ALLEGATO II

DOMANDE PIÙ FREQUENTI (FAQ)
FAQ 1 - Dati sensibili
D: Un'organizzazione deve sempre fornire una scelta esplicita (opt-in choice) in relazione a dati sensibili?
R: No, tale scelta non è prescritta quando l'elaborazione dei dati in questione abbia luogo: 1) nel vitale interesse del diretto interessato o di un'altra persona; 2) per fini connessi alla necessità di far valere un diritto o presentare una difesa in tribunale; 3) per necessità connesse all'assistenza sanitaria a fini diagnostici; 4) nell'ambito delle attività legittime di una fondazione, di un'associazione o di qualsiasi altra organizzazione senza fini di lucro con finalità politiche, filosofiche, religiose o sindacali, a condizione che l'attività d'elaborazione riguardi unicamente i membri di tale organizzazione o le persone che sono in regolare contatto con essa nel perseguimento delle sue finalità, e che i dati non vengano rivelati a terzi senza il consenso dei diretti interessati; 5) per adempiere agli obblighi che competono ad un'organizzazione in forza della vigente legislazione sul lavoro; ovvero 6) in riferimento a dati resi manifestamente pubblici dal diretto interessato.
FAQ 2 - Eccezioni giornalistiche
D: Tenuto conto della tutela che la costituzione statunitense garantisce alla libertà di stampa nonché dell'esenzione accordata dalla direttiva al materiale giornalistico, i principi dell'"approdo sicuro" si applicano anche alle informazioni di natura personale raccolte, conservate o divulgate per scopi giornalistici?
R: Laddove il diritto alla libertà di stampa, sancito dal primo emendamento della Costituzione statunitense, interferisca con gli interessi legati alla protezione della sfera privata l'equilibrio tra gli interessi in causa è disciplinato dal primo emendamento per quanto riguarda le attività di persone od organizzazioni statunitensi. Indipendentemente dal fatto che se ne faccia o no impiego, non sottostanno alle prescrizioni in tema di "approdo sicuro" le informazioni personali raccolte per pubblicazioni, trasmissioni radiotelevisive od altre forme di comunicazione pubblica di materiale giornalistico, e neppure quelle rinvenute in materiale già pubblicato e divulgate a partire da archivi pubblici.
FAQ 3 - Responsabilità accessoria
D: A norma dei principi dell'"approdo sicuro" gli ISP (Internet Service Providers - fornitori di servizi su Internet), i vettori di telecomunicazioni od altre organizzazioni sono giuridicamente responsabili quando per conto di un'altra organizzazione essi semplicemente trasmettono, indirizzano, commutano od archiviano temporaneamente informazioni tali da violare detti principi?
R: No. Né la direttiva né l'"approdo sicuro" creano responsabilità accessorie. Un'organizzazione non può venir ritenuta giuridicamente responsabile se ed in quanto essa agisce puramente e semplicemente da tramite per dati personali trasmessi da terzi e non determina finalità e mezzi dell'elaborazione di tali dati.
FAQ 4 - Attività bancarie d'investimento e revisori contabili
D: Le attività dei revisori contabili e dei funzionari di banche d'investimento possono comportare l'elaborazione di dati personali senza il consenso o la conoscenza degli interessati. In quali circostanze i principi di informativa, scelta e accesso consentono questo tipo di elaborazione dei dati?
R: I funzionari di una banca d'investimento od i revisori contabili possono elaborare informazioni senza che l'interessato ne sia a conoscenza solo se ed in quanto ciò sia necessario a soddisfare prescrizioni di legge o esigenze di interesse pubblico, oppure in altre circostanze in cui l'applicazione dei principi pregiudicherebbe i legittimi interessi aziendali. Fra tali interessi rientrano il monitoraggio del rispetto, da parte delle ditte, dei loro obblighi giuridici e le legittime attività contabili, nonché la riservatezza richiesta nell'eventualità di acquisizioni, fusioni, joint ventures o transazioni analoghe effettuate da funzionari di una banca d'investimento o da revisori contabili.
FAQ 5(1) - Ruolo delle Autorità per la tutela dei dati (ATD)
D: Quali sono le modalità per assumere e garantire l'impegno di un'organizzazione a cooperare con le Autorità dell'Unione europea per la tutela dei dati?
R: Nel contesto dell'approdo sicuro le organizzazioni statunitensi che ricevano dati personali dall'UE devono impegnarsi ad impiegare dispositivi atti a garantire che i principi dell'approdo sicuro vengano effettivamente rispettati. Più specificamente, come stabilito dal principio del controllo (enforcement) esse devono garantire che tali dispositivi contemplino: a) la possibilità di ricorso per le persone cui i dati si riferiscono, b) procedure che consentano di verificare a posteriori che le attestazioni ed affermazioni fatte circa le prassi seguite in fatto di tutela della sfera privata corrispondono a verità, e c) l'obbligo di porre rimedio ai problemi derivanti dal mancato rispetto dei principi, con le conseguenze del caso per le organizzazioni responsabili. Un'organizzazione soddisfa i punti a) e c) del principio del controllo (enforcement) se aderisce alle norme di cui alla presente domanda per la cooperazione con le Autorità per la tutela dei dati (ATD).
