Il Comitato europeo per la protezione dei dati personali (“European Data Protection Board”) ha emanato il proprio parere in merito alla bozza di decisione di adeguatezza pubblicata dalla Commissione Europea lo scorso 16 giugno 2021 (disponibile qui) relativa al trasferimento dei dati verso la Repubblica di Corea.
Si tratta di una decisione che, una volta entrata in vigore, permetterà agli operatori economici del mercato europeo – pensiamo, in primis, ai fornitori di servizi di comunicazione elettronica, ai cloud provider e alle multinazionali – di trasferire liberamente i dati personali dall’Europa alla Repubblica di Corea senza dover adottare né le garanzie adeguate (ad es., “Standard Contractual Clauses”) né le condizioni supplementari (ad es. il consenso degli interessati) richieste dal capo V del Regolamento UE n. 679/2016 (“GDPR”).
Infatti, ai sensi degli artt. 44 e ss. del GDPR, i trasferimenti di dati personali verso i Paesi non appartenenti allo Spazio Economico Europeo o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia espressamente riconosciuta tramite decisione della Commissione.
Esaminiamo quindi in dettaglio le osservazioni del Comitato europeo contenute nel summenzionato parere.
In primo luogo, si è osservato come il quadro normativo in materia di protezione dei dati personali vigente in Repubblica di Corea sia sostanzialmente allineato a quello europeo, soprattutto per quanto concerne le principali definizioni presenti nel testo di legge (“dati personali”, “trattamento” e “interessato”), i requisiti di liceità del trattamento, i principi generali e le misure di sicurezza.
Questo è stato possibile non solo grazie alla presenza di un’efficace legge privacy (i.e., “Personal Information Protection Act” o “PIPA” entrato in vigore nel 2011) bensì anche in ragione di una serie di “notifiche” (tra cui la “Notifica n. 2021-1”) emanate dall’Autorità garante per la protezione dei dati personali coreana (i.e., “Personal Information Protection Commissioner” o “PIPC”) che hanno il merito di interpretare e rendere agevolmente comprensibili le disposizioni del PIPA.
Inoltre, come rilevato dal Comitato, la Repubblica di Corea è parte di diversi accordi internazionali che garantiscono il diritto alla riservatezza dei dati personali (tra cui la “Convenzione internazionale sui diritti civili e politici”, la “Convenzione sui diritti delle persone con disabilità” e la “Convenzione ONU sui diritti dell’infanzia”), il che fornisce un’ulteriore conferma dell’attenzione che la Repubblica di Corea rivolge ormai da diversi anni alla protezione delle informazioni personali.
L’analisi del Comitato si è poi focalizzata su alcuni aspetti chiave del PIPA che differiscono leggermente rispetto a quanto previsto dal GDPR e che richiedono quindi maggiore attenzione – quali, in particolare, l’assenza di un generale diritto degli interessati di revocare il consenso fornito, ad esempio, per attività di marketing.
Secondo il Comitato, nonostante l’art. 37 del PIPA conferisca agli interessati il diritto di chiedere la “sospensione” del trattamento dei propri dati personali – diritto esercitabile anche in caso di direct marketing, come espressamente chiarito dal Considerando 79 alla decisione di adeguatezza della Commissione europea – nel PIPA il diritto alla revoca del consenso viene menzionato solo in due specifici casi:
- relativamente ai trasferimenti di dati personali effettuati nell’ambito di operazioni societarie straordinarie (i.e., fusioni, acquisizioni, ecc.);
- con riferimento al trattamento dei dati per finalità di marketing da parte dei fornitori di servizi di comunicazione elettronica.
Il Comitato ha quindi ritenuto necessario richiamare l’attenzione della Commissione sui summenzionati aspetti affinché analizzi più approfonditamente le conseguenze che, alla luce del quadro normativo coreano, potrebbe comportare per gli interessati la mancanza di un simile diritto e chiarisca, nella decisione di adeguatezza, l’effettiva portata del summenzionato diritto alla “sospensione” del trattamento.
