Nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, è stata pubblicata un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Da allora stiamo sviscerando su questo portale il tema del trasferimento dei dati personali. A inizio luglio ci siamo soffermati sulla nozione di trasferimento (premere qui per leggere), per poi proseguire con i profili del trasferimento nell’ambito del cloud computing (premere qui per leggere), passando per un’indagine sulla nozione generale di adeguatezza (premere qui per leggere), e sui profili pratici del trasferimento dei dati personali basato su una decisione di adeguatezza (premere qui per leggere), continuando ancora con un’analisi delle model contractual clauses come alternative alla decisione di adeguatezza (premere qui per leggere) e ancora dei codici di condotta e meccanismi di certificazione (premere qui per leggere), infine un passaggio in rassegna le principali decisioni di adeguatezza adottate prima e dopo l’introduzione del GDPR (premere qui per leggere), un focus sulle norme vincolanti di impresa (premere qui per leggere).
Dopodiché si è passati a trattare il tema delle deroghe al trasferimento in specifiche situazioni (premere qui per leggere), cominciando con il consenso dell’interessato (premere qui per leggere), e proseguendo con l’esecuzione di un contratto con l’interessato e in favore dell’interessato (premere qui per leggere), e con gli importanti motivi di interesse pubblico (premere qui per leggere), l’esercizio o difesa di un diritto in sede giudiziaria (premere qui per leggere), il trasferimento dei dati da registri pubblici (premere qui per leggere) ed infine la settimana scorsa con il legittimo interesse (premere qui per leggere).
Questa settimana concludiamo il tema delle deroghe analizzando quanto disposto dall’art. 49, paragrafo 3, GDPR, che stabilisce un’importante limitazione: quando il trasferimento dei dati è operato da autorità pubbliche nell’esercizio di pubblici poteri, alcune delle eccezioni comunemente applicabili, che abbiamo analizzato una ad una nelle scorse settimane su questo portale, non trovano applicazione.
Più in particolare il paragrafo 3 dell’art. 49 GDPR specifica che le deroghe previste al comma 1, lettere a), b) e c), così come quelle al comma 2, paragrafo 1, non possono essere invocate per giustificare i trasferimenti di dati effettuati da autorità pubbliche nel contesto dell’esercizio di pubblici poteri. Le deroghe escluse quindi sono le seguenti:
- consenso dell’interessato [lett. a)]: solitamente visto come una base legittima fondamentale, il consenso in realtà perde alquanto rilevanza per i trasferimenti operati nell’ambito dei poteri pubblici (premere qui per approfondire);
- esecuzione di un contratto di cui l’interessato è parte [lett. b)]: anche questa deroga, spesso invocata per le operazioni di trasferimento legate a contratti, non è in realtà utilizzabile (premere qui per approfondire);
- esecuzione di un contratto in favore dell’interessato [lett. c)]: applicabile normalmente a terzi beneficiari, è invece espressamente esclusa dal paragrafo 3 dell’art. 49 per le autorità pubbliche (premere qui per approfondire);
- legittimo interesse del titolare del trattamento [c. 2, par. 1]: spesso invocata in ambito privato, questa deroga non è consentita per le autorità pubbliche nell’esercizio dei loro compiti istituzionali (premere qui per approfondire).
Esclusi questi fondamenti giuridici, il trasferimento di dati da parte di autorità pubbliche richiede un’altra base di legittimazione. In tale contesto, è logico presumere che le autorità possano fondare i trasferimenti sull’interesse pubblico perseguito attraverso l’esercizio dei propri poteri.
Nel GDPR, il concetto di “interesse pubblico” rappresenta un fondamento essenziale, ma richiede una giustificazione che rispetti il principio di proporzionalità e di necessità. L’autorità deve dimostrare che il trasferimento è strettamente necessario per perseguire finalità di pubblico interesse, evitando un utilizzo indiscriminato dei dati.
Questa esclusione impone alle autorità pubbliche un’attenta valutazione delle proprie basi giuridiche. I trasferimenti verso Paesi terzi richiedono, quindi, l’esistenza di:
– un interesse pubblico chiaramente individuabile e documentato, connesso alle finalità istituzionali dell’autorità;
– adeguate garanzie per i diritti e le libertà degli interessati, soprattutto quando i dati sono trasferiti verso Paesi terzi che non offrono un livello di protezione equivalente a quello europeo.
Il GDPR, come abbiamo visto nel corso di queste settimane, stabilisce un quadro normativo stringente per i trasferimenti di dati, e le limitazioni dell’art. 49, paragrafo 3, impongono alle autorità pubbliche di rispettare requisiti rigorosi e ben definiti. I trasferimenti di dati verso Paesi terzi devono essere giustificati da un interesse pubblico chiaramente identificato, limitando così eventuali rischi per la protezione dei dati personali degli interessati.
Per approfondire:
- BOLOGNINI (a cura di), Il Regolamento privacy europeo, Milano, 2016, 526;
- MENEGHETTI, Trasferimenti dei dati personali verso paesi terzi o organizzazioni internazionali, in FINOCCHIARO, Torino, 2017, 482;
- PIZZETTI, Privacy e il diritto europeo alla protezione dei dati, Torino, 2016, 85;
- VOIGT-VON DEM BUSSCHE, The EU General Data Protection Regulation (GDPR), Cham, 2017, 131.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024