CE - GRUPPO DI LAVORO PER LA TUTELA DEI DATI PERSONALI

Il presente documento di lavoro fornisce indicazioni sul modo in cui l’articolo 26, paragrafo 1 della direttiva 95/46 dovrebbe essere interpretato ed applicato da parte dei responsabili del trattamento che intendano procedere al trasferimento di dati verso paesi che non garantiscono un livello di protezione adeguato ai sensi dell’articolo 25 della stessa direttiva.

Il Gruppo di lavoro pubblica il presente documento per far fronte alla propria preoccupazione riguardo al fatto che le disposizioni dell’articolo 26, paragrafo 1 della direttiva siano oggetto, nella pratica, di interpretazioni diverse che ne impediscono l’applicazione uniforme nei vari Stati membri.

Simili preoccupazioni sono state formulate nella relazione del 2003 della Commissione europea sull’applicazione della direttiva 95/46. La relazione ricordava che né un approccio troppo restrittivo alle disposizioni degli articoli 25 e 26, né un approccio troppo lassista (in particolare a quelle dell’articolo 26, paragrafo 1) sarebbe in linea con gli obiettivi prefissati, ossia raggiungere un giusto equilibrio fra la tutela delle persone i cui dati devono essere trasferiti in paesi senza un adeguato livello di protezione, e, fra gli altri, "gli imperativi del commercio internazionale e la realtà delle reti mondiali di telecomunicazione".

Chiarendo le deroghe di cui all’articolo 26, paragrafo 1 - fra l’altro sviluppando il capitolo 5 del documento di lavoro WP12 sul trasferimento internazionale di dati, adottato dal Gruppo nel luglio 1998 —, il presente documento cerca di mantenere un giusto equilibrio fra gli interessi sopra menzionati.

Nella sezione 1 del documento il Gruppo di lavoro fornisce un quadro generale sul modo in cui le disposizioni in oggetto sono connesse ad altre e compongono insieme il sistema generale della direttiva sul trasferimento internazionale di dati. Figurano poi elementi di interpretazione e raccomandazioni che si applicano all’insieme delle disposizioni dell’articolo 26, paragrafo 1.

Uno degli elementi centrali è la necessità che le disposizioni dell’articolo 26, paragrafo 1 siano interpretate in modo restrittivo. Un altro elemento è che la maggior parte delle deroghe si applicano a casi in cui i rischi per l’interessato sono ridotti, o in cui si può ritenere che altri interessi prevalgano sul diritto dell’interessato alla riservatezza.

La sezione 1 sviluppa poi questa interpretazione e formula diverse raccomandazioni dirette a incoraggiare i responsabili del trattamento a garantire una "tutela adeguata" nella maggior parte possibile della situazioni.

La sezione 2 del documento fornisce ulteriori indicazioni su come debba essere interpretata ciascuna delle deroghe di cui all’articolo 26, paragrafo 1. Sviluppa in particolare i concetti di "consenso" e di "esecuzione di un contratto", che sono le deroghe sulle quali i responsabili del trattamento tendono in pratica a basarsi nella maggior parte dei casi.

Il Gruppo di lavoro ritiene che il presente documento servirà a chiarire come i responsabili del trattamento possano, e talvolta debbano, avvalersi delle deroghe dell’articolo 26, paragrafo 1 della direttiva. Il Gruppo di lavoro considera questo documento un elemento essenziale della sua politica sul trasferimento dei dati a paesi terzi. Il documento va pertanto letto in combinazione con altri lavori svolti dal Gruppo in questo campo, in particolare quelli sulle "norme vincolanti per le imprese" (NVI), le clausole contrattuali tipo e il livello adeguato di protezione nei paesi terzi, inclusi i principi di "approdo sicuro".

visti l’articolo 29 e l’articolo 30, paragrafo 1, lettera c) e paragrafo 3 della summenzionata

direttiva,

visto il proprio regolamento interno, in particolare gli articoli 12 e 14,

Scopo del presente testo è sviluppare il capitolo 5 del documento di lavoro WP12² "Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva", adottato dal Gruppo il 24 luglio 19982, riguardante l’interpretazione dell’articolo 26, paragrafo 1 della direttiva 95/46/CE.

L’articolo 26, paragrafo 1 dispone che i responsabili del trattamento, a determinate condizioni, possono trasferire dati personali verso un paese terzo in deroga al principio di "tutela adeguata" stabilito all’articolo 25 della direttiva.

Alla luce dell’esperienza acquisita dall’adozione del documento, il Gruppo di lavoro osserva che l’articolo 26, paragrafo 1 è oggetto di interpretazioni diverse che potrebbero ostacolare l’applicazione uniforme di queste disposizioni negli Stati membri.

Tale situazione e la necessità di una reazione adeguata sono state constatate anche dalla Commissione nelle conclusioni della relazione sull’applicazione della direttiva sulla tutela dei dati³. La relazione sottolinea le sensibili divergenze riscontrate fra le legislazioni dei vari Stati membri nell’applicazione degli articoli 25 e 26, e il rischio che ciò possa in definitiva portare al "forum shopping" (scelta abusiva del foro più favorevole) fra Stati membri, a seconda del grado di indulgenza con cui sono interpretate le disposizioni⁴.

Ciò è confermato dall’esperienza di alcune autorità nazionali per la tutela dei dati.

Il Gruppo di lavoro ritiene pertanto necessario — alla luce dei compiti conferitigli dall’articolo 30, paragrafo 1, lettera a) della direttiva e in risposta alle conclusioni della Commissione nella relazione sopra menzionata — specificare il campo d’applicazione delle disposizioni in oggetto e fornire indicazioni supplementari per la loro interpretazione.

Nell’interpretare l’articolo 26, paragrafo 1 della direttiva 95/46/CE occorre tenere presente il quadro generale di queste disposizioni, per garantire un’interpretazione coerente delle norme della direttiva riguardanti il trasferimento internazionale di dati.

