Garante per la protezione
    dei dati personali

Newsletter

NUOVE SOLUZIONI PER IL TRASFERIMENTO DEI DATI ALL'ESTERO

I cittadini europei sono ancora più protetti. Siglando l'esito di un lungo lavoro delle Autorità garanti e degli Stati membri, la Commissione ha fissato nuove regole per trasferire dati personali verso Paesi terzi che non garantiscono una sufficiente tutela della privacy.

Si tratta di clausole contrattuali - tipo che consentiranno di esportare dati personali verso Paesi terzi non appartenenti all’Unione europea e per i quali non esiste un adeguato livello di protezione in base alla Direttiva 95/46 sulla riservatezza dei dati. Uno strumento, dunque, utile a cui potranno ricorrere agevolmente soprattutto le imprese.

Dopo un primo accordo con gli Stati Uniti, il cosiddetto "Safe harbor", che stabilisce un diverso meccanismo di regole minime per il trasferimento dei dati oltreoceano, il nuovo provvedimento europeo rappresenta un ulteriore e più importante risultato che va nella direzione di garantire maggiormente i cittadini europei e di facilitare, nel contempo, i flussi di dati verso i non pochi Paesi al di fuori dell'UE sprovvisti di tutela. Paesi ai quali, ad eccezione della Svizzera, dell'Ungheria, di Hong Kong e del Canada, l'Unione Europea non ha riconosciuto una adeguata disciplina nazionale in termini di protezione dei dati.

Per quanto l’utilizzazione di tali clausole avviene su base volontaria, esse costituiscono comunque una garanzia importante per tutte le parti in causa — titolare, responsabile, interessato dal trattamento.

Le clausole contrattuali tipo sono utilizzabili nel quadro di un accordo fra l’esportatore dei dati (il titolare che trasferisce i dati personali) e l’importatore dei dati (il titolare che riceve i dati personali dall’esportatore ai fini di un ulteriore trattamento conforme alle clausole stesse) situato in un Paese terzo.

Le clausole dovranno essere sottoscritte dalle parti (esportatore e importatore), che dovranno anche compilare e sottoscrivere un’Appendice in cui sono specificate le attività pertinenti al trasferimento, le categorie di interessati, le finalità del trattamento, le categorie di dati oggetto del trasferimento (in particolare per quanto riguarda i dati cosiddetti "sensibili") e gli eventuali destinatari ai quali i dati trasferiti possono essere comunicati. In altre due appendici sono riportati i principi fondamentali relativi alla qualità dei dati e ai diritti degli interessati (in base alla direttiva comunitaria) che costituiscono parte integrante delle clausole; in particolare, si ribadisce il principio per cui i cosiddetti trasferimenti successivi (ossia, il trasferimento dei dati da parte dell’importatore ad un altro titolare con sede in un Paese terzo dove non esiste una protezione adeguata) sono, di regola, possibili solo se gli interessati vi hanno acconsentito esplicitamente (per i dati sensibili) ovvero hanno avuto la possibilità di negare il loro consenso (per i dati "ordinari"), sulla base di un’adeguata informativa; altrimenti occorre che esportatore e importatore si accordino con il titolare al quale i dati devono essere ulteriormente trasferiti in merito al rispetto delle stesse clausole contrattuali da essi sottoscritte.

Il principio fondamentale è che la legge applicabile è quella dello Stato membro in cui ha sede l’esportatore dei dati (quindi, la legge di uno dei Paesi dell’UE). Esportatore e importatore sono responsabili separatamente e in solido per i danni derivanti da violazioni delle disposizioni che riguardano gli interessati (i quali nelle clausole vengono indicati come "terzi beneficiari" del contratto). Gli interessati hanno diritto al risarcimento del danno nei confronti di esportatore o importatore, o di entrambi, e se la controversia non può essere risolta in via amichevole possono ricorrere alla mediazione di un terzo indipendente (compresa eventualmente l’autorità di controllo nazionale), oppure all’autorità giudiziaria dello Stato UE in cui ha sede l’esportatore, oppure ancora ad un organismo arbitrale. Le autorità nazionali di controllo (come il Garante italiano) hanno il compito di vigilare sull’applicazione corretta delle clausole contrattuali, e possono vietare determinati trasferimenti se ritengono che essi possano "recare sostanziale pregiudizio alle garanzie di adeguata tutela" degli interessati.

La decisione europea si applicherà dal 3 settembre 2001. Entro tale data gli Stati membri e le relative Autorità di garanzia dovranno adoperarsi affinché le clausole (il funzionamento delle quali verrà verificato dalla Commissione tra tre anni) siano utilizzabili.