AUTORE:
Giacomo Campanini
ANNO ACCADEMICO: 2018
TIPOLOGIA: Tesi di Laurea Magistrale
ATENEO: Universitą degli Studi di Torino
FACOLTÀ: Giurisprudenza
ABSTRACT
Il presente lavoro affronta il tema della disciplina del trasferimento dei dati personali dall’Unione europea verso Paesi terzi, con particolare attenzione verso gli accordi regolanti il flusso verso gli Stati Uniti. Punto di partenza della presente analisi è la sentenza resa dalla Corte di giustizia Unione Europea nel caso Schrems (causa C-362/2014 del 6-10-2015) che ha invalidato una decisione di adeguatezza della Commissione (decisione 2000/520 resa ai sensi della direttiva 95/46 e basata sui Safe Harbour Principles pattuiti con le autorità USA) che permetteva alle aziende americane di ricevere e trattare i dati personali provenienti dall’Unione Europea. Nella sentenza la Corte ha statuito alcuni principi, fra cui l’interpretazione del “livello di protezione adeguato” definito dall’art. 25 della Direttiva Dati, il riconoscimento della piena indipendenza delle autorità garanti nell’esercitare i poteri previsti dalla direttiva, nonché l’obbligo di valutare i ricorsi individuali di cittadini UE che asseriscano la violazione dei propri dati per effetto del loro trasferimento in un Paese terzo, anche in presenza di una decisione di adeguatezza della Commissione. La sentenza resa nel caso Schrems ha poi sancito l’invalidità della stessa decisione di adeguatezza 2000/520 con la quale il sistema di garanzie accordato con gli Stati Uniti era stato considerato adeguato sotto il profilo della protezione dati. A complicare il quadro, è intervenuto poi il nuovo regolamento 2016/679 Codice della privacy, la cui adozione da parte degli organi legislativi UE ha subito un’accelerazione proprio per effetto della sentenza Schrems.
Esso, inoltre, contiene sostanziali innovazioni per quanto riguarda i diritti degli interessati (si pensi al c.d. diritto all’oblio o a quello della portabilità dei dati), gli obblighi del titolare e del responsabile del trattamento (come le misure di sicurezza del trattamento, il registro dei trattamenti, notifica di data breach, principio dell’accountability) i meccanismi di cooperazione delle Autorità dei Paesi membri, i quali vanno nella direzione di un netto rafforzamento della protezione dati degli utenti europei. Tuttavia, nell’ambito che interessa la nostra trattazione, ossia la disciplina del trasferimento dati, nelle sue linee principali essa è rimasta pressoché inalterata e aderente a quella ideata nella direttiva del 1995. Tale sistema sembra aver fallito sia l’obiettivo della promozione della libertà di circolazione internazionale dei dati come strumento per la competitività delle imprese europee nel mercato digitale e nel commercio internazionale, sia quello della tutela delle persone rispetto al trattamento dei dati personali. Non è stata compiuta una riforma dell’intero meccanismo della valutazione di adeguatezza: accanto agli strumenti per i trasferimenti in deroga o in mancanza di una decisione di adeguatezza, lo strumento della decisione è rimasta ancora la principale base giuridica per effettuare il trasferimento di dati su larga scala.
Si possono, comunque, sottolineare positivamente almeno tre diversi aspetti. Il primo è che i criteri per la valutazione dell’adeguatezza di un Paese terzo sono stati definiti in modo più preciso e seguendo alcune delle indicazioni degli stessi giudici UE. Fra di essi vi è il criterio degli impegni internazionali assunti dal Paese terzo, quello delle garanzie essenziali in materia di sorveglianza e dello Stato di diritto. Il secondo è rinvenibile nel fatto che nel regolamento la prospettiva è rovesciata: se la direttiva istituiva un rapporto da regola a eccezione fra i trasferimenti effettuati sulla base della decisione di adeguatezza e quelli effettuati sulla base di altri strumenti giuridici vincolanti (BCR e SCC), il nuovo regolamento stabilisce, invece, una relazione fra questi che si avvia ad essere paritaria. In altri termini, la protezione dei dati personali nei trasferimenti internazionali deve essere il risultato di un allineamento tra gli obblighi del legislatore e l’azione del responsabile del trattamento che dovrà assolvere tali obblighi attraverso una auto-regolazione (self-regulation) sotto la vigilanza delle autorità garanti. A ciò si lega il terzo aspetto, e cioè quello del rafforzamento del ruolo e dei poteri della autorità garanti nazionali.
