GLI SVILUPPI DEI TRASFERIMENTI TRANSFRONTALIERI DEI DATI PERSONALI DOPO L’ADOZIONE DELLE "STANDARD CONTRACTUAL CLAUSES"

di
Marco Bellabarba

 

L’importante adozione delle clausole contrattuali "Standard" da parte della Commissione europea nel giugno e nel dicembre del 2001 ha fatto sì che nell’Unione si verificasse una crescita sul piano della tutela internazionale dei soggetti interessati comunitari e, successivamente, si è reso necessario continuare con lo stesso approccio critico l’analisi degli sviluppi che riguardavano il flusso dei trasferimenti transfrontalieri. La Commissione europea e il Gruppo di lavoro ex art. 29 Dir. 95/46 hanno dovuto approfondire lo studio delle legislazioni di certi paesi dove, per motivi strettamente economici o per altri che, collegati ai problemi di sicurezza e terrorismo, sfiorano interessi puramente politici, è presente (o è richiesto) un notevole flusso di dati personali che trova la sua origine proprio nei territori dell’Unione europea, compresi i casi di circolazione di dati tra aziende facenti parte dello stesso gruppo multinazionale.

Non si deve dimenticare, infatti, che i principali motori della circolazione transfrontaliera dei dati (anche semplicemente all’interno dell’Unione) sono proprio gli interessi economici, di marketing e che consentono magari buone profilazioni dei clienti; insieme con quelli relativi alla sicurezza pubblica e alla prevenzione del terrorismo, affinché non accadano più eventi come quelli tragici dell’11 settembre 2001.

Come si leggerà nelle prossime pagine, a partire dal 2000 è stato approfondito il livello di tutela garantito in Argentina e nell’isola di Guernsey, mentre è iniziato più recentemente un importantissimo dialogo con il Governo degli Stati Uniti (che ha presentato non pochi punti di attrito) per discutere la richiesta statunitense di ottenere i dati dei passeggeri delle compagnie europee ed elaborarli in territorio USA. Da ultimo, è stato anche considerato un importante lavoro (svolto sempre dal Gruppo ex art. 29) sulle "binding corporate rules", ovvero norme specifiche che le aziende multinazionali (che hanno la base, o quantomeno un rappresentante, in uno degli stati membri) adottano per tutelare la privacy dei propri clienti o dipendenti, e che vengono approvate dalle Autorità di controllo nazionali. Queste, in pratica, sono da considerare come delle "norme di condotta" (art. 27 della Direttiva 95/46) che presentano però delle caratteristiche decisamente più particolari e sono sottoposte ad una attenta analisi e verifica, sia da parte del Gruppo di lavoro sia dalle Autorità nazionali.

LA PROTEZIONE DEI DATI IN ARGENTINA.

La Commissione europea ha adottato la Decisione del 30/6/2003 con cui stabilisce che il livello di protezione garantito nel paese sudamericano è considerato adeguato ai sensi della Direttiva 95/46.

Come in tutte le Decisioni il risultato finale si ottiene soprattutto in base alle Opinioni e ai documenti del Gruppo di lavoro. In questo caso, basta leggere i 19 Considerando dell’Atto della Commissione per comprendere che è stato fatto un ottimo lavoro di ricezione del contenuto dell’Opinione 4/2002 del Gruppo, dove si può leggere un esame completo della situazione giuridica argentina.

Nel preambolo della Decisione, dunque, si compie un rapido sunto dei punti più importanti del documento del Gruppo, facendo un chiaro riferimento a tutta la normativa vigente in Argentina e dividendola in "generale" e "settoriale". Ai fini della Decisione della Commissione si può notare che bastano le tre fonti principali della normativa "generale" — Costituzione (art. 43, § 3), Legge n. 25326 (del 4/10/2000) e Regolamento n. 1558/01 (del 3/12/2001) — per stabilire che in Argentina un trasferimento del dato personale di un soggetto comunitario non corre pericoli.

Appare senza dubbio interessante la previsione di una tutela della riservatezza fin dal testo costituzionale dove si prevede un ricorso giurisdizionale speciale, denominato "habeas data", da intendere come una sottocategoria della procedura prevista dalla costituzione per la tutela dei diritti costituzionali che (ed è questo un punto molto importante) eleva la tutela dei dati personali a diritto fondamentale.

In base a questo ricorso ogni individuo ha il diritto di prendere conoscenza del contenuto di tutti i dati che lo riguardano (diritto di accesso) e della finalità della raccolta e del loro trattamento, potendo conoscere anche il tipo di trattamento a cui le proprie informazioni personali sono state soggette (se sono archivi pubblici o privati). Di conseguenza, il soggetto interessato potrà anche richiedere la cancellazione, la correzione, la qualificazione dei dati come riservati o l’aggiornamento degli stessi. In base a questa previsione costituzionale, dunque, vengono inseriti nella normativa generale argentina dei principi fondamentali per la protezione dei dati personali e che, in sede europea, sono stati sempre considerati dei punti "chiave" per l’analisi dell’adeguatezza del livello di protezione offerto da un determinato paese.

La Legge ed il Regolamento che sono stati sopra richiamati non fanno altro che sviluppare ed approfondire le disposizioni costituzionali (introducendo ulteriori principi generali, gli obblighi del titolare del trattamento e la figura dell’Autorità di controllo), precisano le modalità d’applicazione della Legge e chiariscono i punti che potrebbero dar luogo a differenti interpretazioni.

