COMMISSIONE DELLE COMUNITÀ EUROPEE

Bruxelles, 13.02.2002

DOCUMENTO DI LAVORO DEI SERVIZI DELLA COMMISSIONE
sull’applicazione della decisione 520/2000/CE della Commissione, del 26 luglio 2000, a norma della direttiva 95/46 del Parlamento europeo e del Consiglio sull'adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative "domande più frequenti" (FAQ) in materia di riservatezza pubblicate dal dipartimento del commercio degli Stati Uniti

 

Sommario

Il 26 luglio 2000 la Commissione ha approvato la decisione 520/2000/CE che riconosce i principi internazionali di riservatezza dell’approdo sicuro pubblicati dal dipartimento del commercio degli Stati Uniti come tali da costituire un’adeguata protezione ai fini del trasferimento di dati personali dall’UE.

La risoluzione del Parlamento, approvata il 5 luglio 2000, invitava la Commissione ad assicurare uno stretto monitoraggio del funzionamento del sistema dell’approdo sicuro e a riferire periodicamente. Rivolgendosi alla commissione per i diritti e le libertà dei cittadini del Parlamento, il commissario Bolkestein ha dichiarato che la Commissione avrebbe preparato tale relazione entro la fine del 2001. La presente relazione è il risultato di tale impegno.

In base alle informazioni raccolte presso il sito Internet del dipartimento del commercio degli Stati Uniti, che elenca le organizzazioni aderenti all’approdo sicuro e relative informazioni; presso autorità pubbliche e organizzazioni private americane interessate alla risoluzione delle controversie e all’esecuzione dei principi dell’approdo sicuro; presso autorità per la protezione dei dati degli Stati membri dell’UE (DPA) che svolgono anch’esse un ruolo nell’attuazione degli impegni dell’approdo sicuro e presso i siti Internet delle organizzazioni che, al 4 giugno, avevano aderito ai principi dell’approdo sicuro, i servizi della Commissione hanno raggiunto le seguenti conclusioni:

  • Tutti gli elementi dell’approdo sicuro sono in atto. Il relativo quadro sembra avere un effetto semplificatore per chi trasferisca dati personali alle 129 organizzazioni americane presenti nell’approdo sicuro alla data dell’1 dicembre 2001 e riduce le incertezze per le organizzazioni USA interessate a importare dati dall’UE, grazie all’identificazione di uno standard che corrisponde all’adeguata protezione richiesta dalla direttiva.

  • I cittadini hanno facoltà di presentare ricorsi se ritengono che i loro diritti siano stati lesi, ma tali ricorsi sono stati pochi, e, a conoscenza della Commissione, nessuno è rimasto in sospeso.

  • Numerose organizzazioni che hanno autocertificato la propria adesione all’approdo sicuro non sembrano osservare il grado di trasparenza che sarebbe lecito attendersi dati gli impegni complessivi che si sono assunte o i contenuti delle politiche di tutela della privacy che hanno professato. La trasparenza è una caratteristica essenziale dei sistemi autoregolamentati ed è necessario che queste organizzazioni migliorino le loro pratiche da questo punto di vista.

  • I meccanismi per la risoluzione delle controversie contengono un'ampia gamma di sanzioni per assicurare l'esecuzione dei principi dell’approdo sicuro. Ma non tutti i meccanismi di risoluzione delle dispute dichiarano pubblicamente la loro intenzione di attuare l’approdo sicuro e non tutti seguono pratiche di tutela della privacy ad essi stessi applicabili e conformi ai Principi, come richiesto dalle norme dell’approdo sicuro. Le garanzie di esecuzione (enforcement) costituiscono un aspetto fondamentale dell'approdo sicuro, ed è quindi necessario che tutte le organizzazioni interessate si avvalgano esclusivamente di meccanismi per la risoluzione delle controversie pienamente conformi ai requisiti dell'approdo sicuro.

