Il Trasferimento internazionale di dati in base al GDPR
Il Regolamento (UE) 2016/679 sulla protezione dei dati personali (noto come “GDPR”) contiene al Capo IV (rubricato “trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”) una dettagliata disciplina normativa sul trasferimento dei dati al di fuori dei paesi dell’Unione europea che, prevede che “qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale”[…] ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento” (art. 44 GDPR).
In forma estremamente schematica, si possono trasferire dati fuori dallo spazio UE sulla base di una decisione di adeguatezza (art. 45 GDPR: “il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche”), se il trasferimento è soggetto a garanzie adeguate (art. 46 GDPR: “il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi”), in base alle norme vincolanti d’impresa (ex art. 47 GDPR sono regole che si danno i gruppi industriali e che sono approvate espressamente dalla supervising authority della privacy interessata) o, in assenza di un’altra base giuridica pertinente tra quelle già menzionate, è ammesso il trasferimento solamente se si verificano una serie di condizioni particolari (ex art. 48 GDPR, per esempio: a) il consenso dell’interessato; il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato, si vedano, poi, le altre fattispecie contenute nella norma) o, in via assolutamente residuale, l’art. 48 GDPR specifica che “se non è possibile basare il trasferimento su una disposizione dell’articolo 45 o 46, comprese le disposizioni sulle norme vincolanti d’impresa, e nessuna delle deroghe in specifiche situazioni a norma del primo comma del presente paragrafo è applicabile, il trasferimento verso un paese terzo o un’organizzazione internazionale sia ammesso soltanto se non è ripetitivo, riguarda un numero limitato di interessati, è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell’interessato, e qualora il titolare e del trattamento abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali”.
La Sentenza Schrems II, il USA Privacy Shield e la Nuova Decisione di Adeguatezza
Nel luglio del 2020, la Corte di giustizia dell’unione europea (d’ora in poi “CJEU”), nella nota sentenza Schrems II, ha invalidato la decisione di adeguatezza che permetteva di trasferire dati tra la UE e gli Stati uniti, nota come Privacy schield; dopo la caducazione a opera della CJEU del Privacy shield e prima del 28 giugno 2021, permanevano in essere 13 decisioni di adeguatezza (per maggiori informazioni si visiti la pagina del Garante): il 28 giugno la Commissione europea ha adottato una decisione di adeguatezza in base alla quale si possono trasferire liberamente dati personali con il Regno unito per un periodo di quattro anni e soggetto a revisione (“personal data can now flow freely from the European Union to the United Kingdom where it benefits from an essentially equivalent level of protection to that guaranteed under EU law”, press release dell’UE del 28 giugno 2021).
La nuova decisione di adeguatezza con il Regno Unito si caratterizza per la presenza della cosiddetta sunset clause (in pratica, il termine finale della decisione di adeguatezza), in base alla quale la decisione di adeguatezza decadrà automaticamente dopo quattro anni dalla data della sua emanazione e non si rinnoverà automaticamente ma solamente sulla base di una nuova specifica istruttoria e “only if the UK continues to ensure an adequate level of data protection” (ibidem); la motivazione della decisione di adeguatezza è basata, inter alia, sul fatto che “the UK’s data protection system continues to be based on the same rules that were applicable when the UK was a Member State of the EU. The UK has fully incorporated the principles, rights and obligations of the GDPR and the Law Enforcement Directive into its post-Brexit legal system” (ibidem).
Tutto è bene quel che finisce Bene?
Diverse nubi già si possono scorgere sulla recente decisione di adeguatezza che permette di trasferire dati con il Regno unito: il recente report al Parlamento inglese della Taskforce on innovation, growth and regulatory reform (del maggio 2021) espressamente prevede che “we now have the opportunity to reform UK General Data Protection Regulation 2018 (GDPR) to create an even more innovative and cutting-edge business landscape and to attract the top start-ups and leaders in tech. UK tech grew dramatically in 2020, with the UK securing a record £15bn of Venture Capital investment in tech companies, the third highest rate in the world behind only the US and China, it has the potential to grow even further”.
Il Governo inglese, nell’ambito di una riorganizzazione post-Brexit, sembra maggiormente interessato ad attrarre su Londra le start up e le PMI tecnologiche (lasciando a Dublino la sede europea delle big tech americane, che possono giovarsi del fatto di avere una sede in territorio UE, all’interno di uno Stato il cui PIL è comparabile con i propri bilanci) che a rimanere allineato al GDPR (del resto Theresa May lo aveva detto chiaramente: “Brexit means Brexit”) : nelle proprie strategie pluriennali, le imprese italiane dovrebbero valutare con estrema cautela la recente decisione di adeguatezza con il Regno unito in quanto facilmente, tra quattro anni, i dati con il Regno unito potrebbero non più “flow freely”.