Per affermare il proprio impegno a cooperare con le ATD un'organizzazione dichiara, nel quadro della certificazione per l'approdo sicuro presentata al Dipartimento del commercio (si veda la domanda n. 6 sull'autocertificazione), che essa:
1. sceglie di ottemperare a quanto prescritto ai punti a) e c) del principio di garanzia dell'applicazione delle norme sull'approdo sicuro impegnandosi a cooperare con le ATD;
2. coopererà con le ATD nelle indagini relative ai reclami presentati nel quadro dell'approdo sicuro e nella risoluzione dei relativi casi; e
3. si adeguerà a qualsiasi parere fornito dalle ATD qualora queste ritengano che l'organizzazione debba attuare specifici interventi per uniformarsi ai principi dell'approdo sicuro, anche laddove tra questi rientrino provvedimenti di riparazione o risarcimento a beneficio di chi abbia subito pregiudizio da qualsiasi forma di mancato rispetto dei principi, e fornirà alle ATD conferma scritta di aver provveduto a tali interventi.
La cooperazione delle ATD assumerà la forma d'informazioni e pareri secondo le seguenti modalità:
- il parere delle ATD verrà espresso da un comitato (panel) informale di ATD costituito a livello europeo, il quale contribuirà tra l'altro a garantire un approccio armonizzato e coerente;
- il suddetto panel fornirà alle organizzazioni statunitensi interessate il proprio parere nei casi in cui non sia risultato possibile giungere ad una soluzione per i reclami presentati da singoli individui circa l'elaborazione di informazioni personali trasferite dall'UE nell'ambito dell'approdo sicuro. Tale parere mirerà a garantire che i principi dell'approdo sicuro siano correttamente applicati e provvederà altresì ad indicare i rimedi ritenuti più opportuni dalle ATD per le persone interessate;
- il panel fornirà tali pareri quando sia interpellato dalle organizzazioni interessate e/o riceva direttamente il reclamo della persona interessata nei confronti di organizzazioni che si siano impegnate a cooperare con le ATD ai fini dell'approdo sicuro, incoraggiando e se necessario aiutando le persone interessate a rivolgersi in prima istanza ai meccanismi di ricorso interni che le organizzazioni possano offrire;
- un parere verrà espresso soltanto dopo che entrambe le parti di un contenzioso abbiano avuto ragionevoli possibilità di formulare i propri commenti ed addurre qualsiasi elemento di prova esse desiderino. Il panel cercherà di esprimere il proprio parere quanto più rapidamente possibile, nei limiti di quanto consentito dall'esigenza di garantire l'equità del procedimento (due process). Di norma il panel mirerà ad esprimere il proprio parere entro un termine di 60 giorni dalla data in cui riceve il reclamo o viene interpellato, e se possibile anche più rapidamente;
- qualora lo ritenga opportuno il panel renderà pubblici i risultati del suo esame dei reclami ad esso presentati;
- il parere fornito tramite il panel non farà nascere alcuna responsabilità giuridica per il panel stesso o per le singole ATD.
Come si è già rilevato, le organizzazioni che scelgono di avvalersi di quest'opzione per la soluzione dei contenziosi devono impegnarsi ad uniformarsi al parere delle ATD. Qualora un'organizzazione non si adegui ad un parere entro 25 giorni dalla data in cui viene espresso, senza fornire soddisfacenti giustificazioni di tale ritardo, il panel notifica la sua intenzione di presentare il caso alla Commissione federale del commercio o ad altri organismi statunitensi, federali o statali, giuridicamente competenti per intervenire allo scopo di garantire il rispetto della legge in casi di affermazione falsa od ingannevole, ovvero in alternativa di concludere che si è avuta una grave violazione dell'accordo di cooperazione il quale è quindi da considerarsi annullato a tutti gli effetti. In quest'ultimo caso il panel informerà il Dipartimento del commercio (o l'organismo da esso designato) affinché l'elenco dei partecipanti all'approdo sicuro possa venir modificato di conseguenza. Qualsiasi mancanza all'impegno a cooperare con il comitato ovvero al rispetto dei principi dell'approdo sicuro sarà perseguibile in quanto pratica ingannevole a norma della sezione 5 della legge relativa alla Commissione federale del commercio (FTC Act) o di altre analoghe disposizioni di legge.
Alle organizzazioni che scelgano di avvalersi di questa possibilità verrà richiesto di pagare una quota annua calcolata per coprire i costi d'esercizio del panel, e potrà inoltre venir loro richiesto di sostenere le spese di traduzione eventualmente rivelatesi necessarie per l'esame dei ricorsi o delle istanze presentate. La quota annua non supererà comunque l'importo di 500 USD, e sarà inferiore a tale importo per le imprese minori.