E’ interessante notare come è stata definita l’applicazione della normativa argentina sui dati personali, che tutela il trattamento quando questo avviene (1) quando i dati sono stati raccolti in registri pubblici, oppure (2) quando sono inseriti in database privati, a meno che la raccolta non sia avvenuta per uno scopo puramente personale, ed infine quando (3) le informazioni raccolte, anche se per motivi personali e sempre da soggetti privati, sono destinate ad un trasferimento (o alla cessione) indipendentemente dal fatto che la circolazione dei rapporti o delle informazioni prodotte sia gratuita o a pagamento.

I testi della Costituzione e della Legge argentina precisano ulteriormente che, in caso di trattamento ad opera di soggetti privati, ai fini dell’applicazione della normativa "generale" i dati raccolti devono essere destinati a fornire rapporti informativi. Il corollario che se ne trae da questa specificazione testuale è che quando i dati non sono trattati per compiere i rapporti informativi, allora necessariamente si avrà che questi sono stati trattati per motivi prettamente personali.

E’ vero che le Autorità argentine assicurano che questa interpretazione viene seguita anche dai giudici argentini, ma ritengo che la questione sia abbastanza delicata quando non si riesce a conoscere in modo preciso e dettagliato la natura del "rapporto informativo". Si sostiene infatti che per i dati concernenti la situazione di salute del soggetto interessato o in caso di trattamento per fini di direct marketing, possono essere creati dei database anche senza la necessità di produrre rapporti informativi. E’ giusto pensare che i dati sulla salute dei soggetti interessati comunitari godano comunque di un livello di protezione maggiore, ma è anche vero che in base alla Direttiva 95/46 esiste la categoria dei "dati sensibili", che raccoglie un insieme di tipologie di dati ben più esteso rispetto al semplice dato sanitario, e allo stesso tempo non troverei sbagliato riflettere su che tipo di protezione riceve un trasferimento di dati avvenuto in base ad un investimento finanziario operato da un soggetto comunitario in Argentina e le cui informazioni non sono destinate a riempire un rapporto informativo. Il diritto di accesso sarebbe comunque garantito? Ed una cancellazione eventuale dei dati? E’ vero nelle pagine dell’Opinione del Gruppo di lavoro si precisa che esistono normative settoriali che contengono strumenti legali che disciplinano differenti situazioni specifiche (transazioni con le carte di credito, statistiche e operazioni bancarie) ma purtroppo nella stessa Opinione non risultano ulteriori approfondimenti riguardo la natura e la funzione del rapporto informativo, ed un’analisi più specifica sull’argomento avrebbe probabilmente chiarito eventuali dubbi.

Riguardo l’applicazione territoriale della Legge, c’è solo da ricordare che alcune disposizioni che riguardano la tutela generale dei soggetti interessati della Legge si applicano uniformemente a tutto il territorio nazionale, mentre altre disposizioni fanno una distinzione tra gli archivi che operano collegati in rete diffuse a livello intergiurisdizionale (ossia interprovinciale), nazionale ed internazionale (di competenza quindi della giurisdizione federale) e gli archivi che hanno un regime solo provinciale e sono sottoposti alla relativa giurisdizione, dove le province possono emanare disposizioni normative nelle dette materie.

Per quanto riguarda lo studio dei principi base della normativa argentina, il risultato che si ottiene è in gran parte positivo. Le disposizioni che garantiscono la proporzionalità, la qualità dei dati, la finalità della raccolta, la trasparenza e l’obbligo di informativa rispettano i contenuti presenti anche negli articoli di riferimento della Direttiva europea. Anche per quanto riguarda la sicurezza delle operazioni, i diritti di accesso, rettifica e opposizione, e per la disciplina di alcune tipologie di dati particolari (dati sensibili, dati ottenuti per fini di direct marketing e dati che possono determinare una decisione individuale automatizzata) il paese sudamericano offre un livello di protezione adeguato.

Solo per le restrizioni per gli ulteriori trasferimenti, il Gruppo ha giustamente sollevato qualche dubbio in merito alle eccezioni che permettono che il trasferimento avvenga nonostante il paese importatore non garantisca un livello di protezione adeguato. Alcune di queste, benché chiaramente specificate dalla Legge argentina, sono considerate troppo ampie, sempre alla luce di quanto precisato nel testo della Direttiva 95/46, ed è stato necessario operare un richiamo alle Autorità argentine affinché si preoccupassero di restringere il campo dei successivi trasferimenti autorizzati.

Sul fronte dei meccanismi che garantiscono l’applicazione della normativa, la struttura predisposta dalle fonti presenta un sistema simile a quello che troviamo nella Direttiva, quantomeno nei suoi tratti generali. La possibilità di comminare sanzioni amministrative e penali e la presenza di un’Autorità di supervisione con compiti espressamente dichiarati nella Legge sono elementi che presentano forti caratteri di deterrenza, nonostante il Gruppo di lavoro abbia sottolineato che la costituzione dell’Autorità in questione non goda ancora dell’indipendenza necessaria per i delicati compiti chiamata a svolgere, essendo i suoi membri (compreso il presidente) nominati dal Ministero della Giustizia e dei Diritti Umani dell’Argentina.

Il già ricordato rimedio dell’habeas data è un altro aspetto che, dal punto di vista cognitivo prima e giudiziale poi, consente al soggetto interessato di far valere totalmente i propri diritti verso il titolare del trattamento, sia per conoscere le basi su cui avviene il trattamento delle proprie informazioni, sia per compiere eventuali reclami o ricorsi davanti al giudice competente.

LA PROTEZIONE DEI DATI IN GUERNSEY.

