Cross-border data transfers: lo stato dell’arte in Cina, India e Russia

Introduzione

In un mondo sempre più globalizzato e digitale la circolazione cross-border dei dati è in continua crescita. La normativa europea in materia di trasferimento dei dati è incentrata sul rispetto dei diritti fondamentali degli interessati; per contro, quando il trasferimento interessa paesi terzi si pongono significativi temi con riguardo alla protezione garantita ai dati nelle giurisdizioni di destinazione. Il tema assume particolare rilievo con riferimento a paesi come Cina, India e Russia, che occupano una posizione di rilievo nel contesto del commercio internazionale.

La normativa europea sul trasferimento transfrontaliero dei dati

Il Regolamento Europeo 2016/679 (“GDPR”) si prefigge due obiettivi primari, enunciati nel titolo stesso del Regolamento: da un lato la tutela della persona, e dall'altro la libera circolazione dei dati all'interno dell'Unione; allo stesso tempo, il GDPR si preoccupa di garantire l'adeguata tutela dei dati nei casi di trasferimenti da e verso i paesi terzi e le organizzazioni internazionali.

Trattasi di obiettivi spesso difficili da conciliare nell'odierna società dell'informazione, caratterizzata da un sempre crescente flusso di dati. La circolazione dei dati si rende infatti necessaria per l'espansione del commercio internazionale e della cooperazione internazionale; ciò, tuttavia, non può e non deve andare a discapito della adeguata protezione dei dati personali.

Il legislatore europeo, nella ricerca del giusto equilibrio tra gli interessi contrapposti, individua specifici strumenti giuridici utilizzabili dalle imprese a garanzia di una circolazione sicura dei dati fuori dai confini europei e di una protezione “sostanzialmente equivalente” a quella riconosciuta nel territorio degli Stati membri, al fine di non compromettere l'elevato livello di tutela riconosciuto agli individui dalla Carta dei Diritti Fondamentali dell'Unione Europea.

Il Regolamento disciplina i trasferimenti di dati personali al capo V. In assenza di una definizione di “trasferimento”, l'ambito territoriale di applicazione del Regolamento riguarda:

1. i dati trasferiti dall'UE verso un paese terzo o una organizzazione internazionale;
2. i trasferimenti successivi dei dati, quindi dal paese terzo ad altro paese terzo o da un'organizzazione internazionale ad altra organizzazione internazionale.

Ai sensi dell'art. 45 GDPR, il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale è ammesso se la Commissione ha ritenuto che un paese terzo, un territorio o più settori specifici del paese terzo, o l'organizzazione internazionale, garantiscono un livello di protezione adeguato.

Nel valutare l'adeguatezza del livello di protezione, la Commissione prende in considerazione i seguenti elementi:

• lo stato di diritto;
• il rispetto dei diritti umani e delle libertà fondamentali;
• la legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali);
• le norme in materia di protezione dei dati;
• le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un'altra organizzazione internazionale;
• la giurisprudenza e i diritti effettivi e azionabili degli interessati;
• un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati sono oggetto di trasferimento;
• l'esistenza e l'effettivo funzionamento di un'autorità di controllo indipendente, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati; e
• gli impegni internazionali assunti dal paese terzo o dall'organizzazione internazionale.

I trasferimenti di dati in paesi ritenuti “adeguati” dalla Commissione non necessitano di ulteriori strumenti giuridici per essere lecitamente attuati. In assenza di una decisione di adeguatezza, i dati possono essere trasferiti dall'UE solo attraverso meccanismi che garantiscano una “equivalenza sostanziale” - quali le Standard Contractual Clauses (SCC), le Binding Corporate rules (BCR) e i codici di condotta - ovvero in applicazione delle deroghe previste per specifiche situazioni.

La protezione dei dati trasferiti si completa con la disciplina dei trasferimenti “successivi”; come osservato da autorevole dottrina si tratta di una c.d. sticky regulation , in quanto prevede un regime di tutele che rimane “appiccicato” ai dati anche successivamente al primo trasferimento (BOLOGNINI), realizzando un vero e proprio inseguimento del dato nei suoi vari percorsi transfrontalieri.

