Re: [nexa] approvato il regolamento UE sulla libera circolazione dei dati non personali
(A causa di una mia svista, parte del mio scambio con Marco Ciurcina è “uscito” dalla lista NEXA ed è rimasto privato tra noi due. Con il permesso di Marco rispondo al suo ultimo messaggio riportando la lista in copia, dato che penso/spero che la nostra conversazione possa essere di interesse più generale.) Caro Marco, Rispondo oltre. On Tue, Oct 9, 2018 at 01:16 Marco Ciurcina <ciurcina@studiolegale.it> wrote:
In data lunedì 8 ottobre 2018 20:52:25 CEST, hai scritto:
Caro Marco,
a mio parere, una misura presa da uno Stato Membro sulla base (giustificata) della "sicurezza nazionale" è fino a (giustificata) prova contraria al di fuori del campo di applicazione della GDPR, in ragione del combinato disposto dell'articolo 4(2) del Trattato dell'Unione Europea ("In particolare, la sicurezza nazionale resta di esclusiva competenza di ciascuno Stato membro") e dell'articolo 2(2)(a) della GDPR medesima, che ho citato precedentemente. Questo conferma quel che scrivevo: l'art. 1(3) non funziona in questo caso: basta invocare la sicurezza nazionale per fare quel che si vuole.
Dopodiché possiamo discutere degli effetti combinati, per esempio, della Carta dei Diritti Fondamentali dell'Unione Europea, della Convenzione Europea sui Diritti Umani così come essa si rapporta al diritto
dell'Unione
Europea, e via discorrendo. Ma a prima vista non mi pare che il tuo primo esempio sia immediatamente rilevante per la discussione in oggetto, o quanto meno esso mi sembra introduca elementi di complessità tali da non renderlo il più idoneo per chiarire la questione di base. Sostituisci "sicurezza nazionale" con "quello che vuoi tu tranne che protezione delle persone fisiche con riguardo al trattamento dei dati personali" (per esempio, "tutela della sovranità digitale", "tutela della ricerca scientifica", ecc.).
Per quanto riguarda il tuo secondo esempio, ammetto candidamente di non saperne abbastanza sulla natura degli atti unilaterali e/o delle promesse unilaterali, ma a prima vista a me pare un caso di libera disposizione delle parti, che la GDPR permette (e ci mancherebbe…).
Certo. Altro spazio di libertà lasciato dal GDPR (per fortuna..).
Se un'azienda francese ritiene che offrire un servizio di stoccaggio e trattamento di dati personali solo all'interno della Francia sia un servizio appetibile per un numero abbastanza elevato di clienti, e trova abbastanza clienti da darle ragione, ben venga. O anche, se un numero sufficientemente alto di utenti si rende disponibili a consentire certi usi dei propri dati a condizione che gli stessi non escano fuori dai confini di certi stati.
Se la Francia decide per legge che i dati personali dei cittadini francesi devono restare all'interno della Francia, credo che ciò sia contrario alla GDPR, fatte salve le eccezioni che ho menzionato e altre che non ho menzionato, e che però a mio parere non intaccano la logica di base che ho cercato di descrivere. Mah! Ragionando da avvocato, penso che un modo per aggirare il divieto (che è costruito come eccezione, e quindi circoscritto ed aperto a opzioni diverse) si trova.
m.c.