Il 13 giugno 2003 il Gruppo di lavoro ha pubblicato l’Opinione 5/2003 sul livello di adeguatezza della normativa presente nell’Isola di Guernsey, che si trova nel Canale della Manica davanti al Golfo francese di St. Malo, e che insieme con l’isola di Jersey presentano una situazione politica particolare. Le due isole (chiamate isole del Canale) sono considerate possedimenti britannici (Crown dipendencies) ma godono di totale indipendenza, tranne per le relazioni internazionali che vedono la Gran Bretagna coinvolta. Al momento della domanda britannica per accedere all’Unione europea, per l’isola di Guernsey venne presa la decisione di estendere all’isola soltanto i privilegi del mercato comune europeo e della 4 libertà fondamentali, considerando l’isola un paese terzo a tutti gli effetti per le restanti disposizioni comunitarie.

Nel territorio dell’isola è presente una normativa in materia di privacy molto simile a quella britannica, sia per quanto riguarda l’Act inglese del 1984, a cui è seguito la Data protection Law del 1986 del Guernsey (poi emendata nel 2000 in vista dell’applicazione della Direttiva comunitaria), sia per il Data protection Act (UK) del 1998, che ha trovato la sua "riproduzione" nella Legge del 28 novembre 2001 (GU), entrata in vigore il primo agosto 2002.

A tutti gli effetti, il Guernsey rimane ancora un paese terzo per quanto riguarda il trasferimento transfrontaliero dei dati personali, anche se questo avviene dalla Gran Bretagna e i paesi godono di buone intese politico-giuridiche in tema di dati personali. Per permettere una semplificazione del trasferimento dall’Unione europea (e specialmente dalla Gran Bretagna che, si può immaginare, abbia propri interessi ad ottenere un miglior dialogo — soprattutto dal punto di vista commerciale — con i residenti dell’isola) di informazioni personali, si è iniziato uno studio sulla normativa presente nell’isola dello Stretto della Manica.

Il risultato dello studio compiuto dal Gruppo non poteva che essere positivo sul rispetto di tutti i principi fondamentali già ricordati nel paragrafo dedicato all’Argentina (contenuti e garanzie di applicazione) e richiamati dalla Direttiva comunitaria, anche alla luce delle caratteristiche simili che uniscono la normativa del Guernsey a quella britannica.

In conclusione, c’è solo da rilevare la semplicità del testo normativo che viene dato in allegato al documento del Gruppo, in cui figurano anche importanti definizioni di trattamento come quelle di "direct marketing" o di "trattamenti automatici di dati personali".

IL TRASFERIMENTO DEI PASSEGGERI DI COMPAGNIE AEREE COMUNITARIE IN U.S.A.

I fatti accaduti l’11 settembre 2001 a New York hanno costretto le Autorità statunitensi a predisporre immediatamente un pacchetto di provvedimenti normativi che permettessero agli uffici delle dogane USA di ricevere un flusso notevole ed immediato dei dati dei passeggeri che salivano a bordo di aerei di compagnie europee.

Sono senza dubbio chiare le difficoltà affrontate dal Governo statunitense per evitare che tragedie come quella vissuta nel 2001 succedano altre volte, e tutte le Istituzioni nazionali ed internazionali europee hanno compreso quanto fosse importante instaurare subito un dialogo che potesse favorire la cooperazione tra gli stati per la lotta al terrorismo. Contestualmente, però, è essenziale ricordarsi degli sforzi fatti in sede europea per garantire certezza del diritto e trasparenza nei rapporti tra gli individui: le direttive, la conseguente normativa vigente in ogni paese UE e la sua applicazione territoriale vanno rispettate affinché il cittadino europeo possa ricevere una tutela non solo a livello nazionale, ma anche internazionale.

In questo senso, occupano un certo rilievo le due Opioni del Gruppo di lavoro che, fin dai tempi del dialogo sui "Principi di Approdo Sicuro", ha potuto seguire con molta attenzione i lavori svolti in sede statunitense per la predisposizione di un framework normativo in grado di garantire al soggetto interessato comunitario una protezione di livello adeguato una volta che il dato varcasse il territorio USA, ed anche in questa circostanza si è ritenuto necessario compiere un’attenta analisi sul tipo di normativa che le Autorità statunitensi volevano adottare a titolo definitivo per ottenere i dati dei passeggeri comunitari nei loro database.

È ovvio che, sia nell’Opinione 6/2002 che nell’Opinione 4/2003, il testo normativo di riferimento rimane sempre la Direttiva 95/46 per la valutazione di ogni principio sul trattamento o richiesta di trasmissione messa in atto dagli USA, e dalla lettura delle pagine di questi due documenti è risultato presto chiaro che quanto deciso in sede legislativa e regolamentare dopo gli attentati terroristici alle Torri Gemelle era chiaramente contrario ad alcuni principi fondamentali così precisamente stabiliti dalla Direttiva.

L’Aviation and Transportation Security Act, adottato il 19 novembre 2001, la Riforma per l’aumento della sicurezza al confine ed i visti di entrata nel territorio del 14 maggio 2002 e la Legge Provvisoria (Interim Rule) del 25 giugno 2002, sono tra i principali atti normativi di un pacchetto denominato APIS (Advanced Passenger Information System) e presentano un sistema complesso di trasferimento dei dati (sia per i meccanismi che per le tipologie di dati trasmessi) che, una volta all’esame delle Istituzioni comunitarie (soprattutto del Gruppo di lavoro), è stato prontamente criticato.

Il Gruppo vuole naturalmente conoscere a fondo le garanzie spettanti al soggetto interessato UE una volta che il suo dato è stato trasmesso dalla compagnia con cui ha viaggiato ed è giunto nei database in territorio USA, dove spiega i propri effetti la normativa vigente nel paese americano, e non la Direttiva 95/46. Per questo motivo, l’art. 25 della 95/46 prevede che il trasferimento dei dati da un territorio UE ad un paese terzo (in questo caso verso gli USA e, al momento, a prescindere dai casi generali di eccezione — art. 26 Dir. —) può aver luogo solo se il paese terzo garantisce un livello di protezione adeguato per il soggetto interessato.

