Trasferimenti internazionali di dati personali e il Comitato europeo per la protezione

Ci sono voluti cinque anni, caratterizzati da una lunga interlocuzione con attori pubblici e privati (questi ultimi per lo più attivisti dei diritti civili che si sono battuti contro la violazione dei diritti fondamentali dovuta allo scambio internazionale di dati, in tema anche di fiscalità) prima che il Comitato Europeo per la Protezione dei dati (EDPB) affrontasse il problema in maniera ufficiale, attraverso una dichiarazione con la quale ha invitato "gli Stati membri a valutare e, se necessario, rivedere i loro accordi internazionali che comportano trasferimenti internazionali di dati personali, come quelli relativi alla tassazione (ad esempio, lo scambio automatico di dati personali a fini fiscali) ... al fine di determinare se, pur perseguendo gli importanti interessi pubblici coperti dagli accordi, potrebbe essere necessario un ulteriore allineamento con la legislazione e la giurisprudenza dell'Unione in vigore in materia di protezione dei dati, nonché gli orientamenti dell'EDPB ".

L’EDPB nella dichiarazione in parola, datata 13 aprile 2021, ha richiamato i requisiti dell'articolo 96 del GDPR e dell'articolo 61 della direttiva sull'applicazione della legge (LED). 

In base a tali disposizioni, tutti gli accordi internazionali che comportano il trasferimento di dati personali a paesi terzi o organizzazioni internazionali conclusi dagli Stati membri dell'UE rispettivamente prima del 24 maggio 2016 o del 6 maggio 2016 e conformi al diritto dell'Unione applicabile prima di tale data, resta in vigore fino a quando non viene modificata, sostituita o revocata.

1) Direttiva UE 2016/680 del Parlamento Europeo e del Consiglio art 61

DIRETTIVA (UE) 2016/680 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini:

• di prevenzione, 
• indagine,
• accertamento 
• e perseguimento di reati o esecuzione di sanzioni penali, 
• nonché alla libera circolazione di tali dati

che abroga la decisione quadro 2008/977/GAI del Consiglio - LED

Articolo 61 Rapporto con gli accordi internazionali precedentemente conclusi nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia 

Restano in vigore, fino alla loro modifica, sostituzione o revoca, gli accordi internazionali relativi al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali che sono stati conclusi dagli Stati membri anteriormente al 6 maggio 2016 e che sono conformi al diritto dell'Unione applicabile anteriormente a tale data.

2) Direttiva UE 2016/680 del Parlamento Europeo e del Consiglio art 96

REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 

Articolo 96 Rapporto con accordi precedentemente conclusi (C102) 

Restano in vigore, fino alla loro modifica, sostituzione o revoca, gli accordi internazionali che comportano il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali conclusi dagli Stati membri prima del 24 maggio 2016 e conformi al diritto dell'Unione applicabile prima di tale data.

3) Come interpretare l’art. 96 GDPR?

Se da un lato l’art. 96 del GDPR non incide sulle disposizioni in materia di accordi internazionali, in senso lato, tra Stati UE e Stati non appartenenti allo SEE (Spazio Economico Europeo, istituito nel 1994 allo scopo di estendere le disposizioni applicate dall'Unione europea al proprio mercato interno ai paesi dell'Associazione europea di libero scambio (EFTA). La Norvegia, l'Islanda e il Liechtenstein sono membri del SEE, mentre la Svizzera fa parte dell'EFTA ma non del SEE.), conclusi in data antecedente al 24 maggio 2016 (ricordiamo che a fare data dal 25 maggio 2016 il GDPR è entrato in vigore mentre lo si applica  a fare data dal 25 maggio 2018) va però detto che il testo dell’articolo in parola va letto congiuntamente al Considerando 102 per il quale “(omissis) Gli Stati membri possono concludere accordi internazionali che implicano il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, purché tali accordi non incidano sul presente regolamento o su qualsiasi altra disposizione del diritto dell’Unione e includano un adeguato livello di protezione per i diritti fondamentali degli interessati.”

Gli accordi internazionali dovrebbero definire il rispettivo ambito di applicazione, e le loro finalità dovrebbero essere determinate in modo esplicito e specifico. Inoltre dovrebbero indicare chiaramente le categorie di dati personali interessate e la tipologia dei trattamenti riferiti ai dati personali trasferiti e trattati ai sensi dell'accordo.

Gli accordi internazionali dovrebbero contenere le definizioni dei concetti e dei diritti basilari relativi ai dati personali, in linea con il GDPR e in quanto rilevanti per lo specifico accordo. 