Confesso che non ho ben capito la tua logica. La questione a cui stavo rispondendo è se i vincoli di localizzazione dei dati personali siano legali ai sensi della GDPR. La mia interpretazione del concetto di “localizzazione” in questo contesto si riferisce ai vincoli imposti dalle leggi (o equivalenti) di uno Stato Membro dell’UE, non ad eventuali accordi privati. Inoltre, per chiarezza, mi riferisco a trasferimenti di dati personali intra-UE (ed Area Economica Europea). Il trattamento dei dati personali è generalmente (ma non esclusivamente) normato dalla GDPR, nella misura in cui essa non prevede eccezioni generali o particolari. Nel primo caso rientrano le attività legate alla sicurezza nazionale di uno Stato Membro, che non rientrano tra le competenze dell’UE, ma che devono comunque essere giustificate - cioè uno Stato Membro non può tirar fuori dal cappello la carta “sicurezza nazionale” per rifiutarsi di applicare il diritto UE, senza alcuna spiegazione (a volte gli Stati Membri ci provano, ma non sempre ci riescono). Vi rientrano anche le attività legate alla “Politica Estera e di Sicurezza Comune” o allo scambio di dati personali a fini di contrasto alla criminalità, che per altro sono normate in tal senso da altri strumenti con una base legale differente. Nel secondo caso rientrano alcune eccezioni come la salvaguardia dell’ordine pubblico. Tali eccezioni sono comunque definite in maniera esaustiva nella GDPR e non si applicano necessariamente alla libera circolazione dai dati personali all’interno dell’UE (che rimane possibile) quanto per esempio all’obbligo o alle modalità di notificare che un trattamento è in corso. Gli Stati Membri non possono inventarsi eccezioni cosi come viene loro in mente (di nuovo, a volte ci provano, ma raramente ci riescono). Posto quanto sopra, bisogna guardare all’impianto generale della GDPR e ai suoi obiettivi, nonché a quelli più generali dell’ordine legale dell’UE di cui ovviamente la GDPR è espressione. In tal senso, il testo della GDPR è secondo me chiarissimo: uno degli obiettivi principali (se non il principale) è garantire la libera circolazione dei dati personali all’interno dell’UE, per raggiungere il quale è necessario garantire un livello uniforme di protezione in tutti gli Stati Membri. Vedi considerando 170 della GDPR, ma ne potrei citare altri. Tale obiettivo è come ho menzionato espressione di due obbiettivi più generali del diritto UE, ovvero la promozione e salvaguardia del mercato interno e la creazione di uno spazio europeo di libertà, sicurezza e giustizia. Essi sono chiaramente indicati nei Trattati UE - che, vale la pena ricordarlo, gli Stati Membri hanno liberamente sottoscritto e a cui sono vincolati, almeno sinché non decidono di uscire dall’UE (o non hanno ottenuto uno dei vari opt-out, ma non voglio complicare troppo la questione). Dunque dal mio punto di vista la risposta alla domanda “i vincoli [ ex lege ] di localizzazione [ intra-UE ] dei dati personali sono legali ai sensi della GDPR?” dovrebbe essere “generalmente no, nella misura in cui la GDPR è applicabile (il che è lapalissiano) e fatte salve le eccezioni previste dalla GDPR, che devono essere interpretate in maniera specifica e funzionalmente agli obbiettivi della GDPR e più generalmente del diritto UE, che sono di promuovere e non di restringere il flusso di dati personali all’interno dell’UE”. Spero di aver capito le tue osservazioni, e che le mie siano comprensibili e persino corrette. Ciao, Andrea
A meno che, ovviamente, non mi stia sbagliando di grosso. :)
Ciao,
Andrea
On Mon, Oct 8, 2018 at 7:22 PM Marco Ciurcina <ciurcina@studiolegale.it>
wrote:
In data lunedì 8 ottobre 2018 18:46:50 CEST, hai scritto:
Caro Marco,
Puoi portare un esempio di "norme che limitino o vietino la
circolazione
dei dati personali nell'Unione per motivi diversi da quelli attinenti
alla
protezione delle persone fisiche con riguarda al trattamento dei dati personali"?
Per esempio, una norma che dispone: "i dati dei militari italiani sono memorizzati in Italia per ragioni di sicurezza nazionale". Lo scopo della norma non è "la protezione delle persone fisiche con riguarda al trattamento dei dati personali", ma la norma vieta il trasferimento fuori del paese. Fatico ad immaginare come questa norma possa essere dichiarata illegittima ai sensi dell'art. 1(3) del GDPR.
Per quanto riguarda gli accordi contrattuali che prevedano l'obbligo di tenere i dati personali nel territorio di un paese (o diversi paesi, escludendone altri) non includerei tale fattispecie nella categoria degli "obblighi di localizzazione", dato che, appunto, si tratta di accordi tra due o più parti, a cui si suppone la situazione descritta vada bene.
Ammetto però che mi sfugge cosa tu intenda di preciso per "atti unilaterali" nello scenario di cui stiamo discutendo. Un altro esempio sarebbe utile.