Lo stato dell'arte della regolamentazione in Cina, India e Russia

Uno degli elementi che influenzano l'adeguatezza del livello di protezione dei dati trasferiti verso un paese terzo riguarda la facoltà di accesso ai dati da parte delle autorità governative. Tale profilo ha assunto particolare rilievo a seguito delle note sentenze “Schrems I e II” (CGUE, sent. 6 ottobre 2015, C-362/14 e  CGUE, 16 luglio 2020, C-311/18), con le quali la Corte di Giustizia dell'UE ha dichiarato invalide le decisioni della Commissione Europea sull'adeguatezza degli accordi UE-USA sul trasferimento di dati (Safe Harbour e Privacy Shield), evidenziando come talune disposizioni della normativa interna degli Stati Uniti, aventi finalità di sicurezza nazionale, non soddisfino i requisiti di adeguatezza richiesti dall'art. 45 Regolamento, in quanto:

1. prevedono programmi di sorveglianza che legittimano l'accesso da parte delle pubbliche autorità statunitensi ai dati personali trasferiti dall'UE verso gli USA; e
2. non conferiscono agli interessati idonei diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi.

Sulla scorta della sentenza Schrems II, nel novembre 2021 lo European Data Protection Board (“EDPB”) ha pubblicato il report intitolato: “Government access to data in third countries". Scopo di tale report è analizzare il regime di accesso ai dati da parte dei governi in Cina, India e Russia, tre paesi che non hanno ricevuto una decisione di adeguatezza dalla Commissione Europea e, pertanto, impongono ai titolari e ai responsabili del trattamento che trasferiscono dati a operatori economici ivi localizzati di adottare una compliance articolata che consenta di garantire la sopra richiamata “equivalenza sostanziale” a favore degli interessati localizzati nell'UE.

Il report, redatto sulla scorta di un questionario sottoposto a selezionati esperti nei settori accademici e professionali, competenti per territorio, analizza la normativa in materia di protezione dei dati personali vigente in Cina, India e Russia, al fine di mettere in luce le condizioni sostanziali e procedurali dei rispettivi regimi. I successivi paragrafi forniscono una sintesi degli esiti del report, integrata con alcuni aggiornamenti sulle più recenti evoluzioni normative nelle rispettive giurisdizioni.

Cina

Dopo un'analisi della costituzione cinese, che evidenzia l'esistenza di un regime dittatoriale e l'assenza di uno stato di diritto, il report dell'EDPB si focalizza sulle normative di recente introduzione in materia di protezione dei dati.

La Personal Information Protection Law (“PIPL”) della Repubblica Popolare Cinese è stata adottata il 20 agosto 2021 ed è efficace dal 1 novembre 2021. Si tratta di una normativa organica, che ha lo scopo di regolamentare la protezione dei dati personali e, per la prima volta, di fissare le regole sui trasferimenti dei dati personali da e verso la Cina.

Per un lecito trasferimento dei dati, le condizioni speciali richieste dalla normativa PIPL sono essenzialmente quattro:

1. il superamento di un security assessment da parte della State Cyberspace Administration of China (“CAC”);
2. l'ottenimento di una certificazione di protezione delle informazioni personali;
3. la conclusione di un contratto con il destinatario dei dati in conformità allo standard contrattuale elaborato dal CAC che disciplini i diritti e gli obblighi delle parti;
4. il soddisfacimento di altre condizioni prescritte da leggi, regolamenti amministrativi o dal dipartimento statale per il cyberspazio e l'informatizzazione.

Oltre alla PIPL, la protezione dei dati personali in Cina è disciplinata da normative specifiche, tra cui la Cybersecurity Law (2016), la Data Security Law (2021) e le Measures on Standard Contract for Cross-Border Transfer of Personal Information (2023).

La ratio primaria di queste normative consiste nel tutelare la sicurezza nazionale; ciò si traduce nell'obbligo per i cittadini e le organizzazioni di supportare e assistere le autorità pubbliche nella salvaguardia di tale primario interesse.

La Data Security Law, per esempio, stabilisce che i dati personali conservati in Cina non possono essere resi disponibili alle autorità giudiziarie o di polizia straniere senza la previa approvazione dell'autorità cinese, a pena di sanzioni pecuniarie elevatissime e di gravose sanzioni amministrative.

Dal report emerge chiaramente come in Cina non vi sia, allo stato, alcuna limitazione all'accesso ai dati personali da parte delle autorità governative. Ciò non consente di soddisfare i principi generali previsti dal Regolamento e il regime di legalità previsto dalla Carta dei Diritti Fondamentali dell'UE. I principi di legalità, proporzionalità, minimizzazione e finalità non trovano infatti effettività, alla luce delle leggi e regolamenti amministrativi che consentono alle autorità governative di superare le restrizioni previste dal PIPL.

