La decisione di adeguatezza nei trasferimenti dei dati extra Ue

In una società tecnologica, dematerializzata e fluida quale quella moderna è sempre più frequente che i dati siano un flusso e che, nel corso del loro trattamento, circolino anche al di fuori dell’unione europea. Si pensi ad esempio ad un dato gestito e conservato in cloud, ove magari non si ha neppure certezza sul luogo in cui lo stesso si trovi.

Il criterio principale previsto dal GDPR affinché possa effettuarsi un trasferimento di dati al di fuori dell’Unione è la previa adozione, da parte della Commissione, di una decisione di adeguatezza, come previsto dall’art. 45.

La Commissione, quindi, dovrà verificare se, nel contesto extra europeo, il livello di protezione dei dati è “adeguato”, ovverosia equivalente a quello previsto dal GDPR. Nella valutazione la Commissione prende in considerazione una serie di criteri, elencati all’interno del Regolamento, quali lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti, e altri.

Le decisioni di adeguatezza, inoltre, non sono statiche ma soggette ad un riesame periodico per valutarne la rispondenza con lo status attuale della legislazione extra ue.

Nel caso in cui la Commissione decida che un paese terzo o un’organizzazione internazionale non garantiscono più un livello adeguato di protezione, il trasferimento di dati personali dovrà considerarsi vietato, a meno che non siano presenti altre garanzie adeguate indicate nel GDPR.

Acclarata l’importanza delle decisioni di adeguatezza va segnalato un recente intervento del WP 29 (ora European Data Protection Board) in merito. (il contributo è disponibile al seguente link http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108 )

Il gruppo di lavoro puntualizza una serie di elementi che devono essere presenti nello stato od organizzazione internazionale al fine di poter garantire un livello di protezione adeguato dei dati. Tale elemento acquista pertanto una grande rilevanza in quanto consente di fornire una maggior precisione alle indicazioni contenute nell’art. 45. Inoltre, consente anche ai soggetti extra Ue di avere delle linee guida da seguire per poter ottenere un parere positivo dalla Commissione.

I requisiti per la decisione di adeguatezza vengono suddivisi fra principi basilari il cui rispetto va sempre garantito, principi aggiuntivi più specifici per alcune tipologie di trattamento e, infine, procedure e meccanismi che devono essere presenti nello stato o organizzazione internazionale.

Quanto al primo gruppo si specifica che, basilarmente, il soggetto terzo deve essere fornito o comunque soggetto ad una normativa per la tutela dei dati. Non è necessario che la stessa sia del tutto speculare al GDPR, tuttavia deve racchiuderne i fondamenti ed i principi cardine. In secondo luogo devono essere sempre garantiti l’indicazione chiara della base del trattamento, la limitazione dell’uso dei dati per il tempo e per lo scopo per cui sono stati raccolti e l’utilizzo dei soli dati necessari evitando trattamenti di dati ultronei rispetto agli scopi prefissati.

Deve poi essere garantito un trattamento sicuro, che includa anche una protezione nei confronti dell’uso illecito, non autorizzato, delle perdite e della distruzione dei dati.

Viene poi richiesto che venga resa una informativa chiara, concisa, trasparente ed intellegibile dagli interessati i cui dati vengono trattati, salvo i casi in cui sia necessario, ad esempio per finalità di pubblica sicurezza, non fornire tale informazione.

Sul punto appare necessario effettuare una precisazione. La mancata informativa agli interessati per finalità ad esempio di ordine pubblico potrebbe costituire una agevole scappatoia per stati esteri in cui viga un regime differente da quello democratico. Ecco allora che assume rilievo l’indicazione preliminare, contenuta nell’art. 45, per cui la Commissione deve tenere conto anche dello stato di diritto vigente. Appare infatti evidente che un regime totalitario difficilmente possa ottenere una decisione di adeguatezza anche se magari dotato di una normativa sulla protezione dei dati che però, nei fatti, viene ignorata per perseguire finalità antidemocratiche.

Procedendo con l’analisi il WP 29 segnala che deve essere fornito (con modalità che possono variare di caso in caso) un diritto di accesso, rettifica, cancellazione ed opposizione al trattamento dei dati. Anche in questo caso si possono richiamare le osservazioni effettuate per il punto precedente in tema di eccezioni per scopi di ordine pubblico.

Quanto al secondo gruppo di requisiti, quelli relativi a casi speciali, il WP 29 specifica che nel caso in cui si trattino dati particolari (ai sensi degli articoli 9 e 10 GDPR) è necessaria la presenza di una tutela rafforzata per tutto il trattamento, a partire da una richiesta corretta di consenso al fino alla gestione tecnica del dato con misure di sicurezza aggiuntive.

Analogamente, una tutela rafforzata deve essere garantita nel caso in cui il trattamento avvenga per scopi di natura prettamente commerciali, quali la vendita diretta, ovvero nel caso in cui sia posto in essere per il tramite di un procedimento automatizzato. Nel primo caso si richiede che sia sempre garantita all’interessato la possibilità di modificare e rivedere il conferimento e l’utilizzo dei propri dati; nel secondo viene ritenuto necessario un consenso rafforzato, specie nel caso in cui dal trattamento automatizzato possano derivare degli effetti significativi sulla vita dell’interessato. L’esempio fornito è quello della profilazione, ad esempio bancaria in tema di erogazione di mutui e agevolazioni.

Il WP 29 specifica poi che una decisione di adeguatezza deve tenere in considerazione anche la presenza di procedure e soggetti terzi in grado di garantire il rispetto dei principi sopra indicati. Anche se naturalmente i mezzi che lo stato o l’organizzazione internazionale adopera possono differire da quelli previsti dal GDPR, si ritiene che vi siano alcuni punti fondamentali da utilizzarsi quali parametro per valutare l’adeguato livello di protezione dei dati.

In primo luogo si richiede che vi sia (almeno) un’autorità di supervisione competente ed indipendente. Nell’esercizio delle sue funzioni l’autorità dovrà agire con completa imparzialità ed indipendenza senza richiedere né accettare istruzioni da altri soggetti. Dovrà altresì essere fornita di tutti i poteri necessari per poter svolgere il compito assegnatole.

Strettamente correlato con la presenza di una valida autorità di settore, si richiede che chi è materialmente incaricato di effettuare l’attività di controllo sia un soggetto con un elevato grado di conoscenza della materia e preparazione specifica. Naturalmente tale dato si coniuga con l’accountability, ovvero sia la capacità dei controllori di garantire ed essere in grado di dimostrare il rispetto della normativa sulla tutela dei dati nell’attività svolta.

Infine si ritiene necessario che, al fine di garantire un livello di protezione dei dati equivalente a quello europeo, sia garantita all’interessato la possibilità di avere rimedi legali per far valere i propri diritti in modo rapido, efficace e senza costi proibitivi.

In conclusione si può affermare che con il proprio contributo il WP 29 ha fornito preziose indicazioni che potranno essere utilizzate dalla Commissione nella sua attività di valutazione, anche e soprattutto alla luce delle rinnovate prospettive indicate dal GDPR.