Il 20 gennaio 2025, presso la prestigiosa Sala Consiliare del Palazzo Valentini a Roma, si…
La valutazione di adeguatezza nei trasferimenti transfrontalieri di dati personali tra nuovo Regolamento europeo e (pre)vigente Direttiva
Abstract: La libera circolazione dei dati è un prerequisito fondamentale del Digital Single Market, in assenza del quale la competitività delle imprese europee rischierebbe una drastica riduzione. Ciò nondimeno, i trasferimenti di dati personali incontrano ingenti limiti se un paese terzo o un’organizzazione internazionale sono coinvolti nell’operazione. È questa la ragione per cui l’articolo 45 del Regolamento europeo generale sulla protezione dei dati, in chiara continuità con la (pre)vigente Direttiva, prevede che «un trasferimento di dati personali […] può aver luogo laddove la Commissione abbia deciso che il paese terzo […] o l’organizzazione internazionale in questione assicurino un livello adeguato di protezione».
Sommario: 1. Dalla direttiva al regolamento europeo sulla protezione dei dati personali; 2. I trasferimenti sulla base di una decisione di adeguatezza; 3. La valutazione di adeguatezza a norma della (pre)vigente Direttiva; 4. Le negoziazioni in sede di valutazione dell’adeguatezza; 5. La valutazione di adeguatezza a norma del nuovo Regolamento; 6. Conclusioni.
1. Dalla direttiva al regolamento europeo sulla protezione dei dati personali
La Direttiva UE 95/46 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (hic et inde, Direttiva)[1], rappresenta un importante passo in avanti rispetto alla Convenzione di Strasburgo del 1981[2]: opera, infatti, una manovra di bilanciamento tra il mantenimento di uno standard minimo di tutela e il rispetto del principio europeo della libera circolazione dei dati personali[3].
Ciò nonostante, l’utilizzo dello strumento comunitario della direttiva si rivela insufficiente a garantire la ricercata uniformità legislativa all’interno dei paesi membri dell’Unione, essendo riconosciuti, a ciascuno stato, ampi margini di discrezionalità circa i modi e le forme di attuazione.
L’esigenza di uniformità all’interno dell’Unione, nonché la necessità di adeguare una regolamentazione che, nonostante i recenti interventi, risale a più di venti anni fa, conducono all’approvazione del Regolamento UE n. 679/2016 del P.E. e del Cons. del 27-4-2016 (hic et inde, Regolamento) che abroga la (pre)vigente[4] Direttiva[5]. Il recente Regolamento è finalizzato alla protezione delle persone fisiche (con riguardo al trattamento dei dati personali) e della libera circolazione dei dati.
Tra gli obiettivi dichiarati sia della (pre)vigente Direttiva che della nuova disciplina vi è la circolazione dei dati, elemento essenziale per la realizzazione del mercato unico europeo. Al trasferimento dei dati, declinato nelle diverse forme di trasmissione, comunicazione e diffusione, è dedicata, infatti, buona parte della disciplina sulla protezione dei dati. Le ordinarie cautele tendono a irrigidirsi qualora tali trasferimenti coinvolgano paesi terzi, considerata la possibilità che gli stessi non garantiscano il medesimo livello di protezione dei dati personali riconosciuto a livello europeo. Sarà, dunque, la Commissione a dover operare una “valutazione di adeguatezza” alla luce di indici predefiniti, sia sotto la vigenza della Direttiva che del Regolamento[6].
2. I trasferimenti sulla base di una decisione di adeguatezza
L’obiettivo primario della normativa europea sulla protezione dei dati personali è fornire all’individuo garanzie adeguate in relazione al modo in cui i suoi dati sono trattati. Un obiettivo, questo, normalmente raggiungibile tramite la combinazione dei diritti degli interessati e degli obblighi dei titolari e dei responsabili del trattamento[7], ma che incontra notevoli difficoltà qualora differenti ordinamenti siano coinvolti nell’operazione[8].
La combinazione di diritti e obblighi disposti dalla Direttiva, non è altro che il frutto della trasposizione di quelli già enucleati dalla Convenzione del Consiglio d’Europa n. 108 del 1981[9], a sua volta non dissimile dalle Linee Guida dell’OCSE del 1980[10] e da quelle dell’ONU del 1990[11]. In considerazione di ciò, può dunque affermarsi che un elevato grado di consenso in ordine ai contenuti delle norme sulla protezione dei dati personali si estende ben oltre i paesi membri dell’Unione[12].
La comunione d’intenti e la dichiarazione di principi comuni non determina, tuttavia, la necessaria uniformità degli standard di protezione dei dati previsti dalle differenti legislazioni nazionali. Ben oltre l’astratta enunciazione di principi, ciò che in ogni caso deve essere considerata, infatti, è l’effettiva applicazione degli stessi. Pertanto, la valutazione del livello di tutela previsto da ciascun ordinamento deve considerare non solo il contenuto delle norme poste a protezione dei dati personali, ma anche (rectius, soprattutto) il complessivo sistema giuridico in vigore in un determinato paese volto a garantirne l’efficacia.
Tra i paesi europei, storicamente, vi è una duplice tendenza: da un lato, quella a trasporre per iscritto questo tipo di norme, presupposto per l’applicazione di sanzioni e risarcimenti, dall’altro, la tendenza a prevedere meccanismi procedurali supplementari atti all’effettiva applicazione di detta normativa. Un’attitudine, questa, confermata dalla Direttiva, la quale prevede l’istituzione di autorità di controllo – con funzioni di indagine e sorveglianza in materia di protezione dei dati personali – in ciascuno stato membro. Si tratta, tuttavia, di meccanismi procedurali non sempre condivisi dalle esperienze legislative extraeuropee, né, tantomeno, resi obbligatori dalla conv. n. 108/1981[13].
Per tali considerazioni, il rischio che trasferimenti di dati personali verso paesi terzi si tramutino in un espediente volto ad aggirare le previsioni normative dettate dal paese d’origine è molto più che potenziale.
3. La valutazione di adeguatezza a norma della (pre)vigente Direttiva
Considerati i rischi connessi alla circolazione dei dati, nonché il quadro giuridico internazionale delineato, il legislatore comunitario ha optato per una serie di sistemi volti a estendere la tutela dei dati personali dei cittadini europei anche oltre i confini nazionali. Il capo IV della Direttiva è, infatti, dedicato al «trasferimento di dati personali verso paesi terzi».
Ai sensi dell’art. 25, par. 1 della Direttiva, «il trasferimento verso un paese terzo di dati personali […] può aver luogo soltanto se […] (il paese, ndr) garantisce un livello di protezione adeguato»[14]. Un parametro, quest’ultimo, che spetta alla Commissione verificare, secondo la procedura delineata dall’art. 32, par. 2, il quale postula il coinvolgimento, in via consultiva, di un comitato composto dai rappresentanti degli stati membri e presieduto dal rappresentante della Commissione stessa[15]. Tale decisione è volta, pertanto, a constatare se un paese terzo garantisca o meno un livello di protezione adeguato in considerazione della sua legislazione nazionale, ovvero dei suoi impegni internazionali ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali degli individui (art. 25, par. 6).
Come rilevato dalla Corte di giustizia europea[16], la ratio dell’art. 25 risiede nell’intento di non vanificare gli sforzi posti in essere dagli stati europei nel dotarsi di uno standard in gran parte uniforme in materia di protezione dei dati personali, attestato su un livello di protezione più elevato di quello offerto dagli altri modelli ordinamentali attualmente esistenti. Creata una comune area di circolazione protetta, l’Unione non può, infatti, veder vanificati i propri sforzi ammettendo che processi di delocalizzazione delle risorse informative possano consentire ai titolari e ai responsabili dei trattamenti dei dati di eludere l’applicazione della disciplina comunitaria[17].