La loro indipendenza è stata accresciuta dalle disposizioni del regolamento (artt. 68 e ss.), e di conseguenza la questione del loro coordinamento sia con la Commissione sia con il Comitato europeo per la protezione dati (European Data Protection Board che sostituisce il Gruppo art. 29) – attraverso il nuovo meccanismo di coerenza e dello sportello unico - sarà di centrale importanza per testare se saranno in grado di gestire e applicare effettivamente le nuove regole sulla protezione dati e le future violazioni della disciplina sul trattamento di dati personali.
Esso, inoltre, contiene sostanziali innovazioni per quanto riguarda i diritti degli interessati (si pensi al c.d. diritto all’oblio o a quello della portabilità dei dati), gli obblighi del titolare e del responsabile del trattamento (come le misure di sicurezza del trattamento, il registro dei trattamenti, notifica di data breach, principio dell’accountability) i meccanismi di cooperazione delle Autorità dei Paesi membri, i quali vanno nella direzione di un netto rafforzamento della protezione dati degli utenti europei. Tuttavia, nell’ambito che interessa la nostra trattazione, ossia la disciplina del trasferimento dati, nelle sue linee principali essa è rimasta pressoché inalterata e aderente a quella ideata nella direttiva del 1995. Tale sistema sembra aver fallito sia l’obiettivo della promozione della libertà di circolazione internazionale dei dati come strumento per la competitività delle imprese europee nel mercato digitale e nel commercio internazionale, sia quello della tutela delle persone rispetto al trattamento dei dati personali. Non è stata compiuta una riforma dell’intero meccanismo della valutazione di adeguatezza: accanto agli strumenti per i trasferimenti in deroga o in mancanza di una decisione di adeguatezza, lo strumento della decisione è rimasta ancora la principale base giuridica per effettuare il trasferimento di dati su larga scala.
Si possono, comunque, sottolineare positivamente almeno tre diversi aspetti. Il primo è che i criteri per la valutazione dell’adeguatezza di un Paese terzo sono stati definiti in modo più preciso e seguendo alcune delle indicazioni degli stessi giudici UE. Fra di essi vi è il criterio degli impegni internazionali assunti dal Paese terzo, quello delle garanzie essenziali in materia di sorveglianza e dello Stato di diritto. Il secondo è rinvenibile nel fatto che nel regolamento la prospettiva è rovesciata: se la direttiva istituiva un rapporto da regola a eccezione fra i trasferimenti effettuati sulla base della decisione di adeguatezza e quelli effettuati sulla base di altri strumenti giuridici vincolanti (BCR e SCC), il nuovo regolamento stabilisce, invece, una relazione fra questi che si avvia ad essere paritaria. In altri termini, la protezione dei dati personali nei trasferimenti internazionali deve essere il risultato di un allineamento tra gli obblighi del legislatore e l’azione del responsabile del trattamento che dovrà assolvere tali obblighi attraverso una auto-regolazione (self-regulation) sotto la vigilanza delle autorità garanti. A ciò si lega il terzo aspetto, e cioè quello del rafforzamento del ruolo e dei poteri della autorità garanti nazionali.
La loro indipendenza è stata accresciuta dalle disposizioni del regolamento (artt. 68 e ss.), e di conseguenza la questione del loro coordinamento sia con la Commissione sia con il Comitato europeo per la protezione dati (European Data Protection Board che sostituisce il Gruppo art. 29) – attraverso il nuovo meccanismo di coerenza e dello sportello unico - sarà di centrale importanza per testare se saranno in grado di gestire e applicare effettivamente le nuove regole sulla protezione dati e le future violazioni della disciplina sul trattamento di dati personali.