Decreto legislativo - 18/05/2018 - n. 51 art. 31 - Principi generali in materia di trasferimento di dati personaliPrincipi generali in materia di trasferimento di dati personali
1. Il trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un Paese terzo o un'organizzazione internazionale, compresi trasferimenti successivi verso un altro Paese terzo o un'altra organizzazione internazionale e' consentito se: a) il trasferimento e' necessario per le finalita' di cui all'articolo 1, comma 2; b) i dati personali sono trasferiti al titolare del trattamento in un Paese terzo o a un'organizzazione internazionale che sia un'autorita' competente per le finalita' di cui all'articolo 1, comma 2; c) qualora i dati personali siano trasmessi o resi disponibili da uno Stato membro, tale Stato ha fornito la propria autorizzazione preliminare al trasferimento conformemente al proprio diritto nazionale; d) la Commissione europea ha adottato una decisione di adeguatezza, a norma dell'articolo 32 o, in mancanza, sono state fornite o esistono garanzie adeguate ai sensi dell'articolo 33; in assenza di una decisione di adeguatezza e di garanzie adeguate, si applicano deroghe per situazioni specifiche ai sensi dell'articolo 34; e e) in caso di trasferimento successivo a un altro Paese terzo o a un'altra organizzazione internazionale, l'autorita' competente che ha effettuato il trasferimento originario o un'altra autorita' competente dello stesso Stato membro autorizza il trasferimento successivo dopo avere valutato tutti i fattori pertinenti, tra cui la gravita' del reato, la finalita' per la quale i dati personali sono stati trasferiti e il livello di protezione dei dati personali previsto nel Paese terzo o nell'organizzazione internazionale verso i quali i dati personali sono successivamente trasferiti. 2. In assenza dell'autorizzazione preliminare di un altro Stato membro di cui al comma 1, lettera c), il trasferimento di dati personali e' consentito solo se necessario per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un Paese terzo o agli interessi vitali di uno Stato membro e l'autorizzazione preliminare non puo' essere ottenuta tempestivamente. L'autorita' competente a rilasciare l'autorizzazione preliminare e' informata senza ritardo. InquadramentoIl Capo IV del Decreto, in materia di trasferimento dei dati personali verso paesi terzi o verso organizzazioni internazionali stabilisce precisi presupposti e condizioni di legittimità, nonché adempimenti, affinché il titolare effettui tale trasferimento, a seconda delle diverse circostanze e finalità del medesimo, garantendo un elevato livello di protezione dei dati personali e la tutela degli interessati (cfr. considerando 4 della Direttiva 680/2016). Criteri per un legittimo trasferimentoIn particolare, l'art. 31 definisce i criteri generali perché avvengano legittimi trasferimenti transfrontalieri di dati personali nell'ambito di applicazione del Decreto, prevedendo che il trasferimento dei dati personali oggetto di trattamento, o destinati ad esserlo successivamente al trasferimento verso un paese terzo o un'organizzazione internazionale (inclusi i trasferimenti successivi verso un ulteriore altro paese terzo o organizzazione internazionale), sia consentito solo in presenza delle seguenti condizioni. a) Il trasferimento è necessario per le finalità di cui all'art. 1, comma 2 del Decreto, vale a dire a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica. Resta inteso che in simili casi incombe sul titolare l'onere di accertare e provare la sussistenza di detto requisito di necessità, che secondo gli orientamenti delle autorità europee (si citano, in particolare, le Linee Guida sul consenso ai sensi del Regolamento 2016/679 [wp256 rev.01]), deve essere interpretato in maniera rigorosa e restrittiva. Occorre tuttavia interrogarsi se il trasferimento, in base al presupposto di legittimità in esame, possa essere effettuato unicamente da un soggetto che agisca in qualità di titolare del trattamento, o altresì da un soggetto o ente che agisca per conto di quest'ultimo in qualità di responsabile, al fine di comprendere appieno l'ambito di applicazione dell'articolo in esame. Sul punto, è utile richiamare il considerando 64 della Direttiva 680/2016, che prevede espressamente che un trasferimento dovrebbe essere effettuato solo a opera delle autorità competenti che agiscono in qualità di titolari del trattamento, tranne nel caso in cui i responsabili del trattamento siano esplicitamente incaricati di effettuare un trasferimento a nome dei titolari del trattamento. b) I dati personali sono trasferiti al titolare del trattamento in un Paese terzo o a un'organizzazione internazionale che sia un'autorità competente per le finalità di cui all'art. 1, comma 2. A questo proposito, la definizione di “organizzazione internazionale” è rinvenibile all'art. 2, lett. t) del decreto: “un'organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati”. A titolo esemplificativo, l'Organizzazione internazionale della polizia criminale (Interpol) che, per svolgere la propria missione, riceve, conserva e diffonde dati personali nell'intento di aiutare le autorità competenti a prevenire e combattere la criminalità internazionale. Ne consegue quindi che il l'organizzazione internazionale coinvolta deve essere competente ai sensi delle finalità di cui al decreto (considerando 64 Direttiva 680/2016 e, in senso analogo ICO, Guide to Law Enforcement Processing that applies to those authorities when processing personal data for law enforcement purposes). c) L'autorizzazione preliminare autorizzazione preliminare al trasferimento da parte dello Stato membro conformemente al proprio diritto