ALLEGATO I

PRINCIPI DI APPRODO SICURO (SAFE HARBOR)
del dipartimento del commercio degli Stati Uniti, 21 luglio 2000
Il 25 ottobre 1998 è entrata in vigore la legislazione globale dell'Unione europea in tema di riservatezza dei dati personali, ossia la direttiva sulla protezione dei dati (nel seguito "la direttiva"). Tale documento dispone che i dati personali possano venir trasferiti solamente in paesi non appartenenti all'UE che garantiscano un livello "adeguato" di protezione della riservatezza. Per quanto Stati Uniti ed Unione europea condividano il principio di rafforzare la tutela della sfera privata dei rispettivi cittadini, gli Stati Uniti applicano un metodo diverso da quello adottato dall'Unione europea. Gli Stati Uniti si basano su un approccio settoriale costituito da una combinazione di legislazione, regolamentazione e autoregolamentazione. Viste le differenze, molte organizzazioni americane hanno manifestato incertezze sull'impatto dello standard UE di "adeguatezza" per quanto riguarda il trasferimento di dati personali dall'Unione europea agli Stati Uniti.
Per ridurre tale incertezza e inserire tali trasferimenti in un contesto normativo più chiaro, il Dipartimento del commercio sta provvedendo a pubblicare sotto la propria autorità statutaria questo documento e le Frequently Asked Questions ("i principi") al fine di incoraggiare, promuovere e sviluppare il commercio internazionale. I principi sono stati messi a punto in consultazione con l'industria e con il grande pubblico per facilitare gli scambi commerciali fra Stati Uniti ed Unione europea. Essi sono destinati unicamente ad organizzazioni americane che ricevono dati personali dall'Unione europea, al fine di permettere a tali organizzazioni di ottemperare al principio di "approdo sicuro" ed alla presunzione di "adeguatezza" che esso comporta. Giacché questi principi sono stati concepiti esclusivamente a tal fine una loro estensione ad altri fini può non risultare opportuna. I principi non possono sostituirsi alle disposizioni nazionali che recepiscono la direttiva applicabile al trattamento dei dati personali negli Stati membri.
La decisione di un'organizzazione di qualificarsi per l'approdo sicuro è puramente volontaria, e la qualifica può essere ottenuta in vari modi. Le organizzazioni che decidono di aderire a questi principi devono rispettarli al fine di ottenere e mantenere i vantaggi risultanti dall'approdo sicuro e devono dichiarare pubblicamente il loro impegno in tal senso. Si qualifica ad esempio un'organizzazione che aderisca ad un programma di tutela della riservatezza, messo a punto dal settore privato e tale da ottemperare ai principi in questione. Per qualificarsi le organizzazioni possono anche sviluppare proprie politiche in fatto di riservatezza dei dati personali, purché queste siano conformi ai principi indicati. Se un'organizzazione aderisce a un programma di tutela della riservatezza o sviluppa politiche proprie in questo senso, il mancato rispetto dei principi da parte sua è perseguibile in forza delle disposizioni contenute nella sezione 5 del Federal Trade Commission Act, che proibisce atti sleali e ingannevoli, o di disposizioni analoghe che proibiscano tali atti. (Si veda nell'appendice l'elenco degli organi statutari degli Stati Uniti riconosciuti dall'Unione europea.) Inoltre, anche le organizzazioni soggette a disposizioni (o a norme) legislative, regolamentari, amministrative o d'altro tipo che tutelino efficacemente la riservatezza dei dati personali possono compiere quanto necessario per godere dei vantaggi dell'approdo sicuro. In ogni caso, i vantaggi dell'approdo sicuro si applicano dalla data in cui le organizzazioni che desiderano qualificarsi notificano al Dipartimento del commercio o alle istanze da esso designate la propria adesione a tali principi a norma degli orientamenti illustrati nell'allegato sull'autocertificazione intitolato Frequently Asked Questions.
L'adesione a tali principi può essere limitata: a) se ed in quanto necessario per soddisfare esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia; b) da disposizioni legislative o regolamentari ovvero decisioni giurisdizionali quando tali fonti comportino obblighi contrastanti od autorizzazioni esplicite, purché nell'avvalersi di un'autorizzazione siffatta un'organizazione possa dimostrare che il mancato rispetto dei principi da parte sua si limita a quanto strettamente necessario per soddisfare i legittimi interessi d'ordine superiore tutelati da detta autorizzazione; oppure c) se la direttiva o la legislazione degli Stati membri rendono possibili eccezioni o deroghe, a condizione che tali eccezioni o deroghe si applichino in contesti comparabili. Coerentemente con l'obiettivo di una maggiore tutela della sfera privata le organizzazioni devono fare il possibile per attuare detti principi integralmente ed in modo trasparente, specificando nelle rispettive politiche in materia di tutela della sfera privata in quali casi saranno regolarmente applicate le eccezioni ammesse dal punto b). Per lo stesso motivo, quando i principi e/o la legislazione statunitense consentono tale scelta, le organizzazioni sono tenute a scegliere, per quanto possibile, la protezione più elevata.
