• Non ci sono risultati.

CAPITOLO III. ANALISI COMPARATIVA DEL REGOLAMENTO (UE) 2016/679 IN RIFERIMENTO AL CONTESTO NORMATIVO ATTUALE IN MATERIA DI PROTEZIONE DE

DATI PERSONALI, RAPPRESENTATO DALLA DIRETTIVA 95/

3. Il trasferimento dei dati verso paesi terzi o organizzazioni internazional

All’articolo 44 del nuovo Regolamento viene esplicitamente sancito il principio generale per il trasferimento dei dati, il cui fine è quello di assicurare che non sia in alcun modo pregiudicato il livello di protezione delle persone fisiche.

Relativamente a questo settore, il nuovo Regolamento presenta sia caratteri di continuità che di discontinuità rispetto alla normativa precedente. Preso atto che la Direttiva madre non fa riferimento al trasferimento dei dati verso le organizzazioni internazionali ma prevede esplicitamente solo quello verso i paesi terzi, il principale carattere di continuità risiede nell’importanza data da entrambe le normative -seppur in maniera molto più sintetica nel caso della Direttiva madre ed invece più dettagliata soprattutto quanto ai requisiti richiesti, nel caso del nuovo Regolamento- al principio dell’adequacy o decisione di adeguatezza e cioè al principio secondo cui il Paese verso il quale si vogliono trasferire i dati deve garantire misure di protezione adeguate al livello di protezione garantito dalle norme europee355.

Il carattere di discontinuità che si traduce in termini di innovatività rispetto alla Direttiva madre consiste invece nella specifica previsione normativa di misure di salvaguardia o ai sensi dell’articolo 46 del nuovo Regolamento c.d. “garanzie adeguate” in presenza delle quali il trasferimento dei dati verso un paese terzo o un organizzazione internazionale può avere luogo356, e l’espressa previsione delle c.d. “norme vincolanti d’impresa” ai sensi dell’articolo 47, dettagliatamente descritte nei primi 2 paragrafi, che garantiscono un elevato livello di tutela ai dati trattati.

In particolare il carattere innovativo della normativa regolamentare si concretizza nella previsione che qualora non fosse riconosciuta l’adequacy ad uno Stato, possa essere riconosciuto il diritto di operare trasferimenti di dati - da e verso l’Unione - ad una compagnia appartenete a quello Stato e la quale si sottoponga al controllo da parte della Commissione in merito al rispetto delle norme vincolanti d’impresa di cui all’articolo 47.

354 All’interno della presente tesi, Capitolo 2, paragrafo dedicato all’ordinamento dell’Unione europea e alla Corte di giustizia dell’Unione europea.

355 In particolare tale principio è sancito dall’articolo 45 del nuovo Regolamento intitolato “Trasferimento sulla base di una decisione di adeguatezza” che al primo comma recita: «Il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscano un livello di protezione adeguato».

356 Trattandosi di misure di salvaguardia da molto tempo riconosciute dalla Commissione e dalle Autorità di controllo, l’innovazione non è da ricercarsi nelle clausole stesse previste all’articolo 46 paragrafo 2 ma nella loro espressa previsione normativa.

3.1 Il Caso Brexit

Gli effetti dell’uscita del Regno Unito dall’Unione europea sulle norme in materia di privacy rappresentano un interesse fondamentale sia per gli operatori del Regno Unito, sia per quelli europei ed extraeuropei che abbiano rapporti commerciali o economici con il Regno Unito. Attualmente il nuovo Regolamento, allo stesso modo di tutti gli altri strumenti legislativi dell’Unione europea, è in vigore anche nel Regno Unito, e continuerà ad esserlo fin tanto che la sua uscita dall’Unione europea - il cui primo passo è rappresentato dal referendum inglese del 23 giugno scorso - non sarà formalizzata, momento in cui la sua sorte dipenderà dall’esito delle negoziazioni intercorse nel frattempo, relative al corpus di direttive e regolamenti che derivano dal passato europeo della Gran Bretagna.357

Il Primo Ministro inglese, Theresa May, ha recentemente annunciato che il suo Governo intende notificare al Consiglio europeo l’intenzione di recedere dall’Unione ai sensi dell’articolo 50 del Trattato di Lisbona entro il mese di marzo 2017.358

