Cenni alle problematiche connesse al trasferimento anche temporaneo di dati
Partiamo dal dato testuale della norma attualmente in vigore, ossia il D.Lgs. n.196/2003, nello specifico l’art.4, comma 1, lettera (a): «”trattamento”, qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;» e la successiva lettera (b) «”dato personale”, qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale,» nonché la successiva lettera (l) «“comunicazione”, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;»
Se si confrontano tali definizioni con quelle del Regolamento UE (Regolamento (Ue) 2016/679 Del Parlamento Europeo E Del Consiglio Del 27 Aprile 2016) che entrerà in vigore direttamente nel nostro ordinamento in data 25 maggio 2018, che riporto qui di seguito, si potrà notare come, in effetti, la sostanza non sia stata modificata di molto:
Art. 4, comma 2: TRATTAMENTO
«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione
Art. 4, comma 1: DATO PERSONALE
«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
Art. 4, comma 23: trattamento transfrontaliero
«trattamento transfrontaliero»:
Come è possibile notare, le definizioni di dato personale e di trattamento praticamente coincidono nella sostanza, a parte qualche piccola modifica nel Regolamento; mentre è sparita come definizione a sé stante la “comunicazione”, in quanto la definizione è contenuta nel medesimo art.4, comma 1 (la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione), e viene introdotto il concetto di “trattamento transfrontaliero”, ossia il trattamento dei dati fuori dell’ambito del territorio nazionale, a sua volta suddiviso in ambito U.E. ed ambito NON U.E.
Conseguentemente, la normativa che andrà in vigore tra non molto definisce maggiormente l’ambito di applicazione delle norme, consentendo quindi di basarsi su regole più “certe”.
In pratica, quando erano ancora vigenti gli accordi regolati dal c.d. “Safe Harbor”, in un certo senso l’importante era accertarsi che il fornitore estero ovvero il soggetto destinatario del trattamento dei dati avesse aderito a tali clausole, e questo era sufficiente per rendere esente il titolare del trattamento da ulteriori conseguenze di carattere giuridico.
Nel momento in cui la Corte di Giustizia UE, con la sentenza n.362/2014 (http://bit.ly/2nOx3Ia) ha espressamente dichiarato che “La decisione 2000/520 è invalida” e tale decisione era quella sulla quale si basava l’intera struttura delle clausole del “Safe Harbor”, ben si comprende come tutto quello che si basava sul rispetto di tali accordi sia stato letteralmente gettato nel fuoco.
Dopo l’abolizione delle norme richiamate dal “Safe Harbor”, il Garante per la protezione dei dati personali italiano (peraltro d’accordo con il gruppo dei Garanti a livello europeo) ha deciso di emanare delle direttive, letteralmente “inventando” le c.d. “B.C.R.”, ossia le “Binding Corporate Rules”.
Come recita il Garante stesso nella “spiegazione” delle B.C.R. :
[…omissis…] Infatti occorre rammentare che in linea di principio il trasferimento di dati personali da paesi appartenenti all’UE verso Paesi “terzi” (non appartenenti all’UE o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein) è vietato, (articolo 25, comma 1, della Direttiva 95/46/CE), a meno che il Paese in questione garantisca un livello di protezione “adeguato [1]“; la Commissione ha il potere di stabilire tale adeguatezza attraverso una specifica decisione (articolo 25, comma 6, della Direttiva 95/46/CE) [2] .
In deroga a tale divieto, il trasferimento verso Paesi terzi è consentito anche nei casi menzionati dall’articolo 26, comma 1, della Direttiva 95/46 (consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali/precontrattuali, interesse pubblico preminente, ecc.), nonché sulla base di strumenti contrattuali che offrano garanzie adeguate (articolo 26, comma 2, della Direttiva 95/46).
Le B.C.R. sono uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi (extra-UE) tra società facenti parti dello stesso gruppo d’impresa; conseguentemente la prima notazione è che solamente in tale ambito tali regole possono essere applicate.
Si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate).
