Il trasferimento dei dati personali all’ estero e’ regolato dagli articoli 42 e seguenti del Codice della privacy. Il d.lgs 196/2003 distingue essenzialmente tre fattispecie: i trasferimenti all’interno dell”Unione Europea; i trasferimenti consentiti in Paesi terzi e, infine, i trasferimenti vietati.

Il principio di fondo e’ che i primi sono incondizionatamente consentiti, salvo che in caso di elusione delle disposizioni del codice della privacy, mentre i secondi e gli ultimi sono, rispettivamente, ammessi e proibiti soltanto a certe condizioni.
I trasferimenti all’interno dell’Unione europea sono disciplinati dall’art. 42 del Codice il quale stabilisce che le disposizioni del codice non possono essere applicate in modo da restringere o vietare la libera circolazione dei dati personali fra gli Stati membri dell’Unione europea, fatta salva l’adozione, in conformita’ allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati per eludere le stesse disposizioni. La disposizione in esame non trova precedenti nella legge 675/96 ed una prima dottrina (ATELLI) ha interpretato la norma come una sorta di abilitazione per eventuali iniziative comunque devolute alla competenza di organismi non titolari della potesta’ legislativa.
La direttiva 95/46/CE non esamina nello specifico la fattispecie in esame in quanto parte dal presupposto esplicitato al Considerando 9 che data la protezione equivalente derivante dal ravvicinamento delle legislazioni nazionali, gli Stati membri non potranno piu’ ostacolare la libera circolazione tra loro di dati personali per ragioni inerenti alla tutela dei diritti e delle liberta’ delle persone fisiche, segnatamente del diritto alla vita privata.
I trasferimenti consentiti nei Paesi terzi sono disciplinati dall’art. 43 del Codice che riprende quanto previsto dall’art. 28, 1° comma e 4° comma della legge 675/96 (con esclusione per quest’ultimo comma della lett. g) e dall’art. 26, comma 2, della legge 675/96.

Un’importante novita’ rispetto alla precedente disposizione normativa di riferimento e’ comunque rappresentata da un ulteriore semplificazione del sistema del trasferimento dei dati verso paesi non appartenenti all’Unione europea, con l’esclusione dell’obbligo di notificare specificamente al Garante il trasferimento dei dati (l’obbligo e’ adempiuto, una tantum, con l’unica notifica eventualmente dovuta ai sensi dell’art. 37) e dalla conseguente soppressione dell’obbligo di attendere il decorso del termine originariamente prima di poter procedere al trasferimento dei dati (art. 28, comma 2, l. n. 675/1996).
La disposizione in esame cerca, inoltre, di assicurare la piena simmetria della disciplina del trattamento dei dati personali effettuato a fini di trasferimento dei dati all’estero con quella relativa al trattamento sul territorio nazionale ( 1° comma, lett. b) e d)).

Queste novita’ introdotte dal codice appaiono piu’ coerenti con la stessa disciplina dettata dalla direttiva 95/46/CE che all’art. 25 sancisce il principio secondo il quale il trasferimento di dati personali da uno Stato membro verso un paese terzo puo’ aver luogo “soltanto a condizione che quest’ultimo garantisca un livello di protezione adeguato”.
Il paragrafo 2 precisa quali sono gli elementi da prendere in considerazione per la valutazione dell’adeguatezza: si tratta di tutte le circostanze che influiscono su un trasferimento o su una categoria di trasferimenti, come la natura dei dati, le finalita’ del o dei trattamenti previsti, le misure di sicurezza e le disposizioni del paese in questione; a tale proposito e’ necessario esaminare le disposizioni legislative generali e settoriali del paese, unitamente alle discipline deontologiche.
Nei successivi paragrafi dell’art. 25 si prevede la possibilita’ per la Commissione di constatare se un paese terzo prevede o meno un livello di protezione adeguato; gli Stati membri devono adottare di conseguenza tutte le misure necessarie per conformarsi alla decisione della Commissione e, se del caso, per impedire ogni trasferimento di dati verso il paese terzo in questione.

