Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Privacy e trasferimento dati negli USA: il parere dei garanti europei - 16 marzo 1999

Privacy e trasferimento dati negli USA: il parere dei garanti europei

Il 26 gennaio scorso, sotto la presidenza del prof. Stefano Rodotà, il Gruppo di coordinamento delle Autorità Garanti europee ha adottato un parere, n. 1/99, in cui si affronta la questione cruciale del trasferimento dei dati tra UE e USA e del dibattito in corso per trovare una soluzione. La direttiva europea 95/46 sulla protezione delle persone rispetto al trattamento di dati personali e sulla libera circolazione di tali dati - in corso di recepimento nei vari Stati europei e che l´ Italia ha recepito per prima con la legge n.675 del 1996 - prevede infatti che il Paese dove vengono trasferiti i dati assicuri un adeguato livello di protezione. Attualmente, rispetto alle tutele presenti in Europa, gli Stati Uniti non garantiscono una protezione adeguata ai dati. Questo il testo del parere.
Il Gruppo di lavoro è a conoscenza del dibattito in corso fra la Commissione europea e il Governo degli Stati Uniti che mira a garantire sia livelli elevati di tutela per i dati personali sia la libera circolazione di dati personali fra le due sponde dell´Atlantico. Il Gruppo di lavoro attribuisce grande importanza a tale dibattito e spera che sia possibile giungere quanto prima a risultati positivi. Alla luce del dibattito in oggetto, è stata trasmessa una lettera con il relativo allegato a firma del sottosegretario Aaron, del 4 novembre 1998, contenente una serie di proposte destinate ad essere discusse negli USA fra rappresentanti di imprese statunitensi e il Federal Department of Commerce. In questo contesto, il Gruppo di lavoro invita i soggetti partecipanti a tale discussione ed i governi degli Stati membri dell´UE riuniti nel comitato istituito ai sensi dell´Articolo 31 della Direttiva 95/46/CE a tenere presenti i punti di seguito indicati.
Le norme in materia di protezione dei dati non mirano esclusivamente a tutelare gli utilizzatori di nuove tecnologie (in particolare informatica e Internet) al fine di garantire fiducia e sicurezza e quindi contribuire allo sviluppo di tali tecnologie ed allo scambio di dati a livello internazionale. Queste norme esprimono anche l´adesione ad una serie di principi e diritti fondamentali basati su una cultura comune di rispetto per la privacy ed altri valori propri degli esseri umani, che è condivisa allo stesso modo dagli Stati membri dell´Unione Europea e dagli Stati Uniti.

