Parere 8/2003: sul progetto di clausole contrattuali tipo presentato da un gruppo di organizzazioni commerciali

CE - GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

Parere 8/2003
sul progetto di clausole contrattuali tipo presentato da un gruppo di organizzazioni commerciali ("il contratto modello alternativo") - wp84

Approvato il 17 Dicembre 2003

IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

costituito dalla Direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24 Ottobre 1995¹,

visti gli Articoli 29 e 30 paragrafi 1 (a) e 3 di tale Direttiva,

visto il Regolamento Procedurale interno ed in particolare gli articoli 12 e14,

ha approvato il seguente Parere:

Introduzione

Il Gruppo di Lavoro accoglie con favore il progetto di clausole contrattuali tipo presentato dalla Camera di Commercio Internazionale ed altre organizzazioni commerciali. Condivide l'opinione espressa dalla Commissione Europea che dovrebbe essere possibile approvare altre clausole contrattuali tipo in modo che gli operatori economici dispongano una scelta più ampia, favorendo così le società nel trasferimento dei dati personali a paesi terzi salvaguardando la tutela dei diritti fondamentali e delle libertà di coloro che beneficiano della protezione ai sensi della Direttiva dell'UE in merito alla Tutela dei Dati e delle leggi nazionali che la attuano.

Ciò detto, visto che esiste già una serie di Clausole Contrattuali Tipo, approvata dalla Commissione nel 2001 facendo seguito a lunghi dibattiti e tenendo in considerazione le perplessità espresse dal Gruppo di Lavoro, l'approvazione di una nuova serie di Clausole Contrattuali Tipo dovrà essere condizionata dal pieno soddisfacimento dei due parametri di base:

a) Che le clausole contrattuali tipo proposte offrano un livello di tutela paragonabile a quelle approvate in virtù della decisione della Commissione 497/2001/CE
b) Che le clausole proposte offrano un valore aggiunto che travalichi il mero fatto che siano più vantaggiose per il commercio: tali clausole dovrebbero essere anche più vantaggiose per il cittadino.

Il Gruppo di Lavoro dubita che le presenti clausole soddisfino in pieno queste condizioni, dubita inoltre che tali clausole risultino più semplici da usare da parte degli operatori economici. Le stesse organizzazioni commerciali che hanno giudicato criticamente le clausole contrattuali tipo approvate dalla Commissione nel 2001 definendole "impraticabili" non sembrano aver trovato una formulazione migliore per molte clausole e quando le proposte si discostano dalla Decisione 497/2001/CE, il risultato non è necessariamente più chiaro, ma anzi più impreciso in termini legali.

Tuttavia, in considerazione del fatto che i progressi raggiunti negli ultimi due anni di dibattiti sono stati sostanziali e che le proposte finali non divergono troppo da ciò che potrebbe essere considerato un livello accettabile di tutela dei dati, il Gruppo di Lavoro formula un parere favorevole in cui si definiscono le tre cause rimanenti di perplessità che costituiscono le riserve fondamentali da superare prima che la Commissione Europea possa considerare un progetto di decisione della Commissione per il vaglio del Comitato Articolo 31. Se non fosse possibile, il Gruppo di Lavoro Articolo 29 raccomanda che la Commissione autorizzi le autorità di tutela dei dati a richiedere alle società di far uso di quelle clausole della decisione della Commissione 497/2001/CE a cui si riferiscono tali riserve, nel caso in cui le ritengano più appropriate.

Il Gruppo di Lavoro Articolo 29 invita inoltre gli autori delle clausole a valutare con attenzione i suggerimenti tecnici atti al miglioramento forniti dal Commissario delle Informazioni ed in particolare, quei commenti relativi alla risoluzione delle clausole.²

L'obbligo di collaborazione con le autorità per la tutela dei dati

Come il Gruppo di Lavoro ha già dichiarato nel 1998 e quindi ribadito nei pareri successivi, "qualunque analisi significativa di una tutela adeguata deve comprendere i due elementi di base: il contenuto delle norme applicabili ed i mezzi per garantire la loro effettiva applicazione"³.

