|
I flussi transfrontalieri
di dati personali
 Riccardo IMPERIALI
Le imprese multinazionali e i diversi
modelli organizzativi di trasferimento
dei dati all’estero
Informazioni capaci di viaggiare oltre i confini nazionali: lo scambio di dati, anche personali, è il principale strumento di business in epoca di globalizzazione imperante.
Il mercato globale impatta anche sul fronte data protection. L'interdipendenza dei sistemi economici e sociali e lo sviluppo straordinario dei flussi di dati renderebbero necessarie regole condivise a livello internazionale. Tuttavia, il diritto internazionale non è ancora arrivato a dettare una disciplina uniforme dei Transborder Data Flows che risentono, inevitabilmente, del "braccio di ferro" tra paese esportatore e paese importatore dei dati.
Ultranazionalità - Il problema è di portata generale. Se un'azienda europea scambia quotidianamente informazioni - ad esempio sulla clientela estera o sul trattamento economico dei dipendenti - con una propria filiale negli Stati Uniti o, viceversa, una holding americana affida dati e processi aziendali in outsourcing ad una controllata europea si aprono due scenari contrapposti: da un lato, l'Unione Europea detta regole sul trasferimento dei dati all'estero che indirettamente impongono ai Paesi di destinazione di adottare sistemi di tutela e livelli di garanzia pari a quelli comunitari; dall'altro, normative nordamericane (come il Sarbanes Oxley Act) impongono alle aziende multinazionali modelli comportamentali che devono essere applicati anche nelle filiali del resto del mondo. Ne emerge una tendenza all'ultranazionalità dei modelli normativi statuali che tendono a vincolare le imprese multinazionali anche quando operano all'estero.
Contesto europeo - Il Vecchio Continente mantiene un atteggiamento più garantista, vietando il trasferimento di dati personali in Paesi dove essi non ricevono una protezione adeguata. Ciò al fine di impedire la nascita di "paradisi di dati" creati con l'obiettivo specifico di eludere le normative data protection. La valutazione di adeguatezza compete al Garante privacy di ogni singolo Stato UE, a meno che non sia compiuta, a monte e per l'intero ambito UE, dalla Commissione europea. Tuttavia, un blocco indiscriminato dei flussi verso Paesi "non adeguati" verrebbe a creare una situazione di stallo incompatibile con le esigenze della globalizzazione, considerazione che induce il nostro Garante ad affermare nella Relazione annuale, presentata il 7 luglio scorso, che «la protezione dei dati non deve mai trasformarsi in una barriera che divida l'Europa dal resto del mondo». Perciò la direttiva privacy (la 95/46) autorizza, a determinate condizioni, anche trasferimenti verso Paesi extra UE sprovvisti di un'adeguata tutela data protection.
Scelte possibili - I casi in cui il trasferimento è consentito si basano sull'impiego di diversi meccanismi di riequilibrio delle tutele: dal consenso degli interessati, ad apposite garanzie contrattuali rimesse al vaglio del Garante, ai set di clausole contrattuali "tipo" predisposte dalla Commissione europea e applicabili, come tali, in tutti gli Stati membri. La scelta dello strumento più adatto in materia di trasferimento di dati all'estero può essere efficacemente definita come "un'arte e non una scienza": non esiste infatti una soluzione "one size fits all". Le imprese dovranno scegliere tra diverse opzioni basandosi sulla natura delle proprie attività, sulle dimensioni dell'impresa, sul luogo delle operazioni, i tipi di dati che si trasferiscono, la valutazione dei rischi, l'esperienza ed altri fattori.
Consenso - Il trasferimento deve ritenersi consentito qualora i soggetti interessati abbiano prestato il loro consenso che, per la legge italiana, deve essere espresso o, se si tratta di dati sensibili, prestato in forma scritta. Il consenso ha l'indubbio vantaggio di evitare gli adempimenti richiesti contrattualmente ed è particolarmente utile nello scenario on line, dove il problema si risolve con un click sul tasto "I agree", ma non sempre è la soluzione migliore. Ad esempio, se il trattamento di dati concernente la gestione del personale è esternalizzato dalla casa-madre in una società satellite situata in un Paese extra UE, è opinabile che il consenso dei dipendenti al flusso transfrontaliero dei propri dati possa considerarsi realmente libero e spontaneo, come richiesto dalle norme privacy. Analogamente, il consenso può rivelarsi di difficoltosa gestione per l'azienda, qualora sia prestato da alcuni individui e negato da altri.
Contratti ad hoc - In alternativa al consenso, l'azienda UE che esporta dati personali, può stabilire una serie di garanzie data protection in un contratto stipulato con l'azienda importatrice. Tale contratto si differenzia dai modelli di "clausole tipo" coniati dalla Commissione, in quanto presenta un contenuto discrezionale che discende dall'autonomia negoziale delle parti e, per questo, necessita di un vaglio preventivo del Garante privacy nazionale. Questi dovrà sottoporre ad analisi le misure di garanzia proposte a livello contrattuale e deliberare in merito alla loro adeguatezza per la tutela dei diritti delle persone alle quali i dati si riferiscono. Secondo le direttive del Garante italiano, la richiesta di vaglio (autorizzazione) deve precisare tali garanzie, tenendo presente la legislazione in vigore nei Paesi destinatari dei dati, la natura dei trattamenti previsti all'estero, le relative finalità, la tipologia di dati e le misure di sicurezza.
Contratti standard - La Commissione europea ha approvato modelli di clausole contrattuali che presentano, per definizione, garanzie sufficienti per il trasferimento di dati personali. Le clausole stabiliscono che l'azienda destinataria utilizzi la stessa protezione utilizzata dall'azienda "mittente". Questo metodo flessibile dovrebbe permettere di condividere e scambiare dati, fornendo allo stesso tempo la certezza di un analogo livello di protezione. A differenza delle garanzie predisposte in contratti specifici tra gli operatori, queste clausole hanno già ricevuto a monte il visto di adeguatezza, per cui non c'è bisogno di presentarle all'Authority per ottenerne un'autorizzazione caso per caso. Nonostante questi benefici, finora, le clausole della Commissione non hanno incontrato il favore degli operatori economici, proprio in ragione del loro livello di protezione considerato eccessivamente oneroso per i Titolari.
Analizzeremo, nel dettaglio, lo scenario delle clausole standard nel prossimo intervento.
Avvocato -
riccardo.imperiali@imperiali.com
|