nazionale. Relativamente a tale presupposto di legittimità al trasferimento dei dati, il considerando 65 della Direttiva 680/2016 aggiunge che gli Stati membri dovrebbero disporre che qualsiasi condizione specifica riguardante il trasferimento sia comunicata ai paesi terzi o alle organizzazioni internazionali. d) L'esistenza di una decisione di adeguatezza da parte della Commissione, a norma dell'art. 32 o, in mancanza, di garanzie adeguate ai sensi dell'art. 33. Viene quindi in risalto l'importanza del concetto di “adeguatezza”, il cui contenuto si è sviluppato nel tempo anche grazie alle sentenze della Corte di giustizia dell'Unione Europea. La norma tuttavia prevede che in assenza di una decisione di adeguatezza o di misure adeguate, i dati potranno essere trasferiti solo in presenza di specifiche circostanze individuate all'art. 34. Al riguardo, si rimanda all'analisi degli artt. 32, 33 e 34 infra, Queste circostanze sono definite dal legislatore quali “deroghe” secondo la giurisprudenza della Corte di giustizia dell'Unione europea, per soddisfare il principio di proporzionalità, una base giuridica che consente ingerenze nei diritti fondamentali deve definire essa stessa la portata della limitazione dell'esercizio del diritto di cui trattasi e prevedere norme chiare e precise che regolino la portata e l'applicazione della misura20. Deroghe alla protezione dei dati personali devono operare nei limiti dello stretto necessario21. Al fine di soddisfare tale prescrizione, oltre a stabilire norme chiare e precise che regolino la portata e l'applicazione della misura in questione, la normativa interessata deve imporre misure di salvaguardia minime, in modo che le persone i cui dati sono trasferiti dispongano di garanzie sufficienti che permettano di proteggere efficacemente i loro dati personali contro il rischio di abusi e) in caso di trasferimento successivo, l'autorizzazione a detto ulteriore trasferimento da parte dell'autorità competente che ha effettuato il trasferimento originario o un'altra autorità competente dello stesso Stato membro caso di trasferimento successivo a un altro Paese terzo o organizzazione internazionale. La condizione in esame nasce dall'esigenza che il controllo dei dati personali sia mantenuto continuamente, anche una volta che i dati personali siano stati trasferiti a un Paese terzo o organizzazione internazionale, al fine di garantire la tutela, anche successiva, delle libertà e diritti degli interessati ed un costante controllo dei dati trasferiti. È necessario, infatti, che sia delineata una “catena di accountability”, facente sempre capo all'autorità originaria che ha, pertanto, il potere di controllare e determinare la legittimità dei trasferimenti dei dati in qualunque flusso successivo (cfr. ICO, Guide to Law Enforcement Processing that applies to those authorities when processing personal data for law enforcement purposes: “Therefore, if the data you transferred is to be subsequently transferred elsewhere, it is important that those rights and freedoms continue to follow the data). In senso analogo già disponeva il considerando 64 della Direttiva 680/2016 che, al riguardo, aggiungeva inoltre, quale fattore pertinente, “la natura e le condizioni dell'esecuzione della sanzione penale”, disponendo altresì che l'autorità originaria potrebbe subordinare il trasferimento successivo a condizioni specifiche, descritte per esempio in codici di gestione. In ogni caso, nel decidere in merito alla richiesta di autorizzazione di un trasferimento successivo, l'autorità competente che ha effettuato il trasferimento originario dovrebbe tenere debitamente conto di tutti i fattori pertinenti, tra cui la gravità del reato, la finalità per la quale i dati sono stati originariamente trasferiti, e il livello di protezione dei dati personali nel paese terzo o nell'organizzazione internazionale verso i quali i dati personali sono successivamente trasferiti (cfr. considerando 65 della Direttiva 680/2016) e pertanto, tali trasferimenti successivi di dati andrebbero consentiti soltanto laddove sia garantita la continuità del livello di protezione offerto dal diritto dell'Unione. In particolare, il destinatario successivo (ossia il destinatario del trasferimento successivo) dovrebbe essere un'autorità competente per fini di contrasto e tali trasferimenti successivi possono avvenire soltanto per finalità limitate e determinate e purché vi sia una base giuridica per tale trattamento (cfr. EDPB Racc. 1/2021). L'EDPB, al fine di rafforzare il controllo sui trasferimenti successivi, evidenzia altresì l'opportunità di valutare meccanismo che consentano alle autorità competenti dello Stato membro interessato di essere informate e di autorizzare il trasferimento successivo dei dati. Ambito di applicazione delle eccezioniL'art. 31 del decreto, infine, prevede un'eccezione ai presupposti di legittimità, stabilendo che ove manchi l'autorizzazione preliminare di cui alla precedente lett. c), il trasferimento può essere solo se necessario per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un Paese terzo o agli interessi vitali di uno Stato membro e qualora l'autorizzazione non possa essere ottenuta con la tempestività richiesta dalla concreta situazione di emergenza. La ratio di questa eccezione, è rinvenibile nell'interesse alla cooperazione internazionale efficace in materia di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali (cfr. considerando 65 della Direttiva 680/2016). In tutti i casi in cui questa eccezione è applicata, è necessario che l'autorità originaria e competente a rilasciare l'autorizzazione preliminare sia informata senza ritardo del trasferimento e delle circostanze dello stesso. |