La direttiva 95/46/CE del 24 ottobre 1995 fornisce diverse basi giuridiche per il trasferimento di dati personali a paesi terzi, incluse quelle di cui all’articolo 26, paragrafo1:

1. Livello adeguato di protezione nel paese ricevente. In primo luogo, l’articolo 25, paragrafo 1 stabilisce il principio generale secondo il quale "il trasferimento verso un paese terzo di dati personali […] può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato". Il livello di protezione dei dati va valutato con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati, e prendendo in particolare considerazione una serie di elementi rilevanti ed elencati all’articolo 25, paragrafo 2.

Ai sensi dell’articolo 249 del trattato CE, la direttiva vincola lo Stato membro cui è rivolta per quanto riguarda il risultato da raggiungere, salva restando la competenza degli organi nazionali in merito al modo in cui realizzarlo. A tale riguardo, la direttiva in oggetto impone agli Stati membri l’obbligo di assicurare che i dati personali non vengano trasferiti a un paese terzo se questo non garantisce un livello di protezione adeguato, e prevede che la valutazione di tale livello avvenga alla luce di un insieme di circostanze. La direttiva non specifica tuttavia se debba essere incaricata un’autorità per valutare l’adeguatezza del livello di tutela dei dati nei paesi terzi. È quindi possibile che le legislazioni nazionali degli Stati membri conferiscano questo compito alle autorità nazionali di protezione dei dati, la cui autorizzazione può essere richiesta per il trasferimento di dati nazionali verso un paese terzo.

Oltre a questa possibilità, per le autorità nazionali, di valutare il livello di adeguatezza come autorizzato dalla legislazione nazionale, la direttiva stabilisce che le decisioni sul livello adeguato di tutela siano adottate, su scala europea, dalla Commissione, apportando così un valore aggiunto di certezza del diritto ed uniformità in tutta la Comunità. Ai sensi dell’articolo 25, paragrafo 6 della direttiva, la Commissione può riconoscere che alcuni paesi offrono un livello di protezione adeguato, nel qual caso il trasferimento di dati personali verso tali paesi può avvenire senza che debbano essere rispettate particolari condizioni formali. Ciò avviene attualmente per trasferimenti internazionali di dati a riceventi stabiliti in Svizzera, Canada, Argentina, a Guernsey o nell’Isola di Man, oppure quando il ricevente è un’impresa americana che aderisce ai principi di "approdo sicuro"⁵. Questa base giuridica è stata anche usata nel caso dei trasferimenti all’Ufficio americano delle dogane e della protezione di frontiera (United States’ Bureau of Customs and Border Protection) dei dati contenuti nei registri dei nomi dei passeggeri (PNR — Passenger Name Records) per quanto riguarda i voli verso o dagli Stati Uniti, in seguito a una decisione della Commissione verso la quale il Gruppo di lavoro è stato molto critico.

2. Adeguate garanzie predisposte dal ricevente. In secondo luogo, ai sensi dell’articolo 26, paragrafo 2 della direttiva, uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato qualora il responsabile del trattamento dei dati presenti "garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi".

La parte finale dell’articolo 26, paragrafo 2 stabilisce inoltre che tali garanzie "possono segnatamente risultare da clausole contrattuali appropriate". Per facilitare il ricorso a clausole contrattuali, la Commissione europea ha emesso tre decisioni sulle clausole contrattuali tipo, due delle quali disciplinano i trasferimenti fra responsabili del trattamento dei dati, mentre la terza regola i trasferimenti fra un responsabile del trattamento dei dati e un incaricato del trattamento⁶ Inoltre, accanto all’opportunità di ricorrere a clausole contrattuali per fornire garanzie sufficienti, dal 2003 il Gruppo di lavoro "Articolo 29" ha lavorato attivamente alla possibilità che i gruppi multinazionali utilizzino, per le stesse finalità, "norme vincolanti per le imprese"⁷.

3. Deroghe all’articolo 26, paragrafo 1 In terzo luogo, l’articolo 26, paragrafo 1 della direttiva stabilisce che i trasferimenti di dati personali verso un paese terzo che non garantisce una tutela adeguata possono avvenire se ricorre una delle seguenti condizioni:

a) la persona interessata ha manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto;

b) il trasferimento è necessario per l'esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento o per l'esecuzione di misure precontrattuali prese a richiesta di questa;

c) il trasferimento è necessario per la conclusione o l'esecuzione di un contratto, concluso o da concludere nell'interesse della persona interessata, tra il responsabile del trattamento e un terzo;

d) il trasferimento è necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per constatare, esercitare o difendere un diritto per via giudiziaria;

e) il trasferimento è necessario per la salvaguardia dell'interesse vitale della persona interessata;

f) il trasferimento avviene a partire da un registro pubblico il quale, in forza di disposizioni legislative o regolamentari, sia predisposto per l'informazione del pubblico e sia aperto alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo, nella misura in cui nel caso specifico siano rispettate le condizioni che la legge prevede per la consultazione.

Nei casi elencati nelle sezioni 1 e 2 di cui sopra, il trasferimento avviene in condizioni che assicurano che le persone interessate continuano ad essere tutelate per quanto riguarda il trattamento dei loro dati, una volta che questi sono stati trasferiti. La tutela è fornita o dalla legislazione generale o da norme settoriali in vigore nel paese in cui è stabilito il ricevente, oppure da garanzie sufficienti fornite dal responsabile del trattamento nella Comunità, in particolare tenuto conto degli impegni vincolanti assunti dal ricevente per quanto riguarda la protezione dei dati trasferiti in questo paese terzo.

