PRIVACY: Flusso transfrontaliero di dati (07/12/2007)

La globalizzazione dei flussi e dei mercati richiede soluzioni innovative affinché le imprese multinazionali possano utilizzare modalità non burocratiche, ma pur sempre di garanzia per i cittadini, nel trasferire dati personali verso Paesi fuori dell’Unione europea. Occorre dunque rendere effettive anche in Italia le "norme vincolanti di impresa" applicate uniformemente dai gruppi aziendali che operano contemporaneamente in diversi Paesi.

É quanto chiede il Garante per la protezione dei dati personali il quale ha segnalato a Parlamento e Governo l’esigenza di integrare la normativa italiana sulla privacy con una norma che consenta al Garante di autorizzare le società appartenenti ad uno stesso gruppo, e operanti in Paesi diversi, a trasferire dati personali dall’Italia sulla base delle garanzie che il gruppo stesso si vincola ad osservare una volta che esse siano state vagliate positivamente dalle Autorità di protezione dati Ue.

Sono diversi i Paesi fuori dell’Ue e dello Spazio economico europeo che non garantiscono un livello adeguato di tutela dei dati personali in base alla direttiva europea del 1995. Dopo le prime esperienze delle clausole contrattuali-tipo, delle valutazioni specifiche di "adeguatezza" di singoli Paesi e dell’accordo Safe Harbour con gli Usa, la Commissione europea e i Garanti europei hanno individuato un’ ulteriore modalità per porre i gruppi di imprese in condizione di operare in base a garanzie uniformi e certificate con un procedimento valido per tutti i Paesi europei: appunto, le cosiddette "Binding Corporate Rules" (BCR), particolarmente adatte per realtà imprenditoriali che hanno sedi di diversi Paesi e che si impegnano a farle rispettare effettivamente in tutto il gruppo.

Già in alcuni Paesi dell’Ue, come Francia e Repubblica federale tedesca, il legislatore ha introdotto nella normativa nazionale un riferimento a "regole interne" al gruppo.

Il Codice italiano sulla protezione dei dati personali non reca espresse indicazioni in materia. Consapevole dell’importanza che rivestono oggi i flussi di dati anche per lo sviluppo del mercato e della necessità di conciliare tale sviluppo con il rispetto di alti livelli di tutela dei dati, il Garante ha invitato Parlamento e Governo a prendere in esame la possibilità di inserire nel Codice un’apposita norma. Tale norma, nel prevedere la possibilità per il Garante di autorizzare il trasferimento sulla base delle garanzie assicurate dalle imprese stesse anche mediante "regole di condotta esistenti nell’ambito di società appartenenti ad un medesimo gruppo", dovrà specificare che i cittadini interessati saranno garantiti anche in Italia in caso di mancata osservanza dell’impegno a rispettare le Bcr.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Segnalazione al Parlamento e al Governo sul trasferimento di dati personali in paesi terzi
(art. 154, comma 1, lett. f), d.lg. 30 giugno 2003, n. 196)

1. La presente segnalazione individua le ragioni per le quali il Garante ritiene opportuno un intervento normativo volto a novellare il Codice in materia di protezione dei dati personali, nella parte in cui regola il trasferimento di dati personali verso Paesi terzi (art. 44 d.lg. 30 giugno 2003, n. 196).

2. Il Codice disciplina il trattamento dei dati anche dal punto di vista del loro trasferimento all’estero, affermando il principio secondo cui, mentre all’interno dell’Unione europea è prevista come regola generale la libera circolazione (non soggetta a restrizioni salvo che in caso di eventuali fenomeni elusivi di garanzie), il trasferimento di informazioni personali verso Paesi terzi è invece possibile, sempre come regola generale, solo se il Paese di destinazione garantisce un livello di protezione adeguato secondo la valutazione effettuata dalla Commissione europea (artt. 42 e 44 Codice cit.).

Poiché diversi Paesi terzi non offrono tale protezione, in attuazione di quanto disposto dalla direttiva comunitaria in materia (n. 95/46/Ce del 24 ottobre 1995), sono previste alcune condizioni equipollenti in base alle quali il trasferimento può avvenire comunque, ad esempio perché vi è il consenso dell’interessato, od occorre eseguire obblighi contrattuali o salvaguardare un interesse pubblico rilevante (art. 43 Codice cit.).

Tra queste condizioni equipollenti vi è anche il caso nel quale il trasferimento può essere autorizzato dal Garante in presenza di garanzie individuate dalla stessa Autorità come "adeguate" in rapporto ai diritti degli interessati (art. 44, comma 1, lett. a)).

Su queste basi, l’esperienza di collaborazione con la Commissione europea e con le autorità garanti degli altri Paesi dell’Unione ha già individuato alcuni strumenti utili basati su clausole contrattuali standard approvate con decisione della Commissione europea (art. 26, par. 4 dir. n. 95/46/Ce cit.).

In particolare, sono stati predisposti su scala europea alcuni contratti-tipo che hanno permesso di regolare in modo uniforme, e tendenzialmente agevole, diversi flussi di dati verso Paesi terzi nei quali operino titolari del trattamento autonomi rispetto al soggetto esportatore, oppure strutture che agiscono in funzione strumentale quali "responsabili" del trattamento.

