CE - GRUPPO DI LAVORO SULLA TUTELA DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI PARERE 7/1999 riguardante il livello di tutela dei dati offerto dai principi dell'approdo sicuro (Safe Harbor) pubblicati con le FAQ (domande poste frequentemente) ed altri documenti in materia dal Ministero del commercio USA il 15 e 16 novembre 1999 - wp27Adottato il 3 dicembre 1999 IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI Istituito con la direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 1 Visti gli articoli 29 e 30, paragrafo b, della suddetta direttiva, Visto il suo regolamento interno, in particolare gli articoli 12 e 14, HA ADOTTATO IL SEGUENTE PARERE 7/99: Introduzione Il gruppo di lavoro riafferma la sua politica generale sulla metodologia per la valutazione dell'adeguatezza della tutela dei dati nei paesi terzi, esposta nel suo documento di lavoro del 24 luglio 1998 (WP 12: "Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati"2). Il gruppo di lavoro ha seguito con attenzione i colloqui della Commissione con il Ministero del commercio degli Stati Uniti, ne riconosce l'importanza e valuta positivamente l'impostazione di "Safe Harbor"; il gruppo di lavoro desidera contribuire al buon esito di tali colloqui e ritiene che un risultato positivo dipenda dalla conformità ad un certo numero di requisiti di base. In questo contesto, il gruppo di lavoro ricorda che le versioni precedenti dei principi dell'"approdo sicuro" (Safe Harbor) e delle domande poste frequentemente (FAQ) sono state il tema dei seguenti documenti programmatici: - Parere 1/99 del 26 gennaio 1999 (WP 15); - Parere 2/99 del 19 aprile 1999 (WP 19); - Parere 4/99 del 7 giugno 1999 (WP 21) e documento di lavoro del 7 settembre 1999 riguardante una parte delle FAQ (non reso pubblico); - Documento di lavoro del 7 luglio 1999 (WP 23). Questo parere si riferisce all'ultima versione dei principi dell'"approdo sicuro", delle FAQ e dei relativi documenti, pubblicati il 15 e 16 novembre 1999 3. Il gruppo di lavoro si rammarica che il tempo per una presa di posizione su una questione così importante sia stato così breve, rileva che nessuno dei documenti è considerato "definitivo" e riserva pertanto la sua posizione per quanto riguarda ogni ulteriore modifica dei testi. Il gruppo di lavoro constata che sono stati realizzati progressi, ma deplora che la maggior parte delle osservazioni formulate nei suoi documenti programmatici precedenti non abbia trovato eco nella versione più aggiornata dei documenti statunitensi. Il gruppo di lavoro ribadisce pertanto le sue preoccupazioni. Ai fini di una possibile constatazione di adeguatezza, e considerando l'effetto particolare che tale constatazione positiva avrebbe come punto del riferimento per altri paesi terzi, il gruppo di lavoro ritiene che l'"approdo sicuro" debba offrire sicurezza giuridica non solo alle organizzazioni degli Stati uniti ma anche alle parti interessate dall'UE (responsabili del controllo che desiderano trasferire dati agli Stati Uniti, persone oggetto di un trasferimento di dati, autorità di protezione dei dati). Fin dal parere 1/99 il gruppo di lavoro ha costantemente ribadito il punto di vista che, in termini di contenuto, i principi dell'"approdo sicuro" devono comprendere, per essere accettabili, "almeno tutti i principi precisati nelle direttive OCSE sulla tutela della sfera privata", adottati anche dagli Stati Uniti e recentemente riaffermati alla Conferenza OCSE di Ottawa dell'ottobre 1998. Campo di applicazione e struttura Il gruppo di lavoro ritiene che i principi dell'"approdo sicuro" siano tali da poter guidare l'elaborazione dei dati trasferiti agli Stati Uniti da un responsabile del controllo dell'Unione Europea. Per quanto riguarda la raccolta di dati personali da singoli nell'UE, il gruppo di lavoro ricorda che si applicano, in linea di principio, le disposizioni nazionali di applicazione della direttiva. Il gruppo di lavoro ricorda che ogni constatazione di adeguatezza ai sensi dell'articolo 25, paragrafo 6 della direttiva può soltanto fare riferimento alla tutela degli individui per quanto riguarda l'elaborazione dei dati nel paese terzo in questione e non può influire sul diritto nazionale applicabile ai sensi dell'articolo 4 (c) della direttiva stessa. Per quanto riguarda l'"approdo sicuro", il gruppo di lavoro raccomanda che il suo campo d'applicazione sia definito chiaramente e senza ambiguità, sia per quanto riguarda i beneficiari che per quanto riguarda le categorie di trasferimenti dei dati. In base al quarto paragrafo dei Principi, i vantaggi dell'"approdo sicuro" si applicano dalla data in cui le organizzazioni che desiderano qualificarsi per l'"approdo sicuro" forniscono un'autocertificazione al Ministero del commercio o alle istanze da esso designate notificando la propria adesione a tali principi. In base alla FAQ 6, tali lettere di autocertificazione vanno fornite a distanza di almeno un anno l'una dall'altra; il Ministero (o la persona da esso designata) "conserverà un elenco di tutte le organizzazioni che inoltrano queste lettere, assicurando così la disponibilità dei benefici "Safe Harbor", ed aggiornerà tale elenco in base alle lettere