Dalla Newsletter del Garante per la protezione dei dati personali (17 – 23 settembre 2001)
——–
Germania. Poca chiarezza nella gestione dei dati su Internet
La nuova legge federale sulla protezione dei dati (Bundesdatenschutzgesetz) è in vigore ormai da quasi quattro mesi in Germania, essendo stata promulgata dal Bundestag il 23 maggio 2001.
La legge recepisce la direttiva europea sulla protezione dei dati personali (95/46/CE), ma a giudizio di molti non offre garanzie sufficienti rispetto ad alcuni rischi che corrono i consumatori nei rapporti con le imprese.
[…] due sono i problemi principali che, a giudizio di esperti e giuristi, suscitano le maggiori preoccupazioni.
Si tratta, da un lato, della possibilità che ditte in fallimento decidano di vendere le proprie banche dati al migliore offerente per ricavare ulteriori liquidità.
E’ un rischio reale, che negli USA è stato oggetto di sanzioni comminate dalla FTC nei confronti di società (come Toysmart o Craftshop) che svolgevano attività di commercio elettronico e, a seguito del fallimento, avevano successivamente deciso di rivendere i dati della clientela.
In questo caso l’approccio che l’autorità federale intende seguire consiste nel sensibilizzare le imprese sulla nuova normativa, segnalando la necessità di informare con chiarezza il cliente sulla natura del rapporto contrattuale che verrà ad instaurarsi.
E’ dunque necessario che le imprese informino la clientela e ne abbiano il consenso prima di comunicare ad altri i dati che la riguardano. […]
Il secondo punto dolente è rappresentato dai flussi di dati transfrontalieri, ossia dalla comunicazione di dati personali al di fuori dei confini dell’Unione europea.
La legge (modellata sulla direttiva) vieta alla filiale tedesca di una società americana di comunicare dati di clienti tedeschi alla società madre negli USA, o ad un altro soggetto in uno Stato terzo, "in assenza di un livello adeguato di protezione dei dati".
In questo caso le imprese possono aggirare l’ostacolo ricorrendo, ad esempio, a clausole contrattuali che vincolino il partner straniero al rispetto della normativa nazionale, e ottenendo il benestare dell’autorità federale di controllo rispetto a tali clausole. L’accordo di Safe Harbor raggiunto fra UE ed USA costituisce per l’appunto un modo di garantire che il trasferimento avvenga verso un "porto sicuro", ossia verso un soggetto che si è volontariamente impegnato a rispettare i criteri di protezione dati fissati dalla direttiva europea (e dalle leggi nazionali).
Tuttavia, anche in Germania si sottolinea come tale accordo rappresenti "una tigre senza zanne", giacché il rispetto delle sue clausole è frutto di una scelta volontaria delle imprese USA.
——–
A cura del Garante per la protezione dei dati personali
Il testo integrale dell’articolo è pubblicato sul sito ufficiale del Garante: www.garanteprivacy.it
indirizzo: http://www.garanteprivacy.it/garante/prewiew_paragrafo/1,1731,2660,00.html?sezione=128&PROVA=147&TITOLO=Newsletter+17+%2D+23+settembre+2001&ARTICOLO=1967&LANG=1&PAR=2659&SPAR=&LIV3=