Sono i dati personali dei dipendenti l’oggetto prevalente dei trasferimenti di dati all’estero effettuati dalle societa’. Seguono, in misura minore, ma sempre rilevante, le informazioni relative a clienti, societa’ concorrenti e fornitori.
Lo ha accertato l’Autorita’ Garante per la protezione dei dati personali a seguito di una indagine condotta su 50 multinazionali: di regola i flussi di dati sono effettuati dopo aver acquisito lo specifico consenso degli interessati.
In particolare quando la gestione delle risorse umane avviene negli Stati Uniti, in alcune ipotesi le societa’ che “importano” i dati personali hanno aderito all’accordo del cosiddetto “Safe Harbor” (“Approdo sicuro”).
Inoltre e’ diffusa la tendenza di predisporre contratti, anche “multilaterali” nel caso di gruppi societari, da sottoporre al parere preventivo del Garante.

Sono questi in sintesi i primi risultati emersi dal monitoraggio effettuato dell’Autorita’ sul trasferimento dei dati all’estero da parte delle principali imprese italiane.
L’indagine a carattere conoscitivo, effettuata presso 50 tra le principali societa’  e gruppi industriali che operano in Italia, ha preso in esame operazioni ed attivita’ di esportazione di dati con particolare riguardo al tipo di garanzie adottate per tutelare i diritti degli interessati (cittadini, lavoratori, professionisti, imprenditori ed altre societa’).
Obiettivo dell’indagine e’ stato quello di verificare, dopo un esame preliminare del rispetto delle disposizioni nazionali e comunitarie da parte di alcune importanti societa’ che avevano inviato comunicazioni o notificazioni sul trasferimento di dati all’estero, lo stato di attuazione delle disposizioni sui flussi di dati all’estero, anche in vista di un eventuale avvio di specifici accertamenti relativi a singole societa’.
Stati Uniti, (20%) Asia, (14%) Europa dell’Est (13%) sono le principali destinazioni geografiche dei trasferimenti di dati. Distaccati di poco America centro meridionale, Africa, Svizzera e Medio oriente (12%).
Nel 40% dei casi, i dati personali oggetto di trasferimento all’estero riguardano principalmente dipendenti o collaboratori, nel 26% clienti e nel 21% fornitori o partner commerciali.
I trasferimenti sono effettuati, per un 48% dei casi dopo aver acquisito il consenso degli interessati o per l’adempimento di obblighi contrattuali (33%).
In alcune ipotesi (9%) di trasferimento di dati negli U.S.A., gli importatori dei dati (societa’ capogruppo o comunque collegate o controllate) hanno aderito all’accordo sui principi del “Safe Harbor” o hanno prospettato tale possibilita’ per il futuro, dichiarandosi in genere disponibili a cooperare con le Autorita’ di vigilanza europee.

Soltanto in un numero per ora limitato dei casi esaminati (5%), le societa’ interpellate hanno utilizzato le clausole contrattuali standard indicate dalla Commissione europea, ma il dato e’ in continua evoluzione considerato che risulta sempre piu’ frequente l’utilizzazione di tale strumento.
Nel 10% dei casi esaminati si e’ riscontrata l’adozione da parte del gruppo societario di una declaratoria sulla protezione dei dati (la cosiddetta “privacy policy”) e di particolari misure di sicurezza e accorgimenti per la salvaguardia dei dati.
L’indagine si e’ incentrata dunque sull’analisi dei presupposti, delle finalita’ e modalita’ del trasferimento di dati all’estero, delle categorie di dati trasferiti e delle persone interessate, degli estremi e delle attivita’ dei soggetti importatori, nonche’ degli strumenti utilizzati per la tutela dei dati personali in rapporto a ciascuna tipologia di trasferimento.

