Nel trasferire i dati personali al di fuori del territorio nazionale, si possono presentare due condizioni:
- Trasferimento verso Paesi facenti parte della UE – in questo caso non esistono divieti o limitazioni perché vi è la libera circolazione dei dati.
- Trasferimento verso Paesi extra UE – in questo caso vanno fatte alcune considerazioni per verificare se i Paesi hanno adottato adeguate misure di protezione dei dati oppure no.
A tal proposito l’Autorità Garante ha adottato nel 2001 due importanti provvedimenti con i quali ha autorizzato le imprese a trasferire i dati personali verso gli Stati Uniti e gli altri Paesi non appartenenti all’Unione europea, sulla base delle precise garanzie individuate in due decisioni della Commissione europea indirizzate a tutti gli Stati membri.
Il trasferimento di dati personali da paesi appartenenti all’UE verso Paesi “terzi” (non appartenenti all’UE o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein) è vietato, in linea di principio (articolo 25, comma 1, della Direttiva 95/46/CE), a meno che il Paese in questione garantisca un livello di protezione “adeguato”; la Commissione ha il potere di stabilire tale adeguatezza attraverso una specifica decisione (articolo 25, comma 6, della Direttiva 95/46/CE).
In base a questo, nessun problema per i flussi di dati verso:
Andorra
Argentina
Australia – PNR Passenger Name Record
Canada
Faer Oer
Guernsey
Isola di Man
Israele
Jersey
Nuova Zelanda
Svizzera
Uruguay
USA – Safe Harbor
USA – PNR Passenger Name Record
Inoltre in deroga a tale divieto, il trasferimento verso Paesi terzi è consentito anche nei casi menzionati dall’articolo 26, comma 1, della Direttiva 95/46 (consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali/precontrattuali, interesse pubblico preminente, ecc.), nonché sulla base di strumenti contrattuali che offrano garanzie adeguate (articolo 26, comma 2, della Direttiva 95/46).
Le imprese o gli enti italiani che intendono trasferire informazioni di carattere personale ad un soggetto residente in Paese extra UE devono adottare una delle soluzioni seguenti (fermo restando l’obbligo della notificazione al Garante se non si rientra nei casi di esonero).
- Per quanto riguarda i trasferimenti indirizzati verso gli USA, occorre accertarsi che l’operatore statunitense abbia aderito all’accordo del “Safe Harbor” (l’adesione risulta da apposite autocertificazioni che le imprese americane sono tenute a presentare al Dipartimento del commercio o agli altri organi governativi competenti degli Stati Uniti) (vedi G.U. delle Comunità europee L 215 del 25.8.2000 e L115 del 25.4.2001)
- Per i trasferimenti rivolti ad altri Paesi o ad imprese statunitensi non aderenti ai principi del “Safe Harbor” gli operatori italiani possono utilizzare le clausole contrattuali-tipo indicate a livello europeo (vedi G.U. delle Comunità europee L 181 del 4.7.2001), facendole sottoscrivere chiaramente anche all’importatore dei dati. Tali clausole non dovranno essere trasmesse al Garante se non su richiesta di quest’ultimo, mentre dovrà essere invece data comunicazione all’Autorità sul tipo di azione legale scelta in caso di controversia con le persone alle quali si riferiscono i dati.
- Gli operatori possono comunque far riferimento alle disposizioni nazionali che permettono di esportare i dati con il consenso degli interessati oppure facendo riferimento ad uno degli altri casi indicati dalla legge italiana sulla privacy: esecuzione di un contratto con l’interessato, difesa giudiziaria, salvaguardia della vita, ecc. (art.28 della legge 675/96).
- Qualora non possano o non vogliano avvalersi di nessuno degli strumenti descritti, gli operatori, che hanno già assunto, anche a livello contrattuale, misure idonee a garantire un’adeguata tutela dei diritti delle persone interessate, possono comunque, in casi particolari, rivolgersi direttamente al Garante per chiedere di essere autorizzati al trasferimento dei dati all’estero.
La direttiva 95/46/CE fornisce, agli artt. 25 e 26, una serie di prescrizioni atte a garantire che, pur nel rispetto della necessaria e imprescindibile libertà di circolazione dei dati personali all’interno della Comunità europea, vengano salvaguardati i diritti fondamentali delle persone. Il recepimento della direttiva nei singoli ordinamenti, dunque, fa sì che tutti gli Stati membri possano assicurare un equivalente livello di tutela del trattamento.
Conseguentemente la disciplina nazionale condiziona il trasferimento dei dati, anche temporaneo, verso un Paese terzo che non garantisca un livello di protezione adeguato (artt. 42, 43 e 45 del Codice) all’adozione di stringenti misure. È infatti previsto che il trasferimento sia consentito se autorizzato dal Garante qualora il livello di garanzia offerto dal Paese terzo sia stato ritenuto idoneo da apposite decisioni della Commissione europea oppure qualora il titolare presti opportune garanzie in sede contrattuale mediante l’adozione di regole di condotta infragruppo: le cosiddette binding corporate rules (BCR), o mediante la sottoscrizione fra le parti delle clausole contrattuali tipo previste dalle relative decisioni della Commissione europea (art. 44 del Codice).
Si tratta di uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi (extra-UE) tra società facenti parti dello stesso gruppo d’impresa.
Si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate).
Le BCR costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.
—- Fine prima parte —-
Continua > Parte 2: “Le BCR”.
