CE - GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI Primi orientamenti relativi al trasferimento di dati personali verso paesi terzi Documento di consultazione adottato dal gruppo il 26 giugno 1997 1. INTRODUZIONE Il presente documento, lungi dall'affrontare la totalità dei temi emersi nell'ambito della direttiva in relazione al trasferimento di dati personali verso paesi terzi, intende piuttosto concentrare l'attenzione sulla questione fondamentale della valutazione dell'adeguatezza ai sensi dell'articolo 25, paragrafi 1 e 2. In questa sede non si prende in considerazione la portata delle deroghe alla prescrizione della "tutela adeguata" di cui all'articolo 26, paragrafo 1. L'ipotesi al riguardo poggia sul carattere restrittivo della formulazione di tali deroghe nel testo della direttiva e sulla probabilità che un gran numero di casi non vi rientri e sia pertanto obbligato a superare la verifica di adeguatezza. Il gruppo intende esaminare l'esatta portata di tali deroghe in un prossimo lavoro. Occorre ricordare che il termine adeguato compare anche nell'articolo 26, paragrafo 2, laddove è prevista la possibilità di soluzioni ad hoc, nella fattispecie di carattere contrattuale, per situazioni carenti di tutela adeguata ai sensi dell'articolo 25, paragrafo 2. Dal punto di vista procedurale, tuttavia, la direttiva tratta questi casi in modo molto diverso. Conformemente all'articolo 25, gli Stati membri hanno l'obbligo di informare la Commissione e di comunicarsi a vicenda i casi in cui non è stata garantita una tutela adeguata ed il trasferimento è stato di conseguenza bloccato; l'articolo 26, al contrario, stabilisce il medesimo obbligo di notificazione per ogni autorizzazione concessa. Ciò rispecchia il fatto che dette soluzioni contrattuali comportano una serie di problemi (ad esempio, la difficoltà della persona interessata nel far valere i propri diritti in virtù di un contratto cui non partecipa direttamente) e pertanto si prestano solo a determinate circostanze specifiche, con tutta probabilità relativamente rare. In un lavoro futuro, il gruppo esaminerà a parte le circostanze in cui possono essere idonee le soluzioni contrattuali ad hoc e stabilirà alcuni principi relativi alle loro possibili forme e contenuti. In sostanza, detto lavoro attingerà ampiamente ai concetti espressi nel presente documento, visto che l'elemento di verifica dell'adeguatezza è contenuto sia nell'articolo 26, paragrafo 2, che nell'articolo 25, paragrafi 1 e 2. 2. QUESTIONI PROCEDURALI L'articolo 25 presenta un'impostazione caso per caso: l'adeguatezza viene valutata in relazione ai singoli trasferimenti o alle singole categorie di trasferimenti. Tuttavia, alla luce dell'elevato numero di trasferimenti di dati personali in uscita dalla Comunità ogni giorno, vista peraltro la molteplicità delle parti interessate da tali trasferimenti, evidentemente nessuno Stato membro, qualunque sia il sistema adottato per l'applicazione dell'articolo 251, sarà in grado di garantire che ogni singolo caso sia esaminato in dettaglio. Ovviamente ciò non significa che nessun caso sarà esaminato in dettaglio, ma indica piuttosto la necessità di elaborare meccanismi volti a razionalizzare il processo decisionale per un gran numero di casi e a consentire l'adozione di decisioni, se non altro a carattere provvisorio, senza difficoltà inutili e senza dispendio eccessivo di risorse. Tale razionalizzazione si impone a prescindere da chi decide, che si tratti del responsabile del trattamento dei dati, dell'autorità di controllo o di un altro organismo istituito in base alla procedura dello Stato membro. 2.1 Liste "bianche" Un meccanismo ovvio di razionalizzazione consisterebbe nella messa a punto di una lista "bianca", comprendente tutti i paesi terzi presumibilmente in grado di garantire un livello adeguato di tutela. Una simile lista potrebbe essere "provvisoria" o "esclusivamente a titolo d'orientamento", tale quindi da non escludere casi particolari che presentino difficoltà particolari. Tuttavia, per non discostarsi dall'impostazione complessiva dell'articolo 25, sarebbe importante che qualunque decisione relativa all'inclusione di un paese in una lista bianca fosse adottata sulla base di singoli casi, piuttosto che alla luce di una valutazione semplificata e astratta di un testo giuridico. Il paese terzo in questione entrerebbe a far parte