L’adeguatezza della tutela offerta dal paese terzo deve essere valutata in funzione di tutte le circostanze relative a un trasferimento, ovvero a una categoria di trasferimenti[18]. La valutazione della Commissione, in particolare, deve prendere in considerazione: la natura dei dati raccolti, le finalità del trasferimento, il paese di origine e quello di destinazione, le norme (generali e settoriali), le regole professionali, nonché le misure di sicurezza vigenti in materia di protezione dei dati personali (art. 25, par. 2)[19].
Qualora, poi, il paese terzo non garantisca (più) un adeguato livello di protezione dei dati personali, la Commissione può invitare gli stati membri dell’Unione ad adottare le «misure necessarie per impedire ogni trasferimento di dati della stessa natura verso […] (tale, ndr) paese»[20] [21] (art. 25, par. 4). A norma del considerando 57, infatti, «deve essere vietato il trasferimento di dati personali verso un paese terzo che non offre un livello di protezione adeguato». Parte della dottrina in proposito ritiene che, ponendo tale divieto, l’Unione abbia in concreto fatto leva sulla dipendenza reciproca esistente fra le imprese commerciali europee e quelle situate in paesi terzi in un contesto di «economia dell’informazione»[22], in modo da indurle a fare pressione sui legislatori nazionali per interventi in ottica adeguatrice. Il valore assunto dai dati[23], infatti, nel contesto economico ha reso impensabile, da un lato, che le imprese europee circoscrivano la loro operatività entro i confini dell’Unione e, d’altro canto, che i loro partner rinuncino ad accordi commerciali con le stesse pur di non sottostare alle prescrizioni europee in termini di protezione dei dati[24].
4. Le negoziazioni in sede di valutazione dell’adeguatezza
A norma della Direttiva, constatata la mancata adeguatezza degli standard di protezione dei dati personali offerti dal paese terzo, la Commissione può, «al momento opportuno»[25], avviare negoziati utili a porre rimedio al deficit di tutela riscontrato (art. 25, par. 5): si pensi, a tal proposito, alla recente approvazione del cd. Privacy Shield[26], l’accordo tra Stati Uniti e Unione Europea intervenuto in seguito alla pronuncia della Corte europea sul noto caso Schrems[27] che dichiara l’invalidità del cd. Safe Harbour”[28].
Gli avvicendamenti che conducono al nuovo accordo tra vecchio e nuovo continente forniscono un quadro complessivo piuttosto nitido sull’istituto della valutazione di adeguatezza. Quest’ultima, infatti, benché cristallizzata in una disposizione ad hoc, lungi dal mostrare contorni applicativi netti, consentendo agli attori in gioco di conservare, nell’interpretazione dell’articolato normativo, ampi margini di discrezionalità.
La valutazione di adeguatezza, in quanto tale, alla luce delle vicende legate al caso Schrems, mostra (almeno) tre differenti dimensioni: politica, normativa ed economica.
Quanto alla prima, autorevole dottrina evidenzia come l’anzidetta pronuncia della Corte rappresenti un passo ulteriore verso l’affermazione di una «sovranità digitale dell’Unione Europea»[29]. Una sovranità, quest’ultima, intesa nella sua più tradizionale accezione, ovvero come «potere di controllare, de iure e de facto, un certo spazio, le attività che ivi si svolgono, coloro che vi entrano, come tale spazio è organizzato, amministrare poteri di polizia, giudiziari e di sicurezza»[30]. Un passo ulteriore – si aggiunge – rispetto alla (altrettanto) recente sentenza sul noto caso Google Spain[31] in cui la Corte afferma la sovranità digitale europea su entità economiche che operano nello spazio economico dell’Unione[32], sia pure mediante Internet.
Per il tramite delle citate pronunce la Corte, pertanto, definisce i confini dei poteri sovrani, statuendo, con assoluta chiarezza, la propria supremazia giudiziale sui temi più delicati, come quello della politica internazionale[33].
In merito alla dimensione normativa, invece, gli artt. 25 e 26 delineano due (e solo due) diverse modalità volte a garantire, ai dati personali dei cittadini europei, adeguati standard di tutela: da un lato, gli accordi tra importatori ed esportatori di dati (coniugati in forme più o meno flessibili di statuizioni contrattuali), dall’altro, le valutazioni di adeguatezza. In relazione a queste ultime, ciascuno dei parametri delineati dalla disposizione deve essere puntualmente valutato da parte della Commissione, pena (come accaduto) la caducazione della decisione stessa. La Commissione, ad esempio, nel constatare l’adeguatezza dell’ordinamento statunitense, valuta quale unico parametro gli «impegni […] assunti in seguito ai negoziati» e non anche la «legislazione nazionale» e gli «impegni internazionali», che consentono, nel caso di specie, ampie deroghe in favore delle autorità pubbliche di sicurezza americane[34]. In questo modo, la Commissione finisce col sostituire l’adeguatezza dello strumento, ovvero del Safe Harbour, all’adeguatezza dell’ordinamento statunitense, creando un tertium genus non previsto dagli artt. 25 e 26[35].
Quanto, infine, alla dimensione economica, dalla casistica sinora citata (Google Spain e Schrems) e dalla nota sentenza Digital Rights Ireland[36], appare evidente che la Corte applica un parametro interpretativo generale di progressiva gerarchizzazione del sistema dei diritti fondamentali che favorisce la protezione dei dati personali sull’interesse pubblico e quello economico[37].
Se da un lato è facile comprendere le ragioni di un interesse pubblico all’utilizzo di taluni dati[38], dall’altro non è sempre agevole delineare i contorni dell’interesse economico sotteso a determinati trattamenti.
Per le imprese i dati rappresentano a tutti gli effetti beni economici[39], in quanto tali liberamente scambiabili e il cui trasferimento risulta essenziale per lo sviluppo del commercio elettronico internazionale[40]. Autorevole dottrina, invero, considera le “informazioni”, ovvero i dati, quale espressione di un precipuo valore economico tale da consentire, a coloro che ne sono in possesso, di generare profitti altrimenti non (o difficilmente) conseguibili[41]. Da volano delle strategie commerciali[42] a oggetto principale di attività imprenditoriali, i dati assumono, ormai, un ruolo centrale nel panorama economico mondiale, rappresentando, in buona sostanza, una forma di capitale[43]. Ma essi comportano, seppur in minor misura, anche un costo “normativo”[44] per gli attori economici, in quanto tale potenzialmente produttivo di svantaggi per le imprese in termini di competitività, soprattutto (e a fortiori) ove ricorrano trasferimenti transfrontalieri di dati. Si pensi, a titolo esemplificativo, al vantaggio competitivo delle imprese europee rispetto a quelle statunitensi in seguito alla caducazione del regime Safe Harbour, considerati i costi che queste ultime avrebbero dovuto sopportare – senza una nuova valutazione di adeguatezza – per rendere i trasferimenti transfrontalieri da loro operati conformi alla normativa europea[45].
Nel contesto ivi delineato, considerate le molteplici incidenze generate da ciascuna delle tre dimensioni illustrate, è dunque cruciale il ruolo di supplenza politica svolto dalla Corte di giustizia, la quale non solo estende (in più occasioni) l’applicabilità della normativa europea[46], ma anticipa, interpretando la Direttiva, il nuovo reg. UE n. 679/2016 sulla protezione dei dati personali[47].
5. La valutazione di adeguatezza a norma del nuovo Regolamento
In considerazione delle riflessioni sinora espresse, il nuovo Regolamento europeo sulla protezione dei dati rappresenta, con ogni evidenza, la corretta sintesi tra le esigenze della prassi applicativa e gli orientamenti della giurisprudenza comunitaria e delle autorità garanti nazionali. Se da un lato, infatti, innalza il livello di tutela degli interessati[48], dall’altro invece, offre agli attori economici soluzioni più efficienti e rapide per la gestione dei trattamenti[49].
Segnatamente, il capo V del reg. UE n. 679/2016, dedicato ai «trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali», razionalizza e amplia la (pre)vigente disciplina, offrendo ai titolari e responsabili un maggior numero di alternative potenzialmente percorribili affinché un determinato trasferimento possa essere considerato conforme alla normativa europea.
Un segno di continuità rispetto alla Direttiva è rappresentato dal ruolo centrale affidato alla valutazione di adeguatezza. L’art. 45, par. 1, infatti, dispone che «il trasferimento di dati […] è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato». Ciò che subito risalta all’occhio è l’ampliamento dei soggetti passibili di valutazione da parte della Commissione, laddove, oltre ai paesi terzi, le disposizioni sui trasferimenti prendono espressamente in considerazione anche le organizzazioni internazionali, nonché territori e settori specifici. Una novità rilevante, che richiederà certamente ulteriori specificazioni in via interpretativa, ma che in ogni caso consente maggiore flessibilità rispetto a quella attuale[50].
Inoltre, quanto al concetto stesso di “adeguatezza”, dalla lettura del considerando 104, a norma del quale «il paese terzo dovrebbe offrire garanzie di un adeguato livello di protezione sostanzialmente equivalente a quello assicurato all’interno dell’Unione», il legislatore comunitario sembra recepire gli orientamenti della Corte europea[51].
Nella redazione dell’articolato normativo il legislatore comunitario opta, dunque, per un elevato livello di dettaglio, tale da ridurre – almeno potenzialmente – l’incertezza generata dalla parziale vaghezza di talune norme della (pre)vigente normativa. Alla sintetica elencazione dei criteri di valutazione a norma dell’art. 25, par. 2 della Direttiva, si contrappone un dettagliato e cospicuo elenco[52] degli elementi che la Commissione è tenuta a considerare ai fini del giudizio sull’adeguatezza ai sensi dell’art. 45, par. 2 del Regolamento. In particolare, infatti, la Commissione deve prendere in considerazione: «a) lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale […], così come l’attuazione di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo […], la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati; b) l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti […], con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri; c) gli impegni internazionali assunti […] o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti come pure (la, ndr) partecipazione a sistemi multilaterali o regionali». Un elenco di requisiti, insomma, di gran lunga più dettagliato e cospicuo rispetto a quello enucleato dalla Direttiva[53].
A prima vista una delle novità più rilevanti, in relazione all’art. 45, par. 2, è il requisito dell’esistenza nel paese terzo di una (o più) autorità di controllo in grado di assicurare il rispetto delle norme sulla protezione dei dati personali, dotata, a tal scopo, di adeguati poteri di controllo e esecuzione[54].
La procedura di valutazione ai sensi dell’art. 45, par. 2, può condurre all’eventuale adozione di «atti di esecuzione»[55], una categoria quest’ultima, in cui certo rientrerebbero accordi quali, ad esempio, il Safe Harbour o il Privacy Shield. Quanto ai contenuti degli atti di esecuzione la norma prevede, da un lato, che venga specificato l’ambito di applicazione geografico e settoriale e, ove applicabile, identificate le autorità di controllo e, dall’altro, che venga previsto «un meccanismo di riesame periodico, almeno ogni quattro anni, che tenga conto di tutti gli sviluppi pertinenti nel paese terzo o nell’organizzazione internazionale».
Obiettivo della norma è, dunque, quello di evitare che accordi sull’adeguatezza risalenti nel tempo continuino a produrre i propri effetti senza alcun tipo di controllo successivo da parte della Commissione[56]. Oltre, infatti, agli anzidetti meccanismi di riesame periodico, il reg. UE n. 679/2016 dispone che «la Commissione controlla su base continuativa gli sviluppi nei paesi terzi e nelle organizzazioni internazionali che potrebbero incidere sul funzionamento delle decisioni adottate» (art. 45, par. 4).
In assoluta continuità rispetto ai meccanismi di riesame e controllo è, inoltre, la previsione di cui al par. 5 dell’art. 45 che consente alla Commissione di revocare, modificare o sospendere la decisione di adeguatezza «mediante atti di esecuzione senza effetto retroattivo». Revocata o sospesa la decisione, pertanto, la Commissione, a norma del par. 6 della medesima disposizione, ha la facoltà di avviare consultazioni con il paese terzo per porre rimedio alla situazione che conduce alla caducazione, temporanea o permanente, del provvedimento.
Quanto, infine, alla sorte delle decisioni adottate a norma della Direttiva, ai sensi del par. 9 dell’art. 45 del Regolamento esse «restano in vigore fino a quando non sono modificate, sostituite o abrogate da una decisione della Commissione».
6. Conclusioni
L’intento del legislatore europeo di rafforzare e uniformare la disciplina in materia di protezione di dati personali è reso palese sia dal tipo di strumento normativo impiegato, ovvero il regolamento, che dal particolare dettaglio delle norme ivi contenute. Nonostante le premesse, però, il testo presenta ancora numerose lacune in ottica di armonizzazione delle legislazioni nazionali europee, riconoscendo ai paesi membri, tuttora, discreti margini di manovra in relazione alla sua attuazione: si pensi, a titolo esemplificativo, al potere degli stati di prevedere limiti di età inferiori ai sedici anni per la liceità dei trattamenti di dati personali di minori[57].
Il sistema complessivo delineato dall’art. 45, in relazione alla valutazione di adeguatezza dei paesi terzi, è improntato su un sistema di “checks and balances”, volto a un equo bilanciamento tra interessi economici, interessi pubblici e diritti fondamentali: ciò giustifica, ad esempio, la scelta del legislatore europeo di considerare, oltre ai paesi terzi, anche le organizzazioni internazionali, nonché territori e settori specifici, allo fine di accordare alla Commissione maggiore flessibilità in sede di negoziazione.
Il nuovo Regolamento consacra il diritto alla privacy e alla protezione dei dati personali quali autonomi diritti fondamentali, sulla scorta di quanto già avvenuto con la Carta dei diritti fondamentali dell’Unione[58]. Ciò nondimeno, sembra esser mancata, a contrario, una riflessione sui potenziali interessi economici, non dei fornitori di servizi, ma degli interessati al trattamento. Troppo spesso, infatti, i loro dati personali vengono trattati in cambio di servizi, per così dire, “premium”, senza che gli stessi abbiano alcun potere di contrattazione a riguardo, se non accettare o meno. È così, dunque, che l’interessato, quale parte debole di un rapporto dai forti connotati di reciprocità, è costretto a sottostare all’assoluto dominio contrattuale (e non) degli attori economici. Come avvenuto con il codice del consumo, di per sé volto a colmare la naturale sperequazione esistente tra professionista e consumatore, parimenti ci si sarebbe auspicato avvenisse per gli interessati al trattamento dei dati personali: una sorta di posizione intermedia in grado di conciliare i caratteri classici dei diritti fondamentali con quelli propri dei diritti disponibili.
