assicurata dall'ordinamento dello Stato terzo
Il regolamento (UE) 2016/679, come la direttiva-madre, non definisce esplicitamente la nozione di flusso internazionale di dati. Il legislatore sembra aver ignorato i timori, espressi dal Garante Europeo in ordine al rischio che la mancanza di una definizione espressa potesse far sorgere incertezze sulle ipotesi in cui le previsioni del regolamento si applichino in un contesto online, timori suffragati dall’eccessiva cautela della giurisprudenza di Lussemburgo sul punto.
La Corte di giustizia nel caso Lindqvist328, infatti, aveva escluso che il caricamento di dati su una pagina web, pur rendendo i medesimi accessibili a un numero indeterminato di soggetti, configurasse un trasferimento ai sensi dell’art. 25 della direttiva 95/46/CE, alla luce di una ricostruzione dell’intenzione del legislatore storico tesa a evitare un’applicazione generalizzata del regime giuridico delineato dalla disposizione succitata. Tale conclusione peraltro prescindeva dalla circostanza che i dati fossero stati effettivamente consultati da cittadini stranieri o che i server del fornitore di servizi di web hosting fossero localizzati in Paesi terzi.
328
CGCE, 6.11.2003, causa C-101/01, Lindqvist, § 68:<<Tenuto conto, da una parte, dello stato dello sviluppo di Internet all'epoca dell'elaborazione della direttiva 95/46 e, dall'altra, della mancanza, nel suo capo IV, di criteri applicabili all'uso di Internet, non si può presumere che il legislatore comunitario avesse l'intenzione di includere prospettivamente nella nozione di “trasferimenti verso un paese terzo di dati personali” l'inserimento, da parte di una persona […] di dati in una pagina Internet, anche se questi sono così resi accessibili alle persone di paesi terzi>>.
174
Dal momento che neppure in occasione della riforma il legislatore ha preso chiaramente posizione, è auspicabile che la giurisprudenza di Lussemburgo, che si svilupperà sulla scorta del regolamento, sciolga questi nodi critici.
In precedenza il Garante Europeo aveva suggerito di considerare alcuni fattori per determinare se si fosse in presenza di un trasferimento di dati: ad esempio, la finalità di comunicare i dati a destinatari ben individuati, la probabilità che il flusso informativo abbia effettivamente raggiunto uno o più destinatari all'estero329. Tuttavia, a differenza della direttiva, la nuova disciplina ha una portata di più ampio respiro e rivolge l'attenzione ai trasferimenti non solo verso Paesi terzi, ma anche verso organizzazioni internazionali. Il regolamento riformula in chiave positiva il principio di fondo espresso in negativo dalla direttiva-madre330. Mentre quest'ultima stabiliva che entro i confini del mercato comune i dati potessero circolare liberamente e vietava il trasferimento di dati personali al di fuori del SEE331, fatte salve alcune deroghe, il regolamento n. 2016/679, invece, ribadisce che è ammessa la libera circolazione dei dati all'interno dell'Unione, ma al contempo prevede che i flussi verso l'estero siano consentiti a determinate condizioni (art. 44).
Inoltre, è significativo che la medesima norma precisi che le regole, sulle quali si fonda il nuovo regime, debbano essere rispettate sia dal titolare, sia dal responsabile del trattamento, sia da ulteriori destinatari di dati in caso di trasferimenti successivi.
L'intero impianto della nuova disciplina mira ad assicurare che il livello di protezione predisposto dal legislatore europeo non sia attenuato o compromesso quando i dati fuoriescano dal territorio dell'UE/SEE.
329
EUROPEAN DATA PROTECTION SUPERVISOR, Opinion of the European
Data Protection Supervisor on the data protection reform package (7.3.2012), pp.
18-19.
330
Ivi, p. 35.
331
175
La riforma conferma quale meccanismo principale per il trasferimento all'estero di dati personali la sussistenza di una decisione positiva sul livello di adeguatezza della tutela garantita dall'ordinamento di destinazione.
Come già previsto dalla direttiva-madre, spetta alla Commissione il potere di compiere valutazioni circa il requisito dell'adeguatezza332. Il regolamento, semmai, ha precisato e individuato in modo più rigoroso i parametri che dovranno essere considerati ai fini dell'emanazione di una decisione di adeguatezza:
<<a) lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), così come l'attuazione di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un'altra organizzazione internazionale osservate nel paese o dall'organizzazione internazionale in questione, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento;
b) l'esistenza e l'effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o cui è soggetta un'organizzazione internazionale, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire
332
Le decisioni di adeguatezza sinora emesse hanno riguardato il Principato di Andorra, l'Argentina, il diritto commerciale privato del Canada, le Isole Faer Oer, il Baliato di Guernsey, l'Isola di Man, Israele, il Baliato di Jersey, la Nuova Zelanda,
la Svizzera, l'Uruguay. Per dettagli, si visiti l'indirizzo:
http://ec.europa.eu/justice/data-protection/international- transfers/adequacy/index_en.htm.