della lista una volta presi in considerazione vari casi rappresentativi di trasferimento, ognuno dei quali conclusosi con un giudizio favorevole in termini di adeguatezza della tutela. Una difficoltà insita in un approccio quale quello appena delineato risiede nella difformità della tutela che molti paesi terzi garantiscono ai vari settori dell'economia. Sono numerosi, ad esempio, i paesi che si sono dotati di una normativa sulla protezione dei dati nel settore pubblico ma non in quello privato. La situazione è anche più complessa negli Stati Uniti, dove esistono norme specifiche che disciplinano solo determinati settori (come gli archivi per il noleggio video o le valutazioni di solvibilità). Un'ulteriore difficoltà deriva dallo statuto federale di alcuni paesi quali gli USA o il Canada, dove le norme sono spesso diverse da uno Stato all'altro della federazione. Sarebbe pertanto opportuno valutare con attenzione se la tutela concessa a un determinato trasferimento di dati sia rappresentativa dell'intero paese oppure soltanto di uno Stato o di un settore in particolare. Nulla impedirebbe di includere un paese terzo in una lista bianca solo "parzialmente"; in Spagna, ad esempio, per il trasferimento di dati all'estero è già in vigore una normativa nazionale che opera una distinzione fra i paesi che garantiscono una tutela generalizzata e quelli che la limitano esclusivamente al settore pubblico. Altro quesito: a chi spetta la decisione di redigere una simile lista? Occorre osservare al riguardo che il gruppo istituito dall'articolo 29 non ha funzioni decisionali esplicite in merito a particolari trasferimenti di dati. Tale funzione compete in prima istanza allo Stato membro e successivamente alla Commissione conformemente alla procedura del comitato stabilita nell'articolo 31. Tuttavia, come già sottolineato in precedenza, qualsiasi lavoro del gruppo avrebbe lo scopo di fornire un orientamento su un'ampia gamma di casi, senza necessariamente porsi come strumento per deliberare su un caso particolare. Occorre inoltre rilevare che uno degli obblighi specifici del gruppo consiste nel fornire alla Commissione un parere sul grado di tutela nei paesi terzi. Rientrano pertanto nel mandato del gruppo l'esame della situazione in determinati paesi terzi alla luce di singoli casi e la formulazione di un'opinione provvisoria sull'adeguatezza della tutela. Gli eventuali pareri favorevoli potrebbero entrare a far parte della lista bianca prevista, la quale potrebbe successivamente essere oggetto di ampia diffusione e utilizzata dai responsabili del trattamento dei dati, dalle autorità di controllo e dagli Stati membri come guida al processo decisionale. Il fatto che un paese non compaia in una simile lista bianca non implica necessariamente l'iscrizione ad una sorta di "lista nera", ma piuttosto la mancata disponibilità attuale di un orientamento generale relativo a quel paese. La creazione di una lista nera esplicita, anche solo a fini orientativi, avrebbe chiare ripercussioni politiche. 2.2 Analisi dei rischi relativi a trasferimenti specifici La costituzione di una lista bianca provvisoria di paesi terzi, pur offrendo un aiuto considerevole al processo decisionale per un gran numero di trasferimenti di dati, non potrebbe comunque evitare che in molti casi il paese terzo in questione non figuri su tale lista. Il trattamento che gli Stati membri riservano a casi del genere può variare a seconda delle modalità di recepimento dell'articolo 25 nella normativa nazionale (cfr. la precedente nota a piè di pagina). Se all'autorità di controllo è attribuita una competenza specifica per l'autorizzazione preventiva dei trasferimenti di dati ovvero per l'esecuzione di una verifica retroattiva, l'elevato volume di trasferimenti in gioco renderà necessario un sistema che consenta di stabilire un calendario di priorità per le attività di detto organismo. Tale sistema potrebbe consistere in una serie concordata di criteri che permettano di determinare se un trasferimento o una categoria di trasferimenti in particolare minacciano in qualche modo la vita privata delle persone interessate. Un sistema del genere non comporterebbe alcuna modifica dell'obbligo da parte di ciascuno Stato membro di garantire che possano avere luogo soltanto i trasferimenti verso paesi terzi con un adeguato grado di protezione. Il fatto che un trasferimento