Le B.C.R. costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali
Il rilascio di un’autorizzazione al trasferimento di dati personali tramite B.C.R. consente alle filiali della multinazionale che ne abbia fatto richiesta, anche se stabilite in diversi Paesi, di trasferire, all’interno del gruppo d’impresa, i dati personali oggetto delle B.C.R. , senza ulteriori adempimenti (quali ad esempio la sottoscrizione di Clausole contrattuali tipo, l’adesione all’accordo Safe Harbour, il rilascio di specifiche autorizzazioni ai sensi del Codice.
Le B.C.R. traggono efficacia dalla concessione di una autorizzazione del Garante al trasferimento dei dati personali verso Paesi terzi (articolo 44, lettera a), del decreto legislativo 196/2003 – ” Codice”). L’autorizzazione è rilasciata dietro espressa richiesta della società interessata, con riferimento a trasferimenti di dati personali dall’Italia verso Paesi terzi che si svolgano nel rispetto di quanto stabilito all’interno del testo di B.C.R. e per le sole finalità ivi indicate.[3]
Il testo di B.C.R. contiene i principi fondamentali in materia di protezione dei dati personali sanciti dal Codice e dalla Direttiva 95/46/CE , secondo lo schema elaborato dal Gruppo “Articolo 29” dei Garanti Europei (cfr. il WP 74 e il WP 153).
In particolare:
Dal momento che le B.C.R. hanno ad oggetto i flussi di dati personali tra società appartenenti a un unico gruppo di impresa e dislocate in diversi paesi del mondo, l’autorizzazione al trasferimento transfrontaliero di dati tramite B.C.R. trova una sua utilità esclusivamente se rilasciata da tutte le Autorità di protezione dei dati (Data Protection Authorities – “DPAs”) competenti negli Stati Membri da cui hanno origine i trasferimenti.
Per questo motivo, il Gruppo Articolo 29 ha elaborato una procedura di cooperazione a livello europeo (cfr. WP 107) in grado di assicurare la predisposizione di un testo di B.C.R. condiviso da tutte le Autorità e valevole per tutti i trasferimenti oggetto delle B.C.R. medesime.
Tale procedura è condotta da una sola Autorità (c.d. “lead Authority”) la quale dialoga, in rappresentanza di tutte le altre DPA, con la società capogruppo.
In particolare, la lead Authority esamina la bozza di B.C.R. presentata dalla società (c.d. “consolidated draft”), la invia alle altre Autorità per riceverne eventuali commenti (Fase 1) e dialoga con la società per la predisposizione di un testo che accolga tutte le osservazioni formulate (c.d. “final draft” – Fase 2).
Il documento così redatto è inviato alle Autorità partecipanti alla procedura, al fine di ottenerne una valutazione positiva in termini di adeguatezza del livello di protezione dei dati personali.
Di recente, alcune Autorità (fra cui il Garante) hanno aderito ad una dichiarazione di intenti, c.d. dichiarazione di Mutuo riconoscimento”, al fine di semplificare la procedura di approvazione del testo di B.C.R. a livello europeo, velocizzandone la relativa tempistica.
Ai sensi di tale nuovo modello, la lead Authority, con il supporto di altre due Autorità, dialoga con la società capogruppo al fine di giungere alla predisposizione di un testo ritenuto in linea con i principi fissati dai documenti del Gruppo Articolo 29 in materia di B.C.R. (WP 74; WP 108; WP 153 ) (Fase 1)
Il parere con il quale la lead Authority attesta la conformità del testo di B.C.R. ai principi sopra indicati è considerato dalle altre Autorità aderenti al sistema di Mutuo riconoscimento quale fondamento sufficiente al rilascio della rispettiva autorizzazione nazionale (Fase 2).
Il titolare del trattamento stabilito sul territorio dello Stato italiano deve trasmettere al Garante una specifica richiesta di autorizzazione ai trasferimenti di dati personali dal territorio dello Stato verso Paesi Terzi tramite B.C.R. .
La richiesta deve evidenziare in particolare:
La richiesta deve contenere i seguenti allegati:
I termini del procedimento sono di 45 gg. dalla ricezione della richiesta.
