La normativa sul controllo delle informazioni personali, quella cioè che per sineddoche o nostalgia chiamiamo normativa sulla privacy, può essere sottilmente controintuitiva. Può esserlo perfino nei suoi mattoni costitutivi, come la nozione di trasferimento di dati personali verso un Paese terzo. E non è cosa di poco momento viste le ben note conseguenze. La doppia rivoluzione scatenata dalla sentenza Schrems I nel 2015 e soprattutto dalla Schrems II nel 2020 nasce tutta dal trasferimento di dati verso gli Stati Uniti, che comporta precise responsabilità rispetto agli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’UE. Proprio perché veniva in considerazione un flusso (copioso) di informazioni personali all’estero, ci siamo interrogati sulla efficacia e sulla robustezza delle clausole contrattuali standard e degli accordi bilaterali tra Commissione e Dipartimento di Commercio USA.
Non che la circolazione intra UE sia pienamente schermata da ingerenze pubbliche, ma questa è un’altra storia e magari avremo occasione di raccontarla. Ora, nel GDPR manca una definizione specifica di trasferimento extra UE, dunque rispetto ad altri mattoni fondamentali, come il concetto di “dato personale”, ugualmente sottile e non sempre intuitivo ma quantomeno definito, partiamo perfino da una posizione di svantaggio. Bene, a compensare ha provveduto, con fine interpretazione, l’EDPB o Comitato, ossia l’organismo che riunisce gli omologhi UE del nostro Garante, nelle recentissime linee guida 5/2021 sul rapporto tra art. 3 GDPR e Capo V. Il documento era atteso dopo la pubblicazione in giugno delle nuove clausole contrattuali standard della Commissione.
Indice degli argomenti
Perché la definizione di trasferimento dati extra UE è necessaria
Detto così non appassiona, ma veniamo subito alla parte intellettualmente intrigante. Il punto è che si potrebbe credere che la definizione di trasferimento extra UE sia semplice e non davvero necessaria, ossia che in fondo poggi sull’autoevidenza della geografia. Insomma: prendo dei dati personali che sono nella UE, li trasferisco o rendo comunque accessibili all’estero e ho un trasferimento del tipo di cui parliamo. Così non è, necessariamente. Innanzitutto non devo guardare a dove si trovano i dati ma al soggetto (esportatore) che li tratta, o, ancora più sottilmente, al rapporto logico-giuridico fra lo specifico trattamento e lo stabilimento di quel soggetto. Più esattamente, questo soggetto, ci indica il Comitato, deve essere un titolare o un responsabile, non l’interessato. Se perciò Maria, persona fisica, stabilita in Italia comunica i suoi dati personali a un venditore di Singapore per un acquisto online, non viene in considerazione un trasferimento di dati personali extra UE, non almeno nel senso che determina l’attivazione dell’art. 46 GDPR.
Codici di condotta come tool di trasferimento dati extra-UE: ecco le opportunità
Ancora più controintuitivamente, non è invece necessario che il titolare o il responsabile si trovino nell’Unione europea per aversi trasferimento di dati verso Paese terzo. Nello stesso esempio, supponiamo che il venditore di Singapore indirizzi la propria offerta al mercato UE in modo da rientrare nell’applicazione del paragrafo 2 dell’art. 3 GDPR (non è detto sia così, dalla vendita a Maria e senza ulteriori elementi di valutazione). Ebbene, se questo venditore non si limita ad acquisire i dati degli interessati nella UE, ma pone in essere un ulteriore segmento di comunicazione – diciamo: Singapore su Singapore o Singapore verso resto del mondo, UE esclusa –, effettua un trasferimento di dati personali nel senso giuridico che ci occupa.
Un esempio pratico
Sostanzialmente, perciò, Maria non trasferisce dati extra UE comunicandoli al venditore di Singapore, ma questi potrebbe, se si applica l’art. 3.2 GDPR, porre in essere un trasferimento extra UE, che avrebbe come punto d’origine non l’Unione europea ma appunto Singapore. Si converrà allora che la nozione di trasferimento a Paese terzo diventa poco scontata, almeno per chi non abbia finora seguito le implicazioni della tematica.
Siccome questo non ci basta, complichiamo ancora la casistica, non noi beninteso ma il Comitato. Poniamo allora che una società con stabilimento in Italia, che ivi tratta dati personali, li renda accessibili a soggetto che si trova in un Paese terzo, diciamo sempre a Singapore. Potrebbe non venire in considerazione un trasferimento di dati, non almeno della tipologia che qui rileva.
La posizione di EDPB e Commissione UE
Arriviamo dunque alla soluzione, perché come in tutti i buoni gialli una soluzione c’è. Il punto fondamentale, su cui EDPB e Commissione concordano, è che un trasferimento extra UE è tale quando il data exporter, ossia l’esportatore – che abbiamo detto deve trattare dati personali altrui – sia soggetto al GDPR. Ora, è ben nota la portata extraterritoriale del Regolamento, per cui il venditore stabilito a Singapore, ma catturato come un pesce nella rete lunga dell’articolo 3 paragrafo secondo, non si colloca su un piano dissimile dal soggetto stabilito nella UE e avvinto al Regolamento in virtù del paragrafo primo. Entrambi devono osservare le norme integralmente, entrambi pongono in essere un trasferimento extra UE se rendono accessibili i dati a soggetto che si trova oltre la cortina del Regolamento.
