Home

TIA: trasferimenti di dati personali verso i contesti Brasile, Messico e Turchia

Cristina Totaro
14 Marzo 2024

Il Transfer Impact Assessment rappresenta uno strumento essenziale per analizzare i rischi connessi alle attività di trattamento implicanti un trasferimento di dati personali al di fuori dello Spazio Economico Europeo, nonché per identificare possibili incisioni delle tutele garantite dal Regolamento (UE) 2016/679 agli interessati.

In tale contesto, l’European Data Protection Board ha implementato le Raccomandazioni 01/2020, al fine di supportare i Titolari ed i Responsabili del trattamento coinvolti in tali processi.

Nell’articolo che segue, analizzeremo lo strumento TIA e a seguire i quadri giuridici di Brasile, Messico e Turchia – delineando le caratteristiche salienti degli scenari che ci occupano.

La disamina verrà affrontata attingendo dalla normativa di riferimento e dagli studi di settore implementati a beneficio dell’EDPB sull’accesso governativo ai dati nei contesti oggetto di analisi.

Transfer Impact Assessment: le fonti di riferimento

Il Regolamento (UE) 2016/679 (di seguito, “Regolamento” o “GDPR”) dedica al Capo V la disciplina dei trasferimenti transfrontalieri di dati personali. In particolare, il medesimo articolo 44 chiarifica che le disposizioni di tale Capo hanno lo scopo di assicurare che il livello di tutela garantito agli interessati dall’intelaiatura normativa europea non sia pregiudicata, in linea con quanto già delineato dal Considerando 102. In tale prospettiva, la tutela delle persone fisiche costituisce il cardine di ogni Valutazione d’Impatto sul trasferimento (a seguire, “Transfer Impact Assessment” o “TIA”). Nell’identificare i passi fondamentali da attuare per costruire un processo conforme, l’European Data Protection Board (nel seguito, “EDPB” o “Board”), oltre a ricordare agli esportatori la necessità di analizzare i propri trasferimenti e identificare lo strumento di riferimento (a titolo esemplificativo: BCR, CCS, etc.) in assenza di una decisione di adeguatezza,  evidenzia l’importanza di accertare se l’apparato giuridico del Paese di destinazione sia suscettibile di compromettere il livello di tutela stabilito dal Regolamento; tale aspetto assume particolare rilievo rispetto al perimetro di accesso ai dati personali da parte delle autorità pubbliche (ad esempio, nell’ambito di programmi di sorveglianza). In caso affermativo, il Board individua la necessità di adottare misure supplementari, al fine di ristabilire un livello di protezione conforme. In tale prospettiva, sarà altresì fondamentale programmare periodiche attività di assessment volte ad accertare l’effettivo mantenimento delle garanzie assicurate (a titolo esemplificativo, monitorando l’entrata in vigore di leggi che potrebbero incidere sul livello di tutela approntato). (EDPB, Raccomandazioni 01/2020)

I recenti studi elaborati a beneficio dell’EDPB sull’accesso governativo ai dati da parte di Brasile, Messico e Turchia si incardinano in questa cornice, offrendo una disamina dei quadri normativi di riferimento. Si precisa che tali fonti non rappresentano la posizione del Board, ma costituiscono un valido strumento di partenza per avviare la propria analisi. (Government Access to Data in Third Countries II (Brazil) CiTiP, KU Leuven, with the support of Milieu Consulting SRL, April 2023; Government Access to Data in Third Countries II (Mexico and Turkey) CiTiP, KU Leuven, with the support of Milieu Consulting SRL, April 2023).

TIA e Brasile: il quadro di riferimento

Nel contesto Brasile, la fonte di riferimento principale in ambito protezione dati è da rinvenire nella Legge n. 13709 del 14 agosto 2018 e ss.mm.ii. (di seguito, “LGPD” o “Legge”). La stessa Costituzione comprende espressi riferimenti alla tutela dei dati personali; tra questi, è possibile distinguere il diritto all’habeas data, avanguardia del diritto brasiliano: nel 1988, il Paese si è distinto come primo al mondo a fornire tale garanzia costituzionale. In ogni caso, è opportuno come anche nel contesto in esame il diritto alla tutela dei dati personali non sia un diritto assoluto – ma suscettibile di subire compressioni in presenza di determinate circostanze.