annuali" e alle notifiche di non-conformità. In base alla FAQ 11, i casi di non conformità di organizzazioni aderenti all'"approdo sicuro" saranno inseriti nell'elenco. A tale riguardo, il gruppo di lavoro rileva che: 1. Nessun controllo preliminare viene effettuato dal Ministero del Commercio per accertare se un'organizzazione soddisfi effettivamente i criteri di qualificazione (conformità ai principi della politica in materia di riservatezza, giurisdizione di un ente tipo FTC in caso di pratiche ingannevoli); 2. La richiesta di un'autocertificazione annuale è intesa a migliorare l'affidabilità dell'elenco; tuttavia, poiché il rinnovo dell'autocertificazione non è obbligatorio, un'organizzazione potrebbe aderire ai principi per un anno e successivamente ritirarsi dall'"approdo sicuro"; inoltre, è possibile che le organizzazioni non conformi che non vengono identificate come tali scompaiano dall'elenco soltanto dopo un periodo relativamente lungo, nel corso del quale i dati personali continuerebbero a essere trasferiti; 3. Le fusioni e gli assorbimenti tra imprese sono sempre più frequenti, in particolare per le imprese che operano on-line. Un'organizzazione che aderisce ai principi potrebbe essere ripresa da un'organizzazione che non può o non vuole qualificarsi per l'"approdo sicuro", o fondersi con essa. Nella sua forma attuale, "approdo sicuro" è un metodo volontario offerto alle organizzazioni statunitensi sulla base dell'autocertificazione (FAQ 6) e della valutazione autonoma (FAQ 7), sostenuto dalle disposizioni di legge nel caso di falsa dichiarazione o di pratiche ingannevoli. Ciò significa che, salvo in caso di reclamo, qualsiasi organizzazione americana che rivendichi i vantaggi dell'"approdo sicuro" sarebbe autorizzata a ricevere i dati personali dall'UE. Considerando quanto esposto sopra, il gruppo di lavoro invita la Commissione a prendere in considerazione mezzi per assicurare la tutela continuata dei dati personali che possono essere trasferiti a: - organizzazioni che non avrebbero mai dovuto figurare sull'elenco perché non soddisfacevano i criteri di qualificazione; - organizzazioni che, pur figurando nell'elenco, non sono conformi ai principi; - organizzazioni che, dopo aver figurato nell'elenco per un anno, non dovrebbero più figurare nell'elenco dell'anno successivo, perché non rinnovano l'autocertificazione o perché non si qualificano più per l'"approdo sicuro"; - organizzazioni figuranti nell'elenco che vengono rilevate da una società che non si qualifica per l'"approdo sicuro" (perché non può o non vuole aderire ai principi). Fra i mezzi possibili per assicurare la protezione continuata, il gruppo di lavoro invita la Commissione a considerare la soppressione o la rimozione dei dati trasferiti ad un'organizzazione che rientra in una delle categorie di cui sopra. Il gruppo di lavoro auspica inoltre il chiarimento della possibile applicabilità continuata delle disposizioni sulle pratiche ingannevoli del Federal Trade Commission Act. Per ragioni di certezza del diritto, il gruppo di lavoro ribadisce che l'elenco dei beneficiari deve essere completamente affidabile, aggiornato e facilmente accessibile al pubblico. Nel suo documento di lavoro del 7 luglio 1999 il gruppo di lavoro aveva già richiesto un chiarimento su due punti specifici, ossia: a) i settori che sarebbero esclusi dal campo d'applicazione dell'"approdo sicuro" perché non rientrano nella giurisdizione di un organismo pubblico del tipo FTC (ad esempio: i dati sui dipendenti, il settore senza scopo di lucro); b) le attività che l'organizzazione che si qualifica per l'"approdo sicuro" può scegliere di escludere per scelta imprenditoriale. Per quanto riguarda il punto a), il gruppo di lavoro attribuisce la massima importanza alle lettere del presidente della FTC del 23 settembre 1998 e dell'1 novembre 1999; da tali lettere emerge chiaramente che la giurisdizione della FTC si estende alle azioni o prassi sleali o ingannevoli solo se "nel commercio o tali da avere ripercussioni su di esso". Ciò sembra escludere la maggior parte dei dati elaborati rilevati nell'ambito di un rapporto di lavoro (FAQ 9) e i dati elaborati senza scopo commerciale (per esempio, organizzazioni senza scopo di lucro, settore della ricerca). Il gruppo di lavoro raccomanda pertanto che queste categorie di trasferimenti di dati siano espressamente escluse dall"approdo sicuro". Per quanto riguarda il punto b), il gruppo di lavoro nota che la FAQ 6 invita le organizzazioni a descrivere le "attività dell'organizzazione coperte dai suoi impegni Safe Harbor". Ciò implica che la stessa organizzazione potrebbe aderire all'"approdo sicuro" e restarne nel contempo al di fuori. Il gruppo di lavoro ritiene che una situazione del genere crei un'incertezza giuridica (in particolare per quanto riguarda lo scambio di informazioni all'interno di un'organizzazione) e richieda il chiarimento della nozione di "attività". Eccezioni ed esenzioni Il gruppo di lavoro ribadisce la sua preoccupazione che l'adesione ai principi possa essere limitata da un'eventuale "legge, regolamento governativo o giurisprudenza" (paragrafo 5 lettera b) dei principi) senza ulteriore qualifica. Questo