CE - GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

Documento di lavoro:
valutazione dell'autodisciplina settoriale: quando incide in modo significativo sul livello di tutela dei dati in un paese terzo? - wp7

approvato dal gruppo di lavoro il 14 gennaio 1998

Introduzione

L'articolo 25, paragrafo 2, della direttiva sulla tutela dei dati personali (95/46/CE) statuisce che il livello di protezione garantito da un paese terzo deve essere valutato con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati. Si citano specificamente non solo le norme di diritto, ma anche le regole professionali e le misure di sicurezza ivi osservate.

Il testo della direttiva impone quindi di tenere conto delle norme di carattere non giuridico che possono essere in vigore nel paese terzo in questione, a patto che dette norme siano rispettate. E' in questo contesto che va inquadrata la funzione dell'autodisciplina settoriale.

Che cos'è l'autodisciplina?

Il termine "autodisciplina" ha una connotazione molto soggettiva. Nel presente documento per codice (o altro strumento) di autodisciplina si intende qualsiasi complesso di norme per la tutela dei dati applicabili all'insieme dei responsabili del trattamento dei dati, appartenenti alla medesima professione od operanti nel medesimo settore economico, il cui contenuto è stato determinato essenzialmente da chi opera in tale settore o da chi esercita tale professione.

Si tratta di una definizione generale in cui può rientrare un'ampia gamma di strumenti, dal codice volontario di tutela dei dati elaborato dalla piccola associazione settoriale con solo pochi aderenti, fino al codice più articolato che fissa norme d'etica professionale applicabili a un'intera categoria professionale, ad es. medici o bancari, avente effetti pressoché analoghi a quelli giurisdizionali.

L'organismo responsabile del codice è rappresentativo del settore?

Come il presente documento espone più avanti, un importante parametro del valore di un codice è il grado di applicazione delle sue disposizioni. In questo contesto, la questione della rappresentatività dell'associazione o dell'organismo responsabile del codice, ossia se essi rappresentino tutti gli operatori del settore o solo una piccola percentuale di essi, è probabilmente meno importante rispetto alla determinazione del potere dell'associazione in termini di capacità, ad esempio, di applicare sanzioni agli aderenti che non rispettano il codice. Tuttavia per molte altre ragioni i codici applicabili a un intero settore o a un'intera professione, e aventi un campo d'applicazione definito in modo chiaro e dettagliato, sono degli strumenti di tutela più utili dei codici sviluppati da piccoli raggruppamenti di aziende all'interno dei vari settori. Anzitutto, dal punto di vista del consumatore, un settore non compatto e in cui operano molte associazioni rivali, ciascuna con un proprio codice di tutela dei dati, crea confusione. L'esistenza parallela di molti codici differenti crea un'immagine globale priva di trasparenza per la persona interessata. In secondo luogo, segnatamente per attività quali l'invio di materiale pubblicitario, in cui è prassi corrente trasmettere i dati personali da una società all'altra, può succedere che la società che comunica i dati e la società ricevente non siano vincolate dal medesimo codice di tutela.

Ciò può provocare numerose ambiguità circa la natura delle norme applicabili nonché rendere estremamente difficoltose le ricerche connesse ai reclami delle persone interessate e trovare una soluzione.

Valutazione dell'autodisciplina - strategia da seguire

Vista la grande varietà di strumenti che rientrano nel termine autodisciplina, è palese la necessità di differenziare le varie forme di autodisciplina in base al loro reale effetto sul livello di tutela offerto quando i dati personali sono trasferiti in un paese terzo.

Per valutare qualsiasi corpo specifico di norme per la tutela dei dati (sia che si tratti di autodisciplina o di normativa) ci si deve basare sulla strategia generale illustrata nel documento di discussione intitolato "Primi orientamenti relativi al trasferimento di dati personali verso paesi terzi - Possibili progressi nella valutazione dell'adeguatezza".