La fase istruttoria presso l’Autorità può comportare la richiesta di maggiori informazioni o di ulteriore documentazione al titolare o rendere opportuna l’organizzazione di un incontro con titolare presso l’Autorità.
Al termine del procedimento, il Garante comunica al richiedente la decisione adottata. […omissis…]
Qui vorrei esaminare il diverso caso del trasferimento dei dati non tra società appartenenti al medesimo gruppo societario, ma quello – apparentemente più semplice – dell’affidamento di alcune funzioni (tipicamente quelle legate all’ambito informatico) ad un fornitore non italiano.
Prima di tutto occorre comunque precisare che esistono due ambiti, ossia l’ambito U.E. e l’ambito NON U.E.; nel primo caso il trasferimento è di norma consentito, a patto che il “fornitore” [che, per inciso, DOVRA’ essere individuato come “responsabile del trattamento”] dichiari, appunto attraverso l’accettazione della individuazione a “responsabile del trattamento”, di essere in regola con le norme imposte dalla normativa italiana, tramite le norme imposte dal titolare del trattamento.
Art. 5 comma 3 D.Lgs. n.196/2003:
Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali.
L’art. 42 consente il trasferimento nell’ambito dei paesi U.E.:
L’art.44 individua i trasferimenti non consentiti in ambito U.E.:
Negli altri casi si deve fare riferimento all’art.41:
(Richieste di autorizzazione) Art. 41
Conseguentemente, anche in questo caso il trasferimento anche temporaneo ovvero anche il solo transito è vietato, con la conseguenza che occorre PREVIAMENTE predisporre quanto occorre per ottenere l’autorizzazione al trasferimento/trattamento.
Il Regolamento UE prevede quanto segue:
Articolo 44 Principio generale per il trasferimento
Qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento. [8] Tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato.
Articolo 45 Trasferimento sulla base di una decisione di adeguatezza
1.Il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche. […omissis…].
Articolo 46 Trasferimento soggetto a garanzie adeguate
1.In mancanza di una decisione ai sensi dell’articolo 45, paragrafo 3, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. […omissis…]
Vedi comma 2 e 3 del medesimo articolo riportati in nota [9]
Cosa succede se non si rispettano le B.C.R. (che ricordo ancora una volta, devono essere autorizzate PRIMA di ogni trattamento, per cui – ragionevolmente – occorrerà prevedere un tempo tra sei mesi ed un anno prima di effettuare il trattamento (i.e. il trasferimento).
D.Lgs. n.196/2003:
Ambito penale: Articolo N.167 (Trattamento Illecito Di Dati)
Sanzioni amministrative: artt. da 161 a 166
Regolamento (Ue) 2016/679:
Articolo 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie
Articolo 84 Sanzioni
1.Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive. [10]
In conclusione, vorrei effettuare in questa sede, dopo questo breve escursus, un cenno alla necessaria integrazione tra i doveri imposti dalle norme sulla c.d. “privacy”, [che per inciso, “privacy” non è, perché da sempre le norme hanno parlato di “trattamento di dati personali”, laddove il concetto di “privacy” nel diritto italiano si configura come diritto alla riservatezza, che è un sotto insieme dei diritti spettanti per il rispetto delle norme appena citate] ed il disposto del D.Lgs n.231/2001, la legge sulla responsabilità penale dei soggetti diversi dalla persona fisica (anche se viene chiamata responsabilità amministrativa), in quanto occorre tenere bene a mente che il D.Lgs n.231/2001 funge da “frame” organizzativo della auto organizzazione delle norme interne delle imprese, mentre il D.Lgs. n.196/2003 e il futuro Regolamento (Ue) 2016/679 fungono da regole per il “flusso” dei dati previsto, appunto, dal D.Lgs n.231/2001.
Se l’argomento “dati personali” e “trattamenti” non viene coerentemente affrontato prendendo in considerazione le normative citate unitariamente, magari con un occhio alle certificazioni Iso (in particolare la Iso 27001 e la Iso 37001), si corre seriamente il rischio di dover (ri)fare il lavoro due o tre volte (almeno).
