Qualche settimana fa è stata pubblicata nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Con il presente contributo, si vuole fare un passo indietro e soffermarsi invece sulla nozione generale di trasferimento dei dati personali.
Il Data Privacy Framework è sostanzialmente un accordo per il trasferimento di dati personali tra l’Unione Europea e gli Stati Uniti, che mira a garantire un adeguato livello di protezione dei dati personali trasferiti. Questo quadro normativo è stato riconosciuto dalla Commissione Europea come conforme agli standard di privacy dell’Unione Europea, permettendo così alle aziende di trasferire dati in sicurezza attraverso l’Atlantico senza necessità di ulteriori garanzie legali.
Prima ancora però di soffermarsi sulla nozione di adeguatezza, ci sembra opportuno capire cos’è un trasferimento dei dati personali.
Il Regolamento Generale sulla Protezione dei Dati (GDPR) non fornisce una definizione esplicita di trasferimento di dati personali. L’art. 44 GDPR dispone infatti che:
Qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento. Tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato.
Tuttavia, prima dell’emanazione del GDPR, l’EDPS (European Data Protection Supervisor) aveva suggerito l’inclusione di una tale definizione nelle proprie osservazioni sul testo preliminare del regolamento (si veda, sul punto, l’Opinion of the European Data Protection Supervisor of 7 March 2012 on the data protection reform package).
Sulla scorta di tale suggerimento, si può ritenere che un trasferimento di dati personali avvenga ogni volta che un dato personale viene materialmente spostato al di fuori dello Spazio Economico Europeo. L’art. 12, paragrafo 1, della Convenzione di Strasburgo definisce i “flussi internazionali di dati a carattere personale” come quelli che avvengono “attraverso i confini nazionali, con qualunque mezzo, di dati a carattere personale oggetto di elaborazione automatica o raccolti allo scopo di sottoporli a tale elaborazione” (si veda la Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale del 28 gennaio 1981).
Una definizione di flussi transfrontalieri di dati personali è rinvenibile nelle linee guida sulla privacy dell’OECD (Organizzazione per la Cooperazione e lo Sviluppo Economico) che li descrivono come i “movimenti di dati personali attraverso confini nazionali”.
La Corte di Giustizia, nel caso Lindqvist, ha chiarito che non si configura un “trasferimento verso un paese terzo di dati” ai sensi dell’art. 25 della direttiva 95/46/CE quando una persona situata in uno Stato membro inserisce dati personali in una pagina Internet, caricata presso il suo fornitore di servizi di hosting web, stabilito nello stesso Stato membro o in un altro Stato membro, rendendo tali dati accessibili a chiunque si colleghi a Internet, compresi coloro che si trovano in paesi terzi (CGE 6.11.2003, C-101/01, par. 71).
La dottrina è in gran parte concorde nel ritenere che il mero transito di dati personali attraverso strumenti che non sono fisicamente situati nel territorio dell’Unione europea non costituisca un’ipotesi di trasferimento di dati verso paesi terzi. Tale posizione sembra essere confermata dall’art. 44 del GDPR, il quale specifica che i dati personali devono essere “oggetto di un trattamento o destinati a essere oggetto di un trattamento”.
Vi è poi una parte minoritaria della dottrina che ritiene invece che il GDPR si focalizzerebbe esclusivamente sui flussi di dati personali e non sulle semplici comunicazioni degli stessi, che si riferirebbero esclusivamente agli spostamenti di dati tra titolari all’interno dell’Unione europea. Ma in chi scrive è invece forte l’opinione che anche una comunicazione occasionale di dati personali, qualora abbia natura transfrontaliera, rientri nell’ambito di applicazione delle disposizioni del GDPR.
Per approfondire:
- BIGNAMI-RESTA, Transatlantic Privacy Regulation: Conflict and Cooperation, 78 Law & Cont. Probl. 101, 2015;
- BOLOGNINI-PELINO-BISTOLFI, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016;
- MANTELERO, L’ECJ invalida l’accordo per il trasferimento dei dati personali fra EU ed USA. Quali scenari per i cittadini ed imprese?, in Contr. e impresa/Europa, 2015, 719;
- MENEGHETTI, L’adeguatezza dei trasferimenti di dati personali negli USA, anche alla luce del nuovo Regolamento privacy Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali (artt. 44-50), in FINOCCHIARO, Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna-Roma, 2017;
- PIRODDI, I trasferimenti di dati personali verso Paesi terzi dopo la sentenza Schrems e nel nuovo regolamento generale sulla protezione dei dati, Dinf., 2015, 827;
- RESTA-ZENO-ZENCOVICH (a cura di), La protezione transnazionale dei dati personali. Dai "safe harbour principles" al "privacy shield", Roma, 2016;
- RICCIO, Model Contractual Clauses e Corporate Binding Rules: valide alternative al Safe Harbor Agreement?, Dinf., 2015, 867;
- SICA-D’ANTONIO-RICCIO, La nuova disciplina europea della privacy, Padova, 2016;
- SWIRE, US Surveillance Law, Safe Harbor, and Reforms Since 2013, in Georgia Tech Scheller College of Business Research Paper, No. #36, 2015.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Analisi giuridica e peculiarità del reato di frode informatica - Dicembre 16, 2024
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024