L'elemento centrale di questa strategia è non limitare l'esame dello strumento al suo contenuto (che dovrebbe abbracciare una serie di principi basilari) ma estenderlo alla sua efficacia nel conseguire:

- un buon livello generale di osservanza,
- sostegno e assistenza alle persone interessate dal trattamento dei dati,
- mezzi di riparazione adeguati (ivi incluso il risarcimento se necessario)

Valutazione del contenuto dello strumento di autodisciplina

E' un compito relativamente facile. Si tratta di accertare che comprenda i necessari 'principi sostanziali' enumerati nel documento intitolato "Primi orientamenti" (cfr. l'estratto allegato al presente documento). Si tratta di una valutazione obiettiva, che verte sul contenuto del codice e non sulle modalità con cui è stato elaborato. Il fatto che un settore economico o una professione abbia avuto un ruolo chiave nell'elaborazione del contenuto del codice non è di per sé rilevante, benché sia evidente che se nella sua elaborazione si è tenuto conto del parere delle persone interessate e delle organizzazioni dei consumatori, è molto più probabile che esso rispecchi più rigorosamente i requisiti basilari di tutela dei dati.

La trasparenza del codice è un elemento determinante; soprattutto, è necessario che il codice sia redatto in un linguaggio semplice e offra esempi concreti, che ne illustrino le disposizioni. Il codice dovrebbe inoltre vietare la comunicazione dei dati a società che non abbiano sottoscritto il codice e che pertanto non vi siano assoggettate, a meno che non siano offerte altre garanzie adeguate.

Valutazione dell'efficacia dello strumento di autodisciplina

Valutare l'efficacia di un determinato codice o strumento di autodisciplina è un'impresa ben più ardua, che richiede la comprensione dei dispositivi che garantiscono il rispetto del codice e con i quali si regolano i problemi inerenti alle violazioni. Per giudicare l'efficacia della tutela è necessario che siano soddisfatti tutti e tre i parametri funzionali del codice di autodisciplina, affinché questo possa essere preso in considerazione ai fini della determinazione dell'adeguatezza della tutela.

Buon livello di osservanza

I codici settoriali o professionali sono di norma elaborati da un organo rappresentativo del settore o della professione e si applicano agli aderenti della categoria che fa capo a tale organo rappresentativo. Il grado di osservanza del codice dipende verosimilmente dal fatto che i membri sappiano che esso esiste e ne conoscano il contenuto, dalle misure adottate per renderlo trasparente agli occhi dei consumatori, consentendo alle forze di mercato di dare un contributo concreto, dall'esistenza di un sistema di controllo esterno (quale ad esempio l'obbligo di accertamento periodico della sua osservanza) e, cosa forse più importante, dal genere di sanzioni contemplate in caso di violazione e dalla loro esecuzione.

E' perciò importante chiedersi:

- Che cosa fa l'organo rappresentativo per garantire la conoscenza del codice tra i suoi aderenti?

- L'organo rappresentativo esige che i suoi aderenti dimostrino di aver applicato concretamente le disposizioni contemplate dal codice? Con che frequenza?

- Tale prova è fornita dall'impresa aderente stessa o da una fonte esterna (quale ad esempio un revisore riconosciuto)?

- L'organo rappresentativo esamina le violazioni, denunciate o presunte, del codice?

- L'osservanza del codice è una condizione per l'adesione alla categoria che fa capo all'organo rappresentativo o è l'osservanza puramente "facoltativa"?

- Qualora sia dimostrato che un aderente abbia violato il codice, di quali sanzioni disciplinari (espulsione o altro) può valersi l'organo rappresentativo?

- In caso di provvedimento d'espulsione da parte dell'organo rappresentativo, la società o l'individuo possono continuare ad operare nello stesso settore o esercitare la stessa professione?

- Il rispetto del codice può essere imposto in altro modo, ad esempio per via giudiziaria o mediante un organo avente giurisdizioni speciali? In taluni paesi i codici professionali o deontologici sono legalmente vincolanti. In alcuni casi ci si può persino valere delle disposizioni relative alle pratiche commerciali leali o addirittura alla concorrenza per far applicare i codici settoriali.

Allorché si esaminano i tipi di sanzioni comminate è importante distinguere tra sanzioni "correttive", che, in caso di inosservanza, si limitano a esigere che il responsabile del trattamento dei dati modifichi le proprie pratiche adeguandole alle disposizioni del codice, e le sanzioni che vanno oltre e puniscono il responsabile del trattamento dei dati per la sua inadempienza. Solo questa seconda categoria di sanzioni, cosiddette "punitive" incide realmente sulla futura condotta dei responsabili del trattamento dei dati, incentivandoli a rispettare il codice in modo regolare.

