Estratto dal manuale - NOTA GRATUITA: Cosa si deve fare per trasferire i dati personali all'estero 

I trasferimenti che avvengono nell’ambito dei 27 Paesi che appartengono alla Unione Europea e dei tre Paesi EFTA, che aderiscono allo Spazio economico europeo (Islanda, Liechtenstein e Norvegia, con eccezione delle isole Svalbard) sono liberi, nel senso che essi non sono assoggettati a cautele e formalità aggiuntive, rispetto a quelle previste dalle legislazioni nazionali per i trasferimenti che avvengono all’interno di un singolo Stato.

E' quindi piu' che sufficiente, generalmente, stipulare con il destinatario comunitario un contratto semplificato, per ufficializzare il trasferimento dei dati personali: il primo capitolo del manuale presenta una bozza italo/inglese di tale contratto, elaborata semplificando le clausole contrattuali proposte dalle Decisioni 2001/497/CE, 2002/16/CE e 2004/915/CE della Commissione UE.

L’articolo 1 della direttiva 95/46/CE dispone infatti che gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela dei diritti e delle libertà fondamentali delle persone fisiche, e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali.

Tale precetto è rafforzato dal considerando numero 9, posto a preambolo della direttiva: poiché, in relazione al recepimento della direttiva stessa, le legislazioni privacy dei diversi Paesi sono state assoggettate ad un processo di ravvicinamento, affinché arrivassero a garantire un grado di protezione equivalente, gli Stati membri non possono più ostacolare la libera circolazione tra loro di dati personali per ragioni inerenti alla tutela dei diritti e delle libertà delle persone fisiche, segnatamente del diritto alla vita privata.

Alla direttiva fa eco l’articolo 42 del nostro codice privacy – Trasferimenti all’interno dell’Unione europea: Le disposizioni del presente codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli Stati membri dell’Unione europea, fatta ovviamente salva la possibilità per le Autorità nazionali di adottare, in conformità allo stesso codice, eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni.

================================================

I trasferimenti di dati personali verso Paesi terzi, diversi cioè dai 27 UE e dai 3 EFTA sopra citati, possono avere luogo soltanto nel pieno rispetto delle disposizioni prese dagli Stati membri in applicazione della direttiva 95/46/CE, in particolare dell’articolo 8, che disciplina i Trattamenti riguardanti categorie particolari di dati (considerando numero 60, posto a preambolo della direttiva 95/46/CE).

L’articolo 25 della direttiva prevede che gli Stati membri debbano disporre che il trasferimento verso un Paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può avere luogo soltanto se il Paese terzo di cui trattasi garantisce un livello di protezione adeguato.

In attuazione di tali principi, la normativa impone, ai soggetti che esportano i dati verso i Paesi terzi, di osservare prescrizioni ed adempimenti aggiuntivi, rispetto a quelli previsti per la circolazione dei dati personali all’interno dell’Unione europea e dei tre Paesi EFTA che aderiscono allo Spazio economico europeo (Islanda, Liechtenstein, Norvegia).

================================================

Come ogni regola che si rispetti, anche quella che impone di osservare particolari prescrizioni ed adempimenti, per esportare i dati verso i Paesi terzi, conosce le sue belle eccezioni.

L’articolo 43 del nostro codice privacy stabilisce che il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea è comunque consentito (a nulla rilevando, quindi, che tale Paese offra, o meno, un livello di protezione adeguato dei dati personali) quando: 

• l'interessato ha manifestato il proprio consenso espresso al trasferimento; se si tratta di dati sensibili, il consenso deve essere manifestato in forma scritta
• il trasferimento è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato
• il trasferimento è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21 del Dlgs 196/2003. Lo stesso Dlgs 196/2003 individua le seguenti ipotesi, se si rientra nell’ambito delle quali la disciplina sui trasferimenti all’estero non trova applicazione:
  • trattamenti per ragioni di giustizia effettuati presso uffici giudiziari di ogni ordine e grado, presso il Consiglio superiore della magistratura, gli altri organi di autogoverno ed il Ministero della giustizia (articolo 47)
  • trattamenti effettuati dal Centro elaborazione dati del Dipartimento di pubblica sicurezza o da forze di polizia sui dati destinati a confluirvi in base alla legge, ovvero da organi di pubblica sicurezza o altri soggetti pubblici per finalità di tutela dell’ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati, effettuati in base ad espressa disposizione di legge che preveda specificamente il trattamento (articolo 53)
  • trattamenti effettuati dai servizi segreti (CESIS, SISMI, SISDE), ovvero sui dati coperti da segreto di Stato
  • trattamenti effettuati da soggetti pubblici per finalità di difesa o di sicurezza dello Stato, in base ad espresse disposizioni di legge che prevedano specificamente il trattamento (articolo 58)
• trattamento necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo, diverso dal soggetto cui i dati personali si riferiscono
• trattamento necessario per la salvaguardia della vita o dell'incolumità fisica dell’interessato, che non sia in condizione di prestare il proprio consenso al trasferimento, per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere. Per potere effettuare il trasferimento, è in questo caso necessario ottenere il consenso da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato
• trattamento necessario ai fini dello svolgimento delle investigazioni difensive (di cui alla legge 397/2000) o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale
• trasferimento effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la materia
• trasferimento necessario per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico, o, al verificarsi di determinate condizioni, anche presso altri archivi privati
• trasferimento che avviene nell’ambito di un trattamento che concerne dati riguardanti persone giuridiche, enti o associazioni.

