g-docweb-display Portlet

11. Trasferimento di dati personali all'estero.Relazione 2006 - Parte II - L'attività svolta dal Garante - 12 luglio 2007 [1424979]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1424979]

Indice generale

Paragrafo precedente

Paragrafo successivo

 

 

Relazione 2006 - Parte II - L´attività svolta dal Garante - 12 luglio 2007

 

11. Trasferimento di dati personali all´estero

È risultata di rilievo anche l´attività svolta dal Garante in ordine ad alcune questioni in materia di trasferimento di dati all´estero.

Tale attività ha riguardato per lo più quesiti rivolti all´Autorità ai quali, benché provenienti in alcuni casi da studi legali, si è ritenuto di fornire un riscontro; trattandosi peraltro di richieste formulate da soggetti stabiliti in altri Stati e volte in prevalenza a conoscere il diritto nazionale applicabile, l´esame delle questioni è risultato particolarmente impegnativo e laborioso.

In generale, è emerso che il trattamento descritto nelle relative richieste non risultava effettuato da un soggetto stabilito sul territorio italiano, o comunque da un soggetto che utilizzasse a tal fine strumenti ivi situati (art. 5 del Codice); pertanto, non poteva trovare applicazione la normativa contenuta nel Codice (in tal senso v. anche Provv. 18 gennaio 2006 [doc. web n. 1242501]; Note 31 luglio 2006).

In una fattispecie è stato puntualizzato che a carico dei soggetti che effettuano operazioni di trasferimento di dati personali non è previsto alcun obbligo di fornire una comunicazione al Garante in ordine all´adozione delle clausole-tipo, né di inviare copia del contratto relativo a tale trasferimento (v. punto 2, lett. a), autorizzazione 9 giugno 2005 [doc. web n. 1151949]; punto 1, lett. b), autorizzazione 10 aprile 2002 [doc. web n. 1065361] e punto 1, lett. b), dell´autorizzazione 10 ottobre 2001 [doc. web n. 42156]; Nota 31 luglio 2006).

È stato sottoposto all´attenzione dell´Autorità anche un quesito concernente la sottoscrizione di un accordo avente per oggetto (tra l´altro) la fornitura ad una società di servizi di posta elettronica da parte di un´altra società con sede negli Usa: tale accordo avrebbe comportato la "migrazione" di dati personali dei fruitori del servizio di posta elettronica. Atteso che la società destinataria dei dati risultava aderire al Safe Harbor, è stato ritenuto applicabile l´art. 44, comma 1, lett. b), del Codice, tenuto conto di quanto previsto dal Garante con la citata autorizzazione del 10 ottobre 2001 in attuazione della decisione della Commissione europea del 26 luglio 2000, n. 2000/520/Ce (Nota 31 luglio 2006).

Ulteriori richieste hanno avuto ad oggetto operazioni di trasferimento di dati personali da parte di società (italiane) che operano, di regola, nell´ambito di gruppi multinazionali.

In particolare, è stato fornito riscontro al quesito posto da una società con sede negli Stati Uniti facente parte di un gruppo societario operante a livello internazionale, che si è rivolta all´Autorità per far esaminare alcune iniziative –già descritte nella Relazione 2005 (p. 81 ss.)– intraprese per garantire il rispetto della normativa comunitaria e nazionale in ordine alle operazioni di trasferimento di dati personali concernenti differenti tipologie di interessati (tra cui clienti, dipendenti, fornitori delle società del gruppo, ecc.) (Nota 31 luglio 2006).


Trasferimento nell´ambito
di gruppi multinazionali

Al fine di rendere lecite le operazioni sopra menzionate, la società interessata ha sottoscritto con le altre società controllate e collegate aventi sede in vari Stati dell´Unione europea e in alcuni Paesi terzi un contratto cd. "globale" volto a regolamentare i flussi transfrontalieri di dati personali all´interno del gruppo. È stato inoltre previsto uno schema di contratto integrativo (denominato Eu Addendum) volto a regolare i flussi di dati trattati nel gruppo (tra cui quelli del personale e della clientela), dalle società europee alla società americana e alle altre affiliate stabilite al di fuori dell´Unione europea; tale schema si basa sulle clausole contrattuali standard per il trasferimento dei dati a responsabili del trattamento residenti in Paesi terzi (v. allegato alla decisione 27 dicembre 2001 della Commissione europea n. 2002/16/Ce e relativa autorizzazione del Garante 10 aprile 2002 [doc. web n. 1065361]).