Le recenti decisioni della Commissione che approvano clausole contrattuali standard per trasferire dati a paesi terzi non limitano in nessun modo la validità delle disposizioni dell’approdo sicuro, che rimarrà un’opzione attraente per organizzazioni idonee regolarmente coinvolte nel trasferimento di dati. I servizi della Commissione continueranno a cooperare con il dipartimento del commercio per incoraggiare le organizzazioni statunitensi a raggiungere e mantenere un rigoroso rispetto per i requisiti di trasparenza dell’approdo sicuro. I servizi della Commissione e il dipartimento del commercio statunitense considerano la trasparenza una caratteristica vitale dei sistemi autoregolatori e guardano alle organizzazioni interessate per migliorare le loro pratiche in questo senso. Essi ritengono che almeno una parte dei difetti identificati possa essere imputata a "problemi di rodaggio". I servizi della Commissione accolgono positivamente la disponibilità del dipartimento del commercio statunitense ad affrontarne alcuni migliorando il processo di autocertificazione e ritengono che con un’azione di vigilanza e di esecuzione da parte delle competenti autorità degli USA le disposizioni rimarranno credibili e raggiungeranno lo scopo di garantire una protezione adeguata ai dati personali trasferiti dall’UE negli USA.

Anche altri interessati, come consumatori e imprese, possono trovare utile questo documento di lavoro per valutare personalmente l’applicazione dell’accordo Approdo sicuro. Siffatte valutazioni sono auspicabili, perché contribuiranno validamente alla valutazione dell’accordo Approdo sicuro che la Commissione farà nel corso del 2003.

Introduzione

Esercitando i poteri ad essa conferiti dall’articolo 25, § 6, della direttiva 95/46/CE, la Commissione ha approvato il 26 luglio 2000 la decisione 520/2000/CE 1 che riconosce ai principi internazionali di riservatezza dell’approdo sicuro, pubblicati dal dipartimento del commercio degli Stati Uniti, la capacità di fornire adeguata tutela ai trasferimenti di dati personali dall’UE. La decisione è stata oggetto di preventivo scrutinio da parte del Parlamento europeo, ai sensi della decisione 1999/468 del Consiglio. La risoluzione del Parlamento, approvata il 5 luglio 2000, invitava la Commissione "a garantire uno stretto monitoraggio del funzionamento del sistema dell’approdo sicuro ... e riferire periodicamente al gruppo di lavoro di cui all’articolo 29 e al comitato di cui all’articolo 31 della direttiva 95/46/CE, nonché alla competente commissione del Parlamento europeo". Rivolgendosi alla commissione parlamentare per i diritti e le libertà dei cittadini, il commissario Bolkestein ha dichiarato che la Commissione avrebbe preparato una tale relazione entro la fine del 2001. Il presente documento di lavoro risponde a tale impegno.

La decisione della Commissione incarica la Commissione di valutare l’attuazione della decisione stessa dopo tre anni 2 . Il presente documento di lavoro non sostituisce né anticipa tale valutazione e neppure intende sostituirsi agli organi responsabili di controllare il sistema dell’approdo sicuro o al processo di verifica previsto dalla domanda n. 7 (FAQ) pubblicata insieme ai principi dell’approdo sicuro.

La Commissione ha raccolto informazioni presso il sito Internet del dipartimento del commercio, che raccoglie le organizzazioni che hanno autocertificato l’adesione all’approdo sicuro, e le informazioni su di esse; presso autorità pubbliche e organizzazioni private degli Stati Uniti impegnate alla risoluzione delle controversie e all’applicazione degli impegni dell’approdo sicuro; presso autorità di protezione dei dati (DPA) degli Stati membri dell’UE che attuano gli impegni dell’approdo sicuro, e presso i siti Internet delle organizzazioni che, al 4 giugno, avevano ad esso aderito. Obiettivo della Commissione era:

(a) Raccogliere informazioni su tutti gli elementi del sistema dell’approdo sicuro, sapere se sono in funzione, tanto negli USA che nell’UE, e se ottengono gli effetti auspicati da coloro che sono interessati ai trasferimenti dei dati.

(b) Accertare se ricorsi di singoli contro presunte violazioni a obblighi dell’approdo sicuro siano stati recepiti da enti per la risoluzione delle controversie o ad essi subordinati e, in caso affermativo, se siano stati risolti in maniera soddisfacente.

(c) Verificare se il materiale "visibile" dei siti Internet delle organizzazioni che hanno autocertificato la loro adesione all’approdo sicuro sia conforme ai relativi obblighi.

(d) Verificare se, in base ai loro siti Internet e alle informazioni che essi danno, gli enti alternativi americani per la risoluzione delle controversie, selezionati dalle organizzazioni aderenti all’approdo sicuro ottemperino ai requisiti fissati per tali enti in sede di principio di applicazione e di FAQ 11.

(a) Gli elementi dell'approdo sicuro sono tutti in funzione?