Lo schema di APIS, fin dalla prima analisi dell’ottobre 2002, non predisponeva un quadro normativo in grado di dare le giuste certezze e la necessaria trasparenza riguardo il trattamento che si doveva compiere sui dati dei passeggeri, sui dati effettivamente elaborati e quali di questi potevano riempire database di soggetti terzi in base al FOIA (Freedom of Information Act), la Legge statunitense per il trattamento dei dati in mano agli uffici governativi. Negli incontri che si sono susseguiti tra esponenti USA e rappresentanti del Gruppo, è stato possibile verificare qualche miglioramento su importanti aspetti tecnici del pacchetto APIS, anche se in base agli ultimi Undertakings del 22 maggio 2003 e all’Opinione del giugno 2003 risulta necessario svolgere ancora delle revisioni su alcuni punti chiave.

Fin dalla definizione delle tipologie di dati che dovevano essere trasferite si sono succedute delle importanti modifiche che limitassero la quantità delle informazioni comunicate. Certamente il Gruppo non poteva non respingere immediatamente la proposta di ottenere anche i dati dei passeggeri che non fossero diretti negli USA o non li lasciassero per tornare in Europa, oltre a quelli che ovviamente vedevano il territorio statunitense come destinazione, transito o origine.

Dunque, le informazioni che in teoria sarebbero dovute giungere nei database statunitensi dovevano essere di due tipi: uno di carattere generale (generalità del passeggero, numero del passaporto, indirizzo in USA ed ogni altro dato considerato necessario), l’altro più specifico, riguardante i Passenger Name Records (PNR), che consiste in un insieme di dati inseriti negli archivi storici dei sistemi di prenotazione delle compagnie aeree, capaci di poter definire ancora meglio la vita privata del passeggero, (dati come il numero di telefono, numero di prenotazione, il nome dell’agenzia che ha emesso il biglietto), comprese informazioni di carattere più delicato, come quelle che si riferiscono alla carta di credito e al relativo utilizzo e ad altri dati sensibili.

Con lo sviluppo del dialogo UE-USA, nel Joint Statement del febbraio 2003 e, soprattutto, negli "impegni" stilati nel maggio successivo si nota che nell’appendice "B" di questi ultimi documento vi sia una lista ancor più specifica di tutti i dati che, raccolti tra i PNR, dovevano essere inviati dalle compagnie europee oltreoceano. Anche rispetto a questi, il Gruppo è giustamente intervenuto per delimitare ancor di più la quantità di dati richiesti, escludendo categorie poco definite (nella lista c’erano anche i dati che si riferivano alle "General remarks", e cioè alle considerazioni generali sul passeggero) o inutili o estremamente personali (numero di posto a sedere, o addirittura l’e-mail personale).

Ecco quindi come risalta immediatamente una prima grande lacuna della normativa statunitense: l’inosservanza dell’importante principio di proporzionalità che si considera uno dei pilastri importanti (insieme con l’informativa e l’accesso, che analizzeremo in seguito) della tutela della privacy. È vero che dall’altra parte dell’oceano si lavora per evitare catastrofi e vittime innocenti e che il conflitto tra privacy e sicurezza è (comunque da un punto di vista generale e non rispetto solo al caso USA) una difficile questione da risolvere. Voglio però pensare che una via d’uscita potrebbe essere anzitutto l’instaurazione di un miglior dialogo tra le parti interessate e, successivamente, la predisposizione di una legislazione chiara ed equilibrata, in special modo quando si vanno a varcare confini e territori non propri. Preferisco allora non pensare a quanto tempo si sarebbe risparmiato se le Autorità statunitensi avessero chiesto l’immediata collaborazione delle Istituzioni europee per risolvere il problema della trasmissione dei dati dei passeggeri nei data base statunitensi. Come affermavo prima, se esistono delle normative è perché è necessario che si rispettino i diritti degli individui e, soprattutto, la loro dignità, e come vedremo a poco servirà richiamare le eccezioni previste dall’art. 26 della Direttiva per ottenere per vie traverse l’invio delle informazioni.

Inoltre, è più che giusto pensare che una quantità così vasta di dati trasmessi potrebbe causare seri problemi nei meccanismi di lavoro già consolidati negli uffici delle compagnie europee, abituati a trattare solo i dati necessari, comportando così eventuali problemi organizzativi per affrontare maggiori e delicate competenze, anche con la collaborazione di personale altamente qualificato .

Tornando all’analisi tecnica del trasferimento dei dati, c’è da affermare che le pressioni del Gruppo di lavoro hanno prodotto un buon risultato per quanto riguarda i dati sensibili. Questi, come ben si sa, si riferiscono a categorie molto delicate di informazioni, che potrebbero anche essere inserite tra i PNR per ovvie ragioni (è il caso dei pasti consumati in aereo).

Il Gruppo, oltre a ricordare che in base alla Direttiva il trattamento dei dati sensibili avviene dietro autorizzazione dell’Autorità di controllo nazionale, è riuscito ad operare le giuste pressioni sugli Stati Uniti, tanto che negli Undertakings del maggio 2003 si è stabilito che i dati non verranno utilizzati dai servizi doganali statunitensi per identificare un determinato soggetto fin quando non saranno adottati tutti i mezzi di garanzia per il passeggero.