non configuri una minaccia particolare non farebbe venir meno il requisito essenziale della garanzia di tutela adeguata di cui all'articolo 25. Il livello di rischio per la persona interessata insito nel trasferimento costituirà un utile elemento di guida all'atto di determinare l'esatta natura di ciò che si considera "tutela adeguata". Il sistema sarebbe inoltre d'aiuto per stabilire quali casi di trasferimenti di dati debbano essere esaminati o anche investigati in via "prioritaria", consentendo così di spostare le risorse dalla sorveglianza del sistema a quei trasferimenti che sollevano le maggiori preoccupazioni in materia di protezione della persona interessata. Il gruppo provvederà ad elaborare un documento specifico, più dettagliato, sulle categorie di trasferimenti che a suo giudizio comportano rischi particolari per la vita privata. È tuttavia probabile che siano comprese le seguenti categorie: — trasferimenti riguardanti certe categorie particolari di cui all'articolo 8 della direttiva; — trasferimenti che comportano rischi di perdite finanziarie (ad esempio, pagamenti con carta di credito attraverso Internet); — trasferimenti che comportano rischi per la sicurezza personale; — trasferimenti effettuati per l'adozione di una decisione particolarmente importante per la persona interessata (assunzione, promozione, concessione di un credito, ecc.); — trasferimenti che comportano un grave imbarazzo alla persona o ne ledono la reputazione; — trasferimenti che possono condurre ad azioni specifiche che costituiscono un'ingerenza non trascurabile nella vita privata della persona (per esempio, telefonate indesiderate); — trasferimenti ripetuti che riguardano grandi volumi di dati (per esempio dati su transazioni elaborati su reti di telecomunicazioni, Internet, ecc.);
3. CHE COSA SIGNIFICA "TUTELA ADEGUATA"? Proteggere i dati significa proteggere la persona alla quale si riferiscono le informazioni trattate. A tal fine si associano in genere una serie di diritti di cui gode la persona interessata e una serie di obblighi a carico di chi tratta i dati o di chi controlla tale trattamento. Gli obblighi e i diritti istituiti dalla direttiva 95/46/CE si basano su quelli stabiliti nella convenzione n. 108 (1981) del Consiglio d'Europa, che a loro volta non si discostano da quelli contenuti negli orientamenti dell'OCSE (1980) o dell'ONU (1990). Sembra pertanto esistere un grado di consenso relativamente al contenuto delle norme di tutela dei dati che si estende ben oltre i confini dell'UE. Tali norme, tuttavia, contribuiscono alla tutela dell'individuo solo se sono osservate nella pratica. Risulta pertanto necessario considerare non soltanto il contenuto delle norme applicabili ai dati personali trasferiti verso un paese terzo, ma anche i meccanismi procedurali posti in essere per garantirne l'efficacia. In Europa è prevalsa storicamente la tendenza a dare forma di legge alle norme di protezione dei dati, garantendo così la sanzione delle violazioni e permettendo all'individuo di ottenere un risarcimento. Tali leggi, peraltro, erano generalmente accompagnate da meccanismi procedurali supplementari, come la creazione di un'autorità di controllo con funzioni di vigilanza e di indagine in caso di denuncia. Questi aspetti procedurali sono ripresi nella direttiva 95/46/CE, con le sue disposizioni in materia di responsabilità, sanzioni, ricorsi, autorità di controllo e notificazione. Al di fuori della Comunità, tuttavia, è meno frequente imbattersi in simili strumenti procedurali per garantire l'osservanza delle norme di tutela dei dati. Le parti che hanno sottoscritto la suddetta convenzione n. 108 devono dare forma di legge ai principi di protezione dei dati, ma non hanno alcun obbligo quanto a meccanismi supplementari (ad esempio un'autorità di controllo). Gli orientamenti dell'OCSE, dal canto loro, prevedono solo l'obbligo per la legislazione nazionale di "prendere in considerazione" gli orientamenti medesimi, senza quindi offrire alcun mezzo procedurale per garantire una tutela realmente efficace dell'individuo. I successivi orientamenti dell'ONU, invece, contengono alcune disposizioni relative al controllo e alle sanzioni, confermando così una diffusa consapevolezza a livello internazionale della necessità di assicurare l'opportuna applicazione delle norme di tutela dei dati. In un simile contesto, un'analisi