Per es., una promessa unilaterale da parte del titolare del trattamento ai sensi dell'art. 1324 cod. civ. che, per convincere gli utenti ad usare i suoi servizi, promette che i dati personali non saranno trasferiti fuori dal paese X.
m.c.
Ciao, grazie,
Andrea
On Mon, Oct 8, 2018 at 6:36 PM Marco Ciurcina < ciurcina@studiolegale.it>
wrote:
In data lunedì 8 ottobre 2018 17:11:54 CEST, Andrea Glorioso ha
scritto:
L'articolo 1(3) della GDPR (Oggetto e finalità) recita "*La libera circolazione dei dati personali nell'Unione non può essere limitata
né
vietata per motivi attinenti alla protezione delle persone fisiche
con
riguardo al trattamento dei dati personali*"; ovviamente, nella
misura
in cui gli Stati Membri applichino correttamente tutte le misure
previste
dalla GDPR medesima!
L'articolo 1(3) del GDPR non impedisce: - norme che limitino o vietino la circolazione dei dati personali nell'Unione per motivi diversi da quelli attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, - accordi contrattuali o atti unilaterali che prevedono l'obbligo di tenere i dati personali nel territorio di un paese (o diversi paesi,
escludendone
altri). m.c.
--
-- I speak only for myself. Sometimes I do not even agree with myself. Keep it in mind. Twitter: @andreaglorioso Facebook: https://www.facebook.com/andrea.glorioso LinkedIn: http://www.linkedin.com/profile/view?id=1749288&trk=tab_pro
In data giovedì 11 ottobre 2018 10:18:08 CEST, hai scritto:
Confesso che non ho ben capito la tua logica.
La questione a cui stavo rispondendo è se i vincoli di localizzazione dei dati personali siano legali ai sensi della GDPR.
La mia interpretazione del concetto di “localizzazione” in questo contesto si riferisce ai vincoli imposti dalle leggi (o equivalenti) di uno Stato Membro dell’UE, non ad eventuali accordi privati. Inoltre, per chiarezza, mi riferisco a trasferimenti di dati personali intra-UE (ed Area Economica Europea).
Il trattamento dei dati personali è generalmente (ma non esclusivamente) normato dalla GDPR, nella misura in cui essa non prevede eccezioni generali o particolari.
Nel primo caso rientrano le attività legate alla sicurezza nazionale di uno Stato Membro, che non rientrano tra le competenze dell’UE, ma che devono comunque essere giustificate - cioè uno Stato Membro non può tirar fuori dal cappello la carta “sicurezza nazionale” per rifiutarsi di applicare il diritto UE, senza alcuna spiegazione (a volte gli Stati Membri ci provano, ma non sempre ci riescono).
Vi rientrano anche le attività legate alla “Politica Estera e di Sicurezza Comune” o allo scambio di dati personali a fini di contrasto alla criminalità, che per altro sono normate in tal senso da altri strumenti con una base legale differente.
Nel secondo caso rientrano alcune eccezioni come la salvaguardia dell’ordine pubblico. Tali eccezioni sono comunque definite in maniera esaustiva nella GDPR e non si applicano necessariamente alla libera circolazione dai dati personali all’interno dell’UE (che rimane possibile) quanto per esempio all’obbligo o alle modalità di notificare che un trattamento è in corso. Gli Stati Membri non possono inventarsi eccezioni cosi come viene loro in mente (di nuovo, a volte ci provano, ma raramente ci riescono).
Posto quanto sopra, bisogna guardare all’impianto generale della GDPR e ai suoi obiettivi, nonché a quelli più generali dell’ordine legale dell’UE di cui ovviamente la GDPR è espressione.
In tal senso, il testo della GDPR è secondo me chiarissimo: uno degli obiettivi principali (se non il principale) è garantire la libera circolazione dei dati personali all’interno dell’UE, per raggiungere il quale è necessario garantire un livello uniforme di protezione in tutti gli Stati Membri. Vedi considerando 170 della GDPR, ma ne potrei citare altri.
