HOME Articoli

Editoriali Possono essere trasferiti i dati personali degli italiani verso Paesi esterni all’U.E.?

Editoriali Pubblicato il 9 settembre 2013

Articolo di




> Editoriali Pubblicato il 9 settembre 2013

Il flusso transfrontaliero dei dati sulla privacy dei cittadini comunitari rischia di essere una delle più urgenti minacce del nuovo millennio: al momento non sembra esistano strumenti adeguati di difesa, se non una serie di norme che, all’atto pratico, possono essere facilmente aggirate.

 

Sapevate che uno dei motivi che potrebbero indurre una banca o una finanziaria a negarvi un finanziamento o un mutuo può farsi risalire al fatto che avete pagato con carta di credito o bancomat, con una certa frequenza, un albergo della vostra città? Ciò infatti, potrebbe essere un indice di infedeltà coniugale e chi è infedele, prima o poi, statisticamente si separa; e se si separa deve pagare gli alimenti. Per cui la sua capacità di far fronte ai debiti contratti verrà, nell’arco di poco tempo, presumibilmente dimezzata.

Questo e tanti altri sono indici di affidabilità economica che fuoriescono dagli strumenti tradizionali, come le Centrali rischi, che siamo abituati a conoscere e da cui, grazie anche alla legge sulla privacy, siamo ormai abituati a difenderci.

Il problema delle raccolte selvagge di dati, prive di regolamentazione, come quelle di World-Check, si intreccia strettamente con la disciplina di quello che, in gergo tecnico, viene definito “flusso transfrontaliero di dati”. Ci riferiamo cioè alla “fuga” delle informazioni sulle persone che possono toccare la loro privacy.

Lo scenario che si apre a questo punto conduce a un bivio:

La prima strada conduce i nostri dati verso un altro Paese dell’Unione Europea; in questo caso valgono le stesse regole previste in Italia. In altre parole si riesce comunque a tenere traccia di chi sia il titolare del trattamento [2] e si possono esercitare i diritti sia conoscitivi, sia applicativi riconosciuti all’interessato dal codice privacy [3].

La seconda via è quella verso Paesi non appartenenti all’Unione Europea. In tale caso, la legge [4] prevede che sia consentito il flusso di dati verso Paesi terzi, non appartenenti all’UE, nel caso in cui:

a) l’interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;

b) è necessario per l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato, ovvero per la conclusione o per l’esecuzione di un contratto stipulato a favore dell’interessato;

c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari [5];

d) è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato [6];

e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l’osservanza delle norme che regolano la materia;

g) è necessario, in conformità ai rispettivi codici di deontologia [7], per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico [8];

h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.

Orbene, alla luce di quanto appena visto, risulta evidente che il primo baluardo a difesa dei propri dati personali sia costituito proprio dal consenso che noi diamo al momento di sottoscrivere un contratto, spesso redatto tramite moduli o formulari.

La famosa “terza” firma della privacy, che banche, assicurazioni, finanziarie, operatori telefonici, catene di supermercati, erogatori di servizi vari, ci chiedono di apporre e che spesso con tanta leggerezza sottoscriviamo, è proprio quella che in virtù della lett. a), rende possibile, in maniera lecita, il trasferimento di dati verso paesi terzi.

Vi è poi, nel caso in cui si tratti di flusso transfrontaliero di dati verso paesi non UE, un’ulteriore procedura prevista sia dalla legislazione europea, sia da quella italiana.

Una direttiva comunitaria [9], che costituisce un po’ la “madre” di tutte le discipline europee dei dati personali, prevede che i dati personali possano essere trasferiti in un paese non appartenente all’Unione europea qualora il paese terzo garantisca un livello di protezione adeguato, il che equivale a dire che abbia una regolamentazione simile a quella europea, come ad esempio, la Svizzera.

In questo caso sarà il Garante della privacy a valutare l’adeguatezza: il nostro codice sulla privacy stabilisce [10] che il trasferimento di dati personali diretto verso un paese non appartenente all’Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato, individuate dall’Autorità anche in relazione a regole di condotta esistenti nell’ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia “Norme vincolanti di impresa” di seguito “Bcr”).

Ma che succede quando dall’Italia i nostri dati sono diretti verso paesi che non garantiscono un adeguato livello di protezione?

Ecco la terza strada, la più impervia e quella che pone maggiori problematiche.

La predetta direttiva europea individua [11] alcune deroghe, prevedendo anche che uno Stato membro possa autorizzare un trasferimento di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi.

Infatti, quando il trasferimento di dati avvenga dall’Italia verso un paese, non solo non europeo, ma che non garantisca neppure un livello adeguato di protezione, si pone l’ulteriore problema del riconoscimento e della reperibilità del titolare destinatario del trattamento.

È pur vero che ogni qualvolta vi sia un trasferimento di dati, si determina anche una duplicazione di titolari, per cui vi sarà un titolare del trattamento in Italia e uno, ad esempio, alle isole Cayman.

Ed è anche pur vero che il titolare italiano, qualora volesse passare le informazioni al secondo titolare, dovrebbe prima richiedere l’autorizzazione al Garante della privacy [12]. Non solo, ma il Garante [13] ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d’ufficio, vietare o disporre il blocco, nonché adottare gli ulteriori provvedimenti previsti dalla medesima.

Per di più [14], il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è vietato quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza [15].

Il problema quindi è quando le operazioni vengono svolte “sottobanco”, senza che ne resti traccia, senza chiedere autorizzazioni.

In questo caso è evidente, nel caso in cui venga scoperto il “traffico illecito di dati”, l’applicazione della normativa italiana che colpirà anzitutto il titolare cedente. italiano e prevede per la comunicazione illecita di dati la reclusione da uno a tre anni [16].

Se si riesce a individuare il server straniero nel quale i dati sono allocati.

avv. ELENA BASSOLI

note

[1] Decreto Legislativo 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, in G.U. n. 174 del 29 luglio 2003, s.o. n. 123.

[2] Ai sensi dell’art. 4 lett. f) del d. lgs. 196/2003 per Titolare del trattamento deve intendersi la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.

[3] Art. 7 cod. privacy

[4] Art. 43 codice privacy.

[5] Specificato o individuato ai sensi degli articoli 20 e 21 cod. privacy.

[6] Si applica la disposizione di cui all’articolo 82, comma 2.

[7] Di cui all’allegato A).

[8] Ai sensi dell’articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati.

[9] L’art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995.

[10] Art. 44, comma 1, lett. a), del nostro Codice privacy.

[11] Art. 26.

[12] In virtù dell’art. 44.

[13] Ai sensi dell’art. 154, comma 1, lett. a) e d) del Codice.

[14] Fuori dei casi di cui agli articoli 43 e 44.

[15] Cfr. art. 46 d. lgs. 196/2003.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:
Informativa sulla privacy

ARTICOLI CORRELATI

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI