Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

2.13 Flussi transfrontalieri di dati - Relazione 1998 - 12 aprile 1999

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1341484
Data:
12/04/99
Tipologia:
Relazione annuale

Indice

Relazione annuale 1998

2. Temi di maggior rilievo nell´attività del Garante

2.13 Flussi transfrontalieri di dati 

2.13.1 Profili generali
Con l´approvazione della direttiva comunitaria 95/46 CE, il cui termine per il recepimento è scaduto il 24 ottobre scorso, l´Unione europea ha introdotto un quadro di riferimento comune per la protezione dei dati personali destinato a tutti gli Stati membri, in modo da determinare discipline convergenti e omogenee e impedire, così, che situazioni di scarsa protezione in taluni contesti nazionali possano indurre altri Stati a restringere o vietare il flusso e la circolazione dei dati.

Come è noto tale normativa comunitaria è stata recepita in buona parte nella l. 31 dicembre 1996, n. 675, all´art. 28. Da tale quadro discende una situazione che garantisce la circolazione delle informazioni all´interno dell´Unione europea e la possibilità di esportare dati verso quei Paesi terzi che assicurino un livello di protezione "adeguato", anche se non necessariamente equivalente.

Il requisito dell´adeguatezza costituisce il fulcro del dibattito in atto a livello internazionale sul trasferimento dei dati all´estero.

Il meccanismo di valutazione dell´"adeguatezza", infatti, è complesso ed è disciplinato agli artt. 25 e 26 della direttiva, che attribuiscono il giudizio, in primo luogo, alle autorità di garanzia nazionali che cooperano attivamente tra loro, nonché ai giudici nazionali che siano eventualmente investiti del caso.

L´adeguatezza può essere però accertata anche su scala europea, procedendo a una valutazione comune (effettuata dalla Commissione in collaborazione con il Comitato previsto dall´art. 31 della direttiva) di uno o più settori o attività presenti in un Paese terzo, previa analisi della natura dei dati, delle finalità del trattamento e delle norme generali o settoriali vigenti.

L´art. 26 impone poi allo Stato membro sia di informare la Commissione e gli altri Stati aderenti circa le autorizzazioni in deroga al trasferimento concesse nei singoli casi, sia di uniformarsi alle decisioni che la Commissione riterrà opportuno assumere.

Per tale ultimo aspetto si avverte l´esigenza di creare un modello procedimentale comune, attraverso cui gli Stati membri possano pervenire a conformarsi alle decisioni demandate alla Commissione, come già indicato nella Relazione per l´anno 1997 presentata al Parlamento da questa Autorità.

È bene ricordare, peraltro, che sono previste alcune situazioni nelle quali, pur non essendo gli Stati in grado di assicurare una protezione "adeguata", è però possibile trasferire comunque i dati, ricorrendo a talune garanzie considerate sufficienti. L´art. 26 della direttiva, attuato dall´art. 28, comma 4 della l. n. 675/1996, prefigura infatti alcune situazioni nelle quali può farsi a meno di applicare il principio di adeguatezza: così il trasferimento di dati in Paesi terzi è consentito qualora ricorrano determinati presupposti e condizioni, come ad esempio l´esistenza di un consenso dell´interessato, o di un interesse pubblico rilevante, la conclusione o l´esecuzione di un contratto, la presenza di informazioni estraibili da elenchi pubblici o di una autorizzazione del Garante rilasciata a fronte di idonee garanzie prestate nei confronti degli interessati.

Si può, infine, supplire alla carenza del requisito dell´adeguatezza attraverso il ricorso a determinate clausole inserite in contratti, anche "tipo", da sottoporre all´esame delle singole Autorità nazionali oppure, se i contratti sono a livello europeo, della Commissione.

Benché i Paesi extracomunitari che garantiscono una tutela "adeguata" siano assai pochi, l´insieme di queste ulteriori previsioni, che introducono elementi e modalità sostitutivi, ha consentito che i flussi di dati in ambito pubblico e privato nel 1998 non subissero gravi restrizioni.