Va ricordato, infatti che il trasferimento dei dati personali da parte di una societa’ o di una pubblica amministrazione europea e’ consentito, dalla normativa comunitaria ed italiana, solo se il livello di protezione garantito dal Paese di destinazione e’ adeguato.
Si possono, invece, trasferire i dati verso Paesi che non garantiscano tale livello di protezione solo con il consenso degli interessati o sulla base di altri presupposti di liceita’ (esecuzione obblighi derivanti da un contratto, salvaguardia della vita e dell’incolumita’ di un terzo, investigazioni difensive etc.) oppure con l’autorizzazione dell’Autorita’ per la privacy del Paese di partenza  dei dati.
Al di fuori di questi casi il trasferimento e’ vietato.
Il trasferimento dei dati personali all’estero e’ disciplinato dal Codice in materia di protezione dei dati personali agli artt. 42. 43, 44, 45.
In particolare l’art. 42 disciplina il trasferimento dei dati personali all’interno dell’Unione Europea e stabilisce che le disposizioni del Codice non possono essere applicate in modo da restringere o vietare la libera circolazione dei dati personali fra gli Stati membri dell’Unione Europea, fatta salva l’adozione, in conformita’ allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati per eludere le stesse disposizioni.
Una prima dottrina (ATELLI) ha interpretato la norma come una sorta di abilitazione per eventuali iniziative comunque devolute alla competenza di organismi non titolari della potesta’ legislativa.
La direttiva 95/46/CE non esamina nello specifico la fattispecie in esame in quanto parte dal presupposto esplicitato al Considerando 9 che data la protezione equivalente derivante dal ravvicinamento delle legislazioni nazionali, gli Stati membri non potranno piu’ ostacolare la libera circolazione tra loro di dati personali per ragioni inerenti alla tutela dei diritti e delle liberta’ delle persone fisiche, segnatamente del diritto alla vita privata.

L’art. 43 disciplina i trasferimenti di dati personali consentiti in paesi terzi e riprende quanto previsto dall’art. 28, 1° comma e 4° comma della legge 675/96 (con esclusione per quest’ultimo comma della lett. g) e dall’art. 26, comma 2, della legge 675/96.
Un’importante novita’ rispetto alla precedente disposizione normativa di riferimento e’ comunque rappresentata da un ulteriore semplificazione del sistema del trasferimento dei dati verso paesi non appartenenti all’Unione europea, con l’esclusione dell’obbligo di notificare specificamente al Garante il trasferimento dei dati (l’obbligo e’ adempiuto, una tantum, con l’unica notifica eventualmente dovuta ai sensi dell’art. 37) e dalla conseguente soppressione dell’obbligo di attendere il decorso del termine originariamente prima di poter procedere al trasferimento dei dati (art. 28, comma 2, l. n. 675/1996).
La disposizione in esame cerca, inoltre, di assicurare la piena simmetria della disciplina del trattamento dei dati personali effettuato a fini di trasferimento dei dati all’estero con quella relativa al trattamento sul territorio nazionale ( 1° comma, lett. b) e d)).
Queste novita’ introdotte dal codice appaiono piu’ coerenti con la stessa disciplina dettata dalla direttiva 95/46/CE che all’art. 25 sancisce il principio secondo il quale il trasferimento di dati personali da uno Stato membro verso un paese terzo puo’ aver luogo “soltanto a condizione che quest’ultimo garantisca un livello di protezione adeguato”.
L’art. 44 del Codice riproduce piuttosto fedelmente quanto previsto dall’art. 28, comma 4, lett. g) della legge 675/96 prevedendo ulteriori trasferimenti di dati personali verso paesi non appartenenti all’Unione Europea consentiti in quanto autorizzati dal Garante sulla base di adeguate garanzie per i diritti dell’interessato: individuate dal Garante stesso anche in relazione a garanzie prestate con un contratto oppure individuate con le decisioni previste dagli artt. 25, paragrafo 6 e 26, paragrafo 4 della direttiva 95/46/CE (gia’ esaminate nel commento all’art. 43) con le quali la Commissione europea constata che un paese non appartenente all’Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.
Infine l’art. 45 del Codice riprende quanto previsto dall’art. 28, comma 3, della legge 675/96 ed e’ se vogliamo anche una logica conseguenza di quanto disciplinato dalle disposizioni precedenti del codice e di quanto previsto dalla direttiva 95/46/CE.

E’ quindi la norma di chiusura in materia di trasferimento all’estero dei dati secondo la quale fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, e’ vietato quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato.

Scritto da