Privacy e sicurezza

Lotta alla criminalità: le regole della LED per i trasferimenti transfrontalieri di dati

Home Sicurezza digitale Privacy
Indirizzo copiato

Gli accordi giuridicamente vincolanti, ai sensi dell’art. 37, comma 1 lettera A della Law Enfocement Directive (LED), sono ad oggi, gli strumenti giuridici più affidabili per inquadrare i trasferimenti transfrontalieri di dati personali per finalità di contrasto della criminalità.

Pubblicato il 7 dic 2023
Giovanni Ricci

Avvocato presso lo Studio legale Edoardo Ricci – Avvocati

Customer,Data,Platform,Concept,-,Cdp,-,Adtech,Solutions,-

Il trattamento dei dati personali è qualcosa di assai pervasivo, ormai onnipresente, e dunque rilevante nei più svariati ambiti.

Uno di essi, coincide con l’attività di law enforcement (lotta contro la criminalità): si tratta, intuitivamente, di un settore caratterizzato da trattamenti di dati personali molto delicati, come sempre accade quando essi riguardano il record penale/criminale delle persone.

Trasferimento dati Ue-Usa: cosa devono fare le aziende dopo la decisione di adeguatezza

Le regole della LED per i trasferimenti transfrontalieri di dati personali

In questo settore, il GDPR non è il riferimento normativo rilevante; le norme di riferimento, infatti, sono reperibili nell’ambito della LED: Law Enfocement Directive.

In particolare, oggi ci occuperemo dell’art. 37, comma 1 lettera A della LED, norma che disciplina i trasferimenti transfrontalieri di dati personali tra enti/organizzazioni impegnati nel contrasto alla criminalità quando non sia stato rilasciato un Giudizio di Adeguatezza da parte della Commissione Europea nei confronti dell’ecosistema normativo dello stato straniero verso il quale un determinato trasferimento è diretto.

Il meccanismo di base della Law Enfocement Directive

In questo settore, la LED prevede un meccanismo a cascata dove, come appena accennato, il primo strumento di legittimazione dei trasferimenti transfrontalieri (da intendersi come trasferimenti al di fuori della UE) di dati personali è costituito dal Giudizio di Adeguatezza che la Commissione Europea, può emettere nei confronti di un determinato stato (ad oggi l’unico Giudizio di Adeguatezza in questo settore è quello nei confronti del Regno Unito di Gran Bretagna).

In assenza di un Giudizio di Adeguatezza (ai sensi dell’art. 36 della LED), i trasferimenti di dati personali per ragioni legate alla lotta contro la criminalità sono legittimi e dunque ammissibili laddove sia in vigore un accordo giuridicamente vincolante tra l’ente che trasferisce e l’ente che riceve i dati, che implementi e preveda “garanzie adeguate”, affinché il trasferimento stesso ed i successivi trattamenti rispondano agli standards adottati per situazioni analoghe all’interno della Unione Europea.

Infine, laddove non sia in vigore un accordo giuridicamente vincolante, un trasferimento transfrontaliero di dati è legittimo e dunque possibile laddove, a mente dell’art. 37, comma 2 lettera B della LED, l’ente titolare dei trattamenti abbia accertato che l’ecosistema normativo nel quale opera l’ente ricevente straniero garantisca “garanzie adeguate” analoghe o comparabili a quelle esistenti nell’ambito della Unione Europea.

La figura dell’accordo giuridicamente vincolante

Con a mente quanto osservato sopra in termini generali, è ora necessario chiarire cosa si intenda per accordo giuridicamente vincolante in questo ambito specifico.

Orbene, è tale l’accordo tra stati, organizzazioni internazionali od enti che garantisce il medesimo standard di trattamento dei dati personali adottato nella UE in uno o più stati estranei ad essa, attraverso strumenti giuridicamente vincolanti; dunque in grado di esercitare una forma di coercizione nei confronti dello stato, dell’ente o della organizzazione internazionale ricevente, laddove esso/essa sia  inadempiente.

