Fornitori di servizi NON italiani ambito UE ed ambito extra UE

Cenni alle problematiche connesse al trasferimento anche temporaneo di dati

Cosa prevedono le norme attuali e cosa prevedono le norme di prossima applicazione

Partiamo dal dato testuale della norma attualmente in vigore, ossia il D.Lgs. n.196/2003, nello specifico l’art.4, comma 1, lettera (a): «”trattamento”, qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;» e la successiva lettera (b) «”dato personale”, qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale,» nonché la successiva lettera (l) «“comunicazione”, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;»

Se si confrontano tali definizioni con quelle del Regolamento UE (Regolamento (Ue) 2016/679 Del Parlamento Europeo E Del Consiglio Del 27 Aprile 2016) che entrerà in vigore direttamente nel nostro ordinamento in data 25 maggio 2018, che riporto qui di seguito, si potrà notare come, in effetti, la sostanza non sia stata modificata di molto:

Art. 4, comma 2: TRATTAMENTO

«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione

Art. 4, comma 1: DATO PERSONALE

«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

Art. 4, comma 23: trattamento transfrontaliero

«trattamento transfrontaliero»:

1. a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure
2. b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro

Come è possibile notare, le definizioni di dato personale e di trattamento praticamente coincidono nella sostanza, a parte qualche piccola modifica nel Regolamento; mentre è sparita come definizione a sé stante la “comunicazione”, in quanto la definizione è contenuta nel medesimo art.4, comma 1 (la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione), e viene introdotto il concetto di “trattamento transfrontaliero”, ossia il trattamento dei dati fuori dell’ambito del territorio nazionale, a sua volta suddiviso in ambito U.E. ed ambito NON U.E.

Conseguentemente, la normativa che andrà in vigore tra non molto definisce maggiormente l’ambito di applicazione delle norme, consentendo quindi di basarsi su regole più “certe”.

Come era regolata la situazione nell’ambito della vigenza del c.d. “Safe Harbor”

In pratica, quando erano ancora vigenti gli accordi regolati dal c.d.  “Safe Harbor”, in un certo senso l’importante era accertarsi che il fornitore estero ovvero il soggetto destinatario del trattamento dei dati avesse aderito a tali clausole, e questo era sufficiente per rendere esente il titolare del trattamento da ulteriori conseguenze di carattere giuridico.

Nel momento in cui la Corte di Giustizia UE, con la sentenza n.362/2014 (http://bit.ly/2nOx3Ia) ha espressamente dichiarato che “La decisione 2000/520 è invalida” e tale decisione era quella sulla quale si basava l’intera struttura delle clausole del “Safe Harbor”, ben si comprende come tutto quello che si basava sul rispetto di tali accordi sia stato letteralmente gettato nel fuoco.

Cosa succede dopo il c.d. “Safe Harbor”: le B.C.R.

Dopo l’abolizione delle norme richiamate dal “Safe Harbor”, il Garante per la protezione dei dati personali italiano (peraltro d’accordo con il gruppo dei Garanti a livello europeo) ha deciso di emanare delle direttive, letteralmente “inventando” le c.d. “B.C.R.”, ossia le “Binding Corporate Rules”.

Come recita il Garante stesso nella “spiegazione” delle B.C.R. :

[…omissis…] Infatti  occorre rammentare che in linea di principio il trasferimento di dati personali da paesi appartenenti all’UE verso Paesi “terzi” (non appartenenti all’UE o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein) è vietato, (articolo 25, comma 1, della Direttiva 95/46/CE), a meno che il Paese in questione garantisca un livello di protezione “adeguato [1]“; la Commissione ha il potere di stabilire tale adeguatezza attraverso una specifica decisione (articolo 25, comma 6, della Direttiva 95/46/CE) [2] .

In deroga a tale divieto, il trasferimento verso Paesi terzi è consentito anche nei casi menzionati dall’articolo 26, comma 1, della Direttiva 95/46 (consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali/precontrattuali, interesse pubblico preminente, ecc.), nonché sulla base di strumenti contrattuali che offrano garanzie adeguate (articolo 26, comma 2, della Direttiva 95/46).

Le B.C.R. sono uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi (extra-UE) tra società facenti parti dello stesso gruppo d’impresa; conseguentemente la prima notazione è che solamente in tale ambito tali regole possono essere applicate.

