CE - GRUPPO DI LAVORO SULLA TUTELA DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

PARERE 2/1999

Adottato il 3 maggio 1999

Le discussioni fra la Commissione delle Comunità europee e il Governo degli Stati Uniti sono proseguite dopo che il Gruppo di lavoro ha pubblicato, nel gennaio 1999 ³, il suo parere sul livello di protezione dei dati negli Stati Uniti. Recentemente, la Commissione ha presentato al Gruppo di lavoro una versione riveduta dei principi del Ministero federale del commercio per avere un suo parere sul livello di tutela dei dati che essi offrono.

La Commissione ha anche comunicato al Gruppo di lavoro che prevede l'adozione di una decisione, basata sull'articolo 25.6 della direttiva ⁴ [un progetto di decisione della Commissione è stato consegnato al Gruppo di lavoro il 30 marzo 1999], concernente questi principi, se risultano assicurare un livello adeguato di protezione per il trasferimento di dati da società europee a società statunitensi aderenti ai principi per un "approdo sicuro".

L'attuale versione dei principi non può comunque essere considerata definitiva poiché contiene varie note che indicano i campi in cui non è ancora stato raggiunto un accordo soddisfacente con gli Stati Uniti. Il Gruppo di lavoro considera quindi questo parere provvisorio e parziale. Esso è provvisorio perché i documenti non sono ancora definitivi e lo status delle FAQ (frequently asked questions - domande poste frequentemente) stabilito dal Ministero federale del commercio non è ancora stato indicato chiaramente al Gruppo di lavoro (il loro contenuto non viene quindi preso in considerazione nel presente parere). Inoltre, si tratta di un parere parziale perché il Gruppo di lavoro non dispone ancora di tutti i documenti necessari per un esame globale della situazione negli Stati Uniti, e in particolare di un quadro delle modalità d'applicazione dei principi e di un'analisi della tutela offerta dalle leggi settoriali statunitensi.

Il Gruppo di lavoro ribadisce la sua opinione che il complesso tessuto di leggi settoriali con un limitato ambito d'applicazione e di norme di autoregolamentazione attualmente esistente negli Stati Uniti non è sufficiente a fornire in tutti i casi una tutela adeguata dei dati personali trasferiti dall'Unione europea. Ritiene perciò utile l'approccio "approdo sicuro" ed incoraggia la Commissione a continuare il suo lavoro volto alla ricerca di una serie di principi che saranno adottati dal Ministero federale del commercio in modo da fornire un punto di riferimento alle società statunitensi che desiderano assicurarsi di soddisfare i requisiti di tutela adeguata stabiliti dalla direttiva.

Il Gruppo di lavoro ritiene utile esaminare le implicazioni pratiche di quest'accordo per il lavoro delle autorità di controllo nazionali.

Implicazioni pratiche dell'"approdo sicuro" per il lavoro delle autorità di controllo nazionali

Il Gruppo di lavoro ritiene molto importante che le società con sede negli Stati Uniti aderenti ai principi per un "approdo sicuro" siano individuate in modo inequivocabile e quindi considera molto opportuna la raccomandazione del Ministero federale del commercio alle società americane di notificare al Ministero la loro intenzione di aderire al programma. Il Gruppo di lavoro ritiene che tale notifica debba essere per quanto possibile completa, essere resa pubblica ed indicare in particolare una persona di contatto nella società in grado di trattare le richieste dei singoli individui e l'organo di controllo responsabile dell'applicazione dei principi.

Per poter partecipare al programma "approdo sicuro", le organizzazioni statunitensi possono" partecipare a un programma sulla tutela della vita privata sviluppato dal settore privato ..." o farlo in base alle leggi statunitensi che proteggono efficacemente la vita privata nella misura in cui le sue attività siano disciplinate da tali leggi. Il Gruppo di lavoro chiede ulteriori chiarimenti su questi programmi e sui loro criteri operativi. Per quanto riguarda le leggi settoriali statunitensi, il Gruppo di lavoro chiede chiarimenti sul loro esatto contenuto riguardo alla tutela della vita privata.