Note bibliografiche
[*] Il presente contributo è stato preventivamente sottoposto a referaggio anonimo affidato ad un componente del Comitato di Referee secondo il Regolamento adottato da questa Rivista.
[1] Cfr. dir. CE 95/46 del P.E. e del Cons. del 24-10-1995. L’Italia ha dato attuazione alla direttiva mediante il d.lgs. 30-6-2006 n. 196 recante il Codice in materia di protezione dei dati personali. Per un’analisi della normativa italiana si rinvia, tra gli altri, a AA.VV, Diritto dell’informatica, F. Delfini, G. Finocchiaro (a cura di), Torino, 2014; AA.VV, Il diritto alla protezione dei dati. La disciplina sulla privacy alla luce del nuovo Codice, R. Acciai (a cura di), Rimini, 2003; AA.VV, Il codice del trattamento dei dati personali, V. Cuffaro, R. D’Orazio, V. Ricciuto (a cura di), Torino, 2007; F. Cardarelli, S. Sica, V. Zeno-Zencovich, Il codice dei dati personali. Temi e problemi, Milano, 2007; R. Imperiali, R. Imperiali, Il codice della privacy. Commento alla normativa sulla protezione dei dati personali, Milano, 2004. Quanto, invece, alla previgente normativa, ovvero la l. 31-12-1996 n. 675, si segnalano G. Buttarelli, Banche dati e tutela della riservatezza: la privacy nella società dell’informazione, Milano, 1997; E. Giannantonio, M.G. Losano, V. Zeno-Zencovich, La tutela dei dati personali. Commentario alla legge 675/96, Padova, 1997.
[2] Convezione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, sottoscritta a Strasburgo il 28-1-1981. Secondo F. Modafferi i principi della tutela dei diritti e delle libertà delle persone, in particolare del rispetto della vita privata, contenuti nella Direttiva, precisano e ampliano quelli enunciati dalla Convenzione (cfr. F. Modafferi, Lezioni di diritto alla protezione dei dati personali, alla riservatezza e all’identità personale, Roma, 2015, p. 46).
[3] Sul punto si condividono le riflessioni espresse in Ibid. Secondo l’A. lo strumento comunitario della direttiva appariva al tempo il più indicato ad armonizzare le legislazioni nazionali. Un obiettivo, quest’ultimo, volto a garantire un elevato grado di protezione dei dati personali in tutta l’Unione, in linea con quanto già previsto dall’art. 8 CEDU e dai principi generali del diritto europeo (rectius, comunitario). L’armonizzazione delle legislazioni nazionali oltre a un elevato livello di protezione dei dati personali sono, a parere del legislatore comunitario, condizioni non solo sufficienti, ma anche necessarie alla concretizzazione del principio della libera circolazione dei dati.
[4] Benché già pubblicato sulla G.U., il reg. UE n. 679/2016 entra in vigore solo il 28-5-2018.
[5] Nel 2012 la Commissione presenta una proposta di riforma organica della Direttiva europea sulla protezione e la libera circolazione dei dati. Discussa la proposta, nel 2015 il Parlamento europeo, il Consiglio e la Commissione europea avviano i negoziati sulla «proposta di regolamento generale sulla protezione dei dati», nel quadro di una procedura di co-decisione nota come “trilogo informale”. Le tre istituzioni, in buona sostanza, esaminano la proposta regolamentazione nell’ambito del più ampio pacchetto di riforma in materia di protezione dei dati, comprendente, altresì, la dir. 2016/680/UE del P.E. e del Cons. del 27-4-2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Cons.
[6] La mancanza di una valutazione di adeguatezza, tuttavia, non comporta la necessaria impossibilità di trasferire dati, essendo agli importatori e agli esportatori consentito di adottare ulteriori misure di liceità del trattamento (come, ad esempio, le binding corporate rules o le standard contractual clauses), volte a garantire che il trasferimento operato non riduca il livello di protezione, né, tantomeno, aggiri i limiti imposti dalla normativa europea.
[7] Cfr. V. Frosini, L’orizzonte giuridico dell’Internet, in Dir. inf., 2, 2000, p. 275, secondo cui la libertà informatica in senso attivo è «il diritto di partecipazione alla società virtuale, che è stata generata dall’avvento degli elaboratori elettronici nella società tecnologica».
[8] Si legga, al riguardo, il parere del Gruppo dell’articolo 29 sul «Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati» (WP 12) del 24-7-1998 [doc. web n. 1606866].
[9] La «Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale», firmata a Strasburgo il 28-1-1981, rappresenta il primo strumento internazionale obbligatorio volto alla disciplina dei flussi transfrontalieri dei dati personali. Otre le garanzie previste per il trattamento automatizzato dei dati, la convenzione vieta il trattamento dei dati cd. delicati, in assenza di garanzie previste dal diritto nazionale, imponendo, tra l’altro, limitazioni ai flussi transfrontalieri di dati verso paesi in cui non esiste alcuna «protezione equivalente» a quella garantita nel paese di origine dei dati (art. 12, par. 3, lett. a).
[10] Sin dalla loro pubblicazione, nel 1980, le «Linee guida sulla tutela della privacy e flussi transfrontalieri di dati personali» influenzano i legislatori nazionali e sovranazionali nel tentativo di trovare un giusto equilibrio tra utilizzo e protezione dei dati personali. Il loro successo è dovuto, in larga parte, al coinvolgimento di riconosciuti esperti del settore provenienti dalle principali economie del mondo. Nel corso degli anni sono diventate, pertanto, il fondamento per la maggior parte delle legislazioni nazionali e sovranazionali a protezione dei dati personali. Le linee guida presentano un approccio, per così dire, globale, comprendendo la raccolta, la qualità dei dati, le finalità specifiche del trattamento, le limitazioni all’utilizzo, le misure di sicurezza, i diritti dell’interessato e i profili di responsabilità.
[11]Cfr. «Linee guida per la gestione degli schedari computerizzati di dati personali» adottate dall’Assemblea Generale dell’ONU con la risoluzione 45/49 del 14-12-1990.
[12] Per una riflessione, a livello comparatistico, sul diritto alla privacy e alla protezione dei dati, si rinvia a T.E. Frosini, Liberté Egalité Internet, Napoli, 2015.
[13] Né, tantomeno, utili, a tal proposito, si rivelano le Linee Guida dell’OCSE del 1980, le quali prevedono unicamente l’obbligo, per le legislazioni nazionali, di «prendere in considerazione» gli orientamenti espressi, senza, dunque, offrire alcun mezzo procedurale volto a garantire un’efficace tutela dei dati personali. Le Linee Guida dell’ONU del 1990, invece, contengono alcune disposizioni relative al controllo e alle sanzioni, il che traduce la diffusa consapevolezza a livello internazionale della necessità di dare un’adeguata ed effettiva applicazione alle norme poste a tutela dei dati personali (cfr. parere cit. del Gruppo dell’articolo 29 sul «Trasferimento di dati personali verso paesi terzi»).
[14] A tal proposito, l’art. 44, co. 1 del d.lgs 30-6-2003 n. 196, attuativo della Direttiva, annovera, tra i trasferimenti «autorizzati dal garante sulla base di adeguate garanzie per i diritti dell’interessato», anche quelli svolti sulla base di una decisione di adeguatezza.
[15] A norma dell’art. 31, par. 2 la Commissione sottopone al comitato un progetto delle misure da adottare. Quest’ultimo, entro un termine che varia a seconda dell’urgenza, formula, quindi, il proprio parere in merito alle misure prospettate.
[16] Cfr. Corte giust., sent. 6-10-2015, C-362/14, Schrems, pt. 73.
[17] Cfr. A. Mantelero, Il trattamento dati nelle imprese nel post “Safe Harbour”. Strategie di breve, medio e lungo termine, in Dir. inf., 4-5, 2015, p. 887.
[18] Cfr. considerando 56 e art. 25, par. 2.
[19] Si rinvia, in proposito, ad AA.VV, Diritto dell’informatica, cit., p. 675.
[20] A norma dell’art. 25, par. 4 «qualora la Commissione constati, secondo la procedura dell’art. 31, par. 2, che un paese terzo non garantisce un livello di protezione adeguato […], gli stati membri adottano le misure necessarie per impedire ogni trasferimento di dati della stessa natura verso il paese terzo in questione».
[21] La Direttiva, peraltro, conferisce la funzione di controllo, circa l’adeguatezza del regime di protezione dei dati personali garantito dai paesi terzi, sia alla Commissione che agli stati membri: entrambi, infatti, ai sensi dell’art. 25, par. 3, dovranno comunicarsi a vicenda i casi in cui tale requisito non risulta integrato.
[22] Cfr. A. Mantelero, Il trattamento dati nelle imprese, cit., p. 888.
[23] Come giustamente osservato, «i dati personali, trattati in blocchi di elementi combinati e combinabili innumerevoli volte, sono forieri di produrre “nuovo valore” nel senso di correlazioni e risultati utili» (cfr. G. Giannone Codiglione, Libertà di impresa, concorrenza e neutralità della rete nel mercato transnazionale dei dati personali, in Dir. inf., 4-5, 2015, p. 911).
[24] Un’analisi del fenomeno è offerta da A. Mantelero, il quale sostiene che «sotto il profilo organizzativo, una volta che […] le imprese dei paesi terzi […] (hanno adottato, ndr) standard simili a quelli comunitari, si è in molti casi generata una sorta di propagazione spontanea di questi ultimi». Sempre secondo l’A., «in un contesto dominato dall’elaborazione aggregata delle informazioni originate da fonti diverse, è risultato infatti sovente impossibile od inefficiente, per i partner delle imprese comunitarie, separare i dati provenienti da quest’ultime dai dati propri». È per questo che «gli Stati stessi, spesso a ciò indotti dalle proprie imprese, hanno ritenuto vantaggioso adottare delle norme in materia di data protection che fossero conformi al modello comunitario, onde ridurre gli oneri in capo alle imprese locali in termini di negoziazione ed adeguamento al livello di tutela richiesto dall’Unione» (cfr. A. Mantelero, Il trattamento dati nelle imprese, cit., p. 888). Una prospettiva, quest’ultima, condivisa da B. Carotti secondo cui «in linea con la tradizione statunitense in materia di privacy, (la Commissione, ndr) ha ritenuto che la migliore forma di protezione fosse offerta dalla competizione degli operatori e dalla auto-regolazione (secondo il seguente schema ideale: si offre un servizio in cambio di dati; chi nega il consenso rinuncia al servizio; la concorrenza spinge le imprese a innalzare il livello di tutela, in quanto gli utenti convergono naturalmente verso le imprese che offrono livelli di protezione maggiori)» (cfr. B. Carotti, Il caso Schrems, o del conflitto tra riservatezza e sorveglianza di massa, in Giornale dir. amm., 3, 2016, p. 338).
[25] Tale clausola rappresenta, a parer di chi scrive, un evidente segnale, nell’ottica del bilanciamento degli interessi coinvolti, della necessaria preponderanza dei diritti e dei doveri riconosciuti dalla Direttiva a scapito degli interessi economici. In altre parole, le negoziazioni tra Commissione e paesi terzi, pur prendendo in debita considerazione le conseguenze economiche di una mancata valutazione di adeguatezza, hanno come principale obiettivo l’estensione della protezione dei dati dei cittadini europei oltre i confini dell’Unione, ragion per cui limiti temporali all’adozione di nuovi accordi risulterebbero contrari alla ratio della disciplina stessa.
[26] Nel 2016 la Commissione europea e il governo degli Stati Uniti raggiungono un accordo politico su un nuovo regime per i trasferimenti transfrontalieri di dati personali a fini commerciali, il cd. Privacy Shield. A seguito del parere del Gruppo dell’articolo 29 e della risoluzione del P.E. sul progetto di decisione, la Commissione completa la procedura di adozione il 12-7-2016. Per una disamina sul passaggio dal vecchio al nuovo regime si v. A. Mantelero, From Safe Harbour to Privacy Shield. The “Medieval” sovereignty on personal data, in Contr. e impr. Europa, 1, 2016. Secondo l’A. la sentenza della Corte di giustizia sul noto caso Schrems (cfr. Corte giust., sentenza 6-10-2015, C-362/14, Schrems), se da un lato rivela il tentativo di riaffermare i vincoli europei al trattamento dei dati personali, dall’altro ne svela la strutturale, intrinseca fragilità.
[27] Nel 2013 Maximilian Schrems presenta reclamo innanzi l’Autorità irlandese per la protezione dei dati affermando che, alla luce delle rivelazioni di Edward Snowden, in relazione alle attività dei servizi di intelligence americani, le leggi degli Stati Uniti non offrono un livello di protezione dei dati adeguato agli standard previsti dalla normativa europea. In seguito all’archiviazione del reclamo, ritenuto inammissibile in ragione della già verificata adeguatezza da parte della Commissione (cfr. decisione CE n. 520/2000), il caso è rimesso all’esame del Corte Suprema irlandese che, in sede di rinvio pregiudiziale, chiede alla Corte di giustizia se, a seguito di reclamo, una decisione di adeguatezza a norma dell’art. 25 impedisca effettivamente al Garante irlandese di verificare in autonomia il livello di protezione dei dati del paese terzo. A tal proposito, la Corte di Giustizia, in primo luogo, chiarisce che l’esistenza di una decisione di adeguatezza non può né escludere, né, tantomeno, ridurre i poteri delle autorità nazionali, potendo queste ultime valutare autonomamente e indipendentemente se il trasferimento di dati verso un paese terzo soddisfi, o meno, i requisiti previsti dalla Direttiva, e, in secondo luogo, invalida la decisione CE n. 520/2000 in quanto ritenuta non sufficiente a impedire alle pubbliche autorità statunitensi di interferire con i diritti fondamentali degli interessati (cfr. Corte giust., sentenza 6-10-2015, C-362/14, Schrems). Sugli effetti del cd. datagate, generato dalle rivelazioni di Edward Snowden, si v. G. Resta, La sorveglianza elettronica di massa e il conflitto regolatorio USA/UE, in G. Resta, V. Zeno-Zencovich (a cura di), La protezione transnazionale dei dati personali. Dai “Safe Harbor Principles” al “Privacy Shield”, Roma, 2016;
[28] Per una disamina dei principi del Safe Harbour si v. V. D’Antonio, S. Sica, I Safe Harbour Privacy Principles: genesi, contenuti, criticità, in Dir. inf., 4-5, 2015. Sempre in tema, par qui significativo richiamare il contributo di S. Singleton che, già prima della definizione e dell’applicazione del regime Safe Harbour, analizza i rischi del sistema statunitense, in particolare relativi alla formazione di «archivi governativi» che contrastano con la tutela dei diritti fondamentali garantiti dall’Unione Europea (cfr. S. Singleton, Privacy and Human Rights: Comparing the United States to Europe, in Cato White Papers and Miscellaneous Reports, 1999). Sulla medesima scia si collocano, peraltro, J. Chester e C. Connolly che sottolineano gli aspetti critici del Safe Harbour soprattutto in termini di efficacia e attuazione (cfr. J. Chester, CDD Files Complaint on U.S./EU Safe Harbour for Data Privacy at FTC/Filing Reveals Failure of U.S. Agreement to Protect European Privacy, Centre for Digital Democracy, 2014 e C. Conolly, EU/US Safe Harbour – Effectiveness of the Framework in relation to National Security Surveillance, Speaking/background notes for an appearance before the Committee on Civil Liberties, Justice and Home Affairs (the LIBE Committee) inquiry on “Electronic mass surveillance of EU citizens”, Strasburgo, 2013).
