Art. 49 GDPR — Deroghe in specifiche situazioni

Commento

Le deroghe come ultima ratio

L'art. 49 GDPR disciplina le deroghe ai trasferimenti extra-UE in assenza di decisione di adeguatezza (art. 45) e di garanzie adeguate (art. 46). Sono strumento residuale: il considerando 111-114 ne sottolinea il carattere eccezionale. Le deroghe operano solo per trasferimenti occasionali e non ripetitivi (par. 1, ultimo periodo per la deroga del par. 1 secondo periodo): per trasferimenti regolari servono adeguatezza o garanzie. L'EDPB nelle linee guida 2/2018 ha consolidato la stretta interpretazione delle deroghe.

Le sette deroghe del par. 1

Il par. 1 elenca sette deroghe: (a) consenso esplicito dell'interessato; (b) necessità contrattuale per il contratto dell'interessato; (c) necessità contrattuale per contratto stipulato a favore dell'interessato; (d) motivi importanti di interesse pubblico riconosciuti dal diritto UE/SM; (e) accertamento, esercizio o difesa di un diritto in sede giudiziaria; (f) interesse vitale dell'interessato o di altre persone fisiche; (g) trasferimento da registro pubblico aperto a consultazione. Le ipotesi sono tassative.

Carattere eccezionale e restrittivo

Il carattere eccezionale è confermato dal par. 1, ultimo periodo: il trasferimento non può coinvolgere la totalità dei dati o intere categorie di dati. Inoltre, il par. 2 prevede che, qualora il trasferimento non possa basarsi su artt. 45, 46 o sulle deroghe del par. 1, primo periodo, lett. a-g, possa avvenire solo se: non è ripetitivo; riguarda un numero limitato di interessati; è necessario per il perseguimento di interessi legittimi cogenti del titolare sui quali non prevalgano gli interessi dell'interessato; il titolare ha valutato tutte le circostanze e fornito garanzie adeguate.

Consenso esplicito (lett. a)

Il consenso esplicito (lett. a) è la deroga più discussa. Richiede informazione completa sui rischi: l'interessato deve essere informato dei possibili rischi derivanti dall'assenza di decisione di adeguatezza e di garanzie adeguate. Il consenso deve essere esplicito (non desumibile), specifico per il trasferimento, libero, revocabile. Per trasferimenti massivi o ripetuti il consenso è praticamente inutilizzabile: serve singolo, informato consenso per ogni interessato. Per servizi consumer non funziona; per casi specifici (turismo, ricerca individuale) può operare.

Necessità contrattuale (lett. b-c)

La necessità contrattuale (lett. b) opera per contratti con l'interessato (es. prenotazione hotel con cliente USA: trasferimento dati alla catena alberghiera americana è necessario). La lett. c opera per contratti stipulati a favore dell'interessato (es. trasferimento dati di un beneficiario a una compagnia assicurativa estera). In entrambi i casi, la necessità è stretta: trasferimenti che potrebbero essere evitati con architetture alternative non sono coperti.

Interesse pubblico, vitale, giudiziario (lett. d-f)

L'interesse pubblico (lett. d) deve essere riconosciuto dal diritto UE/SM: esempi sono cooperazione internazionale in sanità pubblica (emergenze sanitarie), cooperazione fiscale internazionale, scambio di informazioni per sicurezza alimentare. L'accertamento giudiziario (lett. e) copre trasferimenti per contenziosi extra-UE (es. discovery in cause USA): la deroga è stretta e va valutata con cautela per evitare divulgazione massiva. L'interesse vitale (lett. f) copre emergenze: trasferimento di dati medici per soccorso a turista estero in pericolo. La lett. g copre registri pubblici aperti (es. registro imprese).

Regola pratica e checklist operativa

Compliance art. 49: (i) valutare se la deroga è applicabile (carattere occasionale, tassatività); (ii) preferire art. 45-46 per trasferimenti regolari; (iii) per consenso, informazione completa sui rischi; (iv) documentare la valutazione; (v) per par. 2, notifica al Garante; (vi) integrazione nel registro art. 30. L'art. 49 è ultima ratio.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.