Per ragioni pratiche o d'altro tipo le organizzazioni possono voler applicare i principi a tutte le loro attività d'elaborazione; l'obbligo di applicarli vale però soltanto per i dati trasferiti dopo la loro adesione all'approdo sicuro. Allo scopo di qualificarsi per l'approdo sicuro le organizzazioni non sono tenute ad applicare i relativi principi ad informazioni archiviate in sistemi a funzionamento manuale. Le organizzazioni che desiderino beneficiare dell'approdo sicuro per ricevere trasferimenti d'informazioni dall'UE archiviate in sistemi a funzionamento manuale devono applicare i principi a tutte le informazioni trasferite successivamente alla loro adesione all'approdo sicuro. Le organizazioni che desiderano estendere i benefici dell'approdo sicuro ad informazioni personali trasferite dall'UE e riguardanti le risorse umane nel contesto di un rapporto di lavoro lo devono menzionare nell'autocertificazione da trasmettere al Dipartimento del commercio o alle istanze da esso designate ed uniformarsi ai requisiti elencati nelle FAQ relative all'autocertificazione. Le organizzazioni devono essere in grado di fornire le garanzie richieste dall'articolo 26 della direttiva anche qualora, per garantire autonomamente la riservatezza dei dati, si servano dei principi in accordi scritti con terzi che trasferiscono dati dall'UE, una volta che la Commissione o gli Stati membri abbiano approvato le altre disposizioni relative a tali contratti modello.
La legislazione statunitense si applica a tutte le questioni riguardanti l'interpretazione e il rispetto dei principi dell'approdo sicuro (incluse le FAQ) nonché alle relative politiche di riservatezza delle organizzazioni che vi aderiscono, eccetto quelle che si sono impegnate a cooperare con le autorità europee di tutela dei dati. Salvo disposizioni contrarie, sono sempre applicabili i principi dell'approdo sicuro e le Frequently Asked Questions.
Per "dati personali" ed "informazioni personali" s'intendono dati e informazioni, riguardanti singoli individui (identificati od identificabili) cui si applichi la direttiva, che un'organizzazione statunitense riceve dall'Unione Europea e registra in qualsiasi forma.
NOTIFICA
Le organizzazioni devono informare i singoli individui in merito alle finalità per cui vengono raccolte e utilizzate le informazioni su di essi, alle modalità per contattare le organizzazioni in relazione ad eventuali quesiti o reclami, alla tipologia dei terzi a cui vengono fornite le informazioni, e infine ad opzioni e mezzi che le organizzazioni mettono a disposizione dei singoli individui per limitare l'utilizzazione e la rivelazione delle informazioni. Queste indicazioni vanno formulate in un linguaggio chiaro e in modo da attirare l'attenzione quando si tratti del primo invito a fornire informazioni personali alle organizzazioni rivolto ad una persona oppure non appena ciò risulti successivamente possibile, ma comunque prima che le organizzazioni utilizzino o rivelino per la prima volta a terzi tali informazioni per finalità diverse da quelle per le quali le informazioni stesse erano state originariamente raccolte(1).
SCELTA
Un'organizzazione deve offrire agli individui la possibilità di scegliere (facoltà di rifiuto) se le informazioni personali che li riguardano vadano a) rivelate a terzi(2), ovvero b) utilizzate per fini incompatibili con quelli per cui le informazioni stesse erano state originariamente raccolte o con quelli successivamente autorizzati dall'interessato. Agli interessati andranno forniti mezzi chiari, agevolmente riconoscibili in quanto tali, di rapida fruizione e di costo accettabile per esercitare la propria scelta.
Per le informazioni di carattere delicato (ossia informazioni personali concernenti condizioni mediche o sanitarie, origine etnica o razziale, opinioni politiche, credenze filosofiche o religiose, appartenenza a sindacati, o la vita sessuale dell'individuo), va data la possibilità di scelta affermativa o esplicita (facoltà di consenso) per quanto riguarda la possibilità che le informazioni in questione vengano rivelate a terzi od utilizzate per scopi diversi da quelli per cui esse erano state originariamente raccolte o da quelli successivamente autorizzati dagli interessati con l'esercizio della facoltà di consenso. Un'organizzazione è in ogni caso tenuta a considerare di carattere delicato qualsiasi informazione ricevuta da un terzo che la definisca e la consideri tale.
