CE - GRUPPO DI LAVORO SULLA PROTEZIONE DEI DATI

adottato il 16 maggio 2000

Introduzione

Il presente parere è formulato in riferimento ai principi dell'approdo sicuro e alle domande frequentemente poste (FAQs) trasmesse dai servizi della Commissione il 28 aprile e il 2 maggio e ad altri documenti ricevuti tra il 9 e l'11 maggio.

Il gruppo di lavoro ritiene che progressi importanti e significativi siano stati compiuti verso un miglioramento della protezione dei dati personali nel corso dei due anni di discussioni con il Dipartimento del commercio statunitense e che su un numero limitato di questioni fondamentali qualche ulteriore passo avanti potrebbe essere fatto. Esso osserva in particolare che i più recenti emendamenti dei principi e i relativi documenti tengono conto di taluni suggerimenti formulati dal gruppi di lavoro nei precedenti pareri.

Per l'elaborazione del presente parere, il gruppo di lavoro ha tenuto conto anche della "Risposta del Dipartimento del commercio USA" al suo parere 7/99¹, inviata il 26 aprile via fax.

Il gruppo di lavoro ricorda che la tutela delle persone fisiche con riguardo al trattamento dei dati personali costituisce una parte dei "diritti e libertà fondamentali": questo era già stato stabilito dalla convenzione europea sui diritti dell'uomo e ribadito dall'articolo 1 della direttiva 95/46, ed è stato confermato dagli orientamenti formulati dalla convenzione per la carta UE dei diritti fondamentali. Il gruppo di lavoro riafferma che, affinché un sistema per la protezione dei dati possa essere definito adeguato, esso deve soddisfare i criteri stabiliti nel suo documento di lavoro (WP 12) del 24 luglio 1998.

Il gruppo di lavoro ricorda anche che gli USA hanno firmato le direttive sulla vita privata dell'OCSE (1980), e hanno confermato il loro appoggio a tali direttive nel 1998 alla conferenza ministeriale di Ottava.

Il gruppo di lavoro sottolinea le conseguenze della direttiva 95/46 a livello internazionale ed è cosciente dell'importanza economica e commerciale dell'accordo "approdo sicuro". Tuttavia, il gruppo di lavoro è convinto che tali considerazioni non possono essere anteposte ai diritti fondamentali delle persone fisiche con riguardo al trattamento dei loro dati personali. È inoltre importante tener conto delle conseguenze di una constatazione di adeguatezza sui futuri negoziati in sedi internazionali, quali l'OMC. Il gruppo di lavoro concorda con quanto sostenuto nel progetto di lettera dei servizi della Commissione al Dipartimento del commercio, ossia che il sistema giuridico statunitense presenta alcune caratteristiche molto specifiche e non può essere considerato come un precedente; il gruppo di lavoro condivide la preferenza dei servizi della Commissione per regole vincolanti, per le quali la direttiva e gli orientamenti OCSE restano i principali criteri di riferimento.

Il gruppo di lavoro ha già formulato le sue osservazioni su tutte le versioni presentate ai diversi livelli del dialogo. In particolare, il gruppo di lavoro ha emesso i seguenti pareri²:

• parere 1/99 del 26 gennaio 1999 (WP 15);

• parere 2/99 del 3 maggio 1999 (WP 19);

• parere 4/99 del 7 giugno 1999 (WP 21), integrato dal documento di lavoro del 7 luglio 1999 (WP 23);

• parere 7/99 del 3 dicembre 1999 (WP 27).

Dopo aver esaminato la nuova versione dei documenti ricevuti il 28 aprile e il 2 maggio, il gruppo di lavoro conferma il suo precedente parere e ritiene che sia essenziale considerare con la dovuta attenzione le seguenti questioni e raccomandazioni.