pregnante del significato di "tutela adeguata" deve evidentemente tener conto di due elementi essenziali: il contenuto delle norme applicabili e gli strumenti per assicurarne un'applicazione efficace. Prendendo come punto di partenza la direttiva 95/46/CE, alla luce peraltro delle disposizioni di altri testi normativi internazionali sulla protezione dei dati, dovrebbe essere possibile giungere a individuare un "nucleo di riferimento" composto da principi di "contenuto" e prescrizioni di "procedura/applicazione", la cui osservanza potrebbe essere considerata come una condizione minima di adeguatezza della tutela. Si tratterebbe di una lista di riferimento duttile: eventualmente da integrare in alcuni casi, da ridimensionare quanto alle prescrizioni in altri. Il grado di rischio insito nel trasferimento per la persona interessata (cfr. 2.2) sarà un elemento importante all'atto di stabilire le prescrizioni esatte di un caso in particolare. A parte questa limitazione, la compilazione di una lista di condizioni minime rappresenta un utile punto di partenza per qualunque analisi. 3.1 Principi di contenuto I principi fondamentali da includere in detta lista dovrebbero essere i seguenti: 1) il principio della finalità limitata: i dati dovrebbero essere trattati per una finalità specifica e successivamente utilizzati o ulteriormente comunicati soltanto nella misura in cui non vi sia incompatibilità con la finalità del trasferimento. Le uniche deroghe a tale norma sarebbero quelle necessarie in ogni società democratica per una delle ragioni elencate nell'articolo 13 della direttiva; 2) il principio della qualità e della proporzionalità: i dati dovrebbero essere precisi e, se del caso, aggiornati. Essi dovrebbero essere adeguati, pertinenti e non andare al di là delle finalità per cui sono oggetto di trasferimento o di ulteriore trattamento; 3) il principio della trasparenza: la persona dovrebbe ricevere informazioni riguardanti la finalità del trattamento dei dati e l'identità del responsabile del trattamento nel paese terzo, nonché qualunque altra informazione necessaria ad assicurare una procedura equa. Le uniche deroghe consentite dovrebbero essere in linea con l'articolo 11, paragrafo 2 e con l'articolo 13 della direttiva; 4) il principio della sicurezza: il responsabile del trattamento dei dati dovrebbe adottare misure di sicurezza tecnica e organizzativa commisurate ai rischi che il trattamento presenta. Chiunque operi sotto l'autorità del responsabile del trattamento, compreso un incaricato del trattamento, si occupa del trattamento dati solo su istruzione del responsabile medesimo; 5) i diritti di accesso, rettifica e opposizione: la persona interessata dovrebbe avere il diritto di ottenere una copia di tutti i dati trattati che la riguardano, nonché il diritto di far rettificare i dati di comprovata inesattezza. In determinate situazioni, la persona interessata dovrebbe inoltre potersi opporre al trattamento di dati che la riguardano. Le uniche deroghe a tali diritti dovrebbero essere in linea con l'articolo 13 della direttiva; 6) restrizioni ai successivi trasferimenti verso altri paesi terzi: ulteriori trasferimenti dei dati personali dal paese terzo destinatario verso un altro paese terzo dovrebbero essere consentiti solo quando anche quest'ultimo assicura un livello adeguato di tutela. Le uniche deroghe consentite dovrebbero essere in linea con l'articolo 26 della direttiva. Di seguito sono riportati alcuni esempi di principi supplementari da applicare in casi specifici di trattamento: 1) categorie particolari di dati: se il trattamento riguarda categorie particolari di dati (quelle elencate all'articolo 8), si dovrebbero porre in essere misure di salvaguardia supplementari, come ad esempio l'obbligo del consenso esplicito al trattamento da parte della persona interessata; 2) commercializzazione diretta: se il trasferimento dei dati avviene per finalità di commercializzazione diretta, la persona interessata dovrebbe essere in grado di decidere in qualsiasi momento l'esclusione dei dati che la riguardano da un simile impiego. 3) decisioni individuali automatizzate: se la finalità del trasferimento consiste nell'adozione di una decisione automatizzata ai sensi dell'articolo 15 della direttiva, l'individuo dovrebbe avere il diritto di conoscere la logica che muove tale decisione e si dovrebbero prendere altri provvedimenti per garantire la salvaguardia del suo interesse legittimo. 