Garante per la protezione
    dei dati personali

Newsletter

EXPORT DI DATI IN USA. UN PRIMO BILANCIO DELLA COMMISSIONE EUROPEA SULL’ACCORDO "SAFE HARBOR"

Le imprese americane che hanno finora aderito all’accordo del Safe Harbor non garantiscono informazioni trasparenti sulla gestione dei dati personali trasferiti oltreoceano.

Questo, in sintesi, quanto emerge dai risultati contenuti nel primo rapporto della Commissione europea, datato 13 febbraio, sul funzionamento dell’accordo denominato "approdo sicuro" (Safe Harbor), in base al quale le imprese con sede negli USA possono trasferire dati personali dall’UE agli Stati Uniti nel rispetto della direttiva 95/46 sulla protezione dei dati personali .

Il rapporto non è conclusivo (solo nel 2003 è, infatti, prevista la valutazione d’insieme da parte della Commissione Europea sul funzionamento del Safe Harbor), ma offre alcuni spunti di riflessione. I requisiti necessari per dare applicazione all’accordo, sia negli USA sia nell’UE, risultano essere tutti presenti. Ma da parte delle 153 imprese USA che hanno finora aderito su base volontaria al Safe Harbor, c’è un deficit di trasparenza sia riguardo alle informazioni messe a disposizione dei cittadini sia riguardo alla completezza delle informazioni stesse (ad esempio, per quanto riguarda il diritto di accedere ai dati e di farli cancellare in determinati casi). Inoltre, i sei organismi per la risoluzione delle controversie (tra gli altri, BBBOnline, TRUSTe, DMA), ai quali le imprese USA possono demandare la gestione degli eventuali ricorsi presentati da cittadini UE , non forniscono informazioni complete su come istruire i ricorsi e non sempre autocertificano l’adesione ai meccanismi previsti dal Safe Harbor. Solo TRUSTe ha dichiarato di aver ricevuto 27 reclami contro aderenti al Safe Harbor, mentre non risultano al momento ricorsi pendenti presso le autorità europee.

Si tratta, dunque, di un quadro sul quale pesano ancora numerose incertezze e che la Commissione attribuisce al "rodaggio" inevitabile del sistema.

Nel documento, si ricorda in particolare l’impegno profuso dalla Federal Trade Commission e dal Dipartimento per il commercio degli USA per diffondere la conoscenza dell’accordo e promuoverne la corretta applicazione. Ma si sottolinea anche come la trasparenza sia "una caratteristica vitale dei sistemi autoregolatori".

La valutazione operata dalla Commissione si basa sulle informazioni raccolte presso il sito Internet del Dipartimento per il commercio USA dove sono indicate le organizzazioni che hanno autocertificato la propria adesione all’accordo di Safe Harbor, oltre che sulle informazioni raccolte presso la FTC e gli organismi incaricati della risoluzione di controversie negli USA, presso le autorità di protezione dati dell’UE e presso i siti Internet delle imprese che hanno dichiarato di aderire all’accordo. Oggetto della valutazione sono stati quattro quesiti fondamentali:

1) Gli elementi richiesti dall’accordo sono tutti esistenti e funzionanti? L’accordo di Safe Harbor prevede che i competenti organismi USA (Dipartimento del commercio, FTC) ed i Paesi membri dell’UE prendano determinate iniziative per favorire l’applicazione delle relative disposizioni. Queste misure risultano in atto su entrambe le sponde dell’Atlantico: possibilità per le imprese USA di autocertificare on-line l’adesione al Safe Harbor, creazione di un sito ad hoc presso il Dipartimento del Commercio USA, distribuzione di un "manuale" destinato alle imprese per spiegare l’applicazione dell’accordo; adozione da parte degli Stati membri UE di disposizioni nazionali per recepire la decisione della Commissione europea in merito all’adeguatezza dell’accordo di Safe Harbor (per l’Italia, vedi il provvedimento autorizzativo del Garante pubblicato il 26 novembre 2001 sulla Gazzetta Ufficiale); istituzione di un "panel", ossia di un organo collegiale formato da rappresentanti dei Garanti europei che ha il compito di occuparsi dei ricorsi presentati contro quelle imprese USA che scelgano di ricorrere all’arbitrato di tale organismo anziché a quello di organismi per la risoluzione delle controversie con sede negli USA.

