Regolamento - 27/04/2016 - n. 679 art. 96 - Rapporto con accordi precedentemente conclusi

Inquadramento

L'art. 96 del GDPR lascia impregiudicate le disposizioni degli accordi internazionali tra gli Stati membri e i paesi terzi o organizzazioni internazionali che comportano e/o disciplinano il trasferimento di dati personali, conclusi prima del 24 maggio 2016 e sulla base dei diritti dell'Unione precedentemente applicabile.

Al riguardo, il GDPR (considerando 102) aggiunge tuttavia che la citata previsione di “conservatività” (inserita nel testo del GDPR nella formulazione in esame a seguito del Parere del Garante Europeo per la Protezione dei Dati (EDPS) del 7 marzo 2012 sul pacchetto di riforma, che invitava a limitare l'estensione della conservazione degli accordi internazionali circoscrivendola solo a quelli già precedentemente conclusi e a prevedere un termine di revisione periodica degli stessi) vale a condizione che tali accordi non incidano sulle disposizioni, obblighi e diritti di cui al GDPR o a qualsiasi altra disposizione del diritto dell'Unione, e includano un adeguato livello di protezione per i diritti fondamentali degli interessati.

Secondo gli orientamenti delle autorità europee e nazionali, tra gli accordi internazionali citati rientrano certamente i trattati bilaterali di mutua assistenza giudiziaria (c.d. mutual legal assistance treaty o MLAT): essi in particolare, ai sensi dell'art. 48 del GDPR, sono idonei a fondare il carattere esecutivo di eventuali sentenze di autorità giurisdizionali o decisioni di autorità amministrative di paesi terzi che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento situato in uno Stato membro. In questo senso, l'esistenza di un accordo o di una convenzione internazionale che stabilisca simili obiettivi, da favorire con la cooperazione internazionale, rappresenta un indicatore ai fini della valutazione dell'esistenza di un interesse pubblico che legittimi in trasferimento, ai sensi dell'art. 49 del GDPR (Si cita, in particolare, EDPB Lg. 2/2018 sulle deroghe di cui all'art. 49 del Regolamento 2016/679, adottate il 25 maggio 2018; Garante, Guida sull'applicazione del Regolamento; considerando 115).

A titolo esemplificativo, a livello nazionale ricadono negli “accordi internazionali che comportano il trasferimento di dati personali verso Paesi terzi” i flussi di informazioni e dati che la CONSOB invia ad analoghe autorità di vigilanza di altri Paesi in attuazione del d.lgs. 24 febbraio 1998, n. 58 (Testo unico delle disposizioni in materia di intermediazione finanziaria, c.d. “TUF”). Ai sensi di tale regolamentazione, infatti (art. 4), la Banca d'Italia e la CONSOB possono cooperare, anche mediante scambio di informazioni, con le autorità competenti di Stati extracomunitari, naturalmente a condizione che siano presenti specifiche cautele, che presuppongono, in particolare, l'esistenza nel Paese destinatario di un segreto d'ufficio di livello almeno equivalente a quello previsto dalla normativa europea, nonché l'obbligo di utilizzare le informazioni trasferite per le sole finalità previste dagli accordi di cooperazione. Nel contesto di questo quadro di riferimento, per esempio, nel mese di novembre 2016 la CONSOB e il Public Accounting Oversight Board statunitense (c.d. PCAOB) hanno stipulato un accordo internazionale di cooperazione (in particolare, “Statement of Protocol between the Public Accounting Oversight Board of the United States and the Commissione Nazionale per le Società e la Borsa of Italy” del 16 novembre 2016) avente lo scopo di disciplinare la collaborazione fra tali soggetti nell'ambito delle attività di supervisione, ispezione e investigazione dei revisori soggetti alla giurisdizione della CONSOB e PCAOB: tale accordo contiene un dettagliato allegato avente per oggetto la regolamentazione dei flussi e finalità di trasferimento dei dati personali tra i due enti ai sensi del GDPR e della normativa italiana, ed è stato espressamente riconosciuto dalla Commissione europea (cfr. Decisione C-2016, 4364 del 14 luglio 2016, che disciplina le condizioni per la semplificazione dei rapporti tra le autorità appartenenti all'UE e ai Paesi terzi), tenendo altresì conto del trasferimento al PCAOB dei documenti di lavoro di revisione o altri documenti detenuti da revisori legali o imprese di revisione contabile contenenti dati personali. A questo riguardo, la Commissione ha riconosciuto che le autorità competenti degli Stati Uniti (tra cui il PCAOB) prevedono un livello adeguato di garanzie per gli interessati.

Ferma restando la conservatività degli accordi internazionali conclusi prima del 24 maggio 2016 o del 6 maggio 2016, l'EDPB con la Dichiarazione 4/2021 evidenzia che, allo scopo di assicurare che il livello di protezione delle persone fisiche garantito dal GDPR, e dalla Law Enforcement Directive (“LED”) sia opportuno prendere in considerazione l'obiettivo di allineare tali accordi ai requisiti del GDPR e della LED in particolare per quanto concerne i trasferimenti di dati, qualora ciò non sia ancora avvenuto, invitando pertanto gli Stati membri a valutare e, se necessario, a rivedere i loro accordi internazionali che comportano trasferimenti internazionali di dati personali, come quelli relativi alla fiscalità (ad esempio allo scambio automatico di dati personali a fini fiscali), alla previdenza sociale, all'assistenza giudiziaria reciproca, alla cooperazione di polizia, ecc., conclusi prima del 24 maggio 2016 (per gli accordi rilevanti ai fini del GDPR) o del 6 maggio 2016 (per gli accordi rilevanti ai fini della LED). Tale riesame dovrebbe essere effettuato al fine di determinare se, nel perseguimento degli importanti interessi pubblici contemplati dagli accordi, possa essere necessario un ulteriore allineamento all'attuale legislazione e alla giurisprudenza dell'Unione in materia di protezione dei dati, nonché agli orientamenti dell'EDPB. In particolare, nel dicembre 2020 l'EDPB ha pubblicato le lg 2/2020 sull'articolo 46, paragrafo 2, lettera a), e sull'articolo 46, paragrafo 3, lett. b), del regolamento (UE) 2016/679 per i trasferimenti di dati personali tra autorità e organismi pubblici del SEE e di paesi non appartenenti al SEE. Tali linee guida fissano gli standard di conformità al GDPR per quanto riguarda le garanzie da includere negli strumenti giuridicamente vincolanti o negli accordi amministrativi tra organismi pubblici.

Bibliografia

Riccio, Scorza, Belisario (a cura di), GDPR e normativa privacy commentario, Milano, 2018, 674; Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali: Il Regolamento europeo 2016/679, Torino, 2016.