Come indicato nel documento di lavoro numero 12, le funzioni di monitoraggio e di accertamento delle denunce delle Autorità per la Tutela dei Dati non sono l'unico modo per assicurare l'efficace applicazione delle norme e quindi per garantire una tutela adeguata, dovrebbe essere possibile garantire l'applicazione efficace delle norme con altri mezzi. Non sarebbe compatibile con un'adeguata tutela, ciononostante, non occuparsi in modo esauriente delle funzioni di monitoraggio e di accertamento delle denunce delle autorità dell'UE per la tutela dei dati e, contemporaneamente, non prevedere dei requisiti procedurali/applicativi alternativi per le persone fisiche.⁴

In breve, questo è il modo di procedere ai sensi delle clausole contrattuali tipo alternative, in cui gli obblighi di collaborazione dell'importatore di dati sono stati notevolmente indeboliti⁵ senza avanzare nessuna nuova proposta che possa alla fine supplire alla mancanza di questo importante elemento come, per esempio, il rafforzamento dei sistemi alternativi di composizione delle controversie.

Fin dall'inizio di queste discussioni, il Gruppo di Lavoro Articolo 29 e la Commissione hanno ripetutamente invitato gli autori delle clausole a presentare delle proposte creative a questo proposito sia per ampliare i margini di manovra, sia in considerazione del fatto che le organizzazioni commerciali che patrocinano le clausole alternative sono nella posizione migliore per farlo. Tali proposte sarebbero totalmente coerenti con le loro stesse richieste ai regolatori dei meccanismi flessibili di composizione delle controversie in diversi fori internazionali⁶.

Un'altra alternativa suggerita dalla Commissione e il Gruppo di Lavoro Articolo 29 è stata la partecipazione diretta o indiretta delle organizzazioni commerciali in quanto arbitri qualificati, nell'individuazione delle misure disciplinari contro quelle società che non onorino i propri obblighi sulla tutela dei dati, ecc.

Gli autori delle clausole hanno rifiutato di recepire qualunque suggerimento (argomentando che creare un sistema alternativo di composizione delle controversie sarebbe estremamente complesso e non era neanche previsto nelle clausole della Commissione) ma ciononostante si sono differenziati dalle clausole contrattuali tipo approvate dalla Commissione in merito all'obbligo di collaborazione dell'importatore di dati con le autorità per la tutela dei dati nell'Unione Europea.

Ciò comporta una conseguenza grave e diretta sul livello di protezione garantito dalle clausole contrattuali tipo alternative e quindi il Gruppo di Lavoro Articolo 29 esorta la Commissione ad assicurarsi che tale problema sia risolto dagli autori del modello alternativo prima di sottoporre un progetto di decisione della Commissione al vaglio del Comitato Articolo 31.

Restrizioni del diritto di accesso

Come nel caso delle clausole contrattuali tipo approvate dalla Commissione, in virtù di queste nuove proposte, l'importatore di dati potrebbe anche scegliere di trattare i dati personali in conformità con le relative disposizioni di una qualunque decisione della Commissione ai sensi dell'Articolo 25 (6) della Direttiva — se l'importatore ottempera alle relative disposizioni ed ha sede nel paese a cui attiene la decisione ma non è compreso nella decisione della Commissione -, restando i Principi Americani "Safe Harbor" l'esempio più evidente.

L'Appendice 3 della Decisione della Commissione 2001/497/CE "integra" il diritto di accesso dei Principi Americani "Safe Harbor" per garantire lo stesso livello di tutela a tutti i trasferimenti internazionali attuati sulla base delle clausole contrattuali tipo indipendentemente dal fatto che l'importatore di dati abbia sede negli Stati Uniti o in qualunque altro paese terzo. Per le stesse ragioni, risulta necessario che le clausole contrattuali alternative proposte garantiscano degli effetti simili a quelli ottenuti in virtù dell'Appendice 3, punto 2, della summenzionata Decisione della Commissione, considerando che il diritto di accesso non sarebbe attualmente garantito nel caso in cui gli importatori scegliessero l'opzione dell'Articolo II h) (ii).

I principi vincolanti acclusi nell'allegato 2 della Decisione della Commissione 497/2001/CE dovranno essere "letti ed interpretati alla luce delle disposizioni della Direttiva 95/46/CE". Lo stesso dicasi dell'Allegato A delle clausole contrattuali tipo alternative. Quando la Commissione Europea, nel principio 5 dell'allegato 2 della decisione della Commissione (diritto di accesso) ha fatto riferimento all'Articolo 12 della Direttiva, poteva soltanto significare che una tutela adeguata in virtù delle clausole contrattuali tipo necessita di diritti di accesso aventi lo stesso campo d'applicazione definito ai sensi dell'Articolo 12 della Direttiva.

In effetti, l'Articolo 12 della Direttiva sulla Tutela dei Dati non autorizza un controllore dei dati a negare l'accesso, per la ragione che la concessione di un tale diritto potrebbe causare un serio pregiudizio degli interessi del controllore dei dati.

