Trasferimento di dati personali verso un paese terzo:
cosa dicono le normative europee

Il 15 dicembre 1890 due avvocati di Boston^[1] scrivevano sulla Harvard Law Review circa "the right to be let alone", gettando così le basi per il riconoscimento della protezione dei sentimenti, delle emozioni e dei pensieri, come estensione del diritto alla proprietà privata. I due bostoniani invocavano appunto il diritto ad essere lasciati soli, per godere in pace e tranquillità della propria vita. La tutela dei dati personali, rientra a pieno titolo nella tutela dei diritti fondamentali della persona ed esige preliminarmente il rispetto delle norme contenute nelle costituzioni democratiche. La Carta dei diritti Fondamentali dell’Unione Europea sancisce il diritto di ogni individuo alla protezione dei dati di carattere personale che lo riguardano.^[2] Il legislatore comunitario ha inteso tutelare la vita privata del singolo in maniera strettamente connessa al progresso economico e sociale della comunità, in vista dello sviluppo degli scambi tra i paesi membri e della libera circolazione.^[3] Attualmente, la materia trova regolamentazione a livello europeo nel Regolamento 2016/679 applicabile dal 25 maggio 2018. Come ogni regolamento comunitario le norme sono direttamente applicabili e non richiedono recepimento da parte dei paesi membri. La sua ratio e quella di prevedere una disciplina uniforme in tutti gli stati membri in merito alla tutela dei dati personali. Ai sensi del Regolamento, il dato è qualsiasi informazione, riguardante una persona fisica identificata o identificabile^[4]. La persona fisica, cui fa riferimento il dato viene definita interessato e qualsiasi operazione applicata al dato è indicata come trattamento,^[5] quindi a mero titolo esemplificativo e non esaustivo la raccolta, la registrazione, la conservazione, indipendentemente, se queste avvengono con o senza l’ausilio di processi automatizzati. 

Il Regolamento è applicabile ad ogni trattamento dei dati personali delle persone fisiche, che avviene sul territorio dell’Unione, ma altresì a trattamenti di dati il cui interessato abbia la residenza in uno stato membro, indipendentemente dal luogo in cui avviene il trattamento. In questa ultima ipotesi, il trattamento dei dati avviene in un paese definito terzo, cioè un paese in cui non vi è l’applicazione del Regolamento, ma è necessario che il dato trovi comunque una protezione equivalente a quella garantita nei Paesi dell’Ue, proprio perché l’interessato ha la residenza in uno stato comunitario. Un trasferimento del dato in un paese terzo, può essere effettuato a condizione che il titolare e il responsabile del trattamento rispettino le norme contenute nel Regolamento, al fine di non pregiudicare il livello di protezione delle persone fisiche. ^[6] Gli oneri in capo al Titolare e al Responsabile del trattamento, differiscono in base al fatto che il Paese terzo, sia stato dichiarato con un adeguato livello di protezione. In questo caso è intervenuta una decisione della Commissione Europea, che prendendo in considerazione diversi elementi, ha definito adeguato il livello di protezione offerto.

In particolare, la Commissione valuta il rispetto dei diritti umani e delle libertà fondamentali all’interno del Paese, l’esistenza di uno o più autorità di controllo e l’impegno internazionale assunto dal Paese terzo, avuto particolare riguardo alla protezione dei dati personali. Dunque, nel momento in cui è intervenuta una decisione di adeguatezza, relativa ad un determinato Paese, al responsabile o al titolare del trattamento che effettuerà il trasferimento non verranno richieste ulteriori garanzie. Nel caso in cui il Paese terzo non sia stato raggiunto da una decisione di garanzia della Commissione, il trasferimento del dato sarà legittimo soltanto nel caso in cui il Titolare o il Responsabile abbiano fornito garanzie adeguate all’interessato e a condizione che quest’ultimo, disponga di diritti azionabili e mezzi di ricorso effettivi.^[7] Nel caso in cui non vi sia stata decisione di adeguatezza o sono assenti garanzie adeguate è ammesso il trasferimento soltanto se è intervenuto il consenso dell’interessato, se il trasferimento è dovuto in esecuzione di un contratto o per motivi di interesse pubblico, per esercitare o difendere un diritto in sede giudiziaria o per tutelare gli interessi vitali dell’interessato.