Si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate).

Le B.C.R.  costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali

Il rilascio di un’autorizzazione al trasferimento di dati personali tramite B.C.R.  consente alle filiali della multinazionale che ne abbia fatto richiesta, anche se stabilite in diversi Paesi, di trasferire, all’interno del gruppo d’impresa, i dati personali oggetto delle B.C.R. , senza ulteriori adempimenti (quali ad esempio la sottoscrizione di Clausole contrattuali tipo, l’adesione all’accordo Safe Harbour, il rilascio di specifiche autorizzazioni ai sensi del Codice.

Le B.C.R.  traggono efficacia dalla concessione di una autorizzazione del Garante al trasferimento dei dati personali verso Paesi terzi (articolo 44, lettera a), del decreto legislativo 196/2003 – ” Codice”). L’autorizzazione è rilasciata dietro espressa richiesta della società interessata, con riferimento a trasferimenti di dati personali dall’Italia verso Paesi terzi che si svolgano nel rispetto di quanto stabilito all’interno del testo di B.C.R. e per le sole finalità ivi indicate.[3]

Il testo di B.C.R.  contiene i principi fondamentali in materia di protezione dei dati personali sanciti dal Codice e dalla Direttiva 95/46/CE , secondo lo schema elaborato dal Gruppo “Articolo 29” dei Garanti Europei (cfr. il WP 74 e il WP 153).

In particolare:

1. i principi di correttezza e legittimità del trattamento, di finalità, necessità e proporzionalità dei dati,
2. l’obbligo del titolare di rilasciare idonea informativa all’interessato,
3. i diritti dell’interessato,
4. le misure di sicurezza prescritte dalla legge,
5. il diritto dell’interessato ad ottenere il risarcimento del danno connesso al mancato rispetto delle B.C.R. da parte di una società del gruppo (c.d. clausola del terzo beneficiario).
6. la predisposizione di un programma di training del personale in materia di protezione dei dati personali;
7. l’implementazione di un meccanismo di gestione del contenzioso e delle segnalazioni connesse alle B.C.R. ;
8. la conduzione periodica di audit al fine di verificare il rispetto delle B.C.R. da parte delle società del gruppo;
9. la creazione di un network di privacy officers o di uno staff che si occupi di monitorare il rispetto delle B.C.R. e di gestire le segnalazioni degli interessati.

Dal momento che le B.C.R.  hanno ad oggetto i flussi di dati personali tra società appartenenti a un unico gruppo di impresa e dislocate in diversi paesi del mondo, l’autorizzazione al trasferimento transfrontaliero di dati tramite B.C.R.  trova una sua utilità esclusivamente se rilasciata da tutte le Autorità di protezione dei dati (Data Protection Authorities – “DPAs”) competenti negli Stati Membri da cui hanno origine i trasferimenti.

Per questo motivo, il Gruppo Articolo 29 ha elaborato una procedura di cooperazione a livello europeo (cfr. WP 107) in grado di assicurare la predisposizione di un testo di B.C.R.  condiviso da tutte le Autorità e valevole per tutti i trasferimenti oggetto delle B.C.R.  medesime.

Tale procedura è condotta da una sola Autorità (c.d. “lead Authority”) la quale dialoga, in rappresentanza di tutte le altre DPA, con la società capogruppo.

In particolare, la lead Authority esamina la bozza di B.C.R.  presentata dalla società (c.d. “consolidated draft”), la invia alle altre Autorità per riceverne eventuali commenti (Fase 1) e dialoga con la società per la predisposizione di un testo che accolga tutte le osservazioni formulate (c.d. “final draft” – Fase 2).

Il documento così redatto è inviato alle Autorità partecipanti alla procedura, al fine di ottenerne una valutazione positiva in termini di adeguatezza del livello di protezione dei dati personali.

Di recente, alcune Autorità (fra cui il Garante) hanno aderito ad una dichiarazione di intenti, c.d. dichiarazione di Mutuo riconoscimento”, al fine di semplificare la procedura di approvazione del testo di B.C.R.  a livello europeo, velocizzandone la relativa tempistica.

