USA - UE: due scuole di
pensiero
a confronto sulla privacy
di Elisa Elia *
La "fluidità" delle
transazioni internazionali, nell’era di internet, rischia di essere
penalizzata dalle ragioni del diritto e dall’esigenza avvertita dalla
coscienza sociale di tutelare la riservatezza di tutti i visitatori della Rete.
Tali problematiche sono ormai divenute terreno fertile per il
confronto–scontro tra le "scuole di pensiero" europea e
statunitense.
Da una parte la strenua difesa del libero mercato, dall’altra le esigenze di
tutela e garanzia di un diritto ormai "costituzionalizzato" a livello
comunitario (si veda l’art. 8 della Carta UE) hanno determinato una tensione
che rischiava di paralizzare le transazioni telematiche e gli sviluppi del
commercio elettronico. Naturalmente la nobiltà dei principi europei non poteva
frenare le logiche del commercio internazionale, esasperate dalle novità di
Internet, e, pertanto, interminabili riunioni diplomatiche hanno portato, poco
più di un anno fa, alla " apparente soluzione" di "Safe Harbour"
("approdo sicuro"). Le divergenze fra le due sponde dell’Atlantico
sembravano sopite dopo la sottoscrizione dell’accordo di "Safe Harbour",
ma il confronto si è riacceso, in seguito alla emanazione della decisione
2001/497/Ce; una mancata efficace risoluzione a queste problematiche potrebbe
costituire una seria minaccia per i flussi globali, i rapporti commerciali e lo
sviluppo del commercio elettronico, dato che la trasmissione di informazioni
costituisce, oramai, una modalità imprescindibile per il funzionamento del
sistema economico globale. Le divergenze socio-culturali in materia di Internet
e privacy fra Europa e Usa , si sono tradotte in approcci giuridici opposti
nella ricerca delle soluzioni:
- gli Usa sono genericamente favorevoli all’associazione fra soluzioni di
mercato e tutela giuridica mirata per settori di particolare delicatezza (dati
relativi a minori, cartelle sanitarie, informazioni bancarie);
- l’UE preferisce disporre di un solido quadro giuridico di riferimento, che
potenzi il diritto di proprietà dei singoli sui dati personali che li
riguardano.
Oggi, comunque, il conflitto Europa-Usa, rispetto al modo in cui è possibile
regolamentare il trasferimento dei dati all’estero, tutelando la riservatezza,
ha sviluppato due diverse possibili soluzioni:
- le "clausole contrattuali tipo", adottate e sostenute dall’Unione
Europea;
- il principio del "safe harbour", proposto e diffuso dagli Stati
Uniti.
L’accordo di "safe harbour" negoziato dall’Amministrazione Clinton
nel corso del 2000 è il risultato di un lungo confronto che ha sicuramente
prodotto notevoli miglioramenti, seppur non pienamente soddisfacenti, sul testo
originario, e infatti il Parlamento europeo e le Autorità garanti dei 15 paesi
avevano auspicato ulteriori modifiche al sistema. Questo accordo mira ad
assicurare ai cittadini europei, i cui dati personali, anche di tipo sensibile,
siano trasferiti oltreoceano da aziende pubbliche o private , un livello di
tutela adeguato, anche se non equivalente a quello attualmente previsto nei
paesi dell’Unione. In particolare, tale accordo prevede l’adesione
volontaria e non obbligatoria delle imprese americane ad un sistema basato su un
primo nucleo di principi tratti dalla direttiva europea 95/46/Ce:
- informativa agli interessati;
- consenso implicito per i dati non sensibili;
- consenso esplicito per i dati sensibili;
- facoltà di accesso ai dati, rettifica e in casi eccezionali rettifica;
- rispetto delle regole minime di sicurezza dei dati;
- applicazione del principio di finalità in forza del quale i dati non possono
essere trattai per fini diversi da quelli per cui sono raccolti;
- applicazione del principio di pertinenza, in forza del quale i dati devono
essere funzionali agli scopi per i quali sono stati raccolti.
Ciò evita alle imprese e alle multinazionali che esportano dati personali negli
USA, di esporsi a possibili interventi europei che potrebbero bloccare i
trasferimenti di dati , come del resto è previsto dalla direttiva europea che
dispone il "congelamento" dei dati, qualora questi dovessero esser
destinati a paesi che non garantiscono un adeguato livello di garanzia.