1. Negli stati uniti, privacy e protezione dei dati sono rinvenibili in un complesso intreccio di regolamentazione settoriale, a livello sia federale sia statale, unita all´autoregolamentazione da parte delle imprese. Negli ultimi mesi sono stati compiuti sforzi notevoli per migliorare credibilità ed applicabilità dell´autoregolamentazione da parte delle imprese, particolarmente nell´ambito di internet e del commercio elettronico. Tuttavia, il gruppo di lavoro è del parere che al momento non si possa fare affidamento sull´attuale collage di legislazione settoriale ad alta specificità e autoregolamentazione su base volontaria quale garanzia di una protezione adeguata in tutti i casi di trasferimento di dati personali dall´unione europea.
2. Data la complessità dell´attuale sistema statunitense di tutela della privacy e dei dati, la definizione negli USA di uno standard concordato "di riferimento" per tale tutela, sotto forma di una serie di principi che rappresentino un "porto sicuro" e siano offerti a tutti i soggetti economici ed agli operatori statunitensi, costituisce un utile approccio che, in determinati casi, potrebbe necessitare di integrazioni attraverso soluzioni contrattuali. Tuttavia, occorrono miglioramenti ulteriori per garantire la libera circolazione di dati verso gli Stati Uniti sulla base di questi principi in materia di privacy. Inoltre, potrebbe risultare necessario prevedere una metodologia che chiarisca quali sono le imprese per le quali valgono i principi del "porto sicuro".
3. Si deve osservare che la decisione di aderire a questo insieme di principi spetta esclusivamente alla singola impresa, per cui resta il problema costituito dalle imprese che non desiderano applicare i principi in oggetto, in assenza di una legislazione generale in materia.
4. In via generale, occorre chiarire la natura di questi principi. L´adesione ai principi può essere volontaria in prima istanza, ma una volta che un´impresa abbia deciso di aderire e quindi di usufruire dei vantaggi del "porto sicuro", il rispetto dei principi deve essere obbligatorio.
5. La credibilità dell´intero sistema risulta gravemente compromessa dall´assenza del requisito di un monitoraggio indipendente del rispetto dei principi, e dalla circostanza per cui si fa esclusivo affidamento sull´autocertificazione delle imprese. Il controllo indipendente sarebbe necessariamente serio, ma al contempo potrebbe essere fattibile, anche per le piccole imprese. I modelli in via di definizione negli USA ad opera di Better Business Bureau OnLine e di TrustE vanno nella direzione giusta.
6. Deve essere possibile che i reclami presentati da soggetti i cui dati sono stati trasferiti dall´Unione Europea vengano gestiti in modo fattivo ed efficiente, e che la decisione in merito sia presa, in ultima istanza, da un organismo indipendente. A tale riguardo, un punto fondamentale è l´individuazione di uno o più enti pubblici indipendenti ovvero organismi terzi, negli USA, che siano disposti a ed in grado di fungere da punti di contatto per le autorità preposte alla protezione dei dati nell´UE, collaborando negli accertamenti relativi a tali reclami. Si deve fare in modo di garantire l´esistenza di disposizioni pratiche per tutti i settori pertinenti negli USA. Gli organismi di regolamentazione già esistenti, quali la Federal Trade Commission e l´Office of the Comptroller of the Currency, possono svolgere questa funzione nei settori di competenza.
7. Alla luce del contenuto sostanziale, qualsiasi insieme accettabile di principi costituenti un "porto sicuro" deve comprendere, quale requisito minimo, tutti i principi fissati nelle Linee-guida in materia di privacy elaborate dall´OCSE nel 1980, adottate, fra gli altri, dagli USA e recentemente ribadite nel corso della Conferenza OCSE di Ottawa sul commercio elettronico. Questi principi trovano applicazione anche nella Direttiva 95/46/CE e nella normativa nazionale degli Stati membri dell´Unione Europea.

A tale riguardo, il documento di consultazione sopra ricordato, relativo ai principi, pubblicato dal Department of Commerce degli USA il 4 novembre 1998, suscita alcune perplessità, e in particolare:

a) Il diritto di accesso dei singoli è limitato a quanto è "ragionevole". Le Linee-guida dell´OCSE in materia di privacy non prevedono limitazioni a questo diritto in quanto tale, affermando più semplicemente che esso deve essere esercitato "in modo ragionevole".
b) Manca ogni riferimento al principio per cui le finalità del trattamento devono essere conformi, contenuto nelle Linee-guida dell´OCSE in materia di privacy, che è sostituito solo in parte da un principio di "scelta" per cui, di fatto, dati raccolti per un determinato scopo possono essere utilizzati per un altro scopo, purché i singoli abbiano la possibilità di "chiamarsi fuori" (opt-out).
c) I dati protetti dal diritto d´autore ed i dati sottoposti a trattamento non automatizzato sono del tutto esclusi dall´ambito di applicazione dei principi USA, mentre il principio di "scelta" non offre alcuna tutela per i dati raccolti presso terzi, e il principio di "accesso" esclude i dati ricavabili da atti pubblici.
In base al terzo paragrafo dell´introduzione, "l´adesione ai principi è subordinata" ad una serie di eccezioni e limitazioni quali la "gestione dei rischi" e la "sicurezza delle informazioni". Il Gruppo di lavoro è del parere che si tratti di concetti eccessivamente vaghi e indefiniti, e ne raccomanda un chiarimento o l´eliminazione.

Roma, 16 marzo 1999