Negli USA

Il 29 settembre 2000, il dipartimento di commercio degli Stati Uniti ha pubblicato sul registro federale un comunicato che stabilisce i requisiti procedura che devono essere seguiti dalle imprese per essere registrate come aderenti all’approdo sicuro. Tali procedure erano conformi ai requisiti di cui alla FAQ 6 in materia di autocertificazione.

L’approdo sicuro è operativo dall’1 novembre 2000, data in cui il dipartimento del commercio degli Stati Uniti ha aperto il processo di autocertificazione on-line per le organizzazioni americane desiderose di aderire ai principi dell’approdo sicuro. All’1 dicembre 2001, risulta che vi siano 129 organizzazioni con sede negli Stati Uniti che hanno autocertificato la propria adesione ai principi dell’approdo sicuro e sono registrate nell’elenco pubblico mantenuto dal Dipartimento del commercio degli Stati Uniti (http://www.export.gov/safeHarbor/).

Il numero delle imprese che hanno effettuato l’autocertificazione e che quindi possono approfittare dei vantaggi dell’approdo sicuro è inferiore al previsto, ma ciò non sembra aver condizionato negativamente l’efficacia dell’iniziativa. Le imprese che preferiscono non dare la loro adesione sono tenute a fornire adeguate salvaguardie in altro modo, ad esempio in sede contrattuale. Si prevede che l’adesione all’approdo sicuro sia destinata ad aumentare progressivamente, successivamente all’avvio relativamente indolore dell’approdo sicuro.

Il Dipartimento del commercio degli Stati Uniti ha intrapreso varie iniziative per informare le imprese sull’approdo sicuro e incoraggiarle ad aderirvi. Il suo sito Internet contiene un vasto materiale sulle norme che le organizzazioni devono rispettare. Il relativo programma di istruzione e divulgazione comprende un manuale di attuazione "The Safe Harbour Workbook"3 e una serie di seminari nelle principali città americane. Inoltre, il personale dell’ufficio del commercio elettronico risponde regolarmente a domande presentate dalle imprese in materia di approdo sicuro, fornendo un immediato follow-up alle richieste ricevute. È previsto per l’anno prossimo uno sforzo continuato per illustrare le norme dell’approdo sicuro attraverso seminari, presentazioni Internet e tavole rotonde.

Nell'UE

Gli Stati membri erano tenuti ad attuare tutte le disposizioni necessarie per consentire il flusso dei dati alle organizzazioni americane aderenti all’approdo sicuro entro il 25 ottobre 2000, ossia 90 giorni dopo la notifica della decisione. In molti Stati membri, non vi è stata necessità di modificare la normativa esistente. In Svezia, la decisione è stata recepita l’1 gennaio 2001 con una modifica dell’ordinanza sui dati personali (1998:1191), sezione 12/13. Il 24 novembre 2000, la legge finlandese per la protezione dei dati personali 986/2000 è stata emendata per conferire forza di legge a tutte le decisioni della Commissione basate sull’articolo 25.6 della direttiva. In Belgio, si attende l’approvazione nei prossimi mesi di un decreto reale sul flusso transfrontaliero di dati. Fino a tale momento la decisione 520/2000/CE della Commissione ha in Belgio effetti diretti. In Irlanda, in attesa della pubblicazione della legge che recepisce la direttiva 95/46, è stato dato effetto di legge agli articoli 25 e 26 della direttiva in virtù di un regolamento appena approvato. In altri casi, l’attuazione della decisione della Commissione che riconosce l’adeguatezza dell’approdo sicuro viene effettuata dall’autorità nazionale per la protezione dei dati. Come nel caso dell’Italia 4 .

Esisteva anche un requisito per istituire e rendere operativo l’elenco di autorità per la protezione dei dati dell’UE ("the panel") citato in FAQ 5 per quegli aderenti all’approdo sicuro che scelgono di cooperare con tali autorità piuttosto che nominare enti alternativi di risoluzione delle dispute negli USA. Tale opzione, inizialmente disponibile per tre anni, è obbligatoria se vengono trasferiti dall’Europa a un’organizzazione dell’approdo sicuro dati su risorse umane (FAQ 9). FAQ 5 e 9 forniscono la struttura generale di tale cooperazione. Le procedure operative interne del panel sono state convenute dal Gruppo di lavoro sull’articolo 29 nel mese di novembre 2000 e si trovano sul sito web del panel (http://forum.europa.eu.int/Public/irc/secureida/safeHarbor/home). La partecipazione ai lavori del panel è aperta alle autorità di controllo di tutti gli Stati membri, ma volontaria. Le coordinate per contattare le 8 autorità di controllo partecipanti si trovano sul sito web.