Sulle imprese americane che volontariamente sottoscrivono il Safe Harbour
(l’adesione risulta da apposite autocertificazioni che le imprese americane
sono tenute a presentare al Dipartimento del Commercio o agli altri organi
governativi competenti degli Stati Uniti), vigila la Federal Trade Commission,
la quale controlla l’osservanza delle previsioni dell’accordo ed in caso di
inadempimento, può infliggere delle sanzioni. La Federal Trade Commission potrà
avviare, infatti, una iniziale fase inibitoria con un formale invito a
conformarsi al contenuto dell’accordo, e in caso di flagrante e persistente
comportamento non conforme, procederà alla espulsione dal sistema del Safe
Harbour, nonché alla condanna al risarcimento dei danni derivanti dal reiterato
inadempimento. Il mancato rispetto dei principi del "Safe Harbour"
potrebbe, inoltre, provocare reclami da parte di privati; in particolare , le
organizzazioni aderenti potrebbero essere ritenute responsabili di falsa
dichiarazione per non essersi attenute ai principi cui hanno dichiarato di
conformarsi, oppure potrebbero subire delle cause per risarcimento dei danni,
conseguenti alla violazione della privacy. D’altra parte, il diritto al
risarcimento dei danni per violazione della privacy personale è ben definito
dalla legge statunitense.
Purtroppo solo una minima parte delle imprese statunitensi hanno risposto
positivamente all’appello "Safe Harbour", conseguentemente per non
rischiare un black out totale dei trasferimenti negli Stati Uniti, si è dovuto
provvedere diversamente. Infatti, per i trasferimenti rivolti ad altri paesi od
imprese statunitensi non aderenti ai principi del "Safe Harbour", gli
operatori italiani possono utilizzare le "clausole contrattuali tipo"
indicate a livello europeo, facendole sottoscrivere chiaramente anche
all’importatore dei dati . Tali clausole non dovranno essere trasmesse al
Garante (se non su richiesta di quest’ultimo), dovrà invece esser data
comunicazione all’Autorità sul tipo di azione legale scelta, in caso di
controversia con le persone alle quali si riferiscono i dati. Infine, dopo
l’accordo di Safe Harbour e la predisposizione di clausole contrattuali
standard da utilizzare nei rapporti con imprese "residenti" in Paesi
senza un’adeguata tutela della riservatezza, sono state predisposte, inoltre,
un altro tipo di clausole contrattuali, studiate per regolare il trasferimento
dei dati in "outsourcing". Le clausole sono state pubblicate sulla
Gazzetta Ufficiale della Comunità Europea L6/52 del 10 Gennaio 2002 e
riguardano la comunicazione di informazioni personali da parte di un titolare
del trattamento stabilito nella Ue verso responsabili del trattamento che
operano in un Paese extra-Ue (con esclusione dell’Ungheria e della Svizzera
che hanno dimostrato di avere lo stesso livello di tutela previsto dall’Ue).
Le nuove clausole contrattuali, che diventeranno operative dal 3 aprile ,
saranno recepite nel nostro Paese con un provvedimento del Garante. Così come
stabilito per quelle standard, anche le nuove regole si applicano su base
volontaria. In altre parole, le parti (spesso si tratta di imprese) devono
sottoscrivere un accordo nel quale inseriscono l’impegno a rispettare le
condizioni necessarie per il trasferimento e l’utilizzo dei dati personali. Ma
mentre nel caso delle clausole standard, le parti sono entrambe titolari del
trattamento e, dunque , sono autonome e ciascuna risponde dei trattamenti che
effettua, le nuove regole disciplinano il rapporto titolare-responsabile del
trattamento. Pertanto la legge da applicare sarà quella di provenienza dei
dati. E’ il caso di una impresa dell’Ue che, per esempio, affida in outsourcing
una commessa, che potrebbe contenere un trattamento di dati personali, ad una
società extra-Ue; la responsabilità di eventuali dati personali trasferiti nel
paese straniero continua ad essere dell’azienda committente. Nell’accordo da
sottoscrivere dovranno essere specificati gli obblighi dell’importatore dei
dati, che dovrà attenersi alle istruzioni dell’esportatore (il titolare del
trattamento), dovrà impegnarsi a non trasferire i dati senza l’autorizzazione
dell’esportatore, dovrà assicurare il rispetto delle misure di sicurezza
previste dalla legge del Paese "mittente" dei dati.
Abbiamo accennato alle clausole contrattuali tipo o standard senza operare una
analitica definizione delle stesse, ma chiaramente non possiamoci esimerci dal
farlo, costituendo le stesse "la soluzione europea" alla questione
della tutela dei dati nei paesi extra-Ue che non si rivelino egualmente
garantisti in materia di privacy. Occorre, però, fare prima delle brevissime
premesse. A norma della direttiva 95/46/Ce, gli Stati membri devono assicurarsi
che un trasferimento di dati a carattere personale verso un paese terzo abbia
luogo soltanto se il paese in questione garantisca un livello adeguato di
protezione dei dati e la legislazione degli Stati membri, attuativa delle altre
disposizioni della direttiva, venga rispettata prima del trasferimento.