La possibilità di cooperare con le ATD sarà aperta alle organizzazioni aderenti all'approdo sicuro per un triennio. Qualora il numero d'organizzazioni statunitensi che scelgano di avvalersi di questa possibilità si dimostri eccessivo, le ATD provvederanno a riesaminare questa opzione prima della fine di detto periodo.
FAQ 6 - Autocertificazione
D: Come può un'organizzazione autocertificare la propria adesione ai principi dell'approdo sicuro?
R: Un'organizzazione usufruisce dei vantaggi dell'approdo sicuro dalla data in cui autocertifica al Dipartimento del commercio o ad una persona (fisica o giuridica) da esso designata l'adesione ai relativi principi, seguendo le indicazioni sotto riportate.
Per autocertificare l'adesione all'approdo sicuro un'organizzazione può fornire al Dipartimento del commercio o ad una persona (fisica o giuridica) da esso designata una lettera, firmata da un proprio funzionario in nome dell'organizzazione che intende aderire all'approdo sicuro, contenente almeno le seguenti informazioni:
1. denominazione dell'organizzazione, indirizzo postale, indirizzo di posta elettronica, numero di telefono e fax;
2. descrizione delle attività dell'organizzazione in rapporto alle informazioni personali pervenute dall'UE;
3. descrizione della politica perseguita dall'organizzazione in merito a dette informazioni personali, che precisi tra l'altro: a) dove il pubblico può prenderne conoscenza; b) la data della loro effettiva applicazione; c) l'ufficio cui rivolgersi per eventuali reclami, richieste di accesso e qualsiasi altra questione riguardante l'approdo sicuro; d) lo specifico organo statutario competente ad esaminare i ricorsi contro l'organizzazione relativi a possibili pratiche sleali od ingannevoli e a violazioni delle norme legislative e regolamentari che disciplinano la tutela della sfera privata (ed elencati nell'allegato ai principi); e) il nome dei programmi concernenti la tutela della sfera privata cui partecipa l'organizzazione; f) il metodo di verifica (per esempio all'interno della società, effettuata da terzi)(2), e g) il meccanismo di ricorso indipendente disponibile per indagare sui reclami non risolti.
Le organizzazioni che intendono estendere i benefici dell'approdo sicuro alle informazioni riguardanti le risorse umane trasferite dall'UE per usi nel contesto di un rapporto di lavoro possono farlo qualora esista un organo statutario competente ad esaminare i ricorsi contro l'organizzazione relativi ad informazioni riguardanti le risorse umane, elencato nell'allegato "Principi di approdo sicuro". Inoltre, devono dichiarare tale intenzione nell'autocertificazione, devono altresì dichiarare di impegnarsi a cooperare con le autorità dell'UE conformemente alle FAQ 9 e 5 come applicabili e di uniformarsi a quanto raccomandato da tali autorità.
Il Dipartimento (o la persona da esso designata) conserverà un elenco di tutte le organizzazioni che inviano queste lettere, assicurando così la disponibilità dei vantaggi legati all'approdo sicuro, ed aggiornerà tale elenco in base alle lettere annuali ed alle notifiche ricevute secondo le modalità precisate nella FAQ 11. Le lettere in questione andranno inviate con cadenza almeno annuale; l'organizzazione che non provveda a farlo verrà espunta dall'elenco e non godrà più dei vantaggi derivanti dall'approdo sicuro. L'elenco e le lettere d'autocertificazione presentate dalle organizzazioni saranno resi pubblici. Tutte le organizzazioni che si autocertifichino per l'approdo sicuro devono segnalare nelle loro pertinenti dichiarazioni pubbliche sulla politica perseguita in tema di tutela della sfera privata che esse aderiscono ai principi dell'approdo sicuro.
L'impegno a rispettare i principi dell'approdo sicuro non viene meno col tempo per quanto riguarda i dati ricevuti nel corso del periodo durante il quale un'organizzazione gode dei vantaggi dell'approdo sicuro. Il fatto di assumerlo comporta per l'organizzazione l'obbligo di applicare i relativi principi ai dati in questione sino a quando essa continuerà a detenerli, utilizzarli o rivelarli, anche se successivamente dovesse per qualsiasi motivo abbandonare l'approdo sicuro.
Le organizzazioni che cesseranno di esistere come entità giuridica separata in seguito a fusioni o acquisizioni devono notificarlo al Dipartimento del commercio (o a chi da esso designato) anticipatamente. Nella notifica si dovrà indicare anche se l'entità acquirente o quella risultante dalla fusione 1) continuerà ad essere vincolata ai principi dell'approdo sicuro nell'applicazione della legge relativa alle fusioni o alle acquisizioni oppure 2) deciderà di autocertificare la propria adesione ai principi dell'approdo sicuro o di istituire altri meccanismi di salvaguardia, quali accordi scritti, che garantiscano l'adesione ai principi dell'approdo sicuro. Qualora non si verifichi né 1) né 2), tutti i dati acquisiti nell'ambito dell'approdo sicuro devono essere immediatamente cancellati.
