CE - GRUPPO DI LAVORO SULLA TUTELA DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI PARERE 4/1999 riguardante le FAQ (domande poste frequentemente) che saranno pubblicate dal Ministero del Commercio USA in relazione ai principi 'Approdo sicuro' (Safe Harbor) proposti - wp21Adottato il 7 giugno 1999 Nel parere 2/99 adottato il 3 maggio 19991, riguardante i principi internazionali "Safe Harbor" (qui di seguito denominati "i principi"), il Gruppo di lavoro non aveva preso in considerazione le domande poste frequentemente (qui di seguito "le FAQ") pubblicate dal Ministero del Commercio USA il 30 aprile 1999. Prima di esprimere un parere sul contenuto delle FAQ, il Gruppo di lavoro ha chiesto che sia chiarito il loro status. Il 2 giugno 1999 la DG XV ha trasmesso al Gruppo di lavoro2 la lettera inviata ai membri del Comitato istituito dall'articolo 31 della direttiva 95/46/CE e tutti i documenti allegati, in particolare una versione riveduta e riservata dei principi "Safe Harbor" e un elenco delle FAQ, sei delle quali sono allegate all'elenco3. Dopo aver esaminato la lettera di cui sopra, il Gruppo di lavoro ritiene che la parte americana abbia intenzione di pubblicare le FAQ come guida autorevole ai principi e che ciò debba riflettersi nella versione definitiva della decisione relativa all'articolo 25(6). Il Gruppo di lavoro riconosce che questa soluzione sarebbe auspicabile per due ragioni: da un lato permetterebbe di chiarire e, in alcuni casi, di completare i principi per quanto riguarda talune categorie di operazioni di trattamento, il che sarebbe di aiuto nella valutazione dei principi stessi; dall'altro, la guida autorevole aiuterebbe gli organi di reclamo ad interpretare ed applicare i principi ai casi concreti. Tuttavia, questo richiede che, prima di prendere una decisione sull'adeguatezza dei principi, tutte le FAQ siano prese nella dovuta considerazione. Il Gruppo di lavoro ritiene che tale attenta valutazione sia richiesta dall'articolo 25(2) della direttiva, secondo il quale "l'adeguatezza del livello di protezione è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati". Il Gruppo di lavoro osserva che è stato redatto un elenco di FAQ comprendente quindici domande, cinque in più 4 rispetto alle nove FAQ diffuse in aprile e maggio. Esso rileva inoltre che, rispetto alla versione precedente, sono state apportate varie modifiche alle FAQ allegate alla lettera della DG XV. Il Gruppo di lavoro ritiene che un termine ragionevole sia indispensabile per procedere a una valutazione attenta delle FAQ, come richiesto dall'articolo 25 della direttiva. Il termine dovrebbe permettere in particolare le opportune consultazioni interne a livello nazionale secondo la procedura stabilita all'articolo 31 della direttiva. Il presente parere intende fornire solo un quadro preliminare sul possibile status delle FAQ e sulle FAQ distribuite il 2 giugno 1999, senza che ciò influisca sui commenti che il Gruppo di lavoro intende presentare sulla nuova versione dei principi e sulle FAQ ancora da distribuire, né sulla valutazione globale dell'approccio "Safe Harbor", dato che sarà necessario considerare altri elementi del dossier (p. es.: il progetto di scambio di lettere). I. Status delle FAQ In base a quanto precede, il Gruppo di lavoro è dell'opinione che: 1. le FAQ elencate nell'allegato dovrebbero avere, quando saranno pubblicate dal Ministero del Commercio USA, uno status vincolante a condizione che siano coerenti con i principi "Safe Harbor" e vengano considerate insieme ad essi; 2. è necessaria un'attenta valutazione di tutte le FAQ, entro un termine ragionevole per le consultazioni interne, prima di stabilire se i principi "Safe Harbor" forniscono un livello adeguato di protezione; 3. la decisione eventualmente presa in relazione ai principi dovrebbe contenere un riferimento alle FAQ; 4. l'elenco definitivo delle FAQ dovrà essere completo e nessuna modifica dovrà essere apportata unilateralmente. Esse dovranno comunque essere considerate alla luce dell'esperienza in sede di esame dell'attuazione dell'accordo "Safe Harbor" e potranno eventualmente essere adattate e/o integrate. II. Elenco delle FAQ Il Gruppo di lavoro accoglie con favore il principio di un ampliamento dell'elenco delle FAQ e ritiene che, data la mancanza di chiarezza di alcuni principi, le FAQ dovrebbero fornire una guida autorevole, chiara ed inequivocabile ai controllori di dati, nonché le necessarie garanzie alle persone fisiche interessate. Il Gruppo di lavoro desidera esaminare al più presto i rimanenti testi di progetti di FAQ ed attribuisce particolare importanza a: 1. "indagini indipendenti sui reclami" (FAQ n. 11). Dato che non sono stati apportati miglioramenti al principio dell'"applicazione" e in mancanza di garanzie equivalenti, il Gruppo di lavoro conferma che la credibilità del "Safe Harbor" nel suo insieme dipende soprattutto da una risposta soddisfacente a quest'elemento del principio di applicazione; 2. "possibilità di opporsi" (FAQ n. 13). Secondo il principio di "scelta", la possibilità di opporsi è data solo se "l'utilizzazione e la divulgazione sono incompatibili con la finalità per la quale l'informazione personale è stata raccolta originariamente o con qualsiasi altra finalità o divulgazione indicata in un avviso alla persona". Nel suo parere 2/99, il Gruppo di lavoro ha già presentato e motivato le sue obiezioni a questa ristretta nozione di "scelta" e ha suggerito alcuni miglioramenti. Il modo migliore per raggiungere quest'obiettivo rimane un miglioramento del principio, tenendo presente i suggerimenti fatti precedentemente nel parere 2/99, il che significa introdurre almeno una possibilità incondizionata di opporsi alla commercializzazione diretta. III. Dati sensibili (FAQ n. 1) Il Gruppo di lavoro ribadisce la sua opinione, espressa nel parere 2/99, che i principi "Safe Harbor" riguardano solo la legittimità degli aspetti internazionali dei trasferimenti di dati (articoli 25 e 26 della direttiva). Esso ricorda che i controllori di dati con sede nell'UE (affiliati o meno a organizzazioni americane aderenti al "Safe Harbor") sono soggetti alle disposizioni nazionali di applicazione delle altre norme della direttiva, vale a dire quelle relative alla legittimità del trattamento (articoli 6 e 7) e agli ulteriori requisiti riguardanti i dati sensibili (articolo 8). Lo stesso vale se organizzazioni americane raccolgono dati personali direttamente nell'UE. Il Gruppo di lavoro sottolinea che, per evitare equivoci, le FAQ dovrebbero comprendere i punti suddetti. In particolare va ricordato che gli Stati membri possono stabilire che il consenso della persona interessata non sia sufficiente per derogare al divieto di trattare dati sensibili (art. 8, paragrafo 2a della direttiva) e che può essere richiesta una notifica preventiva alle autorità di controllo. IV. Eccezioni riguardanti il trattamento dei dati personali a scopi giornalistici (FAQ n. 2) Il Gruppo di lavoro considera molto importante la libertà di stampa e ritiene che la direttiva dimostri il giusto equilibrio lasciando agli Stati membri la possibilità di prevedere esenzioni e deroghe (articolo 9). Tuttavia, tali deroghe riguardano solo i capitoli III, IV e VI e non si applicano alle altre disposizioni della direttiva, come la sicurezza dei trattamenti (articolo 17). Il Gruppo di lavoro sottolinea che, a suo parere, la FAQ riguarda il trattamento esclusivamente per scopi giornalistici coperti dal primo emendamento e che il principio di sicurezza, lungi dall'essere in conflitto con la libertà di stampa, intende favorire anche i giornalisti (in particolare, proteggere le loro fonti e il loro lavoro nei casi di accesso o divulgazione non autorizzati, di perdita o alterazione accidentale o illegale, specialmente se il trattamento comporta la trasmissione di dati attraverso una rete). Il Gruppo di lavoro ritiene perciò che non ci sia motivo di derogare al principio di sicurezza definito nel "Safe Harbor". V. Responsabilità secondaria (FAQ n. 3) Secondo il Gruppo di lavoro questo testo non presenta difficoltà, a condizione che venga interpretato in senso stretto ed applicato solo alla situazione descritta nella domanda. VI. Cacciatori di teste ecc. (FAQ n. 4) Nel suo parere 2/99, il Gruppo di lavoro aveva già riaffermato l'irrinunciabilità dello