|
Trasferimento di dati all’estero
e modelli contrattuali europei
 Rosario IMPERIALI
Una nuova sfida “privacy” per le imprese dell’Unione Europea
Lo scenario dei modelli organizzativi adottabili dalle aziende per il trasferimento dei dati all'estero - (cfr. CostoZero n. 7/2006) - ha evidenziato come la direttiva europea di riferimento (95/46/CE) imponga agli Stati membri un obbligo fondamentale in materia: provvedere affinché il trasferimento dei dati verso un determinato Paese "terzo" possa aver luogo soltanto se tale Paese garantisce un livello "adeguato" di protezione degli stessi.
Adeguatezza - Il giudizio di adeguatezza - rimesso alla Commissione UE per l'intero ambito comunitario o, volta per volta, alle Authority privacy dei singoli Stati membri interessati dal flusso - è, dunque, il canale principale di esportazione dei dati (e del modello europeo data protection) verso Paesi terzi, ma non l'unico. Ed infatti, la ristretta cerchia di Stati extra-UE finora giudicati idonei a garantire uno standard sufficiente di protezione dei dati personali (Argentina, Canada, Svizzera) ha indotto le istituzioni comunitarie ad una maggiore flessibilità: nell'obiettivo di attrarre nuove aree geografiche nell'orbita comunitaria del data protection, la stessa direttiva 95/46 prevede che gli Stati membri possano autorizzare il trasferimento di dati personali tra imprese anche verso Paesi terzi che non garantiscono un livello adeguato di tutela degli stessi. Ciò a condizione che sia predisposto un impianto di garanzie minime.
Clausole contrattuali - Tali garanzie possono essere costituite da apposite clausole contrattuali elaborate dalla Commissione secondo standard di tutela delle informazioni adeguati alle direttive UE ma recependo, al contempo, anche proposte e osservazioni provenienti dal mondo imprenditoriale del vecchio continente e dai suoi organismi rappresentativi come la Camera di commercio internazionale. L'obiettivo delle clausole contrattuali tipo è di facilitare i flussi di dati provenienti dal circuito comunitario, nel rispetto di un "nucleo duro" di protezione dei dati che le aziende europee - titolari del trattamento - possono impiegare contrattualmente nei rapporti di outsourcing con i loro partner su scala mondiale. Tali clausole possono originare un contratto autonomo di trasferimento dei dati, ovvero integrare il contratto principale che regola i rapporti commerciali fra le parti. In entrambi i casi, le imprese contraenti non possono modificare il contenuto delle clausole data protection, ma solo integrarle riempiendo gli spazi in bianco (ossia specificando finalità del trattamento, categorie di dati trasferiti, destinatari e soggetti interessati).
Tipologie di flussi - L'impiego di clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi presuppone, da parte delle aziende europee, un serio processo di assimilazione del modello organizzativo data protection. La prima tappa di questo processo consiste nel fissare preventivamente i ruoli privacy rivestiti da esportatore e importatore di dati: da tale definizione deriva, in primo luogo, la scelta dell'insieme di clausole adottabili e poi tutta una serie di conseguenze legate, soprattutto, al regime di responsabilità nei confronti delle persone interessate al trattamento. A tal riguardo, la Commissione distingue 2 set di clausole tipo, a seconda che le imprese contraenti si pongano come autonomi centri di potere decisionale sul trattamento dei dati (flussi Titolare/Titolare) ovvero siano legate da rapporti di gerarchia "transfrontaliera" (flussi Titolare/Responsabile).
Flussi Titolare/Titolare - Nel primo caso, il modello originario di contratto - adottato dalla Commissione con la decisione 497/2001 - prevede la responsabilità solidale tra esportatore e importatore per gli eventuali danni subiti dalle persone interessate in conseguenza dell'attività di trattamento dei dati: il soggetto leso potrà, a sua scelta, citare in giudizio l'esportatore o l'importatore a prescindere dall'esatta individuazione dell'autore della violazione e ovunque questa sia avvenuta. Una tale ampiezza di tutela per i soggetti interessati non ha incontrato il favore del mondo imprenditoriale, inducendo la Commissione UE a un mutamento di rotta avvenuto con la stesura di un nuovo assetto contrattuale per i trasferimenti Titolare/Titolare (decisione 915/2004): in esso, il regime di responsabilità è ispirato ad un maggiore equilibrio di posizioni tra aziende importatrici ed esportatrici, in modo che nessuno dei due contraenti sia più onerato rispetto all'altro. In particolare, nel caso in cui l'interessato lamenti un danno imputabile ad inadempienza dell'importatore dei dati non potrà agire direttamente nei confronti di questo, ma dovrà richiedere all'esportatore di tutelare i suoi diritti nei confronti dell'outsourcer inadempiente. Se l'azienda esportatrice non avvia azioni adeguate entro un termine ragionevole (normalmente, un mese) e persiste l'inadempienza dell'importatore, l'interessato potrà invocare la propria qualità di terzo beneficiario - secondo lo schema del contratto a favore di terzi - contro l'importatore, avviando l'azione dinanzi ai tribunali di un qualsiasi Stato membro.
Flussi Titolare/Responsabile - I flussi transfrontalieri che intercorrono tra soggetti appartenenti a una stessa "filiera" di trattamento - ad esempio quelli tra "casa-madre"europea e filiale situata in un paese terzo - presentano minori rischi ed esposizioni rispetto ai flussi tra autonomi titolari: l'area di trattamento da presidiare è omogenea, la sola legge regolatrice del contratto è quella dello Stato membro in cui ha sede l'esportatore e, infine, maggiormente definiti risultano anche gli obblighi dell'importatore che dovrà attenersi alle istruzioni impartite dal data exporter UE, compreso il profilo delle misure di sicurezza. Di conseguenza, il modello contrattuale UE (decisione 16/2002) prevede un unico centro di imputazione delle responsabilità data protection nell'azienda esportatrice, anche quando il danno sia dovuto ad inadempimento della filiale/importatore. Solo in un caso i soggetti danneggiati avranno azione diretta nei confronti dell'importatore: quando il data exporter abbia giuridicamente cessato di esistere o di svolgere la propria attività (ad es. sia fallito) o risulti irreperibile.
Conclusioni - L'analisi dei personal data export contracts evidenzia un nodo cruciale: solo un'impresa dotata di un modello organizzativo efficace è in grado di gestire gli oneri conseguenti all'esportazione dei dati in conformità al proprio ciclo continuo data protection. Un ciclo costituito da una chiara attribuzione di ruoli e responsabilità, da direttive e procedure condivise, da controlli periodici sull'operato di "responsabili" ed "incaricati", da momenti di verifica e confronto con gli outsourcer - nazionali o esteri - cui sono delegati segmenti di processi operativi aziendali. L'adozione del modello organizzativo "privacy" non rientra, dunque, nel campo delle libere opzioni ma in quello della vitale necessità per le imprese europee del mercato globale.
Avvocato - rosario.imperiali@imperiali.com
|