L’articolo 26, paragrafo 1 della direttiva contiene per contro vere e proprie deroghe al principio di tutela adeguata stabilito all’articolo 25. Tali deroghe permettono difatti che abbiano luogo trasferimenti verso paesi terzi che non garantiscono tale adeguata tutela. A maggior ragione esse potrebbero anche essere usate come base giuridica quando il paese terzo assicura un adeguato livello di protezione ma tale livello di adeguatezza non è stato valutato. Il ricorso alle deroghe, di per sé, non significa in tutti i casi che il paese di destinazione non garantisca un livello di protezione adeguato, ma neanche lo assicura. Di conseguenza, per una persona i cui dati siano stati trasferiti, anche col suo consenso, ciò potrebbe implicare una totale assenza di tutela nel paese ricevente, perlomeno nel senso delle disposizioni dell’articolo 25 o dell’articolo 26, paragrafo 2 della direttiva 95/46.

Tenuto conto di questa importante differenza in termini di protezione, è essenziale che queste diverse basi giuridiche siano applicate in maniera coerente rispetto al sistema generale di cui fanno parte.

La giustapposizione di queste diverse norme sul trasferimento dei dati personali può sembrare paradossale e può facilmente far sorgere malintesi.

Da un lato una prima serie di disposizioni, cioè quelle contenute negli articoli 25(1), 25(6) e 26(2), mira a garantire che i dati personali continuino ad essere adeguatamente protetti dopo il trasferimento nel paese di destinazione. I trasferimenti possono avvenire perché il quadro giuridico nel paese terzo in questione fornisce una tutela adeguata, oppure perché tale tutela è garantita da clausole contrattuali tipo o da altri tipi di garanzie appropriate, come la conclusione di un contratto, l’adozione di NVI, l’autocertificazione riguardo all’adesione ai principi di "approdo sicuro", ecc. In aggiunta a ciò, come indicato precedentemente, alcune legislazioni nazionali prevedono che alcuni trasferimenti possano anche essere oggetto di un’autorizzazione o di un parere preliminare da parte delle competenti autorità nazionali (nella maggior parte dei casi, le autorità per la protezione dei dati).

D’altro lato una seconda serie di disposizioni, cioè quelle contenute nell’articolo 26(1), facilitano sostanzialmente il trasferimento di dati personali verso un paese terzo. In base a tali disposizioni, il responsabile del trattamento che è all’origine del trasferimento non è tenuto a garantire che il ricevente fornirà una protezione adeguata né solitamente deve ottenere alcun tipo di autorizzazione preliminare per il trasferimento da parte delle autorità competenti, se tale procedura è applicabile. Queste stesse disposizioni, inoltre, non richiedono che il ricevente dei dati debba soddisfare le condizioni della direttiva per quanto riguarda il trattamento dei dati nel proprio paese (ad es. il principio di finalità, sicurezza, diritto d’accesso, ecc.).

In base alla formulazione letterale della direttiva si potrebbe concludere che vi è una considerevole mancanza di coerenza fra le disposizioni relative al trasferimento dei dati personali verso paesi terzi. Dopo tutto, la logica sottesa al principio di tutela adeguata, contenuto nell’articolo 25, consiste nell’assicurare che le persone, dopo che i loro dati sono stati trasferiti a un paese terzo, continuino a godere dei diritti e delle libertà fondamentali che sono loro accordati in relazione al trattamento dei loro dati nell’Unione europea. Essa mira inoltre ad evitare che per il trasferimento di dati a paesi terzi venga elusa la protezione garantita dalla legislazione europea sulla tutela dei dati personali.

Un tale apparente dualismo di principi si spiega col fatto che lo sviluppo degli scambi internazionali richiede in certe occasioni flessibilità nel trasferimento internazionale di dati, compreso il trasferimento di informazioni personali (si veda il considerando 56 della direttiva).

Questa apparente mancanza di coerenza può poi spiegarsi col fatto che l’articolo 26, paragrafo 1 era destinato a regolare un numero limitato di situazioni in cui poteva essere giustificata una deroga al requisito dell’"adeguatezza" per i trasferimenti verso paesi terzi.

Come il Gruppo di lavoro già indicava nel documento WP12, "queste deroghe, che sono descritte dettagliatamente, riguardano soprattutto casi in cui i rischi per l’interessato sono ridotti o in cui altri interessi (interessi pubblici o quelli della persona stessa cui i dati si riferiscono) prevalgono sul diritto dell’interessato alla riservatezza. In quanto deroghe a un principio generale, devono essere interpretate in modo restrittivo. Inoltre, nella legislazione nazionale gli Stati membri possono stabilire che le deroghe non si applicano in determinati casi. Ciò può succedere, ad esempio, quando è necessario tutelare gruppi di individui particolarmente vulnerabili, come i lavoratori o i pazienti."

In pratica, tuttavia, i responsabili del trattamento hanno avuto la tendenza a ricorrere a queste deroghe come prima opzione, anche quando ciò era inappropriato.

Pertanto, il Gruppo di lavoro vorrebbe in primo luogo assicurare che il campo d’applicazione e il significato dell’articolo 26, paragrafo 1 siano chiaramente compresi da tutti gli interessati, in modo da evitare che i responsabili del trattamento si avvalgano delle deroghe in casi non appropriati. Ciò richiede un’interpretazione chiara e comune dell’articolo 26(1) in sé e della sua posizione nell’insieme della direttiva.

Questa operazione deve basarsi sulla regola secondo la quale, come già indicato dal Gruppo di lavoro nel sopramenzionato documento WP12, l’interpretazione dell’articolo 26, paragrafo 1 deve necessariamente essere restrittiva.

A questo riguardo il Gruppo di lavoro sottolinea che questa logica corrisponde a quella del Protocollo aggiuntivo alla Convenzione 108. Nella relazione su questo protocollo si legge che "le parti hanno un margine di discrezionalità nel determinare le deroghe al principio del livello adeguato di protezione. Le pertinenti norme interne devono tuttavia rispettare il principio inerente al diritto europeo che consiste nell’interpretare le clausole d’eccezione in maniera restrittiva, affinché l’eccezione non diventi la regola".⁸

Più in generale, la regola dell’interpretazione restrittiva deriva anche chiaramente dalla giurisprudenza della Corte europea dei diritti dell’uomo che interpreta i diritti fondamentali in modo piuttosto ampio, conformemente al cosiddetto "principe d’effet utile" della protezione concessa, allo scopo di limitare l’ambito d’applicazione delle deroghe a questo principio. La Corte si è avvalsa di tale principio in diversi casi importanti⁹.

