Trasferimenti di dati

Conformità con la Direttiva 2016/680/UE sulla Polizia e Giustizia Penale (LED)

A cura di Ranieri Razzante

Nella lotta odierna contro la criminalità, la cooperazione internazionale in materia penale è della massima importanza per garantire la tutela dello spazio di libertà, sicurezza e giustizia dell’UE. Questa cooperazione implica la condivisione delle informazioni necessarie, come i dati personali, non solo tra gli Stati membri, ma anche con i Paesi terzi.

Per consentire la libera circolazione dei dati personali a fini di contrasto all’interno dell’Unione, nonché per il trasferimento verso Paesi terzi e organizzazioni internazionali, è stata pubblicata la Direttiva 2016/680/UE sulla Polizia e la Giustizia Penale (c.d. Direttiva LED).

La LED garantisce un elevato livello di protezione dei dati personali, servendo al tempo stesso l’interesse pubblico, in particolare nel prevenire, indagare, accertare o perseguire reati, comminare sanzioni penali e salvaguardare la sicurezza pubblica da potenziali minacce.

L’art. 8 della LED stabilisce che il trattamento dei dati in relazione alla Direttiva sulla Polizia e la Giustizia Penale deve avvenire solo se ritenuto necessario per l’esecuzione di un compito svolto da un’autorità competente. Questo compito deve essere uno degli scopi specificati nel diritto dell’Unione o degli Stati membri.

Quando le Autorità competenti applicano la LED e la pertinente legislazione nazionale di recepimento, è fondamentale garantire che qualsiasi interferenza con i diritti degli interessati che potrebbe derivare dal trattamento previsto sia necessaria e proporzionale all’obiettivo di interesse pubblico che esse stanno perseguendo. Ciò include, giova ricordarlo, la prevenzione, l’indagine, l’accertamento o il perseguimento di reati o l’applicazione di sanzioni, nonché la salvaguardia e la prevenzione delle minacce. La pubblica sicurezza si riferisce alle misure e agli sforzi adottati dai governi e dalle comunità per salvaguardare il benessere e la sicurezza del pubblico in generale.

Nel corso della sessione plenaria finale del 27 settembre 2023, il Comitato europeo per la protezione dei dati (EDPB) ha adottato le Linee guida relative all’art. 37 della Direttiva LED. Tali Linee Guida sono state predisposte per offrire indicazioni pratiche sull’applicazione dell’art. 37 della LED, relativo al trasferimento di dati personali da parte delle autorità competenti dei paesi dell’Unione europea ad autorità di Paesi terzi o ad organizzazioni internazionali dotate di autorità di contrasto. Più specificamente, dette Linee Guida mirano a chiarire lo standard giuridico relativo alle garanzie adeguate che le autorità competenti devono applicare ai sensi dell’art. 37, comma 1, lettere a) e b), della LED, nonché gli elementi rilevanti per valutare la presenza di tali garanzie.

Le Linee Guida intendono fungere da punto di riferimento per i paesi dell’Unione europea nelle situazioni in cui cercano di stipulare o modificare accordi di trasferimento basati sull’art. 37(a) della LED. In tal modo, queste linee guida forniscono anche indicazioni alle autorità nazionali per la protezione dei dati (DPA) quando sono chiamate a consultare o partecipare alla negoziazione di tali accordi, o quando successivamente ne valutano l’attuazione. Inoltre, le presenti linee guida affrontano le responsabilità delle autorità di protezione dei dati in relazione agli obblighi del titolare del trattamento come delineato nell’art. 37(2) e (3) del LED. Le Linee Guida sottolineano che qualsiasi trasferimento di dati personali deve garantire un grado di protezione sostanzialmente uguale nel paese terzo o nell’organizzazione internazionale che riceve i dati e che tali trasferimenti non dovrebbero, in nessun caso, ridurre il livello di protezione applicabile nell’Unione europea.

Le Linee guida vanno oltre le semplici raccomandazioni e forniscono invece una guida completa sull’uso di documenti giuridicamente vincolanti (come indicato nell’art. 37 (a) della LED) rispetto alle valutazioni da parte dei proprietari dei dati (come delineato nell’art. 37 (b) della LED). Si sottolinea che quest’ultima opzione deve essere utilizzata solo se esiste un’analisi approfondita del quadro giuridico e delle pratiche pertinenti che dimostrino che il trasferimento in questione è soggetto a garanzie adeguate. Inoltre, le Linee guida offrono consigli pratici, compreso un elenco di elementi essenziali che dovrebbero essere inclusi in un documento giuridicamente vincolante, nonché esempi per classificare e valutare le circostanze di un trasferimento.

Il vantaggio principale di questo strumento è la sua capacità di fornire un quadro strutturato ed esplicito per la condivisione dei dati personali nel contesto della giustizia penale e delle collaborazioni tra forze dell’ordine. Di conseguenza, le autorità nazionali coinvolte godranno di una maggiore certezza giuridica, che inevitabilmente aumenterà la conformità dei controllori e allevierà i loro profili di responsabilità. Inoltre, essi saranno esentati dal valutare l’adeguatezza della tutela della privacy nei paesi terzi o nelle organizzazioni internazionali. Tuttavia, ai sensi dell’art. 37, paragrafo 1, lettera b), LED, maggiore è la discrezionalità delle autorità nazionali competenti nel determinare le garanzie adeguate, maggiore sarà la responsabilità che avranno nel garantire la conformità ai requisiti LED.

Bibliografia
Aa. Vv., Guidelines 01/2023 on Article 37 Law Enforcement Directive, in European Data Protection Board, 2023
Aa. Vv., Applicazione del GDPR ai casi transfrontalieri: EDPB e GEPD sulla proposta di regolamento, in Diritto Bancario, 22 settembre 2023
Redazione Dimt, EDPB adotta linee guida sui trasferimenti di dati soggetti a adeguate garanzie ai sensi della Direttiva sulla Polizia e la Giustizia Penale, in Diritto, Mercato e Tecnologia, 29 settembre 2023
Ruocco, Data Privacy Framework: arriva il via libera anche dell’EDPB, con alcune precisazioni, in Cybersecurity360, 21 luglio 2023