CE - GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

adottato il 26 gennaio 2001

Il GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

costituito in virtù della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995 ¹,

visti l'articolo 29 e l'articolo 30, paragrafo 1, lettera a) e paragrafo 3 di tale direttiva,

visto il proprio regolamento interno, in particolare gli articoli 12 e 14,

ha adottato il seguente parere:

1. Introduzione

Il gruppo ringrazia il sottogruppo incaricato di approfondire il tema delle clausole contrattuali 2 per il lavoro svolto negli ultimi due anni nel corso delle riunioni con i servizi della Commissione, nonché con altri rappresentanti dell'industria. Il gruppo ringrazia inoltre la Camera di commercio internazionale e la Confederazione dell'industria britannica per il loro contributo e li prega di continuare a partecipare ai lavori futuri riguardanti questa importante tematica.

Il gruppo accoglie con favore la proposta della Commissione sulle clausole contrattuali tipo, sottolinea l'importanza di tale strumento per la tutela dei dati personali dei cittadini europei all'esterno dell'Unione e ribadisce la sua precedente raccomandazione di avanzare rapidamente verso soluzioni contrattuali 3 . Il gruppo pone l'accento sul fatto che la decisione della Commissione non deve solo espletare il ruolo attribuitole dall'articolo 26, paragrafo 4 della direttiva, ma deve anche diventare un documento di riferimento per i futuri sviluppi nel campo della protezione dei dati a livello internazionale.

Per i motivi illustrati sopra, nel dicembre del 2000 il gruppo ha approvato e presentato al comitato di cui all'articolo 31 della direttiva osservazioni interinali che sono state sostanzialmente integrate in questo nuovo progetto ed è proprio per questi motivi che il gruppo, sebbene sostenga la proposta della Commissione, riconferma i precedenti pareri 4 e formula le seguenti osservazioni.

2. Legittimità dei trasferimenti ai sensi della legislazione nazionale

Il gruppo sottolinea il fatto che, come contemplato dall'articolo 2 e illustrato nel settimo considerando del progetto di decisione della Commissione, qualsiasi trasferimento dalla Comunità a paesi terzi sulla base di clausole contrattuali tipo, considerate una protezione sufficiente da parte della Commissione, rappresenta un trattamento dei dati regolamentato negli Stati membri dalle disposizioni nazionali di recepimento della direttiva. La legittimità di tali trattamenti è interamente soggetta alle condizioni della legislazione nazionale che attua le disposizioni della direttiva 95/46/CE. Se un trasferimento a un paese terzo in virtù delle clausole contrattuali tipo approvate dalla Commissione non rispetta le condizioni previste dalla legislazione nazionale, detto trasferimento non può aver luogo. In particolare, se la divulgazione di dati a un terzo all'interno dello Stato membro del responsabile del trattamento non è legittima, la mera residenza del destinatario in un paese terzo non cambia tale valutazione giuridica.

Il gruppo ritiene inoltre che, alla luce dell'esperienza acquisita con le clausole contrattuali tipo a livello nazionale o europeo, sarebbe opportuna un'ulteriore armonizzazione delle informazioni fornite dalle parti nell'appendice al contratto, in particolare nei casi più comuni di trasferimenti (ad esempio, occupazione, marketing, ecc.).

Il gruppo attira inoltre l'attenzione sul fatto che il campo di applicazione della decisione è limitato ai trasferimenti in cui entrambe le parti fungono da responsabile del trattamento.

Il gruppo sostiene quest'impostazione ma invita la Commissione a disciplinare con urgenza mediante una futura decisione le clausole contrattuali per i trasferimenti non regolamentati dalla presente decisione, cioè quelli in cui il destinatario all'esterno della Comunità è un incaricato del trattamento che agisce a nome di un responsabile del trattamento con sede nella Comunità.

3. La clausola di salvaguardia dell'articolo 3 della decisione

Per definizione il destinatario dei dati personali trasferiti in base alle clausole contrattuali tipo approvate dalla Commissione è residente in un paese in cui non esiste un sistema adeguato di tutela dei dati personali. Le clausole contrattuali tipo consentono di ovviare a questo problema a condizione che l'importatore dei dati ne rispetti rigorosamente le disposizioni.