Nel complesso, la LGPD offre maglie di tutela convergenti verso quelle garantite dal Regolamento (UE) 2016/679; a seguire, riportiamo alcuni punti salienti:

  • Rispetto ai pilastri regolanti la materia, la predetta normativa afferma i principi i) della limitazione delle finalità; ii) dell’adeguatezza alle finalità del trattamento dei dati; iii) della necessità e proporzionalità; iv) del libero accesso ai dati da parte dell'interessato; v) della qualità dei dati; vi) della trasparenza; vii) della sicurezza; viii) della prevenzione; ix) della non discriminazione; x) della responsabilizzazione (art. 6, LGPD). È possibile osservare come tali principi si caratterizzino per nuclei coincidenti o comunque assimilabili a quelli stabiliti dall’art. 5, par 1 e 2, GDPR. Oltre a ciò, occorre evidenziare la necessità di ancorare il trattamento ad una base giuridica conforme (artt. 7 e 11, LGPD), in linea con quanto stabilito dal Regolamento (artt. 6 e 9, GDPR).
  • Con riguardo ai dati trattati, la Legge distingue le informazioni comuni da quelle il cui trattamento potrebbe implicare particolari rischi per i diritti e le libertà degli individui (art. 5, n. II, LGPD), con un partizionamento assimilabile a quello tracciato dal Regolamento (art. 9, par. 1; Cons. 51 GDPR).
  • La Legge, inoltre, assicura in capo agli interessati una serie di diritti (artt. 17 e ss., LGPD); a titolo esemplificativo e non esaustivo, è possibile ricordare i diritti di i) accesso ai propri dati, ii) rettifica e iii) a ricevere informazioni sugli enti con cui il Titolare ha condiviso i propri dati. 
  • Da ultimo, è di rilievo ricordare l’istituzione di un’Autorità di controllo (“ANDP”), con poteri interpretativi e sanzionatori.

Lo studio di riferimento, altresì, indaga i rischi connessi all’accesso ai dati personali da parte delle autorità governative.

L’analisi, in particolare, distingue le attività di accesso svolte nell’ambito della repressione e prevenzione dei reati (ad es., le intercettazioni delle telecomunicazioni) da quelle attuate nell’ambito di programmi legati alla difesa e alla sicurezza nazionale. In linea generale, le prime sono subordinate al controllo dell’autorità giudiziaria; le ultime, invece, si caratterizzano per la persistenza di alcune zone d’ombra (a titolo esemplificativo, rispetto alle tecniche ed ai mezzi attuati per raccogliere informazioni nell’ambito delle attività di intelligence; sul punto, si veda anche l’art. 4 della L. n. 9883/99).

Sulla scorta delle criticità rilevate, lo studio auspica l’implementazione di una normativa di settore specifica – al fine di superare i potenziali rischi persistenti e garantire agli interessati effettive maglie di tutela.

In conclusione, il contesto brasiliano si caratterizza per un livello di tutela non ancora conforme a quello stabilito dal Regolamento; i soggetti privacy chiamati a redigere una TIA dovranno valutare le maglie di tutela effettivamente garantite, con particolare riguardo alle attività governative di accesso alle informazioni – al fine di introdurre misure supplementari volte a ristabilire un livello di protezione adeguato.

TIA e Messico: il quadro di riferimento

Il diritto alla riservatezza ha trovato garanzia costituzionale nell’ordinamento messicano sin dal 1977; nel 2004, le maglie di tutela sono state ampliate fino a comprendere il diritto alla protezione dei dati personali.

Le principali fonti di riferimento in materia di protezione dati sono la “Ley Federal de Protección de Datos Personales en Posesión de los Particulares” (di seguito, per brevità, “LFPD”), destinata al settore privato (2010), e la “Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados” (di seguito, per brevità, “LGPD”), applicabile al pubblico (2017). Occorre altresì ricordare la “Ley General de Transparencia y Acceso a la Información Pública” (di seguito, “LGTAIP”), improntata sul rispetto del principio di trasparenza nell’ambito delle attività di trattamento svolte dalle autorità pubbliche.

  • Con riguardo al contesto generale, la LFPD afferma i principi di principi di i) liceità; ii) consenso; iii) informazione; iv) qualità; v) finalità; vi) lealtà; vii) proporzionalità; e viii) responsabilità (“responsabilidad”) (art. 6). La LGPD, altresì, stabilisce i principi del i) consenso; ii) liceità iii) qualità dei dati; iv) riservatezza; v) sicurezza; vi) disponibilità; e vii) temporaneità (artt. 16 e ss.). Nel settore pubblico, la base giuridica generale per le attività di trattamento si radica nel consenso dell’interessato; nonostante il consenso descritto dalla medesima LGPD (art. 3, n. VIII) ad eccezione dell’inequivocabilità presenti i medesimi requisiti prescritti dal Regolamento (art. 4, n. 11, GDPR), occorre interrogarsi sull’effettiva libertà di un consenso prestato in una condizione di ontologico squilibrio. Per superare tali criticità, la LGPD stabilisce ulteriori basi di liceità (art. 22).
  • Rispetto alle garanzie stabilite a tutela degli interessati, la LFPD distingue i diritti di accesso, rettifica, cancellazione e opposizione (art. 22); i medesimi diritti sono affermati dalla LGPD (artt. 43 e ss.).
  • Il Paese ha istituito una serie di Autorità di controllo regionali, in linea con il sistema federale vigente. Sul piano nazionale è presente l’INAI, competente per la vigilanza sulla LFPD e le singole autorità.