sembra applicarsi alle leggi di Stato come pure alle leggi federali, al presente o in futuro. Per garantire la certezza del diritto e la non discriminazione rispetto ad altre constatazioni di adeguatezza, il gruppo di lavoro raccomanda che siano fissati criteri più precisi per tali eccezioni e limitazioni, illustrati da esempi concreti, e che il loro effetto sia adeguatamente preso in considerazione. Per quanto riguarda l'esigenza di criteri più precisi, il gruppo di lavoro raccomanda di effettuare una chiara distinzione tra le opzioni e gli obblighi: l'adesione ai principi dovrebbe essere limitata soltanto nella misura in cui ciò è necessario per adempiere agli obblighi di legge o normativi (che comunque prevarrebbero sui principi) ma non a seguito di opzioni concesse dalla legislazione degli Stati Uniti, poiché questo causerebbe un serio indebolimento dei principi. Per ragioni di trasparenza e di certezza del diritto, il gruppo di lavoro ritiene essenziale che la Commissione sia informata di ogni statuto o decreto legge che possa influire sull'adesione ai principi. Per quanto riguarda il paragrafo 5, lettera c), il gruppo di lavoro raccomanda che ci si limiti alle eccezioni permesse dalla direttiva, che copre tutte le eccezioni ammesse dalla legge degli Stati membri. Il gruppo di lavoro ritiene che nessuna eccezione possa essere invocata al di fuori del suo contesto specifico, e che ogni eccezione può essere fatta valere soltanto per conseguire un fine specifico. Il gruppo di lavoro esprime preoccupazione per il fatto che, oltre alle eccezioni già esposte, le FAQ contemplano un lungo elenco di ulteriori eccezioni, che portano in alcuni casi all'esenzione di intere categorie di dati: questo è vero, in particolare, per la vasta categoria dei "dati disponibili pubblicamente", che possono essere in effetti "disponibili pubblicamente" indipendentemente da qualsiasi considerazione di legittimità di elaborazione o di precisione dei dati. Il gruppo di lavoro sottolinea che tale esenzione non è contemplata dagli orientamenti OCSE e ritiene che accettarla significherebbe creare una comoda scappatoia alla tutela dei dati. Notifica Il gruppo di lavoro ribadisce la posizione, reiterata in tutti i suoi pareri precedenti, secondo la quale l'"approdo sicuro" (e di fatto ogni constatazione di adeguatezza) può soltanto interessare il trattamento dei dati trasferiti da un dispositivo di controllo dei dati dell'UE ad un paese terzo: i dispositivi di controllo dei dati dell'UE sono soggetti alle disposizioni nazionali che applicano la direttiva; lo stesso dicasi per i casi in cui i dati personali sono raccolti direttamente da singoli nell'UE da un'organizzazione statunitense che utilizza strutture situate sul territorio di uno Stato membro (articolo 4 della direttiva). Tutto questo è ora riconosciuto dagli Stati Uniti al punto D1 delle FAQ n.14 sui prodotti farmaceutici e medicinali, ed nelle FAQ 9 sui dati riguardanti le risorse umane. Tuttavia, il principio della notifica afferma che: " L'avviso dev'essere formulato (...) quando gli individui vengono invitati per la prima volta a fornire informazioni personali alle organizzazioni, oppure non appena possibile". La frase sopra citata sembra implicare che la raccolta dei dati da singoli nell'UE da parte di organizzazioni statunitensi sarebbe regolata dai principi dell'"approdo sicuro", e non dalle disposizioni nazionali di applicazione della direttiva. Le sue conseguenze andrebbero quindi al di là del principio di notifica. Il gruppo di lavoro ritiene che ciò non sia conforme all'articolo 4 della direttiva e raccomanda che la frase succitata sia omessa e sostituita dalla chiara indicazione che: - qualora un'organizzazione USA intenda rilevare dati personali direttamente dai singoli cittadini nell'UE, essa deve conformarsi alle disposizioni nazionali in materia ai sensi della direttiva (ad esempio: articoli 6, 7, 10, 14 e, se del caso, articolo 8); - qualora i dati personali vengano trasferiti all'organizzazione USA da un responsabile del controllo dei dati riconosciuto nell'UE, l'organizzazione dovrà richiedere a quest'ultimo di indicare a quale scopo i dati erano stati originariamente raccolti (questo è essenziale per determinare se un cambiamento di finalità si è verificato dopo il trasferimento, rendendo operativi i principi di avviso e di scelta; inoltre, la precisazione contribuirebbe alla ripartizione del rischio e della responsabilità). Il gruppo di lavoro suggerisce che i punti di cui sopra siano oggetto di un nuovo documento FAQ volto a chiarire il principio di notifica. Il gruppo di lavoro inoltre raccomanda di modificare il principio di notifica in modo da garantire che sia data notifica nel caso in cui i dati siano usati da un'organizzazione diversa. Per quanto riguarda le FAQ 4, il gruppo di lavoro nota che nulla giustifica l'elaborazione di dati personali senza il consenso o la conoscenza degli interessati. Inoltre, lo stesso documento fa riferimento ad "altre circostanze in cui l'applicazione dei suddetti principi pregiudicherebbe gli interessi legittimi dell'organizzazione stessa" che il gruppo di lavoro considera una scappatoia troppo evidente. Il gruppo di