Nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, è stata pubblicata un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Da allora stiamo sviscerando su questo portale il tema del trasferimento dei dati personali. A inizio luglio ci siamo soffermati sulla nozione di trasferimento (premere qui per leggere), per poi proseguire con i profili del trasferimento nell’ambito del cloud computing (premere qui per leggere), passando per un’indagine sulla nozione generale di adeguatezza (premere qui per leggere), e sui profili pratici del trasferimento dei dati personali basato su una decisione di adeguatezza (premere qui per leggere), continuando ancora con un’analisi delle model contractual clauses come alternative alla decisione di adeguatezza (premere qui per leggere) e ancora dei codici di condotta e meccanismi di certificazione (premere qui per leggere), infine un passaggio in rassegna le principali decisioni di adeguatezza adottate prima e dopo l’introduzione del GDPR (premere qui per leggere), un focus sulle norme vincolanti di impresa (premere qui per leggere).
Dopodiché si è passati a trattare il tema delle deroghe al trasferimento in specifiche situazioni (premere qui per leggere), cominciando con il consenso dell’interessato (premere qui per leggere), e proseguendo con l’esecuzione di un contratto con l’interessato e in favore dell’interessato (premere qui per leggere), e con gli importanti motivi di interesse pubblico (premere qui per leggere).
Con il presente breve contributo, invece, continueremo a trattare il tema delle deroghe avendo specifico riguardo all’esercizio o difesa di un diritto in sede giudiziaria.
Tale specifica regola è prevista dall’art. 49, par. 1, lett. e) del GDPR che consente appunto il trasferimento di dati verso paesi terzi o organizzazioni internazionali qualora sia necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
In base a quanto previsto dal considerando 111 GDPR, il trasferimento di dati deve essere necessario per un’“azione legale,” intesa in senso ampio. Il che significa non solo le azioni in sede giudiziale e amministrativa, ma anche quelle stragiudiziali, ovvero procedimenti che non coinvolgono direttamente un tribunale o un’autorità pubblica.
Pertanto, autorevole dottrina ritiene che tale deroga possa applicarsi anche ai trasferimenti di dati che avvengano prima dell’avvio di un procedimento giudiziario, purché vi sia un’effettiva e concreta esigenza di difesa legale. Ad esempio, il trasferimento potrebbe essere legittimo per preparare una difesa legale o per raccogliere prove in vista di una potenziale causa.
Al contrario, non è possibile utilizzare questa deroga quando il trasferimento si basa su una mera eventualità di procedimenti futuri, ovvero una semplice possibilità ipotetica di un contenzioso, senza che ci siano circostanze concrete e immediate che giustifichino la necessità del trasferimento di dati. In tal senso, l’European Data Protection Board (EDPB), nelle Linee guida 2/2018, ha chiarito che il trasferimento deve essere giustificato da una reale esigenza legale e non può essere fondato su una vaga o remota possibilità di azioni legali future.
In estrema sintesi, dunque, la deroga prevista dall’art. 49, par. 1, lett. e) è applicabile solo quando esiste una necessità effettiva legata a una concreta difesa legale, indipendentemente dal fatto che la controversia sia già formalmente iniziata o meno, ma non può essere utilizzata in presenza di una semplice possibilità ipotetica di un procedimento giudiziario.
Per quanto riguarda specificamente il requisito della necessità, l’EDPB ha chiarito che il cosiddetto “test di necessità” richiede uno stretto nesso tra i dati trasferiti e lo specifico accertamento o diritto che si intende esercitare o difendere. In altre parole, i dati trasferiti devono essere direttamente pertinenti e strettamente collegati allo scopo legale per cui sono necessari. Non è sufficiente che il trasferimento possa essere solo utile o conveniente; ad esempio, cercare una maggiore apertura o flessibilità da parte dell’autorità giudiziaria di un paese terzo non costituisce una base valida per autorizzare il trasferimento dei dati ai sensi della deroga prevista dall’art. 49, par. 1, lett. e). Ancora, l’esportatore dei dati dovrebbe sempre verificare la possibilità di effettuare il trasferimento in forma anonima o, se ciò non è possibile, utilizzare forme di pseudonimizzazione. L’EDPB, nelle Linee guida 2/2018, ha sottolineato proprio che il trasferimento di dati dovrebbe avvenire secondo i principi di minimizzazione e protezione dei dati, e che tali tecniche possono aiutare a ridurre il rischio per i diritti e le libertà degli interessati, aumentando al contempo la sicurezza del trasferimento.
Per approfondire:
- BOLOGNINI (a cura di), Il Regolamento privacy europeo, Milano, 2016, 526;
- MENEGHETTI, Trasferimenti dei dati personali verso paesi terzi o organizzazioni internazionali, in FINOCCHIARO, Torino, 2017, 482;
- PIZZETTI, Privacy e il diritto europeo alla protezione dei dati, Torino, 2016, 85;
- VOIGT-VON DEM BUSSCHE, The EU General Data Protection Regulation (GDPR), Cham, 2017, 131.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Analisi giuridica e peculiarità del reato di frode informatica - Dicembre 16, 2024
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024