Trasferimento di dati in Russia: più deroghe che garanzie adeguate
Il tema del presente contributo è il turbamento o la modificazione che la guerra iniziata lo scorso 24 febbraio (con le reazioni che ne sono seguite da parte della Unione Europea in termini di provvedimenti di divieti di vendite e/o acquisti, di esportazioni ed importazioni di determinati beni e/o servizi) abbia prodotto e produrrà anche in fatto di trasferimenti di dati personali, sotto il profilo giuridico e con riguardo ai rischi concreti che possono/potrebbero correre i dati personali oggetto di trasferimento (e i diritti degli interessati, naturalmente).
(Nella foto: l'Avv. Paolo Marini, è il curatore della Circolare N.3-2020 di Federprivacy sulla disciplina sul trasferimento dei dati personali extra-UE)
La prima preoccupazione dei titolari dovrebbe volgersi ad una disamina di ciò che la relativa organizzazione al momento esegua/attui ovvero utilizzi e/o abbia programmato di utilizzare. Il conflitto in corso si combatte a vari livelli e, come è noto, coinvolge a pieno titolo sia il mondo dell'informazione sia quello delle informazioni e dei relativi flussi in entrata e in uscita, incanalandoli entro un controllo sempre più stringente. I titolari si dovrebbero, per esempio, domandare quali trasferimenti possano/potrebbero essere inavvertitamente attuati, mediante l'uso di determinati software o applicazioni (forse) non sufficientemente 'indagati' quanto a proprietà e caratteristiche (nazionalità dei provider, particolari clausole contrattuali, effettivi destinatari dei dati, ubicazioni dei server, ecc.).
Come è evidente, la drammatica involuzione in corso non può essere sottovalutata.
A mitigare - se così si può dire – lo scenario a tinte fosche sia ricordato che la Russia (o Federazione Russa) non è mai entrata, alla stregua di altre potenze come la Cina e l'India, nel novero dei Paesi adeguati ai sensi dell'art. 45. La patente di adeguatezza è una sorta di 'mi piace' apposto come un bollino UE sull'ordinamento giuridico di uno Stato (o di un suo territorio o settore, art. 45.1) al termine di un processo di analisi e valutazione assai complesso da parte della Commissione. Complesso e anche vasto perché, in sintesi, deve spaziare dallo stato di diritto all'esistenza e all'effettiva operatività di una o più autorità di controllo, fino agli impegni internazionali assunti dal Paese terzo.
Quando l'ordinamento giuridico complessivo del Paese terzo risulti privo di una serie di rilevanti istituti/requisiti, ciò significa che esso non potrà garantire quel livello di "protezione adeguato" che consentirebbe il trasferimento dei dati senza adozione di alcuna misura specifica (alla stregua di una comunicazione di dati tra operatori stabiliti in Paesi appartenenti all'Unione Europea/Spazio Economico Europeo). E la Commissione non gli attribuirà la (qui denominata) 'patente' di adeguatezza.
Così stando le cose, il potenziale esportatore, per poter avviare attività implicanti un trasferimento di dati nel Paese terzo, è tenuto in seconda battuta a verificare la possibilità di ricorrere ad uno degli strumenti offerti dalla 'batteria' dell'art. 46. Tra i detti strumenti campeggiano le clausole tipo di protezione dei dati adottate dalla Commissione e le norme vincolanti d'impresa ma, ricordiamolo, da soli non bastano.
Che cosa ha affermato la CGUE nella cosiddetta sentenza "Schrems II" del 16 luglio 2020? Ha stabilito che la valutazione richiesta (all'esportatore di dati) nel contesto di un trasferimento verso un importatore extra-UE, debba prendere in considerazione tanto le misure ex art. 46 da convenire tra gli aspiranti contraenti, quanto, per quel che riguarda un eventuale accesso delle autorità pubbliche del Paese terzo ai dati personali trasferiti, gli elementi rilevanti del sistema giuridico di quest’ultimo. Ed ha aggiunto senza giri di parole che “relativamente a quest’ultimo aspetto, gli elementi che occorre prendere in considerazione nel contesto dell’articolo 46 (...) corrispondono a quelli enunciati, in modo non esaustivo, all’articolo 45, paragrafo 2, di detto regolamento”; gli stessi elementi, per intendersi, oggetto di analisi e valutazione da parte della Commissione.