E' vero che l'Articolo 13 della Direttiva autorizza gli Stati Membri ad adottare delle misure legislative per limitare i diritti e i doveri definititi ai sensi dell'Articolo 12, nel caso in cui una tale restrizione costituisca una misura necessaria per salvaguardare "la tutela della persona interessata dai dati e i diritti e le libertà degli altri". Tuttavia, una tale valutazione non è lasciata nelle mani del controllore dei dati, ma in quelle del legislatore degli Stati Membri, che potrebbe (o meno) aver previsto tali restrizioni al diritto di accesso per la tutela dei diritti e delle libertà degli altri.

Il Gruppo di Lavoro Articolo 29 concorda quindi che, nei casi in cui la legge dell'esportatore di dati preveda delle misure legislative che limitino i diritti e i doveri definiti ai sensi dell'Articolo 12 della Direttiva, anche l'importatore di dati potrebbe alla fine beneficiarne. Tuttavia, la proposta delle clausole alternative a tale proposito non riesce a garantire un livello adeguato di tutela e deve quindi essere respinta. Lo stesso si applica all'obbligo di fornire informazioni sulle fonti dei dati che non è limitato nella Direttiva a nessun esame in merito agli "sforzi ragionevoli".

Il sistema di responsabilità

Il Gruppo di Lavoro si rende conto che "la responsabilità solidale con facoltà di rivalsa" risulti un regime gravoso che potrebbe impedire ad alcuni controllori dei dati di far uso delle clausole contrattuali tipo se non realmente interessati. Se ovviando a tale problema l'uso delle clausole contrattuali tipo da parte degli operatori dovesse crescere in modo significativo, non dovrebbero sussistere problemi nell'individuazione di altri approcci possibili.

Nell'esame del regime di responsabilità, i mezzi risultano meno importanti dei risultati, cioè l'essenziale non è se l'esportatore e l'importatore di dati siano responsabili in modo solidale ed individualmente, ma piuttosto se le persone fisiche dispongano prontamente dei mezzi per avvalersi dei diritti del terzo beneficiario ed ottenere il giusto indennizzo in caso di danni.

Percorrendo questa linea di pensiero, il sistema di responsabilità sussidiaria proposta dalle clausole contrattuali tipo alternative si rivela un approccio interessante che il Gruppo di Lavoro Articolo 29 potrebbe appoggiare, ma soltanto nell'eventualità che il sistema sia ulteriormente chiarito ed integrato come indicato di seguito:

a) La stessa Clausola III o un allegato separato a cui tale clausola faccia riferimento come parte integrante delle clausole contrattuali tipo, dovrebbe chiarire che l'esercizio dei diritti del terzo beneficiario da parte della persona interessata dai dati si esplica in tre fasi:

a. Invito all'esportatore di dati a far osservare il contratto all'importatore di dati entro un mese

b. Esecuzione forzata nei confronti dell'importatore di dati, se necessario giudiziale, nell'UE.

c. Azione sussidiaria nei confronti dell'esportatore per "culpa in eligendo"

b) Il periodo ragionevole citato al termine della clausola III b) dovrebbe essere limitato ad un massimo di un mese.

c) Le clausole devono specificare (visto che attualmente non risulta sufficientemente chiaro) che le persone fisiche possono intentar causa agli importatori nella Comunità, in altre parole, che l'importatore di dati accetta di essere citato in giudizio nella Comunità dalle persone interessate dai dati nell'esercizio dei diritti del terzo beneficiario ai sensi del contratto. Inoltre, la clausola II f) dovrebbe prevedere "la prova di risorse finanziarie tali da ottemperare alle proprie responsabilità ai sensi della Clausola III (che potrebbe includere una copertura assicurativa)" nell'Unione Europea.

d) Le clausole devono chiarire allo stesso modo che la persona interessata dai dati avrebbe facoltà di rivolgere le richieste di indennizzo all'esportatore di dati nel caso in cui non fosse stata in grado di ottenere l'indennizzo dall'importatore di dati per qualunque ragione o dopo tre mesi dalla presentazione della richiesta di indennizzo rimasta inevasa.

e) La decisione della Commissione dovrebbe inoltre chiarire l'effettivo campo d'applicazione della responsabilità sussidiaria dell'esportatore di dati per le inadempienze dell'importatore di dati, cioè, la responsabilità generale per la "culpa in eligendo" come risulta dalla clausola I b) e dalla clausola II f) in quei casi, in particolare, in cui l'importatore di dati risulti insolvente.

