeguate. Ma è al considerando 112 che vengono elencate alcune situazioni in cui tale deroga può applicarsi, come ad esempio:
1. Scambio di dati tra amministrazioni fiscali o doganali: necessario per garantire la corretta applicazione delle leggi fiscali e doganali internazionali.
2. Scambio di informazioni tra autorità garanti della concorrenza: rilevante per le indagini e la cooperazione internazionale tra autorità antitrust.
3. Comunicazione di dati in ambito sanitario: fondamentale per esigenze di tutela della salute pubblica, come in caso di epidemie o emergenze sanitarie.
I sopracitati esempi costituiscono un utile riferimento per individuare gli interessi collettivi che possono prevalere sulla tutela dei diritti dell’interessato, giustificando il trasferimento dei dati senza adeguate garanzie. Ma l’applicazione di tale deroga richiede il rispetto di un’ulteriore condizione prevista dall’art. 49, par. 4:
– interesse pubblico riconosciuto dal diritto dell’Unione o degli Stati membri: il trasferimento deve essere fondato su un interesse pubblico riconosciuto formalmente dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento (anche se è un ente privato). Questa condizione è stata prevista per evitare che paesi terzi possano determinare unilateralmente l’esistenza di un interesse pubblico rilevante, giustificando così un trasferimento senza le adeguate tutele previste dal GDPR.
I considerando 111 e 112 precisano che tale deroga non richiede l’occasionalità del trasferimento, ma nelle linee guida 2/2018 dell’European Data Protection Board (EDPB) viene chiarito che l’assenza del requisito di occasionalità non significa che la deroga possa essere usata per trasferimenti di dati sistematici e su larga scala. Essendo un’eccezione alla regola generale secondo cui i trasferimenti di dati verso paesi terzi devono garantire un adeguato livello di protezione, se il trasferimento avviene nel normale contesto operativo o commerciale, il titolare del trattamento dovrà adottare le garanzie adeguate previste dall’art. 46 GDPR, invece di ricorrere alla deroga ex art. 49, par. 1, lett. d).
Ed allora, in estrema sintesi, è lecito affermare che questa deroga, pur non richiedendo l’occasionalità del trasferimento, deve comunque essere utilizzata con prudenza, assicurando che sia rispettato l’interesse pubblico riconosciuto dalla normativa UE o nazionale e limitando i trasferimenti sistematici di dati.
Per approfondire:
- BOLOGNINI (a cura di), Il Regolamento privacy europeo, Milano, 2016, 526;
- MENEGHETTI, Trasferimenti dei dati personali verso paesi terzi o organizzazioni internazionali, in FINOCCHIARO, Torino, 2017, 482;
- PIZZETTI, Privacy e il diritto europeo alla protezione dei dati, Torino, 2016, 85;
- VOIGT-VON DEM BUSSCHE, The EU General Data Protection Regulation (GDPR), Cham, 2017, 131.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Analisi giuridica e peculiarità del reato di frode informatica - Dicembre 16, 2024
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024