Un'organizzazione non è tenuta ad applicare i principi dell'approdo sicuro a tutte le informazioni di natura personale, ma deve applicarli a tutti i dati personali che abbia ricevuto dall'UE dopo aver aderito all'approdo sicuro.
Qualsiasi dichiarazione ingannevole resa da un'organizzazione al pubblico in merito alla propria adesione ai principi dell'approdo sicuro è perseguibile dalla Commissione federale per il commercio o da un altro organo governativo competente. Le dichiarazioni ingannevoli rese al Dipartimento del commercio (od alla persona fisica o giuridica da esso designata) sono perseguibili in forza della legge sulle false dichiarazioni (False Statements Act, 18 USC § 1001).
FAQ 7 - Verifica
D: Quali procedure consentono alle organizzazioni di garantire la possibilità di verificare a posteriori che le attestazioni e le affermazioni da esse fatte circa le loro pratiche in fatto di rispetto della sfera privata nell'ambito dell'approdo sicuro corrispondono a verità e che tali pratiche vengono applicate secondo le modalità descritte e conformemente ai principi dell'approdo sicuro?
R: Per soddisfare i requisiti del principio di garanzia di applicazione un'organizzazione può comprovare la veridicità di tali attestazioni ed affermazioni mediante una valutazione autonoma o facendo ricorso a revisioni esterne.
Nell'ambito dell'impostazione basata sulla valutazione autonoma, la verifica in questione dovrebbe dimostrare che la politica che un'organizzazione dichiara pubblicamente di perseguire in materia di tutela delle informazioni personali ricevuti dall'UE è accurata, esauriente, messa in chiara evidenza, pienamente attuata ed accessibile. Dovrebbe parimenti dimostrare che la politica suddetta si uniforma ai principi dell'approdo sicuro; che le persone sono informate in merito ad eventuali procedimenti interni per dar seguito ai reclami oltre che ai dispositivi indipendenti attraverso cui possono sporgere un reclamo; che ha stabilito procedure per formare i dipendenti ad applicare tale politica, oltre che per sanzionarli se non la seguono, ed infine che ha stabilito procedure per svolgere periodicamente indagini obiettive sul rispetto dei principi adottati. Almeno una volta all'anno un funzionario od un altro rappresentante dell'organizzazione dovrebbe firmare una dichiarazione che comprovi la valutazione autonoma, ed a richiesta tale dichiarazione andrebbe posta a disposizione dei singoli individui od esibita nell'ambito di un'indagine o di un reclamo per mancato rispetto dei principi dichiarati.
Le organizzazioni dovrebbero conservare i dati riguardanti l'attuazione delle politiche da esse perseguite in fatto di rispetto della sfera privata nell'ambito dell'approdo sicuro, e porle a disposizione dell'organismo indipendente incaricato di esaminare i reclami ovvero dell'ente che ha giurisdizione sulle pratiche scorrette ed ingannevoli nel quadro d'eventuali indagini o reclami per mancato rispetto dei principi dichiarati.
Nel caso in cui l'organizzazione interessata abbia scelto di avvalersi di una revisione esterna, detta revisione deve dimostrare che la politica dell'organizzazione in fatto di dati personali ricevuti dall'UE si uniforma ai principi dell'approdo sicuro, che viene regolarmente praticata e che le persone sono informate in merito ai dispositivi indipendenti di cui dispone chi intenda sporgere un reclamo. Tra i metodi impiegati per la revisione possono rientrare senza limiti di sorta l'auditing, indagini randomizzate, l'uso di "clienti civetta" o d'idonee tecnologie. Almeno una volta all'anno l'incaricato della revisione oppure un funzionario od un altro rappresentante dell'organizzazione dovrebbe firmare una dichiarazione che comprovi il superamento di una revisione esterna sul rispetto delle regole; a richiesta tale dichiarazione andrebbe posta a disposizione dei singoli individui od esibita nel quadro d'eventuali indagini o reclami per mancato rispetto dei principi dichiarati.
FAQ 8 - Accesso
Principio dell'Accesso
L'interessato deve avere accesso ai dati a carattere personale che lo riguardano in possesso di un'organizzazione ed essere in grado di correggerli, modificarli o cancellarli se inesatti, eccettuati i casi in cui l'onere o il costo da sostenere per permettere l'accesso siano sproporzionati rispetto ai rischi per la riservatezza dell'interessato, oppure possano essere violati diritti legittimi di terzi.
D 1: Il diritto all'accesso è assoluto?
R 1: No. Conformemente ai principi dell'approdo sicuro il diritto all'accesso è fondamentale per la tutela della riservatezza: in particolare, esso consente all'interessato di verificare l'esattezza dei dati che lo riguardono. L'obbligo per l'organizzazione di fornire l'accesso ai dati personali in suo possesso riguardanti un determinato individuo è tuttavia soggetto al principio della proporzionalità o ragionevolezza e, in talune situazioni, va quindi attenuato. Effettivamente il Memorandum sulle Linee guida dell'OCSE del 1980 sulla tutela della sfera privata afferma chiaramente che per un'organizzazione l'obbligo di fornire l'accesso non è assoluto. Esso non impone una ricerca scrupolosa quale quella necessaria, ad esempio, per un mandato di comparizione, né l'accesso a tutte le varie forme in cui l'organizzazione può detenere dati.