1. CAMPO D'APPLICAZIONE

Nel suo parere 7/99, il gruppo di lavoro ha evidenziato i possibili malintesi che potrebbero derivare dal principio della notifica e ha espresso la sua preoccupazione che le persone responsabili del controllo dei dati possano ritenere che i principi dell'approdo sicuro sostituiscano le leggi degli Stati membri. Il gruppo di lavoro ha pertanto proposto di chiarire questo punto in un'apposita FAQ. Questa proposta non è stata accolta e il paragrafo 2 dei principi (versione del 28 aprile) è stata modificato in un modo che non chiarisce questo aspetto. Tuttavia, nella sua "risposta" al parere 7/99, il Dipartimento del commercio USA dichiara che "il diritto europeo sarà applicato a tutti gli aspetti inerenti alla raccolta e all'impiego di dati personali da parte delle imprese che svolgono le loro attività in Europa". Il gruppo di lavoro fa presente che, ai sensi della direttiva (articolo 4.1) gli Stati membri sono tenuti ad applicare il loro diritto nazionale al trattamento di dati effettuato non soltanto da persone residenti nel loro territorio, ma anche da persone (anche se non residenti nel loro territorio) che utilizzano apparecchiature che si trovano nel loro territorio, in particolare per la raccolta di dati personali. Il gruppo di lavoro invita la Commissione a chiarire, nel progetto di decisione o nella sua lettera al Dipartimento del commercio, che i principi "approdo sicuro" non pregiudicano l'applicazione dell'articolo 4 della direttiva.

Secondo il progetto di decisione elaborato dai servizi della Commissione (articolo 1.1.b), una delle condizioni che le organizzazioni USA devono soddisfare per beneficiare dei vantaggi dell'approdo sicuro è l'assoggettamento alla giurisdizione dell'FTC o di un'autorità comparabile. Dato che l'adesione all'approdo sicuro si basa su un'autocertificazione, senza alcuna verifica ex-ante, il controllo da parte di un'autorità pubblica è indispensabile ai fini della credibilità dell'accordo.

Nel suo parere 7/99, il gruppo di lavoro aveva già fatto presente che, conformemente alle lettere che l'FTC aveva inviato ai servizi della Commissione, l'FTC sarebbe stato competente solamente per i casi di pratiche sleali o ingannevoli nell'ambito del commercio o aventi un impatto sul commercio e che altri settori quali i servizi finanziari (banche e assicurazioni), telecomunicazioni, trasporto, rapporti di lavoro e attività senza fini di lucro non rientrano nel campo delle loro competenze. Il gruppo di lavoro approva pertanto la nuova versione del progetto di decisione della Commissione (articolo 1.1, lettera b) in base al quale in un nuovo allegato 3 figurerà un elenco degli enti governativi statunitensi che soddisfano i criteri di cui all'articolo 1.1.b e che i settori o le operazioni che non sono soggetti alla giurisdizione delle autorità che figurano nell'allegato 3 non possono rientrare nel campo d'applicazione della decisione (cfr. considerando (9)).

D'altra parte, il gruppo di lavoro osserva che, nella versione del 28 aprile dei principi, le organizzazioni che non sono soggette al Federal Trade Commission Act possano qualificarsi per l'approdo sicuro senza che sia loro chiaramente prescritta un'autocertificazione da presentare al ministero del commercio, e ritiene opportuno eliminare questa ambiguità reintroducendo le parole soppresse.

Per quanto riguarda la FAQ 13 (prenotazione dei voli) il gruppo di lavoro ha esaminato il progetto di lettera del 9 maggio del Dipartimento dei trasporti e rileva che vi si menzionano la possibilità di presentare reclami e l'intenzione di informare il Dipartimento del commercio sulle misure applicate. Così stando le cose, il gruppo di lavoro non si oppone all'inserimento del Dipartimento dei trasporti nell'elenco di cui all'articolo 1.1.b, purché si diano le condizioni di cui all'articolo 1 del progetto di decisione.

Per quanto riguarda i dati sull'occupazione, il gruppo di lavoro rileva che, secondo la versione del 28 aprile della FAQ 6, "se l'organizzazione vuole che l'approdo sicuro copra anche le informazioni sulle risorse umane (...), essa deve indicarlo nella sua lettera e dichiarare il suo impegno a collaborare con le autorità UE (...) in conformità alle FAQ 9 e FAQ 5". Tuttavia, nella risposta alla domanda 1 nella FAQ 9 si afferma che "i principi dell'approdo sicuro si applicano solo" al trasferimento di dati identificati individualmente. Il gruppo di lavoro ricorda che, in conformità alla direttiva, i principi dell'approdo sicuro definiscono i dati personali come dati relativi a persone identificate o identificabili, e ritiene che sia necessario adeguare la FAQ 9 alla definizione corretta. Il gruppo di lavoro esprime inoltre preoccupazione per il fatto che l'applicazione per quanto riguarda i dati sull'occupazione si basi sulla cooperazione delle autorità di protezione dei dati anziché degli organismi di soluzione alternativa dei contenziosi.

