Il consenso dell’interessato come deroga al divieto di trasferimento transfrontaliero di dati

Tempo di lettura stimato:3 Minuti, 26 Secondi

Nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, è stata pubblicata un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Da allora stiamo sviscerando su questo portale il tema del trasferimento dei dati personali. A inizio luglio ci siamo soffermati sulla nozione di trasferimento (premere qui per leggere), per poi proseguire con i profili del trasferimento nell’ambito del cloud computing (premere qui per leggere), passando per un’indagine sulla nozione generale di adeguatezza (premere qui per leggere), e sui profili pratici del trasferimento dei dati personali basato su una decisione di adeguatezza (premere qui per leggere), continuando ancora con un’analisi delle model contractual clauses come alternative alla decisione di adeguatezza (premere qui per leggere) e ancora dei codici di condotta e meccanismi di certificazione (premere qui per leggere), infine un passaggio in rassegna le principali decisioni di adeguatezza adottate prima e dopo l’introduzione del GDPR (premere qui per leggere) e un focus sulle norme vincolanti di impresa (premere qui per leggere).

Sempre in tale ambito, la settimana scorsa abbiamo cominciato a trattare il tema delle deroghe al trasferimento in specifiche situazioni (premere qui per leggere), proseguiremo nelle prossime settimane analizzando una ad una le specifiche deroghe, a cominciare da questa attraverso il presente contributo che analizzerà il consenso dell’interessato.

Ebbene, ai sensi dell’art. 49, par. 1, lett. a) del GDPR, il trasferimento di dati verso un paese terzo in assenza di garanzie adeguate è ammesso se l’interessato ha fornito un consenso esplicito e informato, a condizione che siano soddisfatte alcune condizioni fondamentali:

  1. Informazione dell’interessato: l’interessato deve essere informato in modo chiaro e dettagliato dei rischi specifici legati al trasferimento dei dati verso un paese terzo che non garantisce un livello adeguato di protezione. Questi rischi includono, ad esempio, l’assenza di una normativa specifica in materia di protezione dei dati personali o la mancanza di un’autorità di controllo efficace nel paese di destinazione;
  2. Consenso esplicito: l’interessato deve esprimere il proprio consenso in maniera chiara e attiva, attraverso un atto positivo. Il consenso deve essere esplicito, come richiesto dall’art. 49, par. 1, e non potrà mai essere implicito o desunto dal silenzio. Il consenso non può essere dato in via generale o preventiva, ma deve essere specifico per il trasferimento in questione e per le particolari circostanze che lo caratterizzano (finalità, dati coinvolti, destinatari, ecc.);
  3. Tempistica del consenso: il consenso deve essere ottenuto prima che il trasferimento dei dati abbia luogo e deve essere specifico per lo stesso, tenendo conto delle circostanze rilevanti come la finalità del trasferimento, la tipologia di dati trasferiti, l’identità o le categorie di destinatari, e la possibilità di revocare il consenso. Il consenso non può essere richiesto al momento della raccolta dei dati in modo generico, per trasferimenti futuri ipotetici.
  4. Riserva del consenso come base residuale: pur essendo una base giuridica valida ai sensi dell’art. 6 GDPR, il consenso esplicito dell’interessato rappresenta solo una soluzione residuale per il trasferimento di dati in assenza di adeguate garanzie. È infatti una deroga alla regola generale dell’adeguatezza, applicabile solo in casi particolari, come ribadito dal considerando 111 del GDPR e dalla giurisprudenza. L’EDPB ha chiarito che il consenso, per sua natura revocabile, potrebbe non essere sempre appropriato come base per il trasferimento verso paesi terzi, poiché la sua revocabilità rende instabile la base giuridica del trasferimento stesso (Linee guida 2/2018, par. 2.1).

In estrema sintesi, il consenso può costituire una base giuridica per il trasferimento di dati, purché sia specifico, informato, esplicito, e ottenuto con riguardo a tutti i rischi e le circostanze rilevanti del trasferimento, ma rappresenta una deroga eccezionale alla regola generale dell’adeguatezza e deve essere utilizzato solo come ultima risorsa, quando altre soluzioni come garanzie adeguate non siano applicabili.

Per approfondire:

- BOLOGNINI (a cura di), Il Regolamento privacy europeo, Milano, 2016, 526; 

- MENEGHETTI, Trasferimenti dei dati personali verso paesi terzi o organizzazioni internazionali, in FINOCCHIARO, Torino, 2017, 482;

- PIZZETTI, Privacy e il diritto europeo alla protezione dei dati, Torino, 2016, 85;

-VOIGT-VON DEM BUSSCHE, The EU General Data Protection Regulation (GDPR), Cham, 2017, 131.
The following two tabs change content below.

Nicola Nappi

⚖️ Diritto commerciale, assicurativo, bancario, delle esecuzioni, di famiglia. Diritti reali, di proprietà, delle locazioni e del condominio. IT Law. a Studio Legale Nappi
*Giurista, Master Universitario di II° livello in Informatica Giuridica, nuove tecnologie e diritto dell'informatica, Master Universitario di I° livello in Diritto delle Nuove Tecnologie ed Informatica Giuridica, Corso di Specializzazione Universitario in Regulatory Compliance, Corso di Specializzazione Universitario in European Business Law, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Le procedure di investigazione e di rimozione dei contenuti digitali, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Intelligenza Artificiale, attacchi, crimini informatici, investigazioni e aspetti etico-sociali, Master Data Protection Officer, Consulente esperto qualificato nell’ambito del trattamento dei dati.