Regolamento - 27/04/2016 - n. 679 art. 49 - Deroghe in specifiche situazioni

Consenso esplicito e informato dei rischi

Si verifica se l'interessato ha esplicitamente acconsentito al trasferimento, dopo essere stato informato dei possibili rischi del trasferimento derivanti proprio dalla mancanza di tale decisione (art. 45 GDPR) o di siffatte garanzie (art. 46 GDPR). Si consideri che i termini “esplicitamente” e “informato” sottintendono due elementi: in primis che l'interessato deve essere informato prima del trasferimento e non devono sussistere dubbi sul fatto che il consenso sia stato dato; in secondo luogo che il consenso non sia considerato tale “implicitamente” solo perché l'interessato non si è opposto (anche se previamente informato del trasferimento), poiché ciò non costituisce base di legittimità per l'applicazione della deroga: deve esservi un consenso espresso e specifico, non, si potrebbe dire, per facta concludentia (Bolognini, Pelino, Bistolfi).

Sul carattere esplicito del consenso vedasi anche EDPB, Linee guida 5/2020 sul consenso ai sensi del regolamento 2016/679, par. 4.

Nel caso delle deroghe di cui all'articolo in commento il requisito del consenso “informato” è rafforzato rispetto a quanto necessario per qualsiasi consenso. È infatti necessario che l'interessato sia informato non solo dello specifico trasferimento (inclusa l'indicazione dei destinatari dei dati, dei paesi verso i quali è effettuato il trasferimento, e l'indicazione del consenso quale fondamento giuridico per il trasferimento) ma anche dei rischi derivanti dal trasferimento, del fatto che il Paese di destinazione non offre protezione adeguata e dell'assenza di adeguate garanzie per la protezione dei dati (ad esempio, potrebbe essere menzionata l'assenza di una autorità di controllo o la mancata attuazione dei diritti dell'interessato). Tali informazioni dovranno essere fornite prima di operare il trasferimento e prima di ottenere il consenso, affinché lo stesso sia prestato consapevolmente e la deroga possa applicarsi (cfr. EDPB, LG 2/2018, p. 8).

Esecuzione di un contratto

Si realizza se il trasferimento è necessario all'esecuzione di un contratto concluso tra l'interessato e il titolare o all'esecuzione di misure precontrattuali adottate su richiesta dell'interessato. Si noti che, in presenza della predetta condizione, il considerando 111 specifica che il trasferimento in esecuzione di un contratto, ma effettuato in mancanza delle garanzie di cui agli artt. 45 e 46, può avvenire soltanto se esso è occasionale oltreché necessario all'esecuzione del contratto. Con riferimento al concetto di “necessità”, nel wd. del 25 novembre 2005 il WP29 aveva già evidenziato come sia essenziale effettuare un “test di necessità” (o di necessarietà, si potrebbe dire, a sottolineare come non si stia parlando del “trattamento universalmente unico per raggiungere lo scopo” ma, in tal senso, di una delle soluzioni di trattamento oggettivamente possibili a pari merito con altre) per limitare l'uso della deroga: tale necessità ricorrerà nel caso in cui, per il trasferimento verso un paese terzo non adeguato, vi sia «uno stretto e sostanziale legame fra la persona interessata e le finalità del contratto», che deve essere interpretato come un legame diretto e obiettivo tra i dati trasmessi e l'esecuzione del contratto (o delle misure precontrattuali). Ad esempio, nell'op. 6/02 sui dati PNR, il WP29 ha escluso che tale deroga potesse riguardare i trasferimenti (alle autorità statunitensi) di dati relativi ai passeggeri delle compagnie aeree, dal momento che molti degli stessi dati trasmessi risultano non essere necessari per l'esecuzione del contratto di trasporto. Al contrario, quando le agenzie di viaggio trasferiscono i dati personali dei clienti a strutture preposte all'organizzazione del soggiorno degli interessati, il trasferimento è ammesso sulla base di tale deroga (Bolognini, Pelino, Bistolfi).

