Nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, è stata pubblicata un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Da allora stiamo sviscerando su questo portale il tema del trasferimento dei dati personali. A inizio luglio ci siamo soffermati sulla nozione di trasferimento (premere qui per leggere), per poi proseguire con i profili del trasferimento nell’ambito del cloud computing (premere qui per leggere), passando per un’indagine sulla nozione generale di adeguatezza (premere qui per leggere), e sui profili pratici del trasferimento dei dati personali basato su una decisione di adeguatezza (premere qui per leggere), continuando ancora con un’analisi delle model contractual clauses come alternative alla decisione di adeguatezza (premere qui per leggere) e ancora dei codici di condotta e meccanismi di certificazione (premere qui per leggere), infine un passaggio in rassegna le principali decisioni di adeguatezza adottate prima e dopo l’introduzione del GDPR (premere qui per leggere), un focus sulle norme vincolanti di impresa (premere qui per leggere).
Dopodiché si è passati a trattare il tema delle deroghe al trasferimento in specifiche situazioni (premere qui per leggere), cominciando con il consenso dell’interessato (premere qui per leggere), e proseguendo con l’esecuzione di un contratto con l’interessato e in favore dell’interessato (premere qui per leggere), e con gli importanti motivi di interesse pubblico (premere qui per leggere) e l’esercizio o difesa di un diritto in sede giudiziaria (premere qui per leggere).
Come abbiamo visto quindi sin qui nelle scorse settimane, il trasferimento internazionale di dati personali è una delle questioni più delicate nell’ambito del GDPR, in quanto espone i dati a giurisdizioni e normative diverse. E l’art. 49, par. 1, lett. g) del GDPR rappresenta una deroga importante in questo contesto, applicabile esclusivamente ai dati provenienti da registri pubblici. Questa settimana vedremo nel dettaglio come si articola questa deroga e quali sono le condizioni di applicabilità.
In particolare, affinché il trasferimento di dati personali provenienti da un registro pubblico sia legittimo, devono essere presenti due requisiti essenziali:
- esistenza di un registro istituito per legge: il registro deve essere stato creato in base al diritto dell’Unione Europea o di uno Stato membro, per finalità di accesso pubblico o per la consultazione da parte di soggetti con un legittimo interesse dimostrabile. L’esistenza del registro deve quindi essere giustificata da una normativa che stabilisce le condizioni di accesso e che ne regola le modalità di gestione e sicurezza;
- consultabilità del registro secondo normative specifiche: il GDPR permette il trasferimento di dati solo se le condizioni previste dal diritto dell’Unione o degli Stati membri consentono esplicitamente la consultazione del registro. Ciò implica che non basta l’esistenza di un registro: esso deve anche essere strutturato e regolato in modo tale da consentire accesso pubblico, o un accesso riservato a soggetti con interesse legittimo, nei limiti definiti dalla normativa stessa.
Ora, sebbene la deroga dell’art. 49 sembri concedere ampi margini, in realtà non autorizza trasferimenti indiscriminati. Infatti, la disposizione dell’art. 49, par. 2, prevede un importante limite: il trasferimento non può coinvolgere la totalità dei dati personali o di intere categorie di dati contenuti nel registro. Questo significa che solo una parte limitata dei dati presenti nel registro può essere trasferita, e solo per finalità che non contrastino con i diritti e le libertà dell’interessato.
Un’altra condizione riguarda il legittimo interesse del richiedente: se il registro è accessibile solo a soggetti con legittimo interesse, i dati possono essere trasferiti esclusivamente se richiesti o destinati al soggetto titolare di tale interesse. Questo requisito è stato sottolineato nel Considerando 111 ove viene precisato che il trasferimento deve avvenire solo tenendo conto dei diritti fondamentali e degli interessi dell’interessato. Questo garantisce che l’interesse del destinatario non prevalga in maniera sproporzionata sui diritti dei singoli cui si riferiscono i dati.
Ad ogni modo, vi è da precisare che non tutti i registri sono inclusi in questa deroga. Infatti, i registri gestiti da enti privati, come ad esempio i database sull’affidabilità creditizia, sono esclusi dall’ambito di applicazione dell’art. 49. Questa limitazione intende evitare che i dati personali contenuti in registri non pubblici siano trasferiti a soggetti esteri senza una valutazione rigorosa delle loro finalità.
D’altro canto, possono invece beneficiare della deroga anche le autorità pubbliche, purché operino nell’esercizio di pubblici poteri. Questo significa che, nel caso in cui un’autorità abbia la necessità di accedere a tali dati per adempiere a funzioni istituzionali, il trasferimento sarà considerato legittimo nei limiti e nelle modalità previste dalla normativa vigente.
In ogni caso, risulta evidente come il quadro normativo offerto dall’art. 49, par. 1, lett. g) del GDPR si ponga in una linea di continuità con la precedente Direttiva 95/46/CE, introducendo però limitazioni più dettagliate per tutelare i diritti fondamentali degli interessati. Se la direttiva precedente consentiva il trasferimento di dati da registri pubblici in modo più generico, il GDPR richiede oggi una valutazione rigorosa e garantisce che tali dati siano trasferiti solo nei limiti del necessario e con il pieno rispetto degli interessi dell’interessato.
La deroga dell’art. 49, par. 1, lett. g) del GDPR offre dunque una possibilità limitata e circoscritta di trasferimento dei dati provenienti da registri pubblici. L’applicazione di tale deroga è vincolata infatti a una rigorosa conformità con le normative dell’Unione e degli Stati membri, nonché alla tutela dei diritti dell’interessato. Le organizzazioni e le autorità pubbliche devono quindi operare con prudenza e rispetto delle disposizioni per evitare il rischio di utilizzi impropri dei dati personali e garantire una corretta gestione delle informazioni in un contesto globale in cui la protezione dei dati dovrebbe rappresentare un valore fondamentale.
Questa deroga, seppur significativa, non rappresenta un lasciapassare verso il trasferimento indiscriminato, ma richiede una rigorosa aderenza ai principi del GDPR, che sono posti a presidio della protezione dei diritti e delle libertà fondamentali di ogni individuo.
Per approfondire:
- BOLOGNINI (a cura di), Il Regolamento privacy europeo, Milano, 2016, 526;
- MENEGHETTI, Trasferimenti dei dati personali verso paesi terzi o organizzazioni internazionali, in FINOCCHIARO, Torino, 2017, 482;
- PIZZETTI, Privacy e il diritto europeo alla protezione dei dati, Torino, 2016, 85;
- VOIGT-VON DEM BUSSCHE, The EU General Data Protection Regulation (GDPR), Cham, 2017, 131.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024