Tale obiettivo è come ho menzionato espressione di due obbiettivi più generali del diritto UE, ovvero la promozione e salvaguardia del mercato interno e la creazione di uno spazio europeo di libertà, sicurezza e giustizia. Essi sono chiaramente indicati nei Trattati UE - che, vale la pena ricordarlo, gli Stati Membri hanno liberamente sottoscritto e a cui sono vincolati, almeno sinché non decidono di uscire dall’UE (o non hanno ottenuto uno dei vari opt-out, ma non voglio complicare troppo la questione).
Dunque dal mio punto di vista la risposta alla domanda “i vincoli [ ex lege ] di localizzazione [ intra-UE ] dei dati personali sono legali ai sensi della GDPR?” dovrebbe essere “generalmente no, nella misura in cui la GDPR è applicabile (il che è lapalissiano) Più precisamente (come recita l'art. 1(3)), no, nella misura in cui la libera circolazione è limitata o vietata "per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali". Sarei d'accordo con te se l'art. 1(3) recitasse "La libera circolazione dei dati personali nell'Unione non può essere limitata né vietata.". Ma, invece, hanno aggiunto le parole "per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali" che circoscrivono la portata della norma. IMHO assumi che "per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali" coincida con "nella misura in cui la GDPR è applicabile" (è quanto meno opinabile).
e fatte salve le eccezioni previste dalla GDPR, che devono essere interpretate in maniera specifica e funzionalmente agli obbiettivi della GDPR e più generalmente del diritto UE, che sono di promuovere e non di restringere il flusso di dati personali all’interno dell’UE”. Proponi una ragionevole interpretazione "ampia" dell'art. 1(3) GDPR. Sono possibili ragionevoli interpretazioni più restrittive (per esempio, quella che proponevo nell'email precedente). Quale sia l'interpretazione corretta ce lo dirà la CGUE se e quando sarà investita della questione. :-)
m.c.
Spero di aver capito le tue osservazioni, e che le mie siano comprensibili e persino corrette.
Caro Marco, ho riflettuto molto sul nostro scambio e sulle posizioni che hai condiviso, delle quali ti ringrazio. Sono utili per rimettere in discussione alcuni assunti che chi, come me, lavora oramai da molti anni per il Lato Oscuro^W^W^W la Commissione Europea, tende a dare per scontati. Credo siamo d'accordo che in ultima analisi dovrà essere la Corte di Giustizia dell'UE, nel caso, a dare un'interpretazione autentica delle norme di cui discutiamo. Per altro ho verificato la giurisprudenza in materia, che al momento si riferisce prevalentemente alla Direttiva del 1995, ma dato che la GDPR non cambia granché dell'impianto generale di quest'ultima - specialmente per quanto riguarda i temi oggetto del nostro scambio - posso confermare che la Corte non sembra essersi espressa specificamente sull'argomento. Ci sono tuttavia un paio di punti che vorrei precisare. On Thu, Oct 11, 2018 at 11:00 AM Marco Ciurcina <ciurcina@studiolegale.it> wrote:
Più precisamente (come recita l'art. 1(3)), no, nella misura in cui la libera circolazione è limitata o vietata "per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali". Sarei d'accordo con te se l'art. 1(3) recitasse "La libera circolazione dei dati personali nell'Unione non può essere limitata né vietata.". Ma, invece, hanno aggiunto le parole "per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali" che circoscrivono la portata della norma. IMHO assumi che "per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali" coincida con "nella misura in cui la GDPR è applicabile" (è quanto meno opinabile).