Il requisito della necessità è stato confermato dall'EDPB anche nelle linee guida 2/2018, dove si è escluso, ad esempio, il ricorso alla deroga dell'art. 49 GDPR per l'ipotesi di un gruppo societario che decida di centralizzare in un paese terzo la gestione delle risorse umane ed i relativi pagamenti, posto che in tal caso non vi sarebbe alcun collegamento diretto tra il trasferimento dei dati e l'esecuzione del rapporto di lavoro. In generale, la deroga non è utilizzabile nei casi di informazioni aggiuntive non necessarie per l'esecuzione del contratto (cfr. EDPB, LG 2/2018, p. 9).

Al fine di poter utilizzare la deroga in esame il trasferimento, oltre che necessario, deve essere anche “occasionale”: sono esclusi quindi i casi di trasferimenti regolari, ripetuti, sistematici o effettuati nell'ambito di un rapporto stabile. Le linee guida dell'EDPB chiariscono che potrebbe basarsi su tale eccezione la società che trasferisse i dati di un responsabile delle vendite ai clienti extra UE presso i quali lo stesso debba recarsi, al fine di organizzare le riunioni, oppure un istituto di credito nell'Unione Europea che effettui il trasferimento dei dati di un cliente verso un istituto di credito di un paese terzo, al fine di effettuare un pagamento (sempre che il trasferimento non rientri nell'ambito di uno stabile rapporto di collaborazione tra i due). Al contrario, non potrebbe giovarsi della deroga un gruppo multinazionale che organizzasse corsi di formazione in un paese terzo e vi trasferisse sistematicamente i dati dei propri dipendenti che partecipano ai corsi (cfr. EDPB, LG 2/2018, p. 9)

Contratto stipulato con terze parti

Si verifica la condizione se il trasferimento è necessario a concludere o eseguire un contratto stipulato tra il titolare del trattamento e un'altra persona fisica o giuridica, purché tale contratto sia a favore dell'interessato. In questo caso, pur essendo nuovamente ribadito il concetto di necessità, il “test di necessità” (o necessarietà) dovrà riguardare il rapporto fra l'interesse (favore) della persona i cui dati personali sono trasferiti e le finalità del contratto tra le parti diverse (Bolognini, Pelino, Bistolfi).

Le linee guida dell'EDPB fanno l'esempio di un ente che decida di esternalizzare la gestione delle buste paghe dei dipendenti al di fuori dell'Unione Europea: nonostante il trasferimento sia effettuato ai fini della retribuzione del dipendente, non c'è un collegamento diretto tra l'interesse dell'interessato e il trasferimento, quindi, la deroga non si applica (cfr. EDPB, LG 2/2018, p. 10).

Anche in questo caso, inoltre, è necessario che il trasferimento rivesta carattere di occasionalità.

Importanti motivi di interesse pubblico

Questa condizione ricorre, ad esempio, nei casi elencati dal considerando 112, quali lo scambio internazionale di dati tra autorità garanti della concorrenza o di controllo finanziario, tra amministrazioni fiscali o doganali, al fine di erogare servizi in materia di sicurezza sociale o sanità pubblica (es. per malattie contagiose o riduzione/eliminazione del doping nello sport). Si tenga presente che, ai sensi dell'art. 49.4, tali motivi di interesse pubblico devono essere previsti dal diritto dell'Unione o degli Stati membri – non dallo Stato terzo o dall'organizzazione internazionale – anche se il trasferimento è ovviamente volto a far uscire i dati dall'UE. La ragione di una simile distinzione è volta ad evitare che i dati tutelati dalla normativa europea siano trasferiti sulla base di una decisione unilaterale del paese terzo finalizzata a tutelare un suo proprio interesse pubblico, in ragione del quale potrebbe attuare trasferimenti in contrasto con il diritto europeo alla protezione dei dati e in elusione del principio di adeguatezza. Si noti che tale interpretazione viene estesa dal WP29 (wd. 25 novembre 2005) anche agli scambi tra le autorità. Infatti, il WP29 specifica che «questa deroga può essere utilizzata solo se il trasferimento è nell'interesse delle autorità stesse di uno Stato membro dell'UE, e non unicamente nell'interesse di una o più autorità di un paese terzo» (Bolognini, Pelino, Bistolfi).

