Come è noto la disciplina sulla protezione dei dati personali nasce con un duplice (e potenzialmente ambivalente) obiettivo: da un lato, garantire la libera circolazione dei dati, che è essenziale per il commercio globale, l’innovazione e la cooperazione internazionale; dall’altro, proteggere la privacy e i diritti fondamentali degli individui.
Indice degli argomenti
Trasferimento internazionale dati: i punti chiave
Il trasferimento internazionale dei dati (per noi: extra Ue) è forse il tema che, all’interno della disciplina sulla protezione dei dati personali, più di tutti riflette la tensione tra queste due esigenze.
Ciò dipende dal fatto che nei trasferimenti internazionali di dati emerge con più evidenza che in altri ambiti l’approccio generale del singolo sistema e, dunque, le frizioni con gli altri. Diritti fondamentali, tutela della sicurezza nazionale o degli interessi commerciali sono solo alcuni di questi interessi che collidono tra loro.
A partire da un recente e interessante volume curato da Selina Zipponi (Privacy extra UE, Maggioli Ed., 2024), vorrei provare a individuare alcune possibili classificazioni in tema di trasferimento internazionali dei dati, in particolare focalizzandomi sulle discipline dei Paesi al di fuori dell’Unione europea. Il testo è un importante strumento per tale attività comparativa poiché indaga con rigore metodologico e sistematicità alcuni aspetti pratici delle singole discipline privacy extra-UE tra cui, appunto, la questione in oggetto.
Il confronto tra le diverse esperienze risulta indispensabile anche per comprendere come sia strutturata l’architettura dei principali sistemi internazionali di protezione dei dati personali, di cui si prenderà in considerazione, soprattutto, il dato normativo e dai quali emerge l’importanza attribuita ai diritti fondamentali nel loro insieme.
I criteri ricavabili dalla disciplina europea come modello di riferimento
Anche se si prende in considerazione il contesto extra-comunitario, il quadro giuridico di partenza sul trasferimento transfrontaliero resta sicuramente il nostro, vale a dire quello tracciato dal GDPR, non solo perché è il più specifico, ma anche perché è l’unico – se escludiamo il sistema britannico, comunque di derivazione comunitaria – che parte interamente da una concezione umanocentrica del diritto. Questo sistema UE fungerà, dunque, da tertium comparationis, per usare un’espressione cara ai comparatisti, cioè da ordinamento di riferimento attorno a cui prende vita l’operazione comparativa.
Come sappiamo il GDPR e le interpretazioni conformi che sono state ricavate dalla Corte di Giustizia, delineano principi specifici e basi giuridiche per il trattamento dei dati personali, inclusi i requisiti di trasparenza, consenso e conformità agli obblighi legali applicabili ed è progettato per migliorare il controllo degli individui sui propri dati personali garantendo a tal fine misure di protezione[1]. A partire da questi suoi parametri di base riusciamo a ricavare e riassumere le caratteristiche specifiche dei vari sistemi.
Anticipando quanto verrà esposto più avanti, mi pare che le quattro maggiori caratteristiche che contraddistinguono il presidio europeo – vale a dire l’accountability, il meccanismo di adeguatezza, l’intensificazione del ruolo delle clausole contrattuali tipo o standard (le SCC o Standard Contractual Clauses, strumento che copre la maggior parte delle casistiche), le cc.dd. binding corporate rules e gli altri strumenti hard o soft law (codici di condotta, meccanismi di certificazione, accordi amministrativi) accompagnati dalla Transfert Impact Assesment – ritornino, almeno nell’impianto formale, nel panorama internazionale.
Un tentativo di classificazione delle discipline di trasferimento dei dati
Pur consapevoli delle divergenze tra ordinamenti giuridici, in particolare il diverso livello di protezione che molte le legislazioni dei Paesi terzi scontano rispetto al GDPR, penso sia possibile tentare uno sforzo classificatorio ed operare una distinzione tra i sistemi.
La natura globale e transnazionale del fenomeno influisce direttamente sulla metodologia di studio che i giuristi devono adottare. A mio avviso, l’unico approccio realmente efficace è l’impiego degli strumenti e delle tecniche della comparazione giuridica, non solo come mezzo di approfondimento conoscitivo, ma soprattutto, seguendo l’impostazione di una certa dottrina comparatistica (Mauro Cappelletti), come strumento per individuare soluzioni utili alla politica del diritto[2].
In quest’ottica è possibile, dunque, individuare sistemi ad alta protezione e altri a regolazione flessibile. All’interno dei primi troviamo sistemi “a protezione restrittiva” ed altri che invece, pur godendo di una alta protezione, sono “aperti” ai trasferimenti e condividono un approccio bilanciato. Solo questi ultimi sono ispirati direttamente e in massima parte al GDPR.
