CE -IL GRUPPO DI LAVORO PER LA PROTEZIONE DEGLI INDIVIDUI PER QUANTO RIGUARDA IL TRATTAMENTO DEI DATI PERSONALI

Approvato il 13 settembre 2001

IL GRUPPO DI LAVORO PER LA PROTEZIONE DEGLI INDIVIDUI PER QUANTO RIGUARDA IL TRATTAMENTO DEI DATI PERSONALI

istituito in virtù della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 1,

visti gli articoli 29 e 30, paragrafi 1 (a) e 3, della direttiva,

visto il regolamento procedurale del gruppo, e in particolare gli articoli 12 e 14,

ha approvato il seguente PARERE:

1. Introduzione

Il gruppo di lavoro accoglie con favore il progetto di decisione della Commissione relativo alle clausole contrattuali tipo per il trasferimento di dati personali a responsabili di attività d'elaborazione con sede in paesi terzi, e ribadisce l'urgenza che tale progetto venga approvato, come già al precedente parere 1/2001 2 . Il gruppo di lavoro ringrazia il sottogruppo competente per la preparazione del presente parere 3 e sottolinea l'importanza di questa decisione, tendente a facilitare innumerevoli trasferimenti di dati effettuati a livello mondiale a partire dalla Comunità nel rispetto di salvaguardie sufficienti a garantire la protezione della riservatezza degli individui qualora dati personali siano trasferiti al di fuori della Comunità.

2. Responsabili di attività d'elaborazione con sede nella Comunità rispetto a responsabili con sede all'esterno

Il gruppo di lavoro desidera per prima cosa stabilire una chiara distinzione fra le clausole di un contratto ai sensi dell'articolo 17 della direttiva e le clausole contrattuali tipo che costituiscono l'oggetto del presente parere. È vero che, a prima vista, i trasferimenti di dati possono sembrare molto simili in ambedue i casi, in quanto sono simili le parti contraenti (responsabile del controllo e responsabile dell'elaborazione) e uguale è lo scopo del trasferimento (servizi di elaborazione dati). Tuttavia, ai sensi della direttiva 95/46/CE, il fatto che il responsabile dell'elaborazione abbia sede all'esterno della Comunità cambia completamente il carattere del trasferimento (trasferimento internazionale anziché trasferimento intracomunitario) come pure le norme che regolano il contenuto del contratto (articoli 17 e 26.4).

A questo proposito, il gruppo di lavoro desidera sottolineare che l'ottemperanza dei responsabili del controllo alle disposizioni nazionali approvate ai sensi dell'articolo 17 della direttiva 95/46/CE non costituisce di per sé l'attività descritta all'articolo 26 (2) della direttiva, ossia il fatto che il responsabile del trattamento presenti garanzie sufficienti da indurre uno Stato membro ad autorizzare un trasferimento o una serie di trasferimenti ai sensi dell'articolo 26 (2), perché i contratti devono supplire alla mancanza di protezione adeguata nel paese di destinazione, che non costituisce l'obiettivo dell'articolo 17 della direttiva 95/46/CE. Inoltre, in linea di principio il subappalto all'esterno della Comunità di servizi d'elaborazione di dati può esporre la riservatezza degli individui a rischi maggiori di quelli incontrati nella Comunità. La presenza materiale dei dati in paesi terzi rende notevolmente più difficile garantire l'esecuzione del contratto o delle decisioni prese dalle autorità di controllo.

Infine, come sottolineato dal gruppo di lavoro nel Parere 1/2001, vi è sempre la possibilità che i responsabili dell'elaborazione con sede in paesi terzi possano essere soggetti a interventi da parte di autorità pubbliche che potrebbero andare oltre a quanto considerato necessario in una società democratica.

3. Il problema delle misure di sicurezza

È proprio dall'esame del problema delle misure di sicurezza che emergono più chiaramente le differenze fra le due categorie di trasferimenti. Visto che l'articolo 17 si applica soltanto ad un incaricato del trattamento che abbia sede in uno Stato membro 4 è necessario rispondere all'interrogativo sulle misure di sicurezza che devono essere rispettate dall'importatore dei dati, e delle quali l'esportatore deve assicurare l'applicazione.

Il gruppo di lavoro è del parere che l'importatore dei dati debba applicare le misure di sicurezza definite dalla legislazione dello Stato membro in cui ha sede l'esportatore dei dati. Ciò è in armonia sia con il principio generale che l'importatore dei dati è vincolato dalla legislazione dell'esportatore, sia col fatto che l'esportatore dei dati fornisce all'importatore istruzioni conformi alla propria legislazione.