Ai sensi di tale nuovo modello, la lead Authority, con il supporto di altre due Autorità, dialoga con la società capogruppo al fine di giungere alla predisposizione di un testo ritenuto in linea con i principi fissati dai documenti del Gruppo Articolo 29 in materia di B.C.R.  (WP 74; WP 108; WP 153 ) (Fase 1)

Il parere con il quale la lead Authority attesta la conformità del testo di B.C.R.  ai principi sopra indicati è considerato dalle altre Autorità aderenti al sistema di Mutuo riconoscimento quale fondamento sufficiente al rilascio della rispettiva autorizzazione nazionale (Fase 2).

Qualora la singola Autorità si esprima a favore del testo di B.C.R. , ovvero una volta raggiunta la definizione di un testo di B.C.R.  giudicato conforme dalla lead Authority in base alla procedura semplificata sopra descritta, l’Autorità nazionale potrà procedere al rilascio di un’autorizzazione nazionale al trasferimento dei dati personali oggetto del testo medesimo, ove prevista (Fase 3).

Il titolare del trattamento stabilito sul territorio dello Stato italiano deve trasmettere al Garante una specifica richiesta di autorizzazione ai trasferimenti di dati personali dal territorio dello Stato verso Paesi Terzi tramite B.C.R. .

La richiesta deve evidenziare in particolare:

1. le tipologie di dati personali oggetto delle attività di trasferimento per cui si chiede l’autorizzazione (es. dati relativi al personale dipendente, ai clienti, ai fornitori ecc.); [4]
2. le finalità oggetto delle attività di trasferimento, specificandole per tipologia di dato trasferito (es. i dati relativi al personale dipendente saranno trasferiti per finalità amministrativo-contabili; i dati relativi ai clienti saranno trasferiti per finalità di marketing ecc.); [5]
3. i rapporti esistenti tra la società capogruppo e la società che presenta la richiesta di autorizzazione al fine di dimostrare che quest’ultima ha assunto un impegno giuridicamente vincolante al rispetto delle B.C.R. [6]

La richiesta deve contenere i seguenti allegati:

1. il testo di cui si compongono le B.C.R. con i rispettivi allegati in lingua inglese e in lingua italiana (quest’ultima asseverata da traduzione giurata);
2. l’application form (WP 133) predisposta dalla società capogruppo in lingua inglese e in lingua italiana (per tale documento non è richiesta la traduzione giurata);
3. l’attestazione dell’avvenuto pagamento dei diritti di segreteria, il cui ammontare, con riferimento ai procedimenti relativi alle richieste di autorizzazione al trasferimento dei dati verso Paesi non appartenenti all’Unione europea, è stato quantificato, con determinazione dell’Ufficio del 15 gennaio 2005, nella misura di euro 1000,00 (mille) per ciascun titolare del trattamento stabilito nel territorio dello Stato.

I termini del procedimento sono di 45 gg. dalla ricezione della richiesta.

La fase istruttoria presso l’Autorità può comportare la richiesta di maggiori informazioni o di ulteriore documentazione al titolare o rendere opportuna l’organizzazione di un incontro con titolare presso l’Autorità.

Al termine del procedimento, il Garante comunica al richiedente la decisione adottata. […omissis…]

Trasferimento anche temporaneo dei dati

Qui vorrei esaminare il diverso caso del trasferimento dei dati non tra società appartenenti al medesimo gruppo societario, ma quello – apparentemente più semplice – dell’affidamento di alcune funzioni (tipicamente quelle legate all’ambito informatico) ad un fornitore non italiano.

Prima di tutto occorre comunque precisare che esistono due ambiti, ossia l’ambito U.E. e l’ambito NON U.E.; nel primo caso il trasferimento è di norma consentito, a patto che il “fornitore” [che, per inciso, DOVRA’ essere individuato come “responsabile del trattamento”] dichiari, appunto attraverso l’accettazione della individuazione a “responsabile del trattamento”, di essere in regola con le norme imposte dalla normativa italiana, tramite le norme imposte dal titolare del trattamento.

Art. 5 comma 3 D.Lgs. n.196/2003:

Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali.

L’art. 42 consente il trasferimento nell’ambito dei paesi U.E.:

1. Le disposizioni del presente codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli Stati membri dell’Unione europea, fatta salva l’adozione, in conformità allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni

L’art.44 individua i trasferimenti non consentiti in ambito U.E.:

1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato:
2. individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell’ambito di societa’ appartenenti a un medesimo gruppo. L’interessato puo’ far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all’inosservanza delle garanzie medesime;
3. individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente all’Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.