Il Gruppo di lavoro conferma quindi esplicitamente la sua interpretazione dell’articolo 26, paragrafo 1 quale precedentemente indicata, e spiega più dettagliatamente tale interpretazione nella sezione 2 del presente documento.

Va anche notato, tuttavia, che le disposizioni della direttiva riguardanti il trasferimento di dati personali verso paesi terzi non possono essere applicate separatamente dalle altre disposizioni della direttiva stessa. Come esplicitamente menzionato all’articolo 25, paragrafo 1, tali disposizioni si applicano "fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva". Ciò significa che, indipendentemente dalle disposizioni su cui ci si basa ai fini del trasferimento di dati verso paesi terzi, occorre rispettare le altre disposizioni pertinenti della direttiva.

Ciò significa specificamente, conformemente al considerando 60 del preambolo della direttiva, che qualora il trasferimento riguardi dati di natura delicata, devono essere rispettate le condizioni poste dall’articolo 8 della direttiva. Ciò può implicare che uno specifico trasferimento possa basarsi sull’articolo 26, paragrafo 1 — ove applicabile — solo se sono soddisfatte le condizioni dell’articolo 8. In altre parole, anche se la legislazione nazionale non si dovesse avvalere della possibilità di limitare il campo d’applicazione dell’articolo 26, paragrafo 1 per alcune categorie di casi, potrebbero comunque ricorrere restrizioni supplementari risultanti da altre disposizioni della direttiva.

Il Gruppo di lavoro tiene altresì ad indicare che i principi di "trattamento leale e lecito" e di "uso compatibile" che figurano all'articolo 6, paragrafo 1, lettera a) e lettera b) continuano ad applicarsi in questo contesto. Ciò può implicare che il responsabile del trattamento sia tenuto ad informare le persone interessate in merito a particolari rilevanti dei trasferimenti di dati verso un paese terzo, anche qualora ciò non fosse richiesto dagli articoli 10, 11 e 26, paragrafo 1. Allo stesso modo, può accadere che una persona interessata abbia motivo di opporsi a specifici trasferimenti "per motivi preminenti e legittimi, derivanti dalla sua situazione particolare", come stabilito all’articolo 14, lettera a) della direttiva. Ciò può riferirsi anche a dati personali che non siano di natura delicata ai sensi dell’articolo 8 o nel senso in cui la persona interessata può considerarli come tali in una particolare situazione (ad es. dati di natura finanziaria, dati che permettono di prendere una decisione negativa in termini di gestione d’impresa contro la persona interessata, ecc.).

Ferme restando l’interpretazione generale dell’articolo 26, paragrafo 1, esposta al punto 1.2 del presente documento, e l’interpretazione specifica di ogni deroga nella sezione 2 in appresso, il Gruppo di lavoro intende anche formulare una serie di raccomandazioni sull’uso delle diverse basi giuridiche fornite dalla direttiva per il trasferimento di dati verso paesi terzi.

Tali raccomandazioni sono enunciate nel capitolo 5 del documento WP12. Esse mirano a spingere i responsabili del trattamento ad assicurare una "tutela adeguata" nel maggior numero possibile di situazioni. Il Gruppo di lavoro ha già sostenuto che i responsabili del trattamento stabiliti nell’Unione europea, quando intendono trasferire dati verso un paese terzo, devono favorire soluzioni che assicurino alle persone interessate, dopo che i loro dati sono stati trasferiti, di continuare a godere dei diritti e delle garanzie fondamentali loro accordate per il trattamento dei loro dati nell’UE.

Di conseguenza, per un responsabile del trattamento che intenda procedere a un trasferimento internazionale di dati, un’applicazione delle migliori prassi sarebbe quella di esaminare anzitutto se il paese terzo fornisce un livello di tutela adeguato e di accertare che i dati esportati saranno protetti in quel paese. Nel caso di trasferimenti di dati verso gli Stati Uniti, l’esportatore responsabile del trattamento potrebbe spingere l’importatore ad aderire ai principi di "approdo sicuro". Se il livello di protezione nel paese terzo non è sufficiente alla luce di tutte le circostanze inerenti a un trasferimento di dati, il responsabile del trattamento dovrebbe prendere in considerazione l’articolo 26, paragrafo 2: dovrebbe cioè fornire garanzie adeguate attraverso, ad esempio, clausole contrattuali tipo o norme vincolanti per le imprese. Solo se ciò non è realmente praticabile e/o fattibile, il responsabile del trattamento dovrebbe prendere in considerazione l’opportunità di avvalersi delle deroghe dell’articolo 26(1).

Sulla scia di questa logica, il Gruppo di lavoro tiene a raccomandare che le deroghe dell’articolo 26, paragrafo 1 della direttiva siano preferibilmente applicate in casi in cui sarebbe veramente inappropriato, forse addirittura impossibile procedere al trasferimento sulla base dell’articolo 26, paragrafo 2.

Il Gruppo di lavoro riterrebbe biasimevole che una multinazionale o un’autorità pubblica intendesse effettuare trasferimenti significativi di dati verso un paese terzo senza prevedere un quadro adeguato per tali trasferimenti quando ha i mezzi pratici per fornire questa tutela (ad es. un contratto, NVI, una convenzione).

È in particolare per questa ragione che il Gruppo raccomanda che i trasferimenti di dati personali che potrebbero essere definiti come ripetuti, massicci o strutturali siano effettuati, se possibile e proprio in virtù di queste caratteristiche di importanza, nell'ambito di un quadro giuridico specifico (ad es. contratti o NVI). Il Gruppo riconosce, d’altra parte, che ci saranno casi in cui i trasferimenti massicci o ripetuti potranno legittimamente essere effettuati sulla base dell’articolo 26(1), qualora il ricorso a un tale quadro giuridico sia impossibile nella pratica, qualora i rischi per la persona interessata siano esigui e gli articoli 6, 7 e 8 siano adeguatamente applicati. Un esempio pertinente è dato dai trasferimenti internazionali di denaro, che avvengono ogni giorno e su scala massiccia.

