Segnalazione al Parlamento e al Governo sul trasferimento di dati personali in paesi terzi

Segnalazione al Parlamento e al Governo sul trasferimento di dati personali in paesi terzi

(art. 154, comma 1, lett. f), d.lg. 30 giugno 2003, n. 196)

1. La presente segnalazione individua le ragioni per le quali il Garante ritiene opportuno un intervento normativo volto a novellare il Codice in materia di protezione dei dati personali, nella parte in cui regola il trasferimento di dati personali verso Paesi terzi (art. 44 d.lg. 30 giugno 2003, n. 196).

2. Il Codice disciplina il trattamento dei dati anche dal punto di vista del loro trasferimento all’estero, affermando il principio secondo cui, mentre all’interno dell’Unione europea è prevista come regola generale la libera circolazione (non soggetta a restrizioni salvo che in caso di eventuali fenomeni elusivi di garanzie), il trasferimento di informazioni personali verso Paesi terzi è invece possibile, sempre come regola generale, solo se il Paese di destinazione garantisce un livello di protezione adeguato secondo la valutazione effettuata dalla Commissione europea (artt. 42 e 44 Codice cit.).

Poiché diversi Paesi terzi non offrono tale protezione, in attuazione di quanto disposto dalla direttiva comunitaria in materia (n. 95/46/Ce del 24 ottobre 1995), sono previste alcune condizioni equipollenti in base alle quali il trasferimento può avvenire comunque, ad esempio perché vi è il consenso dell’interessato, od occorre eseguire obblighi contrattuali o salvaguardare un interesse pubblico rilevante (art. 43 Codice cit.).

Tra queste condizioni equipollenti vi è anche il caso nel quale il trasferimento può essere autorizzato dal Garante in presenza di garanzie individuate dalla stessa Autorità come "adeguate" in rapporto ai diritti degli interessati (art. 44, comma 1, lett. a)).

Su queste basi, l’esperienza di collaborazione con la Commissione europea e con le autorità garanti degli altri Paesi dell’Unione ha già individuato alcuni strumenti utili basati su clausole contrattuali standard approvate con decisione della Commissione europea (art. 26, par. 4 dir. n. 95/46/Ce cit.).

In particolare, sono stati predisposti su scala europea alcuni contratti-tipo che hanno permesso di regolare in modo uniforme, e tendenzialmente agevole, diversi flussi di dati verso Paesi terzi nei quali operino titolari del trattamento autonomi rispetto al soggetto esportatore, oppure strutture che agiscono in funzione strumentale quali "responsabili" del trattamento.

3. Varie imprese attive su scala internazionale si sono avvalse di queste soluzioni.

L’esperienza applicativa ha portato però a evidenziare alcune difficoltà che incontrano, soprattutto, società operanti all’interno di gruppi multinazionali, nell’applicare le predette opportunità in Europa con un approccio distinto da Paese a Paese.

Per tali gruppi, anche l’impiego di modelli contrattuali standardizzati viene infatti avvertito, a volte, come farraginoso, in quanto ciascuna società stabilita all’interno dello Spazio economico europeo e appartenente ad un medesimo gruppo multinazionale deve comunque includere le garanzie previste dai predetti schemi tipo in un suo contratto con le società del gruppo situate in Paesi terzi.

Pertanto, il Gruppo che riunisce le autorità garanti d’Europa, istituito ai sensi dell’art. 29 della direttiva 95/46/Ce (c.d. Gruppo art. 29), ha preso in considerazione ulteriori strumenti, rispetto a quello contrattuale, che possano assicurare anch’essi un livello adeguato di protezione per i diritti degli interessati, con particolare riguardo al trasferimento all’estero dei dati personali nell’ambito dei gruppi multinazionali [1].

Il Gruppo ha operato alcune prime valutazioni con riserva di eventuali situazioni specifiche connesse a singole realtà nazionali, ravvisando un’interessante prospettiva di lavoro nelle regole di comportamento che una società capogruppo può impartire, generalmente all’interno di appositi codici di condotta interni al gruppo multinazionale e resi vincolanti per tutte le società ad esso appartenenti.