In caso contrario le clausole contrattuali tipo non potrebbero offrire una salvaguardia adeguata e sarebbe pertanto possibile sospendere o vietare il trasferimento. Il gruppo ricorda che le lettere b) e c) dell'articolo 3 regolamentano anche i casi in cui non fosse possibile, per qualsiasi motivo, l'esercizio dei diritti conferiti dal contratto alle persone interessate dai dati.

La situazione illustrata nell'articolo 3.1.a) del progetto di decisione della Commissione è diversa. La legislazione a cui è soggetto l'importatore dei dati prevale sugli impegni contrattuali; quindi potrebbero insorgere situazioni in cui l'importatore dei dati sarebbe obbligato a non rispettare tutte le norme di protezione dei dati previste dal contratto.

Nella clausola 5 a) dell'allegato si riconosce che l'importatore non è tenuto a rispettare le disposizioni del contratto (senza incorrere in responsabilità nei confronti degli interessati) nei casi in cui la legislazione a cui è sottoposto lo obblighi a deroghe ritenute necessarie in una società democratica ai sensi dell'articolo 13 della direttiva (sicurezza dello Stato, pubblica sicurezza, difesa, perseguimento di reati penali, ecc.).

Il problema tuttavia si pone nei casi in cui gli obblighi imposti all'importatore dei dati vanno oltre quelli elencati nell'articolo 13 della direttiva. In questi casi la violazione della sfera privata degli individui non si può considerare giustificata ai sensi della direttiva e il trasferimento dovrebbe pertanto essere vietato a priori, o se effettuato per errore, comportare la responsabilità in solido dell'esportatore dei dati e dell'importatore dei dati nei confronti dei soggetti per qualsiasi pregiudizio dovuto alla violazione degli obblighi contrattuali.

In base a questa premessa il gruppo apprezza la flessibilità dimostrata dalla Commissione nel progetto e ritiene che il riferimento all'articolo 13 della direttiva, sia nella decisione sia nella clausola 5 dell'allegato, stabilisca un equilibrio appropriato tra la necessità di prevenire un impiego inaccettabile delle clausole contrattuali tipo e le restrizioni a cui potrebbe essere soggetto l'importatore dei dati in circostanze eccezionali.

4. Gli obblighi contrattuali dell'importatore dei dati

In virtù della clausola 5 dell'allegato l'importatore dei dati si impegna a trattare i dati personali ricevuti dalla Comunità in conformità a talune condizioni di trattamento che gli consentono di presentare garanzie sufficienti ai sensi dell'articolo 26, paragrafo 2 della direttiva 95/46/CE. Il gruppo sottolinea il carattere fondamentale e indispensabile di tre delle suddette condizioni per garantire un livello minimo di protezione: principio di limitazione del fine, restrizioni sui successivi trasferimenti e impegno dell'importatore di garantire alle persone interessate diritti di accesso, rettifica, cancellazione e opposizione ai sensi della direttiva 95/46/CE.

Il gruppo è del parere che gli obblighi dell'importatore dei dati devono includere una garanzia generale relativa alla sicurezza del trasferimento di tutti i dati e non solo di quelli riservati.

4.1. Principio di limitazione del fine

È indispensabile che l'importatore dei dati si impegni a trattare i dati solo per il fine specificato nell'allegato alle clausole, poiché qualsiasi controllo della legittimità del trasferimento ai sensi della legislazione nazionale sarà limitato a tale fine.

4.2. Restrizioni sui successivi trasferimenti

Il gruppo è consapevole che nel commercio è possibile l'ulteriore trasferimento dei dati.

Gli ulteriori trasferimenti rappresentano tuttavia un problema spinoso che potrebbe richiedere meccanismi complessi per garantire una tutela adeguata dei dati. In tali circostanze il gruppo è del parere che sia preferibile non includere la possibilità dell'ulteriore trasferimento nelle clausole contrattuali tipo.

Il gruppo raccomanda pertanto una formulazione più semplice delle "restrizioni sui successivi trasferimenti" contenute nei principi obbligatori allegati al contratto: "Non è consentito alcun ulteriore trasferimento di dati personali ad un altro responsabile del trattamento in virtù delle clausole contrattuali tipo".

Il gruppo precisa comunque che nuovi trasferimenti saranno ancora possibili se l'esportatore dei dati stipula un nuovo contratto con un nuovo importatore dei dati, oppure se ottiene il consenso delle persone interessate ai sensi dell'articolo 26, paragrafo 1 della direttiva 95/46/CE.