In particolare, sulla previsione per cui l'interesse pubblico debba essere “riconosciuto dal diritto dell'Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento”, l'EDPB nelle sue linee guida precisa quanto segue: “per l'applicazione della deroga non è sufficiente che il trasferimento di dati sia richiesto (ad esempio da un'autorità di un paese terzo) per un'indagine dettata da un interesse pubblico di un paese terzo che, in senso astratto, esiste anche nel diritto dell'Unione o dello Stato membro. Qualora per esempio un'autorità di un paese terzo richieda un trasferimento di dati per un'indagine mirata alla lotta al terrorismo, la mera esistenza di una normativa dell'Unione o dello Stato membro per la lotta al terrorismo non costituisce un elemento sufficiente all'applicazione dell'articolo 49, paragrafo 1, lettera d), al trasferimento in oggetto. Piuttosto, come già sottolineato in altri frangenti dal gruppo di lavoro “Articolo 29”, predecessore del comitato europeo per la protezione dei dati, la deroga si applica soltanto quando dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento si possa dedurre, in aggiunta, che i trasferimenti in questione sono ammessi per rilevanti finalità di interesse pubblico, anche in virtù della reciprocità per la cooperazione internazionale. L'esistenza di un accordo o di una convenzione internazionale che stabilisca un determinato obiettivo, da favorire con la cooperazione internazionale, può essere un indicatore ai fini della valutazione dell'esistenza di un interesse pubblico ai sensi dell'art. 49, par. 1, lett. d), purché l'Unione europea o gli Stati membri abbiano sottoscritto tale accordo o convenzione” (EDPB, LG 2/2018, p. 11).

Nelle linee guida è inoltre chiarito che, poiché il requisito essenziale della deroga è costituito dall'interesse pubblico (e non dalla natura pubblica o privata delle organizzazioni che trasferiscono i dati) la deroga in oggetto può essere utilizzata anche dagli enti privati oltre che dalle autorità pubbliche.

Esercizio di un diritto per azione legale

Tale condizione comprende anche l'accertamento o la difesa del diritto stesso, anche nelle fasi propedeutiche all'instaurazione dell'eventuale giudizio (sempre che vi sia il rischio dimostrabile, imminente e concreto di sua instaurazione). Si badi che, al pari di quanto previsto per l'esecuzione di un contratto, il trasferimento funzionale all'esercizio, difesa o accertamento di un diritto dovrà essere occasionale e necessario a tal fine (ex considerando 111). Una volta ancora, il concetto di necessità è alla base della deroga: in questo caso, dovrà esservi una stretta connessione tra dati personali trasferiti e finalità dell'azione legale. Si noti che con l'espressione “azione legale”, il considerando 111 specifica che si fa riferimento sia alla sede giudiziale, sia a quella amministrativa o di composizione stragiudiziale di controversie, compreso il caso dei procedimenti avviati dalle autorità di regolamentazione (Bolognini, Pelino, Bistolfi).

L'EDPB chiarisce che in questa deroga possono rientrare “una serie di attività, ad esempio nell'ambito di un'indagine penale o amministrativa in un paese terzo (legge antitrust, corruzione, insider trading e situazioni simili), in cui la deroga può applicarsi a un trasferimento di dati a scopo di difesa oppure per ottenere un'esenzione oppure la riduzione di una sanzione prevista ai sensi di legge, ad esempio nelle indagini antitrust. Possono altresì rientrare nell'ambito di applicazione di questa deroga i trasferimenti di dati nelle procedure formali di produzione dei mezzi probatori in fase pre-processuale (pre-trial discovery), nonché azioni dell'esportatore di dati per l'istituzione di procedure in un paese terzo, ad esempio per l'apertura di un contenzioso o per la richiesta di approvazione di una fusione”, Inoltre, viene sottolineato che “non è ammesso il ricorso alla deroga per giustificare il trasferimento di dati personali sulla base della mera possibilità di eventuali procedimenti giudiziari o procedure formali in futuro” (cfr. EDPB, LG. 2/2018, p. 12).