Tali regole, ormai conosciute nella prassi applicativa come "binding corporate rules", sono state ritenute come uno strumento astrattamente idoneo ad assicurare un livello adeguato di protezione per i diritti degli interessati, compatibile con la disciplina contenuta nella direttiva 95/46/Ce.

Il Gruppo ha precisato che le binding corporate rules possono essere impiegate utilmente sempreché siano effettivamente vincolanti in un duplice senso:

all’interno del gruppo di società, grazie anche alla previsione di "sanzioni private" nei confronti degli incaricati operanti presso le società interessate;

all’esterno del gruppo di società, al fine di consentire l’esercizio dei diritti risultanti dalle regole di condotta interne al gruppo agli interessati cui si riferiscono i dati trasferiti.

4. In alcuni ordinamenti il legislatore nazionale ha dato seguito all’indirizzo formulato dal Gruppo e ha inserito nella normativa nazionale un riferimento espresso.

Nella Repubblica federale tedesca, è stato ad esempio previsto espressamente che le garanzie possano consistere, oltre che in clausole contrattuali, in "regole vincolanti d’impresa" [2].

Analogamente, in Francia è stata apportata una modifica alla legge sulla protezione dei dati per menzionare, appunto, il ricorso a "regole interne" al gruppo [3].

5. Il Codice italiano sulla protezione dei dati personali non reca espresse indicazioni sulle binding corporate rules, sebbene con un’apprezzata disposizione affidi a questa Autorità il compito di attuare le decisioni comunitarie che individuano situazioni di adeguatezza nei Paesi terzi, nonché l’ulteriore compito di ravvisare l’idoneità di alcune garanzie per gli interessati prestate anche con contratti.

Il Garante ritiene giustificato avviare rapidamente un percorso per dare più incisiva attuazione alle binding corporate rules anche nel nostro Paese.

Tuttavia, questa Autorità constata che il fenomeno delle regole di condotta all’interno di gruppi societari presenta tuttora alcuni profili di incerta qualificazione, soprattutto per quanto riguarda la loro concreta valenza giuridica dal punto di vista della vincolatività e, quindi, dell’effettiva garanzia per i cittadini interessati in caso di loro inosservanza.

Tale incertezza può indurre il Garante a disconoscere, al riguardo, la sussistenza di adeguate garanzie per i diritti degli interessati, che pure siano previste all’interno dei menzionati codici di condotta. Rispetto ad altri Paesi europei si possono pertanto determinare alcuni effetti negativi per le società (stabilite in Italia) appartenenti a gruppi interessate al trasferimento di dati personali verso Paesi terzi.

PER QUESTE RAGIONI

il Garante rappresenta al Parlamento e al Governo l’opportunità di prendere in considerazione una possibile integrazione della vigente disciplina di protezione dei dati che agevoli questa Autorità nell’individuare garanzie adeguate per i diritti degli interessati rispetto a richieste di autorizzazione al trasferimento dei dati verso Paesi terzi basate su regole di condotta vincolanti all’interno dei gruppi di imprese.

Stante la particolare tecnicità dell’argomento, il Garante ha anche individuato una concreta possibilità di modifica che potrebbe essere apportata all’art. 44 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), aggiungendo nel comma 1, lett. a) un periodo di tenore analogo al seguente:

"a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell’ambito di società appartenenti a un medesimo gruppo. L’interessato può far valere i propri diritti nel territorio dello Stato, in base al presente Codice, anche in ordine all’inosservanza delle garanzie medesime;".

Roma, 8 novembre 2007

--------------------------------------------------------------------------------

[1] Working Document WP 74, Transfers of personal data to third countries: Applying Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers, del 3 giugno 2003, in http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2003/wp74_en.pdf).

