Le nuove Raccomandazioni EDPB approfondiscono il concetto di adeguatezza nel trasferimento dei dati all’estero a fini di cooperazione giudiziaria e di polizia.

Di Jacopo Purificati


Il Comitato europeo per la protezione dei dati (European Data Protection Board) ha pubblicato le Raccomandazioni 01/2021 in riferimento al concetto di adeguatezza contenuto nella Law Enforcement Directive (LED)[1]. Nel regolare la materia della comunicazione di dati personali a fini di cooperazione transnazionale giudiziaria e di polizia, la Direttiva richiama e incorpora le stringenti condizioni di trasferimento dei dati all’estero disposte dal GDPR.

La previsione di tali condizioni si fonda su di una considerazione: la normativa europea in materia è certamente tra le più “garantiste” e, non a caso, il GDPR sta fungendo da modello per molte legislazioni nel mondo. Si pensi, a titolo esemplificativo, alla Lei Geral de Proteçao de Dados (LGPD) 2020 della Repubblica Federale del Brasile, o alla Data Protection Law (DPL) n. 5/2020 del Dubai International Financial Centre, alla normativa del Regno Unito post-Brexit (Data Protection Act 2018 e UK-GDPR 2021), o ancora all’imminente Personal Information Protection Law (PIPL) della Repubblica Popolare Cinese. È però fondamentale garantire che il livello di protezione delle persone fisiche previsto dal Regolamento rimanga sostanzialmente invariato anche quando i dati personali sono trasferiti al di fuori del suo ambito di applicazione.

Le decisioni di adeguatezza della Commissione

Una delle condizioni di trasferimento all’estero dei dati (ex art. 45 del GDPR e, in questo contesto specifico, ex art. 36 della LED) è la presenza di una decisione di adeguatezza della Commissione europea sul livello di protezione garantito dal Paese destinatario. In tale decisione, la Commissione considera:

  1. lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale e la sua concreta attuazione, la giurisprudenza, i diritti effettivi e azionabili degli interessati, la presenza di un ricorso effettivo in sede amministrativa e giudiziaria;
  2. l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti che abbiano il potere di controllare il rispetto delle norme in materia, di assistere e fornire consulenza agli interessati in merito all’esercizio dei loro diritti e di cooperare con le autorità di controllo degli Stati membri; e
  3. gli impegni internazionali assunti, o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti.

La Commissione decide sull’adeguatezza mediante un atto di esecuzione, che specifica il proprio ambito di applicazione e identifica le autorità di controllo interessate. L’atto è soggetto a un meccanismo di riesame periodico (almeno quadriennale), che tiene conto degli eventuali sviluppi intervenuti. Se dalle informazioni a disposizione risulta che il Paese terzo non garantisce più un livello adeguato di protezione, la Commissione revoca, modifica o sospende la decisione mediante atti di esecuzione irretroattivi. Un simile atto di revoca, modifica o sospensione lascia comunque impregiudicato il trasferimento all’estero ammesso in base alle ulteriori condizioni previste dal GDPR o dalla LED.

Le Raccomandazioni 01/2021 del Comitato Europeo per la Protezione dei Dati

Le nuove Raccomandazioni EDPB stabiliscono i principi fondamentali di protezione dei dati che il Paese terzo deve applicare ai fini dell’ottenimento di una decisione di adeguatezza in base alla LED. Tali principi indicano un’equivalenza sostanziale con il quadro normativo dell’Unione. Ciò significa che, per quanto diversi da quelli europei, i mezzi attraverso i quali il Paese terzo garantisce un adeguato livello di protezione «devono comunque rivelarsi, in pratica, efficaci»[2]. Nondimeno, il Comitato ha individuato alcuni requisiti minimi affinché il sistema del Paese terzo possa dirsi coerente con quello europeo:

  1. la presenza di un’autorità di controllo indipendente, dotata di poteri di applicazione e ispettivi e incaricata di assistere gli interessati nell’esercizio dei loro diritti;
  2. l’attuazione efficace delle norme in materia, garantita dalla presenza di sanzioni dissuasive e da sistemi di controllo da parte delle autorità, nonché dall’alto grado di consapevolezza degli interessati e dei titolari del trattamento, che può essere dimostrato dagli obblighi di conservazione di registri del trattamento, di effettuare valutazioni di impatto, di nominare un DPO nonché dall’esistenza dei criteri di privacy-by-design e by-default;
  3. la presenza di adeguati meccanismi di ricorso che permettano di far valere i propri diritti in modo rapido ed efficace e senza costi proibitivi, o anche di sistemi di arbitrato che consentano il risarcimento e l’irrogazione di sanzioni[3].

L’EDPB chiarisce inoltre che la presenza di norme generali di data protection non è sufficiente: sono necessarie disposizioni specifiche e applicabili che affrontino concretamente il diritto alla protezione dei dati nelle attività di law enforcement. Si tratta di un punto particolarmente delicato, poiché esigenze di interesse pubblico (di polizia, giudiziarie) fanno da contraltare alle libertà dei privati e ne possono limitare i diritti. Affinché sia rispettato il principio di proporzionalità, dunque, le disposizioni che comportano limitazioni dei diritti degli interessati dovrebbero bilanciare la gravità dell’ingerenza della limitazione e l’importanza dell’obiettivo di interesse pubblico perseguito.

