Dato il valore primario attribuito alla privacy in Europa, non stupisce che la direttiva 95/46/CE avesse previsto una serie di principi, regole, e misure di sicurezza atte a garantire la tutela dell’individuo all’interno del mercato globale, anche nella nascente dimensione digitale.
Per quanto riguarda il traffico transazionale dei dati, la direttiva vi dedicava il capo IV, consistente in due articoli (art. 25 e art. 26).
Vale la pena ripercorrere le fattispecie in questione anche se ormai abrogate in virtù di quanto disposto dall’art. 94 del nuovo Regolamento (UE) 2016/679.
All’articolo 25 venivano infatti enunciati i principi di riferimento della materia, in primis la subordinazione del trasferimento di dati personali da uno Stato membro verso un Paese terzo alla fornitura da parte di quest’ultimo di un “livello di protezione adeguato”, da valutarsi con riferimento a “tutte le circostanze relative ad un trasferimento o ad una
90
categoria di trasferimenti di dati”, cosa che implica una valutazione che tenga conto di molteplici elementi: dalla natura dei dati trattati, alle finalità del trattamento, alle norme di diritto presenti nei paesi di origine134.
Nulla stabiliva però la direttiva circa l’identità dei soggetti chiamati a farsi carico di questo riconoscimento, lasciando così tale compito alle legislazioni nazionali.
La Commissione europea e gli Stati membri erano chiamati a collaborare insieme per individuare quali Paesi non fornissero l’adeguata tutela, con la possibilità, per la Com- missione di richiedere agli Stati l’adozione delle misure idonee a garantire l’interruzione del flusso di dati verso i Paesi giudicati insicuri, almeno fino alla rinegoziazione degli accordi con questi.
L’art. 26 contemplava però una serie di eccezioni a questi principi.
Infatti, gli Stati membri potevano consentire il trasferimento anche in una serie di casi ivi descritti al primo paragrafo135 nonché, in via generale, nel caso in cui il responsabile del trattamento presentasse “garanzie sufficienti”, tali da permettere l’individuazione di un regime di rispetto per i diritti e le libertà fondamentali della persona, comprensivo
134 Sul concetto di adeguatezza, il Gruppo di lavoro articolo 29 era intervenuto con il documento di
lavoro Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea
sulla tutela dei dati del 24 luglio 1998.
135 Così l’art. 26, par.1 della direttiva 95/46/CE:
“In deroga all’articolo 25 e fatte salve eventuali disposizioni contrarie della legislazione nazionale per casi specifici, gli Stati membri dispongono che un trasferimento di dati personali verso un paese terzo che non garantisce una tutela adeguata ai sensi dell’articolo 25, paragrafo 2 può avvenire a condizione che:
a) la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferi- mento previsto, oppure
b) il trasferimento sia necessario per l’esecuzione di un contratto tra la persona interessata ed il respon- sabile del trattamento o per l’esecuzione di misure precontrattuali prese a richiesta di questa, oppure c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto, concluso o da con- cludere nell’interesse della persona interessata, tra il responsabile del trattamento e un terzo, oppure d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, esercitare o difendere un diritto per via giudiziaria, oppure
e) il trasferimento sia necessario per la salvaguardia dell’interesse vitale della persona interessata, oppure
f) il trasferimento avvenga a partire da un registro pubblico il quale, in forza di disposizioni legislative o regolamentari, sia predisposto per l'informazione del pubblico e sia aperto alla
consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo, nella misura in cui nel caso specifico siano rispettate le condizioni che la legge prevede per la consultazione”.
91
della possibilità di ricorrere a strumenti giurisdizionali e contenuto in “clausole contrattuali appropriate”.
In questi casi, era onere dello Stato membro informare la Commissione dell’autorizzazio- ne concessa e compito di quest’ultima decidere su eventuali opposizioni provenienti da altri Stati membri.
Sulla base della direttiva, è stata adottata in Italia la l. n. 675 del 31 dicembre 1996, poi sostituita dal d.lgs. n. 196 del 30 giugno 2003, che disciplinava la materia al Titolo VII, rubricato: Trasferimenti di dati all’estero; tali disposizioni sono state abrogate ad opera del d.lgs. 101/2018 e la cosa è del tutto comprensibile dal momento che il regolamento europeo contiene già la disciplina specifica ed è self executing.
Fin qui il dato normativo, per quanto riguarda invece l’elaborazione giurisprudenziale che ne è conseguita, merita menzione il dibattito sorto sull’incerta definizione di “trasfe- rimento di dati personali”.
Sul punto è intervenuta la Corte di Giustizia136, stabilendo che non può parlarsi di
trasferimento di dati personali per il solo fatto che questi siano inseriti sulla pagina di un sito internet.
Vero è che in questo modo le informazioni ivi contenute sono potenzialmente accessibili dai più remoti angoli del pianeta, tuttavia la Corte non ritiene che sia questa la ratio legis sottesa alla disciplina sui trasferimenti transfrontalieri.
Infatti, ogni volta che is pubblicano dati su internet, quegli stessi dati divengono per giocoforza accessibili in ogni luogo del mondo nel quale vi siano le capacità tecniche per accedere alla rete; basta questo per dire che vi è stato un trasferimento? In effetti è vero che i dati sono accessibili anche fuori dai confini europei, ma non si tratta di un “trasferimento”, quanto piuttosto di una messa a disposizione, revocabile in qualsiasi momento; chi accede ai dati in questo modo non ne detiene il possesso, a meno che non
92
proceda a un download degli stessi o ad altre forme di archiviazione, facendoli in tal modo propri senza esserne tuttavia autorizzato137.
Il trasferimento invece contempla un accordo fra coloro il soggetto che trasferisce e quello che riceve, il quale può disporre lecitamente di tali dati, nei termini dell’accordo con il quale è avvenuto il trasferimento. Così avviene soprattutto nell’ambito di accordi commerciali ed è questo che il legislatore ha voluto regolamentare.
Infatti, per quanto risulti evidente che il risultato finale sia comunque quello di mettere a disposizione dei dati anche al di fuori dei confini europei, un’interpretazione così omnicomprensiva del concetto di “trasferimento” avrebbe senza dubbio reso eccessivamente complicato il lavoro dei gestori dei siti internet, con significative ricadute sullo sviluppo del web.
In via generale, si deve constatare che, in assenza di una decisione di adeguatezza, gli strumenti più efficaci messi a disposizione dalla legislazione precedente al nuovo regolamento (peraltro trasposti nel nuovo impianto normativo) erano, e sono tuttora, le “clausole contrattuali tipo” (o clausole contrattuali standard), già previste ex art. 26, par. 4 della direttiva 95/46/CE, nonché le norme vincolanti d’impresa, altrimenti dette B.C.R. (Binding Corporate Rules).
2. Il trasferimento dei dati personali e il rapporto con gli USA: dalla sentenza C-