A titolo di esempio, tali accordi, ove vi facciano riferimento, dovrebbero includere le seguenti importanti definizioni: 

• "dati personali",
•  "trattamento dei dati personali", 
• "titolare del trattamento", 
• "responsabile del trattamento", 
• "destinatario"
• e "dati sensibili".

Inoltre, sempre a detta dello EDPB, ai sensi dell'articolo 44 del GDPR, l'esportatore di dati che trasferisce dati personali verso paesi terzi o organizzazioni internazionali, oltre a rispettare il capo V del GDPR, deve anche soddisfare le condizioni delle altre disposizioni del GDPR. 

In particolare, ogni attività di trattamento deve essere conforme ai principi di protezione dei dati di cui all'articolo 5 del GDPR, essere lecita ai sensi dell'articolo 6 del GDPR e rispettare l'articolo 9 del GDPR in caso di categorie particolari di dati. 

Pertanto occorre seguire un approccio in due fasi: in primo luogo, deve essere applicata una base giuridica al trattamento dei dati in quanto tale, insieme a tutte le disposizioni pertinenti del GDPR; nella seconda fase, devono essere rispettate le disposizioni del capo V del GDPR.

L'EDPB ritiene che, al fine di garantire che il livello di protezione delle persone fisiche previsto dal GDPR e dal LED non sia compromesso quando i dati personali vengono trasferiti al di fuori dell'Unione, si dovrebbe prendere in considerazione l'obiettivo di allineare questi accordi con i requisiti GDPR e LED per il trasferimento dei dati laddove non sia stato ancora fatto.

L'EDPB invita pertanto gli Stati membri a valutare e, ove necessario, rivedere i loro accordi internazionali che comportano trasferimenti internazionali di dati personali, come quelli relativi alla:

• fiscalità (ad esempio allo scambio automatico di dati personali a fini fiscali),
• previdenza sociale,
• mutua assistenza legale, 
• cooperazione di polizia, ecc. 

conclusi prima del 24 maggio 2016 (per gli accordi rilevanti per il GDPR) o 6 maggio 2016 (per gli accordi relativi al LED).

Tale revisione dovrebbe essere effettuata al fine di determinare se, pur perseguendo gli importanti interessi pubblici coperti dagli accordi, potrebbero essere necessari un ulteriore allineamento con l'attuale legislazione dell'Unione e la giurisprudenza in materia di protezione dei dati, nonché gli orientamenti dell'EDPB.

L'EDPB raccomanda che gli Stati membri tengano conto, per questa revisione, del GDPR e del LED stessi, delle linee guida EDPB pertinenti applicabili ai trasferimenti internazionali, nonché della giurisprudenza della Corte di giustizia europea, inclusa la sentenza Schrems II del 16 luglio 20201 (Corte di giustizia dell'Unione europea, causa C-311/18, Data Protection Commissioner/Facebook Ireland Limited e Maximillian Schrems ("Schrems II").

Per una lettura critica della sentenza Schrems II sia consentito rinviare a:

Privacy: per la Corte di Giustizia Europea è invalido il trasferiemento dati tra UE e USA in https://www.fiscoetasse.com/approfondimenti/13899-privacy-per-la-corte-di-giustizia-europea-e-invalido-il-trasferiemento-dati-tra-ue-e-usa.html

In particolare, l'EDPB ha emanato le linee guida 2/2020 sugli articoli 46 (2) (a) e 46 (3) (b) del regolamento 2016/679 per i trasferimenti di dati personali tra autorità e organismi pubblici del SEE e non SEE2 nel dicembre 2020.

Nel testo tra le finalità si legge che “Il presente documento mira a fornire una guida sull'applicazione dell'articolo 46, paragrafo 2, lettera a), e paragrafo 3, lettera b), del regolamento generale sulla protezione dei dati ("GDPR") per i trasferimenti di dati personali da autorità o organismi pubblici del SEE (di seguito "organismi pubblici") ad organismi pubblici di paesi terzi od organizzazioni internazionali, nella misura in cui ad essi non si applichi un accertamento di adeguatezza adottato dalla Commissione europea2. Gli organismi pubblici possono scegliere di avvalersi dei meccanismi che il GDPR ritiene più adeguati alla loro situazione, ma sono anche liberi di fare affidamento su altri strumenti pertinenti che prevedano adeguate garanzie ai sensi dell'articolo 46 del GDPR.”

In conclusione, pur a fronte di questa lodevole iniziativa dello EDPB, si ritiene che le Linee guida in esame non siano di per sé sufficienti a risolvere i numerosi problemi legati al trasferimento di dati personali al di fuori dello SEE, richiedendosi un intervento legislativo ad hoc.