Nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, è stata pubblicata un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Da allora stiamo sviscerando su questo portale il tema del trasferimento dei dati personali. A inizio luglio ci siamo soffermati sulla nozione di trasferimento (premere qui per leggere), per poi proseguire con i profili del trasferimento nell’ambito del cloud computing (premere qui per leggere), passando per un’indagine sulla nozione generale di adeguatezza (premere qui per leggere), e sui profili pratici del trasferimento dei dati personali basato su una decisione di adeguatezza (premere qui per leggere), continuando ancora con un’analisi delle model contractual clauses come alternative alla decisione di adeguatezza (premere qui per leggere) e ancora dei codici di condotta e meccanismi di certificazione (premere qui per leggere), infine un passaggio in rassegna le principali decisioni di adeguatezza adottate prima e dopo l’introduzione del GDPR (premere qui per leggere), un focus sulle norme vincolanti di impresa (premere qui per leggere).
Dopodiché si è passati a trattare il tema delle deroghe al trasferimento in specifiche situazioni (premere qui per leggere), cominciando con il consenso dell’interessato (premere qui per leggere), e proseguendo con l’esecuzione di un contratto con l’interessato e in favore dell’interessato (premere qui per leggere), e con gli importanti motivi di interesse pubblico (premere qui per leggere), l’esercizio o difesa di un diritto in sede giudiziaria (premere qui per leggere) ed infine la settimana scorsa con il trasferimento dei dati da registri pubblici (premere qui per leggere).
Con il presente contributo, invece, si avrà riguardo al legittimo interesse del titolare. Tale deroga offre una valvola di chiusura per consentire il trasferimento anche in assenza delle condizioni più comunemente applicate, disciplinate dagli artt. 45 e 46 GDPR.
Il paragrafo 2 dell’art. 49 GDPR stabilisce una deroga che permette al titolare del trattamento di trasferire dati personali verso un paese terzo, anche in assenza di una decisione di adeguatezza o di garanzie adeguate, a patto che nessuna delle deroghe ordinarie elencate nel paragrafo 1 risulti applicabile. In questo senso, l’art. 49 par. 2 introduce una fattispecie che rappresenta l’ultima istanza, accessibile solo in casi specifici e strettamente regolamentati.
La deroga dell’interesse legittimo cogente è applicabile unicamente quando il trasferimento non è ripetitivo, quando coinvolga un numero limitato di interessati, e quando è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, i quali devono prevalere sui diritti e le libertà degli interessati.
Definire cosa costituisca un interesse legittimo “cogente” rappresenta probabilmente una delle sfide interpretative più rilevanti. L’European Data Protection Board (EDPB) ha tentato di fornire alcune linee guida, chiarendo che tale interesse deve essere improrogabile e collegato a un rischio imminente o significativo per l’organizzazione. Per esempio, il trasferimento potrebbe essere ritenuto giustificato se finalizzato a proteggere l’organizzazione da un danno grave e immediato, o per evitare una sanzione severa che possa avere un impatto considerevole sulla sua operatività. Tuttavia, la nozione di “cogente” rimane ampiamente indefinita, e l’assenza di specificità rischia di lasciare al titolare e agli interpreti un margine di discrezionalità ampio e potenzialmente problematico.
Oltre alla definizione dell’interesse cogente, due ulteriori condizioni accompagnano la deroga: innanzitutto il trasferimento non deve essere ripetitivo e poi deve riguardare un numero limitato di interessati. In realtà benché abbiano una formulazione alquanto netta, tali condizioni sono alquanto vaghe.
Nel GDPR, infatti, non vi è traccia di cosa debba intendersi per “non ripetitivo”. Alcuni interpreti hanno suggerito che una reiterazione minima possa già escludere la possibilità di applicare la deroga, anche se rimane difficile stabilire una soglia precisa. La ripetizione, infatti, potrebbe implicare una prassi consolidata e quindi contrastare l’eccezionalità prevista dalla norma.
Anche con riguardo al numero limitato di interessati questa espressione resta alquanto vaga. È ragionevole ritenere che l’intenzione del legislatore sia quella di escludere trasferimenti che coinvolgano una massa indistinta di dati personali; tuttavia, l’assenza di indicazioni quantitative rappresenta un fattore di incertezza.
In ogni caso, al di là di tali condizioni, al fine di garantire che il trasferimento dei dati sia conforme al GDPR, l’art. 49 impone un bilanciamento tra gli interessi del titolare e i diritti e le libertà degli interessati. Secondo l’EDPB, questo bilanciamento deve essere condotto valutando la natura dei dati personali coinvolti, la durata del trattamento e la situazione giuridica e politica del paese di destinazione.
Ad esempio, qualora il paese di destinazione presenti normative che pongono a rischio la privacy degli interessati, sarà più difficile giustificare il trasferimento. Inoltre, devono essere considerati i rischi di effetti negativi per l’interessato, ponderando sia la probabilità che la gravità di eventuali danni.
Laddove poi venga effettuato un trasferimento fondato sull’interesse cogente, il titolare deve implementare misure supplementari per minimizzare i rischi per gli interessati, come ad esempio la cifratura o pseudonimizzazione dei dati, per garantire che, anche in caso di accesso illecito, i dati non siano immediatamente riconducibili agli interessati, o la limitazione delle finalità del trattamento per cui i dati possono essere utilizzati una volta trasferiti.
Va notato che l’adozione di misure supplementari non è assolutamente facoltativa: in loro assenza, sarà considerato prevalente il diritto alla protezione dei dati degli interessati rispetto all’interesse legittimo del titolare.
Da ultimo, poi, va posta l’attenzione sul fatto che il ricorso a tale tipo di deroga richiede una serie di adempimenti amministrativi. In particolare, il titolare del trattamento che vorrà applicare tale deroga dovrà innanzitutto notificare il trasferimento all’Autorità di controllo, poi dovrà fornire agli interessati informazioni aggiuntive rispetto a quelle degli artt. 13 e 14, specificando la natura dell’interesse cogente perseguito ed infine registrare il trasferimento e le valutazioni che giustificano l’applicazione della deroga nel registro dei trattamenti.
Ed allora, possiamo concludere affermando che rispetto alle altre deroghe che abbiamo potuto analizzare nelle settimane scorse, quella posta dall’art. 49, par. 2 GDPR, e la deroga dell’interesse legittimo cogente, rappresentano certamente una soluzione residuale e particolarmente restrittiva per il trasferimento di dati verso paesi terzi, riservata a circostanze eccezionali e non facilmente generalizzabili. La complessità interpretativa della norma, infatti, combinata con le incertezze legate alla definizione dei criteri di applicazione, rende necessaria una valutazione alquanto accurata e, in molti casi, una consulenza specifica per assicurare la conformità normativa. Preme sottolineare, che in casi consimili è d’uopo affidarsi a professionisti altamente qualificati che conoscano la materia in modo approfondito in quanto tali problematiche non giacciono certamente in superificie.
Per approfondire:
- BOLOGNINI (a cura di), Il Regolamento privacy europeo, Milano, 2016, 526;
- MENEGHETTI, Trasferimenti dei dati personali verso paesi terzi o organizzazioni internazionali, in FINOCCHIARO, Torino, 2017, 482;
- PIZZETTI, Privacy e il diritto europeo alla protezione dei dati, Torino, 2016, 85;
- VOIGT-VON DEM BUSSCHE, The EU General Data Protection Regulation (GDPR), Cham, 2017, 131.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024