Garante per la protezione
    dei dati personali

Newsletter

IMPRESE ITALIANE ED EXPORT DI DATI PERSONALI

Indagine del Garante su 50 multinazionali. I dati più trasferiti, quelli dei lavoratori e dei clienti

Sono i dati personali dei dipendenti l'oggetto prevalente dei trasferimenti di dati all'estero effettuati dalle società. Seguono, in misura minore, ma sempre rilevante, le informazioni relative a clienti, società concorrenti e fornitori. Di regola i flussi di dati sono effettuati dopo aver acquisito lo specifico consenso degli interessati. Quando la gestione delle risorse umane avviene negli Stati Uniti, in alcune ipotesi le società che "importano" i dati personali hanno aderito all'accordo del cosiddetto "Safe Harbor" ("Approdo sicuro"). Diffusa la tendenza di predisporre contratti, anche "multilaterali" nel caso di gruppi societari, da sottoporre al parere preventivo del Garante.

Questi in sintesi i primi risultati emersi dal monitoraggio effettuato dell'Autorità sul trasferimento dei dati all'estero da parte delle principali imprese italiane.

L'indagine a carattere conoscitivo, effettuata presso 50 tra le principali società e gruppi industriali che operano in Italia, ha preso in esame operazioni ed attività di esportazione di dati con particolare riguardo al tipo di garanzie adottate per tutelare i diritti degli interessati (cittadini, lavoratori, professionisti, imprenditori ed altre società). Obiettivo dell'indagine quello di verificare, dopo un esame preliminare del rispetto delle disposizioni nazionali e comunitarie da parte di alcune importanti società che avevano inviato comunicazioni o notificazioni sul trasferimento di dati all'estero, lo stato di attuazione delle disposizioni sui flussi di dati all'estero, anche in vista di un eventuale avvio di specifici accertamenti relativi a singole società.

Stati Uniti, (20%) Asia, (14%) Europa dell'Est (13%) sono le principali destinazioni geografiche dei trasferimenti di dati. Distaccati di poco America centro meridionale, Africa, Svizzera e Medio oriente (12%). Nel 40% dei casi, i dati personali oggetto di trasferimento all'estero riguardano principalmente dipendenti o collaboratori, nel 26% clienti e nel 21% fornitori o partner commerciali. I trasferimenti sono effettuati, per un 48% dei casi dopo aver acquisito il consenso degli interessati o per l'adempimento di obblighi contrattuali (33%). In alcune ipotesi (9%) di trasferimento di dati negli U.S.A., gli importatori dei dati (società capogruppo o comunque collegate o controllate) hanno aderito all'accordo sui principi del "Safe Harbor" o hanno prospettato tale possibilità per il futuro, dichiarandosi in genere disponibili a cooperare con le Autorità di vigilanza europee. Soltanto in un numero per ora limitato dei casi esaminati (5%), le società interpellate hanno utilizzato le clausole contrattuali standard indicate dalla Commissione europea, ma il dato è in continua evoluzione considerato che risulta sempre più frequente l'utilizzazione di tale strumento.

Nel 10% dei casi esaminati si è riscontrata l'adozione da parte del gruppo societario di una declaratoria sulla protezione dei dati (la cosiddetta "privacy policy") e di particolari misure di sicurezza e accorgimenti per la salvaguardia dei dati.

L'indagine si è incentrata dunque sull'analisi dei presupposti, delle finalità e modalità del trasferimento di dati all'estero, delle categorie di dati trasferiti e delle persone interessate, degli estremi e delle attività dei soggetti importatori, nonché degli strumenti utilizzati per la tutela dei dati personali in rapporto a ciascuna tipologia di trasferimento.

Va ricordato, infatti che il trasferimento dei dati personali da parte di una società o di una pubblica amministrazione europea è consentito, dalla normativa comunitaria ed italiana, solo se il livello di protezione garantito dal Paese di destinazione è adeguato. Si possono, invece, trasferire i dati verso Paesi che non garantiscano tale livello di protezione solo con il consenso degli interessati o sulla base di altri presupposti di liceità (esecuzione obblighi derivanti da un contratto,salvaguardia della vita e dell'incolumità di un terzo, investigazioni difensive etc. ) oppure con l'autorizzazione dell'Autorità per la privacy del Paese di partenza dei dati. Al di fuori di questi casi il trasferimento è vietato.