Le clausole contrattuali tipo per il trasferimento dei dati personali all’estero

di
Mariapaola Berlingieri
(consulente giuridico del sito www.privacy.it)

 

La direttiva 95/46/CE e la legge 31 dicembre 1996 n. 675, relative alla tutela dei dati personali, al di là delle ipotesi di trattamento e comunicazione delle informazioni a carattere personale, disciplinano anche il trasferimento dei dati verso Paesi esteri.

La legge italiana, in particolare, distingue il caso in cui il trasferimento riguardi dati comuni (in questo caso vengono presi in considerazione i trasferimenti verso Paesi non facenti parte dell’Unione Europea), da quello in cui si trasferiscano dati sensibili (ipotesi differente: particolari cautele dovranno essere adottate anche all’interno dell’Unione). Gli Stati Membri, infatti, in virtù della citata direttiva, garantiscono una tutela minima per quanto riguarda i dati comuni, sia pure nell’ambito delle diverse previsioni normative.

La direttiva europea prevede che il trasferimento dei dati personali al di fuori dell’Unione possa avvenire solo se, da parte del paese che riceve le informazioni, è garantita una tutela "adeguata".

Laddove la Commissione constatasse che gli Stati terzi non garantiscano un livello di protezione adeguato, gli Stati Membri potrebbero adottare tutte le misure necessarie per impedire il trasferimento, con il conseguente rischio di paralizzare le attività commerciali (e non solo) con il resto del mondo.

Proprio per questi motivi, solo pochi mesi fa era stato concluso un accordo tra l’Unione Europea e gli Stati Uniti d’America, noto col nome di "Safe Harbor", per garantire, attraverso un sistema di adesione volontaria e di autoregolamentazione, un livello minimo di protezione anche oltreoceano.

Secondo l’accordo Safe Harbor, infatti, il livello di protezione offerto dalle organizzazioni statunitensi viene considerato adeguato, qualora queste ultime si conformino ai Princìpi ed alle FAQ facenti parte integrante dell’accordo.

Le organizzazioni che aderiscono devono rendere pubbliche le loro politiche in materia di riservatezza e sono sottoposte all’autorità della Federal Trade Commission o di altri organismi istituiti con legge, i quali sono chiamati ad esaminare le denunce di terzi e ad imporre la cessazione di prassi sleali e fraudolente, nonché a disporre il risarcimento dei soggetti danneggiati a seguito del mancato rispetto delle regole.

Anche in questo caso, le Autorità Garanti dei vari Paesi Membri hanno il potere di tutelare gli interessati sospendendo i flussi dei dati diretti all’organizzazione che ha autocertificato la sua adesione: ciò può accadere tanto nei casi in cui sia stata accertata la violazione dei principi applicati in conformità alle FAQ, quanto nel caso in cui ci sia un’alta probabilità della violazione, o ci siano ragionevoli motivi per ritenere che l’organizzazione non stia adottando o non adotterà misure adeguate e tempestive per risolvere un caso concreto, o la continuazione del trasferimento potrebbe cagionare un rischio imminente di gravi danni per gli interessati e le Autorità abbiano fatto il possibile per informare l’organizzazione e darle la possibilità di replicare.

Qualora lo stato terzo non garantisse tutela adeguata, secondo la direttiva 95/46/CE, è necessario, affinché il trasferimento sia legittimo, che ricorra almeno una delle seguenti condizioni:

  • La persona interessata abbia manifestato il proprio consenso in maniera espressa ed inequivocabile al trasferimento (il consenso non può, pertanto, assolutamente coincidere con un generico consenso al trattamento dei dati);

  • Il trasferimento sia necessario per l’esecuzione di un contratto di cui sia parte l’interessato, o per l’esecuzione di misure precontrattuali messe in atto a richiesta di quest’ultimo;

  • in base alla legge, per la salvaguardia di un interesse pubblico rilevante;

  • Il trasferimento sia necessario per contestare, esercitare o difendere un diritto in sede giudiziaria;

  • I dati siano reperibili su pubblici registri.

E’ anche possibile, però, che gli Stati Membri (anzi le Autorità statali designate alla protezione dei dati personali) autorizzino il trasferimento dei dati o una categoria di trasferimenti "qualora il responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi".

Tanto la legge italiana, recante previsioni press’a poco analoghe, per il trasferimento dei dati comuni, quanto la direttiva europea, prevedono che le "garanzie sufficienti" affinché l’Autorità competente (nel nostro caso, il Garante) possa dare la propria autorizzazione al trasferimento all’estero dei dati, possono risultare da clausole contrattuali appropriate.