L'esperienza ha dimostrato piuttosto che, nel soddisfare le domande d'accesso degli interessati, le organizzazioni dovrebbero tener presente innanzitutto il motivo che ha indotto originariamente alla richiesta. Ad esempio, se una richiesta d'accesso è vaga o se abbraccia un settore molto ampio, l'organizzazione può avviare un dialogo con l'interessato in modo da capire meglio la motivazione della richiesta e individuare i dati per fornire la risposta. L'organizzazione potrebbe cercare di focalizzare le ricerche sulle parti dell'organizzazione con le quali la persona in questione ha interagito e/o il tipo di dati (o il loro uso) oggetto della richiesta d'accesso. I singoli interessati non sono tuttavia tenuti a motivare le richieste d'accesso ai dati che li riguardano.
Le spese e gli oneri sono fattori importanti e dovrebbero essere presi in considerazione, ma non sono determinanti nel decidere se la fornitura dell'accesso sia o no ragionevole. Se ad esempio i dati vengono utilizzati per decisioni che producono effetti rilevanti per l'interessato (come il rifiuto o la concessione di benefici importanti quali un'assicurazione, un prestito ipotecario o un lavoro), conformemente a quanto enunciato nelle altre FAQ, l'organizzazione dovrà fornirli, anche se ciò è relativamente difficile o costoso.
Se i dati richiesti non sono sensibili o non servono per decisioni con conseguenze di rilievo per l'interessato (ad esempio, dati di marketing non sensibili che servano a stabilire se inviare o no un catalogo), e sono prontamente disponibili e comunicabili a costi non eccessivi, l'organizzazione dovrebbe permettere l'accesso ai dati di fatto in suo possesso riguardanti la persona in questione. Tali dati potrebbero comprendere informazioni fornite dall'interessato ed elementi rilevati nell'ambito di una transazione o forniti da terzi ma riguardanti la persona stessa.
In omaggio alla natura fondamentale dell'accesso, le organizzazioni dovrebbero sempre impegnarsi sinceramente per consentirlo. Quando ad esempio occorra tutelare determinate informazioni che possano venir agevolmente separate da altri dati oggetto di una richiesta di accesso, l'organizzazione dovrebbe fornire le informazioni di natura non riservata espungendone quelle soggette a tutela. Se in determinate circostanze un'organizzazione ritiene di dover negare l'accesso essa dovrà motivare tale decisione e indicare al richiedente con chi prendere contatto per ottenere ulteriori delucidazioni.
D 2: Cosa s'intende per "informazioni commerciali riservate"? Possono le organizzazioni negare l'accesso per tutelare tali informazioni?
R 2: Le informazioni commerciali riservate (tale formulazione è utilizzata nelle norme federali di procedura civile riguardanti le invenzioni) sono informazioni che l'organizzazione ha deciso di proteggere dalla divulgazione, laddove un concorrente possa trarre un vantaggio di mercato da tale divulgazione. Possono ad esempio costituire informazioni commerciali riservate il particolare software utilizzato da un'organizzazione, un programma di modellizzazione od alcuni suoi dettagli. Quando sia possibile separare agevolmente informazioni commerciali di natura riservata da altri dati oggetto di una richiesta d'accesso, l'organizzazione dovrebbe fornire le informazioni di natura non riservata espungendone quelle commerciali riservate. Le organizzazioni possono negare o restringere l'accesso se ed in quanto il fatto di accordarlo porterebbe a rivelare informazioni commerciali riservate che le riguardino e rispondano alla definizione datane sopra, quali profili di marketing o classificazioni elaborate dall'organizzazione, ovvero informazioni di natura commerciale riservate concernenti terzi per le quali valgano obblighi contrattuali di riservatezza, in circostanze in cui sia normale che detti obblighi di riservatezza vengano assunti od imposti.
D 3: Nel consentire l'accesso l'organizzazione può comunicare ai richiedenti i dati personali che li riguardano estratti dalla sua base dati o deve fornire l'accesso alla base stessa?
R 3: L'accesso può assumere la forma della comunicazione dei dati al richiedente; l'organizzazione non è tenuta a fornire l'accesso alla propria base dati.
D 4: L'organizzazione è tenuta a ristrutturare le sue banche dati per poter fornire l'accesso?
R 4: L'accesso va accordato solo se ed in quanto l'organizzazione detiene i dati. Il principio dell'accesso non determina di per sé stesso l'obbligo di detenere, aggiornare, riorganizzare o ristrutturare le raccolte di dati a carattere personale.