Recentemente, in tema di trasferimento dei dati all’estero  è intervenuta la sentenza, conosciuta come Schrems II^[8]. Con questa sentenza la Corte di Giustizia dell’Unione Europea, ha dichiarato invalida la decisione 2016/1250 con cui la Commissione aveva ritenuto adeguato il livello di protezione degli Stati Uniti. La decisione ha trattato nello specifico l’istituto dell’Ombudperson, ovvero del mediatore civico. È opinione della Corte che tale istituto non garantisca una tutela equivalente al Regolamento, per mancanza di indipendenza del difensore civico. Ciò esclude un’equivalenza tra questo istituto americano e un Giudice indipendente e imparziale. Pertanto, una normativa che non prevede alcuna possibilità per il singolo di avvalersi di rimedi giuridici al fine di accedere a dati personali che lo riguardano, oppure di ottenere la rettifica o la soppressione di tali dati, non rispetta il contenuto essenziale del diritto fondamentale ad una tutela giurisdizionale effettiva, quale sancito all’articolo 47 della Carta. Inoltre, la Corte ha precisato che il titolare o il responsabile del trattamento possono trasferire dati personali verso un Paese terzo solo se quest’ultimo ha previsto un livello di protezione adeguato essenzialmente equivalente a quello garantito all’interno dell’Unione, ed a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Ne consegue, che in assenza di una decisione di adeguatezza validamente adottata  l’autorità di controllo competente è tenuta a sospendere o a vietare un trasferimento di dati verso un paese terzo effettuato sulla base di clausole tipo di protezione dei dati adottate dalla Commissione, qualora detta autorità di controllo ritenga, alla luce del complesso delle circostanze proprie di tale trasferimento, che le suddette clausole non siano o non possano essere rispettate in tale paese terzo.

In seguito a tale decisione sono poi intervenute due Raccomandazioni del Comitato Europeo per la protezione dei dati personali. Queste offrono una sequenza logica delle attività di analisi  che gli esportatori di dati devono compiere per stabilire se siano tenuti a mettere in atto misure supplementari al fine di trasferire i dati al di fuori dello Spazio Europeo, conformemente al diritto dell'UE, e per aiutarli a individuare le misure più efficaci. Per assistere gli esportatori di dati, le raccomandazioni contengono anche un elenco non esaustivo di misure supplementari nonché alcune delle condizioni necessarie per rendere efficaci le singole misure. Tuttavia, è compito degli esportatori effettuare la valutazione in concreto alla luce dello specifico trasferimento, del diritto del paese terzo e dello strumento di trasferimento utilizzato. Gli esportatori di dati devono procedere con la necessaria diligenza e documentare accuratamente il processo valutativo, in quanto saranno chiamati a rispondere delle decisioni assunte su tale base. ^[9] 

Nella pratica, quando avviene il trasferimento dei dati in un Paese terzo? E’ un’operazione inusuale? In realtà nel mondo globalizzato in cui viviamo è davvero molto semplice che i nostri dati vengano trasferiti. Basta ad esempio il semplice utilizzo di servizi cloud per provocare il trasferimento di dati. Ciò significa che ogni operatore economico deve scegliere consapevolmente i programmi utilizzati per il trattamento di dati e valutarne l’adeguatezza ai fini privacy. È inoltre doveroso che in caso di migrazione dei dati il titolare del trattamento informi l’interessato, indicando altresì, su quali presupposti essa avviene e cioè se si basa su una decisione di adeguatezza, garanzie adeguate, norme vincolanti di impresa o altre ipotesi di deroga.

^[1] Saggio apparso il 15 dicembre 1890 sulla Harvard Law Review, dal titolo “The Right to privacy” a firma di Samuel D. Warren e Louis D. Brandeis

^[2] Art. 8: ” Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. 2.Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente”.

^[3] Russo-Scavizzi: Manuale di diritto comunitario dell’informatica. Giuffrè Editore.

^[4] Art.  4 c. 1 del Regolamento 2016/679

^[5] Art. 4 c. 2 del Regolamento 2016/679

^[6] Art. 44 del Regolamento 2016/679

^[7] L’art. 46 del Regolamento 2016/679  indica tra i mezzi di garanzia adeguati: strumenti giuridicamente vincolanti; norme vincolanti di impresa; clausole tipo adottate dalla Commissione; clausole tipo di protezione dei dati adottate da un'autorità di controllo e approvate dalla Commissione; codice di condotta, unitamente all'impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti dell’ interessato; un meccanismo di certificazione di impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti dell’interessato.

^[8] Sentenza del 16 luglio 2020 della Corte di Giustizia dell’Unione Europea.

^[9] Dal sito web del Comitato Europeo per la protezione dei dati.

Sei interessato al tema dei dati personali? Scopri il programma del Master in Giurista d'Impresa.