L’EDPB – l’European Data Protection Board che, con l’entrata in vigore del GDPR, ha sostituito il Working Party 29 – ha recentemente espresso il proprio parere sul tema delle deroghe al trasferimento di dati personali verso Paesi terzi disciplinato dall’art. 49 GDPR.
Ricordo, in sintesi, che l’art. 49 GDPR prevede che, nei casi in cui non vi sia una decisione di adeguatezza da parte della Commisione Europea e neppure siano esistenti garanzie adeguate ai sensi dell’art. 46 GPDR, il trasferimento di dati personali verso un Paese terzo (o un’Organizzazione Internazionale) può, comunque, avvenire se:
- l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei rischi di questo tipo di trasferimenti (lettera a);
- il trasferimento risulta necessario per l’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento o per l’esecuzione di misure precontrattuali adottate su istanza dell’interessato (lettera b);
- il trasferimento è necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona, fisica o giuridica, a favore dell’interessato (lettera c);
- il trasferimento è fondato su importanti motivi di interesse pubblico (lettera d);
- il trasferimento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria (lettera e);
- il trasferimento serve per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso (lettera f);
- il trasferimento viene effettuato utilizzando dati reperiti in un registro pubblico, purché il suddetto trasferimento non riguardi la totalità dei dati personali dell’interessato.
Nel mese di febbraio 2018 il WP 29 aveva aperto una consultazione pubblica su questo specifico argomento, il cui esito è stato concluso e recepito nelle Guidelines 2/2018 del EDPB recentemente pubblicate (il cui testo integrale, in inglese, potete reperire facilmente alla pagina del Blog Ronchilegal dedicata alla documentazione utile, semplicemente cliccando qui).
Nelle “Guidelines on derogations of Article 49 under GDPR“, l’EDPB ha, tra le molte cose, chiarito che:
- le deroghe di cui all’art. 49 GDPR possono essere utilizzate da un titolare del trattamento esclusivamente quando non sia possibile utilizzare i meccanismi di cui agli articoli 45 (trasferimento sulla base di una decisione di adeguatezza) e 46 GDPR (trasferimento soggetto a garanzie adeguate);
- tali deroghe devono essere interpretate in modo restrittivo, affinché queste ultime non diventino la regola;
- il titolare del trattamento che intenda trasferire dati personali verso Paesi terzi deve, inoltre, verificare che il diritto dell’Unione Europea non preveda espressi limiti al trasferimento di specifiche categorie di dati personali verso quel Paese;
- occorre sempre effettuare un “necessity test” per accertarsi che quel trasferimento che si vuole realizzare sia realmente indispensabile.
Analizzando le singole ipotesi di deroga, l’EDPB osserva che:
- in merito al consenso dell’interessato di cui all’art. 49, lettera a) GDPR, devono ricorrere i medesimi requisiti previsti dall’art. 4, comma 11 e dall’art. 7 GDPR; il consenso deve essere, quindi, esplicito, liberamente espresso, specifico, informato e non ambiguo;
- la specificità del consenso implica, in particolare, che l’interessato non possa esprimere un consenso generalizzato a qualunque tipologia di trasferimento, anche futuro, di propri dati verso Paesi terzi, ma potrà consentire solo a quei trasferimenti di cui può valutare concretamente il rischio attuale;
- il titolare del trattamento deve, inoltre, informare l’interessato degli specifici rischi connessi al singolo trasferimento: quindi, per esempio, che quella tipologia di trasferimento non gode di protezioni adeguate perché nel Paese terzo non vi è un’Autorità indipendente o non vi è la possibilità di esercitare i diritti riconosciuti dal GDPR all’interessato;
- in merito al trasferimento in base ad un contratto di cui all’art. 49, lettera b) e lettera c) GDPR, l’EDPB precisa che ciò può avvenire purché vi sia un “diretto e sostanziale collegamento tra il trasferimento e la finalità del contratto” e purché il trasferimento sia “occasionale”;
- viene escluso, ad esempio, che una multinazionale possa utilizzare questa ipotesi di deroga quando, per motivi puramente economici, decide di centralizzare tutte le sue funzioni di elaborazione di dati per il pagamento e la gestione del personale in un Paese terzo, in quanto una simile scelta non supererebbe il “necessity test” di cui ho già riferito sopra;
- in merito all’ipotesi di cui all’art. 49, lettera d) (importanti motivi di interesse pubblico) l’EDPB precisa che tale situazione può essere ragionevolmente presunta quando esiste un accordo internazionale che riconosce oggettive circostanze di cooperazione internazionale a sostegno del trasferimento reciproco di dati personali. Questa specifica deroga non soggiace, a differenza di quella basata sull’esistenza di un contratto, alla regola della occasionalità, con l’effetto che, in questi casi, il trasferimento può avvenire anche su larga scala ed in modo sistematico;
- in merito all’ipotesi di trasferimento per motivi di giustizia, l’EDPB specifica che è da considerarsi tale qualsiasi procedura di natura legale, purché vi sia una stretta connessione tra questa ed il trasferimento che si vuole porre in essere;
- infine, per quanto riguarda i trasferimenti di dati rinvenibili in pubblici registri, l’EDPB chiarisce che sono evidentemente esclusi dalla norma i registri (detenuti/gestiti/implementati da) privati mentre la stessa è applicabile ai registri delle società, delle associazioni, dei veicoli, etc..
In considerazione della varietà di ipotesi previste dall’art. 49 del GDPR e dei diversi requisiti richiesti per ciascuna delle fattispecie di deroga individuate nelle lettere da a) a g) dell’art. 49 GDPR , alla luce delle indicazioni offerte dalle Guidelines 2/2018 dell’EDPB, è evidente che il titolare del trattamento dovrà essere molto attento a svolgere, di volta in volta, una seria ed adeguata “necessity test“ così da poter dimostrare, all’occorrenza, la motivazione specifica di ogni trattamento che implichi il trasferimento di dati verso Paesi terzi non oggetto di decisione di adeguatezza da parte della Commissione Europea e che non offrano neppure le garanzie indicate al successivo art. 46 GDPR.