[2] § 4c, alinea 2° della legge federale sulla protezione dei dati (Bundesdatenschutzgesetz)

[3] Art. 69 Loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel du 6 août 2004.

stampa chiudi

Segnalazione al Parlamento e al Governo sul trasferimento di dati personali in paesi terzi

(art. 154, comma 1, lett. f), d.lg. 30 giugno 2003, n. 196)

1. La presente segnalazione individua le ragioni per le quali il Garante ritiene opportuno un intervento normativo volto a novellare il Codice in materia di protezione dei dati personali, nella parte in cui regola il trasferimento di dati personali verso Paesi terzi (art. 44 d.lg. 30 giugno 2003, n. 196).

2. Il Codice disciplina il trattamento dei dati anche dal punto di vista del loro trasferimento all’estero, affermando il principio secondo cui, mentre all’interno dell’Unione europea è prevista come regola generale la libera circolazione (non soggetta a restrizioni salvo che in caso di eventuali fenomeni elusivi di garanzie), il trasferimento di informazioni personali verso Paesi terzi è invece possibile, sempre come regola generale, solo se il Paese di destinazione garantisce un livello di protezione adeguato secondo la valutazione effettuata dalla Commissione europea (artt. 42 e 44 Codice cit.).

Poiché diversi Paesi terzi non offrono tale protezione, in attuazione di quanto disposto dalla direttiva comunitaria in materia (n. 95/46/Ce del 24 ottobre 1995), sono previste alcune condizioni equipollenti in base alle quali il trasferimento può avvenire comunque, ad esempio perché vi è il consenso dell’interessato, od occorre eseguire obblighi contrattuali o salvaguardare un interesse pubblico rilevante (art. 43 Codice cit.).

Tra queste condizioni equipollenti vi è anche il caso nel quale il trasferimento può essere autorizzato dal Garante in presenza di garanzie individuate dalla stessa Autorità come "adeguate" in rapporto ai diritti degli interessati (art. 44, comma 1, lett. a)).

Su queste basi, l’esperienza di collaborazione con la Commissione europea e con le autorità garanti degli altri Paesi dell’Unione ha già individuato alcuni strumenti utili basati su clausole contrattuali standard approvate con decisione della Commissione europea (art. 26, par. 4 dir. n. 95/46/Ce cit.).

In particolare, sono stati predisposti su scala europea alcuni contratti-tipo che hanno permesso di regolare in modo uniforme, e tendenzialmente agevole, diversi flussi di dati verso Paesi terzi nei quali operino titolari del trattamento autonomi rispetto al soggetto esportatore, oppure strutture che agiscono in funzione strumentale quali "responsabili" del trattamento.

3. Varie imprese attive su scala internazionale si sono avvalse di queste soluzioni.

L’esperienza applicativa ha portato però a evidenziare alcune difficoltà che incontrano, soprattutto, società operanti all’interno di gruppi multinazionali, nell’applicare le predette opportunità in Europa con un approccio distinto da Paese a Paese.

Per tali gruppi, anche l’impiego di modelli contrattuali standardizzati viene infatti avvertito, a volte, come farraginoso, in quanto ciascuna società stabilita all’interno dello Spazio economico europeo e appartenente ad un medesimo gruppo multinazionale deve comunque includere le garanzie previste dai predetti schemi tipo in un suo contratto con le società del gruppo situate in Paesi terzi.

Pertanto, il Gruppo che riunisce le autorità garanti d’Europa, istituito ai sensi dell’art. 29 della direttiva 95/46/Ce (c.d. Gruppo art. 29), ha preso in considerazione ulteriori strumenti, rispetto a quello contrattuale, che possano assicurare anch’essi un livello adeguato di protezione per i diritti degli interessati, con particolare riguardo al trasferimento all’estero dei dati personali nell’ambito dei gruppi multinazionali [1].

Il Gruppo ha operato alcune prime valutazioni con riserva di eventuali situazioni specifiche connesse a singole realtà nazionali, ravvisando un’interessante prospettiva di lavoro nelle regole di comportamento che una società capogruppo può impartire, generalmente all’interno di appositi codici di condotta interni al gruppo multinazionale e resi vincolanti per tutte le società ad esso appartenenti.