India

L’India è una repubblica federale democratica; la costituzione indiana risale al 1950 e prevede una sezione dedicata ai diritti fondamentali.

Tuttavia, solo con la storica sentenza Puttaswamy vs. Governo Indiano del 24 Agosto 2017 la Corte Suprema dell’India ha riconosciuto il diritto alla privacy quale diritto fondamentale dell’uomo riconducibile all’art. 21 della Costituzione indiana.

A seguito di tale sentenza, nel 2018 e nel 2019 sono stati presentati, senza successo, due disegni di legge sulla protezione dei dati. Un nuovo disegno di legge - il Digital Personal Data Protection Bill, “DPDP Bill” - è stato infine presentato il 18 Novembre 2022 dal Ministero dell’Elettronica e dell’Informatica (Ministry of Electronics and Information Technology, “MeitY”); ad esito di una consultazione pubblica, l’approvazione del DPDP è attesa nei prossimi mesi.

Attualmente, la tutela dei dati personali è regolata dall’Information Technology Act (“IT Act”), la cui principale criticità si riscontra nell’assenza di limiti posti al governo. Il governo è infatti legittimato ad accedere a qualsiasi risorsa informatica e a qualsiasi informazione per motivi di sicurezza nazionale e di prevenzione di crimini, anche informatici. L’ambito di applicazione delle prerogative di accesso governativo ai dati si estende a qualsiasi individuo, indipendentemente dalla nazionalità e dal luogo in cui è avvenuto il fatto, a condizione che la condotta abbia ad oggetto un computer, un sistema informatico o una rete di comunicazione ubicati in India. Pertanto, un soggetto che operi in India deve sempre consentire alle autorità governative indiane l’accesso alle informazioni personali dei propri utenti quali e-mail, comunicazioni telefoniche e internet.

L’IT Act prevede altresì il Centralised Monitoring System (“CMS”), che legittima il governo indiano a intercettare comunicazioni in situazioni di pubblica emergenza (sicurezza dello Stato, ordine pubblico ecc.). Nella pratica, il predetto monitoraggio non viene effettivamente circoscritto come previsto dalla normativa, dando luogo a una vera e propria sorveglianza di massa.

Il report dell’EDPB analizza anche l’Aadhaar Act del 2016, che ha introdotto l’Aadhaar Unique Identification Number (“Aadhaar Card”), una sorta di numero identificativo di cui tutti i cittadini indiani e gli stranieri residenti in India devono obbligatoriamente disporre per poter usufruire di benefits e servizi governativi come, per esempio, le certificazioni sullo stato civile, le pensioni, l’apertura di conti bancari ecc.. Al fine di ottenere l’Aadhaar Card, i cittadini devono fornire al governo numerosi dati personali, inclusi dati biometrici e demografici; tali dati sono conservati in un database centralizzato gestito da un’agenzia governativa.

Il report conclude evidenziando come, alla luce delle vigenti disposizioni, in India risultino fortemente limitate sia la protezione dei dati personali, sia le possibilità di rimedio da parte dei soggetti interessati in caso di violazioni da parte delle autorità governative.

Russia

La Russia è una repubblica federale la cui costituzione si ispira ai valori democratici e ai diritti umani. Essa è inoltre stata a lungo parte di diverse convenzioni internazionali, tra le quali la Convenzione 108+ sui trattamenti automatizzati dei dati personali e la Convenzione internazionale delle Nazioni Unite sui diritti civili e politici. Tuttavia, in conseguenza del conflitto con l’Ucraina, dal 2022 la Russia ha notificato il proprio ritiro dal Consiglio d’Europa e pertanto non è più parte contraente della Convenzione Europea dei Diritti Umani.

Il report dell’EDPB rileva che in Russia le violazioni dei diritti umani sono all’ordine del giorno, fornendo dettagliate statistiche e richiamando alcuni noti casi di violazioni del diritto alla privacy (Zakharov v. Russia e Shimovolos v. Russia).

La normativa di riferimento in materia di tutela dei dati personali in Russia è la Federal Law No. 152-FZ (“Personal Data Law”), che si ispira al GDPR. Tuttavia, occorre rammentare che il governo russo è pienamente legittimato ad accedere ai dati personali per svariate finalità di sicurezza nazionale, anticorruzione, antiterrorismo, sicurezza dei trasporti, ecc.; in particolare, l’art. 9 della Personal Data Law impone agli interessati di acconsentire al trattamento dei propri dati personali per proteggere l’ordine, la moralità, la salute, i legittimi interessi di soggetti terzi, la difesa e la sicurezza del paese.