Non è risultato chiaro se, nel caso di specie, ricorresse una mera ipotesi di trasferimento di dati personali dalle società del gruppo stabilite nell´Ue (e, segnatamente, da parte della società del gruppo stabilita in Italia) verso la sola capogruppo, o se si configurasse invece un fenomeno più ampio di circolazione di dati personali provenienti dalla società del gruppo stabilita in Italia e diretta a tutte le società del gruppo stabilite al di fuori dell´Ue. È stato pertanto rappresentato che l´impiego delle clausole contrattuali standard non è idoneo a regolamentare qualunque tipologia di flussi di dati personali "infra-gruppo", operando soltanto in relazione a quelli intercorrenti fra esportatori stabiliti nell´Ue e destinatari dei dati stabiliti in Paesi terzi che non garantiscono un adeguato livello di protezione dei dati personali ai sensi dell´art. 26 della direttiva n. 95/46/Ce. Non si è comunque ritenuta preclusa la possibilità, per la società del gruppo stabilita in Italia, di avvalersi del set di clausole contrattuali standard per il trasferimento da titolari del trattamento stabiliti nell´Ue a responsabili stabiliti in Paesi terzi, stipulando un apposito contratto con la sola società con sede negli Usa nel caso di trasferimento di dati personali point to point.

L´Autorità ha altresì evidenziato che, ai fini dell´utilizzazione di tali ultime clausole contrattuali standard, è necessario definire con chiarezza e precisione i ruoli svolti dai soggetti nell´ambito del trasferimento dei dati e delle operazioni di trattamento effettuate (il data exporter deve risultare titolare e il data importer responsabile del trattamento), da configurare secondo i parametri propri della decisione della Commissione n. 2002/16/Ce, nonché formulare dettagliatamente le "processing operation", nella quale dovrebbero essere specificate esclusivamente le attività principali di trattamento cui sottoporre i dati personali oggetto del trasferimento con riferimento ai soggetti direttamente coinvolti.

Infine, salva l´applicazione delle clausole contrattuali standard con i necessari interventi correttivi (in parte) sopra illustrati, in riferimento ai casi in cui i flussi transfrontalieri pianificati dal Gruppo comportino un fenomeno di più ampia circolazione delle informazioni "infra-gruppo" (non riconducibile allo schema delle clausole contrattuali standard), è stato fatto presente che possono essere utilizzate (ricorrendone le condizioni) modalità alternative quali le cd. "binding corporate rule" (Bcr), osservando la procedura indicata dal Gruppo art. 29 nei documenti Wp 107 e Wp 108 del 14 aprile 2005 e Wp 74 del 3 giugno 2003.

In tempi recenti, nell´ambito della più ampia trattazione di questioni connesse ai flussi transfrontalieri di dati, è stata sottoposta all´attenzione dell´Autorità la tematica delle Bcr, già descritta nelle sue linee essenziali nella Relazione 2005 (pp. 82-83).


Binding corporate rule

In alcuni casi, conformemente ai criteri fissati dal Gruppo art. 29 con il documento Wp 107, ha formato oggetto di valutazione la candidatura di alcune autorità di controllo al coordinamento dell´esame "europeo" delle singole Bcr in qualità di leading authority. In un´altra circostanza, sono state formulate alcune osservazioni preliminari rispetto a un progetto di Bcr già sottoposto all´attenzione del Garante in una prima versione nel maggio 2004, presentato da un gruppo multinazionale e concernente il trasferimento dei dati relativi ai lavoratori e alla clientela all´interno del gruppo. Dal punto di vista formale, l´autorità leader della valutazione ha incardinato nel 2006 la procedura di coordinamento, con la quale è stato inviato all´attenzione dell´Autorità, in conformità alla procedura descritta nel Wp 107 (punto 4), un consolidated draft delle Bcr sopra citate.