Il regime delle deroghe al livello adeguato di protezione

Come si è detto profusamente nelle pagine precedenti, il trasferimento all’estero di dati personali è consentito soltanto laddove il Paese terzo offra un livello adeguato di protezione. Tuttavia, come per ogni regola, esistono delle eccezioni.

Il regime delle eccezioni è codificato all’art. 26 della Direttiva 95/46/CE, il quale disciplina una serie di circostanze in cui il trasferimento dei dati personali verso un Paese terzo che non assicura

320

Pubblicata nella G.U.U.E. 28 maggio 2008, n. L 138

321 _{Il Baliato di Jersey è una dipendenza della Corona britannica (senza essere una zona del Regno Unito né una}

colonia) ma completamente indipendente, tranne che per le relazioni internazionali e la difesa, di competenza del governo britannico; il Baliato di Jersey va dunque considerato un paese terzo ai fini della direttiva 95/46/CE

322 _{Le Isole Faer Øer sono una regione autonoma del Regno di Danimarca. Quando la Danimarca è entrata a far parte}

della Comunità europea, nel 1973, le Isole Faer Øer non vi hanno aderito. Vanno quindi considerate un paese terzo ai fini della direttiva 95/46/CE

323

Pubblicata nella G.U.U.E. 9 marzo 2010, n. L 58

324 _{Parere 9/2007 sul livello di protezione dei dati personali nelle Isole Faer Øer, adottato il 9 ottobre 2007, disponibile}

sul sito http://ec. europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp142_it.pdf

325

Andorra è uno Stato dotato di un sistema di coprincipato parlamentare, in cui le funzioni dei coprincipi sono esercitate dal presidente della Repubblica francese e dall'arcivescovo di Urgell

326

Pubblicata nella G.U.U.E. 21 ottobre 2010, n. L 277

327

Dec. 31-1-2011 n. 2011/61/UE Pubblicata nella G.U.U.E. 1 febbraio 2011, n. L 27.

100

un livello adeguato di protezione viene eccezionalmente consentito. Come si vedrà si tratta di un elenco di ipotesi tassative, per la maggior parte, i rischi per il titolare dei dati sono relativamente bassi ovvero gli interessi del medesimo obliterano qualsiasi preoccupazione in merito alla protezione dei dati.

Si tratta di una norma di carattere eccezionale poiché il responsabile del trattamento, nelle ipotesi ivi previste, non soltanto non è tenuto a preoccuparsi se il livello di protezione dei dati nel Paese terzo sia o meno adeguato, ma non deve neppure richiedere alcun tipo di autorizzazione preventiva al trasferimento da parte delle autorità competenti. Allo stesso modo, queste disposizioni non richiedono che il destinatario del flusso dei dati rispetti i requisiti della direttiva con riguardo al trattamento dei dati nel proprio Paese (es. principio di sicurezza, diritto di accesso ecc.). In ogni caso, giova ribadire come, anche in presenza di queste ipotesi di carattere eccezionale, le deroghe previste dall’art. 26 non possono applicarsi disgiuntamente rispetto alle altre disposizioni della direttiva. Come esplicitamente affermato dall’art. 25, infatti, queste disposizioni si applicano “senza pregiudizio per il rispetto delle disposizioni nazionali adottate ai sensi delle altre disposizioni di questa direttiva”. Ciò significa che, al di là delle disposizioni su cui ci si basa ai fini del trasferimento di dati verso un paese terzo, altre disposizioni della direttiva devono essere rispettate. Nello specifico dunque, ciò significa che qi sensi del paragrafo 60 del preambolo della direttivam che laddove dati sensibili siano implicati nel trasferimento, i requisiti dell’art, 8 della Direttiva dovrebbero essere soddisfatti. Ciò puà implicare che uno specifico trasferimento può bassarsi sull’art 26 ove applicabile soltanto se le condizioni di cui all’art. 8 sono state rispettate.

