Jei - Jus e Internet

Il primo organo di informazione giuridica su internet per gli operatori del diritto - in linea dal 1996

Trasferimento transfrontaliero di dati personali: ambito di liceità ed eccezioni

Scritto da AA.VV.

L'internazionalizzazione dei traffici commerciali, l'espansione dei rapporti economici tra Stati europei e la crescente diffusione di multinazionali operative in tutto il mondo, ha reso di estrema attualità il tema del trasferimento dei dati personali all'estero. Tuttavia, come si vedrà, numerose sono le divergenze legislative che concernono, in particolar modo, il caso in cui il trattamento sia effettuato tra Paesi europei e quello in cui, invece, vengano coinvolti Stati non appartenenti all'Unione.

Il testo normativo di riferimento è la direttiva 46 del 1995 della CE, già trasposta nel nostro Paese nella L. 675/96 e successivamente nel D.Lgs 196/03. Il capo IV, titolato "trasferimento i dati personali verso paesi terzi", all'art. 25 e seguenti enuclea il principio cardine secondo il quale ogni Stato può disporre che il trasferimento di dati verso Paesi esteri possa avvenire solo allorquando il Paese di destinazione offra un livello di protezione adeguato. Il concetto di "adeguatezza", parametro essenziale di riferimento, deve essere valutato in relazione alla tipologia di dati, agli obblighi incombenti sul titolare del trattamento, alla finalità dello stesso, al Paese di destinazione delle informazioni e alle norme in esso vigenti in materia, nonché alle misure di sicurezza in concreto adottate.

In deroga a quanto stabilito dall'art. 25 della Direttiva, è previsto che il trasferimento di dati personali verso Paesi esteri che non garantiscono una adeguata tutela, sia comunque permesso allorquando: vi sia il consenso inequivocabile della persona interessata, sia in esecuzione di un contratto, sia necessario per adempiere obblighi di legge ed infine quando il trasferimento venga effettuato su dati presenti in registri pubblici, che per loro stessa attitudine siano liberamente consultabili.

Tali specifiche deroghe al trasferimento di dati verso Paesi terzi, enucleate nella prima parte della norma in esame, non sono però le uniche. La disciplina comunitaria prevede un'ulteriore ipotesi derogatoria: il responsabile del trattamento, fornendo idonee garanzie per la tutela della vita privata e dei diritti fondamentali dell'interessato, può essere autorizzato da uno Stato membro al trasferimento dei dati personali oggetto di richiesta. Gli strumenti più utilizzati a tal fine sono le clausole contrattuali e le autorizzazioni.

La disciplina comunitaria, quindi, individuati i principi cardine della materia, prevede una serie di deroghe, più o meno settoriali, e demanda all'autonomia dei singoli Stati membri non solo la ricezione interna delle norme, ma anche l'ampliamento o la restrizione dell'ambito dei trasferimenti consentiti: questo sulla base del criterio dell'adeguatezza, parametro, peraltro, da interpretare e da porre in relazione con tutta una serie di elementi (quali la natura dei dati, la finalità del trattamento, il Paese richiedente e le tutele dallo stesso offerte e, non ultime, le misure di sicurezza osservate) dei quali tener conto nel momento in cui si vaglia la legittimità del trasferimento.

Quanto stabilito dalla direttiva 95/46/CE è stato trasposto nelle attuali discipline in materia di protezione dei dati personali presenti in tutti i Paesi aderenti all'Unione ed è divenuto, di conseguenza, un procedimento di condotta condiviso ed uniforme, all'interno del quale si sono accresciute ed evolute le deroghe.

Il nostro Codice in materia di protezione dei dati personali, appunto il D.Lgs 196/03, recependo le disposizioni della direttiva 95/46/CE, disciplina il trasferimento dei dati personali all'estero agli artt. 42-43-44-45. Anche in questo caso, la prima importante differenziazione si ha tra i trasferimenti di dati verso paesi UE e i trasferimenti che invece coinvolgono paesi extraeuropei. Mentre per i primi il Codice stabilisce l'assoluto divieto di qualsivoglia tipologia di restrizione alla libera circolazione dei dati, per i secondi vigono regole ben diverse, dettate dalla differenza che intercorre tra le legislazioni europee e quelle dei Paesi esteri.