Ma in deroga a quanto disposto dall’articolo 25 il successivo art. 26 della direttiva prevede che gli Stati membri possono disporre un trasferimento di dati personali verso un paese terzo, che non garantisce una tutela adeguata ai sensi dell’articolo 25, solo a determinate condizioni quali ad esempio quando la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto, oppure quando il trasferimento sia necessario per l’esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento oppure quando il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto, concluso o da concludere nell’interesse della persona interessata, tra il responsabile del trattamento e un terzo, ecc.
In ogni caso il paragrafo 2 dell’art. 26 precisa che uno Stato membro puo’ autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell’articolo 25, paragrafo 2, qualora il responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle liberta’ fondamentali delle persone, nonche’ per l’esercizio dei diritti connessi.

Ma l’articolo 43 si distingue dal «vecchio» articolo 28 della legge 675/1996 anche sotto ulteriori pro¬fili. Tra questi, sono da evidenziare almeno i seguenti:
• dal raffronto tra le formulazioni delle lettere a) e c) dell’articolo 43 sembrerebbe trarsi la conclusione che la forma scritta valga a consentire il trasferimento, in alter¬nativa al consenso espresso, solo ove si tratti di dati sensibili, e non piu’ (si veda l’articolo 28, comma 4, lettera a), della legge 675/1996) anche ove si tratti di dati «giudiziari»; probabilmente si tratta di un mero refuso, ma il risultato e’ nell’insieme un po’ vistoso;

• la lettera d) dell’articolo 43 innova invece nella parte in cui distingue le condizioni di legittimita’ del trattamento a seconda che l’intervento di salvaguardia riguardi un terzo oppure l’interessato; nel secondo caso, infatti, diversamente dal passato (articolo 28, comma 4, lettera e) la norma richiede comunque il consenso. L’am¬bito di applicazione della disposizione e’ da circoscrivere ai soli trattamenti di dati sensibili, sia per ragioni di ordine logico sia per effetto dell’obliquo rinvio all’artico¬lo 82 del codice della privacy;

• la lettera e) dell’ articolo 43 ripropone la disposizio¬ne gia’ contenuta nell’articolo 28, comma 4; lettera d), della legge 675/1996, a propria volta risul¬tante dalle innovazioni a suo tempo introdotte¬ con il d.lgs 467/01. Diversamente dal vecchio testo, tuttavia, il nuovo nell’autorizzare i trattamenti occorrenti per finalita’ di investigazione o di difesa, vincola i titolari ad effettuarli nel rispetto della vigente normativa in materia di segreto aziendale ed industriale;

• la lettera f) dell’articolo 43 stabilisce, trasponendo la disposizione contenuta nell’articolo 28, comma 4, lettera f), della «vecchia» legge 675/1996, che il trasferimento e’ consentito anche quando sia effet¬tuato in accoglimento di una richiesta rivolta alle ammini¬strazioni pubbliche. Per quanto qui interessa, deve rite¬nersi che, parlando di trasferimento effettuato “in accoglimento” di una richiesta di accesso ai documenti amministrativi, la norma operi un tacito quanto inequivoco rinvio ai casi, e ai correlativi limiti, entro i quali l’accogli¬mento puo’ essere disposto dall’amministrazione cui det¬ta richiesta e’ stata indirizzata;

• per quanto concerne la lettera g) dell’articolo 43, essa consente il trasferimento se necessario per esclusivi scopi scientifici o statistici o storici (in quest’ultimo caso, presso archivi “privati”) purche’ venga effettuato in conformita’ ai codici deontologici di cui all’ allegato A del codice;

• la lettera h) dell’articolo 43, da ultimo, si limita a riprodurre il disposto dell’articolo 26, comma 2, della «vecchia» legge 675/1996.