A ben vedere la soluzione ha senso proprio perché, diversamente ragionando, ammetteremmo che ad alcuni soggetti, quelli appunto del paragrafo secondo, il GDPR si applichi meno o si applichi solo in parte, rispetto peraltro a istituti centrali nella normativa. E nulla nel testo di legge lo indica. Insomma, quello che conta, almeno nel mondo delle idee, è che stare dentro ai bordi del GDPR equivale a garantire uno spazio di regole, una dimensione tutelata, un mare sicuro, e di conseguenza, ai fini del trasferimento internazionale di dati, rileva la fuoriuscita da questo spazio verso un altrove incerto e non altrettanto protetto. Ma lo spazio di cui parliamo, quello del GDPR, è uno spazio giuridico non uno spazio geografico. Sembrerebbe doversi concludere che quando il data importer, ossia il destinatario del trasferimento, sia anch’egli soggetto al GDPR ancorché ugualmente stabilito in Paese terzo, non sorga necessità di ricorrere al supplemento privatistico di garanzia imposto dall’art. 46 GDPR. In altre parole, ove il nostro venditore di Singapore catturato dall’art. 3.2 GDPR trasferisse i dati a un suo omologo russo ugualmente catturato dalla disposizione, non ci sarebbe bisogno di ricorrere alle clausole standard per l’estero o altro strumento previsto dall’art. 46. Il trasferimento infatti si svolgerebbe tra soggetti tutti formalmente all’interno della magica bolla di tutela, ancorché nessuno sul suolo dell’Unione.
Nuove clausole contrattuali standard?
Solo che a questo punto il Comitato, con realismo e insieme con corretto ragionamento giuridico, soffia sulla bolla e la fa scoppiare. Osserva che nel Paese terzo può ben esserci, e di regola c’è (altrimenti che ci hanno insegnato le due pronunce Schrems?), una normativa locale in conflitto con il Regolamento che ugualmente si applica, e del tutto impeccabilmente sul piano giuridico, alle realtà locali ivi presenti e le impegna, come e più del Regolamento. In definitiva, nel conflitto tra fonti normative puoi essere contemporaneamente soggetto al GDPR e a disposizioni sovraordinate antagoniste, che permettono l’accesso ad autorità pubbliche notoriamente “dativore”, e puoi farci davvero poco.
Questa è la ragione per la quale il Comitato ribadisce la necessità che si costruiscano delle standard contractual clause specifiche per il data importer soggetto all’art. 32 GDPR, ossia per rapporti fuoriuscenti dalle clausole del 4 giugno scorso, fresche di zecca eppure già percepite come insufficienti a coprire l’intero arco della casistica. In definitiva, secondo il Comitato, rispetto all’importatore dei dati, ossia al punto d’approdo, torna ad essere decisivo l’elemento puramente geografico.
Proseguendo questa linea di pensiero si potrebbe pervenire a ritenere che un modulo di nuove clausole standard dovrebbe applicarsi altresì al data exporter soggetto all’art. 3.2 GDPR nei suoi rapporti diretti con gli interessati, si pensi al caso di Maria. Immaginiamo uno standard contrattuale della Commissione sul modello di un’offerta al pubblico. Attualmente, il Comitato sembra orientato a non compiere questo passo e preferisce risolvere con il richiamo agli articoli 24, 32 e ad altri capisaldi del Regolamento, cui aggiungerei il 5 e il 25. Eppure un modulo standard per il soggetto estero diciamo così stand-alone, pare a chi scrive il corollario estremo, ma logico, della posizione dei Garanti. Se infatti l’obiettivo è quello di tutelare i dati personali da ingerenze sproporzionate da parte di istituzioni terze, e se si ritengono necessarie per questo clausole negoziali ulteriori rispetto ai già sussistenti obblighi di Regolamento, tale necessità vale tanto per il primo segmento di trasmissione dagli interessati al soggetto estero, nonostante non configuri tecnicamente un “trasferimento”, quanto per i segmenti successivi. Il problema diventa semmai individuare una base giuridica adatta per questo ipotetico gruppo di clausole standard verso gli interessati, una volta che si è escluso sussistere un trasferimento in senso tecnico e dunque si è portato il caso fuori dal Capo V GDPR.
Un vuoto di tutele?
Giova notare, quanto alla ratio dei nuovi strumenti, che il Comitato in effetti ammette la sussistenza di vuoti di tutela ove si faccia meramente affidamento sul GPDR, occorre perciò “to address the elements and principles that are ‘missing’ and, thus, needed to fill the gaps relating to conflicting national laws and government access in the third country as well as the difficulty to enforce and obtain redress against an entity outside the EU”.
Sempre rispetto al senso da dare alla nozione di “trasferimento verso Paese terzo”, occorre altresì che i due estremi della trasmissione siano soggetti distinti. Perciò, nell’ultimo esempio, immaginiamo che la società italiana invii per affari la dipendente Maria a Singapore (manteniamo qui per comodità gli stessi attori). Se Maria, da Singapore, scarica dati personali collegandosi da remoto al server aziendale, manca la presenza di due soggetti giuridici distinti, poiché Maria è un’autorizzata di trattamento. Viene cioè in considerazione non un trasferimento a terzi, ma una circolazione interna.
In definitiva, la cosa da sapere è che Maria non pone mai in essere trasferimenti extra UE. Ovviamente giochiamo con le parole per dare leggerezza, necessaria qui più che mai. È interessante che l’esempio ultimo si presta ad essere allargato, ad opinione dello scrivente (e a suo tempo dell’ICO), all’attività di branch e uffici all’estero, ossia stabilimenti non costituiti come distinti soggetti giuridici. Una posizione ufficiale sul punto gioverebbe. Le linee guida sono attualmente in pubblica consultazione, il dibattito si annuncia serrato più che in altri casi, venendo toccati tiranti e pilastri strutturali della normativa, l’attesa perciò per punti di vista alternativi che saranno eventualmente apportati in questa fase è certamente forte e potrebbero aversi ritocchi più o meno profondi delle linee guida.
@RIPRODUZIONE RISERVATA
