g-docweb-display Portlet

2.12 Flussi transfrontalieri di dati - Relazione 1999 - 3 maggio 2000

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Indice

2. Stato di attuazione della legge n. 675/1996 e nodi da affrontare - Relazione 1999 - 3 maggio 2000

2.12 Flussi transfrontalieri di dati
In materia di trasferimento di dati all´estero, non vi sono particolari deliberazioni del Garante di cui dare conto oltre a quelle già riassunte nelle precedenti relazioni (v. Relazione per l´anno 1997, p. 103-105, e Relazione per l´anno 1998, p. 80-82).

Di notevole rilievo è, invece, l´attività svolta dall´Autorità in seno ad organismi comunitari ed internazionali relativamente ai trasferimenti di dati verso Paesi terzi. Per darne conto, sia pur brevemente, è opportuno schematizzare il quadro delle disposizioni rilevanti contenute nella direttiva.

In base all´art. 25 della direttiva n. 95/46/CE è necessario, per trasferire dati in Paese terzo, che questo presenti un livello di protezione "adeguata", da valutarsi con riferimento a tutte le circostanze e, segnatamente, alla natura dei dati. Qualora la Commissione europea constati che un Paese non presenta tale livello di protezione, gli Stati membri adottano tutte le misure per impedire il trasferimento di dati della stessa natura verso tale Paese.

Per constatare su base comunitaria l´adeguatezza della protezione offerta da un Paese terzo possono essere considerati sia la legislazione nazionale, sia, dopo che sia stata accertata la situazione di inadeguatezza, gli impegni internazionali assunti con la Commissione in negoziati volti a porvi rimedio.

L´art. 26 della direttiva prevede inoltre che il trasferimento possa avvenire in determinate circostanze anche verso Paesi la cui legislazione non presenti un livello adeguato di protezione, ad esempio quando l´interessato abbia manifestato il proprio consenso o quando il trasferimento sia accompagnato da clausole contrattuali idonee ad assicurare tale protezione.

Sul piano federale, a differenza di quanto avviene a livello statale, l´ordinamento federale statunitense in materia di protezione della riservatezza non è basato su un organico strumento normativo come invece accade nell´Unione europea, essendo tale protezione affidata, per vari aspetti, ad eventuali sistemi di autoregolamentazione.

Esperti e associazioni di consumatori hanno perciò auspicato l´introduzione di maggiori garanzie, mentre alcuni organismi imprenditoriali hanno manifestato incertezze circa l´impatto che il requisito dell´adeguatezza richiesto dalla disciplina comunitaria potrebbe avere sul flusso di dati tra Europa e Stati Uniti.

Il Governo Usa (e in particolare il Dipartimento del commercio) ha promosso l´elaborazione - ancora in corso - di alcuni "International Safe Harbor Privacy Principles" nonché di una guida per la loro attuazione, articolata in una serie di risposte alle domande che più frequentemente si pongono in materia (FAQ).

In sostanza, alla luce di tali principi, come determinati in un negoziato preliminare tra la parte statunitense e la Commissione europea, quest´ultima, con apposita decisione da adottarsi ai sensi dell´art. 25, par. 2, della direttiva (sulla base del parere del Comitato di seguito citato), introdurrebbe la presunzione che i principi (applicati conformemente alla guida) garantiscono un livello adeguato di protezione dei dati trasferiti dalla Comunità ad organizzazioni insediate negli Usa, purché queste si impegnino a rispettare i principi contenuti nel "Safe Harbor".

L´importanza che una simile decisione avrebbe è evidente in riferimento, anzitutto, al principio di non discriminazione nei confronti di altri Paesi terzi presso, alcuni dei quali si registra al riguardo un atteggiamento di attesa.

Da un lato, i Paesi terzi avrebbero interesse ad evitare nei loro riguardi interpretazioni ed applicazioni della normativa comunitaria più rigorose di quelle praticate in seno alla Comunità. Dall´altro, per quanto riguarda i Paesi terzi, definire "adeguato" il livello di protezione adottato negli Usa significa indicare il livello oltre il quale difficilmente la parte europea potrebbe chiedere adeguamenti ad altri Stati.

Inoltre, se si tiene conto dei diritti fondamentali e degli interessi economici in materia, risulta chiaro che una simile decisione sarebbe di rilevante importanza anche per l´attività di revisione della direttiva n. 95/46/CE, prevista dal relativo art. 33 decorsi tre anni dalla scadenza del termine per la sua attuazione.

In questo quadro, la parte europea (e al suo interno diversi Paesi membri ed autorità di garanzia tra cui quella italiana), ha costantemente sottolineato, nel corso del negoziato, l´importanza dell´effettività degli strumenti di tutela posti in essere. Infatti, senza adeguati ed efficaci strumenti di attuazione, volti a consentire l´effettiva realizzazione dei diritti riconosciuti agli interessati, ovvero agevoli e idonee forme di soddisfazione in caso di loro violazione, i diritti sanciti dalle norme comunitarie rimarrebbero solo sulla carta, e il trasferimento dei dati in Paesi terzi diventerebbe in molti casi lo strumento per eludere le norme stesse.

Il negoziato ha avuto però fasi alterne e una bozza completa e consolidata di accordo si è inoltre resa disponibile solo da ultimo.

