I - Stato di attuazione della legge n. 675/1996 - Relazione 2002

I trasferimenti all´estero dei dati

60. Paesi che offrono una protezione adeguata
A seguito del primo recepimento in Italia -con le autorizzazioni del Garante (v. Relazione 2001, pag. 91)- delle decisioni della Commissione europea in materia di trasferimento di dati personali all´estero, e in considerazione delle modifiche apportate dal d.lg. n. 467/2001 all´articolo 28 della legge 675/1996, l´Autorità ha iniziato a svolgere un attento monitoraggio in relazione ad operazioni ed attività di esportazione di dati da parte di operatori italiani e al tipo di garanzie e strumenti adottati per tutelare i diritti degli interessati.

Nell´aprile 2002 sono state formulate nei confronti di alcune importanti società, che avevano inviato comunicazioni o notificazioni sul trasferimento di dati all´estero e, in particolare, negli Usa, richieste di informazioni circa il rispetto delle disposizioni nazionali e comunitarie sui presupposti di liceità delle operazioni di trasferimento, con particolare riguardo, da un lato, alle relative finalità e modalità, alle categorie di dati e di persone interessate, nonché agli estremi dei soggetti importatori, e, dall´altro, all´eventuale adesione di questi ultimi al Safe Harbor o all´utilizzazione di clausole contrattuali tipo.

Dagli elementi acquisiti è risultato che, nella maggior parte dei casi, i dati personali oggetto di trasferimento all´estero riguardavano dipendenti e altre società e imprese (clienti, concorrenti, fornitori, ecc.) e che i flussi di dati erano stati effettuati previa acquisizione di specifico consenso degli interessati o avvalendosi di uno degli altri presupposti di liceità previsti dal citato art. 28 (esecuzione di obblighi contrattuali, ecc.)

In alcune ipotesi in cui la gestione del personale all´estero viene effettuata negli U.S.A., gli importatori dei dati (società capogruppo o comunque collegate o controllate) hanno aderito all´accordo sui principi dell´approdo sicuro, dichiarandosi disponibili a cooperare con le Autorità di vigilanza degli altri Paesi europei.

In nessuno di questi primi casi esaminati dal Garante è emerso che le società interpellate abbiano utilizzato le clausole contrattuali standard indicate dalla Commissione europea, trattandosi peraltro di strumenti introdotti solo recentemente.

Nell´ambito della stessa indagine, è stato infine evidenziato che, accanto alla proposta di una società di predisporre un apposito contratto per i propri flussi di dati all´estero da sottoporre al Garante al fine di ottenere una specifica autorizzazione, il gruppo societario di appartenenza stava sviluppando un contratto "multilaterale" per tutte le consociate da sottoporre anch´esso al parere preventivo delle Autorità Garanti europee.

Nel mese di marzo 2003 l´Autorità ha disposto un´ampia verifica preliminare, tuttora in atto, circa le modalità di applicazione da parte delle principali società industriali e di servizi delle disposizioni comunitarie e nazionali in materia di trasferimento dei dati personali all´estero. Tale verifica è risultata necessaria al fine di valutare lo stato di attuazione delle disposizioni sui flussi di dati all´estero, prima d avviare specifici accertamenti relativi a singole società.

Oggetto dell´indagine è, in particolare, l´analisi dei presupposti, delle finalità e modalità del trasferimento di dati all´estero, anche in relazione ad operazioni effettuate da eventuali società collegate o controllate, delle categorie di dati trasferiti e delle persone interessate, degli estremi e delle attività dei soggetti importatori, nonché delle garanzie assunte per la tutela dei dati personali nei confronti di ciascuna tipologia di trasferimento. E´ stato inoltre richiesto di indicare in termini percentuali, l´incidenza dell´utilizzo di clausole contrattuali tipo, dell´adesione ai principi di approdo sicuro e di uno dei casi indicati dall´art. 28, comma 4, della citata legge n. 675 (consenso degli interessati, esecuzione di obblighi contrattuali, ecc.), rispetto al volume complessivo dei trasferimenti di dati all´estero.

Il Garante ha, da ultimo, dato attuazione (Deliberazione n. 6 del 30 aprile 2003) alla decisione comunitaria del 20 dicembre 2001 con cui la Commissione europea ha riconosciuto anche il Canada tra i Paesi che garantiscono nel proprio ordinamento un adeguato livello di protezione dei dati personali. (v. Relazione 2001). Tale deliberazione, al momento in cui il presente testo viene redatto, è in fase di pubblicazione nella G.U.

