Il trasferimento di dati personali appartenenti a cittadini europei verso Paesi non appartenenti allo Spazio Economico Europeo oppure verso un’organizzazione internazionale – quindi parliamo di un flusso transfrontaliero dei dati, cioè il trasferimento di dati personali verso un destinatario soggetto a una giurisdizione straniera – sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’Organizzazione sia riconosciuta tramite decisione della Commissione europea.
Si tratta quindi di trasferimento sulla base di una decisione di adeguatezza ai sensi di quanto indicato al Capo V del GDPR (Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali) e, in particolare, all’Art. 45 del GDPR. A oggi i Paesi adeguati sono: Andorra, Argentina, Australia (limitatamente al trasferimento dei dati del codice di prenotazione – Passenger Name Record, PNR – da parte dei vettori aerei), Canada, Fær Øer, Giappone, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay, USA (limitatamente al trasferimento dei dati del codice di prenotazione – Passenger Name Record, PNR – da parte dei vettori aerei, in quanto con la sentenza Scherms II del 16 Luglio 2020 della Corte di Giustizia dell’Unione Europea è venuta meno la decisione di adeguatezza del Privacy Shield).
In assenza della decisione di adeguatezza, il trasferimento di dati personali è consentito se il Titolare e il Responsabile del trattamento dei dati forniscono garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (Art. 46 GDPR). In questa seconda ipotesi si possono verificare due casi: garanzie senza autorizzazione del Garante per la protezione dei dati e garanzie previa autorizzazione del Garante. Il primo caso riguarda: gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici, le norme vincolanti d’Impresa, le clausole tipo, i codici di condotta e i meccanismi di certificazione. Il secondo: le clausole contrattuali ad hoc e gli accordi amministrativi tra Autorità o Organismi pubblici.
In questo articolo prenderemo in considerazione l’evoluzione relativa al trattamento dei dati personali in Cina, India, Brasile e Russia (nessuno dei quali adeguato per la Commissione europea) e il trasferimento di dati personali dei cittadini dei quattro Paesi verso l’UE. Minimo comune denominatore nei quattro Paesi è che al trattamento dei dati personali dei loro cittadini corrisponde la necessità di adeguate informative e richieste di consenso quando non ricorrono altre basi giuridiche.
Trasferimento dati extra-Ue, Scorza (Garante Privacy): “Abbiamo un problema, anzi tre”
Il trasferimento di dati all’estero in mancanza di una decisione di adeguatezza
In mancanza di una decisione di adeguatezza (Art. 45 par. 3 GDPR) o di garanzie adeguate (Art. 46 GDPR) è comunque ammesso il trasferimento di dati personali all’estero – Paese terzo o Organizzazione internazionale – in specifiche situazioni elencate nell’Art. 49 GDPR:
- l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
- il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
- il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
- il trasferimento sia necessario per importanti motivi di interesse pubblico;
- il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
- il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
- il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri.
Per operare un trasferimento di dati all’estero occorre quindi:
- una base giuridica, nel rispetto delle disposizioni del GDPR;
- ottemperare alle disposizioni di cui al Capo V del GDPR.
Focus Brexit
Per inciso, dal primo gennaio 2021 il Regno Unito ha lasciato l’Unione europea ma, in base all’Accordo commerciale e di cooperazione del 30 Dicembre 2020 fra Regno Unito e Unione Europea, il primo continuerà ad applicare il GDPR fino al 30 Giugno 2021. Nel frattempo, il Governo del Regno Unito e la Commissione europea si sono impegnati a lavorare su reciproche decisioni di adeguatezza. Se così non fosse dovranno essere applicate tutte le disposizioni del Capo V GDPR. Tempo stretti immaginando l’impatto, ad esempio, sui prodotti/servizi finanziari e assicurativi.
Trasferimento dei dati verso il Regno Unito post-Brexit: quali conseguenze con il nuovo anno
L’impatto sulla nostra quotidianità
Tutte le considerazioni precedenti rilevano in molte situazioni che ormai fanno parte della nostra vita quotidiana.
Ad esempio, quando installiamo un’applicazione (molte sono di Aziende che hanno sede negli Usa o in altri Paesi non ritenuti adeguati (Telegram ha sede a Dubai) difficilmente siamo a conoscenza del luogo effettivo del trattamento dei dati e delle cosiddette integrazioni verticali (ad esempio Facebook/Whatsapp) e queste app hanno la possibilità di accedere ai contatti presenti sui nostri smartphone o tablet; la stessa cosa accade quando installiamo un software per la condivisione di documenti che possono contenere anche dati personali e quando trasferiamo i nostri dati in cloud.
Fatta questa premessa, passiamo a esaminare i Paesi a cui abbiamo accennato.
La Cina
Negli anni passati in Cina non esisteva una normativa adeguata in materia di protezione di dati personali e non erano mai stati stipulati accordi con la UE (vedi interrogazione alla Commissione europea n. O-00091/2016). Nel frattempo, è enormemente cresciuto lo scambio di dati personali tra la UE e la Cina, una realtà aggravata da una politica commerciale aggressiva da parte della Cina, che ha anche creato una zona internazionale offshore di cloud computing a Chongqing e ha aperto una zona di libero scambio a Shangai agli investitori stranieri, nel cui ambito le Aziende cinesi, come Alibaba, svolgono un ruolo fondamentale.