Il Gruppo di lavoro sottolinea anche che i principi per un "approdo sicuro" si riferiscono solo alla legittimità degli aspetti internazionali del trasferimento dei dati derivanti dagli articoli 25 e 26 della direttiva. Gli esportatori di dati con sede in Europa (affiliati o meno a una società con sede negli Stati Uniti aderente all'"approdo sicuro") sono soggetti all'applicazione delle altre disposizioni della direttiva, per esempio quelle relative alla notifica del trattamento dei dati alle autorità di controllo nazionali.

Il compito delle autorità di controllo sarebbe inoltre facilitato da una descrizione precisa dei poteri delle autorità di regolamentazione. Il Gruppo di lavoro è stato informato che le autorità statunitensi stanno preparando questo documento.

Considerando il ruolo delle autorità di controllo nazionali nel rilascio delle autorizzazioni di trasferimenti internazionali basati su contratti, il Gruppo di lavoro chiede chiarimenti sul significato dell'ultima frase del paragrafo 4 dell'introduzione, che dice "Le organizzazioni possono applicare le salvaguardie ritenute necessarie dall'UE anche per i trasferimenti di dati personali dall'UE agli USA incorporando i principi per un ‘approdo sicuro’ pertinenti negli accordi conclusi con parti che trasferiscono dati personali dall'UE".

Infine, per quanto riguarda la possibilità per le organizzazioni aderenti ai principi del Ministero federale del commercio di affidarsi alle autorità di controllo nazionali per l'applicazione dei principi, il Gruppo di lavoro sottolinea che le autorità di controllo nazionali non hanno giurisdizione nei paesi terzi e di conseguenza non dispongono dei poteri necessari per controllare efficacemente l'applicazione dei principi da parte delle organizzazioni statunitensi.

• Per quanto riguarda il contenuto dei principi stessi, il Gruppo di lavoro riconosce che rispetto alla versione del 4 novembre, sebbene i principi siano stati indeboliti sotto alcuni aspetti, sono stati compiuti progressi in vari campi, in particolare:

• La definizione dei dati personali si riferisce ora a una persona fisica identificata o identificabile;

• Le eccezioni ai principi appaiono più coerenti e riflettono in parte quelle previste nella direttiva. È il caso, in particolare, della soppressione di espressioni come "gestione del rischio", "sicurezza delle informazioni" e "dati proprietari".

• Nell' "avviso" la persona fisica va informata su un cambiamento di finalità;

• I dati "sensibili" sono ora descritti con precisione nell'articolo 2 "Scelta";

• Nei trasferimenti successivi si differenzia ora tra trasferimenti tra organizzazioni aderenti ai principi e trasferimenti verso Paesi terzi non partecipanti al programma per un "approdo sicuro".

Il Gruppo di lavoro ritiene che non si possa derogare alla norma stabilita dagli orientamenti dell'OCSE del 1980 dato che costituisce un requisito minimo per l'accettazione di un livello adeguato di tutela in qualsiasi Paese terzo. In base al lavoro svolto in precedenza dal Gruppo di lavoro sulla questione del trasferimento dei dati verso Paesi terzi ⁵ [Trasferimento di dati verso Paesi terzi: applicazione degli articoli 25 e 26 della direttiva sulla tutela dei dati, approvata dal Gruppo di lavoro il 24 luglio 1998], i principi per un "approdo sicuro" del Ministero federale del commercio del 19 aprile pongono i problemi seguenti:

• Nell'introduzione c'è un riferimento alle eccezioni previste dalla legislazione degli Stati membri. Il Gruppo di lavoro non lo considera opportuno perché potrebbe dar luogo all'interpretazione delle misure d'applicazione nazionali da parte di organizzazioni aderenti a un programma di autoregolamentazione di un Paese terzo. Il Gruppo di lavoro ritiene inoltre che limitare l'applicazione dei principi per un "approdo sicuro" alla misura necessaria per soddisfare le disposizioni regolamentari statunitensi sia un'esenzione troppo ampia, i cui limiti non sono prevedibili.

• Riguardo ai dati trattati manualmente, il Gruppo di lavoro giudica che dovrebbe esserci uguaglianza di trattamento per i dati elaborati elettronicamente e quelli elaborati a mano conservati negli archivi. Esso approva quindi le riserve formulate dalla Commissione nelle note, ma ritiene anche che le organizzazioni aderenti ai principi per un "approdo sicuro" che applicano tali principi ai dati elaborati manualmente debbano poter beneficiare, se lo desiderano, dei vantaggi dell'"approdo sicuro" per i dati raccolti in Europa.