Quindi, in estrema sintesi:
[1] Come poi un qualunque soggetto possa assumersi la responsabilità di “garantire” che le norme concernenti il trattamento dei dati personali sia adeguato, rispetto alle norme italiane, oggettivamente non è dato saperlo. Questo in quanto nessun giurista sottoscriverebbe mai tale parere, che comporterebbe un esame a 360° delle norme del paese destinatario e quindi una cooperazione con studi legali di altri paesi, nonché una valutazione comparata delle normative, che è oggettivamente difficile se non impossibile.
[2] Che sarà abolita contestualmente all’entrata in vigore del Regolamento U.E. citato
[3] Anche in questo caso occorre essere molto attenti all’ambito dei trattamenti e delle finalità per cui si operi il trasferimento, in quanto – come chiaramente indicato – l’autorizzazione vale solamente nell’ambito di quello che sia stato presentato alle Autorità competenti per il rilascio della autorizzazione.
[4] Il che ovviamente comporta una più che attenta analisi di quali dati siano oggettivamente da trasferire, tenendo presente che con l’entrata in vigore del Regolamento Ue sarà necessario (non che non lo fosse anche adesso, ma nel Regolamento è una cosa che è precisata espressamente) tenere un “registro” dei trattamenti effettuati, proprio per consentire sempre un riscontro tra quanto viene dichiarato e quanto viene nella realtà effettuato.
[5] Gli scopi del trattamento (ossia l’oggetto delle informative) sono da sempre stati il c.d. “tallone d’Achille” di qualsiasi soggetto; occorrerà essere molto molto attenti nell’individuare tali scopi.
[6] Questo probabilmente è l’aspetto meno problematico.
[7] Si tratta delle c.d. “autorizzazioni generali”, rilasciate per categorie predeterminate di trattamenti
[8] Solita affermazione tautologica, in quanto appare ovvio che debbano essere rispettate le norme vigenti. Si tratta di una contaminazione del diritto italiano che discende dal contatto con il diritto c.d. di “common law”, nel quale, in linea di principio, ogni cosa deve essere espressamente vietata per poter poi invocare la norma, mentre nel diritto italiano, che appartiene al novero dei paesi c.d. di “civil law”, la struttura del diritto è molto più piramidale, e di conseguenze molte affermazioni non hanno necessità di esistere, in quanto in un certo senso insite nell’ordinamento giuridico italiano.
[9] 46.2. Nel valutare l’adeguatezza del livello di protezione, la Commissione prende in considerazione in particolare i seguenti elementi: a) lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), così come l’attuazione di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un’altra organizzazione internazionale osservate nel paese o dall’organizzazione internazionale in questione, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento; b) l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o cui è soggetta un’organizzazione internazionale, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri; e c) gli impegni internazionali assunti dal paese terzo o dall’organizzazione internazionale in questione o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti come pure dalla loro partecipazione a sistemi multilaterali o regionali, in particolare in relazione alla protezione dei dati personali. 3.La Commissione, previa valutazione dell’adeguatezza del livello di protezione, può decidere, mediante atti di esecuzione, che un paese terzo, un territorio o uno o più settori specifici all’interno di un paese terzo, o un’organizzazione internazionale garantiscono un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo. L’atto di esecuzione prevede un meccanismo di riesame periodico, almeno ogni quattro anni, che tenga conto di tutti gli sviluppi pertinenti nel paese terzo o nell’organizzazione internazionale. L’atto di esecuzione specifica il proprio ambito di applicazione geografico e settoriale e, ove applicabile, identifica la o le autorità di controllo di cui al paragrafo 2, lettera b), del presente articolo. L’atto di esecuzione è adottato secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.
[10] E’ appena il caso di far notare cosa significhi tale espressione. Detto per inciso, il Regolamento già prevede un “range” di sanzioni amministrative che sono molto pesanti: art. 83, comma 4: «In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”» ed art. 83, comma 5 «In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore»
A cura di: Luca-M. de Grazia, Avvocato
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…