CE - GRUPPO DI LAVORO SULLA TUTELA DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

Adottato il 26 gennaio 1999

Il Gruppo di lavoro è a conoscenza delle discussioni in corso tra la Commissione delle Comunità Europee e il Governo degli Stati Uniti al fine di garantire il duplice obiettivo di un livello elevato di tutela dei dati personali e la libera circolazione di tali dati attraverso l'Atlantico. Il Gruppo di lavoro ritiene che queste discussioni siano importanti e spera che esse potranno conseguire risultati positivi in tempi brevi. Alla luce di tali discussioni, il 4 novembre 1998 l'Ambasciatore Aaron ha inviato una lettera con allegati, contenente una serie di proposte da discutere negli Stati Uniti tra rappresentanti di società USA e il Ministero federale del Commercio. A questo proposito, il Gruppo di lavoro invita le parti e i governi degli Stati membri dell'UE rappresentati nel Comitato istituito dall'articolo 31 della Direttiva 95/46/EC ² a tener conto dei punti che seguono:

Le norme sulla tutela dei dati non sono fatte solo per proteggere gli utenti delle nuove tecnologie (in particolare, informatica e Internet) al fine di garantirne la fiducia e aiutare così lo sviluppo di tali tecnologie e lo scambio internazionale di dati. Esse esprimono anche l'adesione ad alcuni principi e diritti fondamentali basati su una cultura comune di rispetto della sfera privata e di altri valori intrinsechi all'essere umano e condivisi tanto dagli Stati membri dell'UE che dagli Stati Uniti.

1. Negli USA, la tutela della sfera privata e dei dati si affida a un complesso tessuto di norme settoriali, a livello federale e statale, e di autoregolamentazione dell'industria. In tempi recenti, c'è stato uno sforzo per migliorare credibilità e applicabilità degli strumenti autoregolamentari dell'industria, soprattutto in relazione ad Internet e al commercio elettronico. Il Gruppo di lavoro ritiene però che non si possa contare su questo mosaico di leggi settoriali, il cui ambito di applicazione è limitato, e di autoregolamentazione volontaria per tutelare adeguatamente tutti i casi di dati personali trasferiti dall'UE.

2. Data la complessità del sistema USA di tutela della sfera privata e dei dati, la definizione di un "punto di riferimento" convenuto della tutela in forma di "principi per un approdo sicuro", offerto a tutti gli operatori economici USA, è un buon approccio che, in casi specifici, potrebbe essere completato da soluzioni contrattuali. Tuttavia, per garantire la libera circolazione dei dati verso gli Stati Uniti in base a tali principi, sono necessari miglioramenti ulteriori. Inoltre, potrebbe rivelarsi necessario trovare metodi che chiariscano quali società saranno coperte dai "principi per un approdo sicuro".

3. Si noti che la decisione di aderire a tali principi riguarda solo le singole società, e, in mancanza di una legislazione globale, resta quindi il problema delle società che non vogliono applicarli.

4. In generale, va chiarito lo statuto di tali principi. Se, in prima istanza, l'adesione ai principi può essere volontaria, una volta che una società aderisce, reclamando perciò i vantaggi di un "approdo sicuro", il rispetto dei principi deve essere obbligatorio.

5. La credibilità del sistema è seriamente compromessa dalla mancanza di controlli di conformità indipendenti e dall'affidarsi alla sola autocertificazione della società. La verifica indipendente va fatta in modo serio ma al tempo stesso praticabile anche per le piccole imprese. I modelli attualmente sviluppati negli USA dal Better Business Bureau OnLine and Trust-E stanno andando nella giusta direzione.

6. Deve essere possibile che i reclami di singoli, i cui dati sono stati trasferiti dall'UE, siano trattati in un modo pratico ed efficace e che in ultima istanza siano giudicati da un'entità indipendente. In proposito è importante individuare uno o più enti pubblici od organizzazioni indipendenti negli USA disposti a fungere da punto di contatto per le autorità di tutela dei dati dell'UE e a indagare sui reclami. Occorre anche accertarsi che esistano accordi pratici per tutti i corrispondenti settori USA. Enti normativi già esistenti (Federal Trade Commission; Office of the Comptroller of the Currency) possono assumere tale ruolo nei settori di loro competenza.

7. Sui contenuti, i principi del tipo "approdo sicuro" devono comprendere, per essere accettabili, almeno tutti i principi precisati nelle direttive OCSE del 1980 sulla tutela della sfera privata, sottoscritti anche dagli Stati Uniti e recentemente riaffermati alla Conferenza OCSE di Ottawa sul commercio elettronico. Tali principi sono anche applicati dalla Direttiva 95/46/EC e dalla legislazione nazionale degli Stati membri dell'UE. In proposito, l'elenco di principi sopra ricordato, pubblicato il 4.11.1998 dal Ministero del commercio USA suscita le seguenti preoccupazioni:

a) il diritto di accesso delle persone è limitato a quanto è "ragionevole". Le direttive OCSE sulla tutela della sfera privata non limitano il diritto in quanto tale, affermano solo che esso va esercitato "in modo ragionevole";

b) manca il requisito dell'indicazione di uno scopo, presente nelle direttive OCSE, solo in parte sostituito da un possibilità di "scelta" che permette di usare per uno scopo dati raccolti per un altro, a meno che le persone non possano decidere di negarla;

c) i dati "proprietari" e quelli elaborati manualmente sono esclusi dall'ambito di applicazione dei principi USA; il principio della "scelta" non garantisce alcuna tutela ai dati raccolti da terzi e quello di "accesso" esclude le informazioni provenienti da pubblici registri;

d) secondo il terzo paragrafo dell'introduzione, "l'adesione ai principi è soggetta" a numerose eccezioni e limiti come la "gestione di rischio" e la "sicurezza delle informazioni". Per il Gruppo di lavoro si tratta di nozioni troppo vaghe e incerte: esso raccomanda che siano chiarite o cancellate.

Per il Gruppo
Il Vicepresidente
Stefano RODOTÀ