3.2 Meccanismi di procedura/applicazione Vi è ampio consenso in Europa circa la necessità di dare forma di legge ai principi di tutela dei dati. Ugualmente riconosciuta è la necessità di porre in essere un sistema di "controllo esterno" sotto forma di autorità indipendente, quando si tratta di assicurare l'osservanza delle norme di tutela. Tuttavia non basta limitarsi a riconoscere, senza un minimo di ragionamento o di giustificazione, che questi due elementi siano in qualche modo implicitamente indispensabili per garantire una tutela adeguata. Così facendo, l'argomento in questione sarebbe valutato secondo criteri puramente formalistici. Un punto di partenza più appropriato consiste nell'individuare gli obiettivi di fondo di un sistema procedurale per la tutela dei dati e da qui procedere ad esaminare i diversi meccanismi procedurali giudiziari e non giudiziari applicati in un paese terzo e a valutarli in base alla loro capacità di soddisfare tali obiettivi. Tre sono in sostanza gli obiettivi di un sistema di tutela dei dati: 1) assicurare un buon livello di osservanza delle norme (nessun sistema è in grado di garantire un'osservanza del 100%, ma alcuni sono migliori di altri). In un buon sistema, tra i responsabili del trattamento dei dati si può generalmente rilevare un elevato grado di consapevolezza dei propri obblighi e tra le persone interessate la medesima consapevolezza dei propri diritti e degli strumenti per esercitarli. Di particolare importanza al fine di garantire il rispetto delle norme è l'esistenza di sanzioni efficaci e dissuasive, al pari - ovviamente - di sistemi di verifica diretta da parte di un'autorità, di revisori contabili o di addetti indipendenti alla tutela dei dati; 2) fornire aiuto e sostegno alla persona interessata nell'esercizio dei propri diritti. Il singolo individuo deve essere in grado di far rispettare i propri diritti in modo rapido ed efficace, ad un costo non proibitivo. A tal fine occorre porre in essere qualche meccanismo istituzionale che consenta di condurre un'indagine indipendente in caso di denuncia; 3) fornire un risarcimento adeguato alla parte lesa in caso di violazione delle norme. Si tratta di un elemento essenziale, che necessita di un sistema di arbitrato indipendente in grado di deliberare la corresponsione di un indennizzo e di imporre eventualmente sanzioni. 4. DALLA TEORIA ALLA PRATICA 4.1 Paesi che hanno ratificato la convenzione n. 108 del Consiglio d'Europa Nel settore della protezione dei dati la convenzione n. 108 è l'unico strumento esistente di diritto internazionale oltre alla direttiva. La maggioranza dei firmatari è costituita da Stati membri dell'UE (tutti i 15 hanno ormai ratificato la convenzione) o da paesi (come Norvegia o Islanda) comunque vincolati dalla direttiva in forza dell'accordo sullo Spazio economico europeo. Anche la Slovenia ha ratificato la convenzione ed altri paesi terzi, quali la Svizzera, sono in procinto di farlo. Va quindi ben al di là dell'interesse puramente accademico verificare se i paesi che hanno ratificato la convenzione si possono considerare in grado di garantire una tutela adeguata ai sensi dell'articolo 25 della direttiva. Tale verifica dovrebbe in ultima istanza consistere nell'esame di una serie di casi specifici, come sottolineato al punto 2 del presente documento. Come base di partenza, tuttavia, è opportuno analizzare il testo della convenzione stessa alla luce del profilo teorico di "tutela adeguata" definito al punto precedente del presente documento. Per quanto riguarda il contenuto dei principi di base, si può affermare che la Convenzione soddisfa le prime cinque delle sei "condizioni minime"2. Un'altra garanzia di adeguatezza risiede nel fatto che la convenzione preveda l'obbligo di apposite misure di salvaguardia in caso di categorie particolari di dati. L'unico elemento che la convenzione non contiene in termini di norme sostanziali è l'assenza di restrizioni al trasferimento verso paesi non firmatari. Ne consegue il rischio che un paese partecipante alla convenzione sia utilizzato come "tappa intermedia" in un trasferimento di dati dalla Comunità verso un altro paese terzo che non garantisce assolutamente una tutela adeguata. Il secondo aspetto della "tutela adeguata" riguarda i meccanismi procedurali posti