Tali regole, ormai conosciute nella prassi applicativa come "binding corporate rules", sono state ritenute come uno strumento astrattamente idoneo ad assicurare un livello adeguato di protezione per i diritti degli interessati, compatibile con la disciplina contenuta nella direttiva 95/46/Ce.

Il Gruppo ha precisato che le binding corporate rules possono essere impiegate utilmente sempreché siano effettivamente vincolanti in un duplice senso:

all’interno del gruppo di società, grazie anche alla previsione di "sanzioni private" nei confronti degli incaricati operanti presso le società interessate;

all’esterno del gruppo di società, al fine di consentire l’esercizio dei diritti risultanti dalle regole di condotta interne al gruppo agli interessati cui si riferiscono i dati trasferiti.

4. In alcuni ordinamenti il legislatore nazionale ha dato seguito all’indirizzo formulato dal Gruppo e ha inserito nella normativa nazionale un riferimento espresso.

Nella Repubblica federale tedesca, è stato ad esempio previsto espressamente che le garanzie possano consistere, oltre che in clausole contrattuali, in "regole vincolanti d’impresa" [2].

Analogamente, in Francia è stata apportata una modifica alla legge sulla protezione dei dati per menzionare, appunto, il ricorso a "regole interne" al gruppo [3].

5. Il Codice italiano sulla protezione dei dati personali non reca espresse indicazioni sulle binding corporate rules, sebbene con un’apprezzata disposizione affidi a questa Autorità il compito di attuare le decisioni comunitarie che individuano situazioni di adeguatezza nei Paesi terzi, nonché l’ulteriore compito di ravvisare l’idoneità di alcune garanzie per gli interessati prestate anche con contratti.

Il Garante ritiene giustificato avviare rapidamente un percorso per dare più incisiva attuazione alle binding corporate rules anche nel nostro Paese.

Tuttavia, questa Autorità constata che il fenomeno delle regole di condotta all’interno di gruppi societari presenta tuttora alcuni profili di incerta qualificazione, soprattutto per quanto riguarda la loro concreta valenza giuridica dal punto di vista della vincolatività e, quindi, dell’effettiva garanzia per i cittadini interessati in caso di loro inosservanza.

Tale incertezza può indurre il Garante a disconoscere, al riguardo, la sussistenza di adeguate garanzie per i diritti degli interessati, che pure siano previste all’interno dei menzionati codici di condotta. Rispetto ad altri Paesi europei si possono pertanto determinare alcuni effetti negativi per le società (stabilite in Italia) appartenenti a gruppi interessate al trasferimento di dati personali verso Paesi terzi.

PER QUESTE RAGIONI

il Garante rappresenta al Parlamento e al Governo l’opportunità di prendere in considerazione una possibile integrazione della vigente disciplina di protezione dei dati che agevoli questa Autorità nell’individuare garanzie adeguate per i diritti degli interessati rispetto a richieste di autorizzazione al trasferimento dei dati verso Paesi terzi basate su regole di condotta vincolanti all’interno dei gruppi di imprese.

Stante la particolare tecnicità dell’argomento, il Garante ha anche individuato una concreta possibilità di modifica che potrebbe essere apportata all’art. 44 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), aggiungendo nel comma 1, lett. a) un periodo di tenore analogo al seguente:

"a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell’ambito di società appartenenti a un medesimo gruppo. L’interessato può far valere i propri diritti nel territorio dello Stato, in base al presente Codice, anche in ordine all’inosservanza delle garanzie medesime;".

Roma, 8 novembre 2007

--------------------------------------------------------------------------------

[1] Working Document WP 74, Transfers of personal data to third countries: Applying Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers, del 3 giugno 2003, in http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2003/wp74_en.pdf).

[2] § 4c, alinea 2° della legge federale sulla protezione dei dati (Bundesdatenschutzgesetz)

[3] Art. 69 Loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel du 6 août 2004.

stampa chiudi