Italia
Avv. Donatella Boccali
Il codice della privacy regola il trasferimento dei dati personali all¿estero negli articoli 42 e seguenti. Il Dlgs 196/2003 distingue tre fattispecie:
a) i trasferimenti all¿interno dell¿Unione europea;
b) i trasferimenti consentiti in Paesi terzi;
c) i trasferimenti vietati.
Secondo l¿art. 42 del Dlgs 196/2003 le disposizioni del codice non possono essere applicate in modo da restringere o vietare la libera circolazione dei dati personali fra gli Stati membri dell¿Unione europea, fatta salva l¿adozione, in conformità allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati per eludere le stesse disposizioni.
L¿art. 43, sui trasferimenti in Paesi terzi, ricalca in larga misura quello dell¿art. 28 della legge 675/1996. Tra le novità si segnala:
la caducazione del previgente obbligo di preventiva notificazione del trasferimento al Garante, momento dal quale decorreva lo spatium temporis utile per il trasferimento. Con l¿avvento del codice della privacy il trasferimento (fatta eccezione per i casi regolati dall¿art. 44) rimane legato, sul piano della liceità sostanziale, alla ricorrenza dei presupposti richiesti dalla legge;
dal raffronto tra le formulazioni delle lettere a) e c) dell¿articolo 43 sembrerebbe trarsi la conclusione che la norma scritta valga a consentire il trasferimento, in alternativa al consenso espresso, solo ove si tratti di dati sensibili, e non più anche ove si tratti di dati ¿giudiziari¿;
la lettera d) dell¿art. 43 distingue le condizioni di legittimità del trattamento a seconda che l¿intervento di salvaguardia riguardi un terzo oppure l¿interessato, e diversamente dal passato la norma richiede il consenso;
la lettera e) dell¿art. 43 ripropone la disposizione già contenuta nell¿art. 28, comma 4, lettera d), l. 675/1996, anche se diversamente dal vecchio testo, il nuovo, nell¿autorizzare i trattamenti occorrenti per finalità di investigazione o di difesa, vincola i titolari a effettuarli nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
la lettera f) dell¿art. 43 stabilisce che il trasferimento è consentito anche quando sia effettuato in accoglimento di una richiesta rivolta alle amministrazioni pubbliche;
la lettera g) dell¿art. 43 consente il trasferimento se necessario per esclusivi scopi scientifici o statistici o storici (in quest¿ultimo caso presso archivi privati) purché venga effettuato in conformità ai codici deontologici di cui all¿allegato A del codice;
la lettera h) dell¿art. 43 si limita a riprodurre il disposto dell¿art. 26, comma 2, della legge 675/1996.
Oltre a questi trasferimenti ve ne sono altri per la cui liceità è richiesta l¿autorizzazione del Garante.
L¿art. 44 del codice dispone che il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all¿Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell¿interessato:
individuate dal Garante anche in relazione a garanzie prestate con un contratto;
individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26 paragrafo 4, della direttiva 95/46/Ce del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente all¿Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.
Per quanto concerne il ruolo del Garante, l¿art. 44, comma 1, lett. a), legittima in via espressa un doppio intervento dell¿Autorità: in sede di autorizzazione al trasferimento, e in sede di individuazione delle adeguate garanzie per i diritti dell¿interessato anche in relazione a garanzie prestante con un contratto.
La norma di chiusura in materia di trasferimento all¿estero di dati è contenuta nell¿art. 45 del codice, il quale dispone che, fuori di casi di cui agli artt. 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all¿Unione europea, è vietato quando l¿ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato, da valutarsi tenendo conto anche delle modalità del trasferimento e dei dati e delle misure di sicurezza.
Recentemente la Corte di giustizia delle Comunità europee (sentenza 6 novembre 2003 ¿ Causa C-101/01) è stata chiamata a pronunciarsi sull¿interpretazione della direttiva del Parlamento europeo e del Consiglio n. 95/46/Ce, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Queste questioni sono state sollevate nell¿ambito di un procedimento penale contro una cittadina svedese, imputata di aver violato la normativa nazionale relativa alla protezione dei dati personali, perché ha pubblicato nel suo sito Internet dati personali riguardanti un certo numero di persone che lavorano, come lei, in qualità di volontari in una parrocchia della Chiesa protestante di Svezia. La signora ha inoltre descritto le mansioni di colleghi e le loro abitudini nel tempo libero; in molti casi era descritta la loro situazione familiare ed erano indicati i recapiti telefonici e altre informazioni. Dell¿esistenza di queste pagine la signora non aveva informato i suoi colleghi, né aveva chiesto il loro consenso, né aveva dichiarato di averle realizzate alla Datainspektion (organismo pubblico per la tutela dei dati trasmessi per via informatica).