Pertanto, anche in determinate situazioni in cui la legittimità dei trasferimenti risulterebbe da uno dei casi elencati all’articolo 26, paragrafo 1, il Gruppo di lavoro raccomanda che fattori supplementari come l’entità del trasferimento previsto o i rischi creati per la persona interessata portino il responsabile del trattamento a concludere un contratto o a sviluppare NVI per procedere ai trasferimenti stessi.

Infine, il ricorso alle deroghe dell’articolo 26(1) non deve mai portare a una violazione dei diritti fondamentali.

Nell’introdurre queste deroghe al principio di tutela adeguata nella direttiva, il legislatore europeo le ha considerate giustificate in quanto compatibili con la tutela dei diritti fondamentali della persona e con la libera circolazione delle informazioni a livello internazionale. In altre parole, se i casi elencati all’articolo 26(1) possono costituire una deroga al principio che vuole che il paese terzo garantisca una tutela adeguata, essi non prevedono deroghe supplementari alla regola che sancisce il rispetto dei diritti fondamentali.

Le autorità nazionali per la protezione dei dati devono garantire che tali deroghe siano applicate in situazioni che non portano ad alcuna violazione dei diritti fondamentali della persona interessata, e che ne venga mantenuta un’interpretazione restrittiva. A tale riguardo le autorità possono, se vi sono sufficienti motivi per farlo, intervenire in ogni momento e raccomandare che un trasferimento internazionale di dati sia effettuato sulla base di garanzie adeguate ai sensi dell’articolo 26(2) piuttosto che applicando le deroghe di cui all’articolo 26(1).

Oltre alle osservazioni generali formulate nella sezione precedente, il Gruppo di lavoro intende fornire alcune indicazioni sullo specifico significato di ognuna delle deroghe elencate all’articolo 26, paragrafo 1. Tali indicazioni sono state elaborate sulla base dell’esperienza in materia del Gruppo e delle autorità nazionali per la protezione dei dati, e partendo dal consenso sul fatto che alle formulazioni delle deroghe debba essere dato il loro naturale significato, senza limitarle o ampliarle artificialmente.

L’articolo 26, paragrafo 1, lettera a) stabilisce che un trasferimento di dati personali verso un paese che non garantisce una tutela adeguata possa avvenire a condizione che "la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto".

Come già indicato nel precedente documento WP 12 del Gruppo, è essenziale che, per essere valido, il consenso, in qualunque circostanza sia dato, sia una manifestazione di volontà libera, specifica e informata della persona interessata, come definito all’articolo 2, lettera h) della direttiva.

- Il consenso deve essere una chiara ed inequivocabile manifestazione di volontà

L’importanza che il consenso sia un atto esplicito esclude di fatto ogni sistema in cui la persona interessata avrebbe il diritto di opporsi al trasferimento solo dopo che è avvenuto: perché il trasferimento abbia luogo occorre che sia effettivamente richiesta la specifica approvazione della persona interessata. Qualsiasi dubbio sul fatto che il consenso sia stato dato o meno renderebbe la deroga inapplicabile. Pertanto, come il Gruppo di lavoro afferma nel documento WP12, "ciò potrebbe significare che molte situazioni in cui il consenso è implicito (ad esempio perché un individuo è stato informato su un trasferimento e non si è opposto) non giustificano questa deroga".

Inoltre, nella sua interpretazione dell’articolo 13 della direttiva relativa alla vita privata e alle comunicazioni elettroniche¹⁰, che ha introdotto un sistema uniforme per le comunicazioni a fini di commercializzazione diretta alle persone, il Gruppo di lavoro ha fornito indicazioni sull’interpretazione del concetto di "previo consenso" nello specifico contesto delle comunicazioni elettroniche, e in particolare su Internet. È utile richiamarsi a queste indicazioni nel presente documento poiché il consenso a un trasferimento da parte della persona interessata può talvolta essere richiesto on-line. In particolare, il Gruppo di lavoro ha raccomandato l’uso, sui siti Internet, di caselle in cui, come indicazione di previo consenso, la persona interessata debba essa stessa apporre le crocette: l’uso di caselle in cui già appaiano le crocette non soddisfa le condizioni secondo le quali il consenso deve essere una chiara ed esplicita manifestazione di volontà.

Il consenso dato da una persona interessata che non abbia avuto la possibilità di fare veramente una scelta o che sia stata messa davanti al fatto compiuto non può essere considerato valido.

Per questo motivo, il Gruppo di lavoro ha esaminato se il consenso possa essere validamente utilizzato per il trasferimento, alle autorità statunitensi, di dati relativi alle prenotazioni (dati PNR) delle compagnie aeree europee. Se il consenso dei passeggeri venga dato liberamente è infatti un punto dubbio, dato che le compagnie aeree sono obbligate a trasmettere i dati prima della partenza del volo, e i passeggeri non hanno quindi una reale scelta se intendono viaggiare¹¹.

Su questo punto, il Gruppo di lavoro desidera attirare l’attenzione sulle particolari difficoltà che potrebbero sorgere nel definire come liberamente dato il consenso in un contesto lavorativo, e questo in virtù della relazione di subordinazione fra datore di lavoro e dipendente¹². L’esistenza di un consenso valido, in questo contesto, significa che il dipendente deve avere la reale possibilità di rifiutarlo senza subire alcun danno, o di revocarlo se cambia idea. In tali situazioni di dipendenza gerarchica, il rifiuto o le riserve di un dipendente quanto a un trasferimento possono in effetti causargli un danno morale o materiale, il che è assolutamente contrario alla lettera e allo spirito della legislazione europea sulla tutela dei dati personali. Il Gruppo riconosce, tuttavia, che vi saranno casi in cui è appropriato, per un datore di lavoro, fare affidamento sul consenso, ad esempio in un’organizzazione internazionale in cui i dipendenti vogliano beneficiare di opportunità in un paese terzo.