Questo implica che le “garanzie adeguate” vengano specificamente indicate nell’accordo, con riferimento specifico agli istituti giuridici adottati dallo stato ricevente al fine di renderle effettive, eventualmente anche ricorrendo ad allegati, ove questo comporti un eccessivo appesantimento del testo principale.

I vantaggi degli accordi giuridicamente vincolanti

Se si prescinde dal Giudizio di Adeguatezza, come detto, ad oggi operante solo nei confronti del Regno Unito, l’accordo giuridicamente vincolante offre molteplici vantaggi quando si tratta di legittimare i trasferimenti al di fuori della UE di dati personali per finalità di lotta alla criminalità.

Innanzitutto, esso dà atto in modo inequivocabile della esistenza di garanzie adeguate nell’ecosistema giuridico dello stato ricevente.

Ma, in secondo luogo, ove esse non esistano in tale ecosistema o non siano sufficienti, l’accordo giuridicamente vincolante è di per sé in grado di individuarle, predisporle, integrarle e renderle operative.

In terzo luogo, esso innalza l’affidabilità dell’ente che lo sottoscrive, e rende inutile la valutazione concreta in ordine alla effettiva sussistenza di “garanzie adeguate” nell’ecosistema giuridico dello stato ricevente, che altrimenti è imprescindibile per legittimare i trasferimenti transforntaieri di dati, ai sensi dell’art. 37, comma 1 lettera B della LED.

Negoziazione degli accordi giuridicamente vincolanti: le attenzioni da prestare

La negoziazione degli accordi giuridicamente vincolanti impone una serie di attenzioni, affinché gli stessi rispondano alle esigenze cui sono sottesi.

È dunque necessario:

  • verificare accuratamente che l’ecosistema legale del paese ricevente sia in linea con i principi di trattamento del paese che trasferisce i dati;
  • verificare se vi sia o meno una legislazione apposita per il trattamento dei dati ed a quali principi essa si ispiri;
  • verificare la giurisprudenza rilevante al fine di comprendere quali siano i principi cui essa si uniforma;
  • escludere la presenza di norme inammissibili nel contesto dell’Unione Europea.

Come detto, le eventuali lacune dell’ordinamento giuridico dello stato ricevente possono essere corrette dall’accordo con apposite previsioni.

Elementi essenziali del contenuto degli accordi secondo le linee guida EDPB

L’EDPB ha elaborato alcune linee guida utili a definire il contenuto degli accordi; in linea generale è dunque auspicabile che ne facciano parte:

  • tutte le regole a presidio del trattamento (da specificarsi in eventuali allegati);
  • l’indicazione precisa e specifica dello scopo del trattamento;
  • la precisazione che le parti sottoscrittrici sono competenti rispetto agli scopi indicati all’articolo 1 della LED (law enforcement);
  • l’elenco delle definizioni rilevanti, in modo tale che lo stesso termine non sia inteso diversamente dalle parti.

Sempre in linea generale è poi previsto che la tutela dei dati oggetto di trattamento predispota dall’ordinamento goiuridico dello stato ricecente possa essere addirittura più severa di quella garantita dalla LED e dall’ordinamento dello stato trasmittente.

In altri termini, la LED predispone, a protezione dei dati personali ed a legittimazione dei trattamenti che li concernono, una tutela giuridica minima, cui può ben sovrapporsi un sistema di garanzie più severo e tutelante.