In questo quadro si colloca l´intensa attività svolta dal Garante, sia in incontri di studio o comunque non ufficiali, sia, soprattutto, in seno agli organismi a livello comunitario previsti dalla citata direttiva n. 95/46/CE. Si allude, in particolare, al Gruppo di lavoro di cui all´art. 29 della medesima direttiva (composto da rappresentanti di ciascuna autorità nazionale e da un rappresentante della Commissione), al quale spetta, tra l´altro, il compito di formulare, ad uso della Commissione, un parere sul livello di tutela nella Comunità e nei Paesi terzi; nonché al Comitato di cui all´art. 31 (composto da rappresentanti degli Stati membri e presieduto da un rappresentante della Commissione).

Nell´ambito di quest´ultimo il Garante ha operato in costante e proficuo raccordo con il Ministero della giustizia, che rappresenta il Governo, e ciò ha consentito l´espressione di un orientamento comune.

Oggetto della valutazione di tali organismi, con riferimento ad una complessa attività di negoziazione svolta dalla Commissione, è stata principalmente la situazione statunitense.

L´ingente attività dei predetti organismi su tale argomento è diffusamente documentata negli allegati della presente relazione, dai quali si evince l´efficace ruolo di impulso svolto in particolare dal Gruppo di cui all´art. 29 che, in generale sintonia con il Comitato, ha sollecitato, a più riprese, l´introduzione di un livello più elevato di garanzie rispetto ai diversi principi del Safe Harbor (informativa, consenso, diritto di accesso, ulteriori trasferimenti e utilizzazioni di dati, enforcement).

Grazie a questa attività, i principi del Safe Harbor (inizialmente assai vaghi e vanificati da alcune interpretazioni restrittive inserite nelle FAQ) sono stati oggetto di un certo miglioramento, sia pure assai graduale. Il loro adeguamento è tuttora in corso e la posizione definitiva dei medesimi organismi non è ancora definita, essendo prevista nell´ambito delle riunioni che si terranno, in particolare, nel mese di maggio del 2000.

Il proficuo contributo offerto dall´Autorità italiana (che nella persona del prof. Rodotà ha svolto le funzioni di vice presidenza del Gruppo di cui all´art. 29 e, dal marzo del 2000, di presidenza), è testimoniato, tra l´altro, dall´incontro avuto con il sottosegretario di Stato americano Aaron in visita al Garante nel gennaio del 1999, dalla recente audizione del presidente del Garante avvenuta il 22 febbraio 2000 dinanzi al Parlamento europeo, dalla partecipazione alla visita ufficiale a Washington del 18-20 gennaio 2000 del Comitato di cui all´art. 31 (cui ha partecipato, per il Garante, il segretario generale), da alcuni comunicati stampa del Garante, nonché dai diversi contributi, chiarimenti e prese di posizione anche sulla stampa dei rappresentanti del collegio del Garante e del segretario generale.

In proposito il Garante ha segnalato anche l´esigenza di valutare con maggiore attenzione le competenze degli organi statutitensi che dovrebbero svolgere un controllo indipendente, le effettive garanzie di ricorso offerte agli interessati, anche in riferimento alle inibitorie, alla determinazione della legge applicabile e al risarcimento del danno, atteso anche il fatto che l´intervento della Federal Trade Commission (il principale organo cui verrebbero presentati i reclami degli interessati), risulta circoscritto negli ultimi due anni ad un numero assai ristretto di casi rispetto alle diverse centinaia di interpelli ricevuti.

Il Garante ha altresì rappresentato che un automatico inserimento nell´elenco delle società aderenti al sistema di autoregolamentazione, non assoggettato al controllo di determinati requisiti, potrebbe favorire l´attività di società di comodo, che potrebbero svanire nel nulla dopo aver trasferito i dati ad un´altra entità, sottraendosi di fatto a qualunque forma di responsabilità. Diverse altre osservazioni sono state formulate per quanto riguarda il livello di garanzie dei principi nonché la loro tutela giurisdizionale e amministrativa.

Sono altresì ancora da approfondire i rapporti tra la decisione della Commissione e i poteri delle autorità nazionali, giudiziarie e di garanzia. Ciò in quanto la base giuridica prospettata per la decisione (l´art. 26, par. 6 della direttiva) conferisce alla Commissione competenze di esecuzione relative alla valutazione di adeguatezza, ma lascia impregiudicati i poteri di tali autorità sui singoli casi.

Il Safe Harbor sembra peraltro destinato a coprire soltanto una parte dei flussi verso gli USA, lasciando non regolata un´alta percentuale di trasferimenti che, unitamente a quelli considerati nel negoziato, potrebbero essere con ogni probabilità regolati meglio. Ciò attraverso il ricorso a clausole contrattuali per vincolare sia chi esporta i dati, sia chi li utilizza nel Paese terzo, a condotte regolate più specificamente, anche sotto il profilo della giurisdizione applicabile e del risarcimento del danno, sulla falsariga della proficua esperienza maturata in diversi Paesi membri.

Alcuni schemi di clausole o contratti tipo in materia di protezione dei dati sono peraltro già stati valutati e perfezionati a cura del Consiglio d´Europa, dell´OCSE e dell´International Chamber of Commerce, e fanno quindi parte del materiale a disposizione della Commissione per l´elaborazione a livello comunitario. In tal senso, oltre all´attività propulsiva svolta in seno alla Comunità europea, il Garante ha seguito con attenzione i lavori dell´International Commerce Exchange per la definizione di un codice di condotta sulla privacy, nonché di un modello contrattuale da utilizzare per il flusso transfrontaliero di dati, anche al fine di orientare la prassi degli operatori economici coinvolti tramite la formazione di regole condivise e, perciò, rispondenti alle indicate esigenze di effettività.