La norma generale è che la legislazione si applica a qualsiasi organizzazione la cui sede si trova sul territorio di un determinato paese o Stato. I principi dell'approdo sicuro si applicano solamente alle organizzazioni che aderiscono volontariamente, e questo crea dei problemi che il gruppo di lavoro ha riassunto nel suo parere 7/99. Il gruppo di lavoro approva i miglioramenti introdotti nella FAQ 6 (nuovo paragrafo aggiunto alla versione del 28 aprile). Nella "nuova economia" le fusioni, le acquisizioni e i fallimenti sono eventi quotidiani. Nel suo parere 7/99 (pagina 3) il gruppo di lavoro aveva invitato la Commissione a prendere in considerazione la cancellazione dei dati trasferiti ad "ex approdi sicuri" (past harborites) e si compiace che la sua proposta sia stata accolta.

2. ECCEZIONI

2.1 Il gruppo di lavoro deplora che gli standard dell'approdo sicuro siano ridotti, da un lato, da una serie di eccezioni introdotte dalle FAQ e, dall'altro lato, dal paragrafo 5 dei principi ("l'adesione ai principi può essere limitata.....da disposizioni legislative o regolamentari ovvero decisioni giurisdizionali quando tali fonti comportino obblighi contrastanti od autorizzazioni esplicite").

Per quanto riguarda quest'ultimo punto, il gruppo di lavoro ribadisce il proprio parere³, secondo il quale l'adesione ai principi dovrebbe essere limitata solamente nella misura in cui ciò sia necessario al fine di rispettare obblighi contrastanti e, ai fini della trasparenza e della certezza giuridica, la Commissione dovrebbe essere informata dal Dipartimento del commercio di qualsiasi disposizione legislativa o regolamentare in grado di influire sull'adesione ai principi. Autorizzazioni esplicite come ragione di eccezioni potrebbero essere accettate solo nella misura in cui gli interessi legittimi prevalenti giustificanti tali autorizzazioni non differiscono sostanzialmente dalle esenzioni o deroghe applicate in contesti comparabili dagli Stati membri dell'UE in conformità alle loro leggi d'attuazione della direttiva.

In merito alle eccezioni menzionate nelle FAQ, il gruppo di lavoro esprime l'opinione seguente:

2.2 Dati di dominio pubblico (FAQ 15): il gruppo di lavoro ribadisce il parere secondo il quale un'eccezione per i dati pubblici e di dominio pubblico non sia compatibile con gli strumenti internazionali riguardanti la tutela dei dati e soprattutto con gli orientamenti dell'OCSE⁴. Esso osserva che è stata aggiunta una nuova formulazione che potrebbe contribuire ad evitare gli abusi di esenzione, ma deplora che non si sia tentato di definire in modo più preciso la categoria di informazioni in questione. Inoltre, il gruppo di lavoro rammenta che l'accordo relativo all'approdo sicuro non può sovrapporsi al quadro legislativo esistente che disciplina la responsabilità (sia esso diritto consuetudinario o diritto civile), né stabilire che "le organizzazioni non saranno responsabili" (come espresso nel paragrafo 3 della risposta alla FAQ 15, che dovrebbe quindi essere eliminato);

2.4 Accesso (FAQ 8): il gruppo di lavoro conferma le obiezioni già esposte nel parere 7/99 (pagine 8 e 9) in merito al lungo elenco di eccezioni introdotte dalla sezione 5. Per inciso, il gruppo di lavoro osserva che obiezioni analoghe sono state formulate nel parere del Trans Atlantic Consumer Dialogue (TACD)⁵.

Il gruppo di lavoro ritiene che il ricorso a eccezioni debba essere controllato attentamente e che si debba cercare la cooperazione delle autorità statunitensi per garantire che il ricorso ad eccezioni non comprometta la tutela assicurata dai principi. Il gruppo di lavoro è anche del parere che, in un sistema adeguato di protezione dei dati, il diritto di accesso non possa essere limitato o negato in modo incompatibile con la direttiva.

3. PRINCIPI

Il principio dell'approdo sicuro non include il diritto di ricevere dati "in forma immediatamente intelligibile", sebbene tale diritto sia riconosciuto dagli orientamenti dell'OCSE ("Principio di partecipazione individuale"). Il gruppo di lavoro prende atto dell'assicurazione fornita dal Dipartimento del commercio (nella risposta al parere 7/99) che ciò è implicito nel principio.