Principi 1 e 2: Avviso e scelta

Considerando che la tutela offerta dai principi per un "approdo sicuro" si basa sul concetto di "avviso e scelta", è molto importante che questi principi offrano una protezione della vita privata completa sia per quanto riguarda l'utilizzazione che la divulgazione dei dati.

Per quanto riguarda il principio di "avviso", affinché sia coerente con il principio di "sicurezza dei dati", si ricorda che la persona va informata che saranno raccolti dati solo nei limiti necessari per soddisfare le finalità della raccolta stessa.

Va inoltre reinserita l'espressione "quale tipo di informazioni" perché è importante che la persona sappia che tipo di informazioni personali si raccolgono su di lei.

È necessario anche indicare esplicitamente che la persona va avvisata del trattamento effettuato da un'organizzazione statunitense se i dati non sono stati forniti direttamente bensì da terzi.

Ciò è importante nell'ambito dell'opportunità di "scelta".

Il Gruppo di lavoro chiede chiarimenti riguardo all'esatto significato dell'espressione "non appena possibile", dato che ritiene che la persona vada informata al momento della raccolta e non a discrezione dei singoli controllori.

Per quanto riguarda il principio di "scelta", come indicato nel parere precedente, manca il principio di specificazione della finalità degli orientamenti dell'OCSE, sostituito solo parzialmente dal principio di "scelta", che permette in effetti che dati raccolti per una data finalità siano utilizzati per un'altra.

Le persone hanno inoltre la possibilità di opporsi solo se la nuova finalità è considerata incompatibile con quella indicata nell' "avviso". Secondo il parere del Gruppo di lavoro, la persona dovrebbe almeno avere la possibilità di opporsi in tutti i casi in cui i suoi dati vengono utilizzati per finalità non pertinenti e per una commercializzazione diretta. Il livello di consenso è più alto, ad esempio, quando i dati sono raccolti nell'ambito di un rapporto contrattuale e sono soggetti ai termini impliciti o espliciti di un contratto.

Ciò è particolarmente importante perché inevitabilmente in un sistema di autoregolamentazione non esiste una valutazione indipendente di cosa sia una finalità incompatibile o dei criteri per stabilire l'incompatibilità della finalità con quanto stabilito nell' "avviso".

Il Gruppo di lavoro è anche del parere che qualsiasi consenso sia richiesto, esso debba essere concesso liberamente, in maniera specifica e informata, e che la mancanza di una risposta non possa essere interpretata come un tacito consenso.

Infine, per quanto riguarda l'ultima frase del principio di "scelta", il Gruppo di lavoro chiede chiarimenti sull'esatto significato del termine "o" nell'espressione "scelta (di opporsi) affermativa o esplicita", nel senso di "scelta affermativa, cioè esplicita".

Principio 3: Trasferimenti successivi

Sebbene non sia presente negli orientamenti dell'OCSE, questo principio è necessario per garantire che i dati non vengano trasferiti da una società statunitense che rispetta i principi per un "approdo sicuro" ad un altro controllore situato negli Stati Uniti o altrove che non garantisce una tutela adeguata. In base all'attuale progetto non è chiaro quale sia la regola da applicare.

L'individuo dovrebbe essere in grado di opporsi al trasferimento a una terza parte. Per questo motivo, egli deve almeno essere informato sul trasferimento dei dati e sull'adesione o meno della terza parte ai principi per un "approdo sicuro", o su quale altra tutale adeguata venga fornita. Il Gruppo di lavoro sostiene quindi la richiesta della Commissione, espressa nella nota 5, che un avviso e una scelta espliciti vadano offerti quando i dati personali sono trasferiti a una terza parte non aderente ai principi per un "approdo sicuro".

