USA-UE : due scuole di pensiero a confronto sulla privacy
di Elisa Elia (Centro Studi&Ricerche SCiNT)
(articolo già pubblicato sulla rivista La Pratica Forense - www.lapraticaforense.it)
La "fluidità" delle transazioni internazionali, nell'era di internet, rischia di essere penalizzata dalle ragioni del diritto e dall'esigenza avvertita dalla coscienza sociale di tutelare la riservatezza di tutti i visitatori della Rete. Tali problematiche sono ormai divenute terreno fertile per il confronto-scontro tra le "scuole di pensiero" europea e statunitense.
Da una parte la strenua difesa del libero mercato, dall'altra le esigenze di tutela e garanzia di un diritto ormai "costituzionalizzato" a livello comunitario (si veda l'art. 8 della Carta UE) hanno determinato una tensione che rischiava di paralizzare le transazioni telematiche e gli sviluppi del commercio elettronico. Naturalmente la nobiltà dei principi europei non poteva frenare le logiche del commercio internazionale, esasperate dalle novità di Internet, e, pertanto, interminabili riunioni diplomatiche hanno portato, poco più di un anno fa, alla " apparente soluzione" di "Safe Harbour" ("approdo sicuro"). Le divergenze fra le due sponde dell'Atlantico sembravano sopite dopo la sottoscrizione dell'accordo di "Safe Harbour", ma il confronto si è riacceso, in seguito alla emanazione della decisione 2001/497/Ce; una mancata efficace risoluzione a queste problematiche potrebbe costituire una seria minaccia per i flussi globali, i rapporti commerciali e lo sviluppo del commercio elettronico, dato che la trasmissione di informazioni costituisce, oramai, una modalità imprescindibile per il funzionamento del sistema economico globale. Le divergenze socio-culturali in materia di Internet e privacy fra Europa e Usa , si sono tradotte in approcci giuridici opposti nella ricerca delle soluzioni:
· Gli Usa sono genericamente favorevoli all'associazione fra soluzioni di mercato e tutela giuridica mirata per settori di particolare delicatezza (dati relativi a minori , cartelle sanitarie, informazioni bancarie).
· L'UE preferisce disporre di un solido quadro giuridico di riferimento, che potenzi il diritto di proprietà dei singoli sui dati personali che li riguardano.
Oggi, comunque, il conflitto Europa-Usa, rispetto al modo in cui è possibile regolamentare il trasferimento dei dati all'estero, tutelando la riservatezza, ha sviluppato due diverse possibili soluzioni:
· Le "clausole contrattuali tipo", adottate e sostenute dall'Unione Europea;
· Il principio del "safe harbour", proposto e diffuso dagli Stati Uniti
L'accordo di "safe harbour" negoziato dall'Amministrazione Clinton nel corso del 2000 è il risultato di un lungo confronto che ha sicuramente prodotto notevoli miglioramenti, seppur non pienamente soddisfacenti, sul testo originario, e infatti il Parlamento europeo e le Autorità garanti dei 15 paesi avevano auspicato ulteriori modifiche al sistema. Questo accordo mira ad assicurare ai cittadini europei, i cui dati personali, anche di tipo sensibile, siano trasferiti oltreoceano da aziende pubbliche o private , un livello di tutela adeguato, anche se non equivalente a quello attualmente previsto nei paesi dell'Unione. In particolare, tale accordo prevede l'adesione volontaria e non obbligatoria delle imprese americane ad un sistema basato su un primo nucleo di principi tratti dalla direttiva europea 95/46/Ce:
· Informativa agli interessati;
· Consenso implicito per i dati non sensibili ;
· Consenso esplicito per i dati sensibili;
· Facoltà di accesso ai dati , rettifica e in casi eccezionali rettifica ;
· Rispetto delle regole minime di sicurezza dei dati;
· Applicazione del principio di finalità in forza del quale i dati non possono essere trattai per fini diversi da quelli per cui sono raccolti;
· Applicazione del principio di pertinenza , in forza del quale i dati devono essere funzionali agli scopi per i quali sono stati raccolti.
Ciò evita alle imprese e alle multinazionali che esportano dati personali negli USA, di esporsi a possibili interventi europei che potrebbero bloccare i trasferimenti di dati , come del resto è previsto dalla direttiva europea che dispone il "congelamento" dei dati, qualora questi dovessero esser destinati a paesi che non garantiscono un adeguato livello di garanzia.