Quanto al test di necessità del trasferimento, in questo caso i dati trasferiti devono essere collegati allo specifico procedimento, non essendo sufficiente la generica applicabilità astratta ad un determinato tipo di procedimento. È inoltre necessario rispettare il principio di minimizzazione e trasferire solo i dati necessari nella situazione specifica (e non tutti i dati potenzialmente utili per l'instaurazione dell'azione legale) (cfr. EDPB, LG 2/2018, p. 12).

Interesse vitale dell'interessato o di altre persone

Ricorre qualora l'interessato sia fisicamente o giuridicamente incapace di prestare il consenso di cui all'art. 49.1.a): il trasferimento potrà comunque avere luogo se esso è necessario per tutelare gli interessi vitali dell'interessato stesso o di altre persone, come la vita o l'integrità fisica. (Bolognini, Pelino, Bistolfi).

Dato tratto da pubblico registro

Il trasferimento, in questo caso, è soggetto a due condizioni: innanzitutto che esso sia effettuato a partire da un registro che fornisce informazioni al pubblico e che può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, purché il registro sia tale in quanto previsto dal diritto dell'Unione o degli Stati membri. In secondo luogo, il trasferimento può avvenire solo se sussistono i requisiti previsti dal diritto dell'Unione o degli Stati membri per la consultazione del registro. Laddove vi siano condizioni per la consultazione (ad es. nel caso di interesse legittimo) anche la consultazione finalizzata al solo trasferimento sarà sottoposta alla normativa europea o nazionale “di copertura”, cioè alla norma che istituisce e regola il registro o la sua accessibilità. Perciò, seguendo il disposto del considerando 111, il trasferimento non dovrebbe (l'uso del condizionale appare interpretabile come un “a meno che non sia strettamente necessario conoscere il contenuto dell'intero registro”, riproponendo dunque il principio di “necessità” valido per le altre deroghe) riguardare la totalità dei dati o delle categorie di dati ivi contenute. È presente poi, sempre nel considerando 111, una ulteriore precisazione relativa ai casi in cui il registro sia consultabile dalle persone aventi un legittimo interesse: in tal caso, infatti, il trasferimento dei dati può avvenire soltanto se l'avente interesse legittimo lo richiede espressamente (quindi non tramite pubblicazione erga omnes) o costituisce il destinatario dei dati stessi, e comunque tenendo pienamente conto degli interessi e dei diritti fondamentali dell'interessato (Bolognini, Pelino, Bistolfi).

L'EDPB nelle linee guida chiarisce che il registro in questione potrebbe essere in formato cartaceo o elettronico, e che deve avere come finalità la trasmissione di informazioni al pubblico (ad es. registro delle imprese, registri di associazioni, registri catastali o automobilistici, registri del casellario giudiziale). Sono invece esclusi i registri privati, ad esempio quelli per valutare l'affidabilità creditizia (cfr. EDPB. LG. 2/2018, p. 14).