Come indicato nella FAQ 5, le organizzazioni USA versano un contributo annuo per coprire i costi di gestionedelpanel. Esso è pagabile su un conto bancario gestito dall’US Council for International Business (USCIB), filiale USA della Camera di commercio internazionale, che agisce come terzo fiduciario a nome del panel perla protezione deidati.La Commissioneè grata all’USCIB per aver accettato questo ruolo e alla Camera di commercio internazionale per i suoi buoni uffici.

Oltre alla FAQ 11, il panel ha adottato e inviato un formulario standard di reclamo in tutte le lingue comunitarie per facilitare la risoluzione dei ricorsi. Anche il formulario è disponibile sul suo sito web e può essere ottenuto dalle autorità di controllo di ogni Stato membro.

Da parte loro, i servizi della Commissione hanno messo sul sito web dell’Europa 5 tutti i documenti dell’approdo sicuro nelle 11 lingue comunitarie, la risoluzione del Parlamento europeo e il parere del Gruppo di lavoro sull’articolo 29, nonché una serie di domande e risposte sul funzionamento dell’accordo per l’approdo sicuro per trasferire dati personali negli USA. Risposte a domande specifiche sono fornite per telefono o posta elettronica dalla Direzione generale mercato interno 6. Il 15 giugno 2001, la Commissione ha pubblicato una guida dal titolo "La protezione dei dati nell’Unione europea", che non si occupa in modo specifico dell’approdo sicuro ma dell’applicazione della direttiva dell’UE, dei particolari sulla procedura per introdurre ricorsi e delle coordinate per contattare gli uffici delle autorità di controllo in ogni Stato membro. Nove di essi forniscono informazioni attraverso i loro siti web sulle disposizioni dell’approdo sicuro (GB, NL, FR, DE, IRL, IT, SV, FI e GR). Nessuno ha per ora un link con il sito web del panel, ma i servizi della Commissione hanno invitato le autorità interessate a introdurrre siffatti link.

I servizi della Commissione non sono a conoscenza di casi in cui siano sorte difficoltà nel trasferimento di dati personali dall’UE a organizzazioni aderenti all’approdo sicuro.

(b) I ricorsi contro presunte violazioni a obblighi dell’approdo sicuro sono stati ricevuti e risolti in modo soddisfacente?

Le società USA che dicono di aderire ai principi dell’approdo sicuro senza di fatto aderirvi rischiano sanzioni da parte della autorità statunitensi. Le disposizioni dell’approdo sicuro richiedono che ogni organizzazione che vi aderisce ricorra a un meccanismo disponibile in tempi brevi, economico e indipendente di risoluzione delle controversie che istruisca i singoli reclami e risolva le controversie riferendosi ai principi dell’approdo sicuro 7 .

Al 7 dicembre 2001, sei organizzazioni private degli USA erano state scelte da organizzazioni dell’approdo sicuro come organi di risoluzione di controversie. Si tratta di BBBOnline, TRUSTe, Direct Marketing Safe Harbour Program 8 , Entertainment Software Rating Board Privacy Online EU Safe Harbour Programme, Judicial Arbitration and Mediation Service (JAMS)9 e di American Arbitration Association. Questi enti privati di risoluzione delle controversie sono stati scelt i da 54 organizzazioni dell’approdo sicuro, mentre le rimanent i hanno preferito cooperare con le autorità di tutela dei dati dell’UE ai sensi della FAQ 5. Le informazioni fornite dagli enti di risoluzione delle controversie, comprese le autorità di tutela, dimostrano che sono stati istruiti pochissimi ricorsi contro organizzazioni dell’approdo sicuro tutti risolt i senza coercizioni. Di fatto, finora solo TRUSTe ha dichiarato di aver ricevuto reclami (27) contro aderenti all’approdo sicuro. Non è chiaro quanti di questi reclami riguardino dati ottenuti dall’UE, poiché TRUSTe non conserva tracce dell’origine dei reclami. Il panel della autorità di controllo non ha finora ricevuto alcun ricorso.

Gli impegni dell’approdo sicuro sono esecutivi ai sensi della sezione 5 della Federal Trade Commission Act e (riguardo alle organizzazioni nel campo dei trasporti) ai sensi del titolo 49 parte 41712 del codice degli Stati Uniti. La Federal Trade Commission riferisce che non le sono stati segnalati casi di ricorsi irrisolti dovuti a presunte infrazioni a norme dell’approdo sicuro.