In linea generale, quindi, è sempre possibile trasferire dati personali tra Paesi appartenenti all'"area Euro", sul presupposto che le regole e le tutele accordate dagli ordinamenti di questi ultimi siano uniformi ed adeguate, traendo origine tutte dalla sopra citata direttiva 95/46/CE. Per quanto riguarda, invece, il trasferimento di dati verso Paesi "terzi", l'art. 43 prevede alcune ipotesi tassative in cui questo è consentito per legge, come nel caso del consenso espresso dell'interessato. In realtà oltre a queste ipotesi, enucleate in modo specifico, ci sono altre modalità di trasferimento: le clausole contrattuali, le autorizzazioni, le BCR, i principi "Safe Harbor". L'art. 43 del Codice stabilisce, infatti, che il trasferimento di dati all'estero è altresì consentito quando espressamente autorizzato dal Garante per la protezione dei dati personali. Attraverso questa diposizione anche il nostro Paese ha riconosciuto, quali modalità di trasferimento dei dati al di fuori delle ipotesi espressamente previste dal Codice, gli "istituti" delle clausole contrattuali, delle decisioni di adeguatezza, delle BCR e delle Safe Harbor Privacy Principles. Analizziamo nel dettaglio tali strumenti.

Le "clausole contrattuali standard" vengono incorporate nel testo del contratto con il quale si predispone il trasferimento stesso dei dati. Attraverso queste ultime il titolare del trattamento garantisce che nel Paese di destinazione i dati verranno trattati in modo conforme a quanto stabilito dalla direttiva CE e nel pieno rispetto delle misure di sicurezza idonee al trattamento. Sinora la Commissione Europea ha adottato quattro decisioni in materia: nell'ultima, del 5 febbraio 2010 (numero C (2010) 593), vengono stabiliti una serie di principi generali ai quali queste clausole standard e i contratti che le contengono devono adeguarsi, al fine di consentire un legittimo trasferimento di dati personali all'estero. Innanzitutto le clausole contrattuali devono prevedere le misure tecniche ed organizzative di sicurezza che l'incaricato del trattamento è tenuto ad applicare, affinché il livello di controllo sia commisurato ai rischi inerenti all'attività ed alla natura dei dati da tutelare. Altra previsione necessaria riguarda la perdita accidentale o illecita dei dati: nel contratto le parti devono prevedere le misure necessarie ad evitare la perdita, la distruzione anche accidentale dei dati personali, la diffusione o qualsiasi forma di trattamento non autorizzato. Ulteriore previsione concerne il subcontratto: le clausole standard devono prevedere anche specifici obblighi nel caso in cui il titolare del trattamento decida di sub appaltare determinati servizi ad altri enti situati in Paesi terzi, affinché le misure minime di sicurezza e le tutele offerte dall'importatore rimangano sempre quelle stabilite e cristallizzate nel contratto. Ovviamente, tali clausole costituiscono non solo parte integrante del documento contrattuale ma anche la loro condizione di efficacia. L'importatore e l'esportatore devono poi procedere analiticamente alla descrizione dei dati oggetto di trasferimento e alle finalità per le quali vengono trattati.

Attraverso la disciplina delle clausole contrattuali la Commissione Europea mira da un lato, a mitigare la rigidità del divieto di trasferimento transfrontaliero di dati verso Paesi terzi e dall'altro, ad offrire una idonea tutela anche negli Stati non aderenti all'UE, e quindi in quegli ordinamenti scevri spesso di disposizioni in materia. Tali clausole divengono, quindi, parte integrante del contratto, ma al contempo stabiliscono un fitta rete di obblighi in capo all'importatore e all'esportatore, obblighi il cui rispetto viene monitorato e osservato dalla stessa Commissione.

Fra le eccezioni al divieto di trasferimento dei dati in Paesi esteri si annoverano le c.d. decisioni di adeguatezza: la Commissione europea, dopo aver acquisito il parere favorevole del Gruppo Articolo 29, può stabilire la liceità di un trasferimento, sulla base di una valutazione di adeguatezza della tutela offerta dallo Stato "importatore". Sinora la Commissione europea ha emanato quattordici decisioni in materia: Andorra, Argentina, Australia, Canada, Faer Oer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay, Usa-Safe Harbor, Usa-Pnr.

Una fra le più recenti, del 14 marzo 2013 n. 122, riguarda l'Uruguay. Considerando la decisione della Commissione europea 2012/484/UE con la quale si è ritenuto che la Repubblica orientale dell'Uruguay garantisca un livello adeguato di protezione dei dati personali trasferiti dall'Unione Europea, e considerando anche i chiarimenti forniti dalle competenti autorità in merito all'interpretazione del diritto interno, il Garante ha autorizzato il trasferimento. Identica decisione venne presa, ad esempio, per la Nuova Zelanda e per altri Stati.