f) Infine, la decisione della Commissione dovrebbe inoltre rendere ben chiaro che sia il rifiuto da parte dell'esportatore di dati di far osservare il contratto all'importatore entro un mese, sia il rifiuto dell'importatore di dati di ottemperare ai propri chiari obblighi ai sensi del contratto saranno considerati dall'autorità competente per la tutela dei dati come una prova che le clausole contrattuali tipo non sono rispettate in generale, e il rifiuto di risarcire i danni nei caso appropriati, in particolare, sarà considerato come causa di un rischio imminente di grave pregiudizio per le persone interessate dai dati ai sensi dell'Articolo 4.1.c) della Decisione della Commissione 497/2001/CE e pertanto tali fatti potrebbero dar luogo al divieto totale o parziale o alla sospensione del trasferimento dei dati ai paesi terzi.

Conclusioni

Il Gruppo di Lavoro Articolo 29 formula un parere favorevole in merito alle clausole contrattuali tipo proposte per il trasferimento dei dati personali dall'UE a paesi terzi (trasferimenti da controllore a controllore) (versione definitiva Settembre 2003)⁷ subordinatamente al fatto che siano superate le carenze principali riportate nel presente documento.

Il Gruppo di Lavoro fa appello alla Commissione Europea affinché accerti che le perplessità espresse nel presente parere siano affrontate in modo soddisfacente e, se necessario, nel testo della futura decisione della Commissione si faccia riferimento alle ambiguità rilevate. Si riserva il diritto di formulare un parere, se necessario, sul Progetto di Decisione della Commissione.

Fatto a Bruxelles, il 17 Dicembre 2003

Per il Gruppo di Lavoro
Il Presidente
Stefano RODOTÀ

NOTE

1 Gazzetta Ufficiale n. L 281 of 23/11/1995, pag. 31, disponibile su:
http://europa.eu.int/comm/internal_market/privacy/law_en.htm
2 Il Gruppo di Lavoro è dell'opinione che le disposizioni per la risoluzione siano in qualche modo confuse. In merito alla clausola VI a), se una delle parti è inadempiente rispetto ai suoi obblighi stabiliti dalle Clausole, è necessario che non siano più trasferiti altri dati personali in conformità con le clausole e che qualunque dato personale che sia già stato trasferito venga distrutto o restituito all'Esportatore di Dati.
Nel caso di violazione delle Clausole, queste non dovrebbero essere risolte, dal momento che sono le clausole a stabilire come trattare le controversie e le violazioni, in altre parole, risolvere le clausole non gioverebbe alla situazione: è necessario che il trasferimento dei dati personali conforme ad un qualunque contratto commerciale correlato stipulato facendo affidamento su di una tutela adeguata garantita dalle Clausole sia cessato.
Nelle clausole VI a), il Gruppo suggerisce di sostituire "potere" con "dovere" nella prima frase, e di eliminare "temporaneamente" visto che non è necessario. Il riferimento ad "una decisione definitiva contro cui non è possibile nessun appello successivo" è connesso con la debolezza già commentata nell'obbligo di collaborazione.
3 Vedi pag. 5 del GL 12: documento di lavoro: trasferimenti di dati personali a paesi terzi: Applicazione degli Articoli 25 e 26 della Direttiva dell'UE sulla Tutela dei Dati.
4 Un chiaro esempio dell'applicazione di questo principio può essere evidenziato nella Decisione della Commissione 2000/520/CE sui Principi Americani "Safe Harbor": non essendo la Federal Trade Commission in grado di giocare alcun ruolo nel trasferimento dei dati dei dipendenti, il sistema ha compensato tale mancanza stabilendo un quadro delle Autorità della Tutela dei Dati dell'UE.
5 Secondo le clausole contrattuali tipo alternative, le autorità di tutela dei dati si potrebbero solo aspettare "una collaborazione in buona fede nelle risposte alle indagini sul trattamento dei dati personali" ma gli importatori di dati non dovrebbero più sottoporre a revisione i propri sistemi di elaborazione dei dati su richiesta degli esportatori di dati, ma potenzialmente "in accordo con l'autorità di supervisione", né attenersi al parere dell'autorità di supervisione in merito all'elaborazione dei dati trasferiti.
6 Vedi per esempio, le proposte del Dialogo Transatlantico sul Commercio Globale sui Sistemi Alternativi di Composizione delle Controversie.
7 Proposta presentata alla Commissione dalla CCI, dal Comitato dell'UE della Camera di Commercio Americana, FEDMA, JBCE, ICRT, EICT e CBI.