Trasferimento di dati personali verso un Paese extraUe

Art. 44, lett. a): le  "norme vincolanti di impresa"

Per quanto riguarda, in particolare, la lett. a) dell’art. 44 del Codice, si segnala che il Legislatore, con il D.L. n. 112/2008, ha modificato tale norma inserendo le «regole di condotta esistenti nell’ambito di societa` appartenenti ad un medesimo gruppo» (ovvero le c.d. binding corporate rules, di seguito ‘‘Bcr’’) tra le garanzie che possono essere prestate per offrire un adeguato livello di tutela nel trasferimento di dati in paesi extra Ue.



Tale circostanza ha consentito che le Bcr acquisissero il rango di fonte legale e potessero quindi essere utilizzate con maggiore agilita` da parte di gruppi multinazionali che quotidianamente si trovano a dover trasferire dati relativi a lavoratori e clienti presso le rispettive sedi in paesi extra Ue, paesi che non offrono un adeguato livello di protezione dei dati secondo le decisioni della Commissione europea.
Come evidenziato dallo stesso Garante nella relazione dell’anno 2008 , il nuovo testo, ha consentito quindi di includere le regole di condotta osservate all’interno di gruppi di societa`, tra gli strumenti considerati adeguati ai fini del trasferimento dei dati personali al di fuori della Ue. Questo ha determinato l’entrata a pieno titolo del Garante nel novero delle Autorita` in grado di rilasciare un’autorizzazione al trasferimento dei dati personali verso Paesi terzi che non offrano adeguate garanzie di tutela, tramite lo strumento delle Bcr. 

La norma, tuttavia, osserva lo stesso Garante, non risolve tutte le questioni relative all’efficacia vincolante dello strumento delle Bcr nell’ordinamento italiano, pur collocandosi in un’ottica garantista volta ad imporre alle societa` l’obbligo di assicurare agli interessati l’esercizio dei propri diritti nell’ambito del territorio dello Stato italiano, in ordine all’inosservanza delle Bcr medesime.

Le Bcr sono state introdotte a livello comunitario dal Gruppo dei Garanti europei il quale, gia` a partire dal P2003, al fine di agevolare le imprese multinazionali nel trasferimento dei dati infragruppo, hanno predisposto
uno specifico documento (WP74) relativo all’utilizzo di tali norme nell’ambito di trasferimenti di
dati tra societa` multinazionali.

Successivamente, in data 14 aprile 2005, il Gruppo dei Garanti ha approvato due documenti (WP 107 e WP 108)  che hanno, da una parte (WP 107) chiarito gli aspetti procedurali e dall’altra (WP 108) fornito indicazioni specifiche sui contenuti delle norme vincolanti d’impresa.

In particolare, il documento WP107 prevede la designazione di un’autorita` di protezione dati quale ‘‘leader’’ della valutazione delle Bcr, alla quale tutte le altre autorita` interessate (ossia, quelle dei Paesi Ue dai quali devono essere trasferiti dati personali) faranno capo per commenti e osservazioni. 
La designazione spetta alla societa` multinazionale, che dovra` rifarsi ai criteri indicati nel documento, tra i quali viene data priorita` alla considerazione del Paese ove e` situata la capogruppo o la sede centrale europea della multinazionale. Le autorita` sono libere o meno di accettare tale designazione sulla base della documentazione prodotta dalla societa`, eventualmente formulando una contro-proposta.

Stabilita l’autorita`-leader, la procedura prevede l’elaborazione di una bozza finale di Bcr che viene sottoposta alla valutazione congiunta di tutte le autorita` interessate, coordinate dall’autorita` leader; l’accettazione di tale bozza finale vale come riconoscimento dell’adeguatezza delle norme in essa contenute e, quindi, come autorizzazione al loro impiego.

Nel documento WP108, che integra e completa il precedente WP74 del 3 giungo 2003 vengono, invece, fornite  indicazioni specifiche sui contenuti delle norme vincolanti d’impresa . In particolare, i Garanti hanno elaborato una sorta di ‘‘checklist’’ che le imprese dovranno utilizzare per verificare che le rispettive «norme vincolanti d’impresa» rispondano ai principi fissati  Della Direttiva.

Cio` riguarda, in particolare, la dimostrazione dell’effettiva vincolativita` delle norme, sia all’interno del gruppo (controllate, collegate, dipendenti, terzi fornitori) sia all’esterno, soprattutto ai fini dell’esercizio dei diritti riconosciuti agli interessati. 

Il Gruppo dei Garanti si e` successivamente pronunciato sul tema delle norme vincolanti d’impresa anche nel gennaio 2007, quando, con il documento WP 133  e` stata raccomandata l’adozione da parte dei soggetti interessati di un modello standard di richiesta per l’approvazione delle Bcr in tutti i paesi della Ue. Tale modello richiama le linee-guida ed i principi gia` a suo tempo espressi con i provvedimenti gia` citati.


Piu` di recente, il 10 giugno 2008 e sempre al fine di rendere maggiormente operativo e chiaro l’utilizzo delle Bcr da parte dei gruppi multinazionali, il Gruppo dei Garanti ha emesso altri tre documenti (WP 153, 154, 155) . In particolare, con il primo (WP 153) si e` inteso facilitare la presentazione delle richieste di approvazione di Bcr da parte delle societa` che ne fanno ricorso.