[29] Cfr. V. Zeno-Zencovich, Intorno alla decisione nel caso Schrems: la sovranità digitale e il governo internazionale delle reti di telecomunicazione, in Dir. inf., 4-5, 2015, p. 683.
[30] Ibid.
[31] Nel 2010 un cittadino spagnolo propone reclamo all’Agenzia spagnola di protezione dei dati contro un quotidiano locale, nonché contro Google Spain e Google Inc. In particolare, il ricorrente denuncia la presenza, nell’elenco di risultati del motore di ricerca associati al proprio nome, di due pagine risalenti al circa dodici anni prima, relative a una vendita all’asta di immobili per un pignoramento dovuto a crediti previdenziali non corrisposti. Lamentando l’obsolescenza della notizia, il ricorrente ne adduce l’irrilevanza e la lesività. Ciò nonostante, il Garante, ritenuta legittima la pubblicazione da parte dell’editore, accoglie il reclamo solo in parte, ovvero nei confronti di Google Spain e Google Inc. cui impone, per contro, di adottare le necessarie misure per la rimozione dei dati dai loro indici e per renderne impossibile il futuro accesso. Investita del ricorso, la Corte nazionale spagnola decide, quindi, di operare un rinvio pregiudiziale alla Corte di giustizia europea. Quest’ultima, in proposito, afferma che integra un trattamento di dati personali l’attività di un motore di ricerca consistente nel trovare informazioni pubblicate da terzi su Internet, indicizzarle in modo automatico, memorizzarle temporaneamente e, infine, metterle a disposizione degli utenti, qualora tali informazioni contengano dati personali. In ragione di ciò, la Corte riconosce in capo a Google la qualifica di titolare del menzionato trattamento, in considerazione del suo potere nel determinarne finalità e strumenti (cfr. Corte giust., sent. 13-5-2014, C-131/12, Google Spain). Per un commento alla sentenza, tra gli altri, si v. AA.VV, Il diritto all’oblio su Internet dopo la sentenza Google Spain, G. Resta, V. Zeno-Zencovich (a cura di), Roma, 2015; M. Castellaneta, Così l’oblio mette a rischio la libertà di espressione, in Guida dir., 24, 2014; V. D’Antonio, S. Sica, La procedura di de-indicizzazione, in G. Resta, V. Zeno-Zencovich (a cura di), op. cit.; T.E. Frosini, Diritto all’oblio e internet, in federalismi.it, 1, 2014; Id., Google e il diritto all’oblio preso sul serio, in G. Resta, V. Zeno-Zencovich (a cura di), op. cit.; A. Palmieri, R. Pardolesi, Dal diritto all’oblio all’occultamento in rete: traversie dell’informazione ai tempi di Google, in Nuovi Quaderni del Foro Italiano, 1, 2014; S. Peron, Il diritto all’oblio nell’era dell’informazione on-line, in Resp. civ. prev., 4, 2014; R. Petti, La protezione dei dati e il caso Google Spain, in Diritto Mercato Tecnologia, 1, 2015; F. Pizzetti, Le Autorità Garanti per la Protezione dei Dati Personali e la Sentenza della Corte di Giustizia sul Caso Google Spain: è Tempo di Far Cadere il “Velo di Maya”, in Dir. inf., 4-5, 2014; O. Pollicino, Diritto all’oblio e conservazione di dati. La Corte di giustizia a piedi uniti: verso un digital right to privacy, in Giur. cost., 3, 2014; S. Ricci, Le ricadute penali della sentenza della Corte di Giustizia europea sul diritto all’oblio, in Cass. pen., 3, 2015; V. Zeno-Zencovich, Intorno alla decisione nel caso Schrems, cit.
[32] La Corte ha, in tal caso, operato una dilatazione del concetto di “stabilimento” (ai sensi dell’art. 4, par. 1, lett. a) non scevra di critiche, considerate le numerose precedenti pronunce in senso opposto.
[33] Si condividono, in proposito, le considerazioni di V. Zeno-Zencovich secondo cui, nel caso Schrems, «il concetto di sovranità si traduce nel termine elegante e tecnico di giurisdizione; […] ma è del tutto evidente che stabilire che una Corte è competente […] – e dunque ha giurisdizione – costituisce l’espressione di poteri sovrani» (cfr. V. Zeno-Zencovich, Intorno alla decisione nel caso Schrems, cit., p. 683).
[34] Come sostiene autorevole dottrina, «il vizio, che ha portato all’invalidità dell’accordo in questione, sta […] nel fatto che l’adeguatezza è stata riconosciuta sulla base della sola adesione al Safe Harbour, senza considerare che tale accordo prevedeva ampie deroghe a favore della legislazione statunitense, in virtù delle quali quest’ultima prevaleva sugli obblighi imposti dall’accordo alle imprese aderenti»; pertanto «un giudizio corretto sull’adeguatezza della tutela offerta ai dati negli USA avrebbe dovuto tenere conto anche delle disposizioni vigenti, per la parte in cui prevalevano sull’accordo Safe Harbour» (cfr. A. Mantelero, Il trattamento dati nelle imprese, cit., nota 6).
[35] Si concorda, pertanto, sul punto con A. Mantelero, ivi, 1.
[36] Nel 2014 la Corte di giustizia europea dichiara invalida la dir. CE 2006/24, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, a seguito di rinvio pregiudiziale presentato sia dalla Suprema Corte irlandese che dalla Corte Costituzionale austriaca in merito proprio alla validità stessa della disciplina, in quanto ritenuta lesiva di diritti fondamentali quali il rispetto della vita privata e la protezione dei dati personali, sanciti rispettivamente dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea (cfr. Corte giust., sentenza 8-4-2014, C-293/12 e C-594/12, Digital Rights Ireland). In proposito G. Resta evidenzia come la nota sentenza Schrems «non fa che trarre le logiche conseguenze dalle premesse fissate nella pronunzia Digital Rights e segnatamente dal tipo di bilanciamento ivi accolto tra privacy e sicurezza» (cfr. G. Resta, La sorveglianza elettronica di massa, cit., p. 42). Per un commento alla sentenza si v., tra gli altri, A. Arena, La Corte di giustizia sulla conservazione dei dati: quali conseguenze per le misure nazionali di recepimento?, in Quaderni cost., 3, 2014; A. Cisterna, L’archiviazione si genera in modo indiscriminato con l’obiettivo di contrastare la criminalità, in Guida dir., 26, 2014; E. Colombo, “Data retention” e Corte di giustizia: riflessioni a prima lettura sulla declaratoria di invalidità della direttiva 2006/24/Ce, in Cass. pen., 7-8, 2014; R. Flor, Dalla data retention al diritto all’oblio. Dalle paure orwelliane alla recente giurisprudenza della Corte di Giustizia. Quali effetti per il sistema di giustizia penale e quali prospettive “de jure condendo”?, in Dir. inf., 4-5, 2014; F. Iovene, Data retention tra passato e futuro. Ma quale presente?, in Cass. pen., 12, 2014; M. Nino, L’annullamento del regime della conservazione dei dati di traffico nell’Unione europea da parte della Corte di giustizia Ue: prospettive ed evoluzioni future del sistema europeo di “data retention”, in Dir. Unione eur., 4, 2014; O. Pollicino, Diritto all’oblio e conservazione di dati, cit.; E. Rossi, Il diritto alla privacy nel quadro giuridico europeo ed internazionale alla luce delle recenti vicende sulla sorveglianza di massa, in Dir. scambi internaz., 3, 2014; S. Scagliarini, La Corte di Giustizia bilancia diritto alla vita privata e lotta alla criminalità: alcuni pro e alcuni contra, in Dir. inf., 4-5, 2014.