Legittimo interesse del titolare

Vi è solo un caso in cui il trasferimento è ammesso in mancanza di una decisione di adeguatezza ex art. 45, di adeguate garanzie di cui all'art. 46 e in assenza di una delle condizioni di cui all'art. 49.1 primo comma: quello previsto al secondo comma del medesimo articolo e relativo al perseguimento dei legittimi interessi cogenti del titolare del trattamento. Oltre a valere sempre la condizione della prevalenza del predetto interesse rispetto agli interessi o i diritti e le libertà dell'interessato, devono essere contemporaneamente soddisfatti altri tre criteri. Primo, il trasferimento non può essere ripetitivo e deve riguardare un numero limitato di interessati. In secondo luogo, il titolare del trattamento deve aver valutato tutte le circostanze relative al trasferimento e aver fornito garanzie adeguate relativamente alla protezione dei dati considerando i risultati di tale valutazione. Nel rispetto del principio di responsabilizzazione inteso come capacità di dimostrare l'adeguamento e il rispetto dei principi del Regolamento e per finalità connesse all'onere della prova, l'art. 49.6 dispone che il titolare debba indicare nel registro dei trattamenti di cui all'art. 30, sia siffatta valutazione sia le garanzie adeguate fornite a seguito di essa. Terzo e ultimo criterio, il titolare deve informare del trasferimento l'autorità di controllo, nonché, attraverso l'informativa di cui agli artt. 13 e 14, anche l'interessato (cfr. art. 13.1.f del Regolamento). Da notare l'infelicità dell'uso dell'aggettivo “cogente” riferito al legittimo interesse del titolare nelle norme in questione del Regolamento (considerando 113 e art. 49.1 comma 2): infatti, se “cogente” significa – in lingua italiana – “inderogabile” e “obbligatorio”, è evidente che tale termine mal si sposi con il concetto di legittimo interesse, di per sé diverso e distante sia dal concetto di obbligo, sia da quello di diritto (Bolognini, Pelino, Bistolfi).

Un'interpretazione del concetto di “cogenza” è fornita dalle linee guida dell'EDPB, ove si legge: “si osserva inoltre che soltanto gli interessi ritenuti “cogenti” sono rilevanti e tale precisazione riduce notevolmente l'ambito di applicazione della deroga, poiché non vi rientrano tutti i possibili “interessi legittimi” di cui all'art. 6, par. 1, lett. f). La restrizione risulta più incisiva, poiché gli interessi legittimi cogenti devono essere essenziali per il titolare del trattamento. Si consideri, ad esempio, il caso in cui il titolare del trattamento debba trasferire dati personali per proteggere la propria organizzazione o i relativi sistemi da un danno grave e immediato, oppure evitare una pesante sanzione che avrebbe forti ripercussioni sull'attività”. Viene inoltre sottolineato come l'interesse rilevante sia solo quello del titolare del trattamento, e non invece quello dell'eventuale esportatore-responsabile del trattamento o dell'importatore (cfr. EDPB, LG 2/2018, p. 16).

Deroga alle deroghe

L'art. 49.5 GDPR precisa che, in mancanza di una decisione di adeguatezza, pur essendo teoricamente applicabili le deroghe alle condizioni di cui all'art. 49.1, è facoltà dell'Unione o degli Stati membri, con il proprio diritto, fissare limiti al trasferimento di categorie specifiche di dati verso un paese terzo o un'organizzazione internazionale nel caso in cui tale limite venga adottato per importanti motivi di interesse pubblico e notificando alla Commissione l'esistenza di tali limiti.

L'esercizio di pubblici poteri

Le deroghe al divieto di trasferimenti, se non basati su decisione di adeguatezza o garanzie adeguate, riguardanti il consenso esplicito e informato degli interessati o l'esecuzione di contratti (anche conclusi con terze parti) e quelle relative all'interesse legittimo del titolare del trattamento non si applicano alle attività svolte dalle autorità pubbliche se esse trasferiscono i dati in virtù dell'esercizio dei pubblici poteri ex art. 49.3. Tale previsione appare invero pleonastica, ma comunque oggettivamente corretta sul piano letterale: infatti tali deroghe non si applicano non per ridurre il margine d'azione dell'autorità pubblica ma solo in quanto, nel caso di esercizio di pubblici poteri, è evidente in re ipsa che non vi sia alcun bisogno di “deroghe privatistiche” e che la base di legittimità del trasferimento sia da rintracciare nella normativa istitutiva dei poteri pubblici in questione (Bolognini, Pelino, Bistolfi).

