La raccomandazione 01/2021 (on the adeguacy referential under the law enforcement Directive) elabora le indicazioni, sulla base di quanto disposto dalla Direttiva UE 2016/680[1] o LED, con riferimento al trasferimento di dati personali, in occasione della decisione di adeguatezza della Commissione[2] “In particular, the Commission shall take into consideration the rule of law, respect for human rights and fundamental freedoms, pag. 8, par. 24[3]”. La LED si propone come base giuridica della legittimità della comunicazione di dati personali di interessati, tra autorità ed organizzazioni internazionali competenti, in materia penale e di polizia per “garantire un’efficace cooperazione giudiziaria in materia penale e di polizia” – Considerando (7) – LED.
I requisiti di protezione promossi dalla LED – come spiega la Raccomandazione – dovranno necessariamente informare la decisione di adeguatezza della Commissione, nell’ambito della verifica delle protezioni “adeguate” del paese o organizzazione internazionale, sulla base dei mezzi previsti ed operativamente efficaci[4], art. 36 co. 1 LED, per cui “Gli Stati membri dispongono che il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale sia ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscano un livello di protezione adeguato”.
Nello specifico, all’art. 35 lett. d) la LED, determina i requisiti legali del trasferimento, in occasione di una decisione di adeguatezza, adottata dalla Commissione, a norma dell’art. 36 LED oppure, in mancanza di detta decisione, vengono forniti o esistono garanzie adeguate ai sensi dell’articolo 37 LED. In mancanza di una decisione di adeguatezza ai sensi dell’articolo 36 LED e di garanzie adeguate ai sensi dell’articolo 37 LED, si applicano deroghe per le situazioni specifiche, a norma dell’articolo 38 LED. In questo senso, La LED sembra fornire la base giuridica per legittimare il trasferimento dei dati personali verso un paese terzo o verso un’organizzazione internazionale.
In merito alla politica di repressione criminale, ogni Stato regola secondo un proprio concetto di opportunità le proprie politiche criminali. La Corte di Giustizia dell’UE, sul punto, sembra orientarsi invece verso un controllo maggiore dei requisiti di legittimità del trattamento dei dati personali, da parte delle autorità e organizzazioni internazionali, sulla base del legittimo interesse ovvero sulla base dell’eccezione della sicurezza nazionale “…by measuring the interference entailed by such limitation and verifyng that the importance of the public interest objective pursued by that limitation is proportionate to that seriousness, on the other hand[5]”. Nella sentenza richiamata infatti, si legge che “the court noted for instance that the interference constituted by real-time collection of data that allows terminal equipment to be located appears particulary serious, since that provide the competent national authorities with means of accurately and permanently tracking the movements of users of mobile telephones”. È pratica che alcuni paesi si orientino verso soluzioni tecniche integrate di monitoraggio e controllo, con evidenti ripercussioni sui diritti degli interessati, se pensiamo per esempio all’installazione di un sistema di videosorveglianza per fini di monitoraggio oppure utilizzate per indagini per fini di repressione criminale.
Per ritrovare un certo bisogno di certezza giuridica in tali prassi, la Raccomandazione indica due livelli integrati di protezione per la salvaguardia dei diritti e libertà degli interessati, e quindi dal richiamo del Reg. UE 2016/679, predisposto dalla LED al Considerando (11) “Qualora tale organismo o entità trattino dati personali per finalità diverse da quelle della presente direttiva, si applica il regolamento (UE) 2016/679. Il regolamento (UE) 2016/679 si applica pertanto nei casi in cui un organismo o un’entità raccolgano dati personali per finalità diverse e procedano a un loro ulteriore trattamento per adempiere un obbligo legale cui sono soggetti”[6]. Il Reg. UE 2016/679 si applicherà quindi, qualora la finalità non solo sia ulteriore ma anche non connessa con l’attività strettamente di polizia.
La limitazione dei diritti degli interessati/indagati, che fa riferimento agli interessi pubblici degli Stati ed organizzazioni, come base giuridica del trattamento, dovrà essere predisposta ab origine secondo proporzionalità e lo stesso trattamento dovrà essere impostato per essere strettamente necessario al raggiungimento dello scopo[7], al contempo predisponendo minime garanzie di sicurezza al trattamento stesso. In questo senso la LED esclude il consenso come base giuridica del trattamento nell’ambito penale e di polizia, che comunque “non dovrebbe impedire agli Stati membri di prevedere per legge che l’interessato possa acconsentire al trattamento dei propri dati personali ai fini della presente direttiva, ad esempio per test del DNA nell’ambito di indagini penali o per il monitoraggio della sua ubicazione mediante dispositivo elettronico per l’esecuzione di sanzioni penali”, Considerando (35) LED.
Per concludere, la Raccomandazione al paragrafo 50 richiama gli Stati ed organizzazioni ad un necessario bilanciamento tra le opportunità di politica criminale e rispetto normativi/legali “such limitation (si riferisce al combinato disposto delle garanzie previste dalla LED e dal GDPR) should however be allowed by a legislative measure and be necessary and proportionate to avoid obstructing official or legal inquiries”… “in a democratic society”. In chiusura della Raccomandazione ed elemento fondamentale è la predispsosizione nel paese terzo (e da valutare anche da parte della Commisisone) di un sistema di ristoro, come conseguenza giuridica di un trattamento illegittimo che comporti una violazione dei dati, in base a quanto stabilito dal combinato disposto della LED e GDPR, “this is a key element which must involve a system of indipendent adjudication or abitration which allows compensation to be paid and sanctions imposed where appropriate”, par. 72 Raccomandazione.
[1] Direttiva (UE) n. 2016/680, del parlamento europeo e del consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/gai del consiglio.
[2] I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).
[3] Recommendation 01/2021 on the adeguacy referential under the law enforcement directive, Adopted on 2.02.21.
[4] Case C – 362/14, Maximillian Schrems v Data Protection Commissioner, 6 October 2015, ECLI:EU:C:2015:650, par. 73 and 74 (Schrems I).
[5] Joined cases C-511/18, C-512/18, C-520/18, la Quadrature du Net (French Data Network) and the others, 6 October 2020, ECLI:EU:C:2020:791, par. 791 e 187.
[6] Ad esempio, a fini di indagine, accertamento o perseguimento di reati, gli istituti finanziari conservano determinati dati personali da essi trattati, e li trasmettono solo alle autorità nazionali competenti in casi specifici e conformemente al diritto dello Stato membro, Considerando (11) LED.
[7] Così anche il Considerando (26) LED e par. 39 della Raccomandazione, per cui “the specific purpose for which the personal are processed should be explicit and legitimate and determined at the time of the collection of the personal data”.
Hai domande in merito? ReNorm può aiutarti!
Contattaci