2) I ricorsi in materia sono stati gestiti in modo soddisfacente? Il panel formato dalle Autorità garanti europee non ha sinora ricevuto alcun ricorso, ed anche la FTC non ha ricevuto segnalazioni di ricorsi irrisolti in materia di Safe Harbor. Va segnalato che sono sei gli organismi privati USA scelti dalle imprese statunitensi ai fini della risoluzione di eventuali controversie, e 54 sono le imprese che hanno scelto di utilizzare tali organismi anziché il panel sopra menzionato.

3) Le informazioni fornite sui siti web delle imprese aderenti sono conformi agli obblighi previsti dall’accordo? In questo caso la situazione lascia molto a desiderare. In primo luogo, infatti, molte imprese non hanno pubblicato sul proprio sito web una dichiarazione che, come richiesto dall’accordo, sancisca la rispettiva adesione ai principi dell’Accordo stesso, e in alcuni casi non è possibile neppure accedere alla dichiarazione della politica seguita in materia di privacy che viene citata nell’autocertificazione delle imprese. Ciò vale, in modo particolare, per quelle imprese che hanno dichiarato di aderire all’accordo solo per trasferire dati in materia occupazionale dall’UE agli USA: molte di tali imprese si sono limitate ad autocertificare al Dipartimento per il Commercio la propria adesione al Safe Harbor, indicando l’approccio seguito in materia di privacy e le informazioni concernenti il meccanismo del Safe Harbor soltanto sulla propria intranet o su manuali interni. C’è dunque un deficit di trasparenza. In secondo luogo, anche le imprese che hanno pubblicato le informazioni richieste hanno omesso di fornire indicazioni importanti — ad esempio, il principio per cui gli interessati hanno il diritto di accedere ai propri dati, e di correggere i dati inesatti. La Commissione Europea sottolinea che ciò non significa che l’accesso sia negato nei fatti; tuttavia, è chiaro che un’informazione parziale non è rispettosa dei termini dell’accordo e può anche indicare un fraintendimento (voluto o meno) dei principi stessi. Questo deficit di informazione è particolarmente grave in quelle imprese che omettono di specificare le modalità di presentazione di un ricorso presso gli organismi indipendenti per la risoluzione delle controversie o presso il panel sopra descritto. Per citare il rapporto, "l’effetto ultimo è che i singoli possono non conoscere le norme che si applicano all’elaborazione dei loro dati o i modi per esercitare loro legittimi diritti."

4) I soggetti incaricati della risoluzione di eventuali controversie rispettano i requisiti previsti dall’accordo? I sei organismi citati dalle imprese USA per quanto riguarda la risoluzione di possibili controversie in materia di Safe Harbor non risultano tutti egualmente in regola con le disposizioni dell’accordo. Da un lato, infatti, non tutti dichiarano di aderire ai principi dell’accordo nella gestione delle informazioni di cui possono entrare in possesso; d’altro canto, anche se le capacità sanzionatorie di questi organismi risultano, a giudizio della Commissione, abbastanza rigorose da garantire il rispetto dei principi, solo due di essi si sono impegnati a dare pubblica diffusione degli esiti delle procedure di ricorso trattate — mentre il principio di pubblicità è fra quelli che l’accordo menziona come necessari per garantire l’efficacia sanzionatoria del Safe Harbor.

E’ bene ricordare, infine, che, per trasferire dati personali al di fuori del territorio dell’UE nel rispetto della legislazione comunitaria, le imprese statunitensi possono ricorrere non soltanto al Safe Harbor, ma anche alle clausole contrattuali standard (vedi "Newsletter" del 11-17 giugno 2001 e del 8-14 ottobre 2001).