4.3. Diritti di accesso, rettifica, cancellazione e opposizione in virtù della direttiva 95/46/CE

Come ribadito in passato in precedenti pareri relativi alla definizione dell'adeguato livello di protezione in paesi terzi, il gruppo sottolinea che si tratta di diritti fondamentali sulla cui base è possibile elaborare qualsiasi forma di tutela adeguata della riservatezza degli individui.

Nei casi previsti dall'articolo 26, paragrafo 4 della direttiva che, per definizione, contempla il flusso di dati personali verso paesi terzi in cui non esiste un sistema di tutela dei dati sufficiente o in cui non esiste alcuna protezione dei dati personali, le clausole contrattuali tipo devono fornire una tutela adeguata. È pertanto necessario concedere alle persone interessate gli stessi diritti di accesso, rettifica, cancellazione e opposizione di cui alla direttiva 95/46/CE.

5. Principi obbligatori di protezione dei dati e altre opzioni della clausola 5

Il gruppo approva i principi obbligatori di protezione dei dati allegati alle clausole contrattuali tipo a condizione che corrispondano ai principi della direttiva 95/46/CE e vengano interpretati come tali. Il gruppo raccomanda vivamente di includere un principio relativo alle decisioni individuali automatizzate di cui all'articolo 15 della direttiva. Il gruppo è del parere che tale principio avrà un effetto diretto sulle attività delle agenzie di informazioni commerciali con sede in paesi terzi che potrebbero ricevere dati personali di cittadini europei mediante le clausole contrattuali tipo approvate dalla Commissione.

Per quanto riguarda la seconda opzione di cui alla clausola 5, lettera (c) dell'allegato, il gruppo è del parere che, prima di prendere una decisione sull'adeguatezza del sistema di protezione dei dati di un paese, la Commissione debba esaminare tutte le circostanze specifiche del caso conformemente all'articolo 25, paragrafo 2. I requisiti dell'articolo 25, paragrafo 2, a cui si riferisce l'articolo 26, richiedono un esame approfondito del contesto in cui operano le norme di protezione dei dati di un certo paese, poiché tale contesto giuridico e costituzionale non può essere "esportato" senza che siano aggiunte ulteriori misure di salvaguardia mediante le clausole contrattuali.

Il progetto di decisione della Commissione che consente alle parti di accordarsi sulle norme essenziali di protezione dei dati di un paese terzo potrebbe soddisfare le richieste del gruppo se vengono rispettate le seguenti condizioni:

a) l'opzione deve essere disponibile solo agli importatori dei dati stabiliti nel paese terzo alle cui norme è fatto riferimento;

b) l'opzione deve applicarsi alle situazioni in cui è riconosciuta un'adeguata protezione dei dati e non va estesa a tutti i settori di attività;

c) le condizioni di trattamento di cui al punto 4 (principio di limitazione del fine, restrizioni sui successivi trasferimenti e diritti di accesso, rettifica, cancellazione e•6 opposizione ai sensi della direttiva 95/46/CE) vanno applicate in qualunque caso a qualsiasi importatore dei dati che riceve informazioni sulla base delle clausole contrattuali tipo.

6. Misure di salvaguardia contemplate dalle clausole

Il gruppo prende nota del fatto che il contenuto delle clausole contrattuali tipo proposte dalla Commissione è stato ridotto progressivamente dal giugno del 2000. Ciò risponde certamente a un'esigenza di semplificazione, ma anche alla necessità di ovviare ad alcune reazioni negative dell'industria e degli Stati membri nei confronti di alcune misure di salvaguardia dei dati proposte originariamente dalla Commissione. Il gruppo è del parere che le clausole contemplate nell'allegato al progetto di decisione rappresentino il livello di salvaguardia minimo necessario per garantire il diritto alla riservatezza e i diritti fondamentali degli individui.

Il gruppo è convinto che la responsabilità congiunta e solidale dell'esportatore e dell'importatore dei dati nei confronti delle persone interessate per qualsiasi pregiudizio risultante dalla violazione delle clausole contrattuali tipo sia l'unico modo per superare in modo realistico ed efficiente le serie difficoltà presentate dalle clausole contrattuali tipo in termini di rispetto dei diritti dell'individuo e di indennizzo appropriato di eventuali pregiudizi. Il gruppo è quindi del parere che qualsiasi attenuazione di queste disposizioni, in particolare per quanto riguarda la responsabilità solidale, avrebbe come risultato un livello di protezione inadeguato.