Una ulteriore ipotesi, se si rientra nell’ambito della quale la disciplina sui trasferimenti all’estero non trova applicazione, è quella in cui il trattamento avvenga per finalità giornalistiche o nel quadro di altre manifestazioni del pensiero (articolo 136 del Dlgs 196/2003).

Nei casi sopra esposti non occorre porre in essere alcun adempimento specifico, per trasferire i dati personali all’estero: nei casi in cui fosse opportuno, soprattutto nei rapporti tra imprese, si dovrebbe stipulare un contratto di trasferimento dei dati semplificato, in tutto e per tutto analogo alle bozze presentate nel primo capitolo.

L’argomento viene approfondito nel terzo capitolo del manuale.

================================================

L’articolo 25, paragrafo 6, della Direttiva 95/46/CE dà facoltà alla Commissione Ue di constatare che un determinato Paese terzo garantisca un livello di protezione adeguato, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona. Gli Stati membri sono, di conseguenza, tenuti ad adottare le misure necessarie, per conformarsi alla decisione della Commissione, con il risultato di esentare da vincoli e particolari formalità l’esportazione dei dati personali verso i Paesi terzi individuati.

La normativa comunitaria è stata recepita dal primo comma, lettera b) dell’articolo 44 Dlgs 196/2003, ai sensi del quale Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese terzo, è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato individuate con le decisioni previste dall’articolo 25, paragrafo 6, della direttiva 95/46/CE, con le quali la Commissione europea constata che un Paese terzo garantisce un livello di protezione adeguato.

L’applicazione della normativa in esame rende libere, allo stato attuale, le esportazioni di dati personali verso:

• Argentina, Canada, Guernsey, Isola di Man e Svizzera: l’argomento è approfondito dal quarto capitolo del manuale
• gli enti e le imprese statunitensi che aderiscono all’accordo denominato porto sicuro (safe harbor): l’argomento è approfondito dal quinto capitolo del manuale
• il Dipartimento per la sicurezza interna degli Stati Uniti, per il trattamento dei dati relativi ai passeggeri dei voli aerei in arrivo o in partenza dagli Stati Uniti: l’argomento è approfondito dal quinto capitolo del manuale.

Nel caso in cui si ritenesse opportuno, soprattutto nel rapporti tra imprese, stipulare un contratto di trasferimento dei dati, si puo' in genere utilizzare una forma semplificata analoga alle bozze presentate nel primo capitolo.

================================================

Per i casi diversi, da quelli sopra esaminati, l’articolo 26 della Direttiva 95/46/CE ha incaricato la Commissione Ue di studiare alcune clausole contrattuali, da pattuite tra l’esportatore dei dati personali ed il loro importatore residente in un Paese terzo, che potessero offrire garanzie sufficienti, per la tutela della privacy dei soggetti interessati.

La normativa comunitaria è stata recepita dall’articolo 44 del Dlgs 196/2003, la cui versione aggiornata (alla luce delle novità introdotte dal DL 112/2008) ha disposto che il Garante autorizzi il trasferimento dei dati, verso un Paese terzo, sulla base di adeguate garanzie per i diritti dell’interessato, che siano:

• individuate con le decisioni previste dall’articolo 26, paragrafi 2 e 4, della direttiva 95/46/CE, con le quali la Commissione europea constata che alcune clausole contrattuali offrono garanzie sufficienti. Le clausole contrattuali in esame, della cui versione italo/inglese si occupa il sesto capitolo del manuale, sono state ufficializzate dalle seguenti decisioni comunitarie:
  • Decisione 2001/497/CE e Decisione 2004/915/CE, che propongono due distinti insiemi di clausole, per i casi in cui l’esportatore e l’importatore di dati agiscono come soggetti indipendenti
  • Decisione 2002/16/CE, che introduce le clausole da utilizzare nel caso in cui l’importatore del Paese terzo tratti i dati su incarico dell’esportatore comunitario
• individuate mediante regole di condotta vincolanti (binding corporate rules) esistenti nell’ambito di società appartenenti ad un medesimo gruppo, della cui versione italo/inglese si occupa il settimo capitolo del manuale.

================================================

L’insieme degli strumenti sopra delineati offre agli esportatori un notevole ventaglio di possibilità, per trasferire lecitamente i dati fuori dal territorio dello Stato.