lavoro fa notare che il documento FAQ 14 sui prodotti farmaceutici e medicinali è recente e che il testo nella sua forma attuale pone diversi interrogativi, in particolare l'utilizzazione di dati per scopi incompatibili con quelli relativi alla ricerca scientifica. Scelta Il gruppo di lavoro ribadisce il parere espresso nel suo documento di lavoro del 7 luglio 1999: poiché i principi non includono alcun criterio di "legittimazione del trattamento", è auspicabile un rafforzamento del principio di scelta. Nella sua attuale versione, la combinazione dei principi di notifica e di scelta risulta nella possibilità di utilizzare i dati per scopi diversi da quelli notificati senza dovere offrire la possibilità di scegliere (a meno che lo scopo sia incompatibile o si tratti di informazioni a carattere delicato); questo contravviene agli orientamenti dell'OCSE ("Principio della limitazione dell'utilizzazione") 4. Il gruppo di lavoro sostiene il principio che la possibilità di scegliere debba essere offerta quando i dati sono utilizzati per uno scopo compatibile ma diverso. Il gruppo di lavoro condivide la posizione della Commissione espressa nella nota a piè di pagina al paragrafo relativo al principio di scelta, raccomanda che la definizione di dati delicati sia conforme all'articolo 8 della direttiva e ritiene che la scelta possa soltanto essere una base per l'elaborazione legittima solo se è basata su un'informazione adeguata. Trasferimento successivo Il gruppo di lavoro constata con preoccupazione l'aggiunta a questo principio dell'ultima frase, che solleva completamente le organizzazioni dalle loro responsabilità nel caso in cui le informazioni siano trasferite a terzi. Il singolo può non disporre di alcun ricorso legale eccetto contro l'organizzazione che ha operato il trasferimento e che può avere effettivamente agito avventatamente nel trasferire le informazioni. Il gruppo di lavoro raccomanda che la limitazione della responsabilità sia riconsiderata per mantenere la responsabilità dell'organizzazione che opera il trasferimento nei casi di negligenza e di comportamento incauto ed affinché l'organizzazione che opera il trasferimento sia tenuta ad assistere il singolo in caso di ricorso. Sicurezza Il gruppo di lavoro raccomanda che il testo della FAQ n. 10 sia modificato togliendo l'affermazione che all'interno del contratto non sono necessarie disposizioni riguardanti la sicurezza, poiché la legge di diversi Stati membri richiede tali disposizioni anche nei contratti per l'elaborazione dei dati presso lo Stato membro stesso. Integrità dei dati Il gruppo di lavoro ricorda che al paragrafo 8 degli orientamenti OCSE "i dati devono essere attinenti all'uso cui sono destinati e, nella misura in cui è necessario per l'uso suddetto, devono essere attendibili, completi ed aggiornati". Il principio dell'"approdo sicuro" dovrebbe riflettere questa posizione. Accesso Il gruppo di lavoro ricorda che il principio dell'accesso è di fondamentale importanza per ogni efficace regime di protezione dei dati, in quanto è il punto dal quale si dipartono tutti i diritti delle persone interessate. Il gruppo di lavoro insiste sul fatto che le eccezioni a questo principio fondamentale sono permesse soltanto in circostanze eccezionali e ribadisce la preoccupazione espressa in tutte le prese di posizione precedenti per quanto riguarda la portata e il carattere vago delle eccezioni e delle condizioni che gli Stati Uniti prevedono in relazione all'esercizio di questo diritto fondamentale. Il gruppo di lavoro ribadisce il punto di vista che le considerazioni di costo sono necessarie per determinare le condizioni alle quali il diritto può essere esercitato, ma non possono essere una condizione al diritto stesso. A differenza degli orientamenti 5 dell'OCSE, i principi dell'"approdo sicuro" non riconoscono il diritto individuale di ricevere le informazioni "in forma facilmente comprensibile". Inoltre, il principio dell'accesso limita il diritto di cancellare i dati ai casi in cui questi sono inesatti (il che è ovvio); nel suo parere 2/99 il gruppo di lavoro ha già espresso l'opinione che, per avere un senso, il diritto della persona interessata alla cancellazione dei dati deve applicarsi a tutti i casi in cui il relativo trattamento è illegale; ciò dovrebbe essere specificato nel principio e non nel testo delle FAQ. La FAQ 8 elenca numerose eccezioni al principio di accesso; il gruppo di lavoro accoglie favorevolmente il fatto che alcune di queste eccezioni, rispetto al testo precedente, sono state limitate o chiarite. Tuttavia, il quadro globale dà ancora l'impressione che l'enunciato di questa FAQ indebolisca il principio anziché fornire indicazioni sulla sua applicazione. In particolare, il gruppo di lavoro ripete le sue obiezioni in merito ai punti D2 (nozione poco chiara), e D7. Per quanto riguarda il punto D5, il gruppo di lavoro ribadisce il suo punto di vista che i casi in cui l'accesso deve essere negato sono troppo ampi e vaghi e che la formulazione implica che tali considerazioni automaticamente scavalcano il diritto di accesso. Il gruppo di lavoro esprime preoccupazione per il fatto che ciò potrebbe provocare un serio indebolimento