I - Stato di attuazione della legge n. 675/1996 - Relazione 2001

I trasferimenti all´estero di dati

56. Paesi che offrono una protezione adeguata

Il crescente rilievo delle questioni riguardanti il trasferimento all´estero di dati personali è segnalato anche dalla recente modifica, ad opera del decreto legislativo n. 467/2001, dell´articolo 28 della legge 675/1996, in base alla quale è demandato al Garante il compito di autorizzare il trasferimento dei dati verso Paesi terzi sulla base di adeguate garanzie per l´interessato, prestate anche con un contratto, ovvero individuate dalla Commissione europea (al cui sito http://europa.eu.int/comm/internal-market è opportuno fare riferimento per una completa ricognizione dei materiali pertinenti, i più rilevanti dei quali sono richiamati in allegato alla presente relazione).

Viene così esplicitamente individuato lo strumento di attuazione delle decisioni comunitarie previste dagli articoli 25, par. 6, e 26, par. 4, della direttiva 95/46/CE, rispettivamente riguardanti l´adeguatezza della protezione dei dati personali offerta dall´ordinamento di un Paese terzo e le garanzie risultanti da clausole contrattuali, reputate idonee a tal fine dalla Commissione.

Con il medesimo decreto legislativo, semplificando gli adempimenti per i destinatari del citato art. 28, si è stabilito che il trasferimento di dati personali all´estero deve essere notificato al Garante solo qualora sia diretto verso un Paese non appartenente all´Unione europea e ricorra uno dei casi individuati ai sensi dell´articolo 7, comma 1, della legge, disposizione anch´essa oggetto di rivisitazione.

In alcune circostanze, tuttavia, anche il trasferimento a Paesi membri può porre questioni di natura particolare. Rispondendo ad una richiesta di parere del Ministro delle comunicazioni, il 3 settembre 2001, l´Autorità, in sede di primo riscontro e rimanendo a disposizione per ogni approfondimento, ha richiamato la necessità della massima cautela relativamente al trasferimento di dati di traffico ad una società spagnola partner,  prospettato – per esigenze gestionali – da un gestore italiano di servizio di telefonia mobile secondo lo standard Umts. La competente Direzione generale del Ministero aveva peraltro già fornito al gestore risposta negativa, evidenziando che esigenze giudiziarie richiedono che i dati siano conservati nella loro integrità originaria in Italia.

Il Garante – che ha poi riferito sul caso al Gruppo di lavoro previsto dall´art. 29 della direttiva 95/46/CE – nel sottolineare che si tratta di dati tutelati anche costituzionalmente, ha invitato a considerare, inoltre, le problematiche relative alla sicurezza dei dati ed al loro possibile incrocio con i dati detenuti dalla società spagnola. La questione sembra aver successivamente perso di attualità per il sostanziale venir meno delle prospettate esigenze gestionali.

Delle decisioni comunitarie in materia di adeguatezza degli ordinamenti stranieri, riguardanti l´Ungheria e la Svizzera, si è dato conto nella relazione annuale dello scorso anno (v. Relazione 2000, p. 85).

Esse sono state attuate con deliberazioni dell´ottobre 2001 (pubblicate sulla Gazzetta Ufficiale e consultabili sul sito web dell´Autorità anche ai fini dell´invio di osservazioni, volte ad evidenziarne eventuali problemi applicativi), nelle quali il Garante si è comunque riservato di procedere ai necessari controlli sulla legittimità dei trasferimenti.

Passando ora al piano internazionale, va tenuto presente che la disciplina comunitaria si applica anche ai Paesi che, con quelli dell´Unione, costituiscono lo Spazio economico europeo – cioè Norvegia, Lichtenstein ed Islanda – e che negli Usa sono in vigore i principi cd. del Safe Harbor (v. paragrafo successivo).

Con decisione del 20 dicembre 2001 (2002/2/CE, in G.U.C.E. L 002, 4 gennaio 2002), la Commissione europea ha riconosciuto che la legge canadese sulla tutela delle informazioni personali e sui documenti elettronici (Canadian Personal Information Protection and Electronic Documents Act) assicura una protezione adeguata per il trasferimento di alcuni dati personali dall´Unione europea al Canada. Viene così facilitato il flusso di dati dall´Europa verso un Paese terzo in cui, come previsto dall´art. 25, par. 6, della direttiva sulla protezione dei dati (95/46/CE), si riconosce l´esistenza di un livello adeguato di protezione.

