Garante per la protezione
    dei dati personali

Newsletter

CLAUSOLE CONTRATTUALI PER L’EXPORT DI DATI PERSONALI TRA AZIENDA E FILIALE

I trasferimenti di dati personali da parte di un’azienda, con sede nel territorio dello Stato italiano, verso filiali, con sede nei paesi non appartenenti all’Unione europea che non presentino un adeguato livello di protezione, sono autorizzati se vengono effettuati sulla base e in conformità delle clausole contrattuali tipo approvate dalla Commissione europea.

L’autorizzazione è stata rilasciata dal Garante con il provvedimento n.3 del 10 aprile 2002, di imminente pubblicazione nella Gazzetta Ufficiale, che ha reso esecutiva la decisione della Commissione europea del 27 dicembre 2001 n. 2002/16/CE, con la quale l’adozione di tali clausole è stata ritenuta una garanzia sufficiente per la tutela della vita privata, dei diritti e delle libertà fondamentali delle persone. Con tale decisione la Commissione europea ha fatto un ulteriore passo avanti rispetto a quella adottata lo scorso luglio, quando ha approvato l’uso di analoghe clausole contrattuali standard per i trasferimenti di dati tra distinti titolari di trattamenti (decisione 2000/497/CE).

Le clausole contrattuali si affiancano alle disposizioni dell’art.28 della legge n.675 sul trasferimento dei dati personali all’estero e all’accordo del Safe Harbor sottoscritto dalla Ue con gli Stati Uniti.

Come avvenuto con la precedente autorizzazione del Garante (pubblicata sulla G.U. n.250 del 26.11.2001), riguardante le clausole contrattuali per l’export di dati tra aziende, l’obiettivo è, anche in questo caso, facilitare i flussi di dati verso Paesi, nei confronti dei quali sinora la Commissione ha ritenuto non esistere un livello di protezione sufficiente ai sensi della direttiva 95/46, senza attenuare la tutela dei diritti dei cittadini e consumatori in materia di protezione dei dati personali. Più precisamente, non garantiscono un sufficiente livello di protezione tutti i Paesi al di fuori dello spazio economico europeo, tranne Ungheria, Svizzera e Canada che sono stati oggetto di apposite decisioni con le quali si è riconosciuta l’adeguatezza della legislazione nazionale in materia di protezione dei dati.

Dal 3 aprile 2002, data di decorrenza della decisione n.3, è quindi lecito il trasferimento di dati personali dall’Italia verso un "responsabile" del trattamento situato in un paese terzo, che non assicuri un adeguato livello di protezione dei dati, purché il titolare ("l’azienda madre") con sede in Italia ed il responsabile (la filiale) nel paese terzo abbiano sottoscritto un contratto che incorpori le clausole in questione. Tali clausole, sottolinea il Garante, devono essere conoscibili anche dalle persone cui si riferiscono i dati e che chiedano di averne conoscenza. Così come deve essere fornita, agli interessati che lo richiedano, un’adeguata descrizione delle misure di sicurezza adottate.

L’utilizzazione delle clausole contrattuali tipo avviene su base volontaria, nel quadro di un accordo tra l’esportatore dei dati, con sede in Italia, e l’importatore situato in un paese terzo, il quale riceve i dati per effettuare il trattamento per conto del titolare - esportatore ed in conformità delle clausole stesse. Nulla vieta che rispetto alle garanzie minime introdotte dalle clausole tipo, i contraenti possano prevedere ulteriori tutele per le persone cui si riferiscono i dati.

Il contratto che regola il trasferimento non necessita di autorizzazione preventiva del Garante e non deve essere comunicato all’Autorità che può, però, chiederne copia e avere tutte le informazioni che ritiene necessarie.

In conformità alla normativa comunitaria e alla legge sulla privacy spetta, inoltre, al Garante il compito di svolgere controlli sulla liceità e correttezza dei trasferimenti di dati e delle operazioni di trattamento, nonché di adottare provvedimenti di blocco o divieto di trasferimento, nel caso rilevasse illeciti.

Se le parti, infine, in caso di controversia non risolta in via amichevole, scelgono di rivolgersi ad un organo diverso dal Garante o dall’autorità giudiziaria devono darne comunicazione all’Autorità.