Alcune precisazioni sul trasferimento di dati personali verso paesi terzi
Il sempre prezioso articolo 29 Working party ha indirizzato la sua attenzione non tanto alle modalità con cui è possibile trasferire dati personali verso paesi terzi, ma soprattutto alle eccezioni che sono possibili a fronte di specifiche situazioni. A questo eccezioni è dedicato l’articolo 49.
Ricordo ai lettori che il trasferimento verso paesi terzi di dati personali è consentito in presenza di:
- decisione di adeguatezza, presa dalla commissione europea,
- trasferimento soggetto a garanzie adeguate,
- trasferimento governato da norme vincolanti d’impresa.
Pubblicità
Materiale didattico per tenere corsi sul regolamento europeo protezione dati (RIF. NORMA UNI 11697:2017) |
L’intero articolo 49 tuttavia è dedicato ad illustrare una serie di deroghe, applicabili in specifiche situazioni. Le situazioni illustrati sono numerose e in alcuni casi il testo del regolamento non è esaustivo.
Ad esempio, in presenza di un consenso dell’interessato, dopo che esso è stato ben informato sui rischi legati a questi trasferimenti in paesi terzi, il trasferimento è consentito.
Parimenti, il trasferimento è consentito quando sia necessario all’esecuzione di un contratto, oppure per importanti motivi di interesse pubblico, oppure per tutelare gli interessi vitali dell’interessato.
A questo proposito, ricordo che venni chiamato in causa anni fa per stabilire modalità con le quali, a fronte di un incidente di cui poteva rimanere vittima un tecnico italiano operante all’estero, era possibile trasferire i suoi dati personali, per rendere più efficace l’intervento medico.
Non v’è dubbio che la procedura di gran lunga più appropriata sia quella in cui l’interessato coinvolto dà il suo consenso al trasferimento, ma la formulazione del testo richiede alcuni chiarimenti.
Ad esempio, a differenza di quanto previsto in altre parti del regolamento, qui si richiede che l’interessato abbia dato un consenso esplicito: questo aggettivo viene utilizzata nel regolamento nelle situazioni in cui possono nascere rischi particolari per i dati e quindi è richiesto un elevato livello di controllo dell’interessato sui propri dati personali.
Ad esempio, il fatto che i dati vengano trasferiti in un paese che non è soggetto a garanzie adeguate, oppure per il quale non è stata presa una decisione di adeguatezza, rappresenta indubbiamente un elemento di accrescimento del rischio, del quale l’interessato deve essere chiaramente informato.
Un altro aggettivo che viene applicato alla autorizzazione al trasferimento di dati fa riferimento a un consenso specifico. Questo consesso ovviamente dovrebbe essere dato sempre prima del trasferimento dei dati, ma situazioni di emergenza potrebbero far sì che il titolare del trattamento debba ottenere questo consenso successivamente. In questo caso, è obbligo del titolare attivarsi nel modo più efficiente ed efficace per ottenere al più presto il consenso.
Un altro aspetto importante riguarda il fatto che il consenso deve essere applicabile solo a specifiche categorie di dati e non sia di tipo universale.
In particolare, se questi dati devono essere consultati da persone aventi un legittimo interesse, il trasferimento è ammesso solo su richiesta di tali persone o qualora tali persone ne siano i destinatari.
Dalla lettura di queste prescrizioni, appare chiaro come il regolamento europeo stabilisca un livello estremamente elevato nel consentire una deroga alla regola generale, che proibisce il trasferimento di dati verso paesi terzi, che non rientri nell’ambito delle tre tipologie illustrate.
Un altro aspetto che merita approfondimento riguarda il trasferimento che avvenga per importanti ragioni di interesse pubblico. Poiché l’espressione è abbastanza generica, l’articolo 29 Working party ha richiesto esplicitamente a tutti coloro che hanno commenti su questa bozza di documento di avanzare una loro interpretazione e eventualmente indicare i modelli, in base quali può essere verificata l’esistenza di un importante pubblico interesse.
Ricordo a tutti i lettori che entro il 26 marzo 2018 tutti i cittadini dell’unione europea possono presentare le proprie osservazioni su questa bozza di documento, che successivamente verrà trasformata in linee guida, aventi valore quasi vincolante per tutti i titolari coinvolti in queste specifiche modalità di trasferimento e trattamento dei dati.
Adalberto Biasiotti
Il documento (pdf, 0.6 MB)
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.