Il gruppo di lavoro si rende conto dei motivi per cui il progetto della Commissione vorrebbe introdurre maggiore elasticità in materia di misure di sicurezza, in particolare qualora l'importatore di dati riceva dati personali da esportatori con sede in Stati membri diversi. Tuttavia, attualmente la direttiva offre soltanto uno spazio limitato per tale elasticità. Pertanto, il gruppo di lavoro raccomanda alla Commissione e al Comitato dell'articolo 31 l'approvazione di clausole contrattuali tipo che stipulino che, da un lato, le misure di sicurezza devono essere specificate e, dall'altro, che l'adeguatezza di tali misure debba essere determinata nel contesto della legge applicabile, ossia della legge che si applica all'esportatore dei dati. Questo fatto dovrebbe essere chiarito esplicitamente nel testo delle clausole, ed anche il considerando 11 della decisione dovrebbe essere emendato in tal senso. Visto che l'industria annette grande importanza alla possibilità di una normativa più elastica per questo problema, è importante che la Commissione presenti in futuro proposte particolareggiate in merito per esame da parte del gruppo di lavoro.

4. Diritti del terzo beneficiario

Il gruppo di lavoro riconosce l'importanza delle disposizioni in proposito contenute nel progetto della Commissione, che conferiscono i diritti del terzo beneficiario alle persone interessate dai dati. Queste disposizioni sono estremamente utili per garantire alle persone interessate dai dati la piena esecuzione dei diritti che loro competono in virtù delle clausole contrattuali tipo nonché della rispettiva legislazione nazionale.

In effetti, le imprese europee si avvalgono di servizi d'elaborazione dati con sede all'esterno dell'Unione europea per ragioni diverse, vuoi al fine di concentrare tali servizi in un'unica sede, vuoi per avvalersi di servizi meno costosi. È noto, ad esempio, che alcune multinazionali (in particolare nel settore finanziario) utilizzano servizi d'elaborazione con sede in continenti diversi allo scopo di poter usufruire di tali servizi senza interruzione nell'arco delle 24 ore.

Questo generale fenomeno che vede l'esternalizzazione dei servizi di elaborazione è probabilmente destinato ad aumentare in futuro. Indipendentemente dalle considerazioni economiche, il risultato pratico di tale processo è che grandi distanze e frontiere nazionali separano il responsabile del controllo con sede in Europa dal responsabile del trattamento con sede in un altra regione del pianeta, e che benché sia vero che le disposizioni delle autorità di supervisione dei tribunali nazionali sono applicabili ai responsabili del controllo con sede nella Comunità, l'effettiva sede geografica dei dati può costituire un problema reale.

Nei casi in cui, per qualsiasi motivo, l'esportatore dei dati non impartisce corrette istruzioni all'importatore (ad esempio stato di fallimento o altra scomparsa legale), le persone interessate dai dati dovrebbero avere la possibilità di avvalersi dei diritti del terzo beneficiario conferiti dalle clausole contrattuali tipo per ottenere l'effettiva applicazione dei diritti fondamentali in materia di protezione dei dati quali accesso, cancellazione, rettifica, obiezione ecc. per quanto concerne i propri dati 5 .

Un esempio di questo tipo di disposizioni può essere costituito dalla clausola 4 e), ossia l'obbligo dell'esportatore dei dati di informare l'importatore sulle richieste effettuate dalle persone interessate dai dati o dall'autorità di controllo in merito alle attività d'elaborazione effettuate dall'importatore stesso. Benché sia vero che questo aspetto possa essere considerato già coperto dalla clausola 4 a) (obblighi generali dell'esportatore dei dati), non vi è alcun dubbio che la suddetta clausola 4 e) possa facilitare l'esecuzione nei casi di cui al paragrafo precedente.

Il gruppo di lavoro è favorevole agli emendamenti apportati dalla Commissione alla versione del 1° luglio allo scopo di chiarire la portata dei diritti di terzo beneficiario nei confronti dell'importatore dei dati.

5. Dovere di informare gli interessati quando il trasferimento interessa particolari categorie di dati (clausola 5d))

Il gruppo di lavoro non è d'accordo con il suggerimento di alcune organizzazioni commerciali per l'eliminazione di questa clausola. Benché ciò potrebbe semplificare il trasferimento e relative clausole contrattuali tipo, sembra equo nei confronti delle persone interessate dai dati, vista la particolare tutela accordata ai dati a carattere delicato, informare tali soggetti, almeno in questi casi, sull'eventuale intenzione da parte del responsabile del controllo di effettuare il trattamento in un paese terzo che non fornisca una protezione adeguata.