3. Varie imprese attive su scala internazionale si sono avvalse di queste soluzioni.

L’esperienza applicativa ha portato però a evidenziare alcune difficoltà che incontrano, soprattutto, società operanti all’interno di gruppi multinazionali, nell’applicare le predette opportunità in Europa con un approccio distinto da Paese a Paese.

Per tali gruppi, anche l’impiego di modelli contrattuali standardizzati viene infatti avvertito, a volte, come farraginoso, in quanto ciascuna società stabilita all’interno dello Spazio economico europeo e appartenente ad un medesimo gruppo multinazionale deve comunque includere le garanzie previste dai predetti schemi tipo in un suo contratto con le società del gruppo situate in Paesi terzi.

Pertanto, il Gruppo che riunisce le autorità garanti d’Europa, istituito ai sensi dell’art. 29 della direttiva 95/46/Ce (c.d. Gruppo art. 29), ha preso in considerazione ulteriori strumenti, rispetto a quello contrattuale, che possano assicurare anch’essi un livello adeguato di protezione per i diritti degli interessati, con particolare riguardo al trasferimento all’estero dei dati personali nell’ambito dei gruppi multinazionali [1].

Il Gruppo ha operato alcune prime valutazioni con riserva di eventuali situazioni specifiche connesse a singole realtà nazionali, ravvisando un’interessante prospettiva di lavoro nelle regole di comportamento che una società capogruppo può impartire, generalmente all’interno di appositi codici di condotta interni al gruppo multinazionale e resi vincolanti per tutte le società ad esso appartenenti.

Tali regole, ormai conosciute nella prassi applicativa come "binding corporate rules", sono state ritenute come uno strumento astrattamente idoneo ad assicurare un livello adeguato di protezione per i diritti degli interessati, compatibile con la disciplina contenuta nella direttiva 95/46/Ce.

Il Gruppo ha precisato che le binding corporate rules possono essere impiegate utilmente sempreché siano effettivamente vincolanti in un duplice senso:

all’interno del gruppo di società, grazie anche alla previsione di "sanzioni private" nei confronti degli incaricati operanti presso le società interessate;
all’esterno del gruppo di società, al fine di consentire l’esercizio dei diritti risultanti dalle regole di condotta interne al gruppo agli interessati cui si riferiscono i dati trasferiti.
4. In alcuni ordinamenti il legislatore nazionale ha dato seguito all’indirizzo formulato dal Gruppo e ha inserito nella normativa nazionale un riferimento espresso.

Nella Repubblica federale tedesca, è stato ad esempio previsto espressamente che le garanzie possano consistere, oltre che in clausole contrattuali, in "regole vincolanti d’impresa" [2].

Analogamente, in Francia è stata apportata una modifica alla legge sulla protezione dei dati per menzionare, appunto, il ricorso a "regole interne" al gruppo [3].

5. Il Codice italiano sulla protezione dei dati personali non reca espresse indicazioni sulle binding corporate rules, sebbene con un’apprezzata disposizione affidi a questa Autorità il compito di attuare le decisioni comunitarie che individuano situazioni di adeguatezza nei Paesi terzi, nonché l’ulteriore compito di ravvisare l’idoneità di alcune garanzie per gli interessati prestate anche con contratti.

Il Garante ritiene giustificato avviare rapidamente un percorso per dare più incisiva attuazione alle binding corporate rules anche nel nostro Paese.

Tuttavia, questa Autorità constata che il fenomeno delle regole di condotta all’interno di gruppi societari presenta tuttora alcuni profili di incerta qualificazione, soprattutto per quanto riguarda la loro concreta valenza giuridica dal punto di vista della vincolatività e, quindi, dell’effettiva garanzia per i cittadini interessati in caso di loro inosservanza.

Tale incertezza può indurre il Garante a disconoscere, al riguardo, la sussistenza di adeguate garanzie per i diritti degli interessati, che pure siano previste all’interno dei menzionati codici di condotta. Rispetto ad altri Paesi europei si possono pertanto determinare alcuni effetti negativi per le società (stabilite in Italia) appartenenti a gruppi interessate al trasferimento di dati personali verso Paesi terzi.

PER QUESTE RAGIONI

il Garante rappresenta al Parlamento e al Governo l’opportunità di prendere in considerazione una possibile integrazione della vigente disciplina di protezione dei dati che agevoli questa Autorità nell’individuare garanzie adeguate per i diritti degli interessati rispetto a richieste di autorizzazione al trasferimento dei dati verso Paesi terzi basate su regole di condotta vincolanti all’interno dei gruppi di imprese.

Stante la particolare tecnicità dell’argomento, il Garante ha anche individuato una concreta possibilità di modifica che potrebbe essere apportata all’art. 44 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), aggiungendo nel comma 1, lett. a) un periodo di tenore analogo al seguente:

"a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell’ambito di società appartenenti a un medesimo gruppo. L’interessato può far valere i propri diritti nel territorio dello Stato, in base al presente Codice, anche in ordine all’inosservanza delle garanzie medesime;".

Inserisci i termini di ricerca Invia modulo di ricerca

Web www.momis.it