Sulle imprese americane che volontariamente sottoscrivono il Safe Harbour (l'adesione risulta da apposite autocertificazioni che le imprese americane sono tenute a presentare al Dipartimento del Commercio o agli altri organi governativi competenti degli Stati Uniti), vigila la Federal Trade Commission, la quale controlla l'osservanza delle previsioni dell'accordo ed in caso di inadempimento, può infliggere delle sanzioni. La Federal Trade Commission potrà avviare, infatti, una iniziale fase inibitoria con un formale invito a conformarsi al contenuto dell'accordo, e in caso di flagrante e persistente comportamento non conforme, procederà alla espulsione dal sistema del Safe Harbour, nonché alla condanna al risarcimento dei danni derivanti dal reiterato inadempimento. Il mancato rispetto dei principi del "Safe Harbour" potrebbe, inoltre, provocare reclami da parte di privati; in particolare , le organizzazioni aderenti potrebbero essere ritenute responsabili di falsa dichiarazione per non essersi attenute ai principi cui hanno dichiarato di conformarsi, oppure potrebbero subire delle cause per risarcimento dei danni, conseguenti alla violazione della privacy. D'altra parte, il diritto al risarcimento dei danni per violazione della privacy personale è ben definito dalla legge statunitense.
Purtroppo solo una minima parte delle imprese statunitensi hanno risposto positivamente all'appello "Safe Harbour", conseguentemente per non rischiare un black out totale dei trasferimenti negli Stati Uniti, si è dovuto provvedere diversamente. Infatti, per i trasferimenti rivolti ad altri paesi od imprese statunitensi non aderenti ai principi del "Safe Harbour", gli operatori italiani possono utilizzare le "clausole contrattuali tipo" indicate a livello europeo, facendole sottoscrivere chiaramente anche all'importatore dei dati . Tali clausole non dovranno essere trasmesse al Garante (se non su richiesta di quest'ultimo), dovrà invece esser data comunicazione all'Autorità sul tipo di azione legale scelta, in caso di controversia con le persone alle quali si riferiscono i dati. Infine, dopo l'accordo di Safe Harbour e la predisposizione di clausole contrattuali standard da utilizzare nei rapporti con imprese "residenti" in Paesi senza un'adeguata tutela della riservatezza, sono state predisposte, inoltre, un altro tipo di clausole contrattuali, studiate per regolare il trasferimento dei dati in "outsourcing". Le clausole sono state pubblicate sulla Gazzetta Ufficiale della Comunità Europea L6/52 del 10 Gennaio 2002 e riguardano la comunicazione di informazioni personali da parte di un titolare del trattamento stabilito nella Ue verso responsabili del trattamento che operano in un Paese extra-Ue (con esclusione dell'Ungheria e della Svizzera che hanno dimostrato di avere lo stesso livello di tutela previsto dall'Ue). Le nuove clausole contrattuali, che diventeranno operative dal 3 aprile , saranno recepite nel nostro Paese con un provvedimento del Garante. Così come stabilito per quelle standard, anche le nuove regole si applicano su base volontaria. In altre parole, le parti (spesso si tratta di imprese) devono sottoscrivere un accordo nel quale inseriscono l'impegno a rispettare le condizioni necessarie per il trasferimento e l'utilizzo dei dati personali. Ma mentre nel caso delle clausole standard, le parti sono entrambe titolari del trattamento e, dunque , sono autonome e ciascuna risponde dei trattamenti che effettua, le nuove regole disciplinano il rapporto titolare-responsabile del trattamento. Pertanto la legge da applicare sarà quella di provenienza dei dati. E' il caso di un'azienda dell'Ue che, per esempio, affida in outsourcing una commessa, che potrebbe contenere un trattamento di dati personali, ad una società extra-Ue; la responsabilità di eventuali dati personali trasferiti nel paese straniero continua ad essere dell'azienda committente. Nell'accordo da sottoscrivere dovranno essere specificati gli obblighi dell'importatore dei dati, che dovrà attenersi alle istruzioni dell'esportatore (il titolare del trattamento), dovrà impegnarsi a non trasferire i dati senza l'autorizzazione dell'esportatore , dovrà assicurare il rispetto delle misure di sicurezza previste dalla legge del Paese "mittente" dei dati.
Abbiamo accennato alle clausole contrattuali tipo o standard senza operare una analitica definizione delle stesse, ma chiaramente non possiamoci esimerci dal farlo, costituendo le stesse "la soluzione europea" alla questione della tutela dei dati nei paesi extra-Ue che non si rivelino egualmente garantisti in materia di privacy. Occorre, però, fare prima delle brevissime premesse. A norma della direttiva 95/46/Ce, gli Stati membri devono assicurarsi che un trasferimento di dati a carattere personale verso un paese terzo abbia luogo soltanto se il paese in questione garantisca un livello adeguato di protezione dei dati e la legislazione degli Stati membri, attuativa delle altre disposizioni della direttiva, venga rispettata prima del trasferimento. Tuttavia, in base all'art. 26 della stessa direttiva, a parziale deroga di questa disciplina, gli Stati membri possono autorizzare , nel rispetto di determinate garanzie, un trasferimento di dati personali verso paesi terzi che non assicurino pari tutela della privacy. Tali garanzie possono essere fornite dalla previsione di appropriate clausole contrattuali. Alla luce di questa considerazione le clausole contrattuali tipo costituiscono una delle possibilità, previste dalla direttiva 95/46/Ce, per la liceità dei trasferimenti dei dati di cui sopra. Certamente sarà più agevole, per le società e per i singoli operatori economici in particolare, trasferire i dati in paesi terzi incorporando tali clausole - che riguarderanno soltanto la protezione dei dati - nel contratto, rimanendo ferma la possibilità di inserire altre clausole a carattere commerciale, ritenute pertinenti ai fini del contratto.