Pertanto, il carattere particolare dei dati delicati ed i rischi specifici associati al trattamento di tali informazioni inducono il gruppo di lavoro a raccomandare che la clausola 4 d) non venga cancellata.

Il gruppo di lavoro raccomanda alla Commissione di comprendere nei considerando della decisione (o nelle clausole stesse) l'obbligo dell'esportatore dei dati di rispettare le disposizioni nazionali di recepimento dell'articolo 10 c) della direttiva.

6. Successivi trasferimenti

Il gruppo di lavoro è favorevole alla raccomandazione del sottogruppo (fatta propria dal progetto di decisione della Commissione) di cancellare la clausola 5 c), che interessa parzialmente il problema dei successivi trasferimenti di dati.

Il gruppo di lavoro è del parere che (come nel caso della decisione 497/201) sia estremamente difficile definire in maniera pienamente soddisfacente i successivi trasferimenti di dati. La proposta, pertanto, sarebbe di cancellare tali disposizioni, col risultato che i successivi trasferimenti a terzi sarebbero consentiti soltanto se compatibili con la legge applicabile in materia di protezione dei dati, nonché con le clausole e le istruzioni impartite dall'esportatore. Il gruppo di lavoro raccomanda pertanto l'aggiunta di qualche opportuna formulazione in tal senso nel considerando 14 della decisione della Commissione.

7. Problemi di responsabilità

Il gruppo di lavoro è favorevole all'idea di una responsabilità eccezionale dell'importatore dei dati in casi limitati specificati nelle clausole contrattuali tipo, ossia quando l'esportatore dei dati si trovi in stato di fallimento o di scomparsa legale e, inoltre, sussista un'inadempienza da parte dell'importatore dei dati per quanto riguarda i suoi obblighi a norma delle clausole tipo con conseguenti danni causati alle persone interessate dai dati. Una soluzione più ampia farebbe obbligo all'importatore dei dati di controllare la conformità di tutte le istruzioni ricevute dall'esportatore dei dati nei confronti della legislazione in materia di protezione di dati ad esso applicabile, il che non sembra giustificato.

Il gruppo di lavoro raccomanda inoltre di chiarire più esplicitamente nei considerando della decisione che l'esercizio dei diritti contrattuali (diritto del terzo beneficiario) dovrebbe aver luogo in prima istanza nei confronti dell'esportatore dei dati, mentre la loro esecuzione nei confronti dell'importatore avrebbe carattere eccezionale.

8. Controlli

Come sottolineato dal gruppo di lavoro in una delle prime raccomandazioni orientative sul trasferimento di dati personali in paesi terzi (WP 12), la possibilità di garantire l'esecuzione di qualsiasi eventuale sistema di protezione dei dati costituisce un elemento d'importanza vitale per valutarne l'adeguatezza.

A livello di soluzioni contrattuali, la possibilità per le autorità di protezione dei dati di esercitare le loro funzioni investigative riveste importanza fondamentale.

Benché sia chiaro che tali controlli presso responsabili del trattamento con sede in paesi terzi non siano probabilmente destinati ad essere frequenti, ma limitati a casi del tutto eccezionali che comportino pregiudizi sostanziali ai diritti fondamentali dei cittadini, il gruppo di lavoro ricorda che l'impegno fornito dall'importatore dei dati alla clausola 8 (2) è pienamente compatibile con la subordinazione dell'importatore dei dati alla legislazione del paese da cui i dati stessi vengono esportati, e quindi costituisce un elemento molto importante se le clausole contrattuali tipo devono prestare sufficienti salvaguardie ai sensi dell'articolo 26 (2) della direttiva.

9. Conclusioni

Subordinatamente alle precedenti raccomandazioni, il gruppo di lavoro emette parere favorevole al progetto di decisione della Commissione relativo alle clausole contrattuali tipo per il trasferimenti di dati a carattere personale a responsabili di attività d'elaborazione con sede in paesi terzi, ed invita il comitato di cui all'articolo 31 ad accelerare i lavori affinché tale decisione della Commissione divenga operativa al più presto possibile.

Per il gruppo di lavoro
Il Presidente
Stefano RODOTA'