D 5: Dalle risposte fornite si evince che in alcune circostanze l'accesso può essere negato. In quali altre circostanze le organizzazioni possono negare ai richiedenti l'accesso ai dati personali che li riguardano?
R 5: Tali circostanze sono limitate e qualsiasi motivo che porti a rifiutare l'accesso dev'essere chiaramente determinato. Le organizzazioni possono negare l'accesso ai dati nella misura in cui la divulgazione potrebbe interferire con la tutela d'interessi pubblici importanti, quali la sicurezza nazionale, la difesa o la sicurezza pubblica. Inoltre, se i dati personali sono trattati esclusivamente a scopo di ricerca o per finalità statistiche, l'accesso può essere negato. Altri motivi di rifiuto o limitazione dell'accesso sono:
a) interferenza con l'esecuzione o l'applicazione della legge, compresi gli aspetti relativi a prevenzione, investigazione o scoperta di reati ovvero al diritto ad un giusto processo;
b) interferenza con azioni legali private, compresi gli aspetti relativi a prevenzione, investigazione o rilevazione di reclami ovvero al diritto ad un giusto processo;
c) divulgazione di dati personali riguardanti terzi, qualora tali riferimenti non possano essere soppressi;
d) violazione di un privilegio o di un obbligo legale o d'altro tipo legato alla professione;
e) mancato rispetto della necessaria riservatezza per trattative future o in corso, come quelle relative all'acquisizione d'imprese quotate in borsa;
f) pregiudizio per i controlli di sicurezza sui dipendenti o per i procedimenti per reclami;
g) pregiudizio per la riservatezza che può rivelarsi necessaria per un lasso di tempo limitato in relazione alla programmazione dell'avvicendamento del personale e alla riorganizzazione dell'impresa; ovvero
h) pregiudizio per la riservatezza che può risultare necessaria per il monitoraggio, l'ispezione o funzioni di regolamentazione connesse ad una sana gestione economica o finanziaria; ovvero
i) altre circostanze in cui l'onere o il costo da sostenere per consentire l'accesso sarebbero sproporzionati o in cui sarebbero violati diritti od interessi legittimi di terzi.
Un'organizzazione che invochi un'eccezione ha l'onere di provarla (come accade normalmente). Come già detto al richiedente andranno comunicati i motivi di rifiuto o limitazione dell'accesso ed un referente cui rivolgersi per ulteriori informazioni.
D 6: Un'organizzazione può chiedere un contributo spese per coprire i costi derivanti dal fatto di accordare l'accesso?
R 6: Sì. Le Linee guida dell'OCSE ammettono che le organizzazioni possano chiedere un contributo spese, a patto che non sia eccessivo. Le organizzazioni possono quindi chiedere un contributo ragionevole per l'accesso, il che permette di scoraggiare le richieste ripetitive e vessatorie.
Nel rispondere alle richieste d'accesso le organizzazioni che trattano la vendita di dati disponibili al pubblico possono pertanto farsi riconoscere i compensi abitualmente richiesti. In alternativa gli interessati possono cercare di ottenere accesso ai dati che li riguardano rivolgendosi alle organizzazioni che hanno originariamente elaborato i dati.
L'accesso non può essere rifiutato per ragioni di costo se gli interessati s'impegnano a sostenere le spese.
D 7: Le organizzazioni sono tenute a fornire l'accesso a dati personali ricavati da basi pubbliche?
R 7: Per chiarezza va precisato innanzitutto che le basi pubbliche sono quelle delle amministrazioni od enti pubblici di qualsiasi livello, che possono essere consultate da chiunque lo desideri. Finché tali dati non sono associati ad altri dati personali non è necessario applicare il principio dell'accesso, eccettuato il caso in cui pochi dati non provenienti da basi pubbliche siano utilizzati per indicizzare o organizzare dati di basi pubbliche. Le condizioni per la consultazione stabilite dalla giurisdizione competente devono tuttavia essere rispettate. Quando peraltro informazioni provenienti da basi pubbliche siano combinate con altri dati provenienti da basi non pubbliche (salvo che nel caso specifico visto in precedenza) le organizzazioni sono tenute a fornire l'accesso a tutti i dati, partendo dal presupposto che essi non siano soggetti ad altre eccezioni consentite.
D 8: Il principio dell'accesso va applicato ai dati personali disponibili al pubblico?
R 8: Come nel caso dei dati ricavati da basi pubbliche (cfr. la domanda 7) non è necessario fornire accesso ai dati di cui il pubblico possa già correttamente disporre, purché questi non siano abbinati a dati non disponibili al pubblico(3).
D 9: Come possono le organizzazioni tutelarsi contro richieste di accesso ripetute o vessatorie?
R 9: Le organizzazioni non sono tenute a rispondere a tali richieste. Per questo motivo si è stabilito che le organizzazioni possano chiedere un contributo spese ragionevole e fissare limiti ragionevoli al numero di volte in cui può essere rinnovata la richiesta d'accesso di un interessato entro un determinato lasso di tempo. Nel fissare questi limiti l'organizzazione dovrebbe prendere in considerazione fattori quali la frequenza d'aggiornamento dei dati, le finalità del loro impiego e la loro natura.