TRASFERIMENTO SUCCESSIVO
Le organizzazioni che comunicano informazioni a terzi devono applicare i principi di notifica e di scelta. Un'organizzazione che intende trasferire informazioni a terzi che agiscono in qualità di rappresentanti, come specificato nella nota, lo può fare a condizione di accertarsi prima che questi ultimi aderiscono ai principi dell'approdo sicuro, o rientrano nel campo d'applicazione della direttiva o di un'altra forma d'accertamento dell'idoneità, ovvero di stipulare con i terzi un accordo scritto che comporti per essi l'obbligo di offrire almeno lo stesso livello di protezione della riservatezza richiesto dai relativi principi. Un'organizzazione che ottemperi a tali prescrizioni non può essere ritenuta responsabile (salvo che non abbia concordato altrimenti) se i terzi, cui ha trasferito l'informazione, la elaborano secondo modalità contrarie a quanto imposto o dichiarato, a meno che l'organizzazione stessa non fosse od avesse dovuto essere a conoscenza del fatto che i terzi in questione avrebbero proceduto in tal modo e non abbia preso provvedimenti ragionevoli per impedire che ciò accadesse o porvi termine.
SICUREZZA
Le organizzazioni che detengono, aggiornano, utilizzano o diffondono informazioni personali devono prendere ragionevoli precauzioni per proteggerle da perdita ed abusi nonché da accesso, rivelazione, alterazione e distruzione non autorizzati.
INTEGRITÀ DEI DATI
Conformemente a questi principi le informazioni personali devono risultare pertinenti ai fini per cui sono state raccolte od a quelli successivamente autorizzati dagli interessati. Se ed in quanto necessario per tali fini un'organizazione deve prendere provvedimenti ragionevoli per garantire che i dati siano attendibili in funzione dell'uso che si prevede di farne, accurati, completi e aggiornati.
ACCESSO
Gli individui devono poter accedere alle informazioni personali che li riguardano in possesso di una data organizzazione, ed altresì poterle correggere, emendare o cancellare se ed in quanto esse risultino inesatte, salvo il caso specifico in cui l'onere o la spesa che tale accesso comporta siano sproporzionati ai rischi per la riservatezza degli interessati oppure vengano violati i diritti di persone che non siano i diretti interessati.
GARANZIE D'APPLICAZIONE
Per tutelare efficacemente la riservatezza dei dati personali occorre disporre meccanismi volti a garantire il rispetto dei principi, la possibilità di ricorso per gli individui cui si riferiscono i dati che vedano lesi i propri interessi dal mancato rispetto dei principi stessi, e la non impunità di un'organizzazione che non rispetti i principi. Nel novero di detti meccanismi devono rientrare come minimo: a) meccanismi di ricorso indipendenti, di pronto impiego e di costo accessibile, atti a consentire d'istruire e dirimere qualsiasi ricorso o contenzioso individuale grazie all'applicazione dei principi nonché di riconoscere gli indennizzi del caso laddove questa possibilità sia contemplata dalla legge o da iniziative del settore privato; b) procedure di controllo per verificare la veridicità di attestati e affermazioni rilasciati dalle organizzazioni riguardo alle proprie pratiche in fatto di riservatezza dei dati personali e l'effettivo rispetto degli impegni presi a questo proposito; e c) l'obbligo di rimediare ad eventuali problemi insorti in seguito al mancato rispetto dei principi da parte di organizzazioni che dichiarino di aderirvi, con precisazione delle conseguenze che ciò comporta per tali organizzazioni. Le sanzioni devono risultare sufficientemente rigorose da garantire il rispetto dei principi da parte delle organizzazioni.

(1) Non occorre informare l'interessato od offrirgli la possibilità di scelta quando le informazioni vengono trasmesse ad un terzo che agisce in qualità di rappresentante per eseguire uno o più compiti a nome dell'organizzazione ed obbedendo ad istruzioni da essa ricevute. A tali trasmissioni si applica per contro il principio del trasferimento successivo.
(2) Non occorre informare l'interessato od offrirgli la possibilità di scelta quando le informazioni vengono trasmesse ad un terzo che agisce in qualità di rappresentante per eseguire uno o più compiti a nome dell'organizzazione ed obbedendo ad istruzioni da essa ricevute. A tali trasmissioni si applica per contro il principio del trasferimento successivo.


Appendice

Elenco degli organi statutari degli Stati Uniti riconosciuti dall'Unione europea
L'Unione europea riconosce i seguenti organi amministrativi degli Stati Uniti come autorizzati ad esaminare le denunce e a ottenere provvedimenti inibitori di pratiche sleali o fraudolente nonchè l'indennizzo delle persone in caso di inosservanza dei principi applicati conformemente alle FAQ:
- Federal Trade Commission, in virtù delle attribuzioni che le sono conferite dalla sezione 5 del Federal Trade Commission Act;
- Department of Transportation, in virtù delle attribuzioni che gli sono conferite dal titolo 49 del United States Code, sezione 41712.