Dal mio punto di vista, qualsiasi "motivo attinente alla protezione delle persone fisiche con riguardo al trattamento dei dati personali" è normato dalla GDPR, laddove la GDPR si applica, e tenendo conto delle eccezioni. Non ripeto quanto ho già scritto. Possono naturalmente esservi altri motivi che uno Stato Membro usa per giustificare una restrizione alla libera circolazione dei dati personali (all'interno dell'UE/EEA) come gli esempi che hai proposto tu ("sovranità digitale" e altri) e che non sono normati dalla GDPR. Se vi fossero norme, a livello UE o degli Stati Membri, che in qualche modo impedissero la libera circolazione di dati personali al di fuori dei casi normati (anche in via di eccezione) dalla GDPR, ci troveremmo di fronte ad una necessità abbastanza classica di contemperare / bilanciare tali norme. Per altro assumo che tali norme siano di rango equivalente, il che è un punto importante visto il principio di supremazia del diritto UE sugli ordinamenti nazionali, così come stabilito dalla giurisprudenza della CGEU. Sono a conoscenza di casi di alcuni Stati Membri (si dice il peccato ma non il peccatore) che hanno introdotto p.e. circolari ministeriali o direttive regionali volte a limitare la libera circolazione dei dati personali per i motivi più disparati (tra gli altri: "efficienza della pubblica amministrazione", "protezione dell'onorabilità", "cyber-security" e un mai dimenticato, almeno tra noi eurocrati, "tutela della salute psicologica di dipendenti pubblici" - si legge di tutto a Bruxelles). In tutti tali casi, tali "regole" sono state prontamente ritirate senza nemmeno bisogno del suggerimento di una procedura di infrazione, perché ovviamente di rango inferiore al diritto UE e potenzialmente in grado di limitare la libera circolazione dei dati personali, al di là che esse facessero implicito o esplicito riferimento al trattamento di dati personali.
e fatte salve le eccezioni previste dalla GDPR, che devono essere interpretate in maniera specifica e funzionalmente agli obbiettivi della GDPR e più generalmente del diritto UE, che sono di promuovere e non di restringere il flusso di dati personali all’interno dell’UE”. Proponi una ragionevole interpretazione "ampia" dell'art. 1(3) GDPR. Sono possibili ragionevoli interpretazioni più restrittive (per esempio, quella che proponevo nell'email precedente).
Per essere sincero, con tutto il rispetto faccio fatica a considerare la tua interpretazione (o quanto meno gli esempi che hai portato) come "ragionevoli", non solo perché a mio parere difficilmente giustificabili da un punto di vista logico (se dici "non voglio trasferire dati personali per ragioni di sovranità digitale", sempre di dati personali stiamo parlando) ma soprattutto perché mi sembrano di fatto incompatibili proprio con la logica di base delle regole UE, in particolare quelle relativa al mercato interno e all'area di sicurezza, libertà e giustizia, la cui logica è di condivisione e scambio sulla base di regole comuni che si assumono siano correttamente applicate. Poi ovviamente esistono le eccezioni a tutto, ma la CGUE ha sempre e in maniera consistente interpretato il diritto UE secondo tale logica. Se poi vogliamo allargare la discussione, una domanda secondo me interessante è in che misura le recenti discussioni con alcuni Stati Membri circa l'indipendenza del loro ordine giudiziario e/o rispetto dei principi di base dell'UE, ivi compresi i diritti fondamentali dei cittadini europei, potrebbero portare ad una situazione in cui uno Stato Membro potrebbe ragionevolmente rifiutarsi di trasferire dati personali ad un altro Stato Membro in quanto mancherebbero le garanzie che quest'ultimo stia applicando correttamente e in buona fede la GDPR, ivi comprese le relative garanzie che dipendono tra gli altri fattori dall'avere delle Autorità per la Protezione dei Dati Personali e un ordine giudiziario davvero indipendenti. Non sono ahimè casi ipotetici: non molto tempo fa, la Commissione propose (e vinse) una procedura di infrazione nei confronti della Germania, in quanto le relative Autorità per la Protezione dei Dati Personali (quella federale e quelle sub-federali) erano almeno da un punto di vista formale "troppo" dipendenti dal potere legislativo (la legge nazionale è stata cambiata). E in senso più ampio, mi pare rilevante anche il caso C-216/18, in cui alla CGEU fu richiesto dalla "High Court" irlandese di pronunciarsi in merito all'esecuzione di una mandato di arresto europeo da parte delle autorità polacche, su cui la corte irlandese nutriva dei dubbi proprio per una supposta incapacità della Polonia di applicare correttamente l'acquis dell'UE in seguito alle riforme giudiziarie lì avvenute.
Quale sia l'interpretazione corretta ce lo dirà la CGUE se e quando sarà investita della questione. :-)
Certamente. Però possiamo lanciarci in ragionevoli ipotesi. :) Ciao, grazie, Andrea
participants (2)
-
Andrea Glorioso -
Marco Ciurcina