Il principio di accesso stabilisce il diritto a far cancellare i dati solo qualora siano inesatti, e non qualora siano raccolti o trattati senza il consenso del soggetto o in modo non compatibile con i principi. L'obbligo di cancellare i dati in quest'ultimo caso, come raccomandato dal gruppo di lavoro nel parere 7/99, figura attualmente tra le "sanzioni possibili" nella sezione "riparazioni e sanzioni" della FAQ 11. Il gruppo di lavoro raccomanda che, anziché essere lasciata alla discrezione degli organismi di soluzione dei contenziosi (come affermato nella relativa nota a piè di pagina della FAQ 11), la cancellazione sia riconosciuta come un diritto della persona o come un obbligo dell'organizzazione "approdo sicuro".

Per quanto riguarda i cambiamenti di impiego, la possibilità di rifiutare ("opt-out choice") è attualmente fornita alle persone interessate quando le informazioni personali che li riguardano sono impiegate a fini non compatibili con quelli per cui sono state raccolte. Questo principio dovrebbe essere esteso a tutti i vari impieghi dei dati personali. Inoltre, la possibilità di rifiutare offerta dal principio di scelta dovrebbe essere estesa ai casi di trasferimenti di dati ad altri responsabili del trattamento anche quando non vi è alcun cambiamento nell'uso o nello scopo. Il gruppo di lavoro è soddisfatto dello standard attuale relativo al consenso ("opt-in") per i dati riservati, ma ritiene sia necessario definire nei principi la categoria di dati considerati riservati in modo chiaro e univoco. L'ultima frase del principio di scelta deve essere chiarita: l'espressione "in ogni caso" andrebbe sostituita con "inoltre". Il gruppo di lavoro raccomanda anche che il principio di scopo e la nozione di scelta siano oggetto di ulteriori chiarimenti.

La versione attuale dei principi dell'approdo sicuro consente i trasferimenti a terzi non aderenti all'approdo sicuro, a patto che questi ultimi firmino un accordo relativo alla tutela dei dati. Questa soluzione non è compatibile con le norme generali volte a garantire l'applicazione e la responsabilità delle organizzazioni nel sistema dell'approdo sicuro. Il gruppo di lavoro ritiene che, a tali condizioni, i trasferimenti successivi dovrebbero essere permessi solo con il consenso delle persone interessate.

4. APPLICAZIONE

Come ricordato dalla direttiva (articolo 1) e dalla Convenzione europea sui diritti umani, il diritto alla privacy è un diritto fondamentale e ogni individuo ha il diritto di comparire dinanzi a un organo indipendente. L'"approdo sicuro" consentirebbe il trasferimento di dati personali attualmente trattati nell'UE verso un paese in cui le garanzie di cui sopra potrebbero non essere assicurate. La questione cruciale consiste quindi nel sapere in che modo sarebbe tutelato il diritto fondamentale alla privacy rispetto a dati trasferiti verso gli SU qualora non siano rispettati i principi dell'"approdo sicuro".

Secondo l'ultima versione dei documenti statunitensi, la garanzia di applicazione dei principi si fonda su due livelli:

Il collegamento fra i due livelli è estremamente incerto: secondo la FAQ 11, gli organismi di soluzione alternativa dei contenziosi dovrebbero notificare alla FTC i casi di mancato rispetto dei principi, ma non sono obbligati a farlo. Sebbene la persona direttamente interessata possa rivolgersi direttamente alla FTC, non vi sono garanzie che la FTC esamini il suo caso (i suoi poteri sono discrezionali). In concreto, i diretti interessati non hanno il diritto di essere ascoltati dalla FTC : né per far rispettare le decisioni degli organismi di soluzione dei contenziosi, né per impugnare tali decisioni (o il fatto che non siano state prese). Di conseguenza, alle persone interessate da una presunta violazione dei principi non sarebbe garantito il diritto di rivolgersi ad un'istanza indipendente.⁶

Il progetto di memorandum del Dipartimento del commercio fa riferimento alla possibilità di un accesso individuale ai tribunali statunitensi e di ottenere un risarcimento dei danni morali in determinate circostanze: l'esperienza dimostra che questo è il danno tipico dei casi in cui si verifica una violazione del diritto alla privacy. Questi due aspetti dovranno essere esaminati alla luce dell'esperienza per valutare l'efficacia dei rimedi indicati nel citato memorandum.

