Ultimo capitolo della nostra analisi sul testo dell’emanando Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”. Esaminiamo qui il tema, di grande attualità dei trasferimenti di dati all’estero.
La Proposta di regolamento subordina la legittimità dei trasferimenti di dati verso Paesi extra Ue ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato (art. 41). In assenza di una decisione di tale ordine, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad esempio, clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o al ricorrere di particolari evenienze (rispettivamente, artt. 42 e 44).
Con riguardo alla prima deroga, è la stessa Commissione europea ad aver adottato una serie di pacchetti di “clausole-tipo” sulla scorta dell’art. 26 della direttiva 95/46/CE: attraverso l’inserimento di tali clausole standard nel contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nella Direttiva anche nel Paese terzo importatore. In particolare, la Commissione si è resa promotrice dell’elaborazione di clausole contrattuali tipo attraverso quattro diverse decisioni (rispettivamente, del 15 giugno 2001, 27 dicembre 2001, 27 dicembre 2004 e 5 febbraio 2010) che rivestono una particola importanza nell’ottica di semplificare i rapporti internazionali.
L’adozione di clausole contrattuali tipo non è, tuttavia, l’unico strumento tramite il quale operare legittimamente un trasferimento di dati verso Paesi terzi: infatti, sebbene possano essere impiegate esclusivamente nell’ambito di trasferimenti di dati infra-gruppo, sempre più frequente è il ricorso alle cc.dd. binding corporate rules (BCR), una serie di clausole che stabiliscono principi vincolanti al cui rispetto sono tenute tutte le società appartenenti allo stesso gruppo d’impresa (corporate). In questo caso, le clausole incorporano i principi fondamentali in materia di protezione dei dati personali, come ad esempio i principi di correttezza e legittimità del trattamento, finalità, necessità e proporzionalità dei dati, l’obbligo del titolare di fornire l’informativa, e così via. Tali clausole traggono efficacia dall’autorizzazione del Garante al trasferimento dei dati personali verso Paesi terzi ex art. 44, lett. a) del d.lgs. 196/2003, la quale viene concessa solo a seguito dell’espletamento della procedura a livello europeo, che vede la cooperazione tra le Autorità Garanti dei diversi Stati membri che risultano coinvolti nel flusso transfrontaliero di dati.
Le stesse Autorità Garanti nazionali non possono, tuttavia, adottare provvedimenti contrari ad una decisione di adeguatezza dell’esecutivo europeo, sulla scorta di quanto stabilito dalla Corte di Giustizia europea nella recentissima sentenza Schrems del 6 ottobre 2015 (C-364/14): in altre parole, qualora la Commissione abbia già dichiarato legittimo il trasferimento di dati verso un determinato Paese terzo, l’Autorità Garante nazionale non potrà adottare provvedimenti interni di sospensione o di divieto di trasferimenti di dati nei confronti di quei sistemi terzi già reputati adeguati dalla Commissione.
Ciò non toglie che il Garante possa esaminare le doglianze dei cittadini che lamentino una mancanza di protezione dei propri dati trasferiti in un Paese terzo; in tal caso, qualora le domande risultino fondate, il Garante avrà il dovere di “agire in giustizia” (par. 63-65), ossia di proporre ricorso alle autorità giurisdizionali del proprio Stato membro ai fini di un rinvio pregiudiziale ai giudici europei che esamineranno la validità della decisione di adeguatezza della Commissione.
Per maggiori approfondimenti sul contenuto e sulla portata della decisione della Corte di giustizia sul caso Shrems si rimanda all’analisi di Giusella Finocchiaro.
Aggiungi commento