Negli altri casi si deve fare riferimento all’art.41:

(Richieste di autorizzazione) Art. 41

1. Il titolare del trattamento che rientra nell’ambito di applicazione di un’autorizzazione rilasciata ai sensi dell’articolo 40 [7] non è tenuto a presentare al Garante una richiesta di autorizzazione se il trattamento che intende effettuare è conforme alle relative prescrizioni.
2. Se una richiesta di autorizzazione riguarda un trattamento autorizzato ai sensi dell’articolo 40 il Garante può provvedere comunque sulla richiesta se le specifiche modalità del trattamento lo giustificano.
3. L’eventuale richiesta di autorizzazione è formulata utilizzando esclusivamente il modello predisposto e reso disponibile dal Garante e trasmessa a quest’ultimo per via telematica, osservando le modalità di sottoscrizione e conferma del ricevimento di cui all’articolo 38, comma 2. La medesima richiesta e l’autorizzazione possono essere trasmesse anche mediante telefax o lettera raccomandata.
4. Se il richiedente è invitato dal Garante a fornire informazioni o ad esibire documenti, il termine di quarantacinque giorni di cui all’articolo 26, comma 2, decorre dalla data di scadenza del termine fissato per l’adempimento richiesto.
5. In presenza di particolari circostanze, il Garante può rilasciare un’autorizzazione provvisoria a tempo determinato.

Conseguentemente, anche in questo caso il trasferimento anche temporaneo ovvero anche il solo transito è vietato, con la conseguenza che occorre PREVIAMENTE predisporre quanto occorre per ottenere l’autorizzazione al trasferimento/trattamento.

Il Regolamento UE prevede quanto segue:

Articolo 44 Principio generale per il trasferimento

Qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento.  [8] Tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato.

 Articolo 45 Trasferimento sulla base di una decisione di adeguatezza

1.Il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche. […omissis…].

Articolo 46 Trasferimento soggetto a garanzie adeguate

1.In mancanza di una decisione ai sensi dell’articolo 45, paragrafo 3, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. […omissis…]

Vedi comma 2 e 3 del medesimo articolo riportati in nota [9]

Considerazioni conclusive

Cosa succede se non si rispettano le B.C.R. (che ricordo ancora una volta, devono essere autorizzate PRIMA di ogni trattamento, per cui – ragionevolmente – occorrerà prevedere un tempo tra sei mesi ed un anno prima di effettuare il trattamento (i.e. il trasferimento).

D.Lgs. n.196/2003:

Ambito penale: Articolo N.167 (Trattamento Illecito Di Dati)

Sanzioni amministrative: artt. da 161 a 166

Regolamento (Ue) 2016/679:

Articolo 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie

Articolo 84 Sanzioni

1.Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive. [10]

In conclusione, vorrei effettuare in questa sede, dopo questo breve escursus, un cenno alla necessaria integrazione tra i doveri imposti dalle norme sulla c.d. “privacy”, [che per inciso, “privacy” non è, perché da sempre le norme hanno parlato di “trattamento di dati personali”, laddove il concetto di “privacy” nel diritto italiano si configura come diritto alla riservatezza, che è un sotto insieme dei diritti spettanti per il rispetto delle norme appena citate] ed il disposto del D.Lgs n.231/2001, la legge sulla responsabilità penale dei soggetti diversi dalla persona fisica (anche se viene chiamata responsabilità amministrativa), in quanto occorre tenere bene a mente che il D.Lgs n.231/2001 funge da “frame” organizzativo della auto organizzazione delle norme interne delle imprese, mentre il D.Lgs. n.196/2003 e il futuro Regolamento (Ue) 2016/679 fungono da regole per il “flusso” dei dati previsto, appunto, dal D.Lgs n.231/2001.

Se l’argomento “dati personali” e “trattamenti” non viene coerentemente affrontato prendendo in considerazione le normative citate unitariamente, magari con un occhio alle certificazioni Iso (in particolare la Iso 27001 e la Iso 37001), si corre seriamente il rischio di dover (ri)fare il lavoro due o tre volte (almeno).

