Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

I - Stato di attuazione della legge n. 675/1996 - I trasferimenti all'estero di dati - Relazione 2000 - 17 luglio 2001

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1342352
Data:
17/07/01
Tipologia:
Relazione annuale

Indice

Relazione 2000

I - Stato di attuazione della legge n. 675/1996 


I trasferimenti all´estero di dati

61. PAESI CHE OFFRONO UNA PROTEZIONE ADEGUATA
La Commissione europea ha constatato con due decisioni che alcuni Paesi terzi garantiscono un livello di protezione adeguato. A norma della direttiva 95/46/CE l´adeguatezza del livello di protezione dei dati personali deve essere valutata con riguardo a tutte le circostanze relative a un trasferimento o a una categoria di trasferimenti di dati e nel rispetto di determinate condizioni. Tale constatazione permette il trasferimento di dati personali dagli Stati membri senza che siano necessarie ulteriori garanzie.

Queste decisioni non eliminano però la rilevanza dell´attività delle autorità di garanzia dei Paesi membri, poiché queste possono esercitare i loro poteri per sospendere il trasferimento verso l´estero nel caso in cui, ad esempio, la competente autorità del Paese terzo abbia accertato che il destinatario dei dati viola le norme vigenti in materia di protezione dei dati, ovvero in altre ipotesi assai complesse, nelle quali, tra l´altro, una violazione sia molto probabile, si possano ritenere inadeguate e non tempestive le misure che la competente autorità del Paese terzo intenda adottare e il trasferimento comporti il rischio imminente di gravi danni per gli interessati.

Il 26 luglio 2000 la Commissione ha adottato la decisione 2000/519/CE, riguardante l´adeguatezza della protezione dei dati personali in Ungheria (G.U.C.E. n. L 215 del 25 agosto 2000), sulla base del parere espresso nel 1999 dal Gruppo di lavoro previsto dall´art. 29.

La Commissione ha considerato in particolare che il principio della tutela della vita privata è contemplato dalla costituzione ungherese; che l‘Ungheria ha ratificato la Convenzione del Consiglio d´Europa sulla protezione delle persone riguardo al trattamento automatizzato di dati di carattere personale (Convenzione n. 108/1981 del Consiglio d´Europa), volta a rafforzare la tutela dei dati personali e ad assicurare la libera circolazione tra le parti contraenti; che le norme vigenti in quel Paese incorporano i principi fondamentali necessari per assicurare un adeguato livello di protezione delle persone fisiche; che l´applicazione di tali norme è garantita dai ricorsi giurisdizionali, nonché dal controllo indipendente esercitato dal commissario nominato dal Parlamento.

Da notare che nei confronti dell´Ungheria la decisione riguarda tutti i trasferimenti di atti personali, mentre la decisione di seguito menzionata nei confronti degli Usa è relativa ai trasferimenti verso imprese ed organizzazioni aderenti al "Safe Harbor ".

Per vari aspetti simile è la decisione n. 2000/518/CE relativa alla Svizzera, resa in pari data (26 luglio 2000, in G.U.C.E. n. L 215 del 25 agosto 2000) dalla Commissione: anche in questo caso la Commissione, conformemente al parere del Gruppo di lavoro previsto dall´art. 29, ha ritenuto adeguato il livello di protezione offerto da quell´ordinamento per tutte le attività rientranti nel campo di applicazione della direttiva, dopo aver considerato la costituzione, l´adesione alla Convenzione n. 108/1981 sopra menzionata, le norme federali e quelle cantonali e l´indipendenza dell´autorità di controllo competente in materia.

Non ancora a livello di Commissione, bensì di Gruppo di lavoro previsto dall´art. 29, sono invece le valutazioni relative a Canada ed Australia.

La prima, del 26 gennaio 2001 (parere n. 2/2001), in qualche misura interlocutoria, nella sostanza segnala alla Commissione alcuni aspetti essenziali dell´ordinamento canadese in materia di protezione di dati personali. Anzitutto si fa presente che le norme relative al trattamento effettuato da privati, contenute nel Personal Information and Electronic Documents Act, saranno pienamente in vigore nel 2004 e che il loro ambito di applicazione è relativo solo a soggetti privati che trattano dati personali nel corso di attività a scopo di lucro.