(c) Il materiale "visibile" fornito sui siti web dalle organizzazioni aderenti all’approdo sicuro è conforme agli obblighi che il medesimo impone loro?

In sede di preparazione di questa relazione, i servizi della Commissione hanno commissionato al consulente indipendente assunto per aiutare a valutare le norme di protezione dei dati all’esterno dell’UE, uno studio sulla "rispondenza visibile" (basato su quanto inviato ai siti web degli aderenti all’approdo sicuro, al 4 giugno). Essi stessi hanno inoltre effettuato controlli casuali sul materiale diffuso soprattutto nei siti web delle organizzazioni interessate.

Informazioni sull’applicazione del dispositivo sono state inoltre scambiate con gli enti di risoluzione delle controversie e le autorità di protezione dei dati degli Stati membri. Nessuna organizzazione degli USA è stata controllata dalla Commissione. I risultati di questa raccolta di informazioni sono stati comunicati al dipartimento del commercio statunitense e alla Federal Trade Commission. I servizi della Commissione hanno attirato l’attenzione del dipartimento del commercio e della FTC su una serie di preoccupazioni risultanti dall’esame del materiale "visibile" fornito da aderenti all’approdo sicuro:

=> Dichiarazione di adesione ai principi dell’approdo sicuro e/o relativa politica di protezione della privacy non sistematicamente visibile

Per beneficiare dell’"approdo sicuro", le società devono registrarsi presso il dipartimento del commercio statunitense e dichiarare pubblicamente la loro adesione ai principi dell’approdo sicuro. Benché esistano in teoria altri modi di qualificarsi, attualmente tutte le organizzazioni elencate beneficiano dei diritti dell’approdo sicuro solo grazie all’autoregolamentazione. A tal fine, ai sensi delle norme dell’approdo sicuro, è necessario che un’organizzazione pubblichi una politica di tutela della privacy rispondente ai principi e indichi nell’autocertificazione di adesione all’approdo sicuro dove il pubblico ne possa prendere visione. La FAQ 6 esige che "ogni organizzazione che autocertifichi per l’approdo sicuro ... dichiari nelle pertinenti dichiarazioni pubbliche sulla propria politica della privacy di aderire ai principi dell’approdo sicuro". Se, poi, un’organizzazione non si attiene alle politiche da essa dichiarate ciò è perseguibile ai sensi della sezione 5 della FTC Act o di norme analoghe.

Numerose organizzazioni che hanno autocertificato non rispettano il suddetto requisito della FAQ 6. Per alcune, oltre all’autocertificazione stessa, non si trova alcuna dichiarazione pubblica di aderenza ai principi dell’approdo sicuro. Per altre, poche, non è possibile accedere alla politica sulla privacy citata nell’autocertificazione. Il dipartimento del commercio e la Federal Trade Commission hanno garantito ai servizi della Commissione che l’autocertificazione stessa è una dichiarazione pubblica sufficiente a permettere eventuali interventi coercitivi della FTC nell’ambito dei suoi poteri contro atti fraudolenti. I servizi della Commissione si compiacciono di queste assicurazioni. Ma, tali omissioni significano che i partecipanti all’approdo sicuro in taluni casi non rispondono pienamente ai requisiti dei testi, con una perdita di trasparenza e di chiarezza, soprattutto di fronte al grande pubblico.

In proposito, esiste una difficoltà specifica per il trasferimento di dati sull’occupazione. Alcune organizzazioni hanno aderito all’approdo sicuro solo per trasferire dati occupazionali dalla UE. Esse presentano la normale autocertificazione al dipartimento del commercio, ma non la dichiarazione di adesione ai principi o sulla politica della privacy o senza precisare il sito Internet dove tale politica sia pubblicamente consultabile, preferendo lasciare tutto ciò a disposizioni interne come manuali per dipendenti o intranet. Ciò in teoria permette ai dipendenti, oggetto dei dati interessati da queste politiche, di accedere a tali dati. È una pratica comprensibile ma non troppo conforme ai requisiti dell’approdo sicuro. Le organizzazioni devono rendere disponibili le politiche a richiesta. Sarebbe inoltre preferibile che anche le politiche sulla privacy riguardanti i soli dipendenti siano immediatamente e direttamente accessibili dagli enti di risoluzione delle dispute (in questo caso le autorità di controllo, come richiesto dalla FAQ 9). La situazione attuale manca della piena trasparenza e i servizi della Commissione porterannoquesta materiaall’attenzionedelle autorità di controllo.