Le deroghe: interpretazione e applicazione

Già nel documento di lavoro del 25 novembre 2005, il WP29 aveva formulato alcune osservazioni di notevole importanza rispetto all'applicazione e interpretazione delle deroghe presenti all'art. 26.1 dir. 95/46/CE, oggi introdotte dall'art. 49.1 GDPR. Queste, infatti, devono essere orientate non all'aggiramento della disciplina relativa al trasferimento dei dati, come fossero una scappatoia cui ricorrere in mancanza di una decisione di adeguatezza ex art. 45 o di garanzie adeguate ex art. 46. Il loro obiettivo, in fondo, è sempre quello di garantire la tutela degli interessati i cui dati devono essere trasferiti in paesi terzi o organizzazioni internazionali che non offrono un adeguato livello di protezione. Ma è vero che, pur volendo garantire la massima tutela possibile, le dinamiche del mercato mondiale e l'assetto delle reti di telecomunicazione impongono di bilanciare le predette garanzie con le necessità di mantenere aperti i flussi commerciali che, sempre più spesso, coinvolgono proprio i dati personali.

A detta dello stesso WP29 nel citato documento di lavoro, il maggiore problema rispetto all'applicazione delle deroghe sorge a partire dalla loro interpretazione (diversa all'interno dei singoli Stati membri) che ha condotto nel vigore della dir. 95/46/CE – e potrebbe condurre anche nella vigenza del Regolamento – a ostacolarne l'applicazione uniforme, nonché a indurre i titolari del trattamento ad utilizzarle come opzione principale per il trasferimento. Il rischio evidenziato nel 2005 era proprio quello relativo al c.d. “forum shopping”, cioè alla scelta del luogo di stabilimento più favorevole fra i vari Stati membri, in modo da sfuggire alle interpretazioni più stringenti. La sostanziale differenza, infatti, tra le disposizioni di cui agli artt. 45 e 46 (decisione di adeguatezza e adeguate garanzie) e quelle di cui all'art. 49, risiede nel fatto che le prime assicurano non solo che il trasferimento avvenga unicamente a determinate condizioni ma soprattutto che gli interessati continuino ad essere tutelati rispetto al trattamento dei loro dati anche quando questi sono stati trasferiti. L'art. 49, invece, contiene deroghe al principio di tutela adeguata stabilito all'art. 44 GDPR, consentendo trasferimenti verso paesi terzi che non garantiscono il rispetto del Regolamento. In tal senso, il WP29 rileva che, anche se il ricorso alle deroghe «di per sé, non significa in tutti i casi che il paese di destinazione non garantisca un livello di protezione adeguato, [...] neanche lo assicura. Di conseguenza, per una persona i cui dati siano stati trasferiti, anche col suo consenso, ciò potrebbe implicare una totale assenza di tutela nel paese ricevente». È dunque essenziale una corretta interpretazione delle deroghe come base di legittimità del trasferimento, dal momento che il titolare “esportatore” non è tenuto a garantire che il ricevente fornirà una protezione adeguata, tantomeno l'“importatore” deve soddisfare le condizioni di “adeguatezza”. In effetti, almeno all'apparenza, una tale eventualità potrebbe risultare contraddittoria se si considera che le finalità degli artt. 45 e 46 consistono proprio nell'assicurare il godimento dei diritti e delle libertà fondamentali di cui al Regolamento anche dopo che i dati sono stati trasferiti extra UE. Il WP29 motivava questo dualismo con quanto si affermava poc'anzi, cioè che, date le caratteristiche del commercio mondiale, è necessaria una certa flessibilità nel trasferimento internazionale di dati. Inoltre, per quanto si è detto con riferimento alle diverse condizioni cui è sottoposta ciascuna deroga, è chiaro che esse riguardano un numero molto limitato di situazioni. In effetti, lo stesso WP29 nel lontano 1998, con il wd. del 24 luglio, evidenziava che «queste deroghe, che sono descritte dettagliatamente, riguardano soprattutto casi in cui i rischi per l'interessato sono ridotti o in cui altri interessi (interessi pubblici o quelli della persona stessa cui i dati si riferiscono) prevalgono sul diritto dell'interessato alla riservatezza. In quanto deroghe a un principio generale, devono essere interpretate in modo restrittivo. Inoltre, nella legislazione nazionale gli Stati membri possono stabilire che le deroghe non si applicano in determinati casi. Ciò può succedere, ad esempio, quando è necessario tutelare gruppi di individui particolarmente vulnerabili, come i lavoratori o i pazienti». Ecco, dunque, che tali deroghe non possono né devono essere lette dai titolari del trattamento come prima scelta nell'individuazione della base di legittimità del trasferimento. Si può, in tal senso, citare l'art. 2.2.a) del Protocollo aggiuntivo alla Convenzione n. 108/1985, il quale puntualizza che anche se «le parti hanno un margine di discrezionalità nel determinare le deroghe al principio del livello adeguato di protezione [...] le pertinenti norme interne devono tuttavia rispettare il principio inerente al diritto europeo che consiste nell'interpretare le clausole d'eccezione in maniera restrittiva, affinché l'eccezione non diventi la regola».