Ai sensi dell’art. 26, il trasferimento di dati personali verso un Paese terzo non assicurante un adeguato livello di protezione può essere consentito nei seguenti casi:

a. Il titolare dei dati ha dato il proprio consenso in maniera non ambigua al trasferimento

b. Il trasferimento è necessario per l’esecuzione di un contratto tra il titolare dei dati e il responsabile del trattamento o per l’attuazione di misure pre-contrattuali adottate in risposta ad una richiesta avanzata dal titolare dei dati

c. Il trasferimento è necessario per la conclusione di un contratto nell’interesse del titolare dei dati tra il responsabile del trattamento e un soggetto terzo

d. Il trasferimento è necessario o legalmente richiesto in virtù di un rilevante interesse pubblico o per l’affermazione, esercizio o difesa di azioni legali

e. Il trasferimento è necessario al fine di proteggere un interesse vitale del titolare dei dati

101

f. Il trasferimento viene fatto da un registro che secondo le leggi o i regolamenti è diretto a fornire informazioni al pubblico e che è aperto alla consultazione da parte del pubblico in generale o da parte di qualsiasi persona che possa dimostrare un interesse legittimo nella misura in cui le condizioni previste dalla legge per la consultazione siano rispettate nella circostanza di specie.

La norma, stante il suo carattere derogatorio rispetto al principio generale, ha formato oggetto di un articolato parere da parte del Gruppo di lavoro ex art. 29. In particolare, l’intervento del Gruppo ex art. 29 si era reso necessario un funzione del rilevamento di diverse interpretazioni della norma, circostanza suscettibile di pregiudicarne l’uniforme applicazione a livello europeo. Inoltre, l’interpretazione particolarmente “blanda” che della norma veniva fatta presso alcuni Stati membri, unitamente alle divergenze con le quali gli stessi avevano trasposto ed attuato gli articoli 25 e 26 della direttiva, avrebbe potuto determinare il rischio di dare origine a situazioni di “forum shopping”. Infine, era stato rilevato come fosse invalsa l’abitudine, presso molti responsabili del trattamento, di utilizzare il sistema di deroghe previsto dall’art. 26 come prima opzione, anche laddove la scelta era inappropriata.

Pertanto, la scelta di intervenire con un parere da parte del Gruppo di Lavoro ex art. 29 era dettata dall’esigenza di assicurare un’interpretazione il più possibile uniforme dell’art. 26.

In primo luogo è stato chiarito che le deroghe previste dall’art. 26 della Direttiva debbano essere interpretate in senso restrittivo, stante il loro carattere di eccezione rispetto alla disciplina generale. In quest’ottica, osserva il Gruppo di Lavoro, la logica è la stessa di quella che ispira il protocollo addizionale alla Convenzione 108. La relazione a tale protocollo recita infatti che “le parti hanno discrezionalità nel prevedere delle deroghe al principio di livello adeguato di protezione. Le disposizioni nazionali rilevanti devono in ogni caso rispettare il principio inerente la legge Europea secondo cui le clausole che prevedono eccezioni devono essere interpretate restrittivamente affinché l’eccezione non divenga la regola”329

.

Più in generale la regola della stretta interpretazione deriva chiaramente altresì dal case law dellaCorte Europea dei Diritti Umani che interpreta i diritti fondamentali in un modo alquanto ampio, ai sensi del “principe d’effet utile” della protezione offerta, con l’effetto di limitare il campo di applicazione delle deroghe a tale principio330

In secondo luogo il Gruppo di lavoro propende per la necessità che i responsabili dei trattamenti assicurino “adeguata protezione” in quante più situazioni sia possibile e di consentire il trasferimento sulla base delle deroghe di cui all’art. 26 par. 1 soltanto ove non siano concretamente

329

Cf. report on the Additional Protocol to Convention 108 on the control authorities and crossborder flowsof data, Article 2(2)(a); this document can be accessed at: http://conventions.coe.int/Treaty/EN/Reports/Html/181.htm

102

applicabili le garanzie di cui all’art. 26 par. 2, ossia le clausole contrattuali standard o le binding corporate rules. Ciò soprattutto per quanto riguarda i trasferimenti di dati ripetitivi o strutturali.

Infine, il Gruppo di Lavoro ha espresso la considerazione che il trasferimento sulla base delle deroghe di cui all’art. 26 non deve mai portare ad una situazione in cui i diritti fondamentali possano essere violati. Molto opportunamente, infatti, il Gruppo di Lavoro evidenzia come il carattere derogatorio rivestito da queste norme riguardi esclusivamente il livello adeguato di protezione e non anche la regola secondo cui i diritti fondamentali debbano essere rispettati.

