Nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, è stata pubblicata un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Da allora stiamo sviscerando su questo portale il tema del trasferimento dei dati personali. A inizio luglio ci siamo soffermati sulla nozione di trasferimento (premere qui per leggere), per poi proseguire con i profili del trasferimento nell’ambito del cloud computing (premere qui per leggere), passando per un’indagine sulla nozione generale di adeguatezza (premere qui per leggere), e sui profili pratici del trasferimento dei dati personali basato su una decisione di adeguatezza (premere qui per leggere), continuando ancora con un’analisi delle model contractual clauses come alternative alla decisione di adeguatezza (premere qui per leggere) e ancora dei codici di condotta e meccanismi di certificazione (premere qui per leggere), infine un passaggio in rassegna le principali decisioni di adeguatezza adottate prima e dopo l’introduzione del GDPR (premere qui per leggere), un focus sulle norme vincolanti di impresa (premere qui per leggere).
Dopodiché si è passati a trattare il tema delle deroghe al trasferimento in specifiche situazioni (premere qui per leggere), cominciando con il consenso dell’interessato (premere qui per leggere), e proseguendo con l’esecuzione di un contratto con l’interessato e in favore dell’interessato (premere qui per leggere), con gli importanti motivi di interesse pubblico (premere qui per leggere), e con l’esercizio o la difesa di un diritto in sede giudiziaria (premere qui per leggere)
Con il presente breve contributo, invece, continueremo a trattare il tema delle deroghe avendo specifico riguardo all’esercizio o difesa di un diritto in sede giudiziaria.
L’art. 49, par. 1, lett. f) GDPR autorizza il trasferimento di dati personali qualora sia necessario per tutelare interessi vitali dell’interessato o di un terzo impossibilitato fisicamente o giuridicamente a fornire il proprio consenso. Questa deroga si basa su circostanze straordinarie, come le situazioni di emergenza medica o altre situazioni di rischio per la vita o l’integrità dell’interessato.
Il GDPR amplia la portata della deroga già prevista dall’art. 26, par. 1, lett. e) della direttiva 95/46/CE, includendo anche situazioni in cui il trasferimento è necessario per la tutela di soggetti terzi. Il Gruppo Articolo 29, nel parere WP114, ha delineato l’uso di questa deroga per proteggere la vita dell’interessato in circostanze urgenti (ad esempio, in caso di intervento medico necessario quando l’interessato non è in grado di esprimere il consenso), considerando la necessità di salvaguardare l’integrità fisica o mentale in situazioni di emergenza.
Il Considerando 112 GDPR chiarisce che tale deroga copre anche il trasferimento di dati verso organizzazioni umanitarie internazionali, quando l’interessato non può prestare consenso. Questo è rilevante, ad esempio, per le organizzazioni che agiscono sotto le Convenzioni di Ginevra o che operano nel rispetto del diritto umanitario internazionale in situazioni di conflitto armato, laddove il trasferimento è essenziale per la tutela dell’individuo.
L’European Data Protection Board (EDPB), nelle Linee guida 2/2018, poi, ha ulteriormente specificato che questa deroga può includere situazioni in cui il trasferimento di dati è necessario per garantire l’integrità mentale dell’interessato, estendendo la protezione anche alla salute mentale in contesti in cui l’interessato è fisicamente o giuridicamente incapace di fornire il proprio consenso.
Questa disposizione, quindi, è stata specificamente concepita per situazioni di emergenza in cui prevalgono esigenze di protezione della vita e dell’integrità fisica o mentale, e rappresenta certamente una misura eccezionale che deve essere applicata con rigore e restrittivamente, onde evitare un indebito ampliamento delle possibilità di trasferimento dei dati in assenza di garanzie adeguate.
Per approfondire:
- BOLOGNINI (a cura di), Il Regolamento privacy europeo, Milano, 2016, 526;
- MENEGHETTI, Trasferimenti dei dati personali verso paesi terzi o organizzazioni internazionali, in FINOCCHIARO, Torino, 2017, 482;
- PIZZETTI, Privacy e il diritto europeo alla protezione dei dati, Torino, 2016, 85;
- VOIGT-VON DEM BUSSCHE, The EU General Data Protection Regulation (GDPR), Cham, 2017, 131.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Analisi giuridica e peculiarità del reato di frode informatica - Dicembre 16, 2024
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024