I requisiti specifici per la valutazione di adeguatezza

Nell’analisi del quadro giuridico del Paese terzo, il Comitato raccomanda di valutare i seguenti principi in materia di protezione dei dati.

  1. Liceità e correttezza. Disposizioni chiare, precise e giuridicamente vincolanti dovrebbero individuare determinate basi di liceità del trattamento e garanzie appropriate. Il trattamento legittimo deve poi avvenire secondo correttezza.
  2. Limitazione delle finalità. Le finalità per le quali i dati sono trattati dovrebbero essere esplicite e legittime, e determinate al momento della raccolta. Tali finalità possono rinvenirsi nella prevenzione, indagine, accertamento o perseguimento dei reati, o ancora nell’esecuzione di sanzioni penali, comprese la salvaguardia contro e la prevenzione di minacce alla pubblica sicurezza. I dati dovrebbero essere successivamente utilizzati solo compatibilmente con la finalità originaria del trattamento (ad esempio, per procedimenti paralleli), e soggetti a garanzie adeguate. Ulteriori trattamenti per finalità diverse dalla law enforcement, invece, dovrebbero essere autorizzati dallo Stato membro interessato e risultare necessari e proporzionati alla nuova finalità.
  3. Minimizzazione. I dati trattati dovrebbero essere adeguati, pertinenti e non eccessivi rispetto alle finalità di trattamento. In particolare, la Commissione dovrebbe considerare l’applicazione dei criteri di privacy-by-design e by-default.
  4. Accuratezza. Dati personali inesatti, incompleti o non più aggiornati non dovrebbero essere trasferiti. Si valuta inoltre la presenza di procedure di correzione e di cancellazione, nonché di sistemi di classificazione delle informazioni in base all’affidabilità della fonte.
  5. Conservazione. I dati non dovrebbero essere conservati più a lungo di quanto necessario per le finalità di trattamento. Dovrebbero essere predisposti meccanismi per la cancellazione dei dati dopo un determinato periodo, o a seguito di revisione periodica.
  6. Sicurezza e riservatezza. È valutata l’adozione, da parte di chi tratta i dati, di misure di sicurezza appropriate alle caratteristiche del trattamento, ai costi di attuazione e ai rischi per le persone fisiche. Dovrebbero essere garantiti canali di comunicazione sicuri tra le autorità degli Stati membri e quelle degli Stati terzi.
  7. Trasparenza. È valutata la messa a disposizione, per gli interessati, di informazioni facilmente accessibili e comprensibili su tutti gli elementi principali del trattamento dei loro dati personali.
  8. Diritti degli interessati. L’interessato dovrebbe avere i diritti di accesso, rettifica e cancellazione dei dati che lo riguardano, e l’esercizio di tali diritti non dovrebbe essere eccessivamente gravoso.
  9. Limitazioni. Per legge possono prevedersi eccezioni all’informativa o ai diritti, ove queste siano necessarie e proporzionate, per evitare di ostacolare indagini o procedure giudiziarie, o di pregiudicare il perseguimento di reati o l’esecuzione penale, o ancora per proteggere la sicurezza pubblica, la sicurezza nazionale o diritti e libertà altrui. Tali limitazioni dovrebbero essere temporanee e non generalizzate, e valutate tenendo conto delle possibilità di presentare un reclamo o fare ricorso.
  10. Trasferimenti successivi. Deve garantirsi la continuità del livello di protezione previsto dal diritto UE anche in caso di ulteriore trasferimento. Il destinatario iniziale dei dati dovrebbe essere responsabile del passaggio successivo. In tal senso, è anche valutata la presenza di meccanismi di informazione allo Stato membro interessato.
  11. Responsabilizzazione. Il titolare del trattamento dovrebbe essere responsabile per il rispetto dei principi in materia e in grado di comprovarlo.

[1] Direttiva (UE) del Parlamento europeo e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, e che abroga la decisione quadro 2008/977/GAI del Consiglio.

[2] Cfr. Corte di Giustizia dell’Unione Europea, Caso C-362/14, Maximilian Schrems v. Data Protection Commissioner, 6 ottobre 2015 (Schrems I).

[3] Cfr. Corte di Giustizia dell’Unione Europea, Caso C-311/18, Data Protection Commissioner v. Facebook Ireland Ltd and Maximillian Schrems, 16 luglio 2020 (Schrems II), ove la Corte chiarisce che l’esistenza stessa di un controllo giurisdizionale effettivo è inerente all’esistenza stessa dello Stato di diritto. Pertanto, una normativa che non permetta di esperire mezzi di ricorso non rispetta l’essenza del diritto fondamentale a una tutela giurisdizionale effettiva, quale sancito dall’art. 47 della Carta di Nizza.

Author Jacopo Purificati

More posts by Jacopo Purificati