Caro Marco, ho riflettuto molto sul nostro scambio e sulle posizioni che hai condiviso, delle quali ti ringrazio. Sono utili per rimettere in discussione alcuni assunti che chi, come me, lavora oramai da molti anni per il Lato Oscuro^W^W^W la Commissione Europea, tende a dare per scontati. Credo siamo d'accordo che in ultima analisi dovrà essere la Corte di Giustizia dell'UE, nel caso, a dare un'interpretazione autentica delle norme di cui discutiamo. Per altro ho verificato la giurisprudenza in materia, che al momento si riferisce prevalentemente alla Direttiva del 1995, ma dato che la GDPR non cambia granché dell'impianto generale di quest'ultima - specialmente per quanto riguarda i temi oggetto del nostro scambio - posso confermare che la Corte non sembra essersi espressa specificamente sull'argomento. Ci sono tuttavia un paio di punti che vorrei precisare. On Thu, Oct 11, 2018 at 11:00 AM Marco Ciurcina <ciurcina@studiolegale.it> wrote:
Più precisamente (come recita l'art. 1(3)), no, nella misura in cui la libera circolazione è limitata o vietata "per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali". Sarei d'accordo con te se l'art. 1(3) recitasse "La libera circolazione dei dati personali nell'Unione non può essere limitata né vietata.". Ma, invece, hanno aggiunto le parole "per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali" che circoscrivono la portata della norma. IMHO assumi che "per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali" coincida con "nella misura in cui la GDPR è applicabile" (è quanto meno opinabile).
Dal mio punto di vista, qualsiasi "motivo attinente alla protezione delle persone fisiche con riguardo al trattamento dei dati personali" è normato dalla GDPR, laddove la GDPR si applica, e tenendo conto delle eccezioni. Non ripeto quanto ho già scritto. Possono naturalmente esservi altri motivi che uno Stato Membro usa per giustificare una restrizione alla libera circolazione dei dati personali (all'interno dell'UE/EEA) come gli esempi che hai proposto tu ("sovranità digitale" e altri) e che non sono normati dalla GDPR. Se vi fossero norme, a livello UE o degli Stati Membri, che in qualche modo impedissero la libera circolazione di dati personali al di fuori dei casi normati (anche in via di eccezione) dalla GDPR, ci troveremmo di fronte ad una necessità abbastanza classica di contemperare / bilanciare tali norme. Per altro assumo che tali norme siano di rango equivalente, il che è un punto importante visto il principio di supremazia del diritto UE sugli ordinamenti nazionali, così come stabilito dalla giurisprudenza della CGEU. Sono a conoscenza di casi di alcuni Stati Membri (si dice il peccato ma non il peccatore) che hanno introdotto p.e. circolari ministeriali o direttive regionali volte a limitare la libera circolazione dei dati personali per i motivi più disparati (tra gli altri: "efficienza della pubblica amministrazione", "protezione dell'onorabilità", "cyber-security" e un mai dimenticato, almeno tra noi eurocrati, "tutela della salute psicologica di dipendenti pubblici" - si legge di tutto a Bruxelles). In tutti tali casi, tali "regole" sono state prontamente ritirate senza nemmeno bisogno del suggerimento di una procedura di infrazione, perché ovviamente di rango inferiore al diritto UE e potenzialmente in grado di limitare la libera circolazione dei dati personali, al di là che esse facessero implicito o esplicito riferimento al trattamento di dati personali.
e fatte salve le eccezioni previste dalla GDPR, che devono essere interpretate in maniera specifica e funzionalmente agli obbiettivi della GDPR e più generalmente del diritto UE, che sono di promuovere e non di restringere il flusso di dati personali all’interno dell’UE”. Proponi una ragionevole interpretazione "ampia" dell'art. 1(3) GDPR. Sono possibili ragionevoli interpretazioni più restrittive (per esempio, quella che proponevo nell'email precedente).
Per essere sincero, con tutto il rispetto faccio fatica a considerare la tua interpretazione (o quanto meno gli esempi che hai portato) come "ragionevoli", non solo perché a mio parere difficilmente giustificabili da un punto di vista logico (se dici "non voglio trasferire dati personali per ragioni di sovranità digitale", sempre di dati personali stiamo parlando) ma soprattutto perché mi sembrano di fatto incompatibili proprio con la logica di base delle regole UE, in particolare quelle relativa al mercato interno e all'area di sicurezza, libertà e giustizia, la cui logica è di condivisione e scambio sulla base di regole comuni che si assumono siano correttamente applicate. Poi ovviamente esistono le eccezioni a tutto, ma la CGUE ha sempre e in maniera consistente interpretato il diritto UE secondo tale logica. Se poi vogliamo allargare la discussione, una domanda secondo me interessante è in che misura le recenti discussioni con alcuni Stati Membri circa l'indipendenza del loro ordine giudiziario e/o rispetto dei principi di base dell'UE, ivi compresi i diritti fondamentali dei cittadini europei, potrebbero portare ad una situazione in cui uno Stato Membro potrebbe ragionevolmente rifiutarsi di trasferire dati personali ad un altro Stato Membro in quanto mancherebbero le garanzie che quest'ultimo stia applicando correttamente e in buona fede la GDPR, ivi comprese le relative garanzie che dipendono tra gli altri fattori dall'avere delle Autorità per la Protezione dei Dati Personali e un ordine giudiziario davvero indipendenti. Non sono ahimè casi ipotetici: non molto tempo fa, la Commissione propose (e vinse) una procedura di infrazione nei confronti della Germania, in quanto le relative Autorità per la Protezione dei Dati Personali (quella federale e quelle sub-federali) erano almeno da un punto di vista formale "troppo" dipendenti dal potere legislativo (la legge nazionale è stata cambiata). E in senso più ampio, mi pare rilevante anche il caso C-216/18, in cui alla CGEU fu richiesto dalla "High Court" irlandese di pronunciarsi in merito all'esecuzione di una mandato di arresto europeo da parte delle autorità polacche, su cui la corte irlandese nutriva dei dubbi proprio per una supposta incapacità della Polonia di applicare correttamente l'acquis dell'UE in seguito alle riforme giudiziarie lì avvenute.
Quale sia l'interpretazione corretta ce lo dirà la CGUE se e quando sarà investita della questione. :-)
Certamente. Però possiamo lanciarci in ragionevoli ipotesi. :) Ciao, grazie, Andrea