A tal riguardo, sono stati organizzati in forma tabellare i contenuti dei documenti sino ad ora adottati dal Gruppo dei Garanti distinguendo tra il contenuto che devono avere le Bcr e gli aspetti procedurali relativi alla richiesta alla Lead Authority. Il documento WP 154 contiene invece un modello tipo per la redazione delle Bcr ed infine il documento WP 155 contiene delle FAQs in merito alle richieste ricevute per l’interpretazione dei documenti WP 74 e WP 108. 

Art. 44, lett. b) del Codice
Sulla base di quanto previsto dalla lett. b, art. 44, il Garante  ha adottato negli ultimi anni diverse autorizzazioni generali emesse a seguito di decisioni della Commissione europea con le quali il flusso di dati verso determinati paesi non comunitari e` stato dichiarato libero (si vedano a tal riguardo le autorizzazioni generali del 17 ottobre 2001 per la Svizzera e l’Ungheria , l’autorizzazione del 30 aprile 2003 per il Canada e le autorizzazioni generali del 9 giugno 2005 per Argentina e isola di Mann.

Sempre sulla base di quanto stabilito dalla lett. b del citato art. 44, il trasferimento dei dati puo` comunque essere possibile nel caso in cui il soggetto importatore adotti e sottoscriva specificatamente le c.d. clausole
contrattuali tipo (di seguito «Clausole Tipo») adottate a livello europeo con la decisione della Commissione
del 27 dicembre 2001, n. 2002/16/Ce (recepita dal Garante con l’autorizzazione generale n. 3 del 10 aprile
2002) e con la decisione della Commissione europea n. 2004/915/Ce del 27 dicembre 2004 (recepita dal Garante con l’autorizzazione generale del 9 giugno 2005). 

In particolare, le due citate decisioni hanno previsto due diverse tipologie di Clausole Tipo denominate Insieme I quelle allegate alla decisione 2002/16/Ce e Insieme II quelle allegate alla decisione 2004/915/Ce.
Le prime si applicano al trasferimento dei dati personali effettuato da responsabili del trattamento residenti nella Comunita` a destinatari residenti al di fuori della Comunita` che agiscono esclusivamente in veste di incaricati del trattamento. Le seconde, invece, si applicano nel caso in cui il trasferimento di dati riguardi due responsabili residenti in stati diversi.
Gli operatori possono scegliere quale schema adottare ma non possono modificare le clausole e combinare i diversi insiemi o le singole clausole. L’utilizzo delle Clausole Tipo avviene su base volontaria.

Di recente, con parere n. 3/2009 del 5 marzo 2009 (WP 161), il Gruppo dei Garanti si e` espresso favorevolmente in merito al progetto di decisione della Commissione relativa all’aggiornamento delle Clausole Tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi (n. 2004/915/ Ce). Il Gruppo dei Garanti ha ritenuto che il motivo principale dell’esigenza di aggiornare tali clausole, si deve ricercare nel fatto che sempre piu` societa` trasferiscono dati non solo a incaricati del trattamento, ma anche a «sub incaricati» e talvolta a «sub sub incaricati», con la conseguenza che le Clausole Tipo adottate con la decisione 2002/16/Ce non offrono uno strumento adeguato a questi complessi trasferimenti successivi. 

In tale contesto, si segnala che in data 5 febbraio 2010, la Commissione europea ha emanato una decisione con la quale ha provveduto ad aggiornare le suddette clausole contrattuali tipo, rendendole maggiormente idonee alle nuove dinamiche del trasferimento dei dati. 

Per quanto riguarda, invece, in specifico il trasferimento dei dati da un operatore situato in uno Stato membro dell’Unione europea ad un altro avente sede negli Stati Uniti, la Commissione, sul presupposto che gli Stati Uniti non offrano un livello adeguato di tutela dei diritti dell’interessato, ha individuato un insieme di principi ben precisi, i c.d. «I Principi di approdo sicuro in materia di riservatezza», meglio noti come i c.d. principi del Safe Harbour, il cui rispetto da parte degli operatori statunitensi garantisce, secondo l’Unione europea, un livello adeguato di tutela dei diritti dei cittadini europei .


In particolare, tale accordo prevede l’adesione puramente volontaria da parte delle organizzazioni  imprese americane ad un nucleo di principi desunti dalla Direttiva tra cui:
– l’obbligo di informativa agli interessati;
– il consenso esplicito per i dati sensibili;
– la facolta` di accesso ai dati;
– il rispetto delle regole minime di sicurezza dei dati;
– l’attuazione del principio di finalita`, secondo cui i dati non possono essere trattati per fini diversi da quelli per cui sono raccolti;
– l’attuazione del principio di pertinenza, secondo cui i dati devono essere funzionali agli scopi per i quali sono stati raccolti.

L’adesione al Safe Harbor e` facoltativa per le imprese americane, ma le regole in esso contenute, se sottoscritte, vincolano le imprese stesse.

Il Safe Harbour non risulta applicabile alle organizzazioni governative e ai servizi finanziari.

Sul rispetto dei principi del Safe Harbour da parte degli organismi americani vigila il Dipartimento del Commercio statunitense.

In ogni caso e` necessario precisare che anche l’applicazione di una delle condizioni di legittimita` al trasferimento dei dati previste dai citati articoli 43 e 44 del Codice non esime comunque il titolare del trattamento dal fornire all’interessato un’informativa specifica ai sensi dell’art. 13 del Codice. Detta informativa dovrebbe indicare in modo chiaro, tra le altre cose, che i dati raccolti saranno trasferiti all’estero, precisando altresı` il paese di destinazione. 
 
Top