Al fine di agevolare il trasferimento di dati personali fra Paesi non appartenenti all'Unione Europea è stato previsto un ulteriore e flessibile strumento: le Binding Corporate Rules, il cui acronimo è BCR. Queste ultime consentono il trasferimento di dati tra società facenti parte dello stesso gruppo attraverso la predisposizione in un unico documento, all'interno del quale vengono stigmatizzate una serie di clausole vincolanti per tutte le società facenti parte del gruppo. Scopo delle BCR è quello di facilitare le procedure burocratiche per il trasferimento dei dati quando quest'ultima operazione concerne i flussi di informazioni tra le sole società che compongono il gruppo d'impresa: l'ottenimento del relativo permesso consente, infatti, alle filiali dislocate nei vari Paesi del mondo di comunicare i dati personali oggetto di accordo senza necessità di attivare differenti strade, come quelle precedentemente analizzate delle autorizzazioni o delle clausole standard.

La procedura di rilascio della relativa autorizzazione consta di vari adempimenti: la società interessata all'autorizzazione deve rivolgersi al Garante, componendo un testo articolato e complesso all'interno del quale definire la tipologia di dati trattati, le finalità, l'informativa rilasciata all'interessato, le misure di sicurezza richieste dalla legge e adoperate nel caso concreto e la clausola che prevede la possibilità per l'interessato di ottenere il risarcimento del danno in caso di violazione degli obblighi da parte di una delle filiali del gruppo. La società richiedente deve, inoltre, prevedere e sottoporre al vaglio dell'Autorità Garante anche un programma di formazione degli incaricati del trattamento dei dati, un esame periodico al fine di verificare il rispetto delle BCR da parte delle società e la predisposizione di un gruppo di incaricati che si occupino di gestire le segnalazioni degli interessati.

La procedura consta, dunque, di una fase interna ed una europea. Competenti al rilascio dell'autorizzazione europea sono gli Stati i cui dati sono coinvolti nel trattamento transfrontaliero, i quali, attraverso una procedura di cooperazione semplificata ideata e predisposta dal Gruppo Articolo 29, assicurano l'adozione di un testo BCR da tutti condiviso. La procedura viene guidata da una lead Authority che intrattiene rapporti con la capogruppo dell'impresa richiedente, analizza la bozza di BCR predisposta dalla società "capolista" e la sottopone al vaglio delle altre Autorità coinvolte, le quali formulano le osservazioni che poi confluiranno nel documento definitivo. A livello europeo la procedura è semplificata, avendo le Autorità adottato il principio del "mutuo riconoscimento", che permette di rendere più veloce ed agevole l'autorizzazione finale.

Espletata la procedura inerente agli Stati UE, anche il Garante può autorizzare il trasferimento: la società italiana invia una specifica richiesta di autorizzazione al trattamento tramite BCR, indicando, altresì, finalità, modalità di trattamento e tipologia di dati. Nel termine di 45 giorni l'Autorità deve fornire risposta alla società richiedente.

Per quanto riguarda, infine, il trasferimento di dati personali negli USA, la Commissione europea, nel luglio 2000, ha adottato una decisione con la quale ha riconosciuto l'adeguatezza del dispositivo "Safe Harbor" (predisposto dalla Commissione federale per il commercio degli Stati Uniti) ai fini della tutela dei dati personali trasferiti dall'Unione verso gli Stati Uniti.

All'interno del Safe Harbor sono contemplati una serie di principi che prevedono la predisposizione di specifici sistemi di protezione e sicurezza per assicurare la tutela nel trattamento dei dati. Sebbene l'adesione a questo complesso di regole sia facoltativo per le imprese, una volta aderito il rispetto delle stesse è assolutamente vincolante, sussistendo anche appositi organi di vigilanza il cui compito è proprio garantirne l'osservanza.

Clausole contrattuali standard, autorizzazioni, BCR e procedimenti Safe Harbor costituiscono, quindi, un complesso insieme di soluzioni volte a rendere leciti trasferimenti transfrontalieri di dati personali che coinvolgono Paesi europei e non. Ideati, predisposti e cristallizzati nel tempo, tali strumenti mirano a mitigare, nel rispetto delle vigenti tutele, le disposizioni in materia, adeguandole ad esigenze societarie sempre più tese verso confini internazionali.