=> Le politiche sulla privacy non riflettono sistematicamente i principi dell’approdo sicuro.

Meno della metà delle organizzazioni espongono politiche sulla privacy che riflettono tutti i 7 principi dell’approdo sicuro. Alcuni principi dell’approdo sicuro (come il principio di sicurezza) sono citati dalla maggior parte delle organizzazioni, ma altri tendono in genere a non essere citati (come il principio d’accesso, e il diritto di correggere dati erronei).

Come già detto, i servizi della Commissione interpretano i testi dell’approdo sicuro nel senso che i partecipanti che si basano sull’autoregolazione devono avere una politica sulla privacy e conforme ai principi. Se il dipartimento del commercio enfatizza l’atto di autocertificazione, il suo manuale sull’approdo sicuro raccomanda alle organizzazioni di coprire tutti i principi nelle politiche che pubblicano. Si è già detto che nessuna organizzazione statunitense è stata controllata e la mancanza, per esempio, di una dichiarazione sull’accesso non significa necessariamente che l’accesso sia negato, se richiesto. I servizi della Commissione ritengono tuttavia motivo di preoccupazione il fatto che le politiche sulla privacy di organizzazioni dell’approdo sicuro non riflettano tutti i principi. Per esempio, le organizzazioni interessate possono non aver capito e non poter dunque soddisfare tutti gli obblighi dell’approdo sicuro. La raccomandazione del suddetto manuale è esemplare e quanto attuato da quelle poche organizzazioni dell’approdo sicuro che vi hanno finora aderito va perciò elogiato.

=> Mancanza di trasparenza sulle modalità di applicazione delle norme

I cittadini che vogliono esercitare i loro diritti su dati che li riguardano, detenuti da organizzazioni dell’approdo sicuro, sono spesso all’oscuro dei modi per farlo. Gran parte delle organizzazioni (non tutte) affermano per esempio di concedere un consenso preventivo per dati sensibili, ma poche dicono cosa sia un dato sensibile. Quanto all’applicazione, meno della metà dei partecipanti informano i singoli dei modi per istruire i ricorsi con un ente indipendente di risoluzione delle controversie. È vero che talvolta è indicato l’ente di risoluzione delle controversie abilitato, ma la maggior parte delle organizzazioni coopera con le autorità di controllo, senza di solito specificare come contattarle. Talvolta, una stessa organizzazione espone più di una politica sulla privacy ma senza riferimenti visibili all’adesione all’approdo sicuro. Non c’è nulla nei testi dell’approdo sicuro che vieti più d’una politica sulla privacy, ed è di fatto comprensibile che talune società ne abbiano più d’una, non essendo obbligate ad applicare l’approdo sicuro a dati raccolti negli USA. Inoltre, la FTC ha garantito che le società non possono "nascondersi dietro" le politiche che hanno pubblicato se non riguardano o non riflettono la loro adesione all’approdo sicuro. L’effetto ultimo è che i singoli possono non conoscere le norme che si applicano all’elaborazione dei loro dati o i modi per esercitare loro legittimi diritti.

(d) Gli enti di risoluzione delle dispute nominati dai partecipanti all’approdo sicuro rispettano i requisiti dei principi e della FAQ 11?

FAQ 11 chiede ai partecipanti all’approdo sicuro di scegliere enti di risoluzione delle controversie che diano ai singoli informazioni complete e di facile accesso sul funzionamento della procedura di istruzione di un ricorso. Esse dovrebbero descrivere le pratiche del meccanismo di tutela della privacy conformemente ai principi dell’approdo sicuro. Escluso il principio d’applicazione, i meccanismi di risoluzione delle controversie devono conformarsi ai principi dell’approdo sicuro.

I servizi della Commissione hanno sollevato con il dipartimento del commercio statunitense il problema che gli enti di risoluzione delle controversie possono operare senza dover dichiarare pubblicamente l’intenzione di applicare norme dell’approdo sicuro e/o senza obbedire a pratiche di tutela della privacy conformi ai principi. Al momento di scrivere, su 6 enti attualmente operanti nell’approdo sicuro, 2 hanno autocertificato al dipartimento del commercio la loro adesione ai principi (TRUSTe ed Entertainment Software Rating Board). Dei 4 restanti, 2 hanno pubblicamente dichiarato di agire in quanto enti di risoluzione delle controversie per organizzazioni nell’approdo sicuro (BBBOnline e Direct Marketing Association Safe Harbour Program). Gli altri due - Judicial Arbitration and Mediation Service (JAMS) e American Arbitration Association - non si sono attenuti a nessuna delle due possibilità ma ciascuno è stato finora nominato da una sola organizzazione.