del livello globale di protezione dei dati. Per quanto riguarda il punto D6, il gruppo di lavoro ritiene inadeguata la formulazione del secondo paragrafo e raccomanda o la sua soppressione o una formulazione più restrittiva, in modo da limitarlo all'esclusione degli abusi del diritto d'accesso. Il gruppo di lavoro ribadisce altresì la sua opposizione al punto D8, per le ragioni già esposte nel documento di lavoro del 7 settembre 1999; inoltre, il fatto che le informazioni siano pubblicamente disponibili non priva gli interessati del loro diritto di accesso. Applicazione Il gruppo di lavoro accoglie favorevolmente le informazioni dettagliate fornite dagli Stati Uniti nelle ultime settimane di colloqui (in particolare: lettera della FTC, raffronto dei meccanismi del settore privato americano per il componimento delle controversie in materia di privacy, la FAQ 11, il memorandum sul Fair Credit Reporting Act).Tali informazioni sono preziose ed hanno permesso al gruppo di lavoro di disporre di un quadro più chiaro delle strutture di applicazione che possono essere messe a disposizione degli interessati. Avendo esaminato i documenti succitati, il gruppo di lavoro esprime il timore che: 1. I meccanismi del settore privato esistenti si occupino esclusivamente delle attività online: BBB On-line; Web Trust; TRUSTe: (sottolineatura aggiunta) 6; 2. Lo stesso si constata nella lettera del Presidente FTC dell'1 novembre 1999 (paragrafo 2: "online privacy", "Internet environment"; paragrafo 3: online marketplace, survey of web sites; paragrafo 4: "online privacy policies"" e così via; sottolineatura aggiunta) 7. 3. Ai sensi del paragrafo 4 dei principi, possono godere dei vantaggi dell'"approdo sicuro" le organizzazioni soggette a "norme statutarie, di regolamentazione, amministrative o d'altro tipo (o a norme stabilite da borse valori nazionali, associazioni registrate di agenti di borsa, agenzie di compensazione registrate, ovvero enti normativi in materia di titoli municipali) che tutelino efficacemente la riservatezza dei dati personal i ".Tuttavia, nessun'informazione è stata fornita sugli enti pubblici che assicurerebbero l'applicazione di una così vasta gamma di regolamentazioni. In queste circostanze, il gruppo di lavoro esprime il parere che il campo d'applicazione di ogni constatazione di adeguatezza debba essere espressamente limitato ai settori per i quali informazioni sufficienti ed inequivocabili sono state raccolte e per i quali è stata accertata l'esistenza di meccanismi di applicazione. In effetti, l'estensione del campo d'applicazione di una constatazione di adeguatezza oltre questo limite esporrebbe la decisione alla contestazione e questo non è auspicabile per nessuna delle parti interessate. Per quanto riguarda il principio di applicazione, il gruppo di lavoro ritiene che, per avere un significato, il principio debba comprendere il risarcimento di ogni danno subito dall'individuo in seguito alla violazione dei principi: questo è un parere generale del gruppo di lavoro e si applica ad ogni paese terzo (documento di lavoro sul trasferimento dei dati personali verso paesi terzi: WP 12 del 24 luglio 1998, pagina 14: "riparazione adeguata". Nei casi in cui la riparazione dei danni non è contemplata nella normativa americana esistente, l'organizzazione privata dovrebbe poter offrire questa possibilità come condizione per qualificarsi per l'"approdo sicuro". Per quanto riguarda le FAQ 11 (Risoluzione delle controversie e applicazione), il gruppo di lavoro rileva che questo testo esamina una serie di aspetti relativi all'applicazione l'importanza dei quali è tale che dovrebbero essere inclusi nel principio di applicazione stesso. Per il collegamento tra i diversi livelli d'applicazione è particolarmente importante che gli organismi preposti alla composizione delle controversie adottino la prassi di riferire i casi irrisolti alla FTC. I requisiti di trasparenza e rapidità del meccanismo di composizione delle controversie dovrebbero inoltre essere integrati nel principio. In base alle FAQ 11, gli organismi preposti alla composizione delle controversie possono richiedere requisiti di ammissibilità per l'accettazione dei reclami. Il gruppo di lavoro ritiene che requisiti di questo tipo debbano essere espliciti, oggettivi e ragionevoli. Inoltre, il rifiuto di dare seguito ai reclami dovrebbe essere debitamente motivato. In generale, il gruppo di lavoro nota che le disposizioni di applicazione negli Stati Uniti presentano un quadro piuttosto confuso nel quale non è possibile identificare con facilità quali siano i diritti del cittadino in caso di violazione dei principi. Le FAQ 11 offrono semplicemente una serie di raccomandazioni che possono condurre ad un'esecuzione frammentata ed irregolare. FAQ 5 - Ruolo delle autorità di protezione dei dati Il gruppo di lavoro ha discusso il testo della FAQ 5 proposto dagli USA e conclude che il ruolo delle autorità di protezione dei dati previsto in questo testo non è legalmente o praticamente realizzabile. In particolare, il gruppo di lavoro nota che la legislazione nazionale non conferisce alle autorità nazionali la competenza di trattare i reclami concernenti le violazioni