in essere per un'applicazione efficace dei principi di base. La convenzione impone ai paesi firmatari l'obbligo di dare forma di legge nazionale ai principi in essa contenuti e di stabilire un sistema appropriato di sanzioni e di ricorsi in caso di violazione di detti principi. Ciò dovrebbe bastare ad assicurare un livello ragionevole di osservanza delle norme e un risarcimento adeguato alla persona interessata in caso di inadempienza (obiettivi 1 e 3 di un sistema di tutela dei dati). La convenzione, tuttavia, non impone alle parti contraenti di creare meccanismi istituzionali che permettano di condurre indagini indipendenti in caso di denuncia, anche se in pratica questo è quanto hanno fatto in genere i paesi firmatari. Si tratta di una lacuna della convenzione, dal momento che l'assenza di tali meccanismi istituzionali non consente di garantire alla singola persona interessata un sostegno adeguato nell’esercizio dei propri diritti (obiettivo 2). Questa breve analisi sembra indicare che i trasferimenti di dati personali verso paesi che hanno ratificato la convenzione n. 108 si possono ritenere ammissibili ai sensi dell'articolo 25, paragrafo 1, della direttiva, a condizione che: — il paese in questione abbia istituito anche adeguati meccanismi istituzionali, come ad esempio un'autorità di controllo indipendente dotata di poteri adeguati; — il paese in questione sia il destinatario finale del trasferimento e non una tappa intermedia dove i dati si limitano a transitare. Ovviamente quest'esame della convenzione è abbastanza semplificato e superficiale. Casi specifici di trasferimenti di dati verso paesi firmatari della convenzione potrebbero sollevare nuovi problemi che in questa sede non sono stati presi in considerazione. 4.2 Altri casi Evidentemente i trasferimenti di dati in uscita dall'UE avviene per lo più verso paesi terzi che non hanno ratificato la convenzione n. 108. In questi casi, non essendo applicabile nessuno strumento vincolante di diritto internazionale, l'unica alternativa consiste nel fare riferimento all'impostazione di fondo delineata nel presente documento: cioè, trarre conclusioni relative all'adeguatezza del livello di protezione garantito in un paese terzo sulla base della situazione emersa in uno o più casi specifici. A volte la valutazione di un particolare trasferimento di dati può successivamente essere considerata valida per categorie generali di casi analoghi. L'analisi di simili trasferimenti particolarmente rappresentativi permetterà di elaborare una lista "bianca" provvisoria di paesi o di settori all'interno di un paese. Sembrerebbe che tre tipi di trasferimenti siano conformi al disposto della direttiva: 1) una comunicazione di dati personali da un responsabile del trattamento dei dati con sede nella Comunità verso un altro responsabile del trattamento avente sede in un paese terzo; 2) una comunicazione di dati personali da un responsabile del trattamento dei dati con sede nella Comunità verso un incaricato del trattamento in un paese terzo che agisce per conto di detto responsabile; 3) una comunicazione di dati personali da una persona interessata con sede nella Comunità verso un responsabile del trattamento avente sede in un paese terzo. I principi di base esposti al punto 3 probabilmente si applicano in modo diverso a questi tre diversi tipi di trasferimenti. Ad esempio, la situazione classica in cui un trasferimento è effettuato da un responsabile del trattamento dei dati con sede nella Comunità verso un altro responsabile del trattamento in un paese terzo è ben diversa dal caso in cui i dati sono raccolti direttamente da un responsabile del trattamento che ha sede in un paese terzo e che li ottiene dalla singola persona interessata, situata nella Comunità, per via telefonica o tramite Internet. 1 Gli Stati membri possono istituire procedure amministrative diverse per l'adempimento degli obblighi previsti dall'articolo 25: per esempio, possono imporre un obbligo diretto al responsabile del trattamento dei dati e/o mettere a punto un sistema di autorizzazione preventiva o di verifica retroattiva da parte dell'autorità di controllo. 2 Può dare adito a lievi dubbi il "principio di trasparenza". L'articolo 8, lettera a, della convenzione potrebbe non essere equivalente all'obbligo attivo di fornire informazioni, che è l'essenza degli articoli 10 e 11 della direttiva. |