standard stabilito dagli orientamenti dell'OCSE del 1980, che costituisce un requisito minimo per l'accettazione di un livello adeguato di protezione. Il Gruppo di lavoro nota che la FAQ introduce eccezioni non menzionate nei principi stessi. Sarebbe necessario spiegare quali operazioni di trattamento sono coperte da ciascuna delle eccezioni menzionate e perché sono di carattere limitato. Inoltre, andrebbe chiarito per quali principi (avviso, scelta) il requisito di interesse legittimo dell'organizzazione e di interesse pubblico prevede esenzioni. Infine, la legittimità dell'attività di un cacciatore di teste o di un "investment banker" sembra dipendere da altri fattori non menzionati. VII. Il ruolo delle autorità di protezione dei dati (FAQ n. 5) Il Gruppo di lavoro apprezza il chiarimento introdotto da questa FAQ e ritiene auspicabile una più ampia considerazione positiva della questione, specialmente per quanto riguarda il ruolo che le autorità nazionali di protezione dei dati potrebbero svolgere nella gestione dei reclami. Varie questioni richiedono tuttavia un esame più dettagliato, in particolare:
Il Gruppo di lavoro sottolinea in ogni caso l'importanza di assicurare che i tre elementi del principio 7 (risoluzione delle controversie e dei ricorsi, verifica e sanzioni) siano garantiti per tutti i partecipanti al "Safe Harbor", indipendentemente dal meccanismo prescelto, e che le procedure siano accessibili e facili da seguire per le persone interessate. VIII. Autocertificazione (FAQ n. 6) Il Gruppo di lavoro ribadisce la sua preoccupazione che l'autocertificazione possa portare ad abusi. Esso ritiene che, in caso di falsa dichiarazione nell'ambito dei criteri di qualifica (p. es. se un'organizzazione non soddisfa i requisiti del principio 7), il responsabile debba essere cancellato dall'elenco. Lo stesso vale per le organizzazioni con sede negli Stati Uniti aderenti agli accordi "Safe Harbor" che si sono impegnate a cooperare con un'autorità europea di protezione dei dati e non rispettano pienamente tale impegno. Fatto a Bruxelles, il 7 giugno 1999 Per il Gruppo 1 Parere 2/99 sull'adeguatezza dei principi internazionali "Safe Harbor" stabiliti del Ministero del Commercio USA il 19 aprile 1999, adottato il 3 maggio 1999, disponibile in: http://www.europa.eu.int/ comm/dg15/en/media/dataprot/index.htm 2 Stabilita dall'articolo 29 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati, GU L 281, 23 novembre 1995, p. 31. Disponibile in: v. nota 1. 3 Cfr. allegato 1: Elenco delle FAQ. Cfr. allegato 2: FAQ, n. 1 - 6, versione 1° giugno 1999. 4 Il testo relativo a queste 6 nuove FAQ non era disponibile il 3 giugno. Allegato 1: Elenco FAQ ALLEGATO 1: ELENCO DELLE FAQ, VERSIONE 1° GIUGNO 1999 ELENCO DELLE FAQ NEL QUADRO DEI PRINCIPI "SAFE HARBOR" 1) DATI SENSIBILI 2) ECCEZIONI RIGUARDANTI IL TRATTAMENTO DEI DATI PERSONALI A SCOPI GIORNALISTICI 3) RESPONSABILITÀ SECONDARIA 4) CACCIATORI DI TESTE 5) IL RUOLO DELLE AUTORITÀ DI PROTEZIONE DEI DATI 6) AUTOCERTIFICAZIONE 7) VERIFICA 8) ACCESSO 9) DATI SULLE RISORSE UMANE 10) CONTRATTI DELL'ARTICOLO 17 11) INDAGINE INDIPENDENTE SUI RECLAMI 12) GESTIONE DEI RISCHI 13) POSSIBILITÀ DI OPPORSI 14) PRENOTAZIONE VOLI AEREI 15) FARMACEUTICA ALLEGATO 2: TESTO DELLE FAQ N. 1 - 6, VERSIONE 1° GIUGNO 1999 Domande poste frequentemente (FAQ) FAQ N. 1 - Dati sensibili - 31 maggio 1999 Q: Un'organizzazione deve sempre offrire un'esplicita possibilità di opporsi per quanto riguarda i dati sensibili? A: No, tale possibilità non è richiesta se il trattamento è: 1. nell'interesse vitale della persona interessata o di un'altra persona; 2. necessario per presentare azioni o ricorsi giudiziari; 3. richiesto per fornire cure o diagnosi mediche; 4. effettuato nel corso di attività legittime da parte di una fondazione, associazione o altro ente senza scopo di lucro con un obiettivo politico, filosofico, religioso o sindacale e a condizione che il trattamento riguardi solo i membri dell'ente o le persone che hanno regolare contatto con tale ente in connessione con le sue finalità e che i dati siano rivelati ad una terza parte senza il consenso delle persone interessate; 5. necessario