30 Ago Il comitato europeo per la protezione dei dati ha adottato delle linee guida sulle deroghe ai principi generali dei trasferimenti internazionali di dati contenute nell’articolo 49

Background

Il 25 maggio 2018, il Comitato europeo per la protezione dei dati (di seguito “EDPB”), già noto in precedenza come Gruppo di lavoro “Articolo 29”, ha adottato le linee guida sulle deroghe di cui all’articolo 49 GDPR, che costituiscono un’eccezione all’applicazione dei principi generali in materia di trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, sanciti dagli articoli 45 e 46 GDPR.

Questioni principali

Il primo paragrafo dell’articolo 49 prevede che, in mancanza di una decisione di adeguatezza adottata dalla Commissione Europea ai sensi dell’articolo 45 GDPR o, in alternativa, di altre garanzie adeguate di cui all’articolo 46 GDPR, il trasferimento internazionale di dati possa comunque aver luogo se è soddisfatta una delle seguenti condizioni:

1. l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti;
2. il trasferimento occasionale sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza di quest’ultimo;
3. il trasferimento occasionale sia necessario per la conclusione o l’esecuzione di un contratto stipulato a favore dell’interessato tra il titolare del trattamento e un’altra persona fisica o giuridica;
4. il trasferimento sia necessario per importanti motivi di interesse pubblico che devono essere riconosciuti dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento;
5. il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede legale;
6. il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
7. il trasferimento sia effettuato a partire da un registro pubblico, purché non coinvolga la totalità dei dati personali o di intere categorie;
8. Il trasferimento sia necessario per il perseguimento di interessi legittimi cogenti del titolare del trattamento (e fintantoché tale trasferimento abbia le caratteristiche descritte nel secondo capoverso del primo paragrafo dell’art. 49 GDPR).

L’EDPB sottolinea che qualsiasi trasferimento di dati deve, in primo luogo, rispettare gli articoli 5 e 6 relativi alla base giuridica delle attività di trattamento.

Per quanto riguarda l’articolo 49, l’EDPB sottolinea che:

• l’articolo 49 costituisce una deroga ai principi generali in materia di trasferimento internazionale dei dati e che, pertanto, deve essere utilizzato solo quando gli articoli 45 e 46 non sono applicabili;
• le deroghe devono essere interpretate in modo restrittivo per evitare che diventino una prassi;
• nel caso delle deroghe di cui ai punti 2, 3, 4, 5 e 8 gli esportatori di dati devono applicare un “controllo di necessità” per valutare se un trasferimento possa essere considerato necessario per il fine specifico della deroga da utilizzare.

Con riferimento alle singole deroghe, l’EDPB evidenzia quanto segue:

• Per quanto riguarda il trasferimento basato sul consenso dell’interessato (punto 1), l’EDPB, facendo riferimento alla relative linee guida, segnala che il consenso deve essere non solo libero, specifico, informato e inequivocabile, come previsto all’articolo 4 (11), ma anche esplicito.
  Inoltre, i requisiti “specifico” e “informato” sono collegati tra loro, il che significa che il consenso deve riferirsi al particolare trasferimento di dati in questione, al fine di consentire all’interessato di valutare i rischi specifici derivanti dal trasferimento proposto. Le informazioni fornite dovrebbero specificare i rischi, come ad esempio l’assenza di un’autorità di controllo o di tutela dei diritti dell’interessato in tale paese, e inoltre comunicare informazioni rilevanti come, ad esempio, i destinatari dei dati, i paesi verso i quali i dati sono trasferiti, ecc.
• I trasferimenti necessari all’esecuzione di contratti (punti 2 e 3) devono essere occasionali e presentare uno stretto legame sostanziale tra il trasferimento dei dati e le finalità del contratto.
• Per quanto riguarda il trasferimento necessario per importanti motivi di interesse pubblico (punto 4), l’esistenza di tale interesse pubblico può essere legittimamente presunta, sulla base del principio di reciprocità, nel caso di accordi o convenzioni internazionali a cui l’UE o gli Stati membri aderiscono. Benché tale deroga si applichi anche ai trasferimenti non occasionali, è da escludere il suo utilizzo per i trasferimenti effettuati su larga scala e in modo sistematico, per i quali occorre prevedere invece garanzie adeguate.
• Con specifico riferimento al trasferimento necessario per il perseguimento di interessi legittimi cogenti del titolare del trattamento (punto 8), questa specifica deroga deve considerarsi come un extrema ratio, applicabile solo nei casi in cui non siano applicabili né le misure di cui agli articoli 45 e 46 né le deroghe descritte nel primo capoverso dell’art. 49(1).
  Inoltre, perché tale specifica deroga sia applicabile, devono risultare soddisfatte anche le seguenti condizioni:

