[doc. web n. 1467485]
[v. anche Comunicato stampa]

Segnalazione al Parlamento e al Governo sul trasferimento di dati personali in paesi terzi e norme vincolanti d´impresa - 8 novembre 2007
(art. 154, comma 1, lett. f), d.lg. 30 giugno 2003, n. 196)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

1. La presente segnalazione individua le ragioni per le quali il Garante ritiene opportuno un intervento normativo volto a novellare il Codice in materia di protezione dei dati personali, nella parte in cui regola il trasferimento di dati personali verso Paesi terzi (art. 44 d.lg. 30 giugno 2003, n. 196).

2. Il Codice disciplina il trattamento dei dati anche dal punto di vista del loro trasferimento all´estero, affermando il principio secondo cui, mentre all´interno dell´Unione europea prevista come regola generale la libera circolazione (non soggetta a restrizioni salvo che in caso di eventuali fenomeni elusivi di garanzie), il trasferimento di informazioni personali verso Paesi terzi invece possibile, sempre come regola generale, solo se il Paese di destinazione garantisce un livello di protezione adeguato secondo la valutazione effettuata dalla Commissione europea (artt. 42 e 44 Codice cit.).

Poich diversi Paesi terzi non offrono tale protezione, in attuazione di quanto disposto dalla direttiva comunitaria in materia (n. 95/46/Ce del 24 ottobre 1995), sono previste alcune condizioni equipollenti in base alle quali il trasferimento pu avvenire comunque, ad esempio perch vi il consenso dell´interessato, od occorre eseguire obblighi contrattuali o salvaguardare un interesse pubblico rilevante (art. 43 Codice cit.).

Tra queste condizioni equipollenti vi anche il caso nel quale il trasferimento pu essere autorizzato dal Garante in presenza di garanzie individuate dalla stessa Autorit   come "adeguate" in rapporto ai diritti degli interessati (art. 44, comma 1, lett. a)).

Su queste basi, l´esperienza di collaborazione con la Commissione europea e con le autorit   garanti degli altri Paesi dell´Unione ha gi   individuato alcuni strumenti utili basati su clausole contrattuali standard approvate con decisione della Commissione europea (art. 26, par. 4 dir. n. 95/46/Ce cit.).

In particolare, sono stati predisposti su scala europea alcuni contratti-tipo che hanno permesso di regolare in modo uniforme, e tendenzialmente agevole, diversi flussi di dati verso Paesi terzi nei quali operino titolari del trattamento autonomi rispetto al soggetto esportatore, oppure strutture che agiscono in funzione strumentale quali "responsabili" del trattamento.

3. Varie imprese attive su scala internazionale si sono avvalse di queste soluzioni.

L´esperienza applicativa ha portato per a evidenziare alcune difficolt   che incontrano, soprattutto, societ   operanti all´interno di gruppi multinazionali, nell´applicare le predette opportunit   in Europa con un approccio distinto da Paese a Paese.

Per tali gruppi, anche l´impiego di modelli contrattuali standardizzati viene infatti avvertito, a volte, come farraginoso, in quanto ciascuna societ   stabilita all´interno dello Spazio economico europeo e appartenente ad un medesimo gruppo multinazionale deve comunque includere le garanzie previste dai predetti schemi tipo in un suo contratto con le societ   del gruppo situate in Paesi terzi.

Pertanto, il Gruppo che riunisce le autorit   garanti d´Europa, istituito ai sensi dell´art. 29 della direttiva 95/46/Ce (c.d. Gruppo art. 29), ha preso in considerazione ulteriori strumenti, rispetto a quello contrattuale, che possano assicurare anch´essi un livello adeguato di protezione per i diritti degli interessati, con particolare riguardo al trasferimento all´estero dei dati personali nell´ambito dei gruppi multinazionali [1].

Il Gruppo ha operato alcune prime valutazioni con riserva di eventuali situazioni specifiche connesse a singole realt   nazionali, ravvisando un´interessante prospettiva di lavoro nelle regole di comportamento che una societ   capogruppo pu impartire, generalmente all´interno di appositi codici di condotta interni al gruppo multinazionale e resi vincolanti per tutte le societ   ad esso appartenenti.