[37] Cfr. G. Giannone Codiglione, Libertà di impresa, cit., p. 911.
[38] In tal caso con il termine dato ci si vuol riferire sia a quello personale che a quello anonimo.
[39] Come rilevato da G. Giannone Codiglione, «il tema dell’informazione intesa come “bene” si presta a letture diverse, a volte discordanti, strettamente connesse alla multiforme natura che essa può ricoprire (sotto un profilo soggettivo ed oggettivo), anche sincronicamente, in un determinato contesto». Si condivide, peraltro, l’impostazione dell’A. secondo cui «il regime giuridico dell’informazione in rete declinata nel senso di protezione dei dati personali rappresenta una risposta alla “dematerializzazione” degli attributi umani in ambito digitale basato su parametri qualitativi che riguardano la classificazione del singolo dato e le modalità e tempistiche di trattamento e conservazione» (cfr. G. Giannone Codiglione, Libertà di impresa, cit., nota 8). Sul punto si rinvia, tra gli altri, a Kennet J Arrow, ‘Economic Welfare and the Allocation of Resources for Invention’ in Richard R Nelson (ed), The Rate and Direction of Inventive Activity: Economic and Social Factors (Princeton University Press 1962); Jessica Litman, ‘Information Privacy/Information Property’ (2000) 52 Stan. L. Rev. 1283; C. Motti, R. Pardolesi, L’informazione come bene, in G. De Nova (a cura di), Dalle res alle new properties, Milano, 1991, pp. 37 ss.; G. Resta, Autonomia privata e diritti della personalità, Napoli, 2005; S. Rodotà, Tecnologie e diritti, Bologna, 1995; V. Zeno-Zencovich, voce Informazione (Profili Civilistici), voce in Digesto civ., IX, Torino, 1993, pp. 420 ss.
[40] In relazione al trasferimento dei dati quale fattore necessario per lo sviluppo del commercio elettronico internazionale si rinvia a V. Frosini, La libera circolazione dei beni e dei servizi informatici nel mercato comune europeo, in Dir. inf., 1, 1995, pp. 21-34; Ronald Wellington Brown, ‘Economic and Trade Related Aspects of Transborder Data Flow: Elements of a Code for Transnational Commerce Perspectives’ (1984) 6 Nw. J. Int’l L. & Bus. 1.
[41] Cfr. Kennet J Arrow, ‘Economic Welfare and the Allocation of Resources for Invention’, cit., pp. 614-615. Le riflessioni dell’A., pur risalendo a un periodo storico di gran lunga antecedente all’esplosione del mercato digitale, risultano, nondimeno, pienamente attuali, ancorché con i dovuti adeguamenti al contesto tecnico, giuridico ed economico contemporaneo. Ovviamente, il progresso tecnologico fa venir meno il carattere di “indivisibilità delle informazioni” su cui riflette l’A., essendo oggi i dati passibili di infiniti frazionamenti e successive aggregazioni. Inoltre, come prospettato dall’A., l’attuale presenza di una «special legal protection», ovvero di norme volte alla regolamentazione dei trasferimenti di dati, consente effettivamente al possessore di determinate informazioni (rectius, dati) di «venderle sul libero mercato». Tuttavia, pur fondandosi su corrette premesse, l’approdo ragionativo dell’A., secondo cui «qualsiasi acquirente può distruggere il monopolio (sul possesso delle informazioni, ndr), dal momento che (ottenendole, ndr) è in grado di riprodurre le informazioni a basso o nessun costo», non risulta attualmente condivisibile. Nell’era dei big data il monopolio sulle informazioni appartiene, indubbiamente, a coloro che riescono ad archiviare e, successivamente, elaborare il maggior numero di dati nel minor tempo possibile. Ciò detto, rileggendo e attualizzando i concetti espressi dall’A., effettivamente «l’unico efficace monopolio potrebbe essere l’utilizzo delle informazioni da parte del loro originario proprietario», inteso nel senso di facoltà di disporne liberamente quale bene economico, ove ciò fosse (ovviamente) consentito dalla legge. Per una riflessione sui big data, infine, si v. Michael Mattioli, ‘Disclosing Big Data’ (2015) 99 Minn. L. Rev. 535.
[42] Si pensi, a titolo esemplificativo, al behavioural advertising, al customer profiling and segmentation, ovvero al emotional marketing, tutte forme di strategia commerciale fondate sull’estrazione, analisi, correlazione e utilizzo dei dati dei consumatori.
[43] A tale riguardo, un recente studio dell’OCSE affronta il tema della cd. data-driven innovation, ovvero l’innovazione tramite l’analisi e l’utilizzo dei dati. Con riferimento a questi ultimi sottolinea come, da un punto di vista puramente economico, essi non possano essere considerati né beni di consumo né, tantomeno, beni intermedi, essendo piuttosto ascrivibili alla categoria dei beni capitali. Infatti, benché i dati possano talvolta soddisfare in via diretta le richieste dei consumatori (come nel caso, appunto, dei beni di consumo), essi sono, nella maggior parte dei casi, fattori di produzione, visto e considerato che la domanda è rivolta spesso non ai dati in sé, ma ai benefici che sono in grado di generare. Inoltre, a differenza dei beni intermedi, i dati, quali beni capitali, non esauriscono la loro funzione con l’utilizzo, posta la loro «non-rivalrous nature» (neologismo coniato da Steven Weber): in altre parole, l’utilizzo dei dati da parte di un individuo non nega agli altri di servirsene contemporaneamente (cfr. Data-Driven Innovation. Big Data for Growth and Well-Being, in oecd.org, 6-10-2015). Sul punto si v. anche A. Gorz, L’Immatériel. Connaissance, valeur et capital, Paris, 2003, trad. it. di A. Salsano, L’immateriale. Conoscenza, valore e capitale, Torino, 2003, 107. Secondo l’A. è in atto un periodo di transizione dal capitalismo moderno, incentrato sulla valorizzazione di grandi quantità di capitale fisso materiale, a quello postmoderno, centrato, piuttosto, sulla valorizzazione del capitale immateriale, ovvero del cd. capitale umano.
[44] Si condivide il pensiero di G. Giannone Codiglione secondo cui la protezione dei dati personali è «un fattore che condiziona il perseguimento dell’interesse economico, imponendo alle imprese dei costi “normativi” che influenzano in via mediata l’assetto generale del mercato» (cfr. G. Giannone Codiglione, Libertà di impresa, cit., p. 910). Il tema del “costo della privacy”, nel senso di analisi dell’impatto della regolamentazione sull’attività di impresa, è ampiamente esplorato dalla dottrina: si v., in particolare, Garry S Grossman, ‘Transborder Data Flow: Separating the Privacy Interests of Individuals and Corporations’ (1982) 4 Nw. J. Int’l L. & Bus. 1, nonché A. Mantelero, Il costo della privacy tra valore della persona e ragione d’impresa, Milano, 2007.
