Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LINEE GUIDA

Trasferimento occasionale di dati all’estero post GDPR: che c’è da sapere

L’European Data Protection Board ha rilasciato linee guida in merito al trasferimento “occasionale” di dati all’estero. Ecco come interpretare questa che è una delle clausole tra le più complesse e di difficile inquadramento del GDPR e quali deroghe sono previste dal Regolamento UE

14 Dic 2018
M

Andrea Michinelli

Avvocato, d'Ammassa & Partners Law Firm, CIPP/E certified


Sono state di recente pubblicate le linee guida dell’European Data Protection Board, n. 2/2018, in lingua italiana (il comma 2 del par. 1 è stato anche oggetto di rettifica nella traduzione italiana, pubblicata in G.U.U.E. 23 maggio 2018, n. 127 Serie L), il cui tema è quello dei presupposti legali per effettuare un trasferimento “occasionale” di dati all’estero, al di fuori del territorio dell’Unione Europea, dello SEE (Spazio Economico Europeo) o verso un’organizzazione internazionale.

Escludendo la presenza di decisioni di adeguatezza del Paese destinatario ex art. 45 GDPR, nonché di una delle garanzie adeguate ex art. 46 GDPR, l’unica possibilità rimasta (e solo se le prime due sono assolutamente inapplicabili) è quella delle deroghe elencate all’art. 49 GDPR. Se non si possono applicare nemmeno tali deroghe, il trasferimento nel Paese terzo sarà illecito e pertanto andrà evitato.

Trasferimento “occasionale” di dati all’estero: le deroghe

Tali deroghe si possono brevemente elencare:

  1. consenso esplicito dell’interessato, debitamente informato ex art. 13 GDPR dei possibili rischi di siffatti trasferimenti (dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate);
  2. esecuzione contrattuale o di misure precontrattuali richieste dell’interessato;
  3. esecuzione o conclusione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
  4. trasferimento necessario per importanti motivi di interesse pubblico;
  5. trasferimento necessario per la tutela giudiziaria di un diritto;
  6. trasferimento necessario per tutelare gli interessi vitali dell’interessato o di altre persone (qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso);
  7. trasferimento effettuato a partire da un registro che ai sensi di legge mira a fornire informazioni al pubblico consultabile tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse (ma solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri);
  8. necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, sempre che il trasferimento non sia ripetitivo e concerna un numero limitato di interessati; non devono prevalere gli interessi, i diritti o le libertà dell’interessato, e sempre che il titolare e del trattamento abbia valutato tutte le circostanze relative al trasferimento, fornendo garanzie adeguate relativamente alla protezione dei dati personali dopo aver valutato le circostanze concrete e, infine, informando del trasferimento l’autorità di controllo.

Apparentemente la lista è piuttosto chiara, tanto che solo il trasferimento di cui alla lett. h) precedente sembra prevedere l’occasionalità (“non ripetitività”) dell’operazione. Tuttavia, le linee guida introducono un’interpretazione più ampia, inglobando nei requisiti anche quanto previsto ai Considerando 111 e 113 GDPR. Qual è l’effetto? Si aggiunge un requisito a quelli letti sopra, per cui – oltre a ribadire come il trasferimento debba essere comunque “necessario[1] per la finalità posta in essere – nei casi detti alle lett. b), c) ed e) (sostanzialmente: in caso di esecuzione contrattuale o tutela giudiziaria di un diritto) diventa cogente che il trattamento sia anche “occasionale” (aggettivo non riportato nell’articolato del GDPR).

Una definizione in merito viene fornita dalle medesime linee guida, ritenendo l’occasionalità equivalente alla non ripetitività (già vista al paragrafo 1, secondo comma, art. 49 GDPR): “i trasferimenti possono ripetersi ma non con cadenza regolare e devono avvenire in circostanze non ordinarie, ad esempio al manifestarsi di condizioni casuali o ignote e a intervalli di tempo arbitrari[2]. Vengono forniti anche alcuni esempi dall’EDPB, tuttavia il perimetro entro cui intendere l’occasionalità resta sfumato, generando incertezze applicative in molti casi.

Complicazioni in un caso pratico di trasferimento dei dati in Paesi terzi

Si comprende bene come nella prassi questo ulteriore requisito complicherà – e non poco – i trasferimenti in Paesi terzi privi di una decisione di adeguatezza (sono poco più di una decina, a oggi, quelli adeguati) e nei casi ove non sia possibile adottare uno dei meccanismi disciplinati all’art. 46 GPDR (BCR tra imprese, model clauses, codici di condotta, certificazioni), non certo alla portata di tutti i titolari e di tutti contesti (pensiamo alle MPMI).

