| Garante per la protezione dei dati personali IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI Segnalazione alParlamento e al Governo sul trasferimento di dati personali in paesiterzi (art. 154, comma 1,lett. f), d.lg. 30 giugno 2003, n. 196) 1. La presente segnalazione individua le ragioni per le quali il Garanteritiene opportuno un intervento normativo volto a novellare il Codice inmateria di protezione dei dati personali, nella parte in cui regola iltrasferimento di dati personali verso Paesi terzi (art. 44 d.lg. 30 giugno2003, n. 196). 2. Il Codice disciplina il trattamento dei dati anche dal punto di vistadel loro trasferimento all'estero, affermando il principio secondo cui, mentreall'interno dell'Unione europea prevista come regola generale la liberacircolazione (non soggetta a restrizioni salvo che in caso di eventualifenomeni elusivi di garanzie), il trasferimento di informazioni personali versoPaesi terzi invece possibile, sempre come regola generale, solo se il Paesedi destinazione garantisce un livello di protezione adeguato secondo lavalutazione effettuata dalla Commissione europea (artt. 42 e 44 Codice cit.). Poich diversi Paesi terzi non offronotale protezione, in attuazione di quanto disposto dalla direttiva comunitariain materia (n. 95/46/Ce del 24 ottobre 1995), sono previste alcune condizioniequipollenti in base alle quali il trasferimento pu avvenire comunque, adesempio perch vi il consenso dell'interessato, od occorre eseguire obblighicontrattuali o salvaguardare un interesse pubblico rilevante (art. 43 Codicecit.). Tra queste condizioni equipollenti vi anche il caso nel quale il trasferimento pu essere autorizzato dal Garante inpresenza di garanzie individuate dalla stessa Autorit come"adeguate" in rapporto ai diritti degli interessati (art. 44, comma1, lett. a)). Su queste basi, l'esperienza dicollaborazione con la Commissione europea e con le autorit garanti degli altriPaesi dell'Unione ha gi individuato alcuni strumenti utili basati su clausolecontrattuali standard approvatecon decisione della Commissione europea (art. 26, par. 4 dir. n. 95/46/Cecit.). In particolare, sono stati predisposti suscala europea alcuni contratti-tipo che hanno permesso di regolare in modouniforme, e tendenzialmente agevole, diversi flussi di dati verso Paesi terzinei quali operino titolari del trattamento autonomi rispetto al soggettoesportatore, oppure strutture che agiscono in funzione strumentale quali"responsabili" del trattamento. 3. Varie imprese attive su scala internazionale si sono avvalse di questesoluzioni. L'esperienza applicativa ha portato pera evidenziare alcune difficolt che incontrano, soprattutto, societ operantiall'interno di gruppi multinazionali, nell'applicare le predette opportunit inEuropa con un approccio distinto da Paese a Paese. Per tali gruppi, anche l'impiego dimodelli contrattuali standardizzati viene infatti avvertito, a volte, comefarraginoso, in quanto ciascuna societ stabilita all'interno dello Spazioeconomico europeo e appartenente ad un medesimo gruppo multinazionale devecomunque includere le garanzie previste dai predetti schemi tipo in un suocontratto con le societ del gruppo situate in Paesi terzi. Pertanto, il Gruppo che riunisce leautorit garanti d'Europa, istituito ai sensi dell'art. 29 della direttiva 95/46/Ce(c.d. Gruppo art. 29), ha preso in considerazione ulteriori strumenti, rispettoa quello contrattuale, che possano assicurare anch'essi un livello adeguato diprotezione per i diritti degli interessati, con particolare riguardo altrasferimento all'estero dei dati personali nell'ambito dei gruppimultinazionali Il Gruppo ha operato alcune primevalutazioni con riserva di eventuali situazioni specifiche connesse a singolerealt nazionali, ravvisando un'interessante prospettiva di lavoro nelle regoledi comportamento che una societ capogruppo pu impartire, generalmenteall'interno di appositi codici di condotta interni al gruppo multinazionale eresi vincolanti per tutte le societ ad esso appartenenti. Tali regole, ormai conosciute nellaprassi applicativa come "binding corporate rules" Il Gruppo ha precisato che le bindingcorporate rules possono essereimpiegate utilmente semprech siano effettivamente vincolanti in un duplicesenso: all'interno del gruppo disociet, grazie anche allaprevisione di "sanzioni private" nei confronti degli incaricatioperanti presso le societ interessate; all'esterno del gruppo disociet, al fine di consentirel'esercizio dei diritti risultanti dalle regole di condotta interne al gruppoagli interessati cui si riferiscono i dati trasferiti.
4. In alcuni ordinamenti il legislatore nazionale ha dato seguitoall'indirizzo formulato dal Gruppo e ha inserito nella normativa nazionale unriferimento espresso. Nella Repubblica federale tedesca, stato ad esempio previsto espressamente che le garanzie possano consistere,oltre che in clausole contrattuali, in "regole vincolantid'impresa" Analogamente, in Francia stataapportata una modifica alla legge sulla protezione dei dati per menzionare,appunto, il ricorso a "regole interne 5. Il Codice italiano sulla protezione dei dati personali non recaespresse indicazioni sulle binding corporate rules, Il Garante ritiene giustificato avviarerapidamente un percorso per dare pi incisiva attuazione alle bindingcorporate rules anche nel nostroPaese. Tuttavia, questa Autorit constata che ilfenomeno delle regole di condotta all'interno di gruppi societari presentatuttora alcuni profili di incerta qualificazione, soprattutto per quantoriguarda la loro concreta valenza giuridica dal punto di vista dellavincolativit e, quindi, dell'effettiva garanzia per i cittadini interessati incaso di loro inosservanza. Tale incertezza pu indurre il Garante adisconoscere, al riguardo, la sussistenza di adeguate garanzie per i dirittidegli interessati, che pure siano previste all'interno dei menzionati codici dicondotta. Rispetto ad altri Paesi europei si possono pertanto determinarealcuni effetti negativi per le societ (stabilite in Italia) appartenenti agruppi interessate al trasferimento di dati personali verso Paesi terzi. PER QUESTE RAGIONI il Garante rappresenta al Parlamento e alGoverno l'opportunit di prendere in considerazione una possibile integrazionedella vigente disciplina di protezione dei dati che agevoli questa Autoritnell'individuare garanzie adeguate per i diritti degli interessati rispetto arichieste di autorizzazione al trasferimento dei dati verso Paesi terzi basatesu regole di condotta vincolanti all'interno dei gruppi di imprese. Stante la particolare tecnicitdell'argomento, il Garante ha anche individuato una concreta possibilit dimodifica che potrebbe essere apportata all'art. 44 del Codice in materia diprotezione dei dati personali (d.lg. 30 giugno 2003, n. 196), aggiungendo nelcomma 1, lett. a) un periodo di tenore analogo al seguente: "a) individuate dal Garante anchein relazione a garanzie prestate con un contratto Roma, 8 novembre 2007 |