La mancanza nel codice di sanzioni veramente deterrenti e punitive è indice quindi di una sua grave debolezza. Senza tali sanzioni è difficile immaginare come si possa ottenere un buon grado di osservanza generale, a meno che non esista un rigoroso sistema di controllo esterno (quale ad esempio attraverso un'autorità pubblica o privata abilitata ad intervenire in caso di inosservanza del codice, o mediante l'obbligo di sottoporsi a una verifica esterna a intervalli regolari).

Sostegno e assistenza alle persone interessate dal trattamento dei dati

Un requisito fondamentale a garanzia dell'adeguatezza e dell'efficacia del sistema di tutela dei dati è rappresentato dal fatto che chiunque abbia un problema circa il trattamento di dati che lo riguardano non sia abbandonato a se stesso, ma goda del sostegno di una istanza prevista dal sistema di tutela medesimo, per poter risolvere il suo problema.

Idealmente, questa istanza di sostegno dovrebbe essere imparziale, indipendente e dotata dei poteri necessari per indagare in merito a eventuali reclami sporti dalle persone interessate. Gli interrogativi riguardanti l'autodisciplina che si devono sollevare sotto questo profilo sono i seguenti:

- Esiste un dispositivo che permetta di indagare in merito ai reclami presentati dalle singole persone interessate?

- Come sono informate le persone interessate dell'esistenza di detto dispositivo e delle decisioni prese nei singoli casi?

- Le persone interessate debbono sostenere dei costi?

- Chi conduce le indagini? Tale persona / organo dispone di sufficienti poteri al riguardo?

- Chi decide in merito ad un'asserita violazione del codice? Si tratta di persone indipendenti e imparziali?

L'imparzialità dell'arbitro o della persona investita della decisione in merito all'asserita violazione del codice è fondamentale. E' ovvio che tale persona od organo debbano essere indipendenti dal responsabile del trattamento dei dati. Tuttavia questo in sé non basta a garantire l'imparzialità. Idealmente l'arbitro dovrebbe essere estraneo alla professione o al settore in questione, poiché chi esercita la stessa professione od opera nel medesimo settore ha chiaramente interessi comuni al responsabile del trattamento dei dati accusato di violazione del codice. Se così non è, la neutralità dell'organo investito della decisione può essere garantita mediante l'inclusione (in pari numero) di rappresentanti dei consumatori e di rappresentanti del settore.

Riparazione adeguata

Qualora si dimostri che il codice è stato violato, la persona interessata dovrebbe avere la possibilità di ottenere riparazione. Tale riparazione deve ovviare al problema (ad es. rettificare o eliminare i dati erronei, porre fine al trattamento dei dati per fini incompatibili) e, qualora la persona interessata abbia subito dei danni, deve permettere un adeguato risarcimento pecuniario. Va ricordato che il termine 'danno' ai sensi della direttiva concernente la tutela di dati non indica unicamente i danni materiali e finanziari, ma anche i danni psicologici e morali (noti come "distress" nel diritto del Regno Unito e degli Stati Uniti).

Molti dei quesiti relativi alle sanzioni, riportati nella sezione precedente intitolata "Buon livello di osservanza", sono pertinenti anche in questo contesto. Come precedentemente detto, le sanzioni hanno una duplice funzione: punire chi commette l'infrazione (stimolando quindi il trasgressore e gli altri aderenti a rispettare le norme) e rimediare alla violazione delle norme. A noi sta a cuore quest'ultima funzione. Ulteriori interrogativi potrebbero perciò essere:

- E' possibile verificare se un aderente, a carico del quale è stata accertata una violazione del codice, abbia modificato le sue pratiche e rimediato al problema?

- Le persone interessate possono ottenere un risarcimento in base al codice, e come?

- La violazione del codice è equiparabile all'inadempienza contrattuale, o regolata dal diritto comune (ad es. tutela dei consumatori, concorrenza sleale), e possono le autorità giudiziarie competenti accordare il risarcimento dei danni su tale base?

Conclusioni

  • L'autodisciplina dovrebbe essere valutata secondo la metodologia obiettiva e funzionale esposta nel documento intitolato "Primi orientamenti".

  • Uno strumento di autodisciplina può essere considerato un valido elemento di "adeguata tutela" solo se vincolante per tutti coloro che vi sono assoggettati, a cui sono trasferiti i dati personali, e se fornisce sufficienti garanzie qualora i dati siano trasmessi a terzi non aderenti.