In questo contesto, il Gruppo di lavoro invita i datori di lavoro a non fare affidamento solo sul consenso dei loro dipendenti per il trasferimento dei loro dati, eccetto nei casi in cui è accertato che i dipendenti non subiscono alcuna conseguenza se desiderano rifiutare il consenso o se, avendolo dato, decidono in seguito di revocarlo, quando ciò è possibile.

Inoltre, alla luce dell’esperienza acquisita, il Gruppo di lavoro ritiene che il consenso non possa fornire un quadro adeguato a lungo termine per i responsabili del trattamento in caso di trasferimenti ripetuti o anche strutturali per il trattamento in questione. Infatti, specialmente se il trasferimento è parte intrinseca del trattamento principale (ad es. la centralizzazione di una banca dati di risorse umane a livello mondiale, che, per essere operativa, deve essere alimentata da trasferimenti di dati continui e sistematici), i responsabili del trattamento potrebbero trovarsi in situazioni irrisolvibili se solo una delle persone interessate decidesse di ritirare il proprio consenso. A rigor di termini, i dati relativi a una persona che abbia revocato il consenso non potrebbero più essere trasferiti; in mancanza di ciò, il trasferimento continuerebbe ad essere parzialmente basato sul consenso delle persone interessate, ma dovrebbe essere trovata una soluzione alternativa (contratto, NVI, ecc.) per i dati delle persone che hanno revocato il consenso. Il ricorso al consenso può pertanto rivelarsi una "falsa buona soluzione", a prima vista semplice ma in realtà complessa e onerosa.

Per costituire una valida base giuridica per un eventuale trasferimento di dati, il consenso della persona interessata deve essere emesso specificamente per un determinato trasferimento o per una particolare categoria di trasferimenti.

In base a questo requisito è talvolta impossibile ottenere il consenso preliminare per un trasferimento futuro, ad esempio se le sue specifiche circostanze non sono note al momento in cui il consenso viene chiesto e la persona interessata non può quindi valutarne le conseguenze. Per citare un esempio, una società che ottiene dati dai suoi clienti per una specifica finalità non potrà chiedere loro il consenso preliminare al trasferimento di tali dati verso un paese terzo nell’eventualità di essere acquisita da una terza impresa. Tuttavia, una persona può validamente acconsentire, in anticipo, al trasferimento dei suoi dati verso un paese terzo se i dettagli del trasferimento sono già predeterminati, soprattutto per quanto riguarda la finalità e le categorie di riceventi.

Si tratta di una condizione particolarmente importante: la persona interessata deve essere debitamente informata, e in anticipo, in merito alle specifiche circostanze del trasferimento (finalità, identità dei riceventi e dettagli su di essi, ecc.), conformemente al generale principio di lealtà.

Le informazioni date alle persone interessate devono anche riguardare gli specifici rischi derivanti dal trasferimento dei loro dati verso un paese che non offre un’adeguata protezione.

Solo queste informazioni permetteranno alle persone interessate di dare il proprio consenso con perfetta cognizione di causa: se non vengono fornite, la deroga non si applicherà.

Il Gruppo di lavoro ha notato che talvolta è complicato ottenere il consenso per problemi pratici, soprattutto quando non vi è un contatto diretto fra il responsabile del trattamento e le persone interessate (anche se la soluzione prevista all’articolo 26, paragrafo 2 risulta a volte di più facile attuazione). Quali che siano le difficoltà, il responsabile del trattamento deve essere in grado di dimostrare in tutti i casi che, in primo luogo, ha ottenuto il consenso di ogni persona interessata e, in secondo luogo, che tale consenso è stato dato sulla base di informazioni sufficientemente precise, anche sull’assenza di protezione nel paese terzo.

Nel documento di lavoro WP12, il Gruppo ha precisato che, benché il campo d’applicazione di queste deroghe relative all’esecuzione di un contratto sembri potenzialmente molto ampio, nella pratica esso sarà limitato secondo il criterio della "necessità".

Il Gruppo di lavoro è di fatto consapevole che, indipendentemente dall’interpretazione generale dell’articolo 26, paragrafo 1 e dalle nuove raccomandazioni formulate nella sezione 1.3 del presente documento, questo "test di necessità" può limitare, di per sé, il numero di possibilità di ricorso alle varie deroghe dell’articolo 26(1) che si richiamano a tale concetto di "necessità" (art. 26(1), da lettera b) e lettera e).

Nel caso dell’articolo 26(1)(b), un trasferimento di dati verso un paese terzo che non offre una protezione adeguata può essere considerato come rientrante in questa deroga se può essere giudicato necessario per l’esecuzione del contratto in questione o per l’esecuzione di misure precontrattuali prese su richiesta della persona interessata. Questo "test di necessità" richiede uno stretto e sostanziale legame fra la persona interessata e le finalità del contratto.

Alcuni gruppi internazionali vorrebbero poter invocare questa deroga per trasferire dati dei loro dipendenti da una filiale alla società madre, ad esempio per centralizzare le attività di gestione dei pagamenti e delle risorse umane del gruppo. Essi credono che tali trasferimenti potrebbero essere considerati come necessari per l’esecuzione del contratto di lavoro concluso fra il dipendente e il responsabile del trattamento. Il Gruppo di lavoro giudica questa interpretazione eccessiva poiché è altamente dubbio se la nozione di contratto di lavoro possa essere interpretata in modo così ampio, visto che non vi è alcun legame diretto e oggettivo fra l’esecuzione di un contratto di lavoro e un tale trasferimento di dati.