D 10: Come possono le organizzazioni tutelarsi contro richieste di accesso illecite?
R 10: Le organizzazioni non sono tenute ad accordare l'accesso se la richiesta non è corredata da informazioni sufficienti a confermare l'identità del richiedente.
D 11: Vi sono limiti di tempo entro i quali le organizzazioni sono tenute a rispondere alle richieste di accesso?
R 11: Sì, le organizzazioni dovrebbero rispondere senza eccessivi ritardi ed entro un limite di tempo ragionevole. Tale obbligo può essere soddisfatto in vari modi, come indicato nel Memorandum degli orientamenti OCSE del 1980 sulla tutela della sfera privata. Ad esempio il detentore di dati che fornisca con cadenza regolare informazioni ai diretti interessati può essere esonerato dall'obbligo di rispondere immediatamente a singole richieste.
FAQ 9 - Risorse umane
D 1: Il trasferimento dall'UE agli Stati Uniti di informazioni personali raccolte nell'ambito di rapporti di lavoro è coperto dall'approdo sicuro?
R 1: Sì; se un'impresa dell'UE trasferisce dati sui propri dipendenti (presenti o passati) a un fornitore di servizi statunitense (società capogruppo, consociata o non consociata) che aderisca all'approdo sicuro, questo trasferimento è tutelato dalle relative norme. In tali casi alla rilevazione dei dati e al trattamento da essi subito prima del trasferimento si applicheranno le leggi nazionali del paese dell'UE in cui sono state raccolte le informazioni, e andranno rispettate le condizioni o restrizioni applicabili al loro trasferimento in forza di dette leggi.
I principi dell'approdo sicuro trovano applicazione esclusivamente laddove si tratti di trasferire dati identificati individualmente o d'accedervi. Le relazioni statistiche basate su dati aggregati sull'occupazione e/o l'impiego di dati resi anonimi o presentati con l'uso di pseudonimi non pongono problemi sotto il profilo della tutela della sfera privata.
D 2: Come si applicano a tali informazioni i principi della informativa e della scelta?
R 2: Un'organizzazione statunitense che abbia ricevuto dall'UE dati sui dipendenti nell'ambito dell'approdo sicuro può rivelarli a terzi e/o farne uso per finalità differenti unicamente se e in quanto ottempera ai principi di informativa e di scelta. Qualora ad esempio un'organizzazione intenda utilizzare a fini non occupazionali (comunicazioni commerciali, ecc.) informazioni personali rilevate nell'ambito di un rapporto di lavoro, l'organizzazione statunitense deve dare agli interessati la possibilità di scelta, a meno che essi non abbiano già autorizzato l'impiego delle informazioni in questione per tali scopi. Le scelte fatte a questo proposito non vanno inoltre strumentalizzate per limitare le opportunità occupazionali o adottare provvedimenti punitivi nei confronti dei dipendenti.
Va osservato che determinate condizioni generalmente applicabili ai trasferimenti da alcuni Stati membri possono vietare altri impieghi delle informazioni in questione, anche dopo il loro trasferimento al di fuori dell'UE, e andranno rispettate.
I datori di lavoro dovrebbero inoltre fare il possibile nei limiti del ragionevole per rispettare le preferenze dei dipendenti in fatto di tutela della sfera privata. Nel novero dei provvedimenti presi a tal fine potrebbero ad esempio rientrare quelli volti a limitare l'accesso ai dati, a rendere anonimi taluni dati o ad attribuire codici o pseudonimi se i nominativi esatti non sono richiesti per la finalità gestionale in questione.
In quanto e fino a che ciò risulti necessario a evitare ogni pregiudizio per gli interessi legittimi dell'organizzazione di procedere a promozioni e nomine o prendere decisioni analoghe relative al personale, l'organizzazione non è tenuta a ottemperare ai principi di informativa e di scelta.
D 3: Come si applica il principio dell'accesso?
R 3: Le FAQ sull'accesso forniscono indicazioni sui motivi che possono giustificare il rifiuto o la restrizione dell'accesso a richiesta in tema di risorse umane. Nell'Unione europea i datori di lavoro devono ovviamente rispettare la regolamentazione locale e garantire ai dipendenti comunitari l'accesso a tali informazioni secondo le modalità prescritte dalla legislazione dei rispettivi paesi, a prescindere dal luogo di trattamento e memorizzazione dei dati. L'approdo sicuro impone alle organizzazioni che elaborano tali dati negli Stati Uniti di cooperare, fornendo l'accesso direttamente o tramite il datore di lavoro dell'UE.
D 4: Come verrà impostato il problema di garantire l'applicazione dei principi dell'approdo sicuro per i dati sui dipendenti?