Infatti, se il titolare dovesse esportare per motivi d’impresa i dati personali con una certa frequenza e regolarità (dunque in via non occasionale) in Paesi terzi (per esempio l’India) a molteplici destinatari (pensiamo ad esempio alla distribuzione di prodotti, comprensivi di dati personali, in innumerevoli esercizi commerciali extra-UE) avrebbe difficoltà ad applicare le misure adeguate ex art. 46 GDPR.

Certo, si potrà utilizzare la base consensuale detta sopra e prevista dall’art. 49 par. 1 lett. a), d’altro canto con la complicazione data dall’esposizione informativa all’interessato dei rischi previsti per tutti i Paesi destinatari (dunque da prefissare ed esaminare a priori[3]). Ma vi è un contrappeso ancor più importante: trattandosi di consenso l’interessato potrà sempre liberamente revocarlo, ottenendo così l’effetto paradossale di bloccare, di fatto, l’esportazione dei prodotti del nostro esempio. Oltretutto è assai dubbio che si possa temperare tale eventualità con previsioni contrattuali “punitive”, per esempio con penali o altre conseguenze contrattuali negative, perché andrebbero a minare la libertà del consenso prestato (ex art. 7 GDPR), rendendolo invalido ab origine.

Non scordiamo che sempre l’EDPB (nella sua precedente veste di Working Party art. 29) ha sempre segnalato l’utilizzo della base legale consensuale solo in via residuale, quando non vi siano altre possibilità (in tal senso si legge anche il Considerando 111 GDPR). Si stenta a comprendere quali alternative al consenso si possano utilizzare per il trasferimento in questo caso, rebus sic stantibus. La più logica sarebbe quella dell’esecuzione contrattuale verso l’interessato, subito da scartare per la mancata occasionalità ex Considerando 111 GDPR. Oppure quella del legittimo interesse, non percorribile per lo stesso motivo ai sensi anche del Considerando 113 GDPR. Le altre deroghe ai sensi dell’art. 49 GDPR non sembrano fornire alcuna utilità nel caso concreto e portano a dover riconsiderare gli strumenti degli artt. 45-46 GPDR, non sempre alla portata.

Il consenso come possibile strumento di blocco dell’attività d’impresa

Il consenso, in definitiva, rischia di trasformarsi da strumento di tutela dell’interessato a mezzo di rivalsa indebita (visto che non deve nemmeno essere motivata la sua revoca e non essendoci termini temporali d’esercizio) da parte dello stesso interessato verso un titolare a cui voglia creare problemi, magari per altri motivi. Non essendovi contrappesi all’esercizio della revoca del consenso (salvo la sussistenza di eventuali altre basi legali che, come visto, possono essere ardue da ipotizzare), rischia di far terminare bruscamente e senza altro appello il trattamento in corso. Nell’intenzione dell’EDPB e del legislatore non crediamo fosse previsto tale possibile effetto “fortuito”, nondimeno finché non interverranno modifiche normative o interpretazioni delle autorità competenti di maggior pragmatismo, il rischio resterà nell’ombra ma “occasionalmente” concreto. Non da meno se pensiamo, in sede di informativa al trattamento a mente degli artt. 13-14 GDPR, alla chiara ed esaustiva esplicazione dei meccanismi di deroga sopra previsti, con il loro appesantimento di una comunicazione che si vorrebbe agile e semplice: una bella sfida per i titolari e i loro consulenti.

  1. Quanto all’analisi della necessità estrinsecata deroga per deroga, le Linee Guida EDPB effettuano una analisi per ognuna delle ipotesi lett. b) – f), includendovi esempi pratici a cui rimandiamo. Sostanzialmente deve esserci un nesso sufficientemente stretto e significativo tra il trasferimento e le finalità del trattamento.
  2. Linee Guida EDPB n. 2/2018, pag. 4 – https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_it.pdf.
  3. Peraltro, l’EDPB nelle menzionate Linee Guida richiede che si rendano noti i singoli Paesi, i destinatari, l’indicazione che il consenso è la base legale di trasferimento, che il singolo Paese non offre un livello adeguato di protezione e, infine, i possibili specifici rischi del trasferimento in quel Paese (per es. che non sussiste un’autorità di controllo). L’ultimo requisito, in particolare, presuppone una conoscenza delle normative sulla protezione dei dati personali, o della loro assenza, non certo alla portata di tutti i titolari.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5