176
consulenza agli interessati in merito all'esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri; e
c) gli impegni internazionali assunti dal paese terzo o dall'organizzazione internazionale in questione o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti come pure dalla loro partecipazione a sistemi multilaterali o regionali, in particolare in relazione alla protezione dei dati personali>>333.
Sotto quest'ultimo profilo nel considerando 105 si attribuisce particolare pregnanza al fatto che il Paese di arrivo sia membro della Convenzione 108 del Consiglio d'Europa.
Da tali previsioni si evince che il regolamento detta una disciplina più approfondita delle decisioni di adeguatezza rispetto al passato, prevedendo la necessità di un riesame periodico con cadenza almeno quadriennale, e al contempo introduce elementi di maggiore flessibilità, ammettendo la possibilità che la valutazione di adeguatezza non riguardi l'intero ordinamento del Paese terzo, ma si limiti a territori o settori specifici all'interno del medesimo.
È fatto salvo il potere della Commissione di modificare, revocare o sospendere la decisione precedentemente emessa, ove riscontri il venir meno del requisito dell'adeguatezza, sebbene tale intervento non abbia efficacia retroattiva e quindi non possa rendere illeciti i trasferimenti già avviati334.
A differenza che in passato, il regolamento stabilisce specificamente che le decisioni di adeguatezza dovranno soggiacere a un regime di pubblicità. La Commissione, infatti, è espressamente tenuta a pubblicare sulla Gazzetta Ufficiale e sul proprio sito web <<l'elenco dei paesi terzi, dei territori e settori specifici all'interno di un paese terzo, e delle organizzazioni internazionali per i quali ha deciso che è o non è più garantito un livello di protezione adeguato>>335.
333
V. l'art. 45, par. 2 del regolamento.
334
Art. 45, par. 5.
335
177
In difetto di una decisione di adeguatezza il flusso verso l'estero dei dati non è del tutto precluso, poiché il regolamento ne riconosce la legittimità subordinatamente a determinate condizioni.
In generale il considerando 114 chiarisce che devono essere adottate soluzioni che attribuiscano all'interessato diritti effettivi e azionabili, così da consentirgli di continuare a beneficiare di tutele anche in seguito all'esportazione dei suoi dati.
L'art. 46 del regolamento, difatti, enuncia una serie di strumenti sui quali può basarsi il trasferimento dei dati verso un Paese terzo o un'organizzazione internazionale.
Più precisamente, anche quando la Commissione decida che l'ordinamento di destinazione non offre un livello adeguato di tutela, il legislatore ammette il trasferimento se vengono poste in essere garanzie adeguate. In particolare si considerano garanzie adeguate, tali da escludere la necessità di autorizzazioni specifiche da parte di un'autorità di controllo:
a) uno strumento giuridicamente vincolante e dotato di efficacia
esecutiva tra autorità pubbliche o organismi pubblici;
b) le norme vincolanti d'impresa;
c) le clausole contrattuali tipo adottate dalla Commissione;
d) le clausole contrattuali tipo adottate da un'autorità di controllo e
approvate dalla Commissione;
e) un codice di condotta, unitamente all'impegno vincolante ed
esecutivo da parte del titolare o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate;
f) un meccanismo di certificazione, unitamente all'impegno
vincolante ed esigibile da parte del titolare o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate.
Il legislatore europeo ha scelto altresì di lasciare spazio alla stipula di contratti tra titolare o responsabile del trattamento esportatore e importatore che includano clausole o garanzie supplementari ovvero a
178
disposizioni inserite in accordi amministrativi giuridicamente non vincolanti tra autorità pubbliche o organismi pubblici, che prevedano diritti effettivi e azionabili per gli interessati336.
In queste ultime ipotesi, tuttavia, si renderà necessaria un'autorizzazione, che dovrà essere rilasciata dall'autorità di controllo competente in ossequio al meccanismo di coerenza337.
Da un confronto con l'art. 26 della direttiva 95/46/CE, che menzionava solo le clausole contrattuali tipo, emerge ictu oculi come il regolamento abbia notevolmente ampliato il novero degli strumenti, sui quali può fondarsi il trasferimento internazionale dei dati.
Come ha riconosciuto il Garante Europeo338, in alcuni casi si tratta di meccanismi già diffusi nella prassi, che però trarranno beneficio dalla previsione di una chiara base giuridica nel regolamento.
In altri termini, il fatto che il legislatore europeo si sia preoccupato di dettare un'apposita disciplina dovrebbe rendere più difficile l'elusione dei principi della protezione dei dati personali e impedire abusi a danno degli interessati.