Si è poi richiamata l´attenzione sul rapporto tra norme federali e norme delle diverse province, attesa la non omogeneità della disciplina, occorrendo pertanto verificare l´opportunità di una valutazione dell´adeguatezza con riferimento ai singoli ordinamenti; si è poi sottolineata l´esigenza di monitorare l´evoluzione normativa riguardante i dati sensibili, valutando favorevolmente iniziative volte ad assicurare una più organica tutela degli stessi, anche con riferimento al loro trasferimento dal Canada ad altro Paese.

Il medesimo gruppo di lavoro, col parere 3/2001 del 26 gennaio 2001, ha invece ritenuto non ancora adeguata la protezione offerta dall´ordinamento australiano, o, più precisamente, ha indicato alcuni punti critici da superare per giungere ad una valutazione di adeguatezza.

Tra i punti va ricordata la non applicazione ad alcune materie, segnatamente alle piccole imprese ed ai dati dei dipendenti, degli strumenti normativi di protezione dei dati (Privacy Act, Privacy Amendment ), ancorché questi possano essere di natura sensibile. In particolare non è chiara la definizione australiana di "piccola impresa", che diventa quindi potenzialmente di vastissima applicazione. È inoltre consentito in termini piuttosto ampi che l´informativa agli interessati sia fornita successivamente alla raccolta dei dati medesimi e per i dati sensibili le limitazioni relative alla raccolta non escludono che possa farsene un uso ulteriore, per scopi diversi da quelli originari. Gli strumenti di tutela, inoltre, non risultano applicabili a soggetti che non siano cittadini australiani o che non risiedano in Australia.

Questa valutazione non favorevole risulta ovviamente modificabile in futuro ma, al di là delle specifiche considerazioni sulle quali si basa, appare senz´altro significativa della complessità e delicatezza delle analisi richieste.


62. "SAFE HARBOR"

Di rilievo, anche nel corso del 1999 e del 2000, è stata l´attività svolta dal Garante in seno ad organismi comunitari ed internazionali, relativamente ai trasferimenti di dati verso Paesi terzi.

È nota, al riguardo, la disciplina contenuta nell´art. 25 della direttiva 95/46/CE secondo la quale lo stato di destinazione deve presentare un livello di protezione "adeguata", da valutarsi con riferimento a tutte le circostanze, segnatamente alla natura dei dati, protezione in mancanza della quale gli Stati membri devono adottare tutte le misure per impedire il trasferimento di dati della stessa natura verso tale Paese, a meno che ricorrano altri presupposti che permettano di trasferire comunque i dati (l´art. 26 prevede ad esempio che il trasferimento possa avvenire anche verso Paesi la cui legislazione non presenti un adeguato livello di protezione, in particolare quando l´interessato abbia manifestato il suo consenso, o quando il trasferimento sia accompagnato da clausole contrattuali idonee ad assicurare tale protezione).

Per valutare l´adeguatezza della protezione offerta da un Paese terzo possono essere considerati sia la legislazione nazionale, sia, dopo l´accertamento della situazione di inadeguatezza, gli impegni internazionali assunti con la Commissione in negoziati volti a porvi rimedio.

In questo quadro si è collocata l´attività del Garante in seno agli organismi comuni previsti dalla citata direttiva 95/46: il Gruppo consultivo di cui all´art. 29 (composto da un rappresentante di ciascuna autorità nazionale e da un rappresentante della Commissione, e presieduto nel periodo considerato dal Presidente del Garante italiano), al quale, tra l´altro, spetta formulare un parere sul livello di tutela nella Comunità e nei Paesi terzi; il comitato di cui all´art. 31, composto da rappresentanti degli Stati membri, è presieduto da un rappresentante della Commissione.

La presente esposizione sintetizza ed in parte rielabora il materiale disponibile sul sito Internet della competente Direzione generale della Commissione (http://europa.eu.int/comm/internal-market ), cui si fa doveroso rinvio per ogni dettaglio.