I modelli “a protezione forte”
Nel primo gruppo, quello di protezione forte e restrittiva, possiamo formalmente collocare, tra quelli analizzati nel libro, Paesi come la Cina, l’India, l’Arabia Saudita e gli Emirati Arabi Uniti. Si tratta di un gruppo, come si può notare, estremamente eterogeneo che ha tuttavia in comune forti restrizioni sui trasferimenti all’estero (condizionati spesso da approvazione governativa) e la richiesta di necessaria conformità a standard di protezione rigorosi. Le regole, almeno sulla carta, sono simili al GDPR ed anzi, su alcuni settori (ad esempio i dati nella disponibilità di organi statali), appaiono particolarmente rigorosi. Ad esempio questi Paesi prevedono che l’approvazione dell’Autorità nazionale sia sempre necessaria e rimettono a tali Autorità anche il potere di definire se la disciplina del Paese-destinazione sia o meno adeguata.
Ad una prima lettura potrebbe sembrare che un tale regime giuridico sia profondamente garantista, ma se guardiamo in profondità ai singoli ordinamenti capiamo la ratio di tale rigidità. Prendiamo come modello paradigmatico la Cina, ordinamento nel quale la richiesta di autorizzazioni specifiche per il trasferimento di dati all’estero e l’imposizione vincoli più stringenti rispetto al GDPR[3] non deriva tanto da un’attenzione che essa riserva agli spazi di libertà individuale dei propri cittadini, ma da un calcolo geopolitico, volendo essa sottrarre il più possibile l’utilizzo di dati (con tutti i vantaggi che lo sfruttamento di tali risorse possono portare con sé) ai concorrenti esterni.
Allo stesso modo le ulteriori riserve alla divulgazione (rispetto a quelle “classiche” del GDPR) della normativa saudita, non solo sono preordinate alla salvaguardia dell’interessato, ma anche agli interessi del Regno, della sua sicurezza o della sua “reputazione”. Clausole indeterminate basate su concetti giuridici indeterminati e facilmente piegabili anche a norme di costume di matrice religiosa.
Dunque in genere le restrizioni previste da questo gruppo di sistemi sono preordinate alla chiusura del sistema stesso (per esigenze generali e/o collettive), non alla tutela dei propri cittadini.
I modelli forti ma “aperti”
Il secondo gruppo – i sistemi ad alta protezione “aperti” – è quello più vicino nei fini e nelle modalità a quello europeo. Qui è possibile inserire la Gran Bretagna e il Brasile (Paesi che seguono l’impostazione più vicina al GDPR, sebbene con spazi di maggiore flessibilità), la maggior parte degli altri ordinamenti latino-americani, la Nuova Zelanda (che richiama la clausola di adeguatezza), Singapore, il Sud Africa e la Tailandia.
I Paesi sudamericani, ad esempio, dispongono, con l’eccezione dell’Argentina, di una precisa e robusta regolazione normativa sul trasferimento transfrontaliero che richiede un consenso esplicito, specifico e inequivocabile per il trasferimento dei dati, sebbene a fronte di numerose facilitazioni.
Ad esempio, il Messico dispone che il trasferimento sia possibile pur in assenza di consenso quando il trasferimento sia coperto da riserva di legge, avvenga all’interno dello stesso gruppo di aziende o sia necessario per scopi sanitari o per l’esecuzione di un contratto o per cooperazione giudiziaria (dunque un elenco non insignificante). Come clausola di salvaguardia, la legge messicana dispone esplicitamente che in ogni caso il trasferimento debba rispettare le finalità specifiche previste nell’informativa. E tali finalità devono ovviamente essere interpretate in senso sostanziale e non meramente formale.
Anche il ruolo delle Autorità varia: mentre il Brasile prevede un intervento proattivo dell’Autorità di Garanzia, sulla falsariga del modello europeo e la Colombia dispone che l’Autorità rilasci una attestazione di conformità ad hoc rispetto agli standard delineati dalla stessa, il Perù si limita a prescrivere solo che i trasferimenti siano “comunicati” all’Autorità.
Anche il Sud Africa dispone di una disciplina molto vicina al GDPR poiché inserisce tra le “tipiche” condizioni per il trasferimento, oltre ai casi di necessità o consenso, anche la presenza di binding corportate rules o di un accordo specifico. Allo stesso tempo però mostra elementi di flessibilità perché rimette qualsiasi trasferimento di informazioni speciali quasi esclusivamente alla preventiva autorizzazione dell’Autorità nazionale.
I modelli “a protezione flessibile”
Ci sono infine i Paesi che seguono l’approccio più flessibile. Tali Paesi danno priorità alla libera circolazione dei dati e impongono poche restrizioni sui trasferimenti internazionali. Così Stati Uniti, Australia, Messico ed Egitto che, pur disponendo di una protezione specifica, non prevedono forti restrizioni sui trasferimenti. Questo è in larga parte dovuto ad un approccio business oriented che rimette le tutele soprattutto al piano contrattualistico.
A partire dagli Stati Uniti, dove l’assenza di una legislazione federale unica sulla protezione dei dati ha prodotto un approccio frammentato basato su normative statali e fortemente settoriali[4], alcuni Stati, come la California hanno introdotto leggi simili al GDPR (California Consumer Privacy Act, CCPA) che, pur avendo delineato un certo quadro di tutela, in generale sono decisamente più favorevoli alle aziende rispetto a quelle europee.