Lo studio di riferimento rileva come le attività di sorveglianza ascrivibili alla sicurezza nazionale non rientrino nell’ambito delle garanzie stabilite dalle normative sulla protezione dei dati personali.

Sebbene tali azioni siano subordinate al rispetto dei principi stabiliti dalla Legge sulla Sicurezza Nazionale (che comprende, a titolo esemplificativo, il principio della minimizzazione dei dati), non è presente un sistema a presidio dello svolgimento conforme di queste attività. Occorre ricordare, altresì, come lo stesso diritto di accesso degli interessati subisca compressioni.

L’analisi pertanto auspica lo sviluppo di un sistema di controllo armonizzato, nonché in grado di fornire effettivi strumenti di tutela rispetto a potenziali ingerenze governative.

In conclusione, lo scenario messicano si caratterizza per un livello di tutela non conforme a quello assicurato dal Regolamento. Nella valutazione delle misure supplementari per garantire un livello conforme, gli esportatori dovranno considerare i rischi connessi alle attività di sorveglianza svolte dalle autorità governative – individuando puntuali misure per superare il rischio.

TIA e Turchia: il quadro di riferimento

La Costituzione turca afferma i diritti alla riservatezza ed alla protezione dei dati personali; in aggiunta a tale fonte, è possibile ricordare ulteriori leggi incidenti sulla materia.

La principale fonte di riferimento si rinviene nella Legge turca sulla protezione dei dati personali, datata 2016 (di seguito, “TPDPL” o “Legge”).

  • La TPDPL stabilisce una serie di principi a presidio delle attività di trattamento: i) accuratezza; ii) liceità; iii) limitazione delle finalità; iv) limitazione della conservazione (art. 4, par. 2). All’articolo 5, la Legge enumera le basi giuridiche per il trattamento, distinguendo il consenso (par. 1) dalle ulteriori condizioni necessarie (par. 2).
  • La TPDPL, altresì, individua un nucleo di informazioni soggette a maggior tutela (art. 6), con un perimetro pressoché coincidente con quello tracciato dall’art. 9 GDPR.
  • La Legge riconosce agli interessati una serie di diritti; tra questi, è possibile ricordare il diritto di chiedere informazioni circa le finalità per cui vengono trattati i propri dati (art. 11, lett. c) o, ancora, il diritto di rettifica (art. 11, lett. d).
  • Il Paese ha istituito una Autorità di controllo (art. 19, TPDPL) e un Board (art. 21) dotato di poteri sanzionatori.

In linea generale, nonostante la Turchia affermi garanzie a tutela degli individui, è possibile osservare come esse spesso si traducano in meri diritti di carta.

Tra i nodi salienti, l’analisi osserva come l’accesso governativo ai dati manchi dei requisiti di proporzionalità e necessità. Tra le criticità rilevate, nell’ambito di programmi afferenti alla lotta contro il terrorismo, categorie vulnerabili come dissidenti o difensori dei diritti umani sono state bersaglio di persecuzione (sul punto, si veda anche Amnesty International, Report 2021/2022). Il Regolamento sulle autorizzazioni nel settore delle telecomunicazioni costituisce, altresì, una ulteriore fonte di rischio per gli interessati – prescrivendo in capo ai fornitori di servizi l’obbligo di conservare i dati sul traffico (art. 16, par. 1, lett. f).

In conclusione, è possibile osservare come il Paese non offra un livello di protezione equivalente alle salvaguardie del Regolamento. Nell’elaborazione della propria TIA, i soggetti privacy coinvolti dovranno effettuare puntuali analisi al fine di individuare le misure supplementari adeguate per ristabilire un livello di protezione conforme.

In conclusione

La TIA rappresenta un pilastro fondamentale nella valutazione della conformità dei trasferimenti di dati personali verso Paesi terzi. L’analisi di Brasile, Messico e Turchia restituisce tre diversi scenari: il primo si caratterizza per un apparato tendente verso quello approntato dal Regolamento, nonostante le persistenti criticità.

Il secondo, malgrado le garanzie affermate dalla normativa di riferimento, lascia scoperte vulnerabilità connesse alle attività di sorveglianza attuate dalle autorità.

Il quadro giuridico della Turchia, da ultimo, si connota per un livello di tutela non conforme – con problematiche radicate nelle possibili ingerenze governative e carenze incidenti sui medesimi principi di proporzionalità e necessità.

Pertanto, nella predisposizione della propria TIA, gli esportatori saranno chiamati a svolgere puntuali verifiche per identificare misure effettive volte a superare il rischio – con l’obiettivo di garantire un livello di tutela equivalente a quello stabilito dal Regolamento.

Riferimenti

EDPB, Raccomandazioni 01/2020; Government Access to Data in Third Countries II (Brazil) CiTiP, KU Leuven, with the support of Milieu Consulting SRL, April 2023; Government Access to Data in Third Countries II (Mexico and Turkey) CiTiP, KU Leuven, with the support of Milieu Consulting SRL, April 2023; Amnesty International, Report 2021/2022.