Tra tutte le informazioni che potrebbero giungere nei database degli uffici doganali in USA i dati che fanno parte dei PNR, come si avrà ben capito, sono quelli che comportano più problemi. Anzitutto, questi dovrebbero giungere negli archivi dei due uffici descritti negli Undertakings (CBP — uffici doganali - e TSA — uffici per la sicurezza dei trasporti —), grazie ad un sistema automatico di raccolta e di elaborazione (prescreening) denominato CAPPS II, non prima di 48 ore dalla partenza, nonostante alcune delle informazioni possono facilmente essere ottenute al controllo doganale una volta in territorio USA. Così facendo il Gruppo ha definito l’astratta richiesta statunitense di ottenere i dati prima della partenza (o quantomeno entro 15 minuti dal decollo), mentre ancora deve essere chiarito a sufficienza con chi potrebbero essere condivise le informazioni inviate, e chi potrà accedere alle banche dati, nonostante le rassicurazioni date negli Undertakings al paragrafo 25 sui dati trattati dalle dogane.

Dunque, come era già comprensibile, sarà necessaria una Decisione della Commissione per stabilire le modalità con cui la trasmissione dei dati dei passeggeri che volano con compagnie comunitarie riceve un livello di protezione adeguato e per specificare che tipo di normativa si applica, compresa la selezione delle varie tipologie di dati trasmissibili e la durata della memorizzazione.

L’atto della Commissione dovrà essere provvisto della copertura di tutti i principi fondamentali e tecnici (compresa la revisione delle misure di sicurezza per vietare accessi non autorizzati o la valutazione di eventuali contratti di sub-appalto) raccolti nella Direttiva comunitaria, adottando perciò un testo dal contenuto sensibilmente delicato perché dovrà affrontare una serie di equilibri e questioni senza dubbio rilevanti, una volta che si è stabilito ufficialmente che le eccezioni previste dalla Direttiva non possono essere sfruttate per ottenere la ricezione transfrontaliera dei dati. Già la causa del trasferimento transfrontaliero (terrorismo) presenta determinati problemi di individuazione e delimitazione, tanto che sarà importante specificare nel documento, anche grazie alle indicazioni statunitensi, una casistica di possibili situazioni in grado di minacciare seriamente la sicurezza pubblica e una lista delle Autorità riceventi le informazioni e dei trasferimenti successivi.

I principi di accesso, di proporzionalità rispetto al tipo di trattamento e ai suoi fini e rettifica di dati sbagliati, insieme con il diritto ad avere l’informativa (da dare al momento della raccolta), devono trovare una loro completa attuazione nel documento d’intesa finale, e i soggetti interessati devono poter esercitare i loro diritti in territorio USA come tutti gli altri cittadini statunitensi, senza trovarsi davanti a situazioni di difficoltà in base alle disposizioni del FOIA. Anche per l’enforcement di quanto stabilito nella Decisione sarà importante stabilire le giuste misure e le sanzioni più appropriate, garantendo verifiche periodiche in loco.

Inoltre, nell’Opinione 6/2002 del Gruppo si è compiuto un lavoro decisamente importante ai fini di una maggiore certezza per i presupposti del trasferimento in esame, e si è precisato che né il consenso reso in modo inequivocabile dal soggetto interessato (art. 26, par.l, lett.a) né la necessità di trasmettere i dati per rispettare eventuali clausole di un contratto (lett. b) possono essere invocate per permettere l’invio dei dati. Lo stesso discorso vale per quanto riguarda la necessità di salvaguardare un pubblico interesse (lett. d) o la protezione di un interesse vitale del soggetto interessato (lett. e).

Sul fronte del metodo per richiedere il trasferimento si è verificato un altro scontro tra le due parti, dove il parere del Gruppo al riguardo è stato a mio avviso più che opportuno.

Per i delicati motivi per cui si richiedevano i dati (protezione da atti terroristici), per la quantità delle informazioni richieste (che è andata scemando proposta dopo proposta) e per una migliore individuazione di eventuali responsabilità, al Gruppo di lavoro era sembrato più giusto applicare un sistema "push", dove i dati sono selezionati e inviati dalle compagnie aeree, comunitarie, rispetto ad un sistema "pull", inizialmente proposto dagli USA negli Undertakings ed inserito nel già menzionato CAPPS II, in cui le Autorità statunitensi avevano direttamente un accesso on-line nei sistemi di prenotazione delle compagnie. In questo modo non sarebbe più necessario applicare determinati articoli della Direttiva alle Autorità USA perché, di fatto, la raccolta avverrebbe da titolari comunitari.

il Gruppo non ha comunque mancato di sollevare qualche dubbio in merito alla sua capacità di raccogliere informazioni personali e, almeno a mio avviso, il concetto importante che si vuole sottolineare nei pareri pubblicati è che non si vuole consentire all’amministrazione statunitense di esercitare poteri che sarebbero addirittura maggiori di quelli di cui dispongono i giudici comunitari o le Autorità che in Europa si occupano di immigrazione e di protezione della sicurezza e che cercano di farlo con successo. Il controllo su circa 11 milioni di passeggeri che raggiungono annualmente gli Stati Uniti deve essere eseguito con le massime garanzie, soprattutto da un punto di vista dell’applicazione territoriale delle normative.

In questo senso è più che giusto pensare che bisognerebbe introdurre un discorso di cooperazione giudiziaria e di polizia, in base anche al terzo pilastro del diritto comunitario. Sono convinto che le Istituzioni comunitarie sono più che disposte a fare la propria parte, ma in questo specifico caso non si può prescindere dalla predisposizione di una tutela adeguata per il cittadino europeo, anche e soprattutto per gli anni avvenire. Ne è la prova la Risoluzione del 15 marzo 2003 del Parlamento europeo sulla questione della trasmissione sistematica dei dati dei passeggeri verso gli USA, adottata per ribadire un dissenso verso il framework normativo e regolamentare presentato dal Governo statunitense.