Tutti gli Stati membri e tutte le Autorità nazionali di controllo hanno dimostrato senso di responsabilità nel privilegiare soluzioni applicative non troppo rigide nell´attesa di un comune, primo, approccio europeo che potrà tener conto sia dei pareri espressi dal Gruppo previsto dall´art. 29 della direttiva, sia dell´esito dei lavori del Comitato di cui all´art. 31 della medesima direttiva (a cominciare dalle decisioni riguardanti alcuni Paesi terzi come Svizzera, Ungheria e Honk Kong, per finire al più complesso tema delle relazioni con gli USA). D´altra parte, è da tenere in debito conto che le garanzie adottate a protezione dei dati personali, se applicate solo da parte dei soggetti comunitari, porterebbero a una distorsione della concorrenza a favore di imprese extraeuropee su cui non gravano gli oneri derivanti dall´adozione di tali misure.

2.13.1.1 Alcuni casi applicativi
Sul versante interno, anche quest´anno sono pervenuti al Garante vari quesiti formulati da parte di titolari del trattamento, in ordine all´applicazione della disciplina sul trasferimento dei dati personali all´estero.

I chiarimenti richiesti riguardavano soprattutto l´obbligo di notificazione, i casi in cui questo può escludersi e la portata del principio di adeguatezza.

Nelle risposte l´Autorità ha richiamato le considerazioni e i criteri cui poco sopra si è fatto cenno, e ha confermato l´orientamento già espresso nel 1997, fornendo indicazioni tese a contribuire al processo di adeguamento in corso, anche per questi rilevanti profili, rispetto al nuovo sistema comunitario di protezione dei dati.

Il Garante si è pronunciato, poi, su un quesito presentato dalla Consob, chiarendo che la l. n. 675/1996 non ostacola il trasferimento di dati che la Commissione invia alle analoghe autorità di vigilanza degli altri Paesi in attuazione degli accordi internazionali.

L´art. 28, comma 4, lett. c) della legge, infatti, permette di trasferire comunque i dati all´estero, anche in Paesi extracomunitari, qualora il trasferimento sia necessario per salvaguardare un "interesse pubblico rilevante". Requisito rinvenibile, nel caso in specie, nella disciplina di settore (l. 17 maggio 1991, n. 157; d.lg. 23 luglio 1996, n. 415; d.lg. 24 febbraio 1998, n. 58).

Con l´occasione il Garante ha evidenziato che, grazie al differimento all´8 maggio 1999 dell´operatività della disposizione transitoria contenuta all´art. 41, comma 5, l. n. 675/1996 operato con il d.lg. n. 389, tale interpretazione è valida anche nel caso in cui il trasferimento riguardi dati di carattere giudiziario o "sensibile" (artt. 22, comma 3 e 24 della legge).

  

2132 Trasferimento di dati verso gli USA
La Commissione e il Comitato di cui all´art. 31 della direttiva stanno portando avanti il dialogo con alcuni Paesi terzi e, in particolare, con gli USA. La consapevolezza della necessità di definire la questione a livello internazionale in tempi brevi ha acquistato maggiore concretezza proprio nell´ultimo anno, anche in considerazione della scadenza del termine di recepimento della direttiva europea.

In tale ottica il Garante, oltre a partecipare attivamente nelle sedi internazionali competenti, ha assunto l´iniziativa di organizzare, lo scorso mese di maggio a Roma, un convegno internazionale su "Internet e privacy" (v. anche § 3.2.5). Il tema è stato occasione per un confronto aperto e costruttivo tra le posizioni, e le culture stesse, prevalenti al riguardo negli Stati Uniti e in Europa e, tuttora, marcatamente distanti. In tal modo si è inteso fornire un contributo al dibattito e alla ricerca di una disciplina comune il più possibile uniforme in uno dei settori più vitali.

È da segnalare in questo quadro la stessa visita in Italia del Sottosegretario di Stato americano al commercio ambasciatore D.J. Aaron. Il 26 gennaio 1999, quest´ultimo si è recato presso l´Ufficio del Garante per esaminare con l´Autorità italiana i diversi punti di vista emersi a proposito della proposta americana di basare le garanzie per l´esportazione dei dati negli USA su un sistema di adesione volontaria delle imprese americane ad alcuni princìpi, osservati i quali, secondo gli USA, le imprese stesse potrebbero approdare a un safe harbour. La questione è ancora aperta in quanto il primo schema proposto dagli USA è stato considerato da vari Paesi europei e da tutte le Autorità nazionali europee di controllo meritevole di varie precisazioni e miglioramenti (v. il parere n. 1/1999 del Gruppo di cui all´art. 29 della direttiva, riportato negli allegati).