  • Lo strumento deve essere trasparente e incorporare nella sostanza i principi basilari relativi alla tutela dei dati.

  • Lo strumento deve avere dispositivi che assicurino effettivamente un buon livello di osservanza generale. Un sistema di sanzioni deterrenti e punitive è una delle possibilità a tale fine. Un’alternativa sono i controlli esterni obbligatori.

  • Lo strumento deve offrire sostegno e assistenza alle persone interessate che abbiano un problema relativo al trattamento dei loro dati personali. E' pertanto necessario istituire un organismo indipendente, imparziale e facilmente accessibile che esamini i reclami presentati dalle persone interessate e decida in merito alle violazioni del codice.

  • Lo strumento deve garantire un'adeguata riparazione in caso di inosservanza. La persona interessata deve poter ottenere un provvedimento di riparazione e se del caso un risarcimento.

     

    ALLEGATO

    Primi orientamenti relativi al trasferimento di dati personali verso paesi terzi -Possibili progressi nella valutazione dell'adeguatezza

    Documento di consultazione adottato dal gruppo il 26 giugno 1997

    (i) Principi di contenuto

    I principi fondamentali da includere in detta lista dovrebbero essere i seguenti:

    1) il principio della finalità limitata: i dati dovrebbero essere trattati per una finalità specifica e successivamente utilizzati o ulteriormente comunicati soltanto nella misura in cui non vi sia incompatibilità con la finalità del trasferimento. Le uniche deroghe a tale norma sarebbero quelle necessarie in ogni società democratica per una delle ragioni elencate nell'articolo 13 della direttiva;

    2) il principio della qualità e della proporzionalità: i dati dovrebbero essere precisi e, se del caso, aggiornati. Essi dovrebbero essere adeguati, pertinenti e non andare al di là delle finalità per cui sono oggetto di trasferimento o di ulteriore trattamento;

    3) il principio della trasparenza: la persona dovrebbe ricevere informazioni riguardanti la finalità del trattamento dei dati e l'identità del responsabile del trattamento nel paese terzo, nonché qualunque altra informazione necessaria ad assicurare una procedura equa. Le uniche deroghe consentite dovrebbero essere in linea con l'articolo 11, paragrafo 2 e con l'articolo 13 della direttiva;

    4) il principio della sicurezza: il responsabile del trattamento dei dati dovrebbe adottare misure di sicurezza tecnica e organizzativa commisurate ai rischi che il trattamento presenta. Chiunque operi sotto l'autorità del responsabile del trattamento, compreso un incaricato del trattamento, si occupa del trattamento dati solo su istruzione del responsabile medesimo;

    5) i diritti di accesso, rettifica e opposizione: la persona interessata dovrebbe avere il diritto di ottenere una copia di tutti i dati trattati che la riguardano, nonché il diritto di far rettificare i dati di comprovata inesattezza. In determinate situazioni, la persona interessata dovrebbe inoltre potersi opporre al trattamento di dati che la riguardano. Le uniche deroghe a tali diritti dovrebbero essere in linea con l'articolo 13 della direttiva;

    6) restrizioni ai successivi trasferimenti verso altri paesi terzi: ulteriori trasferimenti dei dati personali dal paese terzo destinatario verso un altro paese terzo dovrebbero essere consentiti solo quando anche quest'ultimo assicura un livello adeguato di tutela.

    Le uniche deroghe consentite dovrebbero essere in linea con l&'articolo 26 della direttiva.

    Di seguito sono riportati alcuni esempi di principi supplementari da applicare in casi specifici di trattamento:

    1) categorie particolari di dati: se il trattamento riguarda categorie particolari di dati (quelle elencate all'articolo 8), si dovrebbero porre in essere misure di salvaguardia supplementari, come ad esempio l'obbligo del consenso esplicito al trattamento da parte della persona interessata;

    2) commercializzazione diretta: se il trasferimento dei dati avviene per finalità di commercializzazione diretta, la persona interessata dovrebbe essere in grado di decidere in qualsiasi momento l'esclusione dei dati che la riguardano da un simile impiego.

    3) decisioni individuali automatizzate: se la finalità del trasferimento consiste nell'adozione di una decisione automatizzata ai sensi dell'articolo 15 della direttiva, l'individuo dovrebbe avere il diritto di conoscere la logica che muove tale decisione e si dovrebbero prendere altri provvedimenti per garantire la salvaguardia del suo interesse legittimo.