Attualmente, dunque, la situazione è abbastanza complessa, tanto che si può riconoscere la preoccupazione delle Istituzioni comunitarie verso l’incertezza che accompagna l’intero dialogo sulla questione tra UE e USA specialmente quando, tuttora, non risulta chiara la quantità e le tipologie di informazioni personali che di fatto raggiungono archivi statunitensi.

LE BINDING CORPORATE RULES

È ormai pacifico che la circolazione nazionale ed internazionale dei dati personali raggiunge notevoli dimensioni quando le aziende, divenute multinazionali, hanno bisogno di scambiarsi le informazioni sui clienti o sui propri dipendenti.

Già l’adozione dei due tipi di clausole contrattuali standard aveva contribuito a fare chiarezza sui meccanismi di trasferimento transfrontaliero dei dati personali, garantendo così una protezione di livello adeguato in base all’art. 26, par. 2, della Direttiva. Di conseguenza, la crescita degli scambi di dati tra gruppi multinazionali di aziende e la necessità di trovare soluzioni che potessero rendere ancora più fluido il sistema di circolazione delle informazioni ha portato il Gruppo di lavoro ad operare una profonda riflessione su un’altra importante alternativa, sempre in base all’art. 26, par. 2, della 95/46: le binding corporate rules.

Non sono però da dimenticare gli sforzi compiuti in sede comunitaria per la difficile predisposizione delle standard contractual clauses, tanto che le binding corporate rules potrebbero risultare anche un buon documento di accompagnamento "interno" della società che ha raccolto i dati con le clausole contrattuali (anche grazie alla loro completezza) e che li sta per trasmettere in un paese terzo dove risiede un altro membro del gruppo, specialmente se si verificassero eventuali e futuri trasferimenti successivi (onward transfers).

Al riguardo, un’indagine compiuta dal Garante per la protezione dei dati personali terminata nel marzo 2003 potrebbe essere utile per comprendere le modalità di invio dei dati fuori dall’UE e le difficoltà che si possono incontrare in base ai mezzi utilizzati. Dalle pagine di questa ricerca risulta che tra 42 aziende sondate, ben 36 trasmettono dati all’estero (l’85,7 %), ma solo 3 di queste utilizzano le Clausole contrattuali tipo per compiere la trasmissione transfrontaliera, mentre 30 aziende hanno scelto la via più semplice del consenso, oppure l’esecuzione di obblighi contrattuali (18).

Stabilire nuove garanzie per semplificare ancor di più il dialogo tra gruppi di aziende multinazionali, dove una o più di queste (tra cui eventualmente anche l’azienda "madre" — headquarters) risiede e opera in territorio comunitario, può rendere più semplice la predisposizione di una tutela adeguata per il soggetto interessato e un aumento della circolazione dei dati tra le società. Anche in questo caso, ovviamente, sarà necessario preparare il campo per una nuova Decisione della Commissione, che dovrà stabilire le regole da inserire nelle binding corporate rules per rispettare i principi fondamentali per la privacy del soggetto, compresi i sistemi di garanzie di applicazione (verifica — audit — e possibilità di ricorrere davanti agli organi competenti) senza dimenticare che, in sostanza, le binding corporate rules troveranno la loro fonte primaria nella dichiarazione unilaterale della azienda che è in cima al gruppo multinazionale, in cui dovranno essere rispettati i principi primi (inclusi nella Decisione della Commissione) della tutela della privacy e offerte tutte le garanzie adeguate secondo la Direttiva.

È anzitutto importante definire le binding corporate rules, sia da un punto di vista applicativo, sia da quello sostanziale, visto anche il concetto ampio di "garanzie adeguate". In effetti, gli sviluppi ottenuti in materia di protezione transfrontaliera dei dati personali e le intese per favorire la crescita degli accordi contrattuali in questa materia non possono essere dimenticati, ed è più che giusto pensare che le binding corporate rules si applichino quando non sia possibile inviare i dati con altri schemi normativi. Allo stesso tempo, bisogna fare attenzione alla comparazione tra le binding corporate rules e le norme di condotta che un gruppo di aziende si da (ex art. 26 della Direttiva).

Si potrebbe dunque vedere una certa somiglianza tra i due complessi normativi, senza dimenticare però che le norme di condotta, sostanzialmente, sono un insieme di regole professionali in grado di consentire l’applicazione della normativa nazionale in uno specifico settore, mentre le binding corporate rules hanno il delicato obiettivo di attuare i principi fondamentali della Direttiva, ricevendo anche una giusta analisi da parte delle Autorità nazionali di controllo per la sua futura autorizzazione e avendo (in teoria) il soggetto interessato al centro di ciascuna regola. Quindi, quanto stabilito nelle binding corporate rules di un gruppo di aziende non avrebbe uno spiegamento solo all’interno del gruppo, ma necessariamente troverebbe l’importante "occhio vigile" di soggetti terzi.

Non sarebbe dunque possibile comprendere nelle regole di condotta ex art. 27 della Dir. 95/46 l’applicazione integrale dei principi della Direttiva e della normativa nazionale (come il diritto all’informativa, l’accesso, le misure di sicurezza, compreso il caso della raccolta di dati da parte di aziende che utilizzano solo mezzi elettronici situati in territorio UE) e, contestualmente, ottenere che il trattamento continui in modo efficace dopo il trasferimento in luoghi dove non necessariamente sono in vigore normative a tutela della privacy.

Una questione importante da menzionare riguarda i trasferimenti successivi che può effettuare un’azienda che è stabilita in un paese terzo. Come già ricordato sopra, in questo caso le clausole contrattuali tipo possono ricoprire un ruolo fondamentale per una tutela adeguata del soggetto interessato, anche se c’è da sottolineare che sarà sufficiente il consenso inequivocabile o, in altri casi, che l’interessato abbia avuto la facoltà di opporsi al trasferimento successivo. In ogni modo bisognerà informarlo, prima della sua decisione, sui motivi del trasferimento in questione, sul soggetto esportatore dall’Unione europea e sui soggetti che potrebbero ricevere i suoi dati in futuro, specialmente quando questi non sono vincolati dalle binding corporate rules.