Si consideri, peraltro, che tutti i trattamenti, compresi i trasferimenti effettuati ex art. 49.1, sono e rimangono comunque soggetti ai principi di legittimità del trattamento di cui all'art. 5.1 del Regolamento, tra cui rientrano proprio quelli di liceità, correttezza e trasparenza (cfr. art. 5.1.a). Parimenti, i trasferimenti, quandanche effettuati ex art. 49.1, non dovrebbero mai portare a una violazione dei diritti fondamentali dell'interessato poiché, pur deroganti al principio di tutela adeguata, le condizioni dell'art. 49.1 non costituiscono una deroga al rispetto dei diritti fondamentali. Anzi, tali deroghe sono state introdotte dapprima con la dir. 95/46/CE e poi con il Regolamento poiché considerate compatibili, o meglio bilanciabili, proprio con la tutela dei diritti fondamentali della persona e con la libera circolazione dei dati personali (Bolognini, Pelino, Bistolfi).

La necessità di interpretazione restrittiva delle deroghe è stata di recente ribadita dal WP29, nella sua nuova veste di European Data Protection Board, nelle linee guida 2/2018, che suggeriscono un approccio a più livelli: in primo luogo dovrà essere valutato se il paese terzo fornisca un livello di tutela dei dati adeguato; ove non risulti tale, l'esportatore dovrà verificare la possibilità di offrire opportune garanzie (con i meccanismi di cui agli artt. 45 e 56 GDPR); infine, solo ove ciò non sia possibile, si potrà ricorrere alle deroghe di cui all'art. 49 GDPR. Infatti “le deroghe di cui all'art. 49 sono pertanto eccezioni al principio generale secondo cui i dati personali possono essere trasferiti verso paesi terzi soltanto in presenza di adeguate garanzie nel paese terzo, oppure qualora siano state addotte garanzie adeguate e l'interessato goda di diritti effettivi e azionabili, affinché possa continuare a beneficiare dei diritti fondamentali e delle garanzie. Per tali motivi, e in conformità con i principi del diritto europeo, le deroghe devono essere interpretate in maniera restrittiva, affinché l'eccezione non diventi la regola. Tale posizione è confermata anche dalla formulazione del titolo dell'art. 49, secondo cui le deroghe si applicano soltanto in situazioni specifiche (“Deroghe in specifiche situazioni”)” (cfr. EDPB, LG 2/2018, p. 4).

Peraltro, sempre con riferimento all'approccio a più livelli, l'EDPB evidenzia come l'esportatore debba essere in grado di “dimostrare seri tentativi in tal senso”. Ad esempio dovrà dimostrare che l'importatore ha espressamente rifiutato di sottoscrivere le clausole tipo di protezione dei dati di cui all'art. 46 e che non vi sono altre opzioni possibili, inclusa la scelta di altro importatore (cfr. EDPB, LG 2/2018, p. 16).

Infine le linee guida sottolineano come tali deroghe possano essere utilizzate solo in caso di trasferimenti “non ripetitivi” e “occasionali”, che si realizzano “al manifestarsi di condizioni casuali e ignote e a intervalli di tempo arbitrari”, con esclusione invece dei casi in cui vi sia un rapporto stabile tra esportatore e importatore. Per quanto, infatti, l'art. 49 preveda espressamente il requisito dell'occasionalità solo per alcune delle situazioni previste (contratto e sede giudiziaria), anche le altre situazioni devono essere interpretate in modo restrittivo, come eccezioni alla regola, in modo da non contraddire la natura stessa della deroga (cfr. EDPB, LG. 2/2018, p. 4-5).