[45] A contrario, ovvero sotto la vigenza del regime Safe Harbour, «la creazione di un “canale preferenziale” di trasferimento di dati tra un paese comunitario ed un paese terzo sfavoriva le imprese unicamente operanti in Europa poiché, di fatto, venivano eluse le normative sulla sicurezza dei dati e la durata del trattamento per scopi di interesse generale […] e in senso più ampio si creava un vantaggio competitivo in termini di costi di conformazione ai concorrenti con sede sul territorio statunitense» (cfr. G. Giannone Codiglione, Libertà di impresa, cit., p. 910). In relazione ai citati «scopi di interesse generale» e in particolare al caso Snowden si rinvia a Paul M Schwartz, ‘The Eu-U.S. Privacy Collision: A Turn To Institutions And Procedures’ (2013) 126 Harv. L. Rev. 1966, nonché Francesca Bignami, ‘European Versus American Liberty: A Comparative Privacy Analysis of Antiterrorism Data Mining’ (2007) 48 B.C.L. Rev. 609.
[46] In merito si v. G. Resta, La sorveglianza elettronica di massa, cit., p. 44, secondo cui «a seguito della controversia Schrems c. Data Protection Commissioner l’attitudine “extraterritoriale” della normativa europea in materia di protezione dei dati risulta ulteriormente rafforzata». L’A. rileva che «se con la pronunzia Google Spain l’ambito oggettivo di applicazione della direttiva definito dall’art. 4 è stato esteso in via interpretativa, con la decisione Schrems è lo strumento offerto dall’art. 25 a essere significativamente potenziato». Sempre sul punto si v., tra gli altri, Dan Jerker B Svantesson, ‘The Extraterritoriality of EU Data Privacy Law – Its Theoretical Justification and Its Practical Effect on U.S. Businesses’ (2014) 50 Stan. J. Int’l L. 53; Id., ‘Extraterritoriality in Data Privacy Regulation’ (2013) 7 Masaryk U. J.L. & Tech. 87; Yves Poullet, ‘Transborder Data Flows and Extraterritoriality: The European Position’ (2007) 2 J. Int’l Commerc. L. & Tech. 141.
[47] Cfr. G. Finocchiaro, La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems, in Dir. inf., 4-5, 2015, p. 780.
[48] Si condividono le riflessioni di F. Pizzetti, in relazione alla nuova disciplina sui trasferimenti, secondo cui «la linea di continuità rispetto alla Direttiva 95/46 è fortemente dominante, a dimostrazione che […] resta una forte spinta a fare della protezione dei dati una barriera invisibile a difesa della “fortezza Europa”» (cfr. F. Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, Torino, 2016, p. 161).
[49] Non mancano, tuttavia, critiche di chi ritiene che il Regolamento «tende a diluire in un gran numero di norme, collocate secondo criteri non sempre comprensibili, innovazioni molto importanti […] senza però riuscire a costruire un sistema armonioso e “leggibile” del futuro della protezione dei dati che le norme in esso contenute dovrebbero concorrere ad assicurare» (cfr. Ivi, p. 153).
[50] Cfr. Ivi, p. 162.
[51] La Corte, nella nota sentenza Schrems, sostiene, infatti, che «è vero che il termine “adeguato” […] implica che non possa esigersi che un paese terzo assicuri un livello di protezione identico a quello garantito nell’ordinamento giuridico dell’Unione; tuttavia, […] l’espressione “livello di protezione adeguato” deve essere intesa nel senso che esige che tale paese assicuri effettivamente […] un livello di protezione delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito all’interno dell’Unione» (cfr. Corte giust., sentenza del 6-10-2015, C-362/14, Schrems, pt. 73). Secondo M. Bassini, la norma espressa dall’art. 25 della Direttiva è stata oggetto di un evidente processo di manipolazione che, «dietro un’evidente pressione per un rafforzamento delle tutele nel rapporto con l’ordinamento statunitense», ha condotto all’annullamento della decisione CE n. 520/2000, «con una motivazione, tuttavia, che rispecchia indirettamente l’insufficienza (del criterio dell’adeguatezza, ndr), in surrogazione (interpretativa) del quale viene utilizzato il parametro relativo alla equivalenza sostanziale della protezione» (cfr. M. Bassini, O. Pollicino, La Carta dei diritti fondamentali dell’Unione europea nel reasoning dei giudici di Lussemburgo, in G. Resta, V. Zeno-Zencovich (a cura di), cit., p. 77). L’A., peraltro, evidenzia il ruolo cruciale che nel caso Schrems assumono gli artt. 7 e 8 della Carte dei diritti fondamentali dell’Unione che, ancorché non coinvolti nella «triangolazione tra decisione, direttiva e Safe Harbour». Grazie ad essi, infatti, la Corte è in grado di elevare, da un lato, la «valutazione generale sul livello di protezione offerto dalla direttiva», e dall’altro, «lo standard di tolleranza» per legittimare trasferimenti transfrontalieri di dati, «convertendo […] in equivalenza il parametro […] di adeguatezza» (cfr. Ivi, p. 79). Ciò è reso ancor più evidente dalla lettura della sentenza: secondo la Corte, infatti, «le disposizioni della direttiva 95/46, disciplinando il trattamento di dati personali che possono arrecare pregiudizio alle libertà fondamentali e, segnatamente, al rispetto della vita privata, devono essere necessariamente interpretate alla luce dei diritti fondamentali garantiti dalla Carta» (cfr. Corte giust., sentenza del 6-10-2015, C-362/14, Schrems, pt. 38).
[52] Si leggano, in proposito, i considerando 104, 105 e 106 che dettagliano (se possibile) ancor più gli elementi che la Commissione è tenuta a considerare ai fini del giudizio sull’adeguatezza ex art. 45, par. 2 del Regolamento.
[53] Come rilevato da M. Bassini, «la direttiva non individua in maniera esaustiva e analitica i criteri per valutare l’adeguatezza del livello di protezione offerto dall’ordinamento di un paese terzo; né […] la nozione di adeguatezza è oggetto di specifica definizione». Non si riscontra, infatti, alcun «concetto di adeguatezza espresso in senso vincolante», né tantomeno «un set di criteri ai quali tale apprezzamento debba necessariamente essere informato». Sembra, dunque, che il «parametro di adeguatezza sia concepito come flessibile ed elastico, da interpretare alla luce dell’esigenza di tutela dei diritti fondamentali in gioco» (cfr. M. Bassini, O. Pollicino, La Carta dei diritti fondamentali, cit., p. 84).
[54] In proposito, a norma del considerando 104, infatti, «il paese terzo dovrebbe assicurare un effettivo controllo indipendente della protezione dei dati e […] prevedere meccanismi di cooperazione con autorità di protezione dei dati degli Stati membri e agli interessati dovrebbero essere riconosciuti diritti effettivi e azionabili e un mezzo di ricorso effettivo in sede amministrativa e giudiziale».
[55] Con riguardo alla procedura di adozione degli atti di esecuzione il medesimo paragrafo rinvia all’art. 93, par. 2 a norma del quale «si applica l’art. 5 del reg. UE n. 182/2011» che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte dei paesi membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione.
[56] In tal senso il caso Schrems è assolutamente emblematico considerato che solo l’intervento della Corte di giustizia europea ha rimesso in seria discussione la valutazione di adeguatezza degli Stati Uniti, ben 15 anni dopo la decisione CE n. 520/2000.
[57] Cfr. art. 8, par. 1 del Regolamento: «Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni».
[58] Cfr. artt. 7 e 8 della Carta.