I contenuti necessari degli accordi

Alla luce di quanto appena osservato, vediamo ora quali sono gli elementi che, sotto il profilo contenutistico, devono fare parte degli accordi secondo il EDPB; e così:

  • l’indicazione precisa dello scopo del trattamento (nel contesto del law enforcement);
  • l’indicazione precisa dei dati oggetto del trattamento, con la specificazione delle misure di salvaguardia, ivi comprese quelle ulteriori previste per il trattamento di dati particolarmente delicati per i diritti fondamentali delle persone;
  • l’indicazione precisa delle autorità competenti per i trattamenti (dopo averne verificato l’effettiva competenza in materia);
  • la previsione che i dati possono essere trattati per scopi ulteriori solo ed esclusivamente previa notifica di ciò all’autorità trasmittente, ed unicamente se detti nuovi scopi sono correttamente giustificati e ricompresi tra quanto previsto nella LED;
  • il divieto di condividere i dati con altre autorità dello stato ricevente (a meno che di tale condivisione sia stata data previa informazione alla autorità trasmittente, la quale può obbiettare ed imporre condizioni ulteriori cui subordinare questo tipo di ulteriore disclosure);
  • l’obbligo di rilevanza, limitazione ed adeguatezza dei dati trattati rispetto allo scopo del trattamento;
  • la previsione che i dati oggetto di trattamento siano esatti ed aggiornati (con la precisazione che in caso contrario essi devono essere corretti o cancellati);
  • la previsione del periodo di conservazione dei dati (con la precisazione che esso deve essere limitato a quanto strettamente necessario per il trattamento in sé stesso);
  • l’esclusione dal novero dei trattamenti delle decisioni automatizzate, inclusa la profilazione, quando possono generare conseguenze legali avverse nei confronti dei titolari dei dati (ameno che non siano previste salvaguardie a protezione dei loro diritti fondamentali);
  • la previsione di misure tecniche ed organizzative idonee a prevenire i data breach, la perdita, l’alterazione dei dati trattati (che devono rimanere riservati e disponibili solo per le persone espressamente autorizzate al loro trattamento);
  • la previsione di clausole/obblighi di riservatezza coercibili a carico di coloro che sono autorizzati a trattare i dati;
  • la previsione dell’obbligo di tempestiva ed esauriente notifica di eventuali data breach a carico dell’autorità ricevente a beneficio dell’autorità trasmittente;
  • l’esclusione di ulteriori trasferimenti dei dati verso altri stati terzi (a meno che una completa ed esauriente informazione al riguardo sia indirizzata all’autorità trasmittente, con indicazione delle salvaguardie idonee a mantenere intatto il livello di tutela dei dati oggetto dell’accordo);
  • le garanzie idonee a rendere effettivo per i titolari dei dati l’esercizio dei diritti di accesso, rettifica e cancellazione, identificando l’autorità cui indirizzare la richiesta;
  • la individuazione dei mezzi e delle misure idonei a garantire la supervisione e il controllo del trattamento da parte dell’autorità trasmittente, nonché atti a rendere coercibili le misure previste in caso di inadempimento agli accordi;
  • la predisposizione delle procedure e dei mezzi amministrativi e giudiziali per garantire legalmente la coercibilità degli accordi.

Conclusioni

Appare chiaro, alla luce della presente esposizione, che, se si prescinde dal Giudizio di Adeguatezza, gli accordi giuridicamente vincolanti, ai sensi dell’art. 37, comma 1 lettera A della LED, sono ad oggi, gli strumenti giuridici più affidabili per inquadrare i trasferimenti transfrontalieri di dati personali per finalità di contrasto della criminalità.

Essi possono essere visti come uno strumento analogo alle clausole contrattuali standard previste dal GDPR come prima alternativa, di nuovo, al Giudizio di Adeguatezza, a legittimazione dei trasferimenti transfrontalieri di dati personali, quando non ci si trovi in ambito di law enforcement.

Del resto, non è questa la sola analogia tra GDPR e LED, tenuto conto che i principi generali e le salvaguardie posti dalla LED sono in larga misura analoghi ai principi generali ed alle salvaguardie predisposti dal GDPR.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • criminalità

    DDL Cyber security: pene più severe per i reati informatici, ma il giustizialismo non basta

    05 Feb 2024

    di Mario Sica

    Condividi

  • common criteria

    Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

    06 Dic 2023

    di Garibaldi Conte

    Condividi

Prossimo

DDL Cyber security: pene più severe per i reati informatici, ma il giustizialismo non basta

Articolo 1 di 3