Un provvedimento d’urgenza vieta l’ulteriore diffusione di informazioni relative a bambini, vittime di un grave episodio di cronaca, a diverse testate giornalistiche e radiotelevisive che dovranno, a pena di sanzioni, attenersi ai principi richiamati nel provvedimento dell’Autorita’ (composta da Stefano Rodota’, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan): pur non essendo stata resa apertamente nota l’identita’ dei minori e dei genitori, i quotidiani avevano tuttavia pubblicato una molteplicita’ di informazioni tale da renderli comunque immediatamente riconoscibili, non solo all’interno della cerchia familiare, degli amici e dei conoscenti.

1. 
   
   Privacy e minori di M. Iaselli
   
   
2. 
   
   La rinotificazione entro il 30 aprile di A. Lisi
   
   
3. 
   
   Le esigenze di sicurezza internazionale di M. De Giorgi
   

Intoccabile per il Garante la privacy dei minori

 di Michele Iaselli

Larga parte delle informazioni e dei minuziosi dettagli riportati sono – ha sottolineato il Garante – assolutamente sovrabbondanti e non indispensabili a rappresentare la vicenda. La diffusione di queste informazioni contrasta quindi con il principio di essenzialita’ dell’informazione e viola quanto previsto dal Codice della privacy e dal Codice deontologico dei giornalisti.
La stessa diffusione della foto segnaletica dell’adulto, senza che sussistano necessita’ di giustizia e di polizia, ha reso ancora piu’ facile l’identificazione dei bambini e dei genitori.
Questo comportamento gia’ di per se’ illecito, assume una particolare gravita’ in considerazione del coinvolgimento di minori dei quali rischia di pregiudicare l’armonico sviluppo psicologico. E’ proprio per evitare tale rischio che l’ordinamento riconosce ai minori una tutela rafforzata, anche in presenza di un legittimo diritto di cronaca. Oltre a quanto previsto dalla normativa sulla privacy e dal  Codice di deontologia dei giornalisti, l’art.734 bis del codice penale (persone offese da atti di violenza sessuale), l’art.13 del nuovo processo penale minorile, la Carta di Treviso e la Convenzione dei diritti del fanciullo del 1989  precludono la possibilita’ di divulgare notizie o immagini che consentano l’identificazione, anche indiretta, dei minori.
L’Autorita’ Garante e’ stata costretta ad intervenire contro l’ennesima vicenda che vede violati dalla stampa i diritti di minori coinvolti in fatti di cronaca. Proprio in questo periodo dove si fa molta attenzione alla tutela del minore ed alla sua corretta formazione psicologica si assiste ancora ad ingiustificate aggressioni alla riservatezza di bambini giustificate solo ed esclusivamente da esigenze giornalistiche.

Come e’ noto il nuovo codice per la protezione dei dati personali all’art. 50 estende ai procedimenti giudiziari in materie diverse da quella penale il divieto di pubblicazione e divulgazione con qualsiasi mezzo di notizie o immagini idonee a consentire l’identificazione di un minore (art. 13 D.P.R. 22 settembre 1988, n. 448). Mentre l’art. 52 del codice al comma 5 prevede, nel caso di riproduzione di una decisione giudiziaria concernente minori, un divieto specifico in ordine ai quali non e’ consentito, anche in assenza della annotazione, la diffusione delle generalita’, di altri dati identificativi o di altri dati anche relativi a terze persone dai quali possa ricavarsi l’identita’ del minore.
Per non parlare poi dell’art. 7 del codice di deontologia dei giornalisti allegato al codice di protezione dei dati personali il quale prevede che al fine di tutelarne la personalita’, il giornalista non deve pubblicare i nomi dei minori coinvolti in fatti di cronaca, ne’ fornire particolari in grado di condurre alla loro identificazione. La tutela della personalita’ del minore si estende, tenuto conto della qualita’ della notizia e delle sue componenti, anche ai fatti che non siano specificamente reati. Il codice di deontologia specifica che il diritto del minore alla riservatezza deve essere sempre considerato come primario rispetto al diritto di critica e di cronaca; qualora, tuttavia, per motivi di rilevante interesse pubblico e fermo restando i limiti di legge, il giornalista decida di diffondere notizie o immagini riguardanti minori, dovra’ farsi carico della responsabilita’ di valutare se la pubblicazione sia davvero nell’interesse oggettivo del minore, secondo i principi e i limiti stabiliti dalla “Carta di Treviso”.
L’argomento della tutela del minore e’ sempre stato molto delicato ed importante e per la verita’ il Garante gia’ e’ intervenuto per il passato diverse volte con pareri del 28 maggio 2001 e del 15 novembre 2001 nei quali ricordava che il diritto di cronaca deve essere esercitato nel rispetto del principio dell’essenzialita’ dell’informazione sottolineando la necessita’ che il giornalista valuti, sotto la propria responsabilita’, l’oggettivo interesse del minore alla diffusione dell’informazione che lo riguarda, al fine di salvaguardarne la personalita’ e l’armonico processo di maturazione.
In particolare, anche, l’iniziativa o, comunque, il consenso del genitore non esime il giornalista dall’obbligo di verificare l’esistenza di un interesse oggettivo del minore alla diffusione delle informazioni che lo riguardano (art. 7, comma 3, del codice deontologico), interesse che la stessa Carta di Treviso considera allorche’ prevede la necessita’ di garantire l’anonimato dei minori quando i fatti di cronaca nei quali i minori medesimi sono coinvolti facciano riferimento a determinate situazioni familiari quali -ad esempio- affidamenti, adozioni, separazioni, divorzi etc.