Tali regole, ormai conosciute nella prassi applicativa come "binding corporate rules", sono state ritenute come uno strumento astrattamente idoneo ad assicurare un livello adeguato di protezione per i diritti degli interessati, compatibile con la disciplina contenuta nella direttiva 95/46/Ce.

Il Gruppo ha precisato che le binding corporate rules possono essere impiegate utilmente semprech siano effettivamente vincolanti in un duplice senso:

• all´interno del gruppo di societ  , grazie anche alla previsione di "sanzioni private" nei confronti degli incaricati operanti presso le societ   interessate;
• all´esterno del gruppo di societ  , al fine di consentire l´esercizio dei diritti risultanti dalle regole di condotta interne al gruppo agli interessati cui si riferiscono i dati trasferiti.

4. In alcuni ordinamenti il legislatore nazionale ha dato seguito all´indirizzo formulato dal Gruppo e ha inserito nella normativa nazionale un riferimento espresso.

Nella Repubblica federale tedesca, stato ad esempio previsto espressamente che le garanzie possano consistere, oltre che in clausole contrattuali, in "regole vincolanti d´impresa" [2].

Analogamente, in Francia stata apportata una modifica alla legge sulla protezione dei dati per menzionare, appunto, il ricorso a "regole interne" al gruppo [3].

5. Il Codice italiano sulla protezione dei dati personali non reca espresse indicazioni sulle binding corporate rules, sebbene con un´apprezzata disposizione affidi a questa Autorit   il compito di attuare le decisioni comunitarie che individuano situazioni di adeguatezza nei Paesi terzi, nonch l´ulteriore compito di ravvisare l´idoneit   di alcune garanzie per gli interessati prestate anche con contratti.

Il Garante ritiene giustificato avviare rapidamente un percorso per dare pi incisiva attuazione alle binding corporate rules anche nel nostro Paese.

Tuttavia, questa Autorit   constata che il fenomeno delle regole di condotta all´interno di gruppi societari presenta tuttora alcuni profili di incerta qualificazione, soprattutto per quanto riguarda la loro concreta valenza giuridica dal punto di vista della vincolativit   e, quindi, dell´effettiva garanzia per i cittadini interessati in caso di loro inosservanza.

Tale incertezza pu indurre il Garante a disconoscere, al riguardo, la sussistenza di adeguate garanzie per i diritti degli interessati, che pure siano previste all´interno dei menzionati codici di condotta. Rispetto ad altri Paesi europei si possono pertanto determinare alcuni effetti negativi per le societ   (stabilite in Italia) appartenenti a gruppi interessate al trasferimento di dati personali verso Paesi terzi.

PER QUESTE RAGIONI

il Garante rappresenta al Parlamento e al Governo l´opportunit   di prendere in considerazione una possibile integrazione della vigente disciplina di protezione dei dati che agevoli questa Autorit   nell´individuare garanzie adeguate per i diritti degli interessati rispetto a richieste di autorizzazione al trasferimento dei dati verso Paesi terzi basate su regole di condotta vincolanti all´interno dei gruppi di imprese.

Stante la particolare tecnicit   dell´argomento, il Garante ha anche individuato una concreta possibilit   di modifica che potrebbe essere apportata all´art. 44 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), aggiungendo nel comma 1, lett. a) un periodo di tenore analogo al seguente:

"a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell´ambito di societ   appartenenti a un medesimo gruppo. L´interessato pu far valere i propri diritti nel territorio dello Stato, in base al presente Codice, anche in ordine all´inosservanza delle garanzie medesime;".

Roma, 8 novembre 2007

[1] Working Document WP 74, Transfers of personal data to third countries: Applying Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers, del 3 giugno 2003, in http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2003/wp74_en.pdf).

[2]  4c, alinea 2 della legge federale sulla protezione dei dati (Bundesdatenschutzgesetz)

[3] Art. 69 Loi du 6 janvier 1978 relative   l´informatique, aux fichiers et aux libert s modifi e par la loi relative   la protection des personnes physiques   l´ gard des traitements de donn es   caract re personnel du 6 ao t 2004.