Nel Paese che ha oltre 1 miliardo di utenti internet, 5 milioni di siti web e oltre 3,5 milioni di app, tra le quali la nota Wechat (con la quale si può fare quasi tutto: chat, prenotazioni, beneficenza, ricerche, condivisioni, ecc.), sistemi di vigilanza e controllo che compromettono i diritti individuali – è il Paese con il maggior sistema di videosorveglianza e di riconoscimento facciale al mondo – nell’ottobre 2020 i parlamentari hanno incominciato a discutere la Legge sulla tutela delle informazioni personali – Personal Information Protection Law (PIPL) – apparentemente ispirata dal GDPR e qualche somiglianza effettivamente c’è e alcuni concetti sono stati presi copiati – per regolamentare la raccolta e l’uso di dati personali.
La proposta di legge – presentata all’Assemblea nazionale del popolo (che si riunisce una volta all’anno) in data 22 Maggio 2020 e che ha concluso il periodo di consultazione 19 Novembre 2020 – che andrebbe a novellare il Codice civile, sostiene che il consenso dell’interessato dovrebbe essere ottenuto sulla base della notifica preventiva per il trattamento delle informazioni private, che gli interessati devono avere il diritto di revocare il loro consenso e che, in caso di modifiche del trattamento, il consenso deve essere nuovamente ottenuto. Secondo il disegno di Legge, prima di trattare le informazioni personali, il “responsabile del trattamento” dovrà informare la persona interessata su aspetti fino a oggi trascurati come l’identità e le informazioni di contatto del “responsabile del trattamento”, le finalità e le modalità di utilizzo, il tipo di dati personali da trattare e il periodo di conservazione. Il tutto in maniera evidente e con linguaggio chiaro e comprensibile. Forse sarebbe da precisare meglio la definizione di dato particolare. Ma è nell’introduzione al disegno di legge che si riconosce come la protezione dei dati personali sia diventata una delle questioni più importanti e concrete che toccano le persone comuni. Tutto questo è un’assoluta novità per un Paese dal regime dittatoriale noto a tutti, ma molti pensano che sia un’operazione di facciata, anche perché il regime sanzionatorio previsto è blando e poco severo se confrontato con le sanzioni del GDPR: sanzioni pecuniarie [confisca dei guadagni illeciti o fino a 50 milioni di Renminbi (circa 6,3 mln di Euro) o il 5% del reddito dell’anno precedente e fino a 1 mln di Renminbi (circa 127.000 Euro) per i DPO) o interdittive (sospensione attività, revoca di licenze). Comunque, possiamo ritenerlo un passo avanti rispetto allo standard per il trattamento dei dati personali, di fatto recepibile volontariamente, vigente fino a oggi. Non sono ancora noti i tempi di attuazione della Legge ma è opportuno per le Aziende europee con sede in Cina e per quelle con operazioni commerciali con persone o Aziende “residenti” in Cina analizzare gli impatti delle reciproche normative.
Particolare attenzione deve essere posta al trasferimento di dati personali di cittadini cinesi trasferiti al di fuori del loro Paese. Per tale trasferimento transfrontaliero le Aziende devono soddisfare almeno una delle seguenti condizioni:
- superamento della valutazione di sicurezza organizzata dall’amministrazione statale cinese per il cyberspazio
- certificazione di un ente terzo della conformità con le disposizioni dell’amministrazione statale cinese del cyberspazio in materia di protezione dei dati personali
- conclusione di un contratto con un destinatario estero che specifichi i diritti e gli obblighi di entrambe le parti e abbia supervisionato il trattamento dei dati personali del destinatario per garantire che i trattamenti da parte dello stesso soddisfino gli standard della normativa vigente
- soddisfacimento delle altre condizioni previste dalle leggi, dai Regolamenti amministrativi o dall’amministrazione statale cinese per il cyberspazio.
Se però i dati sono riferibili a settori strategici (tlc, servizi informativi, energia, trasporti, conservazione dell’acqua, finanza, servizi pubblici, e-government) i dati personali non possono lasciare il territorio cinese a meno che non si superi la valutazione di sicurezza organizzata dall’amministrazione statale cinese per il cyberspazio.
In assenza di tali requisiti anche l’accesso da remoto ai dati personali è vietato.
L’India
La situazione in India è molto differente da quella cinese. L’India è un Paese democratico e il GDPR è stato assunto effettivamente – seppur con qualche possibilità derogatoria – come modello di riferimento quindi potremmo attenderci una sorta di reciprocità sui trattamenti transfrontalieri.
La posizione indiana sui diritti individuali, compreso il diritto alla privacy – inteso anche come diritto alla protezione dei dati personali – sono stati riconosciuti dalla Corte suprema indiana come parte intrinseca del diritto fondamentale alla vita garantito dall’Art. 12 Costituzione indiana. Inoltre, la massima Corte indiana ha specificatamente esteso tale diritto anche ai cittadini di altri Paesi che possono, quindi, presentare reclami contro gli illegittimi trattamenti.