In secondo luogo, il Comitato ha rilevato che, ai sensi dell’art. 58 del PIPA, una parte sostanziale di tale testo di legge – compresi i capi III, IV e V, che disciplinano rispettivamente i principi generali per il trattamento dei dati, le misure di sicurezza e i diritti degli interessati – non si applica a tutta una serie di trattamenti di dati personali (tra i quali rientrano quelli necessari per far fronte ad urgenti esigenze di tutela della sicurezza e della salute pubblica).
Il Comitato osserva che il termine “urgenti” presente nel PIPA esprime un concetto estremamente ampio che necessita di essere limitato e contestualizzato, anche con l’ausilio di esempi pratici, al fine di non compromettere la riservatezza dei dati degli interessati.
Inoltre, il Comitato, alla luce dell’attuale contesto emergenziale provocato dalla pandemia da Covid-19, ha richiamato l’attenzione della Commissione sulla necessità di garantire un livello di protezione adeguato anche ai dati personali trasferiti in Repubblica di Corea per finalità connesse alla tutela della salute pubblica.
Ciò in quanto le informazioni “sensibili” relative ai cittadini europei (ad es., lo stato di vaccinazione), una volta giunte in Repubblica di Corea, dovrebbero ricevere un livello di protezione almeno pari a quello previsto dal GDPR. In questo senso, il Comitato ha quindi invitato la Commissione a monitorare attentamente l’applicazione delle deroghe previse dall’art. 58 del PIPA.
Infine, il Comitato ha ritenuto opportuno focalizzare la propria attenzione sulla possibilità di accedere ai dati personali dei cittadini europei da parte delle autorità pubbliche coreane per finalità di sicurezza nazionale. A tal proposito, manca uno specifico obbligo in capo alle autorità coreane di informare gli interessati dell’avvenuto accesso ai loro dati personali, specie quando gli interessati non siano cittadini coreani.
Tuttavia, pur in assenza di tale obbligo, il bilanciamento tra le esigenze di tutela della sicurezza nazionale e la protezione dei diritti e delle libertà fondamentali degli interessati può rinvenirsi nella stessa legge coreana che tutela la riservatezza delle comunicazioni interpersonali (the “Communications Privacy Protection Act” – cfr. anche il Considerando 187 alla decisione di adeguatezza) ai sensi della quale l’accesso ai dati personali dei cittadini europei per finalità di sicurezza nazionale può essere effettuato solo in presenza di determinati presupposti di legge (ad es., qualora si tratti di comunicazioni intercorse tra “agenzie, gruppi o cittadini stranieri sospettati di essere coinvolti in attività che minaccino la sicurezza della nazione”).
Il Comitato europeo osserva che, ad ulteriore garanzia della riservatezza delle comunicazioni oggetto di accesso da parte delle autorità coreane, la costituzione sudcoreana sancisce principi essenziali in materia di protezione dei dati applicabili proprio a questo settore.
Alla luce del favorevole parere emesso dal Comitato europeo per la protezione dei dati personali è certamente auspicabile, oltre che probabile, l’adozione di una decisione di adeguatezza da parte della Commissione relativamente alla Repubblica di Corea.
In un’economia globale sempre più data driven basata sul valore economico delle informazioni personali e sullo scambio dei dati, tale decisione di adeguatezza aprirebbe le porte alla liberalizzazione degli scambi commerciali con l’oriente anche da un punto di vista privacy.
Un intervento normativo, quello oggetto del presente contributo, tanto dovuto quanto atteso, che si pone certamente sulla scia dell’“Accordo di libero scambio” tra UE e Corea del Sud in vigore dal 2011 che è stato in grado di aumentare esponenzialmente gli scambi bilaterali tra i due paesi (basti pensare che nel 2015 il valore commerciale delle transazioni si attestava intorno ai 90 miliardi di euro).
L’auspicio è naturalmente quello che, con il passare degli anni, le valutazioni di adeguatezza da parte della Commissione Europea abbiano ad oggetto sempre più ordinamenti in modo che il trasferimento internazionale di dati personali possa rappresentare un reale e concreto strumento in grado di favorire l’economia e l’innovazione in tutto il mondo.