I provvedimenti, annunciati nel mese di agosto, erano stati preceduti da tre decisioni della Commissione europea del 26 luglio 2000 (n. 2000/519/CE, n. 200/518/CE, n. 2000/520/CE) che riguardavano il trasferimento di dati personali verso l’Ungheria, verso la Svizzera e verso gli Stati Uniti secondo i “Principi di approdo sicuro in materia di riservatezza”, e da una del 15 giugno 2001(n. 2001/497/CE) riguardante il trasferimento di dati verso paesi terzi in conformità alle clausole contrattuali.
Di notevole interesse risultano le autorizzazioni riguardante il trasferimento verso gli Stati Uniti e riguardante l’adozione di clausole contrattuali.
Trasferimento verso gli USA
Tale autorizzazione si basa sul principio sancito dall’art. 25, paragrafi nn. 1 e 2, della direttiva n. 95/46/CE secondo cui i dati personali possono essere trasferiti in un Paese non appartenente all’Unione europea qualora il Paese terzo garantisca un livello do protezione adeguato, e dal paragrafo 6, medesimo articolo, secondo il quale la Commissione europea può constatare che un Paese terzo garantisce un livello di protezione adeguato.
La Commissione europea ha dichiarato adeguato il livello di protezione stabilito nei “Principi di approdo sicuro in materia di riservatezza” (il c.d. “Safe Harbor”) applicati in conformità agli orientamenti forniti da talune “Domande più frequenti” (FAQ).
Naturalmente questi principi costituiscono un livello minimo, nulla impedisce di adottare ulteriori garanzie per le persone cui si riferiscono i dati.
Il Garante, ai sensi dell’art. 28 L. 675/96, autorizza il trasferimento dei dati personali verso organizzazioni aventi sede negli Stati Uniti che adotteranno il protocollo del Safe Harbor, riservandosi di effettuare i necessari controlli sulla liceità e correttezza dei trasferimenti e delle operazioni di trattamento anteriori ai trattamenti stessi.
Trasferimento in conformità alle clausole contrattuali
Tale possibilità si fonda sull’art. 26 della direttiva n. 95/46/CE che individua alcune deroghe al principio sancito dall’art. 25, prevedendo anche che uno Stato possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un Paese terzo che non garantisce un livello di protezione adeguato, qualora il titolare del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, risultanti anche da clausole contrattuali appropriate.
La decisione di luglio della Commissione europea individuava alcune clausole contrattuali tipo, che costituivano garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, e riguardava unicamente il trasferimento di dati da un titolare del trattamento avente sede nella Comunità (soggetto esportatore) ad un diverso titolare del trattamento (soggetto importatore).
Per il trasferimento di dati effettuati da un titolare del trattamento avente sede nella comunità ad un responsabile del medesimo trattamento sarà necessaria un’ulteriore decisione della Commissione che individuerà le clausole contrattuali tipo.
Il Garante precisa che il soggetto esportatore e il soggetto importatore dovranno richiamare o incorporare le clausole nei contratti relativi al trasferimento dei dati in modo da renderle riconoscibili anche alle persone cui si riferiscono i dati, evitando la previsione di clausole limitative o incompatibili.
Copia del contratto relativo al trasferimento dovrà essere fornita al Garante solo su richiesta dell’Autorità e, in caso di controversia non risolta in via amichevole, dovrà essere comunicata al Garante la scelta effettuata.
Adempimenti per i titolari del trattamento
Le aziende, gli enti, i liberi professionisti che trattano dati personali e trasferiscono dati negli Stai Uniti o in un paese terzo dovranno procedere ad un’analisi delle banche dati in loro possesso, anche in conformità con quanto denunciato nella notificazione al Garante.
Nel caso di trasferimento verso gli Stati Uniti accertarsi che l’azienda importatrice dei dati abbia aderito al Safe Harbor (attualmente solo una cinquantina di aziende statunitensi ha aderito, tra cui Microsoft e HP), in caso contrario, o nel caso di trasferimento verso un paese terzo, adottare clausole contrattuali ad hoc.
Un obbligo di notevole impatto, soprattutto per le aziende multinazionali, che vedrà i data protection manager impegnati nella revisione delle strutture contrattuali, e che si aggiunge ai restanti adempimenti in materia di privacy.
Per le aziende l’applicazione e l’aggiornamento delle norme sulla riservatezza diventa un lavoro full time.
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
