I Garanti europei, riunitisi a Bruxelles sotto la presidenza di Stefano Rodota’, hanno deciso di approfondire l’analisi dell’Accordo “Safe Harbor” siglato nel 2000 fra gli USA e la Commissione Europea per consentire il trasferimento di dati personali verso imprese localizzate negli Stati Uniti, stato in cui non vi e’ ancora un grado di protezione normativa adeguata rispetto a quella prevista nel vecchio continente.

Pisa – Il transito delle informazioni, spesso relative a dati personali, costituisce ormai una necessita’ imprescindibile per il funzionamento del sistema economico globale. Per lo svolgimento della loro attivita’ le imprese hanno necessita’ di esportare dati da un paese all’altro nel modo piu’ semplice possibile, circostanza che spesso urta con il rispetto dei dati personali delle persone coinvolte nel trasferimento. Al fine di evitare la violazioni di questi fondamentali diritti, la direttiva europea e la legge italiana sulla privacy prevedono che il trasferimento di dati possa avvenire soltanto se il destinatario opera in un Paese che assicuri un adeguato livello di protezione della privacy ed e’ proprio in questo contesto che si inserisce la lunga e faticosa trattativa tra UE ed USA che ha portato all’Accordo c.d. “Safe Harbor”.

Il Safe Harbor Act e’ una sorta di contratto che deve servire a tutelare il trattamento dei dati di cittadini europei da parte di imprese statunitensi nell’ambito delle loro attivita’ commerciali, attraverso l’applicazione della normativa europea sulla privacy anche ad imprese USA che svolgono la loro attivita’ nei confronti di cittadini europei.

Le imprese o gli enti italiani che intendono trasferire informazioni di carattere personale ad un soggetto residente negli Stati Uniti devono pertanto accertarsi che l’operatore statunitense abbia aderito all’Accordo Safe Harbor, fermo restando l’obbligo della notificazione al Garante se non si rientra nei casi di esonero. L’adesione risulta da apposite autocertificazioni che le imprese americane sono tenute a presentare al Dipartimento del commercio o ad altri organi governativi competenti degli Stati Uniti. Per quanto riguarda i trasferimenti rivolti ad altri Paesi o ad imprese statunitensi non aderenti ai principi del Safe Harbor, gli operatori italiani possono utilizzare le clausole contrattuali-tipo indicate a livello europeo, facendole sottoscrivere anche all’importatore dei dati.

A loro volta le imprese americane, in base all’accordo Safe Harbor, hanno l’onere di non comunicare i dati di utenti europei a imprese o a soggetti residenti in Stati che non soddisfano i criteri di riservatezza e privacy richiesti dall’Unione Europea. In particolare, cio’ che l’Europa chiede agli USA e’ una protezione per i consumatori europei analoga a quella offerta dalla direttiva UE sulla protezione dei dati personali entrata in vigore il 25 ottobre 1998, che prevede una forma di controllo dell’utente sui dati che lo riguardano, fino alla possibilita’ di farli cancellare, il divieto di far commercio di questi dati e il blocco del flusso di questi ultimi verso quei Paesi che non offrono sufficienti garanzie di privacy.

Tuttavia, questo eccesso di rigore non sembra incontrare il favore degli americani quali fautori dell’autoregolamentazione e di un sistema di garanzie affidato alle stesse compagnie dell’e-commerce. Piuttosto, gli americani propongono la creazione di compagnie di liste “sicure” di cui gli europei possano fidarsi e di imporre sanzioni da far scattare ove vengano disattesi i principi di discrezione fissati. Non si manca di osservare che se una compagnia garantisce la protezione dei dati e poi non lo fa, questo negli Stati Uniti e’ considerato un reato grave e come tale va punito.

Da un rapporto stilato dalla Commissione europea risulta pero’ che il “Safe Harbor” non sembra funzionare al meglio, dato che le almeno 153 imprese americane aderenti all’accordo non garantirebbero la trasparenza nelle informazioni sulla gestione dei trasferimenti di dati oltreoceano.

Nel corso dell’incontro tenutosi a Bruxelles le Autorita’ garanti si sono riservate la possibilita’ di indicare alla Commissione eventuali provvedimenti necessari ed opportuni al fine di migliorare l’attuazione dell’Accordo. In particolare, il Gruppo di lavoro, traendo spunto sia dal documento pubblicato lo scorso febbraio dalla Commissione in cui, nel fare il punto sulle prime esperienze applicative, se ne evidenziavano lacune e punti, sia dall’esito della visita a Washington e dell’incontro con i rappresentanti dell’Amministrazione Bush, ha acquisito maggiore consapevolezza sulla necessita’ di disporre di informazioni piu’ approfondite ed aggiornate. L’obiettivo primario che ci si prefigge e’ quello di valutare come riuscire a superare le lacune esistenti in termini di prassi applicative, cosa che si rivela utile soprattutto in vista della possibile estensione dell’Accordo al altre tipologie di trattamento o ad altri Paesi.

A tal fine il Gruppo ha rivolto espressamente un invito a tutte le autorita’ perche’ queste forniscano entro il prossimo 31 ottobre, per il tramite delle Autorita’ nazionali di protezione dei dati e la Commissione europea, specifiche ed aggiornate informazioni sui seguenti punti:

– misure idonee ad incrementare la trasparenza del funzionamento dell’Accordo, in rapporto all’osservanza delle sue disposizioni da parte delle aziende che dichiarano di avervi aderito;

– ulteriori strumenti per verificare l’adesione all’accordo in connessione con l’eventuale perdita di benefici da esso derivanti in caso di inottemperanza allo stesso;

– misure necessarie per migliorare i meccanismi di risoluzione delle controversie.

Sulla base di tali informazioni, il Gruppo si e’ impegnato ad adottare in tempi rapidi un Parere con cui indicare alla Commissione profili utili rispetto alla valutazione complessiva sul funzionamento dell’Accordo.
Quello che emerge e’ un quadro sul quale pesano ancora numerose incertezze e l’unica speranza e’ che esse siano da attribuire, come sostiene la stessa Commissione, al periodo di “rodaggio” che il sistema sta attraversando.

Scritto da