In base alla FAQ 11, gli enti di risoluzione delle controversie devono inoltre far sì che l’organizzazione annulli o corregga il non rispetto delle norme dell’approdo sicuro e che future elaborazioni siano conformi a tali norme . Per essere efficaci, gli enti devono potere contare su varie sanzioni. Spetta ad essi decidere la sanzione da comminare nei singoli casi, ma tra le possibili sanzioni deve esserci la pubblica constatazione di non rispetto e l’obbligo di cancellare i dati in talune circostanze. Altre sanzioni possono essere la sospensione o il ritiro dell’abilitazione, l’indennizzo dei danni subiti dai singoli e le ingiunzioni. Il meccanismo privato di risoluzione delle controversie denuncerà all’amministrazione competente o eventualmente al tribunale, e al dipartimento del commercio, le organizzazioni dell’approdo sicuro che non rispettano le loro decisioni.

La capacità di applicare sanzioni abbastanza rigorose da garantire il rispetto dei principi è un aspetto importante del contributo di questi enti alla solidità dell’approdo sicuro. I servizi della Commissione hanno esaminato la serie di sanzioni di cui attualmente dispongono i 4 enti di risoluzione delle controversie che si sono pubblicamente impegnati a operare in questo senso per l’approdo sicuro e hanno concluso che tutti hanno istituito mezzi per correggere o annullare l’effetto del non rispetto. Ciò detto, non tutti gli enti si impegnano a diffondere i loro risultati (solo DMA e BBBOnline si sono impegnati in questo senso).

Conclusioni

Le informazioni suesposte permettono le seguenti conclusioni:

  • tutti gli elementi dell’approdo sicuro sono in funzione.

  • Rispetto alla situazione preesistente, il sistema semplifica le cose a chi esporta dati personali verso organizzazioni dell’approdo sicuro e riduce l’incertezza per le organizzazioni USA interessate a importare dati dall’UE definendo una norma che corrisponde alla protezione adeguata richiesta dalla direttiva.

  • I singoli possono presentare ricorsi se ritengono che i loro diritti non siano rispettati, ma pochi hanno agito in tal modo e, per quanto ne sappia la Commissione, nessun reclamo è restato finora irrisolto.

  • Numerose organizzazioni che hanno aderito all’approdo sicuro non osservano il grado di trasparenza che sarebbe lecito attendersi dati gli impegni complessivi che si sono assunte o i contenuti delle politiche di tutela della privacy che hanno professato. La trasparenza è caratteristica essenziale dei sistemi autoregolamentati ed è indispensabile che tali organizzazioni migliorino le loro pratiche da questo punto di vista, per non indebolire la credibilità delle disposizioni nel loro insieme.

  • I meccanismi di risoluzione delle controversie dispongono di una serie di sanzioni per applicare le regole dell’approdo sicuro. Essi non sono stati ancora collaudati nel contesto dell’approdo sicuro. Non tutti hanno pubblicamente dichiarato la loro intenzione di applicare le regole dell’approdo sicuro e non tutti hanno messo in atto pratiche di tutela della privacy a essi stessi applicabili conformi ai principi, come richiesto dall’approdo sicuro. Data l'importanza delle garanzie di esecuzione (enforcement) ed il relativo ruolo di queste organizzazioni, è necessario che tutte le organizzazioni interessate si avvalgano esclusivamente di meccanismi per la risoluzione delle controversie pienamente conformi ai requisiti dell'approdo sicuro.