In particolare, la Commissione può valutare l’adeguatezza di alcune clausole contrattuali tipo, rendendo pubblico il proprio parere con una decisione. In caso di valutazione positiva, gli Stati Membri adotteranno le misure necessarie per conformarsi alla decisione della Commissione.

Nei giorni scorsi (vds. Newsletter 11 giugno 2001) la Commissione delle Comunità Europee ha formulato un parere su una clausola contrattuale tipo, che sarà applicata a partire dal 3 settembre 2001.

L’inserimento di simili clausole contrattuali all’interno di un contratto, permetterà di ottenere un’autorizzazione dall’Autorità competente per il trasferimento verso un paese terzo che non offre tutela adeguata, evitando così ai titolari del trattamento di raccogliere il consenso specifico delle persone interessate, in mancanza delle altre condizioni sopra elencate.

Si tratta, insomma, di una possibilità in più che si aggiunge alle altre, al fine di facilitare i compiti delle aziende che debbano procedere al trasferimento dei dati all’estero.

La clausola contrattuale esaminata, però, impone oneri non lievi.

Tanto l’importatore, quanto l’esportatore dei dati sono tenuti a rispettare le regole generali: il primo, secondo le leggi del paese d’origine; il secondo, in particolare, dovrà adempiere a delle regole "minime", chiarendo i fini del trattamento, garantendo proporzionalità, correttezza, esattezza e pertinenza dei dati, fornendo un’informativa, adottando opportune misure di sicurezza.

Un eventuale ulteriore trasferimento da parte dell’importatore potrà avvenire solo se la persona interessata ha avuto modo di opporsi al trasferimento per i dati comuni; mentre per i dati sensibili deve esserci un espresso consenso positivo.

La clausola 6, inoltre, prevede che l’esportatore e l’importatore dei dati siano "separatamente ed in solido" responsabili dei danni causati alle persone interessate, a seguito di violazioni. Le persone danneggiate potranno citare in giudizio sia l’esportatore, sia l’importatore dei dati, sia entrambi. Riceveranno, pertanto, un indennizzo a prescindere dalla distribuzione della colpevolezza tra i due soggetti che trattano i dati.

Tra i due soggetti direttamente coinvolti nel trasferimento, invece, vigerà una sorta di diritto di rivalsa: secondo la clausola predisposta ed approvata dalla Commissione, se una delle parti viene riconosciuta responsabile di una violazione commessa dall’altra, quest’ultima indennizza la prima per ogni costo, onere, danno, spesa o perdita sostenuta dalla prima, nei limiti che gli sono imputabili.

Non sussiste alcuna responsabilità solo nel caso in cui si provi che nessuna di esse si è resa responsabile di violazione delle disposizioni. E’ da ritenersi, sulla base del tipo di responsabilità imposta normalmente in materia di protezione dei dati personali, che l’onere della prova spetti alle organizzazioni accusate della violazione.

Le competenti autorità dei vari Stati Membri possono sospendere il flusso dei dati qualora accertino che la legislazione cui è sottoposto l’importatore dei dati impone delle deroghe che non permettano di adempiere alle clausole contrattuali; oppure sia stato accertato il mancato rispetto delle clausole tipo; ovvero sia probabile che le clausole contrattuali tipo non siano o non saranno rispettate.

E’ il caso di chiedersi, a questo punto, in che modo concretamente si opererà.

La strada più semplice da percorrere ed anche la più auspicabile, soprattutto in considerazione del "buonsenso" che ha sempre guidato le scelte del Garante italiano, sembrerebbe quella della concessione di una sorta di autorizzazione generale al trasferimento dei dati all’estero, quando sia stipulato un contratto che rechi la clausola tipo descritta.

Dovrebbe, inoltre, essere lasciato spazio anche per l’approvazione specifica di clausole contrattuali parzialmente differenti da quella approvata dalla Commissione, tali comunque da integrare quelle "adeguate garanzie" richieste dalla legge 675/1996 per il rilascio di specifiche autorizzazioni.

Rimane infine in vita il problema relativo al trasferimento all’estero dei dati sensibili.

La legge italiana, infatti, diversamente dalla direttiva europea, richiede, per il trasferimento di queste particolari categorie di dati, un livello di tutela da parte dello stato terzo che sia almeno "pari a quello assicurato dall’ordinamento italiano".

L’ostacolo dovrebbe essere superabile, anche in questo caso, con un’autorizzazione del Garante, che decida se la clausola tipo offra adeguate garanzie per i diritti dell’interessato anche nell’ipotesi di trasferimento dei dati sensibili. Il criterio di valutazione dovrebbe, però, a rigore, essere differente rispetto a quello utilizzato nell’autorizzare il trasferimento all’estero dei dati comuni.

Roma, 25 giugno 2001