Tuttavia, in base all’art. 26 della stessa direttiva, a parziale deroga di
questa disciplina, gli Stati membri possono autorizzare , nel rispetto di
determinate garanzie, un trasferimento di dati personali verso paesi terzi che
non assicurino pari tutela della privacy. Tali garanzie possono essere fornite
dalla previsione di appropriate clausole contrattuali. Alla luce di questa
considerazione le clausole contrattuali tipo costituiscono una delle possibilità,
previste dalla direttiva 95/46/Ce, per la liceità dei trasferimenti dei dati di
cui sopra. Certamente sarà più agevole, per le società e per i singoli
operatori economici in particolare, trasferire i dati in paesi terzi
incorporando tali clausole - che riguarderanno soltanto la protezione dei dati -
nel contratto, rimanendo ferma la possibilità di inserire altre clausole a
carattere commerciale, ritenute pertinenti ai fini del contratto.
Il contratto deve essere retto dalla legge dello Stato membro in cui ha sede
l’esportatore dei dati, che abiliti il terzo beneficiario di un contratto a
ottenerne l’esecuzione. Per ridurre le difficoltà pratiche che i titolari dei
dati potrebbero incontrare nell’esercizio dei diritti inerenti agli stessi, in
base alle clausole contrattuali tipo, l’esportatore e l’importatore dei dati
devono essere ritenuti responsabili separatamente e in solido per danni
derivanti da qualsiasi violazione di disposizioni soggette alla clausola del
terzo beneficiario. Le persone interessate dai dati hanno diritto di azione,
nonché diritto al risarcimento del danno a carico dell’esportatore e
dell’importatore dei dati stessi, o di entrambi, per i danni derivanti da
qualsiasi atto incompatibile con gli obblighi di cui alle clausole contrattuali
tipo. Entrambe le parti possono essere esonerate da tale responsabilità, se
dimostrano di non essere responsabili del danno. La responsabilità
separatamente e in solido non si estende alle disposizioni espressamente escluse
dalla clausola del terzo beneficiario e non espone necessariamente una delle
parti a responsabilità per trattamento illecito ad opera dell’altra.
In estrema sintesi , la Commissione con la decisione 2001/497/Ce ha stabilito i
seguenti principi:
- le clausole contrattuali tipo, riprodotte nell’allegato della decisione
stessa, costituiscono garanzie sufficienti ai fini della tutela della
riservatezza, dei diritti e delle libertà fondamentali delle persone, nonché
per l’esercizio dei diritti connessi a norma dell’art.26 della direttiva
95/46/Ce;
- ferma restando l’adeguatezza della tutela assicurata dalle clausole
contrattuali tipo per il trasferimento di dati personali, sono fatte salve le
disposizioni nazionali di attuazione di altre disposizioni della direttiva
95/46/Ce relative al trattamento dei dati negli Stati membri;
- fatta salva la possibilità delle competenti autorità degli Stati membri di
adottare provvedimenti, al fine di garantire il rispetto delle disposizioni
nazionali di attuazione della direttiva 95/46/Ce, dette autorità possono
avvalersi anche dei poteri loro attribuiti per proibire o sospendere flussi di
dati verso paesi terzi, a fini di tutela delle persone, per quanto riguarda il
trattamento dei rispettivi dati personali, qualora venga accertato
l’inosservanza delle clausole tipo da parte dell’importatore, oppure sia
probabile che le clausole contrattuali tipo non siano o non saranno rispettate e
che la prosecuzione del trasferimento possa essere causa di un rischio imminente
di grave pregiudizio ai titolari dei dati o, infine, se sia accertato che la
legislazione, cui è sottoposto l’importatore dei dati, lo obbliga a deroghe
dai principi di protezione dei dati.Il divieto o la sospensione cessano non
appena vengono meno le ragioni che li hanno imposti.
La decisione emessa dalla Commissione dell’Unione Europea il 15 giugno 2001 è
divenuta produttiva di effetti giuridici dal 3 settembre 2001.
In ogni caso gli operatori, nel regolare i flussi dei dati fuori dell’Ue,
debbono comunque far riferimento alle disposizioni nazionali di recepimento
delle direttive comunitarie in materia, (in particolare in Italia si veda
l’art.28 L.675/1994, come modificato dalla D.Lgs.497/2001).
Infine, qualora non possano o non vogliano avvalersi di nessuno degli strumenti
descritti, gli operatori, che hanno già assunto anche a livello contrattuale
misure idonee a garantire un’adeguata tutela dei diritti delle persone
interessate, possono comunque, in casi particolari, rivolgersi direttamente al
Garante per chiedere di essere autorizzati al trasferimento dei dati
all’estero.
Alla luce di quanto scritto possiamo ritenere le clausole contrattuali-tipo, un
tentativo europeo di rendere più sollecite le operazioni commerciali
internazionali; gli operatori potrebbero, infatti, non soffermarsi sul
"come risolvere il problema privacy", affidandosi automaticamente alle
clausole, senza dover ricorrere preventivamente ad accordi o autorizzazioni di
Autorità, che non sempre hanno tempi brevi.
(*) Dott.ssa Elisa Elia.
Centro Studi & Ricerche SCiNT (www.scint.it).