Posto che le "garanzie adeguate" hanno per lo più natura pattizia, cioè contrattuale, esse non sono sufficienti a garantire che i dati, una volta trasferiti, non subiscano un calo anche drastico del livello di protezione, con conseguente pregiudizio per i diritti e le libertà degli interessati, a causa dell'intervento di soggetti terzi (le autorità pubbliche, per lo più).
Caso tipico è quello della adozione di programmi di sorveglianza, di ingerenze nei diritti fondamentali dei singoli mediante l'accesso ai dati ed ai loro trattamenti per soddisfare esigenze di sicurezza nazionale o altri interessi pubblici ritenuti preminenti, nella sostanziale assenza di meccanismi di controllo indipendenti.
Ciò premesso, è abbastanza agevole supporre che agli effetti di un trasferimento di dati verso la Russia – beninteso, in settori di attività ove sia ancora possibile stringere rapporti contrattuali e dare vita a scambi commerciali – l'adozione delle clausole tipo che non venga accompagnata da alcune delle misure supplementari più 'radicali' immaginate ovvero suggerite dal Board (tra le quali primeggia la cifratura, alle condizioni e in forza dei presupposti illustrati nelle Raccomandazioni 01/2020), sarà condannata ad infrangersi nel vaglio (dell'esportatore) di non conformità al principio generale codificato dall'art. 44 ("...assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato").
Potrebbe succedere che nessuno degli strumenti tra quelli offerti dall'art. 46 fosse, nella situazione concreta, effettivamente azionabile. Nella ipotesi di una accertata (e comunque da documentare) impossibilità/irragionevolezza/inidoneità/insufficienza del ricorso agli strumenti ex art. 46 nella forma 'rafforzata' richiesta dalle esigenze di protezione dei dati, il trasferimento dovrebbe, in terza battuta, essere eseguito esclusivamente nei casi e negli (assai stretti) limiti delle deroghe ex art. 49. Rammentiamo che la loro principale caratteristica (cfr. Linee Guida EDPB 02/2018) è quella di costituire delle "eccezioni al principio generale secondo cui i dati personali possono essere trasferiti verso paesi terzi soltanto in presenza di adeguate garanzie nel paese terzo, oppure qualora siano state adottate garanzie adeguate e l'interessato goda di diritti effettivi e azionabili, affinché possa continuare a beneficiare dei diritti fondamentali e delle garanzie".
Potrebbe essere tutt'altro che infrequente la necessità, per gli eventuali esportatori, di ricorrere ad una delle deroghe ex art. 49.1, tra le quali segnaliamo quelle di cui alle lettere a) (l'interessato ha esplicitamente acconsentito al trasferimento proposto dopo essere stato informato dei possibili rischi di siffatti trasferimenti), b) (il trasferimento è necessario all'esecuzione di un contratto concluso tra l'interessato e il titolare del trattamento ovvero all'esecuzione di misure precontrattuali adottate su istanza dell'interessato), c) (il trasferimento è necessario per la conclusione o l'esecuzione di un contratto stipulato tra il titolare del trattamento e un'altra persona fisica o giuridica a favore dell'interessato), e) (il trasferimento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria), f) (il trasferimento è necessario per tutelare gli interessi vitali dell'interessato o di altre persone, quando l'interessato si trovi nell'incapacità fisica o giuridica di prestare il consenso).
La questione trattata in questo articolo alla fine non può reputarsi conseguenza tipica del conflitto in corso. Il problema del trasferimento dei dati in Russia era già presente, prima della guerra, perché il suo ordinamento giuridico (alla stregua di tanti altri nel mondo) poteva considerarsi già tale da imporre ragionevolmente alcune cautele con un ricorso 'blindato' alle garanzie adeguate o, al limite, l'aggancio alle opportunità di ultima istanza procurate dall'art. 49. La guerra non ha cambiato il volto, i lineamenti complessivi di quell'ordinamento: li ha solo resi più marcati ed espliciti.