Il gruppo di lavoro previsto dall´art. 29 della direttiva 95/46/CE si era espresso sul grado di protezione offerta dall´ordinamento canadese, con un parere del 26 gennaio 2001 (parere n. 2/2001) sostanzialmente interlocutorio e che, tra l´altro, sottolineava le questioni relative all´ambito di applicazione della legge canadese ed alla problematica del rapporto tra norme federali e norme delle diverse province (v. anche Relazione 2000, p. 85).

La decisione della Commissione, in qualche misura, ha tenuto conto di tale parere, commisurando il proprio ambito di applicazione a quello della legge canadese che, in prima approssimazione, è applicabile (dal 1° gennaio 2002) ai soggetti disciplinati da norme di livello federale, e (dal 1° gennaio 2004) a tutte le organizzazioni federali o non federali, che rilevano, utilizzano o comunicano dati personali nell´ambito di attività commerciali, con eccezione dei soggetti ai quali sia applicabile la legislazione provinciale, considerata sostanzialmente simile a quella federale.

Nella decisione comunitaria viene sottolineato che l´applicazione delle norme canadesi di protezione è garantita da ricorsi giurisdizionali nonché dal controllo indipendente esercitato da Autorità quali il Commissario federale per la privacy (Federal Privacy Commissioner), che ha poteri di investigazione ed intervento ed al quale ci si può rivolgere anche nei casi in cui non sia chiaro l´ambito di applicazione della citata legge; nel caso di conseguenze pregiudizievoli per la persona si applicano inoltre le norme canadesi sulla responsabilità civile.

Le autorità degli Stati membri hanno facoltà di sospendere flussi di dati verso i destinatari in Canada nei casi in cui sia stato accertato dalle competenti autorità canadesi che il destinatario dei dati stessi non rispetta le norme sulla loro protezione, ovvero in altre complesse ipotesi, sostanzialmente corrispondenti a quelle previste nelle decisioni relative ad Ungheria e Svizzera.

Gli Stati membri devono adottare tutte le misure necessarie per conformarsi alla decisione – modificabile in qualsiasi momento alla luce delle esperienze relative al suo funzionamento o a modifiche dell´ordinamento canadese – entro 90 giorni dalla sua notifica, il che avverrà, per l´Italia, nel breve periodo.

La deliberazione del Garante attuativa della decisione, al momento in cui il presente testo viene redatto, è in fase di predisposizione.

57. "Safe Harbor"
Il 10 Ottobre 2001 l´Autorità ha adottato un´autorizzazione (pubblicata in G.U. 26 novembre 2001) che attua la decisione n. 2000/520/CE, in base alla quale la Commissione europea ha riconosciuto che i principi internazionali di riservatezza del Safe Harbor (letteralmente, "approdo sicuro"), pubblicati dal Dipartimento del commercio degli Stati Uniti, costituiscono un´adeguata protezione ai fini del trasferimento di dati personali dall´Unione europea verso tale Paese. Dei principi e della complessa negoziazione che ha portato alla loro determinazione si è detto nella precedente relazione (v. Relazione  2000, p. 86).

Anche in questa autorizzazione il Garante si riserva di controllare la legittimità dei trasferimenti e di adottare i provvedimenti ad essa eventualmente conseguenti.

Sull´applicazione della decisione 2000/520/CE, la Commissione europea ha adottato un primo documento il 13 febbraio 2002, corrispondendo a quanto auspicato dal Parlamento europeo che, con risoluzione del 5 luglio 2000, aveva invitato la Commissione ad assicurare uno stretto monitoraggio del funzionamento del sistema dell´approdo sicuro.

Il documento si basa su informazioni raccolte in Europa presso le autorità di garanzia dei Paesi membri e negli Stati Uniti, presso il sito Internet del Dipartimento del commercio, autorità pubbliche e private in vario modo interessate all´esecuzione dei principi, nonché presso i siti delle organizzazioni aderenti all´accordo alla data del 4 giugno 2001.