Prima di stabilire se le binding corporate rules di un determinato gruppo aziendale possano considerarsi garanti di un livello di protezione adeguata, sarà indispensabile esaminare anche il pacchetto di regole che consiste nell’applicazione sostanziale dei principi della Direttiva e, soprattutto, nelle garanzie di applicazione dei principi. Predisporre un quadro normativo di questo tipo che possa tutelare il soggetto interessato e i suoi dati nella circolazione da azienda a azienda potrebbe risultare più che fattibile, una volta considerati alcuni nodi fondamentali già presenti nelle clausole contrattuali tipo.

La considerazione del soggetto interessato come terzo beneficiario, il diritto a presentare ricorsi davanti ai soggetti competenti, la previsione di sanzioni in caso di riconoscimento di responsabilità della società e i meccanismi di verifica (interna o esterna) sono aspetti considerati spesso nelle precedenti Decisioni della Commissione, ma che in ogni caso sono rilevanti per fornire le garanzie adeguate richieste dalla normativa europea.

Inoltre, le binding corporate rules dovranno facilitare la cooperazione tra le aziende coinvolte nel gruppo, permettendo eventuali aggiornamenti nella lista dei membri o l’interpretazione di alcuni passaggi regolati in modo troppo dettagliato o complesso, o prevedendo che ogni membro dovrà denunciare che, per via della legge applicabile nel paese dove risiede, questo non può rispettare integralmente quanto deciso a livello internazionale per la tutela del soggetto interessato.

Quanto deciso nelle binding corporate rules rimane comunque un’attività di self-regulation ma, da quanto scritto finora, appare chiaro che sarà più che complesso il lavoro per redigere un sistema normativo in grado di soddisfare le richieste della Direttiva. La cooperazione con l’Autorità nazionale di controllo avrà il suo peso in questo senso, e le sue Raccomandazioni dovranno influire sulla redazione finale del documento interno delle aziende, altrimenti potrebbe essere a rischio l’autorizzazione che consentirebbe un trasferimento sicuro dei dati fuori dall’UE.

È dunque giusto ritenere che l’adozione delle binding corporate rules possa semplificare l’applicazione dell’art. 26 della Direttiva, nonostante si sia visto che la predisposizione di un pacchetto normativo di questo tipo richieda molti sforzi e, soprattutto, una visione matura e profonda del significato di tutela della privacy e del soggetto i cui dati vengono trattati (continuando sullo stesso filone delle clausole contrattuali standard), anche per garantirgli un’adeguata trasparenza rispetto alle operazioni di trattamento dei suoi dati.

Infine, è importante ricordare che nel documento del Gruppo di lavoro non vi è alcuna menzione riguardo il trattamento dei dati sensibili, nonostante questi possano essere oggetto di trattamento/trasferimento soprattutto quando riguardano dati dei dipendenti. L’applicazione integrale dei principi fondamentali della Direttiva dovrebbe comunque garantire l’adeguata protezione anche per questa tipologia di informazioni, soprattutto se si pensa che queste possono giungere in territori extracomunitari sprovvisti totalmente di legislazione in materia di dati personali.

 