Principio 6: Accesso

Si sottolinea che non esiste un accordo sul testo del principio 6. Secondo il parere del Gruppo di lavoro, il principio 6 dovrebbe affermare chiaramente che in generale l'accesso va concesso sebbene esistano alcune restrizioni, descritte chiaramente nel testo. Nell'articolo 13 la direttiva menziona una serie di deroghe. Un esempio potrebbero essere i "segreti commerciali", sebbene i partecipanti ritengano che a livello degli Stati membri questo problema non potrebbe mai portare al rifiuto di ogni informazione alla persona interessata. Nei suoi contatti con il Ministero federale del commercio, a questo proposito la Commissione dovrebbe essere guidata dagli orientamenti dell'OCSE. Il Gruppo di lavoro propone il seguente testo come base di lavoro:

"Le persone interessate devono avere accesso alle informazioni che le riguardano raccolte da un'organizzazione ed avere il diritto di rettificare ed emendare i dati inesatti, fuorché nel caso in cui quest'accesso danneggi l'organizzazione rivelando segreti commerciali o non rispettando i diritti di proprietà intellettuale o se gli oneri e i costi o le altre conseguenze che il reperimento delle informazioni comporta per l'organizzazione risultano chiaramente sproporzionati rispetto ai rischi specifici derivanti dalla mancata rivelazione per la tutela della riservatezza dell'individuo."

Il principio dovrebbe inoltre specificare chiaramente il diritto della persona interessata alla cancellazione dei dati se il relativo trattamento è illegale.

Per i motivi indicati nell'introduzione, il Gruppo di lavoro non ha esaminato il testo delle domande poste frequentemente (FAQ) sull' "accesso".

Principio 7: Applicazione

Dal testo del principio stesso e da quello della "nota" non è sufficientemente chiaro lo standard richiesto alle società. Secondo il parere del Gruppo di lavoro, le norme di tutela dei dati contribuiscono alla protezione degli individui solo se sono applicate in pratica. In un programma completamente volontario come questo, l'osservanza delle norme deve essere garantita almeno da un meccanismo d'indagine indipendente per reclami e sanzioni, che devono avere carattere deterrente ed offrire, se opportuno, un risarcimento alle persone. Il testo presente del principio 7 dice che il risarcimento sarà fornito solo se "la legge applicabile e le iniziative del settore privato lo richiedono".

Il Gruppo di lavoro approva fortemente anche la richiesta della Commissione che le società debbano soddisfare tutte le condizioni descritte nel principio 7 prima di poter essere giudicate in regola con i principi per un "approdo sicuro".

Il principio 7 non stabilisce inoltre le norme da seguire per verificare la conformità e non indica le autorità responsabili dell'applicazione dei principi. Analogamente, dovrebbe essere indicato il tipo di sanzioni previste, chi le impone e in base a quali procedure.

Come indicato nell'introduzione, per quanto riguarda la cooperazione fra le autorità di controllo nazionali e le organizzazioni con sede negli Stati Uniti che desiderano partecipare all' "approdo sicuro", il Gruppo di lavoro non ritiene possibile che l'applicazione dei principi sia affidata alle autorità di controllo nazionali. Tuttavia, se negli Stati Uniti l'applicazione è garantita da organi di controllo indipendenti, potrebbe essere prevista una cooperazione ad hoc fra questi organi e le autorità di controllo nazionali.

Conclusioni

Sulla base di quanto precede, il Gruppo di lavoro invita la Commissione a continuare gli sforzi di dialogo con il Ministero federale del commercio per rafforzare la tutela offerta nei "principi internazionali per un approdo sicuro". In particolare, il Gruppo di lavoro invita la Commissione a prendere in considerazione gli interrogativi sollevati e ad informarlo sugli ulteriori contatti con il Ministero del commercio USA.

Per il Gruppo
Il presidente
Peter J. HUSTINX

3 Parere 1/99 riguardante il livello di protezione dei dati negli Stati Uniti e le attuali discussioni fra la Commissione europea e il Governo degli Stati Uniti, adottato dal Gruppo di lavoro il 26 gennaio 1999.

4 Un progetto di decisione della Commissione è stato consegnato al Gruppo di lavoro il 30 marzo 1999

5 Trasferimento di dati verso Paesi terzi: applicazione degli articoli 25 e 26 della direttiva sulla tutela dei dati, approvata dal Gruppo di lavoro il 24 luglio 1998.