Le recenti decisioni della Commissione che approvano clausole contrattuali standard per trasferire dati a paesi terzi non limitano in nessun modo la validità delle disposizioni dell’approdo sicuro, che rimarrà un’opzione più attraente per organizzazioni idonee regolarmente coinvolte nel trasferimento di dati. Nei contatti con gli interlocutori statunitensi i servizi della Commissione hanno sottolineato la necessità di rispettare rigorosamente i requisiti di trasparenza dell’approdo sicuro. I servizi della Commissione e il dipartimento del commercio statunitense considerano la trasparenza una caratteristica vitale dei sistemi autoregolatori e guardano alle organizzazioni interessate per migliorare le loro pratiche in questo senso. Essi ritengono che almeno una parte dei difetti identificati possa essere imputata a "problemi di avviamento". I servizi della Commissione accolgono positivamente la disponibilità del dipartimento del commercio statunitense ad affrontarne alcuni, migliorando il processo di autocertificazione e rendendolo più trasparente e a chiarire alcuni problemi di rispetto delle regole. I prossimi contatti con il DoC saranno dedicati a far sì che le imprese siano consapevoli delle regole e capiscano che le devono rispettare in un modo tale che i singoli comprendano a loro volta quali sono i loro diritti e come esercitarli.

L’accordo dell’approdo sicuro è volontario, ma non su base puramente autoregolatrice: ha il sostegno della legge statunitense ed è soggetto ad opportuna azione di vigilanza e repressione (enforcement) da parte delle competenti autorità degli USA. Tale azione, particolarmentein caso di eventuali carenze persistenti, quali sono state evidenziate nella presente relazione, servirà a garantire la credibilità dell'accordo e l'adeguata protezione dei dati personali trasferiti dall’UE negli Stati Uniti.

I servizi della Commissione continueranno a cooperare con i loro interlocutori statunitensi per incoraggiare le organizzazioni statunitensi ad aderire e a garantire un alto livello di comprensione e, quindi, di rispetto delle disposizioni dell’approdo sicuro e notano con soddisfazione che la Federal Trade Commission ha confermato, in dichiarazioni pubbliche e nella corrispondenza legata alla redazione del presente documento, il proprio impegno a dare priorità alle disposizioni regolamentate nel campo della privacy.


NOTE
1 Decisione della Commissione 520/2000/CE del 26 luglio 2000 a norma della direttiva 95/46 del Parlamento europeo e del Consiglio sull’adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative "domande più frequenti" (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti, GU 215 del 28 agosto 2000, pag. 7.

2 Articolo 4:

"1. La presente decisione può essere adattata in qualsiasi momento alla luce dell'esperienza acquisita nella sua attuazione e/o qualora il livello di protezione offerta dai principi e dalle FAQ sia superato dai requisiti della legislazione degli Stati Uniti.

2. La Commissione valuta in ogni caso l'applicazione della presente decisione tre anni dopo la sua notifica […] e comunica qualsiasi riscontro al comitato […] fornendo altresì ogni indicazione che possa influire sulle valutazioni relativa all’adeguata salvaguardia […] nonché di eventuali applicazioni discriminatorie della decisione stessa.

3. La Commissione, se necessario, presenta progetti di opportuni provvedimenti in conformità alla procedura di cui all’articolo 31 della direttiva 95/46".

3 Disponibile presso http://www.export.gov/safeHarbor/sh_workbook.html

4 Il 10 Ottobre, il "Garante per protezione dei dati personali" dell’Italia ha pubblicato una "Autorizzazione per il trasferimento di dati personali a organizzazioni stabilite negli Stati Uniti d’America in conformità ai "Safe Harbour Privacy Principles"". Il Garante si riserva il diritto di effettuare i necessari controlli sulla legalità e imparzialità delle operazioni di trasferimento e di elaborazione dei dati che precedono i trasferimenti nonché sulla conformità ai summenzionati principi, anche ai sensi del diritto comunitario e della legge n. 675/1996, e di provvedere (se necessario) alla sospensione o alla proibizione del trasferimento. L’autorizzazione è pubblicata sulla Gazzetta Ufficiale del 26 novembre ed è disponibile presso la sezione inglese del sito web del Garante.

5 europa.eu.int/comm/privacy

6 Markt-A4@cec.eu.int

7 Cfr. FAQ 11.

8 Il DMA Safe Harbour Programme è un meccanismo di risoluzione delle controversie che offre un servizio gratuito inizialmente aperto ai soli membri della Direct Marketing Association. L’appartenenza alla DMA non comporta l’adesione all’approdo sicuro. In effetti, le organizzazioni devono fare una richiesta separata per aderire al DMA Safe Harbour Programme, pubblicare una politica sulla privacy conforme ai principi e presentare l’autocertificazione al dipartimento del commercio statunitense.

9 I primi tre istruiscono ricorsi su dati on-line e off-line. ESRB li istruisce su dati raccolti on-line ma elaborati off-line.