L'interesse vitale dell'interessato o di altre persone: una questione (soltanto) di salute?

Il wd. del 25 novembre 2005 aveva interpretato la deroga di cui all'articolo 26.1.e) – oggi corrispondente all'art. 49.1.f) che l'ha, tuttavia, estesa anche alla salvaguardia della vita di altre persone – come applicabile solamente «nel caso in cui i dati debbano essere trasmessi per un'urgenza medica, qualora siano reputati direttamente necessari per la somministrazione delle cure richieste», ad esempio se l'interessato non è cosciente e si trova in un paese terzo, ma solo il suo medico curante stabilito nell'UE dispone dei dati personali necessari alla corretta somministrazione delle cure (ad es. dati genetici). In sostanza, il trasferimento ex art. 49.1.f), letto alla luce del wd. del 2005, «quando riguarda dati medici, deve essere necessario per una diagnosi fondamentale. Di conseguenza, questa deroga non potrebbe essere utilizzata per giustificare trasferimenti di dati medici personali a responsabili di cure stabiliti al di fuori dell'UE, se la loro finalità non è quella di assistere la persona interessata nella particolare circostanza». Il Regolamento, invece, al considerando 112 ha introdotto due ulteriori eventualità di natura “umanitaria” (valide anche per i trasferimenti per importanti motivi di interesse pubblico di cui all'art. 49.1.d) per cui possono essere considerati “necessari” i trasferimenti ma solo con riferimento all'interesse vitale dell'interessato a cui si riferiscono i dati (non di altre persone): se l'interessato è fisicamente o giuridicamente impossibilitato a prestare il proprio consenso ai fini dell'esecuzione di un compito derivante dalle quattro convenzioni di Ginevra in materia di vittime di guerra e diritto internazionale umanitario; o se un tale impedimento non gli consenta di prestare il consenso al trasferimento al fine di rispettare il diritto internazionale umanitario applicabile nei conflitti armati. Pertanto, appare non più esaustiva l'interpretazione data dal WP29 nel wd. del 25 novembre 2005, dovendosi estendere la portata della deroga ex art. 49.1.f) anche alle eventualità di cui al considerando 112 (Bolognini, Pelino, Bistolfi).

Le linee guida dell'EDPB confermano che, nel caso di dati sanitari, il trasferimento verso un paese extra UE può essere fondato sull'articolo in commento solo ove sia correlato ad una specifica prestazione medica rivolta all'interessato o ad un terzo (e non, ad esempio, nel caso di una generica ricerca medica che produrrà vantaggi futuri). Tuttavia, l'ambito del trasferimento lecito ai sensi della deroga è esteso anche alla tutela dell'integrità mentale del soggetto. Inoltre il trasferimento è possibile in casi di calamità naturali, se necessario per operazioni di salvataggio e recupero: in caso di eventi quali terremoti e alluvioni sarebbe giustificato il trasferimento urgente di informazioni sulle vittime, che non possono prestare il consenso, al fine di individuarne la posizione (cfr. EDPB, LG. 2/2018, p. 14).

Presupposto della deroga è, comunque, che l'interessato sia nell'impossibilità fisica, mentale o giuridica di prestare il proprio consenso al trasferimento dei dati personali, che deve essere dimostrata documentalmente. Qualora invece sia possibile chiedere il consenso del soggetto, non è ammesso il ricorso a tale deroga. Le linee guida in proposito fanno l'esempio di una richiesta di dati personali per evitare uno sfratto e precisano che, nonostante il disporre di un'abitazione possa essere considerato un interesse vitale, il trasferimento per tale fine non potrebbe basarsi sull'art. 49, trattandosi di un caso in cui può essere chiesto il consenso dell'interessato (cfr. EDPB, LG. 2/2018, p. 14).