Il riordino della normativa in tema di trattamento dei dati personali, avvenuta con l’entrata in vigore del cd. Codice della privacy, sta dando vita a piu’ di un problema tecnico – giuridico in ordine ai nuovi adempimenti cui sono tenuti i titolari del trattamento.
Svaniti gli entusiasmi dei primi commentatori che avevano visto nel T.U. sulla privacy la fonte cui attingere per ritrovare una tranquillita’ ormai dimenticata da anni, ci si e’ ritrovati tutti a fare i conti con una normativa in alcuni punti fin troppo nebulosa e foriera di dubbi e contrasti interpretativi.
Si pensi, in particolare, alle norme dedicate alla notificazione al Garante e alle molte conseguenze che sono derivate dalla lettura del combinato disposto degli artt. 37 e 181 del decreto legislativo 196/2003.
In sintesi, la dottrina si e’ chiesta se l’obbligo della notificazione debba essere ottemperato nuovamente anche da parte dei titolari che hanno gia’ effettuato la notificazione sotto il vigore della legge n. 675/96.

Rinotificazione entro il 30 aprile 2004? No, grazie!

 di Andrea Lisi
Corso Alta Formazione in Diritto&Economia del Commercio Elettronico Internazionale

La domanda e’ tra le piu’ complesse che si possa avere in tema di trattamento dei dati personali sia perche’ presuppone una chiave di lettura particolarmente approfondita delle norme in vigore, sia perche’, dalla soluzione che ad essa si da’, derivano conseguenze certamente di non poco conto per i titolari del trattamento tenuti a tale obbligo.
Ma procediamo con ordine. Si e’ tutti d’accordo nel ritenere la notificazione “una mera dichiarazione” invitata da parte del titolare del trattamento (sia esso un soggetto pubblico o privato) al Garante per la protezione dei dati personali per rendere noto a tale Autorita’ l’esistenza (rectius, l’inizio) di una sua attivita’ di trattamento di determinati dati personali.
Da questa premessa consegue una deduzione di cui si deve tenere conto: non bisogna confondere la notificazione con una richiesta di autorizzazione. Notificare altro non vuol dire che rendere noto, i latini in proposito avrebbero usato l’espressione notum  facere.
A questo punto si rende necessaria un’altra premessa generale sulla quale vi e’ altrettanta unita’ e concordia di veduta tra gli interpreti.
L’onere di ottemperare alla notificazione e’ oggi previsto solo per specifiche ipotesi e non gia’ in via generale: e’ questa, peraltro, una delle autentiche novita’ introdotte dal Codice della privacy.

Invero, dal dettato dell’art. 7 della ormai abrogata legge 675/96 fino ad arrivare all’art. 37 del decreto legislativo 196/03, l’obbligo della notificazione ha completamente mutato la sua fisionomia passando da ‘regola’ ad ‘eccezione’.
Nel corso degli anni – giova ricordarlo –  il Legislatore si e’ andato sempre piu’ adeguando a questo nuovo principio, recependo cosi’ le critiche da piu’ parti mosse al citato art. 7 della legge n. 675/96, emanando prima il decreto legislativo n. 255/97 e, poi, il decreto legislativo n. 467/01.
Con l’entrata in vigore del Codice della privacy, oggi sono tenuti ad effettuare la notificazione soltanto i titolari del trattamento che riguardi (art. 37):
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositivita’, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalita’ dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonche’ dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilita’ economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
Per quanto poi il Legislatore (art. 37, comma 2) rimetta al Garante sia la facolta’ di individuare nuove ipotesi in cui si renda necessaria la notificazione, sia quella di individuare, nell’ambito dei trattamenti sopra ricordati, eventuali ipotesi sottratte all’obbligo di notificazione, puo’ comunque dirsi che la norma di cui all’art. 37 vada interpretata in maniera rigorosa senza offrire letture estensive del suo dettato.