In Russia vi sono inoltre altre leggi federali in materia di privacy, tra le quali si richiamano la Data Protection Act (“DPA”) e la Data Localisation Law (“DLL”). La DPA prevede l’obbligo per gli operatori di internet di conservare tutti i messaggi di testo e vocali, le immagini e gli audio di utenti localizzati in Russia per almeno 6 mesi, i metadati per 12 mesi e il traffico Internet per 30 giorni; si prevede, inoltre, l’obbligo in capo ai titolari di informare il servizio federale per la supervisione delle comunicazioni, della tecnologia dell'informazione e dei mass media prima di trattare i dati personali. La DLL impone agli operatori russi e stranieri di rendere i dati disponibili, anche se conservati all’estero.

Anche ad esito del report, l’EDPB è intervenuto di recente sui trasferimenti che coinvolgono società russe, adottando lo “Statement 02/2022 del 12 luglio 2022 on personal data transfers to the Russian Federation”, secondo il quale i trasferimenti di dati verso la Russia possono avvenire solo ad esito di una specifica valutazione d’impatto.

In conclusione

Il report mette in luce le numerose non conformità dei sistemi di Cina, India e Russia rispetto alla regolamentazione europea in materia di protezione dei dati personali.

Nonostante i recenti sforzi per adeguare le normative nazionali agli standard UE, si riscontrano ancora significative criticità, principalmente imputabili all'assenza di limitazioni all'accesso ai dati da parte delle autorità governative e alla mancanza di rimedi effettivi in capo agli interessati che subiscano possibili violazioni.

La PIPL introdotta in Cina ricalca il corpus normativo del GDPR, con il velato intento di ottenere in futuro una decisione di adeguatezza da parte della Commissione europea; tuttavia, la presenza di normative amministrative che non pongono freni all'ingerenza del governo nei dati dei propri cittadini e degli stranieri che operano in Cina non consentono di soddisfare i principi previsti dal Regolamento.

L'India è ormai divenuta un player importante nel settore digitale, e le grandi Big Tech hanno già una presenza significativa nel suo territorio. Tuttavia, il contesto normativo in materia di protezione dei dati risulta ancora assai carente; l'attesa introduzione del DPDP rappresenta un importante passo avanti, ma le numerose prerogative di accesso ai dati da parte delle autorità governative rappresentano tuttora un rilevante ostacolo alla circolazione sicura dei dati.   

Analoghe considerazioni valgono per la Russia dove, pur in presenza di una normativa ispirata al GDPR, prevale l'interesse dello Stato a mantenere un “controllo” attraverso la sorveglianza dei cittadini e delle attività che si svolgono nel territorio, in violazione del diritto fondamentale degli interessati alla protezione dei propri dati personali.

L'auspicio è che, con il recente programma strategico per il 2023/2024 adottato dall'EDPB il 14 febbraio 2023 (EDPB Work Programme 2023/2024), si realizzino gli obiettivi prefissati, incrementando la consapevolezza sulle questioni relative all'accesso da parte dei governi ai dati personali e rafforzando la cooperazione tra i membri dell'EDPB, le autorità di controllo locali, i titolari e responsabili che operano nei paesi terzi, attraverso precise guidelines all'utilizzo dei “transfer tools” che garantiscano una protezione “sostanzialmente equivalente” alla regolamentazione europea. In proposito, l'EDPB conferma la propria determinazione nel fissare elevati standards per il trasferimento di dati internazionali verso paesi terzi e il proprio impegno con la comunità internazionale per promuovere la regolamentazione dell'UE quale “modello mondiale”.

In tale contesto, resta da vedere quale sarà il destino dei rapporti con gli Stati Uniti, anche alla luce del recente Executive Order firmato dal Presidente Biden con l'intento di superare le criticità evidenziate dalle sentenze Schrems riguardo all'adeguatezza degli USA in materia di protezione dei dati personali: pare infatti difficile ipotizzare che paesi come Cina, India e Russia adottino misure più virtuose di quelle degli Stati Uniti in materia di intelligence governativa sui dati. 

Guida all’approfondimento

- Meneghetti, Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, in Finocchiaro (a cura di), Il Nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, 423 ss.

- Bolognini, Il trasferimento del dato verso paesi terzi o organizzazioni internazionali, in Bolognini, Pelino, Bistolfi (a cura di), Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, 459 ss.

- Linee Guida EDPB 05/2021 aggiornate e adottate il 14/02/2023

- Paesi terzi ritenuti adeguati dalla Commissione Europea