L’ultimo strumento a disposizione, di richiedere una specifica autorizzazione del Garante, deve quindi considerarsi di carattere residuale: dell’argomento di occupa l’ottavo capitolo del manuale.

================================================

Il nono capitolo tratta delle ipotesi in cui i trasferimenti sono vietati: esse sono di carattere residuale, poiché ricorrono solo nei casi in cui nessuna delle strade, cui si è sopra accennato nel corso della presente introduzione, risulti percorribile per l’esportatore.

L’eventuale violazione di tale divieto configura un trattamento illecito di dati, che è penalmente sanzionato, se dal fatto deriva nocumento, con la reclusione da uno a tre anni (articolo 167 comma 2 Dlgs 196/2003), nonché con la pena accessoria della pubblicazione della sentenza (articolo 172 comma 1).

Nota: i capitoli contenenti contratti e normativa in versione bilingue, italo/inglese, sono evidenziati in azzurro		Pag
1° Capitolo  I trasferimenti in ambito europeo		11
1	I tipi di clausole contrattuali	13
2	Il contratto da stipulare con soggetti indipendenti: prima tipologia	14
3	Il contratto da stipulare con soggetti indipendenti: seconda tipologia	19
4	Il contratto con le imprese incaricate del trattamento	26
2° Capitolo  L’adeguatezza del livello di protezione dei dati personali		32
1	In che cosa consiste una “tutela adeguata”	33
2	I principi di contenuto	33
3	I meccanismi di procedura/applicazione	35
3° Capitolo  I trasferimenti sempre consentiti		38
1	Consenso dell’interessato	39
2	Trasferimenti per ragioni contrattuali	40
3	Salvaguardia di un interesse pubblico rilevante	42
	1  Trattamenti per ragioni di giustizia	43
	2  Trattamenti da parte delle forze di polizia	44
	3  Difesa e sicurezza dello Stato	44
4	Salvaguardia dell’incolumità e della vita	44
5	Ragioni di giustizia	45
6	Accesso a documenti amministrativi ed a pubblici registri	46
7	Trattamenti per scopi scientifici, statistici o storici	48
8	Trattamenti per finalità giornalistiche e altre manifestazioni del pensiero	48
9	Dati riguardanti persone giuridiche, enti o associazioni	49
4° Capitolo  I Paesi terzi con un livello di protezione adeguato		50
1	Argentina	52
2	Canada	54
3	Guernsey	56
4	Isola di Man	58
5	Svizzera	59
5° Capitolo  La protezione adeguata negli Stati Uniti d’America		62
1	Le organizzazioni che aderiscono al safe harbor	63
	1  Autorizzazione del Garante al trasferimento dei dati verso gli USA - Safe Harbor	65
	2  Decisione della Commissione 2000/520/CE del 26 luglio 2000	66
2	I dati dei passeggeri dei voli con destinazione o partenza dagli USA	73
	1  Autorizzazione al trasferimento di dati personali dal territorio dello Stato all'Ufficio statunitense "Cbp"	74
	2  Decisione del Consiglio 2007/551/PESC/GAI del 23 luglio 2007	74
	3  L’informativa ai passeggeri	79
6° Capitolo  L’utilizzo delle clausole contrattuali		89
1	Premesse di carattere terminologico ed operativo	90
	1  Le diverse tipologie di clausole contrattuali	91
2	Le clausole per i rapporti tra soggetti indipendenti	93
	1  Autorizzazione al trasferimento dei dati verso Paesi senza adeguato livello di protezione	103
	2  Decisione della Commissione 2001/497/CE del 15 giugno	106
	3  Clausole contrattuali che costituiscono l’Insieme I – Decisione 2001/497/CE	111
	4  Clausole contrattuali che costituiscono l’Insieme II - Decisione 2004/915/CE	126
3	Le clausole per il caso in cui l’importatore è incaricato dall’esportatore	142
	1  Autorizzazione del Garante al trasferimento dei dati verso responsabili del trattamento	148
	2  Decisione della Commissione CE 2002/16/CE del 27 dicembre 2001	151
	3  Clausole contrattuali tipo - Incaricati del trattamento	154
7° Capitolo  I codici di condotta dei gruppi di società		165
1	La procedura per ottenere l’autorizzazione	168
2	Lo schema proposto dalla Commissione Ue	171
3	Il modello da presentare all’Autorità garante per chiedere l’autorizzazione	205
8° Capitolo  Le autorizzazioni specifiche del Garante		219
9° Capitolo  I trasferimenti vietati		221
10° Capitolo  La notifica dei trasferimenti al Garante		222
Allegati		225
Direttiva 95/46/CE del Parlamento europeo e del Consiglio		225
Decreto legislativo 30 giugno 2003, n. 196 – Codice in materia di protezione dei dati personali (Estratto)		272