Il contratto deve essere retto dalla legge dello Stato membro in cui ha sede l'esportatore dei dati, che abiliti il terzo beneficiario di un contratto a ottenerne l'esecuzione. Per ridurre le difficoltà pratiche che i titolari dei dati potrebbero incontrare nell'esercizio dei diritti inerenti agli stessi, in base alle clausole contrattuali tipo, l'esportatore e l'importatore dei dati devono essere ritenuti responsabili separatamente e in solido per danni derivanti da qualsiasi violazione di disposizioni soggette alla clausola del terzo beneficiario. Le persone interessate dai dati hanno diritto di azione, nonché diritto al risarcimento del danno a carico dell'esportatore e dell'importatore dei dati stessi, o di entrambi, per i danni derivanti da qualsiasi atto incompatibile con gli obblighi di cui alle clausole contrattuali tipo. Entrambe le parti possono essere esonerate da tale responsabilità, se dimostrano di non essere responsabili del danno. La responsabilità separatamente e in solido non si estende alle disposizioni espressamente escluse dalla clausola del terzo beneficiario e non espone necessariamente una delle parti a responsabilità per trattamento illecito ad opera dell'altra.
In estrema sintesi , la Commissione con la decisione 2001/497/Ce ha stabilito i seguenti principi:
· Le clausole contrattuali tipo, riprodotte nell'allegato della decisione stessa, costituiscono garanzie sufficienti ai fini della tutela della riservatezza, dei diritti e delle libertà fondamentali delle persone , nonché per l'esercizio dei diritti connessi a norma dell'art.26 della direttiva 95/46/Ce;
· Ferma restando l'adeguatezza della tutela assicurata dalle clausole contrattuali tipo per il trasferimento di dati personali, sono fatte salve le disposizioni nazionali di attuazione di altre disposizioni della direttiva 95/46/Ce relative al trattamento dei dati negli Stati membri;
· Fatta salva la possibilità delle competenti autorità degli Stati membri di adottare provvedimenti, al fine di garantire il rispetto delle disposizioni nazionali di attuazione della direttiva 95/46/Ce, dette autorità possono avvalersi anche dei poteri loro attribuiti per proibire o sospendere flussi di dati verso paesi terzi, a fini di tutela delle persone, per quanto riguarda il trattamento dei rispettivi dati personali, qualora venga accertato l'inosservanza delle clausole tipo da parte dell'importatore, oppure sia probabile che le clausole contrattuali tipo non siano o non saranno rispettate e che la prosecuzione del trasferimento possa essere causa di un rischio imminente di grave pregiudizio ai titolari dei dati o, infine, se sia accertato che la legislazione, cui è sottoposto l'importatore dei dati, lo obbliga a deroghe dai principi di protezione dei dati.Il divieto o la sospensione cessano non appena vengono meno le ragioni che li hanno imposti.
La decisione emessa dalla Commissione dell'Unione Europea il 15 giugno 2001 è divenuta produttiva di effetti giuridici dal 3 settembre 2001.
In ogni caso gli operatori, nel regolare i flussi dei dati fuori dell'Ue, debbono comunque far riferimento alle disposizioni nazionali di recepimento delle direttive comunitarie in materia, (in particolare in Italia si veda l'art.28 L.675/1994, come modificato dalla D.Lgs.497/2001).
Infine, qualora non possano o non vogliano avvalersi di nessuno degli strumenti descritti, gli operatori, che hanno già assunto anche a livello contrattuale misure idonee a garantire un'adeguata tutela dei diritti delle persone interessate, possono comunque, in casi particolari, rivolgersi direttamente al Garante per chiedere di essere autorizzati al trasferimento dei dati all'estero.
Alla luce di quanto scritto possiamo ritenere le clausole contrattuali-tipo, un tentativo europeo di rendere più sollecite le operazioni commerciali internazionali; gli operatori potrebbero, infatti, non soffermarsi sul "come risolvere il problema privacy", affidandosi automaticamente alle clausole, senza dover ricorrere preventivamente ad accordi o autorizzazioni di Autorità, che non sempre hanno tempi brevi.
Elisa Elia
Studio Associato D. & L.