Il gruppo invita la Commissione e il comitato dell'articolo 31 a riflettere sulla adeguatezza dell'eccezione prevista per la responsabilità dell'importatore dei dati di cui alla fine del terzo paragrafo della clausola 6, in quanto una tale eccezione potrebbe creare confusione nell'attuazione di questa importante misura di protezione delle persone interessate dai dati.

7. La clausola relativa alla giurisdizione e il ruolo delle autorità di protezione dei dati come strumenti di risoluzione delle controversie

Sebbene questa possibilità sia già contemplata dal progetto di decisione, il gruppo raccomanda di rendere più esplicito il fatto che le persone interessate possano adire il tribunale non solo nel paese in cui ha sede l'esportatore dei dati ma anche nel paese di residenza della persona interessata.

Il gruppo ribadisce che le scelte contenute in questa clausola vanno considerate come le opzioni minime a disposizione della persona interessata dai dati, che è libera di utilizzare qualsiasi altra giurisdizione consentita dal diritto civile nazionale o internazionale.

Infine, il gruppo è del parere che, dove possibile in base alla legislazione nazionale e fattibile in termini di risorse umane, le autorità nazionali di protezione dei dati possono svolgere un ruolo sempre più importante come organo qualificato e indipendente di composizione delle controversie. Tale ruolo innovativo sarebbe coerente con la natura transfrontaliera del trasferimento e con le tendenze e le proposte attuali di fornire meccanismi extragiudiziali per la composizione delle controversie, in particolare nel campo del commercio elettronico.

8. Conclusione

Il gruppo esprime, fatte salve le osservazioni contenute nel presente documento, un parere favorevole sul progetto di decisione della Commissione distribuito il 17 gennaio 2001 ai sensi dell'articolo 26 (4), in quanto presenta misure di salvaguardia sufficienti per il trasferimento di dati personali a paesi terzi.

Il gruppo invita gli operatori economici ad utilizzare queste clausole una volta approvate dalla Commissione europea e raccomanda che il comitato dell'articolo 31 intraprenda tutti gli sforzi possibili per esprimere al più presto un parere favorevole in merito. Esso invita inoltre la Commissione a monitorare l'applicazione delle clausole e a riferire qualsiasi fatto pertinente, nonché qualsiasi modifica necessaria alla luce dell'esperienza a livello nazionale o europeo, in particolare per quanto riguarda l'appendice allegata al contratto.

Allegato al progetto di parere

Il gruppo raccomanda alla Commissione e al comitato dell'articolo 31 di prendere in considerazione le seguenti modifiche:

a) al progetto di decisione

· ottavo considerando: soppressione della frase "a cui continuerebbero ad applicarsi tutti i pertinenti disposti della direttiva";

· undicesimo considerando: soppressione della parola "eccezionali";

· articolo 1: dopo "direttiva 95/46/CE" aggiunta della frase "e conformemente alle disposizioni degli articoli 2 e 3 della presente decisione";

· articolo 3: all'inizio dell'articolo sostituzione dell'espressione "senza pregiudizio della" con l'espressione "La presente decisione non pregiudica la".

b) alle clausole contrattuali tipo

· clausola 5 c): dopo "su esplicito consenso dell'esportatore dei dati" aggiunta della frase "al momento della firma del contratto";

· clausola 5 c) alla fine del primo sottoparagrafo aggiunta della frase "nella misura in cui tali disposizioni siano applicabili al settore del trasferimento";

· clausola 5 f) dopo "autorità di controllo" aggiunta della frase "dello Stato membro in cui ha sede l'esportatore dei dati";

· clausola 7 c) da modificare nel seguente modo: "deferire la controversia all'autorità di controllo del paese in cui ha sede l'esportatore dei dati se esiste questa possibilità o a un organismo costituito da quest'autorità";

· clausola 8: "Le parti si impegnano a depositare copia delle presenti clausole presso l'autorità di controllo se richiesto da quest'ultima o se prescritto dalla legislazione nazionale";

· clausola 10: alla fine del paragrafo, aggiunta della frase: "che riconosce la clausola del terzo beneficiario".

Fatto a Bruxelles, il 26 gennaio 2001

Per il gruppo
Il presidente
Stefano RODOTÁ

NOTE