Imprese italiane ed export di dati personali. Indagine del Garante su 50 multinazionali. I dati più trasferiti, quelli dei lavoratori e dei clienti
Sono i dati
personali dei dipendenti l’oggetto prevalente dei trasferimenti di dati
all’estero effettuati dalle società. Seguono, in misura minore, ma sempre
rilevante, le informazioni relative a clienti, società concorrenti e fornitori.
Di regola i flussi di dati sono effettuati dopo aver acquisito lo specifico
consenso degli interessati. Quando la gestione delle risorse umane avviene negli
Stati Uniti, in alcune ipotesi le società che “importano†i dati personali
hanno aderito all’accordo del cosiddetto “Safe Harbor†(“Approdo sicuroâ€).
Diffusa la tendenza di predisporre contratti, anche “multilaterali†nel caso di
gruppi societari, da sottoporre al parere preventivo del Garante.
Questi in sintesi
i primi risultati emersi dal monitoraggio effettuato dell’Autorità sul
trasferimento dei dati all’estero da parte delle principali imprese italiane.
L’indagine a
carattere conoscitivo, effettuata presso 50 tra le principali società e gruppi
industriali che operano in Italia, ha preso in esame operazioni ed attività di
esportazione di dati con particolare riguardo al tipo di garanzie adottate per
tutelare i diritti degli interessati (cittadini, lavoratori, professionisti,
imprenditori ed altre società). Obiettivo dell’indagine quello di verificare,
dopo un esame preliminare del rispetto delle disposizioni nazionali e
comunitarie da parte di alcune importanti società che avevano inviato
comunicazioni o notificazioni sul trasferimento di dati all’estero, lo stato di
attuazione delle disposizioni sui flussi di dati all’estero, anche in vista di
un eventuale avvio di specifici accertamenti relativi a singole società.
Stati Uniti, (20%)
Asia, (14%) Europa dell’Est (13%) sono le principali destinazioni geografiche
dei trasferimenti di dati. Distaccati di poco America centro meridionale,
Africa, Svizzera e Medio oriente (12%). Nel 40% dei casi, i dati personali
oggetto di trasferimento all’estero riguardano principalmente dipendenti o
collaboratori, nel 26% clienti e nel 21% fornitori o partner commerciali. I
trasferimenti sono effettuati, per un 48% dei casi dopo aver acquisito il
consenso degli interessati o per l’adempimento di obblighi contrattuali (33%).
In alcune ipotesi (9%) di trasferimento di dati negli U.S.A., gli importatori
dei dati (società capogruppo o comunque collegate o controllate) hanno aderito
all’accordo sui principi del “Safe Harbor†o hanno prospettato tale possibilità
per il futuro, dichiarandosi in genere disponibili a cooperare con le Autorità
di vigilanza europee. Soltanto in un numero per ora limitato dei casi esaminati
(5%), le società interpellate hanno utilizzato le clausole contrattuali
standard indicate dalla Commissione europea, ma il dato è in continua
evoluzione considerato che risulta sempre più frequente l’utilizzazione di tale
strumento.
Nel 10% dei casi
esaminati si è riscontrata l’adozione da parte del gruppo societario di una
declaratoria sulla protezione dei dati (la cosiddetta “privacy policyâ€) e di
particolari misure di sicurezza e accorgimenti per la salvaguardia dei dati.
L’indagine si è
incentrata dunque sull’analisi dei presupposti, delle finalità e modalità del
trasferimento di dati all’estero, delle categorie di dati trasferiti e delle
persone interessate, degli estremi e delle attività dei soggetti importatori,
nonchè degli strumenti utilizzati per la tutela dei dati personali in rapporto
a ciascuna tipologia di trasferimento.
Va ricordato,
infatti che il trasferimento dei dati personali da parte di una società o di
una pubblica amministrazione europea è consentito, dalla normativa comunitaria
ed italiana, solo se il livello di protezione garantito dal Paese di
destinazione è adeguato. Si possono, invece, trasferire i dati verso Paesi che
non garantiscano tale livello di protezione solo con il consenso degli
interessati o sulla base di altri presupposti di liceità (esecuzione obblighi
derivanti da un contratto, salvaguardia della vita e dell’incolumità di un
terzo, investigazioni difensive etc.) oppure con l’autorizzazione dell’Autorità
per la privacy del Paese di partenza dei dati. Al di fuori di questi casi il
trasferimento è vietato.
Related Posts
Commento all'articolo