La sentenza della Corte suprema ha stimolato anche la presentazione del Personal Data Protection Bill (PDPB) – presentato l’11 dicembre 2019 dal Ministro dell’elettronica e informatica nella Camera bassa del Parlamento nazionale e, seguendo il complesso iter normativo indiano è diventato un disegno di legge – che andrà a sostituire l’Information Tecnology Act del 17 ottobre 2000 (per ciò che riguarda il trattamento dei dati personali) che a oggi rappresenta il quadro di riferimento normativo.
Tra le altre cose il disegno di legge prevede l’istituzione di una Autorità nazionale per la protezione dei dati – oggi geneticamente poco indipendente – che dovrà garantire la corretta applicazione delle deroghe all’applicazione del PDPB quando ricorra una dei seguenti presupposti: interessi della sovranità e dell’integrità nazionale, sicurezza e ordine pubblico e mantenimento delle relazioni internazionali. Forse una regolamentazione del bilanciamento fra i vari “interessi” e il diritto alla protezione dei dati personali sarebbe stata auspicabile.
Il Brasile
In Brasile, il 18 Settembre 2018, è entrata in vigore la Legge 13.709 conosciuta come Lei General da Proteção de Dados (LGPD) sulla quale, alla fine del mese di agosto 2020, a causa della pandemia Covid-19, era pendente una proposta di rinvio dell’entrata in vigore. Proposta non approvata e quindi LGPD e relativo regime sanzionatorio in vigore dalla data prevista del primo agosto 2021.
La LGDP è stata esplicitamente ispirata dal GDPR e, come nel caso dell’India, il trattamento transfrontaliero dei dati personali avverrà in un regime di reciprocità. Resta da attendere la decisione di adeguatezza ad oggi non deliberata e, in mancanza della quale, trova applicazione l’Art. 46 GDPR e la sua reciprocità per il trattamento di dati personali dei cittadini della Federazione Brasiliana. Infatti, il legislatore brasiliano ha ben compreso che l’entrata in vigore del GDPR in UE nel 2016, in mancanza di una regolamentazione analoga in Brasile, avrebbe potuto avere impatti negativi sugli scambi commerciali tra le due entità.
In Brasile le sanzioni irrogabili per il mancato rispetto della LGPD sono analoghe a quelle previste nel GDPR.
La Russia
In una situazione completamente diversa ci troviamo nell’autoritaria Federazione russa.
Nella Federazione russa, con la Legge n. 1070431-7 del 23 dicembre 2020, la Duma ha emendato le Leggi federali sulla privacy (Legge federale n. 152-FZ del 27 luglio 2006 la c.d. PD Law adottata in seguito alla ratifica della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale dal Consiglio Europa del 1981). Tali modifiche entreranno in vigore nel mese di marzo 2021 rinforzando la protezione dei dati personali dei cittadini russi chiarendo i requisiti per la raccolta del consenso e rafforzando il diritto all’oblio e il diritto alla revoca del trattamento.
Ma, di grande interesse per l’argomento che sto trattando, è la modifica apportata alla medesima Legge federale n. 152-FZ il 9 luglio 2014 da una legge di pari rango, la n. 242-FZ (Data Localisation Law), che ha introdotto l’obbligo per coloro che raccolgono i dati personali dei cittadini russi di archiviare tali dati personali utilizzando esclusivamente database localizzati in Russia «to secure the recording, systematization, accumulation, storage, updating, extraction of personal data of citizens of the Russian Federation using datbases located on territory of the Russian Federation». Una pietra tombale sui trasferimenti transfrontalieri e la libera circolazione dei dati personali.
Il regime sanzionatorio previsto in Russia arriva fino a un massimo di 18 milioni di rubli (circa 201.000 Euro) ma la gran parte delle sanzioni ammontano a 75.000 rubli (circa 840 euro) e le Autorità che si occupano degli accertamenti sulle violazioni relative al trattamento di dati personali sono la Federal Service for Supervision in the Sphere of Comunication, Information Technology and Mass Comunication (che è la vera e propria Autorità garante per la protezione dei dati personali: Roskomnadzor), la Federal Service for Technical and Export Control e la Federal Security Service.
Da ricordare che in Russia oltre alla PD Law esistono una serie di discipline specifiche relative a sanità, credito, legale, lavoro, famiglia e commercio.
Conclusioni
Da quanto esposto appare evidente che ci troviamo di fronte a situazioni sensibilmente differenti a proposito ti trattamenti transfrontalieri dei dati dei cittadini dei Paesi che presi in esame. La Cina che affronta tale trattamento frapponendo una complessità autorizzativa demandata allo Stato. L’India e il Brasile che, adottando regole ispirate al GDPR, consentiranno tali trattamenti in un clima di reciprocità in merito alla decisione di adeguatezza e, in alternativa, di analoghe garanzie rispetto a quelle indicate dall’art. 46 del GDPR. Mentre la Russia dal 9 luglio 2014 in poi ha bloccato qualsiasi trasferimento di dati dei suoi cittadini al di fuori dei propri confini.