Prendendo come riferimento questo termine il recesso inizierà a produrre i suoi effetti dal marzo 2019, cioè alla scadenza dei due anni previsti dal Trattato. Questo vuol dire che a partire dal 25 maggio 2018 il nuovo Regolamento si applicherà anche nel Regno Unito.359

357 FUMAGALLI S., Il GRDP e la Brexit, 5 luglio 2016, Cfr., disponibile al sito web: http://europrivacy.info/it/2016/07/05/grdp-and-brexit/

358 L'uscita di uno Stato membro dall'Unione europea è un diritto di ogni Stato membro dell'Unione europea. Ai sensi dell'articolo 50 del Trattato sull'Unione europea «Ogni Stato membro può decidere di recedere dall'Unione conformemente alle proprie norme costituzionali». Tuttavia nessuno Stato è mai uscito dall’organizzazione e il referendum dello scorso 23 giugno nel quale la maggioranza dei votanti (51,9%) si è espressa a favore dell'uscita dall'Unione Europea rappresenta il primo referendum nazionale sull'uscita dall'Unione [Fonte: Wikipedia]. L’articolo 50 del Trattato di Lisbona prevede un meccanismo di recesso volontario e unilaterale di un paese dall'Unione europea. Il paese dell' Unione europea che decide di recedere, deve notificare tale intenzione al Consiglio europeo, il quale presenta i suoi orientamenti per la conclusione di un accordo volto a definire le modalità del recesso del paese che ne abbia espresso la volontà. Tale accordo è concluso a nome dell'Unione europea dal Consiglio, che delibera a maggioranza qualificata previa approvazione del Parlamento europeo. I trattati cessano di essere applicabili al paese interessato a decorrere dalla data di entrata in vigore dell'accordo di recesso o due anni dopo la notifica del recesso. Il Consiglio può decidere di prolungare tale termine. Qualsiasi Stato uscito dall'Unione può chiedere di aderirvi nuovamente, presentando una nuova procedura di

adesione. Fonte: http://eur-

lex.europa.eu/summary/glossary/withdrawal_clause.html?locale=it; interessante un articolo pubblicato sul The Guardian, che riporta un’intervista di Theresa May rilasciata alla BBC: ELGOT J., Theresa May to trigger article 50 by end of March 2017. PM to announce plans for a ‘great repeal bill’ to enshrine all EU regulations in UK law as soon as Brexit takes effect, in The

Guardian, 2016, articolo disponibile al sito web:

https://www.theguardian.com/politics/2016/oct/01/theresa-may-to-propose-great-repeal- bill-to-unwind-eu-laws

359 Infatti, come scrive un autrice “l’Autorità Garante per la Protezione dei Dati Personali inglese (ICO) sta promuovendo con vigore tutte le attività necessarie alle imprese per adeguarsi al Regolamento, convinta delle grandi opportunità create dal suo approccio innovativo alla protezione dei dati personali, volto ad ispirare una maggiore fiducia nel pubblico”. ELLISON B., Cosa vuol dire Brexit per la privacy?, in Dejalexonbrexit, 2016, articolo disponibile al sito web:

Theresa May ha inoltre preannunciato il Great Repeal Act, lo strumento per reinserire nella legislazione britannica tutte le norme europee direttamente applicabili nel Regno Unito per effetto del European Communities Act del 1972360, che verrà simultaneamente abrogato, e dunque in virtù di questa legge, nel momento in cui Brexit entrerà in vigore, le disposizioni del nuovo Regolamento verranno incorporate nella normativa nazionale inglese almeno fino a quando non saranno modificate con interventi legislativi o regolamentari interni successivi.361 In particolare bisognerà fare riferimento all’accordo che sarà raggiunto tra il Governo del Regno Unito e l’Unione europea in seguito alla richiesta di attivare le procedure di recesso, e che potrà dare luogo a due possibili scenari: nel caso in cui venisse negoziato un accordo “soft”, c.d. “soft Brexit”, secondo il quale il Regno Unito continuerebbe a partecipare interamente o parzialmente al mercato interno in contropartita del rispetto di alcune regole fondamentali dell’Unione europea 362, il Regno Unito manterrebbe inevitabilmente in vigore la normativa esistente in materia di protezione dei dati personali, ed in particolare il nuovo Regolamento, attraverso appositi strumenti legislativi.363

