Qualche settimana fa è stata pubblicata nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Da allora stiamo sviscerando su questo portale il tema del trasferimento dei dati personali. A inizio mese ci siamo soffermati sulla nozione di trasferimento (premere qui per leggere), per poi proseguire con i profili del trasferimento nell’ambito del cloud computing (premere qui per leggere), fino ad arrivare la settimana scorsa ad un’indagine sulla nozione generale di adeguatezza (premere qui per leggere). Con il presente contributo, invece, ci si vuole soffermare sui profili pratici del trasferimento dei dati personali basato su una decisione di adeguatezza.
Preliminarmente è opportuno soffermarsi su una considerazione di carattere sistematico. Il GDPR, infatti, introduce la decisione di adeguatezza come primo strumento per la liceità del trasferimento dei dati personali, e una differenza alquanto significativa rispetto all’originario assetto previsto dalla direttiva 95/46/CE è l’eliminazione del requisito dell’autorizzazione nazionale, ossia l’approvazione da parte del Garante nazionale. Con l’assetto codificato nel GDPR, infatti, l’unico ente legittimato a decidere sull’adeguatezza del livello di protezione dei dati è la Commissione Europea. Questa soluzione mira chiaramente a garantire un’uniformità applicativa all’interno dell’Unione Europea. Come specificato nel GDPR, la decisione della Commissione ha effetto in tutta l’Unione, assicurando così certezza del diritto e coerenza nei confronti del paese terzo o dell’organizzazione internazionale considerati adeguati. La decisione di adeguatezza legittima il trattamento dei dati anche quando questi vengono trasferiti al di fuori dell’Unione, equiparando tali trattamenti a quelli effettuati all’interno del territorio comunitario.
La decisione viene adottata dalla Commissione “mediante atti di esecuzione”, che possono essere adottati nei casi previsti dagli articoli 24 e 26 del Trattato sull’Unione europea. Durante l’adozione di tali atti, la Commissione è supportata da comitati, in cui sono presenti rappresentanti dei singoli Stati membri. Nel contesto del GDPR, questo organo è costituito dal Comitato europeo per la protezione dei dati, che ha acquistato le funzioni precedentemente assegnate al WP29, come indicato nell’articolo 70, comma 1, lettera s). L’atto di esecuzione è soggetto a un riesame periodico, con una cadenza di almeno quattro anni.
La decisione può essere revocata, modificata o sospesa se il livello di protezione adeguato, che aveva giustificato la decisione iniziale, viene meno. In tali circostanze, l’atto di revoca, modifica o sospensione non ha efficacia retroattiva e non pregiudica la legittimità dei trasferimenti di dati già avvenuti. Il paragrafo 4 dell’articolo 45 del GDPR conferisce alla Commissione il potere di monitorare continuamente gli sviluppi nei paesi terzi e nelle organizzazioni internazionali che potrebbero influire sul funzionamento delle decisioni adottate.
L’art. 45 GDPR si apre affermando che il trasferimento di dati personali verso un “paese terzo” o un’ “organizzazione internazionale” è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione, garantiscono un livello di protezione adeguato. Vanno dunque chiariti i concetti di “paese terzo” e “organizzazione internazionale”:
Con l’espressione “paese terzo”, utilizzata anche nell’art. 44, si fa riferimento ad uno Stato sovrano riconosciuto. mentre invece con l’espressione “organizzazione internazionale” deve intendersi un soggetto giuridico costituito e formato da enti pubblici (in primis gli Stati sovrani), che persegue finalità pubblicistiche, anche se non necessariamente generaliste (ad esempio, l’Organizzazione mondiale per il commercio), a prescindere dall’atto che ha determinato la sua costituzione (convenzione, trattato, ecc.). Restano quindi esclusi da tale novero i soggetti che, pur perseguendo finalità di interesse superindividuale e non lucrative (si pensi, ad esempio, agli enti non-profit) e pur operando a livello transnazionale, non sono costituiti da soggetti di diritto pubblico. Le organizzazioni internazionali, infatti, sono soggetti di diritto internazionale dotati di personalità giuridica e sono quindi titolari di diritti e obblighi internazionali avendo la capacità di far valere i propri diritti per mezzo di reclami internazionali.
Chiariti questi aspetti, va ora detto che la decisione di adeguatezza può avere una portata applicativa più ristretta dal punto di vista soggettivo. Questo significa che non deve necessariamente riguardare l’intero Stato terzo o l’intera organizzazione internazionale, ma può essere limitata a specifici territori o settori che garantiscono un livello di protezione adeguato. Ad esempio, un accordo potrebbe essere applicato solo a determinate aree merceologiche o settori industriali specifici. La certezza sull’ambito di copertura della decisione di adeguatezza è garantita dalla pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea. Ai sensi del paragrafo 8 dell’articolo 45 del GDPR, tale pubblicazione include l’elenco dei paesi terzi, dei territori e dei settori specifici all’interno di un paese terzo, e delle organizzazioni internazionali per i quali la Commissione ha stabilito se esista o meno un livello di protezione adeguato.
Per approfondire:
- BIGNAMI-RESTA, Transatlantic Privacy Regulation: Conflict and Cooperation, in Law & Cont. Probl. 101 (2015);
- BOLOGNINI-PELINO-BISTOLFI, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016;
- KIRSCHEN, Il trasferimento all’estero dei dati, in PANETTA, Circolazione e protezione dei dati personali, tra libertà e regole del mercato, 2019;
- MANTELERO, L’ECJ invalida l’accordo per il trasferimento dei dati personali fra EU ed USA. Quali scenari per i cittadini ed imprese?, in Contr. e impresa/Europa, 2015, 719;
- MENEGHETTI, L’adeguatezza dei trasferimenti di dati personali negli USA, anche alla luce del nuovo Regolamento privacy Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali (artt. 44-50), in FINOCCHIARO, Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna-Roma, 2017;
- PIRODDI, I trasferimenti di dati personali verso Paesi terzi dopo la sentenza Schrems e nel nuovo regolamento generale sulla protezione dei dati, in Dir. inf., 2015, 827;
- RESTA-ZENO-ZENCOVICH (a cura di), La protezione transnazionale dei dati personali. Dai "safe harbour principles" al "privacy shield", Roma, 2016;
- RICCIO-PEZZA, Trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali, in TOSI, Privacy digitale. Riservatezza e protezione dei dati personali tra GDPR e nuovo Codice Privacy, Milano, 2019;
- SWIRE, US Surveillance Law, Safe Harbor, and Reforms Since 2013, in Georgia Tech Scheller College of Business Research Paper, No. #36, 2015.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024
- Trasferimento di dati da registri pubblici: le deroghe e i limiti dell’art. 49 del GDPR - Novembre 4, 2024
- L’interesse vitale dell’interessato o di altre persone come deroga al trasferimento transfrontaliero di dati personali - Ottobre 28, 2024
- L’esercizio o la difesa di un diritto in sede giudiziaria come deroga al trasferimento transfrontaliero di dati personali - Ottobre 21, 2024