La notificazione, peraltro, deve essere effettuata una sola volta e prima dell’inizio del trattamento; una nuova notificazione e’ richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella medesima notificazione (art. 38).
A questo punto del nostro argomentare, tenendo fermi i punti innanzi precisati in ordine alla natura giuridica della notificazione (si tratta, lo ripetiamo, di una mera dichiarazione), ai casi in cui questo obbligo deve essere effettuato (art. 37, commi 1 e 2) e ai soggetti che vi sono tenuti (i titolari del trattamento), occorre sciogliere l’autentico nodo interpretativo sotteso al combinato disposto delle norme di cui agli articoli 37 e 181 del codice.
Ovvero, si tratta in pratica di chiarire se le imprese che abbiano gia’ effettuato la notificazione sotto il vigore della legge 675/96 debbano rieffettuarla alla luce del nuovo codice.
Sul punto, in realta’, da piu’ parti piovono risposte in senso positivo generalizzandosi cosi’ l’obbligo di (ri)notificare. Ma sono possibili altre letture?
Sembra opportuno, preliminarmente, riportare al fine di fare chiarezza uno stralcio della lettera della norma di cui all’art. 181 del codice.
Art. 181  – rubricato: “Altre disposizioni transitorie” – “1. Per i trattamenti di dati personali iniziati prima del 1 gennaio 2004, in sede di prima applicazione del presente codice: … c) le notificazioni previste dall’articolo 37 sono effettuate entro il 30 aprile 2004”.
Chi scrive ritiene di non doversi dare alla norma un peso eccessivamente rilevante nell’ottica delle disposizioni del codice non solo perche’, da un punto di vista formale, la stessa e’ solo una norma transitoria, ma anche perche’, dal punto di vista sostanziale, rappresenta una disposizione che introduce una vera e propria frattura nel sistema.
E’ innegabile in proposito che, sia sotto il vigore della legge 675/96 (art. 7), sia sotto il vigore del nuovo codice della privacy (art. 38), la notificazione preceda il trattamento dei dati personali.
Orbene, la lettera dell’art. 181 e’ piuttosto chiara nel permettere ai titolari dei trattamenti iniziati antecedentemente al primo gennaio 2004 di notificare (sempre se ricorrano i casi di cui all’art. 37) entro il successivo 30 aprile: si tratta quindi di una norma che fa eccezione al principio generale di cui al citato art. 38 e gia’ operante, lo si ripete, sotto il vigore della vecchia normativa.
A questo punto preleggi alla mano (art. 14), trattandosi di una “legge eccezionale” non puo’ che applicarsi nei soli “casi” e “tempi” previsti dalla legge stessa. Ed allora certamente non puo’ introdurre un generale principio di (ri)notificazione!
Ma vi e’ di piu’. La norma del richiamato art. 181 sembra anche essere affetta da una illogicita’ che ne compromette grandemente la portata: il riferimento e’ in particolare all’introduzione della data spartiacque del primo gennaio 2004.