http://www.dejalexonbrexit.eu/cosa-vuol-dire-brexit-per-la-privacy/

360 Si tratta di circa 80mila leggi.

361 Per approfondimenti in merito al Great Repeal Act si legga SIMS A., What is the Great Repeal Bill? The Brexit law to end all EU laws (that we don't like). The historic proposal aims to end the European Union's legal supremacy in the UK, in The Indipendent, 2016, articolo disponibile al sito web: http://www.independent.co.uk/news/uk/politics/great-repeal-bill-brexit-law-eu- law-theresa-may-david-davis-a7343256.html; per approfondimenti in merito agli sviluppi derivanti dal Great Repeal Act si legga MASON R., Theresa May's 'great repeal bill': what's going to happen and when?, in The Guardian. 2016, articolo disponibile al sito web:

https://www.theguardian.com/politics/2016/oct/02/theresa-may-great-repeal-bill-eu- british-law

362 Si tratta del cosìdetto “Modello SEE” o “Modello Svizzero”. Lo Spazio economico europeo (SEE) nacque il 1º gennaio 1994 in seguito a un accordo (firmato il 2 maggio 1992) tra l'Associazione Europea di Libero Scambio (AELS) e l'Unione europea con lo scopo di permettere ai paesi AELS di partecipare al Mercato europeo comune senza dover essere membri dell'Unione. Con un referendum la Svizzera decise di non prendere parte al SEE, ma il paese è comunque legato all'Unione europea con un altro tipo di accordo, l'accordo bilaterale Svizzera-UE. I membri attuali sono 31: tre dei quattro paesi aderenti all’AELS (Islanda, Liechtenstein e Norvegia, senza la Svizzera) e i 28 paesi membri dell'Unione europea. [Fonte: Wikipedia]. Come sottolinea un autore, pensando ad una futura relazione tra Regno Unito e Unione europea “esistono, già oggi, Stati europei extra UE che hanno un regime particolare di integrazione con l’UE, per i quali il Regolamento si applica come se fossero membri effettivi” Op. Cit. Supra note 361.

363 Nel caso in cui venisse negoziato un accordo di tipo “soft” e venisse adottata la decisione di mantenere in vigore la normativa derivante dal nuovo Regolamento in virtù dell’opportunità che la sua applicazione rappresenta a livello commerciale, vi sarebbero in ogni caso delle implicazioni negative per il Regno Unito, tra le più rilevanti vanno segnalate: 1) l’ICO (Information Commissioner's Office) non farebbe più parte del Comitato europeo per la protezione dei dati personali, al quale è dedicata interamente la sezione 3 del nuovo Regolamento che si estende dall’articolo 68 all’articolo 76; Secondo l’articolo 68 il Comitato europeo per la protezione dei dati sarà «composto dalla figura di vertice di un'autorità di controllo per ciascuno Stato membro e dal garante europeo della protezione dei dati, o dai rispettivi rappresentanti». Si tratta di un organismo dell’Unione dotato di personalità giuridica destinato ad avere un ruolo fondamentale relativamente alla coerente applicazione ed interpretazione del Regolamento, i cui compiti sono minuziosamente descritti dall’articolo