Anche quest´anno, nell´ambito di quest´ultimo gruppo il Garante ha operato in continuo raccordo con il Ministero della giustizia, che rappresenta il Governo, nell´espressione di un orientamento comune al Governo ed all´Autorità di garanzia.

Si riassumono di seguito i momenti essenziali di tale attività, con costante riferimento ad alcuni atti di particolare importanza, che in qualche misura indicano la rilevanza non solo comunitaria della disciplina sulla protezione dei dati personali e quindi chiamano le autorità garanti, dopo un´impegnativa fase di elaborazione, ad una non meno rilevante funzione di verifica nell´applicazione di tali strumenti, volti ad assicurare un più ampio ambito di applicazione dei principi e delle regole fondamentali contenuti nella normativa comunitaria in materia.

Per quanto riguarda il trasferimento di dati negli U.S.A., il 26 luglio 2000 la Commissione europea ha adottato una decisione (n. 2000/520/CE in G.U.C.E. n. L 215 del 25 agosto 2000) che constata che il dispositivo di "Safe Harbor " approntato dalla Commissione federale per il commercio degli Stati Uniti assicura un adeguato livello di protezione dei dati personali trasferiti dall´Unione europea.

Il "Safe Harbor" costituisce un insieme di principi a garanzia del trattamento dei dati personali uniti alla previsione di alcuni sistemi per assicurare il rispetto di tali principi. L´adesione al "Safe Harbor" è facoltativa per le imprese americane, ma le regole in esso contenute vincolano le imprese aderenti; il loro rispetto è affidato alla Federal Trade Commission e, per le compagnie aeree, all´Amministrazione dei trasporti.

La decisione comunitaria è il frutto di due anni di intenso negoziato tra le parti volto ad evitare che il trasferimento di dati personali verso gli U.S.A. potesse essere limitato o sottratto a garanzie in seguito all´entrata in vigore della direttiva n. 95/46/CE. Nel corso di tale negoziato, ed in particolare nella fase finale, l´anno scorso, il Garante ha svolto una costante funzione di impulso in seno ai predetti organismi comunitari, per una soddisfacente soluzione dei punti critici, relativi all´effettività della tutela offerta dal "Safe Harbor" con riguardo non solo e non tanto ai livelli di protezione riconosciuti agli interessati, quanto alle forme per assicurare loro soddisfazione nel caso di violazione.

I cittadini dell´Unione europea che intendano reclamare per il trattamento effettuato da un partecipante al "Safe Harbor" possono rivolgersi ad un´istanza indipendente di composizione di controversie: ogni organismo statunitense aderente al "Safe Harbor " deve indicare l´istanza con la quale si impegna a collaborare. In vari casi è pure possibile agire davanti a giudici statunitensi, in base a norme di quell´ordinamento che non permettono "dichiarazioni false", quali appunto quelle di un´impresa che dichiari di aderire ad una certa politica di protezione dei dati personali successivamente non rispettata.

Con risoluzione del 5 luglio 2000 il Parlamento europeo ha indicato l´esigenza di migliorare il testo dell´accordo in particolare sul punto dei ricorsi degli interessati relativi alla violazione dei principi; la Commissione non ha negoziato tali modifiche ma ha trasmesso questa risoluzione alle autorità americane.

In questo quadro, nell´attuale fase di applicazione dell´accordo appare particolarmente importante la funzione di monitoraggio delle autorità nazionali di garanzia (che pure possono ricevere segnalazioni dagli interessati) per valutare nel corso del tempo l´opportunità di eventuali modifiche alla decisione comunitaria.


63. CLAUSOLE CONTRATTUALI

Il 27 marzo 2001 il Comitato previsto dall´art. 31 della direttiva ha infine espresso parere favorevole allo schema di decisione della Commissione sulle clausole contrattuali standard relative al trasferimento di dati personali in Paesi terzi.

L´apporto del Garante è stato particolarmente intenso anche dal punto di vista organizzativo, avendo peraltro formato oggetto della collaborazione offerta nel quadro di uno scambio di funzionari.

