In data 12.02.2018 il Article 29 Data protection Working Party (organismo consultivo indipendente istituito ai sensi dell’art. 29 Dir. 95/46/CE; in seguito Working Party) ha pubblicato delle Linee guida, con un contestuale invito alla consultazione popolare, per condividere una corretta interpretazione e, conseguentemente, una migliore applicazione dell’art. 49 del Regolamento UE 2016/676 (GDPR) sul tema della protezione dei dati personali nelle ipotesi di trasferimento eccezionale degli stessi oltre i confini europei.
In linea con quanto già previsto dalla Direttiva 95/46/CE in materia di protezione dei dati, nel GDPR il Legislatore UE ha elaborato una disciplina riguardante la delicata questione del trasferimento dei dati personali verso uno Stato terzo o un’organizzazione internazionale che non abbia la propria sede legale nel territorio UE.
La questione è regolata dal Capo V (art. 44 e ss.) del GDPR, ove si individuano in via sistematica i criteri in base ai quali la Commissione UE può decidere circa l’ammissione di tali trasferimenti. L’art. 45 individua nel livello di protezione adeguato il criterio guida cui subordinare la scelta di concedere lo spostamento di tali dati; in particolare, è richiesto che il Paese terzo (o parte del suo territorio o uno o più settori specifici al suo interno) o l’organizzazione internazionale presenti ex multis le caratteristiche proprie di uno Stato di diritto, abbia una legislazione interna che garantisca il rispetto dei diritti umani e delle libertà fondamentali (nonché un sistema normativo di tutela dei dati personali) e preveda al suo interno un Organismo indipendente con competenze in tema di protezione dei dati. La continua sussistenza di tali elementi costituisce oggetto di controllo periodico della Commissione, la quale può interrogare e consultare i soggetti interessati e, nelle ipotesi in cui venga meno il requisito di adeguatezza, decidere di modificare, sospendere o revocare l’atto di esecuzione con cui ne aveva previamente riconosciuto la presenza.
In assenza di tali rigidi presupposti, l’art. 46 ammette che il trasferimento extra UE dei dati personali sia in subordine ammesso qualora sussistano delle garanzie adeguate, tassativamente elencate e non suscettibili di interpretazione estensiva (per citarne alcune, le norme vincolanti di impresa ex art. 47 GDPR, le clausole di protezione dati approvate dalla Commissione ai sensi dell’art. 93, par. 2, GDPR o un codice di condotta che vincoli il soggetto a rispettare un livello adeguato di protezione). Alla luce di quanto sopra è possibile affrontare in modo più specifico la questione trattata dalle Linee guida, aventi principalmente ad oggetto la disciplina derogatoria ex art. 49 GDPR. Il paragrafo 1 di tale disposizione prevede la possibilità di ammettere il trasferimento (o un complesso di trasferimenti) di dati personali anche in assenza di decisioni di adeguatezza di cui al par. 3 dell’art. 45, o di garanzie adeguate di cui all’art. 46 (comprese le norme vincolanti d’impresa ex art. 47 GDPR), qualora si verifichi una delle condizioni in esso tassativamente elencate.
In sintesi, i trasferimenti effettuati ex art. 49 GDPR devono essere espliciti (devono aver ricevuto il consenso dell’interessato), specifici (devono essere occasionali e necessari all’esecuzione di un contratto o ad altri distinti obblighi assunti dall’interessato con il Titolare del trattamento) ed informati, (l’interessato deve essere reso edotto dei rischi connessi all’operazione, dovuti all’assenza dei parametri di protezione e garanzia richiesti dal GDPR). In tutte queste ipotesi, la derogabilità alla disciplina ordinaria trova il suo fondamento nel carattere occasionale e necessario di un trasferimento privo dei necessari requisiti di protezione e garanzia.
Ad avviso dello scrivente, il fine principale delle Linee guida in esame non è quello di fornire una panoramica sul regime delle deroghe ex art. 49, quanto piuttosto quello di delimitare l’ambito di operatività delle stesse alla luce della disciplina “ordinaria” di cui agli artt. 45 e 46 GDPR. Il Working Party ha infatti espresso le sue perplessità circa la possibilità che i trasferimenti occasionali ex art. 49 possano costituire uno strumento di elusione dei criteri di adequacy decision previsti dalla disciplina generale. Il canale primario per il trasferimento dei dati personali deve necessariamente rimanere assoggettato ad una vincolante decisione di adeguatezza della Commissione, non potendosi ammettere, per esigenze di velocizzazione delle procedure o di espansione territoriale della diffusione degli stessi, un’indebita compressione delle garanzie fondamentali nel trattamento dei dati personali.