NOTE

  1. Anche il trasferimento transfrontaliero dei dati dei dipendenti costituisce una buona percentuale delle informazioni che circolano tra le varie aziende multinazionali, ma per certi aspetti è possibile ricondurre questa tipologia di trasferimento in quella più generale dei trasferimenti "economici" messi in atto dalle aziende
  2. A meno che, come viene precisato in ogni Decisione sull’adeguatezza di un paese terzo, l’Autorità competente del paese in questione abbia constatato che il destinatario non rispetta le norme applicabili relative alla protezione, oppure sia fortemente probabile una violazione delle norme relative alla protezione e le Autorità comunitarie abbiano motivi ragionevoli di ritenere che le Autorità competenti argentine non adottino misure adeguate per risolvere il caso in questione, oppure la continuazione del trasferimento comporti un rischio imminente per i soggetti interessati (art. 3, § 1, lett. a) e b))
  3. L’articolo in questione non concerne la segretezza delle fonti d’informazione giornalistica. La segretezza della fonte giornalistica (a fronte di una possibile richiesta del soggetto interessato) viene comunque considerata tra i diritti fondamentali della libertà di stampa, e il concetto viene anche ribadito nella Legge 25326
  4. Il documento di riferimento per compiere lo studio del livello di adeguatezza presente in un paese terzo è il numero WP 12 del 24 luglio 1998
  5. Nel testo dell’Opinione si riproduce testualmente l’art. 12.1 della Legge, contestando le eccezioni che consentivano il trasferimento di dati sanitari (se necessario per la salute del paziente o per un’indagine su malattie che potrebbero causare epidemie), di dati che si riferiscono a operazioni bancarie o finanziarie e di dati il cui trasferimento avviene a seguito di accordi internazionali firmati dal Governo argentino
  6. Per quanto riguarda la procedura relativa al ricorso interessato dal soggetto interessato, non c’è alcuna disposizione che disciplina la materia, in quanto è stabilito che si applicano le norme generali in materia di responsabilità previste dalle leggi civili argentine
  7. La Decisione sull’adeguatezza, a differenza del caso argentino, non è stata ancora adottata ufficialmente
  8. La Gran Bretagna potrà comunque estendere all’isola di Guernsey i protocolli adottati sull’Autorità di controllo nazionale e, soprattutto, sul trasferimento transfrontaliero, garantendo da subito una maggior quantità di circolazione transfrontaliera tra i due territori
  9. Sono quei trattamenti che avvengono in modo automatico e permettono al titolare di eseguire una valutazione (le cosiddette "decisioni automatizzate") in base a tutte le informazioni che si ricevono, anche in contesti delicati come la condotta nei luoghi di lavoro o la solvibilità del soggetto interessato
  10. L’efficacia di questi provvedimenti si è estesa anche ad altri paesi, come l’Australi, il Canada, il Messico, ma anche la Gran Bretagna ha scelto di concludere un accordo specifico con gli USA
  11. Da consultare insieme con l’Immigration and Nationality Act.
  12. Nel caso in cui fosse avvenuta la trasmissione di dati sensibili da parte della compagnia aerea, l’elaborazione di quei dati potrà avvenire solo dietro autorizzazione del Deputy Commissioner degli uffici doganali statunitensi, una volta notificata l’autorizzazione alle Istituzioni comunitarie
  13. Customs and Border Protection
  14. Transportation Security Administration
  15. La proposta statunitense era di 72 ore
  16. Neanche il periodo di ritenzione dei dati risulta estremamente chiaro, nonostante il Gruppo abbia precisato che la proposta statunitense di 7 o 8 anni risulta sproporzionata rispetto al fine per cui avviene la raccolta
  17. Si veda, come schema di riferimento, il testo della Decisione sui "Safe Harbor Principles".
  18. Si veda anche il paragrafo 6 del Joint Statement
  19. Nella normativa predisposta non vi è menzione della richiesta del consenso per la trasmissione dei dati, ricordando che il consenso, ai sensi della 95/46, viene dato in modo libero, specifico e, soprattutto, dietro un’adeguata informativa (la Decisione della Commissione dovrà precisare che andranno rispettati gli artt. 10 e 11 della Direttiva)
  20. È difficile pensare che una trasmissione che comprende una così grande quantità di dati possa essere considerata necessaria per l’attuazione di un contratto, specialmente quando alcuni di questi risultano superflui
  21. In questo caso, da un lato non risulta chiara la specificazione di quale "necessità" e, dall’altro, non è accettabile che una decisione unilaterale in merito presa da un paese terzo permetta una trasmissione di "routine".
  22. Nell’ultima ipotesi, non si comprende come possa essere considerata la tutela dell’interesse vitale del soggetto interessato comunitario per il trasferimento dei suoi dati in USA per ragioni di sicurezza quando, in teoria, la richiesta di invio avviene proprio per conoscere se quel determinato passeggero rappresenta un sostanziale pericolo in territorio statunitense
  23. Almeno fin quando non verrà approvato un meccanismo in grado di permettere alle compagnie di inviare tutti i dati necessari agli uffici in USA. Il meccanismo di "push" e "pull" rimane comunque molto complesso da definire, si veda anche il punto 12 degli Undertakings
  24. L’1/8/2003 è stata comunque predisposta una nuova versione del CAPPS II, in base anche ai pareri istituzionali ricevuti dal TSA e dal DHS (Dipartimento di sicurezza nazionale)
  25. Documento adottato il 3 giugno 2003
  26. Anche verso aziende che possono non far parte dello stesso gruppo multinazionale
  27. L’iniziale numero delle società contattate era 52, ma dieci di queste non hanno fornito risposte
  28. Un’estensione "esagerata" dei membri del gruppo in paesi extraeuropei tutti diversi tra loro potrebbe già dare adito a dubbi sulla sicurezza dei trasferimenti, per via della palese difficoltà di adozione di un complesso di regole coerenti tra loro. Anche il semplice significato di corporate group potrebbe variare da paese a paese, con l’importante conseguenza riguardo la difficoltà di applicazione e di definizione delle corporate rules. Proprio per questo motivo sarà importante verificare che le binding corporate rules siano sostanzialmente osservate da tutti i soggetti che lavorano nelle società (dai dirigenti ai più semplici dipendenti, fino a considerare anche rapporti di sub-appalto per certe attività delle aziende). D’altronde anche il Gruppo di lavoro di Bruxelles riconosce che ciò che conta sostanzialmente è garantire la tutela del soggetto interessato fuori dall’UE, essendo già presenti le Autorità di controllo nazionali negli stati membri per garantire la tutela degli interessati
  29. Nel documento del Gruppo di lavoro si ricorda anche quanto sia importante specificare i diritti a capo del soggetto interessato in modo estremamente trasparente
  30. Può essere fatto semplicemente aggiungendo una clausola che stabilisce che il soggetto è il "terzo beneficiario" del rapporto tra la società importatrice ed esportatrice
  31. Il Gruppo di lavoro specifica nel suo documento che sarebbe importante garantire un ricorso sia davanti l’Autorità di controllo nazionale, sia davanti il giudice competente, considerato più appropriato in caso di risarcimento dei danni.
  32. Il meccanismo per l’individuazione della responsabilità funziona come segue: il gruppo multinazionale risponderà al ricorso presentato dal soggetto interessato con la società "madre" nel caso in cui questa risieda in UE, altrimenti con una propria società delegata. Il soggetto interessato avrà dunque diritto a far comparire in giudizio il rappresentante del gruppo non solo se le corporate rules non venissero rispettate da società terze, ma anche nel caso in cui l’interessato non si trovasse soddisfatto del sistema di comparizione semplicemente davanti l’Autorità di controllo nazionale. Inoltre, l’onere della prova sarà a carico della società chiamata in giudizio, la quale dovrà dimostrare che l’azienda del corporate group che opera fuori dall’UE non è responsabile delle violazioni delle rules.
  33. Gli audits, se operati da soggetti esterni, devono avvenire nel rispetto delle norme che tutelano il segreto aziendale.