delle norme di protezione dei dati al di fuori della loro giurisdizione. Il gruppo di lavoro prende atto d'altra parte della disponibilità delle autorità nazionali ad offrire la loro cooperazione sotto forma di informazioni e di consulenza, se questo può essere utile nel contesto dell'"approdo sicuro". Il gruppo di lavoro constata che la cooperazione è stata promossa dagli Stati Uniti per un periodo limitato successivo al lancio dell'"approdo sicuro". In questo contesto, il gruppo di lavoro invita la Commissione a considerare se l'offerta di fornire informazioni e consulenza, combinata con l'impegno unilaterale da parte dell'organizzazione americana interessata di adeguarsi al parere delle autorità nazionali - un impegno che, se non rispettato, avrebbe come conseguenza un'azione per frode da parte della FTC - potrebbe contribuire al rispetto dei requisiti di cui alla parte (a) del principio di applicazione dell'"approdo sicuro". In caso affermativo, il gruppo di lavoro fa notare che le autorità nazionali potrebbero essere disposte a cooperare in questo modo per un periodo iniziale di 3 anni. Il gruppo di lavoro rileva inoltre che le autorità nazionali potranno voler rivedere l'accordo entro la fine di quel periodo se il numero di organizzazioni americane che si valgono di questa possibilità fosse tale da poter affermare che, in luogo di essere un accordo provvisorio per colmare una lacuna limitata, esso viene a sostituirsi negli Stati Uniti agli accordi di applicazione veri e propri 8. Il gruppo di lavoro invita inoltre la Commissione a studiare in che modo potrebbe essere utile un meccanismo a livello europeo, che potrebbe inter alia fornire una tribuna per contribuire ad assicurare un'impostazione coordinata ed armonizzata. Proposta di decisione della Commissione del 24 novembre 1999 Il gruppo di lavoro desidera attirare l'attenzione della Commissione su quanto segue: 1. La proposta non fa alcun riferimento al lavoro effettuato dal gruppo di lavoro per stabilire i criteri di valutazione dell'adeguatezza nei paesi terzi (WP 12). Il gruppo di lavoro ritiene che la valutazione dell'adeguatezza debba essere effettuata sulla base di tali criteri per garantire un'impostazione equilibrata ed imparziale a tutti i paesi terzi, indipendentemente dal modo scelto - norme di legge o autodisciplina - per garantire la protezione dei dati. Dovrebbe inoltre essere fatto riferimento specifico ai pareri già espressi dal gruppo di lavoro sull'"approdo sicuro", indicando dove sono stati pubblicati. 2. Sulla sostanza della decisione, il gruppo di lavoro osserva che i criteri per l'adesione all"approdo sicuro" non sono gli stessi nei testi americani e nella proposta di decisione. Ai sensi dei paragrafi introduttivi 3 e 4 dei principi degli Stati Uniti, le organizzazioni possono qualificarsi per l'"approdo sicuro" in uno dei seguenti modi: "a) aderendo a un programma di autodisciplina in materia di riservatezza che ottemperi ai principi, b) sviluppando proprie politiche in materia di riservatezza, purché conformi ai principi, c) essendo soggette a normative statutarie, di regolamentazione, amministrative o altre che tutelino efficacemente la riservatezza" Secondo l'articolo 1 della proposta di decisione della Commissione, si considera che aderiscono all'"approdo sicuro", le organizzazioni che: " dichiarano pubblicamente di conformarsi ai principi e sono soggette ai poteri statutari di un ente pubblico indipendente autorizzato ad esaminare qualsiasi reclamo e ad ottenere provvedimenti inibitori contro prassi sleali o ingannevoli." I principi devono conformarsi alla decisione. 3. Il gruppo di lavoro osserva inoltre che il considerando 8 afferma che la legge contempla diverse eccezioni alla giurisdizione della Federal Trade Commission, senza peraltro indica re in modo specifico i settori esclusi o se tutti i settori esclusi sono soggetti alla giurisdizione di un altro organismo pubblico. Analogamente, si dovrebbe fare riferimento alle disposizioni che conferiscono ai pochi enti pubblici citati il potere di agire contro le pratiche ingannevoli o le dichiarazioni false. Poiché l'essere soggette alla giurisdizione di un organismo pubblico abilitato ad agire contro le pratiche sleali o ingannevoli è una conditio sine qua non per le organizzazioni che desiderano aderire all'"approdo sicuro", il gruppo di lavoro ritiene fondamentale chiedere che vengano forniti chiarimenti su questo punto e che il campo d'applicazione dell'"approdo sicuro" sia limitato ai settori soggetti alla giurisdizione di un organismo pubblico di questo tipo. 4. La proposta di decisione della Commissione non fa menzione del modo in cui le organizzazioni possono perdere i vantaggi dell'"approdo sicuro" - o, per dirlo in parole più semplici, quali siano le procedure per l'esclusione dall'elenco del Ministero del commercio. Il solo impegno che figura nei testi statunitensi è quello di inserire nell'elenco "qualsiasi notifica ricevuta da organismi di risoluzione delle controversie, di autoregolamentazione e/o governativi riguardante casi in cui organizzazioni che aderiscono all'"approdo sicuro" continuano a non conformarsi ai suoi principi o eventuali decisioni dei suddetti organismi. Ciò avverrà però solo dopo aver fornito all'organizzazione in questione la possibilità di replicare entro trenta giorni.". (FAQ 11) In base alla proposta di decisione, un'indicazione negativa può solo dare origine alla sospensione del trasferimento dei dati, ai sensi dell'articolo 2.2.