per adempiere gli obblighi di un'organizzazione nel campo della legislazione del lavoro; 6. connesso a dati che sono resi manifestamente pubblici dalla persona interessata o sono necessari per azioni o ricorsi giudiziari. FAQ n. 2 - Eccezioni riguardanti il trattamento di dati personali a scopi giornalistici - 31 maggio 1999 Q: Dato che la costituzione americana tutela la libertà di stampa e la direttiva prevede un'esecuzione per il materiale giornalistico, i principi "Safe Harbor" si applicano alle informazioni raccolte, detenute o diffuse per scopi giornalistici? A: Nel caso in cui i diritti di libertà di stampa tutelati dal primo emendamento della costituzione americana siano in contrasto con gli interessi di tutela della privacy, il primo emendamento deve assicurare l'equilibrio di questi interessi per quanto riguarda le attività dei cittadini o delle organizzazioni americane. Le informazioni raccolte per la pubblicazione, la trasmissione o altre forme di comunicazione pubblica di materiale giornalistico, utilizzate o meno, nonché le informazioni ricavate da materiale già pubblicato diffuso da archivi di media, non sono soggette ai principi "Safe Harbor". FAQ n. 3 - Responsabilità secondaria - 31 maggio 1999 Q: I fornitori di servizi Internet, le società di telecomunicazioni o le altre organizzazioni sono soggette ai principi "Safe Harbor" se, per conto di un'altra organizzazione, provvedono soltanto a trasmettere, instradare, smistare od occultare informazioni che possono violarne i termini? A: No. Come nel caso della direttiva stessa, il "Safe Harbor" non crea una responsabilità secondaria. Se un'organizzazione agisce da tramite per i dati e non stabilisce le finalità e i mezzi di trattamento dei dati personali, non sarà responsabile. FAQ N. 4 - Cacciatori di teste, banche d'investimento e revisione dei conti - 30 aprile 1999 Q: Alcune attività economiche richiedono necessariamente il trattamento di dati personali senza che la persona interessata ne sia a conoscenza, ad esempio le attività di cacciatori di teste, delle banche d'investimento e dei revisori dei conti. I principi "Safe Harbor" lo permettono? A: Sì. Come nel caso della direttiva stessa, il "Safe Harbor" non introduce l'obbligo incondizionato di ottenere il consenso delle persone interessate, per informarle sul trattamento dei loro dati o dare loro accesso ai propri dati. Le eccezioni sono permesse, ad esempio, per esigenze di interesse pubblico o se il trattamento è necessario per interessi legittimi perseguiti dalle organizzazioni o da terzi a cui i dati sono rivelati, tranne nel caso in cui i diritti di privacy dell'individuo prevalgono su tali interessi. Le attività dei cacciatori di teste, delle banche di investimento e dei revisori dei conti sono interessi legittimi. FAQ n. 5 - Il ruolo delle autorità di protezione dei dati5 Q: Come saranno presi e realizzati gli impegni delle società intenzionate a cooperare con le autorità europee di protezione dei dati? A: Nel quadro del "Safe Harbor", le organizzazioni americane che ricevono dati dall'UE devono impegnarsi ad utilizzare meccanismi efficaci per assicurare il rispetto dei principi "Safe Harbor". In particolare, devono fornire (1) mezzi di ricorso per le persone a cui si riferiscono i dati, ********(2) procedure di seguito per verificare se le attestazioni e le dichiarazioni relative alla tutela della sfera privata sono veritiere e (3) l'obbligo di risolvere i problemi che nascono dal mancato rispetto dei principi e dalle sue conseguenze per tali organizzazioni. Il principio di applicazione permette alle organizzazioni di impegnarsi a cooperare con le autorità di protezione dei dati (DPA - Data Protection Authorities) dell'Unione europea come mezzo per soddisfare il principio di applicazione nel quadro del "Safe Harbor". Le organizzazioni che scelgono questa possibilità dovranno seguire la procedura di notifica e le altre condizioni indicate qui di seguito. PROCEDURA DI NOTIFICA Un'organizzazione può impegnarsi a cooperare con le DPA dichiarando nella sua notifica "Safe Harbor" al Ministero del Commercio che l'organizzazione: 1. sceglie di soddisfare i punti (a) e (c) del