Si tratta di un rapporto provvisorio che offre, comunque, significativi spunti di riflessione ed evidenzia alcuni punti critici sulle carenze che si registrano in termini di effettiva applicazione dell´Accordo e di trasparenza in relazione alle prassi applicative ed alle decisioni adottate sulle dispute. In sintesi, viene anzitutto rilevata l´importanza, in termini di semplificazione e riduzione delle incertezze, di aver identificato uno standard che corrisponde all´adeguata protezione richiesta dalla direttiva, e viene altresì osservato, in linea generale, che i principi, tanto negli Usa quanto nell´Ue, sono in atto.

In proposito, per quanto riguarda gli Stati uniti, il Dipartimento del commercio cura l´elenco pubblico delle organizzazioni insediate negli Usa che hanno autocertificato la propria adesione ai principi (183 al 19 aprile 2002) ed ha assunto  iniziative opportune per far conoscere agli operatori il contenuto dell´Accordo. Per quanto concerne invece l´Unione europea, i Paesi membri hanno adottato, ove richieste dai loro ordinamenti interni, le misure necessarie per consentire il flusso dei dati verso gli aderenti all´Accordo, ed è stato reso operativo l´elenco di autorità garanti cui possono rivolgersi gli aderenti per la soluzione delle dispute negli Usa.

Dei pochi interpelli negli Usa provenienti da cittadini, a conoscenza della Commissione, nessuno è rimasto in sospeso.

Sono stati segnalati alcuni problemi invece, per quanto riguarda, in sintesi, il grado di trasparenza richiesto agli aderenti all´Accordo: sia perché dai loro siti Internet non sempre risulta dichiarata o agevolmente visibile la dichiarazione di adesione ai principi; sia perché le politiche sulla privacy adottate non riflettono sistematicamente i principi stessi; sia perché i cittadini che vogliono esercitare i loro diritti sui dati che li riguardano sono spesso tenuti all´oscuro dei modi per farlo.

Inoltre, gli enti di risoluzione delle controversie possono operare senza dover pubblicamente dichiarare l´intenzione di applicare i principi, ovvero senza dover seguire pratiche di tutela della privacy ad essi conformi, ancorché solo 2 enti sui 6 operanti non abbiano né autocertificato la loro adesione ai principi, né dichiarato pubblicamente di agire quali enti di risoluzione di controversie per gli aderenti all´approdo sicuro.

Almeno una parte di tali problemi è stata imputata a "difetti di avviamento", ed i servizi della Commissione hanno positivamente accolto la disponibilità espressa dal Dipartimento statunitense del commercio al miglioramento del sistema.

In questo quadro, il Garante continua a partecipare all´attività di monitoraggio, in vista ormai della valutazione d´insieme sul funzionamento del Safe Harbor, prevista per il 2003 da parte della Commissione europea, ed è attivamente impegnato nel favorire la cooperazione tra Usa ed Ue. In tal senso, va ricordata da ultimo la visita negli Usa nel marzo 2002 di una delegazione di rappresentanti delle autorità di protezione dati europee, guidata dal Prof. Rodotà – quale Presidente del Gruppo di lavoro previsto dall´art. 29 della direttiva 95/46/CE – che ha consentito incontri con rappresentanti del Congresso, dell´amministrazione Usa, con imprese multinazionali aderenti al meccanismo del Safe Harbor e con numerose organizzazioni non governative da anni impegnate nella tutela della privacy.

Dai risultati assai proficui di tale visita deriverà probabilmente un nuovo pronunciamento a breve del Gruppo europeo.

58. Clausole contrattuali standard
Come riferito nella scorsa relazione, il 27 marzo 2001 il Comitato previsto dall´art. 31 della direttiva 95/46/CE ha espresso parere favorevole allo schema di decisione della Commissione europea sulle clausole contrattuali standard relative al trasferimento di dati personali ad un titolare autonomo di trattamento in un Paese terzo (v. Relazione 2000, p. 87).

La Commissione, con decisione del 15 giugno 2001 (2001/497/CE, in G.U.C.E. L 181 del 4 luglio 2001), ha approvato le clausole con le quali l´importatore di dati del Paese terzo si impegna nei confronti dell´esportatore comunitario dei dati, ma anche a beneficio dei soggetti cui i dati si riferiscono, ad adottare un certo livello di protezione dei dati medesimi.

