Privacy e
trasferimento dati all'estero
Il Gruppo dei Garanti europei
ha approvato un primo documento di lavoro relativo a norme vincolanti
d’impresa che possono offrire garanzie sufficienti ai fini del
trasferimento di dati verso Paesi terzi che non dispongono di un livello
adeguato di protezione dei dati personali.
Le norme vincolanti d’impresa
sono veri e propri codici di condotta elaborati nell’ambito di un gruppo
di imprese e validi per tutte le imprese che di tale gruppo fanno parte.
Le imprese possono difatti
effettuare un trasferimento di dati verso Paesi terzi, non ritenuti
"adeguati" secondo la propria normativa nazionale, sulla base di
garanzie sufficienti, che possono consistere, in particolare, in
clausole contrattuali appropriate.
A livello UE, sono state
riconosciute sufficienti delle clausole contrattuali standard relative
ai trasferimenti di dati. Ora la Commissione valuta altri strumenti che
rivelarsi utili per le imprese, in particolare multinazionali e gruppi
societari, che operano in più Paesi, anche al di fuori dell’UE, con
legislazioni spesso piuttosto distanti.
Sono state date dunque
indicazioni più stringenti sui termini e le condizioni che offrono
garanzie sufficienti.
La possibilità di utilizzare
queste norme vincolanti di impresa per i trasferimenti di dati personali
da imprese europee ad altre società appartenenti allo stesso gruppo
multinazionale presuppone almeno che:
a) le norme d’impresa siano
effettivamente vincolanti;
b) si tratti, appunto, di
norme d’impresa, ossia di norme elaborate da un gruppo multinazionale ed
effettivamente valide per tutte le società che di tale gruppo fanno
parte. Ciò significa, in pratica, che per il trasferimento di dati
verso soggetti terzi extra-gruppo, le norme d’impresa non possono avere,
ovviamente, alcuna validità e dunque si dovrà ricorrere, eventualmente,
ad altri strumenti contrattuali come le clausole standard.
Quanto alla vincolatività
delle norme, le Autorità per la protezione dei dai europee
sottolineano che essa deve sussistere sia all’interno del gruppo di
imprese, sia nei confronti del mondo esterno.
I Garanti suggeriscono l'uso
di clausole da inserire nei contratti che regolano i rapporti fra le
imprese del gruppo e di strumenti per assicurare all’interno del gruppo
il rispetto delle norme d’impresa: sanzioni disciplinari in caso di
violazione delle norme, un’adeguata sensibilizzazione del personale,
corsi di formazione speciali.
Ma vengono fornite anche
dettagliate indicazioni sul contenuto delle norme. Occorre prevedere:
-
un controllo regolare
da parte di revisori esterni, e la possibilità per le autorità
nazionali di protezione dati di condurre accertamenti;
-
la specificazione dei
meccanismi di trattazione di eventuali ricorsi individuali, e
di quali siano gli uffici competenti all’interno del gruppo;
-
l’obbligo di cooperare
con le autorità di protezione dati, con l’impegno ad accettare
sia i controlli esterni, sia le indicazioni fornite dalle
autorità rispetto all’interpretazione e all’applicazione delle
norme stesse;
-
l’indicazione che gli
interessati beneficiano degli stessi rimedi giuridici ai quali
avrebbero diritto se il trattamento svolto dalla multinazionale
fosse soggetto alla direttiva o alla legge nazionale di uno
degli Stati membri;
-
la responsabilità
congiunta e solidale della capogruppo rispetto alle violazioni
commesse da altre società appartenenti al gruppo, e l’impegno
della capogruppo a farsi carico di eventuali risarcimenti
(qualora la capogruppo non sia stabilita in Europa, tale
responsabilità deve essere delegata ad una delle società con
sede in Europa);
-
l’onere della prova
deve ricadere non già sull’interessato, il quale non deve
essere tenuto a dimostrare la violazione commessa dalla singola
società nel Paese terzo, ma sulla capogruppo o sulla società con
sede nell’UE delegata alla trattazione delle tematiche di
protezione dati, che deve dimostrare l’estraneità della società
situata nel Paese terzo in questione;
-
l’interessato deve
avere la possibilità di citare in giudizio la multinazionale
(qualora intenda chiedere un risarcimento, oppure non sia
soddisfatto dell’esito della procedura interna di ricorso sopra
menzionata) e di scegliere se farlo nello Stato in cui ha sede
la società che ha inizialmente trasferito i dati, oppure nello
Stato ove ha sede la capogruppo europea o la società europea
delegata alla trattazione delle tematiche di protezione dati.
I Garanti evidenziano, infine,
un punto fondamentale: la necessità di estendere agli interessati lo
status di "terzi beneficiari" già riconosciuto loro dalle clausole
contrattuali standard. Questo significa il diritto: di essere informati
prima del trasferimento di dati sensibili che li riguardino; di ottenere
copia delle norme; di ottenere risposta, in tempi ragionevoli, a
richieste concernenti il trattamento dei loro dati in Paesi terzi; di
ottenere eventuali risarcimenti in caso di violazione delle norme; di
adire le autorità giudiziarie europee nei termini previsti dalle norme
stesse, etc.
Nei Paesi nei quali non è
considerato sufficiente a livello giuridico l’impegno assunto
unilateralmente da una società, si potrà aggiungere una clausola ad hoc
("clausola del terzo beneficiario") al contratto che regola il rapporto
fra le società appartenenti al gruppo.
Dalla newsletter
del Garante di giugno 2003
www.garanteprivacy.it |