Nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, è stata pubblicata un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Da allora stiamo sviscerando su questo portale il tema del trasferimento dei dati personali. A inizio luglio ci siamo soffermati sulla nozione di trasferimento (premere qui per leggere), per poi proseguire con i profili del trasferimento nell’ambito del cloud computing (premere qui per leggere), passando per un’indagine sulla nozione generale di adeguatezza (premere qui per leggere), e sui profili pratici del trasferimento dei dati personali basato su una decisione di adeguatezza (premere qui per leggere), continuando ancora con un’analisi delle model contractual clauses come alternative alla decisione di adeguatezza (premere qui per leggere) e ancora dei codici di condotta e meccanismi di certificazione (premere qui per leggere), infine un passaggio in rassegna le principali decisioni di adeguatezza adottate prima e dopo l’introduzione del GDPR (premere qui per leggere) e un focus sulle norme vincolanti di impresa (premere qui per leggere).
Con il presente contributo, invece, ci si vuole soffermare sulle deroghe in specifiche situazioni previste dall’art. 49 GDPR, che, nello specifico, individua tutta una serie di ipotesi in cui è possibile procedere al trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale in assenza di una decisione di adeguatezza ai sensi dell’art. 45 del GDPR e senza le garanzie adeguate previste dall’art. 46.
Vi è da dire che una previsione simile era già contenuta nell’art. 26, par. 2, della direttiva 95/46/CE, che disciplinava deroghe analoghe a quelle ora contenute nell’art. 49 del GDPR, con l’eccezione della deroga introdotta dall’art. 49, par. 1, c. 2, che rappresenta forse la vera novità rispetto alla disciplina precedente:
1. In mancanza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, o di garanzie adeguate ai sensi dell’articolo 46, comprese le norme vincolanti d’impresa, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale soltanto se si verifica una delle seguenti condizioni: (…) c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato.
Nel contesto della direttiva 95/46/CE, il Gruppo di lavoro ex art. 29 (predecessore dell’attuale EDPB) aveva già chiarito, con il parere WP114 del 25 novembre 2005, che il titolare del trattamento, prima di procedere al trasferimento dei dati, doveva innanzitutto verificare se il paese terzo destinatario garantisse un livello di protezione adeguato. In mancanza di tale condizione, il titolare doveva valutare l’adozione di garanzie adeguate, utilizzando strumenti come le clausole contrattuali tipo o le norme vincolanti d’impresa. Solo qualora l’utilizzo di tali strumenti fosse «veramente inappropriato o addirittura impossibile», si sarebbe potuto ricorrere alle deroghe previste.
Il carattere sussidiario delle deroghe previste dall’art. 49 rispetto agli altri meccanismi di trasferimento stabiliti dagli artt. 45 e 46 del GDPR è stato ribadito dall’EDPB nelle “Linee guida 2/2018 sulle deroghe di cui all’art. 49 del regolamento 2016/679”, adottate il 25 maggio 2018. Queste linee guida chiariscono che le deroghe dell’art. 49, par. 1, possono essere applicate solo dopo che sia stata verificata l’impossibilità di utilizzare i meccanismi di trasferimento previsti dagli artt. 45 e 46.
Le deroghe previste dall’art. 49 devono essere interpretate in modo restrittivo, in quanto rappresentano un’eccezione alla regola generale secondo cui il trasferimento di dati può avvenire solo se sono fornite garanzie adeguate. Questo principio restrittivo è giustificato dal fatto che le deroghe non garantiscono un livello adeguato di protezione per i dati trasferiti e, poiché tali trasferimenti non richiedono alcuna autorizzazione da parte delle autorità di controllo, comportano maggiori rischi per i diritti e le libertà degli interessati.
I limiti alle deroghe
All’art. 49, par. 5 del GDPR è stata introdotta la facoltà per gli Stati membri di introdurre limiti al trasferimento di particolari categorie di dati personali, qualora vi siano specifici motivi di interesse pubblico. Questa facoltà può essere esercitata però esclusivamente in assenza di una decisione di adeguatezza, evidenziando così il ruolo centrale di tale base giuridica per il trasferimento di dati verso paesi terzi o organizzazioni internazionali.
Come ben evidenziato dal prof. Pizzetti, già Garante per la Protezione dei Dati Personali, nonostante la collocazione all’interno delle deroghe previste dall’art. 49, questa disposizione non si limita a prevedere la possibilità per l’Unione e gli Stati membri di limitare l’utilizzo di tali deroghe. Essa, infatti, attribuisce loro un potere ben più ampio: il potere di introdurre restrizioni anche rispetto al ricorso a clausole contrattuali tipo o norme vincolanti d’impresa, che non possono prevalere su tali limitazioni.
In pratica, ciò significa che gli Stati membri o l’Unione Europea possono imporre restrizioni al trasferimento di dati in particolari circostanze, anche quando esistono meccanismi alternativi come le clausole contrattuali tipo o le norme vincolanti. L’introduzione di questi limiti deve, tuttavia, essere notificata alla Commissione Europea, garantendo così un controllo e una supervisione a livello sovranazionale.
Per approfondire:
- BOLOGNINI (a cura di), Il Regolamento privacy europeo, Milano, 2016, 526;
- MENEGHETTI, Trasferimenti dei dati personali verso paesi terzi o organizzazioni internazionali, in FINOCCHIARO, Torino, 2017, 482;
- PIZZETTI, Privacy e il diritto europeo alla protezione dei dati, Torino, 2016, 85;
-VOIGT-VON DEM BUSSCHE, The EU General Data Protection Regulation (GDPR), Cham, 2017, 131.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Notifiche e depositi telematici: da oggi, 30 settembre, NON CAMBIA NULLA! - Settembre 30, 2024
- Il consenso dell’interessato come deroga al divieto di trasferimento transfrontaliero di dati - Settembre 23, 2024
- Sulle deroghe al divieto di trasferimento transfrontaliero di dati personali - Settembre 16, 2024
- Sulle norme vincolanti d’impresa nell’ambito del trasferimento transfrontaliero dei dati - Settembre 9, 2024
- Breve rassegna sulle decisioni di adeguatezza - Settembre 2, 2024