Nel dare attuazione alla decisione comunitaria – con deliberazione del 10 ottobre 2001 (riportata negli allegati) – l´Autorità, riservandosi di procedere ai necessari controlli sulla legittimità dei trasferimenti, ha altresì escluso la necessità di ottenere, se non su sua richiesta, copia del contratto relativo al trasferimento dei dati; deve comunque essere comunicata all´Autorità la scelta, effettuata in caso di controversia non risolta in via amichevole, di sottoporre la risoluzione della stessa a soggetto diverso dal Garante o dall´autorità giudiziaria (clausola 7, par. 2 e par. 1, lett. a); art. 31 l. n. 675/1996).

Su un altro schema di decisione, relativo alle clausole contrattuali sul trasferimento di dati personali a responsabili del trattamento residenti in Paesi terzi, il Gruppo di lavoro previsto dall´art. 29 della direttiva 95/46/CE ha espresso parere favorevole il 13 settembre 2001; il testo, ottenuto il parere favorevole da parte del Comitato previsto dall´art. 31 della medesima direttiva, è stato poi adottato con decisione della Commissione del 27 dicembre 2001 (2002/16/CE in G.U.C.E. L 6 del 10 gennaio 2002).

Tali clausole, che anche nel nostro Paese sono applicabili dal 3 aprile 2002 (deliberazione del Garante n. 3 del 10 aprile 2002), riguardano il trasferimento dei dati a soggetti insediati in Paesi terzi che si impegnano a riceverli dall´esportatore per trattarli per suo conto e secondo le sue istruzioni. Esse riprendono la terminologia adoperata nella direttiva – che distingue tra responsabile e incaricato del trattamento – e a cui corrispondono, nel diritto nazionale, rispettivamente le figure del titolare e del responsabile del trattamento.

Anche queste clausole, come quelle riguardanti il trasferimento ad un titolare autonomo di trattamento, non sono "obbligatorie", ma il loro utilizzo comporta che gli ordinamenti dei Paesi membri debbano riconoscere come adeguata la protezione offerta da contratti che le contengono.

Ciò non toglie da un lato che tale protezione possa essere riscontrata anche in clausole di diverso contenuto, dall´altro che permangano in capo alle autorità garanti poteri di vigilanza e di adozione dei provvedimenti conseguenti.

Una valutazione complessiva della Commissione sul funzionamento delle clausole è prevista dopo tre anni di applicazione della decisione comunitaria.

Le clausole prevedono l´applicabilità della legge del Paese membro in cui ha sede l´esportatore. Per quanto riguarda la giurisdizione, l´importatore si obbliga ad accettare la decisione dell´interessato, che agisca nei suoi confronti per il risarcimento del danno, di deferire la controversia al giudice dello Stato membro in cui ha sede l´esportatore, oppure alla mediazione di un terzo indipendente o di un´autorità di controllo, ovvero, in ordinamenti che presentino determinate garanzie di esecuzione, ad organi arbitrali.

Nella sostanza l´importatore e l´esportatore convengono l´attuazione di determinate misure, e rispondono dei rispettivi obblighi, ma i soggetti cui i dati si riferiscono possono far valere, anche verso l´importatore, la responsabilità dell´esportatore nei cui confronti non sia più possibile agire perché di fatto scomparso, non più esistente giuridicamente, ovvero insolvente.

Da questo complesso intreccio tra i diversi piani, interno, estero e sopranazionale da un lato, e gli strumenti di diritto privato e pubblico dall´altro, con i quali si disciplina la materia del trasferimento di dati verso i Paesi terzi, si evidenzia il rilievo che decisioni e determinazioni relative al singolo caso sono destinate ad assumere e si conferma la delicatezza, prima ancora che la centralità, delle funzioni demandate alla nostra Autorità garante.

Da qui anche l´esigenza sostanziale di un continuo raffronto con l´esperienza degli altri Stati membri e, più in generale, con gli altri ordinamenti in cui si dia adeguato rilievo alla protezione dei dati personali. In tal senso assume un significato più ampio di quello che la sua formulazione palesa, la decisione con cui, il 13 dicembre 2001, il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE ha previsto la possibilità di invitare alle proprie riunioni, quali osservatori, i rappresentanti delle autorità di protezione dei dati personali dei Paesi che abbiano richiesto l´adesione alla Ue.