In prima approssimazione, con tali clausole, volte a facilitare il trasferimento dei dati, l´operatore che nel Paese terzo riceve i dati personali si impegna anzitutto nei confronti dell´operatore comunitario che glieli fornisce ad assicurare un grado minimo di protezione della riservatezza degli interessati. Il loro utilizzo non è necessario e la menzionata decisione non esclude che le diverse autorità garanti possano autorizzare contratti di diverso contenuto ai sensi dell´art. 26.2 della direttiva; tuttavia con la loro adozione gli Stati membri si obbligano a riconoscere come adeguata la protezione dei dati personali offerta da contratti che le contengono.

L´elaborazione di tali clausole è stata particolarmente complessa, da un lato poiché implicava l´analisi di delicate problematiche giuridiche anche in relazione alle differenze sostanziali tra gli ordinamenti comunitari dei diversi Stati membri, e dall´altro poiché essa si è svolta di pari passo con la definizione del "Safe Harbor ". Una sintesi di tali clausole sarebbe pertanto estremamente laboriosa e non facile, proprio perché l´intento di semplificare al massimo e di fornire agli operatori uno strumento agile ha necessariamente tenuto conto di tali complessità. Ci si limita quindi, di seguito, a dare cenno delle problematiche d´insieme che si sono poste.

In via preliminare si osserva che la determinazione di tali garanzie mediante clausole contrattuali affida all´autonomia delle parti forme di tutela che altrimenti dovrebbero essere sancite da laboriosi strumenti di diritto internazionale.

Anche in questo caso il principale problema che ha formato oggetto dei lavori del Comitato, e sul quale la componente italiana ed in particolare il Garante si sono fortemente impegnati, è stato l´effettività delle forme di tutela assicurate da tali clausole.

Infatti, per dati destinati all´esportazione in Paesi terzi, ivi compresi Paesi che non necessariamente offrono un sufficiente livello di salvaguardia dei dati personali, il problema è quello dell´effettività della tutela, sia con riferimento alla legge che regola il contratto tra "esportatore" comunitario dei dati ed "importatore" insediato nel Paese terzo, sia con riferimento al giudice chiamato a pronunciarsi su tale contratto; a quest´ultimo riguardo la legge regolatrice individuata nelle clausole è quella dello Stato membro nel quale è insediato l´esportatore dei dati.

Per quanto riguarda il giudice competente a decidere di controversie insorte tra le parti e l´interessato che non abbiano trovato una composizione amichevole, viene previsto uno standard minimo, e cioè la possibilità per l´interessato di deferire la composizione della disputa ad un terzo, che può essere, nei casi previsti, un´autorità nazionale di garanzia o il giudice di uno Stato membro. Sono inoltre ammesse, in ordinamenti che assicurino determinate garanzie in materia di esecuzione, decisioni arbitrali.

Dal punto di vista sostanziale appare particolarmente importante sottolineare che tali clausole, intercorrenti tra l´importatore e l´esportatore di dati, in realtà sono clausole in favore dei soggetti i cui dati sono oggetto di trattamento, perché consentono loro di agire a tutela dei propri dati personali.

Non diversamente dal "Safe Harbor " assume qui particolare rilievo, nella fase di applicazione, il ruolo delle autorità nazionali di garanzia, rientrando nelle loro attribuzioni sospendere o proibire nel caso concreto il trasferimento, in particolare quando un´autorità competente abbia stabilito che l´importatore dei dati non ha rispettato le clausole nonché, in primissima approssimazione, quando l´inosservanza delle clausole sia verosimile ed il protrarsi del trasferimento dei dati possa creare il rischio imminente di un grave pregiudizio agli interessati.

Spetterà poi alla Commissione, in relazione a quanto emergerà dalla fase di applicazione valutare l´opportunità di modificare la decisione relativa alle clausole.

I tre aspetti sin qui considerati, il "Safe Harbor ", le clausole contrattuali e le valutazioni sull´adeguatezza della protezione offerta dai diversi ordinamenti di Paesi terzi confermano la funzione centrale che le istituzioni comunitarie e le autorità garanti dei Paesi membri rivestono nella costruzione di un più generale quadro di garanzie per i dati personali, non suscettibile di essere elusa con la semplice "delocalizzazione" del trattamento in Paesi terzi.