principio di applicazione "Safe Harbor" impegnandosi a cooperare con le DPA competenti; 2. coopererà con la DPAcompetente nell'esame e nella risoluzione dei ricorsi presentati nel quadro del "Safe Harbor"; 3. conformemente alle decisioni di cui all'articolo 25, paragrafo 6, e al progetto di documento sulle procedure UE, rispetterà qualsiasi decisione delle DPA, se queste stabiliscono che l'organizzazione deve adottare ulteriori misure per rispettare i principi "Safe Harbor", comprese le misure di risarcimento o di compensazione a favore delle persone interessate dal mancato rispetto dei principi e dalle sue conseguenze per l'organizzazione. FUNZIONAMENTO Nelle situazioni "Safe Harbor" in cui le organizzazioni americane hanno scelto di cooperare con le autorità di protezione dei dati, i consumatori, i lavoratori o altri interessati europei, dopo aver presentato un reclamo all'organizzazione americana, possono sottoporre il caso, se non è stata raggiunta una soluzione, alla DPA competente. Questa si rivolge a sua volta all'organizzazione importatrice americana per ogni questione relativa al reclamo. Nel caso in cui i reclami o altre questioni specifiche portino la DPA a compiere ulteriori indagini, l'organizzazione americana è tenuta a cooperare con la DPA, nel quadro della notifica "Safe Harbor" al Ministero del Commercio. Questo significa, ad esempio, che l'organizzazione americana deve rispondere a domande della DPA e mettersi a sua disposizione, fornire informazioni o dati raccolti su richiesta della DPA, informare sulle misure di sicurezza o fornire alla DPA un accesso fisico o remoto a banche di dati e altre strutture di dati. L'organizzazione americana fornisce le informazioni richieste alle DPA in Europa. Le DPA non devono recarsi negli USA per esaminare i reclami. Se le parti stesse accettano di risolvere il reclamo, cancellando una persona da un elenco postale o correggendo o eliminando determinati dati, l'organizzazione americana, in conformità al suo impegno di cooperazione, è tenuta ad applicare tale accordo per quanto riguarda i dati pertinenti conservati negli USA. Se le parti non riescono a giungere ad un accordo sul rispetto dei principi "Safe Harbor" o sulle misure di risarcimento o di compensazione che devono essere prese dalle società americane, la decisione spetta alla DPA. L'organizzazione americana è tenuta; in base al suo impegno pubblico, ad attenersi ai risultati di queste procedure, con riserva delle procedure di revisione stabilite nel progetto di documento sulle procedure dell'UE. Questi risultati sono essenzialmente gli stessi che si otterrebbero se un'organizzazione americana non rispettasse le decisioni di un organo di autodisciplina. La differenza è che l'indagine e la determinazione del rispetto dei principi e delle sanzioni sono effettuate in prima istanza dalla DPA senza prima utilizzare i meccanismi di ricorso offerti da un organo di autodisciplina negli USA. Ciò non dovrebbe essere eccessivamente gravoso per le DPA. In assenza di quest'opzione di applicazione nel quadro del "Safe Harbor", le DPA sarebbero obbligate in ogni caso a indagare e a prendere decisioni sui ricorsi relativi a trasferimenti di dati negli USA, ma tale applicazione avverrebbe in una fase successiva della procedura di ricorso stabilita nel progetto di documento sulle procedure dell'UE. MOTIVAZIONE La scelta di impegnarsi a cooperare con le DPA è, per vari motivi, un'importante alternativa di applicazione per le organizzazioni americane. In primo luogo, ricorrere al settore privato per trovare una soluzione negli Stati Uniti non è un modo ideale per risolvere questioni di protezione dei dati che sorgono da rapporti di lavoro in Europa. La cooperazione con le DPA sarebbe un'alternativa molto migliore per questo tipo di ricorsi. In secondo luogo, quest'opzione di applicazione potrebbe permettere alle organizzazioni americane di conformarsi al "Safe Harbor" più velocemente che affidandosi a meccanismi di autodisciplina sviluppati negli USA. È improbabile che i meccanismi di autodisciplina siano disponibili per tutte le categorie di trasferimento di dati verso gli Stati Uniti non appena il "Safe Harbor" sarà in vigore. Alcuni programmi del settore privato sono in via di elaborazione, ma lo sviluppo completo e l'attuazione di questi e di altri programmi si protrarranno indubbiamente fino alla chiusura delle discussioni sul "Safe Harbor". L'impegno a cooperare con la DPA può contribuire a colmare questa lacuna. Quest'opzione permetterebbe infine a più organizzazioni americane di partecipare al "Safe Harbor". Alcune organizzazioni americane possono avere difficoltà, data la relativa singolarità della loro attività o per altre ragioni, a trovare organismi di autodisciplina in grado di rispondere ai loro bisogni specifici. Inoltre, può non esserci un ente regolatore o statutario americano autorizzato a trattare tali reclami. L'impegno a cooperare con le DPA permetterebbe comunque a queste organizzazioni di conformarsi al "Safe Harbor". FAQ n. 6 - Autocertificazione - 31 maggio 19996 Q: Come può un'organizzazione autocertificare che aderisce ai principi "Safe Harbor"? A: Per autocertificare l'adesione al "Safe Harbor", le organizzazioni devono fornire al Ministero del Commercio o a una persona da esso designata una lettera firmata da un loro funzionario, contenente almeno le seguenti informazioni: - nome dell'organizzazione, indirizzo postale, indirizzo di posta elettronica, numero di telefono e fax; - descrizione delle principali attività dell'organizzazione; - descrizione delle disposizioni adottate dell'organizzazione in materia di tutela della privacy, precisando dove il pubblico può prenderne conoscenza; - la data della loro effettiva applicazione; - la persona con cui prendere contatto per il trattamento dei reclami, delle richieste di accesso e di qualsiasi altra questione relativa al "Safe Harbor"; - gli organi statutari specifici competenti a esaminare i reclami contro l'organizzazione riguardanti possibili pratiche sleali o ingannevoli; - il nome dei programmi relativi alla privacy a cui partecipa l'organizzazione; - il metodo di verifica (p. es. all'interno della società, effettuata da terzi) * ; - il meccanismo di ricorso indipendente disponibile per indagare sui reclami non risolti. Il Ministero (o la persona da esso designata) conserverà un elenco di tutte le organizzazioni che si autocertificano per il "Safe Harbor". Quest'elenco e le lettere di autocertificazione presentate dalle organizzazioni saranno resi pubblici. Tutte le organizzazioni che si autocertificano per il "Safe Harbor" devono specificare nelle loro dichiarazioni pubbliche sulla politica in materia di privacy che esse aderiscono ai principi "Safe Harbor". Qualsiasi falsa dichiarazione resa al Ministero o in pubblico sull'adesione dell'organizzazione ai principi "Safe Harbor" è perseguibile dalla Commissione federale per il commercio o da un altro organo statutario competente. Fatto a Bruxelles, il 7 giugno 1999 Per il Gruppo (1) sceglie di soddisfare i punti (a) e (c) del principio di applicazione "Safe Harbor" impegnandosi a cooperare con le DPA competenti; (2) coopererà con la DPAcompetente nell'esame e nella risoluzione dei ricorsi presentati nel quadro del "Safe Harbor"; (3) conformemente alle decisioni di cui all'articolo 25, paragrafo 6, e al progetto di documento sulle procedure UE, rispetterà qualsiasi decisione delle DPA, se queste stabiliscono che l'organizzazione deve adottare ulteriori misure per rispettare i principi "Safe Harbor", comprese le misure di risarcimento o di compensazione a favore delle persone interessate dal mancato rispetto dei principi e dalle sue conseguenze per l'organizzazione. 5 Testo distribuito ai partecipanti durante l'ultima riunione del Comitato dell'articolo 31, il 21 maggio. Diventerà una FAQ se le autorità nazionali di protezione dei dati accettano di svolgere questo ruolo. 6 Dato che la FAQ sull'autocertificazione descrive le informazioni che le società devono fornire al Ministero del Commercio per essere iscritte nel registro "Safe Harbor", questo testo non dovrebbe più essere una FAQ, ma essere allegato ai principi "Safe Harbor" stessi. La parte americana è disposta ad accettare questo, se otterrà soddisfazione sullo status delle FAQ * Vedere FAQ sulla verifica |