(a). Nella situazione attuale, l'eventuale sospensione ai sensi dell'articolo 2.2.(a) non comparirebbe nell'elenco, in quanto questo non fa menzione di constatazioni negative effettuate nell'Unione europea. Inoltre, il gruppo di lavoro è dell'avviso che le condizioni previste dall'articolo 2.2 9 per la sospensione del trasferimento dei dati rischia di dimostrarsi di difficile applicazione pratica, cosa inaccettabile nel caso in cui ci sia violazione dei diritti individuali. Nel testo dell'articolo 2.2, pertanto, le parole "danno irreparabile" andrebbero sostituite con "danno grave e imminente". 5. Il gruppo di lavoro rileva che l'articolo 1, paragrafo 3, riporta un testo proposto dagli Stati Uniti che recita: " Si presume che il rispetto delle leggi statunitensi Fair Credit Reporting Act o Financial Modernization Act garantisca un livello adeguato di protezione per quanto riguarda le attività di un'organizzazione che rientrano nel campo d'applicazione di tali leggi.". Per quanto riguarda queste leggi degli Stati Uniti, il gruppo di lavoro attira l'attenzione della Commissione sul fatto che un'analisi della FCRA era all'ordine del giorno della 17*********15********* riunione del 7 giugno, ma né la legge né la valutazione di adeguatezza erano state discusse per mancanza di tempo e, per quanto riguarda la legge Financial Modernization Act, il gruppo di lavoro ha soltanto di recente preso visione del testo. Alla luce di quanto sopra, il gruppo di lavoro può esprimere un parere sul livello di adeguatezza di queste due leggi soltanto dopo una discussione approfondita. Qualora dall'esame delle due leggi non emergesse alcuna constatazione di adeguatezza, ogni riferimento ad esse dovrà essere tolto dalla decisione. 6. Il gruppo di lavoro è inoltre dell'avviso che l'articolo 2.1 debba essere modificato come segue: "L'articolo 1 non pregiudica il potere delle autorità competenti degli Stati membri di intervenire per garantire la conformità con le disposizioni nazionali approvate conformemente a disposizioni diverse da quelle previste agli articoli 25 e 26 della direttiva" Scambio di lettere (non datate ma pubblicate sul sito web il 15 novembre) Il gruppo di lavoro desidera attirare l'attenzione della Commissione sui seguenti punti: Italic - Il cosiddetto "periodo di grazia", ovvero data di entrata in vigore: sia nel progetto di lettera degli Stati Uniti che nel progetto di risposta della Commissione si fa cenno al fatto che la Commissione e gli Stati membri faranno uso della flessibilità offerta dall'articolo 26 per evitare di interrompere i flussi di dati verso le organizzazioni statunitensi per un determinato periodo successivo alla decisione di cui all'articolo 25.6 dell'"approdo sicuro". In tal modo le organizzazioni statunitensi avranno l'opportunità di decidere se partecipare o meno all'"approdo sicuro" e, se necessario, di adeguare le loro prassi nell'ambito dell'informazione. Considerando che, ai sensi della direttiva, la Commissione può agire in materia di trasferimenti a paesi terzi soltanto quando: a) un paese terzo non garantisce un livello di protezione adeguato e la Commissione avvia negoziati per porre rimedio alla situazione (articolo 25, paragrafi 4, 5 e 6) oppure b) qualora la Commissione decida che alcune clausole contrattuali tipo offrono le garanzie sufficienti (articolo 26.4), il gruppo di lavoro si domanda su quale base la Commissione intende utilizzare la flessibilità consentita dall'articolo 26 della direttiva per dare alle organizzazioni statunitensi tempo sufficiente per decidere se aderire o meno all'"approdo sicuro". - Uso dei contratti - articolo 26 della decisione:Nel progetto di lettera dell'UE si afferma che "la Commissione e gli Stati membri sono del parere che i principi (dell'"approdo" sicuro US) possono essere utilizzati in tali accordi come disposizioni fondamentali in materia di tutela dei dati. La Commissione ha avviato colloqui con gli Stati membri in seno al comitato di cui all'articolo 31 riguardo a tali disposizioni, in vista dell'adozione di una decisione in virtù dell'articolo 26.4 per autorizzare clausole tipo..." Considerando che il gruppo di lavoro è sempre stato del parere che l'analisi dell'adeguatezza delle soluzioni contrattuali richiede la considerazione di un'insieme di questioni più complesse di quelle prese in considerazione nell'ambito di soluzioni quadro, un impegno del genere appare prematuro. Va da sé che i principi dell'"approdo sicuro" devono essere migliorati e risultare adeguati prima che si possano prendere in considerazione come parte del contenuto di clausole tipo. Conclusioni Il gruppo di lavoro conclude, alla luce delle osservazioni e raccomandazioni fin qui esposte, che gli accordi per l'"approdo sicuro" come risultano nelle versioni attuali dei diversi documenti restano insoddisfacenti. Il gruppo di lavoro invita la Commissione a sollecitare la