1. Interesse legittimo cogente del titolare del trattamento
   I soli interessi legittimi che possono essere considerati “cogenti” sono rilevanti (e sempre fintantoché su di essi non prevalgano gli interessi o i diritti e le libertà dell’interessato). Secondo l’EDPB, un esempio di interesse legittimo cogente potrebbe essere quello di un titolare del trattamento che è costretto a trasferire dati personali per proteggere la sua organizzazione (o i suoi sistemi) da gravi danni o sanzioni severe che comprometterebbero il suo business.

2. Trasferimento non ripetitivo
   Tale specifica deroga può applicarsi solo in caso di trasferimento non ripetitivo.

3. Numero limitato di interessati
   Il trasferimento deve riguardare un numero limitato di soggetti interessati; al fine di valutare quando un numero di interessati possa essere considerato “limitato”, bisognerà tenere in considerazione il contesto, nel senso che “il numero deve essere adeguatamente basso in considerazione del tipo di trasferimento in questione”.

4. Bilanciamento tra gli interessi legittimi cogenti del titolare e gli interessi o diritti e libertà degli interessati
   Il titolare deve effettuare un bilanciamento tra gli interessi legittimi cogenti del titolare e gli interessi o diritti e libertà degli interessati, ed implementare “garanzie adeguate” relativamente alla protezione dei dati personali, al fine di ridurre al minimo i rischi per gli interessati causati dal trasferimento. Per valutare quando una garanzia possa essere considerata “adeguata” il titolare del trattamento deve tenere in considerazione la natura dei dati personali, la finalità e la  durata del trattamento, oltre che la situazione nel paese di origine e nel paese terzo verso cui i dati sono trasferiti.

5. Informazioni all’autorità di controllo
   L’autorità di controllo deve essere informata in caso di trasferimenti basati su tale specifica deroga, al fine di poter sempre verificare l’impatto che il trasferimento ha sui diritti e le libertà dei soggetti interessati coinvolti.

6. Informazione al soggetto interessato
   Il soggetto interessato deve essere informato del trasferimento e dell’interesse legittimo cogente perseguito dal titolare (tale informazione si aggiunge a quelle che deve ricevere ai sensi degli artt. 13 e 14 GDPR).

Implicazioni pratiche

Al fine di conformarsi alle indicazioni dell’EDPB, gli esportatori di dati sono chiamati ad:

• evitare il ricorso alle deroghe di cui all’articolo 49, in quanto esse comportano maggiori rischi per i diritti e le libertà degli interessati, e avvalersi di tali deroghe solo quando non siano applicabili le misure di cui agli articoli 45 e 46;
• essere consapevoli del fatto che il diritto dell’Unione o degli Stati membri può, per importanti motivi di interesse pubblico, limitare espressamente il trasferimento di specifiche categorie di dati personali;
• assicurarsi che il trasferimento possa essere considerato occasionale e non ripetitivo;
• effettuare un “controllo di necessità” specifico per ciascun motivo di deroga che lo richieda;
• in caso di trasferimento necessario per il perseguimento di un interesse legittimo cogente , assicurarsi che sia possibile dimostrare:
  • che non si potesse applicare al trasferimento né le garanzie di cui agli artt. 45 e 46 né le deroghe di cui al primo capoverso dell’art. 49(1);
  • che siano soddisfatte le condizioni descritte nei punti da 1 a 6 del precedente paragrafo.