Inoltre, un’interpretazione restrittiva di questa deroga significa che i dati trasferiti devono essere realmente necessari ai fini dell’esecuzione del contratto o delle misure precontrattuali.

Per questa ragione, nel parere del 24 ottobre 2002 sui dati PNR, il Gruppo di lavoro ha dichiarato di non ritenere che questa condizione possa applicarsi ai trasferimenti, alle autorità statunitensi, di dati relativi ai passeggeri delle compagnie aeree, e questo in virtù della portata dei dati trasmessi, alcuni dei quali non possono essere ritenuti "necessari" per l’esecuzione del contratto di trasporto¹³.

Questa deroga costituirebbe invece una base giuridica accettabile per il trasferimento, da

parte delle agenzie di viaggio, dei dati personali dei loro clienti ad alberghi o altri partner

commerciali che intervengono nell’organizzazione del soggiorno degli interessati.

La deroga non può infine applicarsi alla trasmissione di informazioni supplementari non necessarie ai fini del trasferimento, o a trasferimenti con una finalità diversa dall’esecuzione del contratto. Più in generale, le deroghe dell’articolo 26, paragrafo 1, da lettera b) a lettera e) permettono solo che possano essere trasferiti, sulla base delle singole deroghe, i dati necessari ai fini del trasferimento; per dati supplementari sono necessarie altre prove di adeguatezza.

L’interpretazione di questa disposizione è necessariamente analoga alla precedente: un trasferimento di dati verso un paese terzo che non garantisca una protezione adeguata può essere considerato come rientrante nel campo d’applicazione della deroga dell’articolo 26(1)(c) solo se giudicato come realmente necessario per la conclusione o l'esecuzione di un contratto fra il responsabile del trattamento e un terzo, nell’interesse della persona i cui dati sono oggetto del trasferimento, e solo se supera il corrispondente "test di necessità". Nel presente caso, questo test richiede uno stretto e sostanziale legame fra l’interesse della persona i cui dati sono oggetto del trasferimento e le finalità del contratto.

Alcuni responsabili del trattamento hanno a volte espresso la volontà di poter ricorrere a questa deroga come base per trasmettere dati sui loro dipendenti a fornitori di servizi, stabiliti al di fuori dell’UE, a cui subappaltano la gestione delle buste paga: ciò, a loro avviso, sarebbe necessario per l’esecuzione del contratto di subappalto e sarebbe nell’interesse delle persone i cui dati sono oggetto del trasferimento, poiché la finalità è la gestione degli stipendi dei dipendenti. In questo caso, tuttavia, il Gruppo di lavoro ritiene che non sia accertato alcun legame stretto e sostanziale fra l’interesse della persona interessata e le finalità del contratto, e che la deroga non possa applicarsi.

Alcuni gruppi internazionali, ad esempio, vorrebbero poter applicare questa deroga nella gestione dei sistemi di stock option per alcune categorie di dipendenti. A tal fine questi gruppi tradizionalmente ricorrono a fornitori di servizi finanziari specializzati nella gestione di questi sistemi e stabiliti in paesi terzi, e ritengono che i trasferimenti di dati a questi fornitori di servizi potrebbero quindi aver luogo ai fini dell’esecuzione del contratto concluso fra il fornitore e il responsabile del trattamento, nell’interesse del beneficiario del sistema.

Se un responsabile del trattamento dovesse basarsi sull’articolo 26(1)(c) per applicare queste misure — tenuto conto che il Gruppo di lavoro nutre riserve quanto alla validità di questa interpretazione -, dovrebbe dimostrare all’autorità per la protezione dei dati che le informazioni trasferite sono necessarie per l’esecuzione di quel contratto conformemente all’interpretazione restrittiva del termine "necessario" quale sopra precisata.

Il Gruppo di lavoro tiene a chiarire che questa interpretazione non comporta in alcun modo un giudizio negativo sulla scelta, da parte dei responsabili del trattamento, di rivolgersi a incaricati del trattamento in paesi terzi. Il Gruppo vuole semplicemente insistere sull’opportunità di basarsi su uno strumento previsto dall’articolo 26, paragrafo 2 (in pratica un contratto) per effettuare trasferimenti di dati in tali casi.

Le deroghe contemplate all’articolo 26, paragrafo 1, lettera d) devono essere interpretate in base allo stesso criterio applicato nei precedenti paragrafi.

Il Gruppo di lavoro ha già dato un’interpretazione restrittiva del concetto di "salvaguardia di un interesse pubblico rilevante" nel parere del 24 ottobre 2002 sui dati PNR¹⁴. Ha respinto il ricorso a questa deroga per giustificare trasferimenti, alle autorità statunitensi, di dati di passeggeri di compagnie aeree per la salvaguardia di un interesse pubblico rilevante, e questo per due motivi: in primo luogo la necessità di una tale comunicazione non è stata accertata; in secondo luogo non è accettabile che una decisione unilaterale di un paese terzo, per la salvaguardia di un interesse pubblico che gli è proprio, porti a trasferimenti massicci di dati tutelati a norma della direttiva.

In merito a questo punto va osservato che l’intenzione degli estensori della direttiva era chiaramente far sì che, a questo riguardo, fossero considerati validi solo interessi pubblici rilevanti individuati come tali dalla legislazione nazionale applicabile ai responsabili del trattamento stabiliti nell’UE. Qualsiasi altra interpretazione permetterebbe a un’autorità straniera di eludere il requisito della tutela adeguata nel paese ricevente quale previsto dalla direttiva 95/46.

D’altro lato, il considerando 58 della direttiva 95/46 fa riferimento, per quanto riguarda questa disposizione, a casi in cui scambi internazionali di dati potrebbero essere necessari "tra le amministrazioni fiscali o doganali" di paesi diversi oppure "fra i servizi competenti per la sicurezza sociale". Questa specificazione, che sembra riguardare solo indagini in casi particolari, spiega il fatto che questa deroga può essere utilizzata solo se il trasferimento è nell’interesse delle autorità stesse di uno Stato membro dell’UE, e non unicamente nell’interesse di una o più autorità di un paese terzo.