Nel complesso, il gruppo di lavoro ritiene che questo regime di applicazione sia insufficiente per quanto riguarda due delle tre condizioni indicate nel documento di lavoro del 24 luglio 1998 (pagina 7): la necessità "di fornire sostegno alle persone interessate" (punto b) e "di fornire riparazioni adeguate alla parte offesa qualora le regole non siano rispettate" (punto c).

Conclusioni

Il gruppo di lavoro rileva che la proposta "constatazione" di adeguatezza si riferisce ad un sistema che non è ancora operativo. A questo riguardo, il gruppo di lavoro approva la clausola di revisione figurante nel progetto di decisione della Commissione, che permette di riesaminare alla luce dell'esperienza ogni constatazione di adeguatezza relativa all'approdo sicuro; inoltre, il gruppo di lavoro considera necessario ribadire quanto affermato nel parere 7/99 per quanto riguarda il cosiddetto "periodo di tregua" e conferma le sue riserve per quanto riguarda questa parte della corrispondenza. (Il gruppo di lavoro fa presente che il progetto di lettera dei servizi della Commissione si riferisce agli "estratti allegati del verbale del comitato dell'articolo 31", che attualmente non sono disponibili; il gruppo di lavoro gradirebbe ricevere questo documento).

Tenuto conto di quanto precede, nonché dell'impegno degli USA di tutelare la vita privata formulato nella "risposta" del Dipartimento del commercio al parere 7/99, il gruppo di lavoro mantiene le sue riserve su alcuni punti ritiene che sia possibile raggiungere un risultato migliore in fatto di protezione dei dati. Il gruppo di lavoro auspica in particolare miglioramenti che consentano di conseguire i seguenti obiettivi:

• chiarezza assoluta sul campo d'applicazione dell'approdo sicuro, sia in termini di legge applicabile che di giurisdizione FTC (punto 1 del presente parere);

• limitazione delle eccezioni e degli esoneri, secondo le linee enunciate al punto 2 del presente parere;

• ulteriore miglioramento dei principi, come indicato al punto 3;

• adeguate garanzie d'indennizzo delle persone fisiche, come indicato al punto 4.

Qualora si decida di procedere, il gruppo di lavoro ritiene opportuno porre in evidenza l'importanza dei meccanismi di riesame della decisione e delle altre salvaguardie.

Infine, a prescindere dalla decisone da adottare in merito all'approdo sicuro, il gruppo di lavoro invita i servizi della Commissione a ultimare il loro lavoro e a presentare una decisione concernente la clausole contrattuali tipo (articolo 26.4 della direttiva) al fine di creare un quadro prevedibile, sicuro e non discriminatorio per il trasferimento internazionale dei dati che non si limiti ad un unico paese terzo. Inoltre, il gruppo di lavoro invita la Commissione a valutare con urgenza l'opportunità di creare un marchio di qualità per i siti Internet, che si basi su criteri comuni che potrebbero essere stabiliti a livello comunitario.

Per il gruppo di lavoro
Il presidente
Stefano RODOTÀ

1 Tutti i documenti citati nel presente parere possono essere ottenuti facendone richiesta al segretariato del gruppo di lavoro.

2 Tutti i documenti adottati dal gruppo di lavoro sono disponibili al seguente indirizzo:
http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm

3 Parere 7/99, pagina 4

4 I principi applicabili ai dati pubblici sono stati elaborati dal elaborati dal gruppo di lavoro articolo 29 nel suo parere 3/99 riguardante le informazioni del settore pubblico e la tutela dei dati personali, adottato il 3 maggio 1999.

5 Parere del TACD, pagina 4: "Le eccezioni alla fornitura di accesso sono troppo ampie e limitano indebitamente l'accesso dei privati a favore degli interessi aziendali. Mentre i diritti di accesso dovrebbero essere valutati tenendo conto anche di altre considerazioni, i principi di accesso attuali consentono alle entità meno propense a prendere in considerazione i diritti delle persone interessate (chi raccoglie i dati) di prendere tale decisione" (… ).

6 Secondo il già citato parere del Trans Atlantic Consumer Dialogue, "nonostante si siano verificati casi in cui la privacy individuale è stata compromessa, nessun organismo di autoregolamentazione ha mai chiesto indagini su una società membro". Nelle conclusioni, il TACD raccomanda che "i negoziatori dell'approdo sicuro considerino prioritario il riconoscimento di un diritto dell'individuo ad una riparazione".