controparte statunitense ad apportare una serie di miglioramenti sostanziali, volti in particolare a: - chiarire il campo d'applicazione dell'"approdo sicuro" e soprattutto ad eliminare ogni possibile malinteso sulla facoltà delle organizzazioni Statunitensi di scegliere di seguire i principi dell'"approdo sicuro" nei casi per i quali si applica la direttiva; - stabilire disposizioni più affidabili che consentano di identificare con certezza gli aderenti all'"approdo sicuro" e che evitino il rischio che i vantaggi dell'"approdo sicuro" continuino ad essere accordati anche dopo che l'adesione all'approdo sicuro, per una ragione o un'altra, è stata ritirata; - stabilire in modo inequivocabile che la giurisdizione di un organismo pubblico adeguatamente autorizzato è valida per tutti i partecipanti all'"approdo sicuro"; - far sì che gli organismi del settore privato preposti alla composizione delle controversie siano tenuti a riferire i casi di reclami non risolti ad un organismo pubblico del tipo di cui sopra; - rendere le eccezioni e le esenzioni ammesse meno generiche e meno vaghe, in modo che le eccezioni siano effettivamente tali, ossia si applichino solo quando necessario e nella misura del necessario e non siano un invito generalizzato a scavalcare i principi; questo punto è particolarmente importante per quanto riguarda il diritto di accesso; - rinforzare il principio della scelta, che è la chiave di volta dell'impostazione degli Stati Uniti. Questi punti sono stati sviluppati in modo particolareggiato nelle sezioni precedenti di questo parere; il gruppo di lavoro auspica che si tenga conto delle considerazioni esposte. Il gruppo di lavoro invita inoltre la Commissione a rivedere l'articolo 2 del progetto di decisione affinché sia chiaro che la decisione non pregiudica il potere delle autorità nazionali competenti per quanto riguarda le leggi nazionali per l'applicazione di disposizioni della direttiva diverse dagli articoli 25 e 26 e affinché sia possibile intervenire, ai sensi dell'articolo 2, paragrafo 2, nei casi in cui il trasferimento dei dati potrebbe provocare "danni irreparabili" agli interessati. Il gruppo di lavoro sottolinea infine l'importanza di continuare e addirittura accelerare i lavori sulle clausole contrattuali tipo, in vista di una decisione o delle decisioni ai sensi dell'articolo 26 paragrafo 4, che è una parte importante del lavoro per semplificare e rendere più trasparenti le misure di sicurezza richieste per i trasferimenti ai settori nei quali una protezione adeguata non è altrimenti garantita. Fatto a Bruxelles, il 3 dicembre 1999 Per il Gruppo 1 GU n. L 281 del 23 novembre 1995, p. 31, disponibile all'indirizzo: 2 WP 12 (5025/98): documento di lavoro sul trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati, adottato il 24 luglio 1998, disponibile in 11 lingue all'indirizzo indicato alla nota 1. 3 Progetto di principi internazionali di approdo sicuro — 15 novembre 1999; domande poste frequentemente (bozza) — 15 novembre 1999 (FAQ da 1 a 15), Compendio della decisione di cui all'articolo 25.6; lettera di David Aaron a John Mogg che trasmette i principi dell'"approdo sicuro", le FAQ, etc., 16 novembre 1999; lettera di John Mogg a David Aaron relativa alla decisione di cui all'articolo 25.6., 16 novembre 1999. Disponibili all'indirizzo: http://www.ita.doc.gov/td/ecom/menu.htm 4 "I dati personali non dovrebbero essere rivelati, resi disponibili o altrimenti utilizzati a scopi diversi da quelli precisati ai sensi del paragrafo 9 (Specificazione degli scopi) tranne che: a) con il consenso dell'interessato b) in forza di legge." 5 "Principio della partecipazione individuale", punto a) iv. 6 Come già detto, le attività on line possono essere soggette alla legislazione UE nei casi in cui esse riguardano la raccolta di dati personali direttamente da singoli nell'UE (cfr. I capitoli Campo di applicazione e struttura e Notifica). 7 V. Nota 6. 8 Alcune delegazioni riservano la propria posizione su questo paragrafo. 9 Articolo 2.2: "Le autorità competenti degli Stati membri possono altresì avvalersi dei loro poteri, al fine di tutelare gli interessati con riferimento al trattamento dei dati personali che li riguardano, per sospendere flussi di dati diretti a un'organizzazione che rispetta i principi nei casi in cui: a) gli organismi pubblici statunitensi di cui all'articolo 1, paragrafo 1, lettera b), o un meccanismo indipendente di ricorso degli Stati Uniti nell'ambito di quanto esposto alla lettera a) del "principio di applicazione" abbiano rilevato violazioni dei principi, oppure b) vi siano sufficienti motivi per ritenere che il meccanismo di attuazione negli Stati Uniti non stia adottando o non adotterà misure adeguate e tempestive volte a risolvere il caso in questione, che sia sostanzialmente probabile che una violazione dei principi sia stata commessa e le autorità competenti dello Stato membro abbiano fatto il possibile per informare l'organizzazione dandole l'opportunità di reagire e che la continuazione del trasferimento dei dati potrebbe provocare danni irreparabili agli interessati. I flussi di dati devono riprendere non appena sia garantito il rispetto dei principi." |