70; 2) il Regno Unito non parteciperebbe più al meccanismo “one-stop shop” che prevede che l’autorità di controllo dello Stato membro in cui ha sede lo stabilimento principale dell’impresa titolare del trattamento sia competente ad agire in qualità di autorità di controllo capofila per tutti i trattamenti transfrontalieri effettuati dallo stesso titolare (capo 6 dell’articolo 56), questo si tradurrebbe nella previsione rivolta alle imprese che trattano dati personali e che abbiano la sede principale nel Regno Unito di dover interagire con le autorità di controllo di tutti gli Stati membri in cui svolgono le loro attività; 3) non si applicherebbero le norme che rendono legittimo un trattamento di dati personali anche in assenza del consenso della persona interessata, nel caso in cui il trattamento in questione non fosse necessario al fine dell’adempimento di un obbligo legale o al fine dell’esecuzione di una funzione di interesse pubblico, nel caso in cui tale obbligo legale o funzione di interesse pubblico non fosse imposta dall’Unione o da uno Stato membro e dunque nel caso di specie fosse imposto dalla legge del Regno Unito (articolo 6 del nuovo Regolamento); 4) per quanto riguarda il trasferimento dei dati personali, il Regno Unito sarebbe considerato “Paese terzo”, e dunque se dal Regno Unito si volessero trasferire dati personali verso l’Unione europea o viceversa, ai trasferimenti verrebbe applicata la normativa relativa al trasferimento dei dati da uno Stato membro verso Paesi terzi, disciplinata agli articoli 44-50 del nuovo Regolamento: questo vorrebbe dire che affinché il trasferimento dei dati avvenisse in maniera lecita, il Regno Unito dovrebbe ottenere una decisione di “adeguatezza” da parte della Commissione per quanto riguarda il livello di protezione dei dati garantito dalla normativa interna, e se ciò non avvenisse, le singole imprese che volessero trasferire i dati personali - qualora non vi fossero specifiche deroghe che si concretizzano ad esempio nel consenso da parte della persona interessata o nel fatto che il trattamento fosse necessario al fine di eseguire un contratto tra l’impresa e la persona interessata - dovrebbero ricorrere agli altri meccanismi previsti dal nuovo Regolamento come le clausole contrattuali standard o le norme vincolanti d’impresa; 5) il nuovo Regolamento si applicherebbe al trattamento dei dati personali di interessati che si trovassero nel territorio dell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento il quale non fosse stabilito nel medesimo territorio - e questo sarebbe il caso delle imprese stabilite nel Regno Unito - qualora le attività di trattamento riguardassero: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento abbia luogo all’interno dell’Unione (articolo 3 paragrafo 2 del nuovo Regolamento); 6) ai rappresentanti di titolari o dei responsabili del trattamento si applicherebbe la normativa sancita all’articolo 27 del nuovo Regolamento, relativa ai suddetti profili non stabiliti nell’Unione, e dunque il titolare del trattamento o il responsabile del trattamento di un impresa del Regno Unito la quali non svolga attività meramente occasionale in riferimento al trattamento dei dati nell’Unione, sarebbe tenuto a designare per iscritto un rappresentante nell’Unione, incaricato a fungere da interlocutore in aggiunta o in sostituzione del titolare del trattamento o del responsabile del trattamento, in particolare delle autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento. Qualora invece venisse negoziato un accordo di tipo “hard”, il legislatore del Regno Unito sarebbe libero di modificare le norme sulla tutela dei dati personali talvolta risultanti alquanto restrittive, al fine di renderle più flessibili e attraenti soprattutto nella prospettiva di favorire nuove opportunità relative al commercio con Paesi terzi rilevanti quali in primis gli Stati Uniti e la Cina. In questo caso, alle implicazioni negative derivanti dal raggiungimento di un accordo di tipo “soft”, si potrebbe prospettare una maggiore difficoltà relativa al trasferimento dei dati personali dall’Unione al Regno Unito, che si concretizzerebbe con tutta probabilità nella difficoltà di ottenere la decisione di adeguatezza da parte della Commissione. Emblematico il primo discorso di Elizabeth Denham in qualità di Garante per la Protezione dei Dati Personali

Nel caso in cui invece venisse negoziato un accordo “hard”, c.d. “hard Brexit”, e quindi il Regno Unito non rimanesse a far parte del mercato interno dell’Unione europea, a questo punto sarebbe libero di modificare le norme sulla tutela dei dati personali, anche discostandosi da quelle europee, sulla base di accordi commerciali bilaterali con altri Paesi e della partecipazione autonoma all’Organizzazione Mondiale del Commercio (OMC); in questo caso il Regno Unito sarebbe sottoposto alla normativa sancita al capo V del nuovo Regolamento, relativa al trasferimento dei dati verso paesi terzi o organizzazioni internazionali.364