E’ piuttosto illogico infatti che, ricorrendo sempre i casi di cui all’art. 37, chi abbia iniziato il trattamento prima di quella data (e, a pensarci bene, quanto prima?) abbia tempo per effettuare la notificazione fino al 30 aprile 2004 e chi abbia iniziato il trattamento a decorrere dal primo gennaio in poi o aveva gia’ preventivamente effettuato la notificazione (ed allora nulla quaestio) ovvero si deve aspettare presto un provvedimento sanzionatorio. Si tratta di conseguenze che fanno sorgere piu’ di qualche dubbio in ordine alla loro correttezza.
In realta’, coerenza giuridica, oltre che logica, imporrebbe che se debba essere sanzionato chi abbia iniziato il trattamento dei dati dopo il primo gennaio 2004, senza previa notificazione pur essendovi tenuto, altrettanto valga anche per chi abbia iniziato il trattamento prima (sia un solo giorno prima che  – perche’ no – uno o due anni prima…d’altronde non e’ forse vero che fino al 31 dicembre 2003 era in vigore la legge 675/96 che imponeva comunque la previa notifica?).
In conclusione, la norma dell’art. 181 puo’ essere letta come una sorta di “condono”, o “sanatoria”, nei confronti di quanti abbiano iniziato prima del 1° gennaio 2004 (quanto prima non lo sappiamo dire… probabilmente poco prima) il trattamento dei dati di cui all’art. 37 senza adeguarsi alla normativa della legge 675/96 (cui invece avrebbero dovuto fare riferimento)  confusi, per cosi’ dire, da un cambiamento epocale che stava per investire la materia del trattamento dei dati personali.
Ma il vero problema e’ capire se le imprese e i professionisti che (diligentemente e rispettando la legge 675/96) abbiano effettuato, a tempo debito (e cioe’ certamente prima del primo gennaio 2004) la notificazione oggi siano tenute, comunque, a ripetere tale adempimento e, quindi, diventa rilevante rispondere alla domanda se dalla norma dell’art. 181 si possa, o meno, evincere un principio generale.
E sul punto la risposta non puo’ che essere negativa, si tratta infatti di una norma transitoria e, come anticipato,  di portata eccezionale e in quanto tale, quindi, ontologicamente inidonea a sostenere validamente la tesi del generalizzato obbligo di rinotificazione.
Sul piano strettamente pratico – senza quindi alcuna disquisizione giuridica – la lettura proposta in questa sede imporrebbe al Garante di digitalizzare tutte le notifiche gia’ pervenutegli nel corso degli anni a suo esclusivo carico; al contrario l’opposta lettura che vorrebbe operante il principio generale della rinotificazione scaricherebbe tale costo sulle imprese e sui professionisti (peraltro tenuti a pagare diritti di cancelleria – 150 euro! –  e ad acquistare, se sprovvisti, delle smart card per dotarsi di firma digitale da apporsi obbligatoriamente alle nuove notificazioni).

Il tormentato tema del trasferimento dei dati personali all’estero da tempo anima il dibattito giuridico internazionale in tema di tutela nel trattamento di dati personali: “da una parte la strenua difesa del libero mercato, dall’altra le esigenze di tutela e garanzia di un diritto ormai “costituzionalizzato” a livello comunitario (si veda l’art. 8 della Carta UE) hanno determinato una tensione che rischiava di paralizzare le transazioni telematiche e gli sviluppi del commercio elettronico” [1].

Si ripropone lo scontro UE – USA nei voli transatlantici: la tutela privacy tra esigenze di sicurezza internazionale e diritti della persona

 di Maurizio De Giorgi
Corso Alta Formazione Diritto&Economia del Commercio Elettronico Internazionale

Le infinite tensioni intorno a questo tema, che vede contrapposte le due sponde dell’Atlantico, non sembrano proprio avere fine; anzi, la questione torna ad essere di attualita’ ed i toni dell’argomentare sono sempre piu’ accesi dopo che gli States hanno di recente incassato l’ennesimo “stop” (precisamente il terzo dopo quello dell’ottobre 2002 e del giugno 2003) da parte del “Gruppo dei Garanti Europei”  (che riunisce le Autorita’ Europee di protezione dei dati personali) per nulla disposto a sacrificare le ragioni dei cittadini europei in nome dell’esigenza di sicurezza nei voli fatta valere dagli Americani [2]. 
In realta’, lo scontro politico, oltre che giuridico, tra USA ed UE sul trasferimento dei dati all’estero, rappresenta una vicenda pendente da diversi anni essendosi dimostrate inutili e inefficaci alla soluzione del problema le lunghe negoziazioni politiche tra i due continenti, le quali hanno portato, si ricorda, all’adozione del cd. “Safe Harbor” (accordo sul “porto sicuro”), da parte degli Americani,  e delle “clausole contrattuali tipo”, da parte degli Europei [3].
Il problema, come tutti i piu’ “ingarbugliati” problemi transnazionali,  e’ nato (come gia’ riferito) da una questione di natura economica legata per lo piu’ alle transazioni commerciali internazionali telematiche (che rischiavano di rimanere irrimediabilmente paralizzate!) tra il vecchio e il nuovo mondo: il primo attento alla tutela dei diritti di singoli e collettivita’ rispetto ai propri dati personali, il secondo piu’ incline al principio del liberismo economico e delle leggi del mercato.
Ma dopo i fatti tragici dell’11 settembre molte cose sono cambiate anche con riferimento a questo specifico tema e molti equilibri gia’ di per se’ instabili si sono irrimediabilmente spezzati…