La California non possiede una disciplina espressa sul trasferimento, né tra Stati federati né al di fuori della Federazione, tuttavia un’interpretazione estensiva della normativa generale ci permette di ricavare alcuni diritti fondamentali in capo ai cittadini californiani. Senza entrare nello specifico, la ratio a fondamento del sistema rimane quella dell’opt-out alla vendita o condivisione dei dati (e, dunque, anche al loro trasferimento). Si tratta di un meccanismo speculare al nostro opt-in, ma non per questo necessariamente con meno garanzie. Infatti, ciò che conta oggi è sempre più il meccanismo di conoscibilità dell’informazione e di opposizione alla vendita/trasferimento, a cui si chiede chiarezza e conoscibilità. Ecco da noi è vero che il trasferimento è condizionato ad un consenso esplicito preventivo ma, come è noto, tale consenso è spesso confuso in informative lunghe ed oscure e, una volta dato il consenso, il consumatore è esposto quasi senza più nessun argine al trattamento dei suoi dati. L’opt-out può astrattamente essere uno strumento di garanzia al pari dell’opt-in, se il consumatore è messo in grado di conoscere ed intervenire facilmente[5].
Quanto al trasferimento dei dati verso gli Stati Uniti, il Data Privacy Framework (DPF) rappresenta, come noto, un’importante semplificazione. Approvato nel 2023, dopo che la Corte di Giustizia dell’UE aveva invalidato il precedente Privacy Shield, il DPF consente oggi alle imprese di trasferire dati a partner statunitensi certificati senza dover ricorrere alle clausole contrattuali standard, che richiedevano complesse analisi giuridiche e misure supplementari per garantire la protezione dei dati. Questo ha ridotto costi, tempi e rischi di non conformità. Tuttavia permangono incertezze perché alcune organizzazioni per la privacy ritengono che le garanzie offerte dal nuovo accordo siano ancora insufficienti, soprattutto in tema di sorveglianza da parte delle Autorità USA. Restano, pertanto, incognite future su una possibile invalidazione da parte della Corte UE del nuovo quadro regolatorio, anche alla luce delle valutazioni espresse dal Comitato europeo per la protezione dei dati personali[6].
Che tassonomia per il trasferimento dati extra UE
Che tassonomia possiamo dedurne?
Che, sebbene il confronto con le normative extra-UE evidenzi ancora le difficoltà di armonizzazione globale e la necessità di accordi internazionali più solidi per garantire un flusso sicuro di dati senza compromettere la tutela della privacy, i Paesi considerati condividono tra loro almeno tre caratteristiche:
a) la diffusa necessità di regolamentazione;
b) la necessità che questa regolamentazione sia il più possibile omogenea (e qui il tentativo di ispirare parzialmente le proprie normative, almeno su un piano formale, agli standard internazionali a partire da quello del GDPR
; c) il perseguimento dell’obiettivo di assicurare una sovranità digitale e, perciò, la messa in opera di restrizioni sui flussi di dati transfrontalieri.
Dall’analisi del contesto globale emerge, dunque, che i criteri europei trovano una certa corrispondenza, sebbene detta corrispondenza sia temperata da una serie di interessi e deroghe che li rendono sistemi sulla carta integrabili, ma che in sostanza danno grande spazio di manovra ai decisori dei singoli Paesi.
Fuori dall’Europa, in larga parte la rigida impostazione europea è orientata a garantire la sicurezza nazionale e ad assicurare un controllo specifico sulle informazioni sensibili ma, ahimè, solo in parte – e spesso solo sulla carta – sembra orientata ad assicurare una tutela degli individui.
È, dunque, una lettura non univoca ma a chiaroscuri. A ciascuno il compito di vedere in questo quadro i segni di un’evoluzione o la persistenza di sintomi di fragilità.
Bibliografia
[1] L. Montuori, Il superamento del Privacy Shield e la (libera?) circolazione commerciale dei dati fuori dalla UE, in L. Bolognini (a cura di), Privacy e (libero) mercato digitale. Convergenza tra regolazioni e tutele individuali nell’economia data-driven, Milano, Giuffré, 2021, 89 ss.
[2] Si v. la recensione di A. Pizzorusso al volume di M. Cappelletti, Controllo giudiziario di costituzionalità delle leggi nel diritto comparato, in Riv. trim. dir. proc. civ., 1968, 788-791.
[3] Si rinvia nel libro in oggetto al capitolo dedicato alla Cina, scritto da V.M. Pavese e C.A. Trovato, 145-164.
[4] D.J. Solove, P.M. Schwarz, Information Privacy Law, Burlington (MA), Aspen Publ., 8a ed., 2023.
[5] P. Bukaty, California Consumer Privacy Act (CCPA): An implementation guide, ITGP, 2019.
[6] Per un commento F. Salvatore, Revisione del Data Privacy Framework Ue-Usa: cosa cambia per le aziende (3 gennaio 2025), in questa Rivista.