Tuttavia, si è anche riconosciuto che l’espansione del commercio a livello internazionale richiede in certe occasioni una certa flessibilità nei trasferimenti di dati, incluse le informazioni personali.

Ferme restando queste considerazioni di carattere generale il Gruppo di Lavoro,nel suo parere,ha preso posizione con riferimento a ciascuna singola ipotesi di deroga prevista dall’art. 26.

In primo luogo, per quanto riguarda il consenso, il Gruppo di lavoro insiste sul fatto che esso deve essere dato in forma esplicita affinché la deroga di cui all’art. 26 par. 1 lett. a) possa trovare applicazione. Tutte le situazioni in cui il consenso viene dato per implicito non possono rientrare nel campo di applicazione della deroga. Per tale ragione il consenso deve essere stato fornito in maniera libera e, per essere valido, deve essere fornito da una persona che ha avuto la possibilità di fare una scelta. Il consenso deve poi essere specifico ed informato. In particolare, il titolare dei dati deve essere compiutamente istruito in merito ala Paese di destinazione del flusso dei dati e dei rischi potenziali derivanti dal trasferimento

Per quanto riguarda i trasferimenti resi necessari per l’esecuzione di un contratto tra il titolare dei dati e il responsabile del trattamento, sebbene il campo di applicazione di tale deroga possa apparire potenzialmente molto ampio, il Gruppo di Lavoro ha specificato che, in pratica, essa dovrà essere limitata dal criterio della “necessità”. Questa verifica sulla necessità richiede una connessione sostanziale e specifica ctra il titolare dei dati e la finalità del contratto. Analoghe considerazioni, in punto di necessità, riguardano la deroga prevista dall’art. 26 par. 1 lett. c) ove la valutazione di necessità deve attenere all’interesse del titolare dei dati e allo scopo del contratto.

Allo stesso modo, con riferimento all’eccezione di cui all’art. 26 par. 1 lett. d ), Il gruppo di Lavoro ha precisato che la nozione di “ rilevante interesse pubblico” può legittimare un trasferimento di dati verso un Paese terzo non assicurante un livello adeguato di protezione soltanto ove l’interesse pubblico venga individuato come tale da responsabili del trattamento situati in Europa. In quest’ottica il Gruppo di Lavoro, nell’opinione riguardante i trasferimento di dati PNR dei passeggeri331, il gruppo di lavoro ha dato un’interpretazione restrittiva della nozione di “ragioni

103

di rilevante interesse pubblico”, rigettando l’uso di tale deroga al fine di legittimare il trasferimento dei dati PNR al Department of Homeland Security americano. Secondo il Gruppo di Lavoro, infatti, in primo luogo la necessità del trasferimento non era stata appurata e, in secondo luogo, non appariva accettabile che una decisione unilaterale di un paese terzo, sulla base di interessi pubblici specifici di quest’ultimo, potesse dare luogo a dei trasferimenti regolari ed in massa di dati protetti dalla Direttiva. Allo stesso modo, affinché un interesse pubblico possa legittimare un trasferimento di dati personali verso un paese terzo occorre che si tratti di un interesse “rilevante”. Semplici, ma non importanti, considerazioni di interesse pubblico non valgono a legittimare un trasferimento.

L’art. 26 par. 1 lett. e) prevede invece la possibilità di dare luogo al trasferimento di dati al fine di proteggere un interesse vitale del titolare dei dati medesimi. Il gruppo di lavoro ha rilevato come tale eccezione debba essere interpretata nel senso di considerare come “interesse vitale” soltanto le situazioni di pericolo per la vita del titolare dei dati. Pertanto, importanti interessi di carattere finanziario, familiare o patrimoniale non potranno essere presi in considerazione alla luce dell’eccezione de quo.

L’ultima deroga attiene ai trasferimenti fatti da registri che, a norma di legge, sono aperti alla consultazione da parte del pubblico, purché siano rispettate le condizioni necessarie alla consultazione. In merito a tale ultima eccezione il Gruppo di Lavoro ha osservato come il trasferimento, sebbene avvenga a partire da un registro aperto alla consultazione del pubblico, i trasferimenti del contenuto di interi registri di intere categorie di dati ivi contenute non può essere ammesso.