Quindi, in estrema sintesi:

1. Analisi approfondita:
   1. dell’ambito organizzativo del Titolare
   2. dei trattamenti effettuati
   3. dell’ambito soggettivo degli accessi ai dati
2. Coordinamento con il D.Lgs n.231/2001
3. Analisi degli ulteriori flussi di dati derivanti dai punti 1 e 2
4. Analisi della situazione del soggetto estero.
5. Avvio delle procedure con molto anticipo rispetto ai normali tempi aziendali.
6. Stretta sinergia tra professionalità diverse, ossia tra giuristi e “informatici”, al fine di non “dimenticare” alcunché.

[1] Come poi un qualunque soggetto possa assumersi la responsabilità di “garantire” che le norme concernenti il trattamento dei dati personali sia adeguato, rispetto alle norme italiane, oggettivamente non è dato saperlo. Questo in quanto nessun giurista sottoscriverebbe mai tale parere, che comporterebbe un esame a 360° delle norme del paese destinatario e quindi una cooperazione con studi legali di altri paesi, nonché una valutazione comparata delle normative, che è oggettivamente difficile se non impossibile.

[2] Che sarà abolita contestualmente all’entrata in vigore del Regolamento U.E. citato

[3] Anche in questo caso occorre essere molto attenti all’ambito dei trattamenti e delle finalità per cui si operi il trasferimento, in quanto – come chiaramente indicato – l’autorizzazione vale solamente nell’ambito di quello che sia stato presentato alle Autorità competenti per il rilascio della autorizzazione.

[4] Il che ovviamente comporta una più che attenta analisi di quali dati siano oggettivamente da trasferire, tenendo presente che con l’entrata in vigore del Regolamento Ue sarà necessario (non che non lo fosse anche adesso, ma nel Regolamento è una cosa che è precisata espressamente) tenere un “registro” dei trattamenti effettuati, proprio per consentire sempre un riscontro tra quanto viene dichiarato e quanto viene nella realtà effettuato.

[5] Gli scopi del trattamento (ossia l’oggetto delle informative) sono da sempre stati il c.d. “tallone d’Achille” di qualsiasi soggetto; occorrerà essere molto molto attenti nell’individuare tali scopi.

[6] Questo probabilmente è l’aspetto meno problematico.

[7] Si tratta delle c.d. “autorizzazioni generali”, rilasciate per categorie predeterminate di trattamenti

[8] Solita affermazione tautologica, in quanto appare ovvio che debbano essere rispettate le norme vigenti. Si tratta di una contaminazione del diritto italiano che discende dal contatto con il diritto c.d. di “common law”, nel quale, in linea di principio, ogni cosa deve essere espressamente vietata per poter poi invocare la norma, mentre nel diritto italiano, che appartiene al novero dei paesi c.d. di “civil law”, la struttura del diritto è molto più piramidale, e di conseguenze molte affermazioni non hanno necessità di esistere, in quanto in un certo senso insite nell’ordinamento giuridico italiano.

[9] 46.2. Nel valutare l’adeguatezza del livello di protezione, la Commissione prende in considerazione in particolare i seguenti elementi: a) lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), così come l’attuazione di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un’altra organizzazione internazionale osservate nel paese o dall’organizzazione internazionale in questione, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento; b) l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o cui è soggetta un’organizzazione internazionale, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri; e c) gli impegni internazionali assunti dal paese terzo o dall’organizzazione internazionale in questione o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti come pure dalla loro partecipazione a sistemi multilaterali o regionali, in particolare in relazione alla protezione dei dati personali. 3.La Commissione, previa valutazione dell’adeguatezza del livello di protezione, può decidere, mediante atti di esecuzione, che un paese terzo, un territorio o uno o più settori specifici all’interno di un paese terzo, o un’organizzazione internazionale garantiscono un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo. L’atto di esecuzione prevede un meccanismo di riesame periodico, almeno ogni quattro anni, che tenga conto di tutti gli sviluppi pertinenti nel paese terzo o nell’organizzazione internazionale. L’atto di esecuzione specifica il proprio ambito di applicazione geografico e settoriale e, ove applicabile, identifica la o le autorità di controllo di cui al paragrafo 2, lettera b), del presente articolo. L’atto di esecuzione è adottato secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

[10] E’ appena il caso di far notare cosa significhi tale espressione. Detto per inciso, il Regolamento già prevede un “range” di sanzioni amministrative che sono molto pesanti: art. 83, comma 4: «In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”»  ed art. 83, comma 5 «In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore»

 

A cura di: Luca-M. de Grazia, Avvocato