Gli altri trasferimenti consentiti sono disciplinati dall’art. 44 del Codice. Essi non sono soltanto quelli previsti dall’articolo 43, poiche’ ol¬tre a questi ve ne sono di ulteriori per la cui liceita’ e’ richiesta tuttavia l’auto¬rizzazione del Garante sulla base di adeguate garanzie per i diritti dell’interessato: individuate dal Garante stesso anche in relazione a garanzie prestate con un contratto oppure individuate con le decisioni previste dagli artt. 25, paragrafo 6 e 26, paragrafo 4 della direttiva 95/46/CE (gia’ esaminate nel commento all’art. 43) con le quali la Commissione europea constata che un paese non appartenente all’Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.

Appare quindi evidente che nella materia della tutela dei dati personali vi e’ da sempre la preoccupazione che, proprio al fine di eludere le protezioni offerte dalle legislazioni degli Stati, i dati personali vengono trasferiti all’estero, verso paesi con una minore, o con nessuna, legislazione sul punto della protezione degli individui rispetto al trattamento dei dati personali.
L’articolo 44 del codice e’ norma densa di significati e di implicazioni, la cui trattazione richiederebbe ben altro spazio e approfondimento, sicche’ e’ preferibile in questa sede limitarsi a segnalare almeno un paio di questioni maggiormente rilevanti.

La prima questione attiene al ruolo del Garante.
Diversamente da quanto prevedeva l’articolo 28, lettera g), della legge 675/1996, l’articolo 44, comma 1, lettera a), legittima infatti in via espressa un doppio intervento dell’Autorita’: per un verso, in sede di autorizzazione al trasferimento; per altro verso, in sede di «individuazione» delle «adeguate garanzie per i diritti dell’interessato» anche in relazione a garanzie prestate con un contratto. Sul punto, rimane a ogni modo da chiarire meglio quale sia la relazione che in tal modo si viene a instaurare tra «autorizzazione» e «individuazio¬ne», sia per quanto concerne gli aspetti strettamente procedimentali (anche alla luce del regolamento 1/2000 sul funzionamento dell’ufficio del Garante), sia per quanto attiene al reale contenuto del potere autorizzatorio dell’Autorita’ (in particolare: la concreta adozione delle misure «individuate» rende l’emanazione dell’ «autorizzazione» atto vincolato?).

La seconda questione concerne invece i corrispondenti poteri della Commissione europea. In base all’arti¬colo 28, lettera g) , della legge 675/1996, la Commissio¬ne era chiamata a «individuare» le adeguate garanzie richieste, mentre oggi gli e’ rimesso soltanto di «constata¬re» se un Paese non appartenente all’Unione europea garantisca un livello di protezione adeguato o che alcune clausole contrattuali offra¬no garanzie sufficienti. Sorge allora sponta¬nea la domanda: crescono i poteri del Garante nazionale e scemano quelli della Commissione? In caso di risposta afferma¬tiva, potrebbe in casi estremi configurarsi una disparita’ di vedute tra autorita’ italiana e Commissione? Con, quali conseguenze, nell’ipotesi di eventuale contenzioso in¬staurato a istanza di parte nelle sedi competenti?
I trasferimenti vietati sono disciplinati dall’art. 45 del Codice che riprende quanto previsto dall’art. 28, comma 3, della legge 675/96 ed e’ se vogliamo anche una logica conseguenza di quanto disciplinato dalle disposizioni precedenti del codice e di quanto previsto dalla direttiva 95/46/CE.

E’ quindi la norma di chiusura in materia di trasferimento all’estero dei dati secondo la quale fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, e’ vietato quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato.
Sono valutate anche le modalita’ del trasferimento e dei trattamenti previsti, le relative finalita’, la natura dei dati e le misure di sicurezza. Si tratta di una valutazione delicata, anche se eventuali condotte persino colpose, in proposito, non sembrerebbero comunque esporre l’autore al rischio di applicazione delle pesanti sanzioni penali previste dall’art. 167, comma 2, del codice.

Scritto da