La signora è stata sottoposta a procedimento penale per avere:
a) sottoposto a trattamento automatizzato taluni dati senza prima di informarne per iscritto la Datainspektion;
b) trattato senza autorizzazione dati personali sensibili;
c) trasferito verso paese terzi dati personali sottoposti a un trattamento non autorizzato.
Le informazioni che si trovano su Internet possono essere consultate da un numero indefinito di persone residenti in molteplici luoghi e in qualsiasi momento.
L¿art. 25 della direttiva 95/46 predispone un regime speciale che mira a garantire un controllo da parte degli Stati membri sui trasferimenti di dati personali verso i paesi terzi: impone agli Stati membri ed alla Commissione vari obblighi di controllo sui trasferimenti di dati personali verso i paesi terzi, tenuto conto del livello di protezione concesso a questi dati in ciascuno di tali paese. In particolare, qualora la Commissione constati che un paese terzo non garantisce un livello di protezione adeguato, gli Stati membri adottano le misure necessarie per impedire ogni trasferimento di dati personali verso il paese terzo in questione.
La Corte di giustizia delle Comunità europee ha stabilito che l¿inserimento in una pagina Internet di dati personali da parte di una persona che si trovi in uno Stato membro costituisce un trattamento di dati personali interamente o parzialmente automatizzato ai sensi dell¿articolo 3, n. 1, della direttiva Ce n. 95/46, nel cui ambito di applicazione, pertanto, ricade. Questa operazione non si traduce in un trasferimento verso un paese terzo di dati (articolo 25) per il solo fatto di rendere i dati stessi accessibili a chiunque si colleghi a Internet. Non è quindi necessario accertare se una persona di un paese terzo abbia avuto accesso alla pagina Internet di cui trattasi o se il server di tale fornitore si trovi fisicamente in un paese terzo.
Le disposizioni della direttiva n. 95/46 non determinano una restrizione di per sé incompatibile con la libertà di espressione, come garantita, tra l¿altro, dall¿articolo 10 del Cedu, ma spetta alle autorità e ai giudici nazionali ricercare il giusto equilibrio tra la libera circolazione dei dati personali, la tutela della vita privata e la libertà di espressione.
Secondo la Corte :¿I meccanismi che consentono di conciliare questi diversi diritti e interessi sono contenuti, in primo luogo, nella stessa direttiva 95/46, in quanto essa prevede norme che determinavano in quali situazioni ed in qual misura il trattamento dei dati personali è lecito e quali salvaguardie devono essere previste. In secondo luogo, essi risultano dall¿adozione, da parte degli Stati membri, di disposizioni nazionali che garantiscono la trasposizione di tale direttiva e dall¿eventuale applicazione di queste da parte delle autorità nazionali. E¿ quindi nella fase dell¿attuazione sul piano nazionale della normativa che traspone la direttiva 95/46 in singoli casi di specie che deve essere trovato un giusto equilibrio tra i diritti e gli interessi di cui trattasi¿.
Sempre secondo la Corte:¿Incombe alle autorità e ai giudici degli Stati membri non solo interpretare il loro diritto nazionale in modo conforme alla direttiva 95/46, ma anche provvedere a non fondarsi su un¿interpretazione di quest¿ultima che entri in conflitto con i diritti fondamentali tutelati dall¿ordinamento giuridico comunitario o con gli altri principi generali del diritto comunitario, come ad esempio, il principio di proporzionalità¿.
Spetta alle autorità e ai giudici nazionali incaricati di applicare la normativa interna che traspone la direttiva 95/46 garantire il giusto equilibrio tra i diritti e gli interessi in gioco, ivi compresi i diritti fondamentali tutelati dall¿ordinamento giuridico comunitario. Come scrive la Corte: ¿ Le misure adottate dagli Stati membri per garantire la protezione dei dati personali devono essere conformi tanto alle disposizioni della direttiva 95/46 , quanto al suo obiettivo, consistente nel mantenere un equilibrio tra la libera circolazione dei dati personali e la tutela della vita privata. Per contro, nulla impedisce che uno Stato membri estenda la portata della normativa nazionale di attuazione della direttiva 95/46 a settori non compresi nell¿ambito di applicazione di quest¿ultima, qualora non vi osti alcun¿altra disposizione del diritto comunitario¿.