Il trasferimento dei dati personali all’estero, infatti, e’ divenuto una priorita’ legata alla sicurezza del popolo americano tanto che l’Amministrazione statunitense, temendo il compimento di nuovi atti terroristici con l’uso di aerei provenienti da altri Paesi, ha emanato alcune disposizioni normative atte a realizzare piu’ stringenti controlli sui passeggeri diretti verso gli USA.
Si pensi, in particolare, alle norme dell’Aviation and Trasportation Security Act che, tra l’altro, permettono alle dogane statunitensi la conoscenza e la lettura quasi immediata di tutti i dati personali dei passeggeri in volo per gli USA, essendo le compagnie aeree europee (e di tutto il resto del mondo) tenute a trasmettere detti dati al massimo entro un quarto d’ora dalla partenza dei velivoli. Tutto cio’ comporta evidentemente un enorme flusso internazionale di dati personali tra le due sponde dell’Atlantico!
In tal modo, all’Amministrazione americana e’ dato conoscere, di fatto, ogni tipo di informazione relativa ai passeggeri: dal giorno in cui effettuano la prenotazione al numero della carta di credito con cui e’ pagato il biglietto aereo e ai viaggi internazionali gia’ effettuati, dal credo politico all’origine razziale e allo stato di salute: dati, questi, letti e contestualmente archiviati dalle Agenzie federali per la sicurezza che operano in stretta sinergia con le stesse dogane.
Si tratta di un sistema di regole che, come e’ facile intuire, non puo’ certo dirsi conforme alla normativa europea la quale, anzi, vieta entro certi limiti la trasmissione dei dati personali verso Paesi – tra cui gli U.S.A. – che non ne assicurino un adeguato livello di tutela [4].
Ed infatti, lo stesso Parlamento di Strasburgo [5], sia pur dopo un acceso dibattito, il 13 marzo 2003, ha ritenuto illegittime le menzionate regole statunitensi con cio’ chiedendo alla Commissione di attivarsi perche’ le stesse siano sospese.
Ad oggi, il braccio di ferro tra gli Stati Uniti, da un lato, e il Gruppo europeo dei Garanti della privacy, dall’altro, va avanti gia’ da diverso tempo e i secchi e ripetuti “alto la’” da parte europea hanno imposto agli americani di rivedere le proprie posizioni, attenuando quell’intrusione che vorrebbero realizzare a danno della riservatezza dei cittadini europei.
Per quanto, infatti, negli ultimi mesi gli Stati Uniti abbiano compiuto passi in avanti verso un maggiore rispetto delle condizioni minime di sicurezza per i dati dei cittadini europei oggetto di trattamento da parte della loro amministrazione, oggi il sistema statunitense non puo’ dirsi ancora del tutto rispettoso dei principi generali previsti dalla direttiva 95/46/CE.

Sul banco degli imputati e’ finito, quindi, il cd. Passenger Name Record (PNR), ovvero quel documento contenente i molteplici dati personali dei passeggeri cui sopra si e’ detto e che gli USA chiedono alle compagnie di tutto il mondo di inviare in concomitanza con la partenza degli aerei ivi diretti.
Solo nel rispetto di precise garanzie puo’ darsi seguito, secondo il Gruppo dei Garanti europei della privacy, alle richieste statunitensi.
Le stesse potrebbero essere intese dalle compagnie aeree europee alla stregua di un “obbligo di legge”, purche’ l’Amministrazione statunitense, da parte sua, garantisca ai cittadini europei la possibilita’ di esercitare i propri diritti.
Il tutto, quindi, dovrebbe avvenire nel pieno rispetto dell’art. 8 della Convenzione Europea dei diritti dell’uomo e dell’art. 13 della Direttiva 95/46/CE, con la conseguenza di doversi attenere al cd. “principio di finalita’” e, cioe’, i dati presenti nel PNR potranno essere utilizzati esclusivamente per le finalita’ specificatamente indicate, ovvero per contrastare il terrorismo e gli specifici reati ad esso connessi. Al contrario non potranno essere utilizzati ne’ per contrastare “altre gravi forme di criminalita’”, espressione fin troppo evanescente e dagli incerti confini, ne’, in genere, per altre finalita’.
L’Amministrazione americana, inoltre, dovra’ assumersi impegni non solo politicamente vincolanti, come ad oggi intende fare, bensi’ giuridicamente vincolanti nel senso di permettere ai cittadini europei di far valere i propri diritti anche oltreoceano.
I dati raccolti nel PNF dovranno essere trattati nel rispetto dei seguenti principi generali e fondamentali (oltre al gia’ menzionato principio di finalita’): comunicazione dei dati solo a soggetti specificatamente indicati; trasmissione dei soli dati pertinenti alle finalita’ per le quali sono raccolti (principio di proporzionalita’); conservazione dei dati per un preciso e limitato periodo di tempo (gli USA avevano proposto, in una prima fase, ben sette anni poi ridotti a tre anni e sei mesi: un periodo, a giudizio del Gruppo, ancora fin troppo eccessivo e sproporzionato); divieto di trasmissione dei dati sensibili; possibilita’ per gli interessati di esercitare i propri diritti anche negli USA (diritto di accesso, rettifica…etc., conoscenza del titolare del trattamento, degli scopi del trattamento, etc.…); sicurezza nel trattamento (altro aspetto delicatissimo e di primaria importanza).
La via da percorrere per addivenire ad una soluzione definitiva del problema sembra essere ancora lunga. Trovare punti di contatto tra l’Amministrazione statunitense e il Gruppo dei garanti europei e’ cosa davvero ardua: si tratta di contemperare, da un lato, l’esigenza – certamente legittima – di maggiori garanzie di sicurezza nei voli internazionali e, dall’altro, il rispetto del diritto fondamentale della persona alla propria riservatezza, cosi’ da preservarla da indebite ed incontrollate intrusioni di terzi.

La mediazione politica dovra’ inoltre fare i conti con i risvolti giuridici ad essa connessi e dei quali sono paladini i Garanti dei diversi paesi dell’UE che nel loro ultimo intervento hanno correttamente fissato il perimetro all’interno del quale e’ possibile addivenire ad una soluzione concordata:
Sicurezza dal terrorismo si’, ma anche per i nostri preziosi dati personali!

[1] E. Elia “Trasferimento dati personali all’estero: USA-UE : due scuole di pensiero a confronto sulla privacy”, pubblicato su “La Pratica Forense”. Per un approfondimento si consiglia la lettura di M. De Giorgi, “Le problematiche relative al trasferimento dei dati personali all’estero”, in “La Privacy in Internet”, a cura di Andrea Lisi, Ed. Simone, 2003, p. 79.
[2] Newsletter del Garante italiano 26 gennaio – 1 febbraio 2004 acquisibile sul sito.
[3] L’accordo di “Safe Harbour” negoziato dall’Amministrazione Clinton nel corso del 2000 costituisce  il risultato di un lungo confronto tra USA e UE che ha sicuramente prodotto notevoli miglioramenti, seppur non pienamente soddisfacenti, sul testo originario (e, infatti, sia il Parlamento europeo sia le Autorità garanti dei 15 paesi avevano auspicato ulteriori modifiche al sistema). Questo accordo mirava ad assicurare ai cittadini europei, i cui dati personali, anche di tipo sensibile, dovessero essere trasferiti oltreoceano da aziende pubbliche o private , un livello di tutela “adeguato”, anche se non equivalente a quello previsto nei paesi dell’Unione. In particolare, tale accordo prevedeva l’adesione volontaria e non obbligatoria delle imprese americane ad un sistema basato su un primo nucleo di principi tratti dalla direttiva europea 95/46/Ce. Purtroppo solo una minima parte delle imprese statunitensi hanno concretamente risposto positivamente all’appello “Safe Harbour” e, conseguentemente, per non rischiare un black out totale dei trasferimenti negli Stati Uniti, si è dovuto provvedere diversamente: per i trasferimenti rivolti ad altri paesi od imprese statunitensi non aderenti ai principi del “Safe Harbour”, gli operatori italiani possono utilizzare le “clausole contrattuali tipo” indicate a livello europeo, facendole sottoscrivere chiaramente anche all’importatore dei dati (i modelli sono facilmente rinvenibili sul sito del Garante).
[4] In Italia si vedano gli artt. 42-45 del D. Lgs. 196/2003 (cd. Codice della privacy).
[5] Si veda la Newsletter del Garante della Protezione dei dati personali – n. 164 del 24 – 30 marzo 2003.

Scritto da