Il Gruppo di lavoro sottolinea che deve essere oggetto di un’interpretazione restrittiva anche il concetto di "constatazione, salvaguardia o difesa di un diritto per via giudiziaria". Si può ad esempio immaginare che la società madre di un gruppo multinazionale, stabilita in un paese terzo, sia citata in giudizio da un suo dipendente che lavora presso una delle filiali europee. La deroga di cui all’articolo 26(1)(d) sembra permettere alla società di chiedere legittimamente alla filiale europea di trasferire certi dati riguardanti il dipendente se essi sono necessari per la sua difesa.

In nessun caso questa deroga può essere utilizzata per giustificare la trasmissione integrale dei fascicoli del dipendente alla società madre del gruppo adducendo un eventuale, futura azione legale.

La deroga di cui all’articolo 26, paragrafo 1, lettera e) si applica ovviamente nel caso in cui i dati debbano essere trasmessi per un’urgenza medica, qualora siano reputati direttamente necessari per la somministrazione delle cure richieste.

Deve essere ad esempio giuridicamente possibile trasferire dati (comprese certe informazioni personali) se la persona interessata non è cosciente e necessita di assistenza medica urgente, e solo il suo medico curante, stabilito in un paese dell’UE, è in grado di fornire tali dati. In casi come questi sarebbe assurdo imporre qualsiasi altro tipo di condizioni legali per la comunicazione delle informazioni.

Il trasferimento deve avere attinenza con l’interesse della persona i cui dati sono oggetto della comunicazione e, quando riguarda dati medici, deve essere necessario per una diagnosi fondamentale. Di conseguenza, questa deroga non potrebbe essere utilizzata per giustificare trasferimenti di dati medici personali a responsabili di cure stabiliti al di fuori dell’UE, se la loro finalità non è quella di assistere la persona interessata nella particolare circostanza ma, ad esempio, quella di effettuare ricerca medica generale che darà risultati solo in un futuro. In questi casi dovrebbero applicarsi le condizioni alternative di cui all’articolo 26, paragrafo 2 della direttiva.

La deroga di cui all’articolo 26, paragrafo 1, lettera f) riguarda trasferimenti che avvengono "a partire da un registro pubblico il quale, in forza di disposizioni legislative o regolamentari, sia predisposto per l'informazione del pubblico e sia aperto alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo, nella misura in cui nel caso specifico siano rispettate le condizioni che la legge prevede per la consultazione".

Questa disposizione della direttiva è una conseguenza logica del carattere pubblico dei registri cui si riferisce, che possono essere liberamente consultati. Se un registro può essere consultato da chiunque nel paese o da qualsiasi persona che abbia un interesse legittimo a farlo, appare logico autorizzarne la consultazione anche a persone stabilite in un paese terzo.

Tuttavia, questa libertà di trasferimento di dati non può essere totale. Il considerando 58 della direttiva precisa che "tale trasferimento non deve riguardare la totalità dei dati o delle categorie di dati contenuti nel registro". Non sarebbe conforme allo spirito dell’articolo 26(1)(f) avvalersi di questo fondamento giuridico per il trasferimento per vuotare questi registri del loro contenuto, con il rischio che il loro uso da parte di soggetti stabiliti in paesi terzi possa in definitiva portarli ad essere utilizzati per scopi diversi da quelli per cui erano stati predisposti.

Il considerando 58 indica inoltre che "il trasferimento di un registro destinato ad essere consultato dalle persone aventi un interesse legittimo dovrebbe essere possibile soltanto su richiesta di tali persone o qualora esse ne siano i destinatari". Ci si potrebbe immaginare che questa deroga possa essere usata, nel rispetto delle leggi nazionali, da una persona nata in uno Stato membro dell’UE ma residente in un paese terzo per ottenere estratti dei suoi atti di stato civile dal suo comune di nascita per prendere la residenza permanente nel nuovo paese.

In ogni caso, occorrerà richiamarsi alle disposizioni legislative e regolamentari dello Stato membro dell’UE in cui il registro è stato predisposto per verificare se tale deroga possa applicarsi in certi specifici casi. Queste disposizioni legislative e regolamentari definiranno in particolare i concetti di "predisposto per l'informazione del pubblico’ e di "interesse legittimo", in base ai quali è possibile il ricorso alla deroga.

Come annunciato nell’introduzione, scopo del presente documento di lavoro è fornire indicazioni per l’interpretazione delle deroghe di cui all’articolo 26, paragrafo 1 della direttiva 95/46/CE del 24 ottobre 1995.

In questa sede il Gruppo conferma la sua precedente interpretazione, indicata nel documento di lavoro WP12, secondo la quale tutte le deroghe di cui all’articolo 26, paragrafo 1 devono essere interpretate in modo restrittivo.

Tuttavia, nel contesto di un’accelerazione dei trasferimenti internazionali di dati nel corso degli ultimi anni, confermata dall’attività quotidiana delle autorità nazionali per la protezione dei dati, il Gruppo di lavoro ritiene necessario formulare ulteriori raccomandazioni riguardo all’applicazione delle disposizioni in oggetto.

Il Gruppo tiene particolarmente a che le varie basi giuridiche offerte dalla direttiva per i trasferimenti internazionali di dati siano applicate in maniera coerente, e in ogni caso secondo modalità che non pregiudichino il principio di tutela adeguata quale sancito dall’articolo 25 della direttiva stessa.

A tale riguardo il Gruppo raccomanda che il presente documento sia letto in combinazione con gli altri documenti precedentemente adottati in materia di trasferimenti internazionali di dati, in particolare con il WP74.

Il Gruppo auspica che i responsabili del trattamento si avvalgano delle deroghe di cui all’articolo 26, paragrafo 1 conformemente alle raccomandazioni formulate nel presente documento.

Fatto a Bruxelles,

Per il Gruppo di lavoro
Il Presidente
Peter Schaar