61. "Safe Harbur"
La Commissione europea ha riconosciuto in passato che i principi internazionali di riservatezza del Safe Harbor, pubblicati dal Dipartimento del commercio degli Stati Uniti, costituiscono un´adeguata protezione ai fini del trasferimento di dati personali dall´Unione europea verso tale Paese (decisione n. 2000/520/CE).

Il Garante, con l´autorizzazione del 10 Ottobre 2001 (pubblicata in G.U. 26 novembre 2001), ha attuato la suddetta decisione riservandosi di controllare la legittimità dei trasferimenti e di adottare i provvedimenti ad essa eventualmente conseguenti.

La stessa Commissione europea ha effettuato un primo rapporto (in data 13 febbraio 2002) sull´applicazione della decisione 2000/520/CE, corrispondendo a quanto auspicato dal Parlamento europeo che, con risoluzione del 5 luglio 2000, aveva invitato la Commissione ad assicurare uno stretto monitoraggio del funzionamento del sistema dell´approdo sicuro (v. Relazione 2001, p. 93).

Si tratta di un rapporto provvisorio che offre, comunque, significativi spunti di riflessione ed evidenzia alcuni punti critici sulle carenze che si registrano in termini di effettiva applicazione dell´Accordo e di trasparenza in relazione alle prassi applicative ed alle decisioni adottate sulle dispute. Vari spunti di riflessione sono giunti al riguardo dal Gruppo dell´art. 29 della direttiva 95/46/CE.

In questo quadro, il Garante continua a partecipare all´attività di monitoraggio, in vista ormai della valutazione d´insieme sul funzionamento del Safe Harbor, prevista per il 2003 da parte della Commissione europea, ed è attivamente impegnato nel favorire la cooperazione al riguardo. In tal senso, va ricordata la visita negli Usa il 13 e 14 marzo 2002 di una delegazione di rappresentanti delle autorità di protezione dati europee, che ha consentito incontri con rappresentanti del Congresso, dell´amministrazione Usa, con imprese multinazionali aderenti al meccanismo del Safe Harbor e con numerose organizzazioni non governative da anni impegnate nella tutela della privacy.

Dai risultati assai proficui di tale visita è derivato un nuovo pronunciamento del Gruppo europeo in data 2 luglio 2002.

In tale documento è stata evidenziata la necessità di collaborazione di tutte le autorità competenti a dare piena esecuzione all´accordo.

In particolare, conformemente alla richiesta fatta dal Parlamento europeo nella sua risoluzione del 5 luglio 2000, si richiamano le autorità, le organizzazioni e le associazioni coinvolte a collaborare per raccogliere -in particolare attraverso le autorità nazionali per la protezione dei dati e la Commissione europea- informazioni aggiornate, con particolare attenzione:

• ad accordi per l´aumento della trasparenza nei confronti delle organizzazioni firmatarie, in particolare se una dichiarazione di adesione non è accompagnata da adeguate politiche per la privacy;
• alla possibilità di fornire meccanismi di controllo addizionali nei confronti della procedura d´adesione all´accordo, la conformità di condotta degli aderenti allo stesso con le proprie politiche di privacy e l´eventuale perdita dei benefici dell´Approdo sicuro;
• alle iniziative da adottare al fine di aumentare la conoscenza dei prerequisiti per l´adesione all´Approdo sicuro, anche attraverso di documenti brevi, facilmente comprensibili e l´eventuale integrazione nel Safe Harbor Workbook;
• ai provvedimenti da adottare per mettere a punto meccanismi di risoluzione delle controversie, aumentare l´uniformità e la conoscenza dei criteri salienti, aumentare la trasparenza circa l´esito delle controversie e semplificarne i meccanismi di pubblicazione;
• alle eventuali difficoltà derivanti dall´esistenza di molteplici politiche di privacy dichiarate dal medesimo operatore;
• ai criteri di priorità ed alle possibili ulteriori iniziative intraprese dalle competenti autorità statunitensi ed agli accordi per una rinnovata cooperazione tra il comitato europeo per la protezione dei dati, gli organi di risoluzione delle controversie e la Federal Trade Commission.