R 4: Se e in quanto le informazioni sono utilizzate soltanto nel contesto del rapporto di lavoro, la responsabilità primaria nei confronti dei dipendenti rimane del datore di lavoro nell'UE. Ne consegue che i dipendenti europei che denuncino violazioni dei loro diritti alla riservatezza e siano insoddisfatti dei risultati delle procedure interne di controllo, di reclamo e di ricorso (o di qualsiasi procedura di composizione delle controversie nell'ambito di un contratto collettivo di lavoro) dovranno rivolgersi all'autorità statale o nazionale di tutela dei dati o dei diritti dei lavoratori competente per la giurisdizione in cui lavorano. Ciò vale anche nel caso in cui le presunte irregolarità abbiano avuto luogo negli Stati Uniti, siano imputabili all'organizzazione statunitense che ha ricevuto i dati anziché al datore di lavoro, e la presunta violazione riguardi i principi dell'approdo sicuro piuttosto che le disposizioni legislative nazionali con cui è stata recepita la direttiva. Questo costituisce il sistema più efficace per orientarsi tra i vari diritti e obblighi, che spesso si accavallano, derivanti dal diritto del lavoro e dai contratti di lavoro locali e dalle diverse normative sulla tutela dei dati.
Un'organizzazione statunitense che abbia aderito all'approdo sicuro e utilizzi dati di provenienza comunitaria sulle risorse umane nel contesto di un rapporto di lavoro, e che desideri che tali trasferimenti siano coperti dall'accordo sull'approdo sicuro, deve pertanto impegnarsi a collaborare alle indagini e ad attenersi al parere delle competenti autorità dell'UE per tali casi. Le autorità per la tutela dei dati che abbiano accettato di collaborare in tal senso ne danno informativa alla Commissione europea e al Dipartimento del commercio. Qualora un'organizzazione statunitense partecipante all'approdo sicuro desideri trasferire dati sulle risorse umane da uno Stato membro la cui autorità per la tutela dei dati non abbia dato il suo accordo, si applicano le norme di cui alla FAQ 5.
FAQ 10 - Articolo 17: contratti
D: Quando si trasferiscano dati dall'UE agli USA unicamente per elaborarli è necessario stipulare un contratto, a prescindere dalla partecipazione all'"approdo sicuro" del responsabile dell'elaborazione?
R: Sì. In Europa i titolari dei trattamenti di dati personali sono sempre tenuti a concludere un contratto quando il trasferimento ha luogo unicamente a scopo di elaborazione, indipendentemente dal fatto che questa sia effettuata all'interno o all'esterno dell'UE. Il contratto serve a proteggere gli interessi del titolare, vale a dire la persona o l'ente che stabilisce le finalità e gli strumenti del trattamento, cui incombe l'intera responsabilità dei dati nei confronti degli interessati. Nel contratto vanno specificati il tipo di elaborazione cui s'intende procedere e gli eventuali provvedimenti necessari a garantire che i dati siano conservati in modo sicuro.
Un'organizzazione statunitense che partecipi all'"approdo sicuro" e riceva informazioni personali dall'UE esclusivamente a scopo di elaborazione non è dunque tenuta ad applicare i principi a tali informazioni, in quanto il titolare del trattamento nell'UE resta responsabile nei confronti degli interessati, conformemente alle prescrizioni dell'UE applicabili (che possono essere più severe degli equivalenti principi dell'"approdo sicuro").
Poiché all'interno dell'"approdo sicuro" è fornita una protezione adeguata, per i contratti con partecipanti all'"approdo sicuro" a scopo puramente di elaborazione non sono necessarie autorizzazioni preliminari (o tali autorizzazioni sono concesse automaticamente dagli Stati membri) com'è invece il caso per i contratti stipulati con parti che non partecipano all'"approdo sicuro" o che in ogni caso non garantiscono una protezione adeguata.
FAQ 11 - Risoluzione delle controversie e modalità di controllo dell'applicazione (enforcement)
D: Come si applicano le norme derivanti dal principio della garanzia di applicazione (enforcement) per la risoluzione delle controversie, e come si procede se un'organizzazione continua a non rispettare i principi?
R: Il principio della garanzia di applicazione (enforcement) stabilisce le norme per l'applicazione dell'approdo sicuro. Le modalità di applicazione delle norme di cui al punto b) di tale principio sono illustrate nella domanda sulla verifica (FAQ 7). La presente domanda interessa i punti a) e c), che prescrivono l'istituzione di dispositivi indipendenti di ricorso. Tali dispositivi possono assumere forme diverse, ma devono soddisfare le prescrizioni formulate nel contesto delle garanzie d'applicazione. Un'organizzazione può adempiere a tali prescrizioni nei modi seguenti: a) applicando programmi di riservatezza elaborati dal settore privato nei quali siano integrati i principi dell'approdo sicuro e che contemplino dispositivi di attuazione efficaci, del tipo descritto dal principio delle garanzie d'applicazione; 2) uniformandosi a norme giurisdizionali o regolamentari emanate dalle corrspondenti autorità di controllo, che disciplinino il trattamento di reclami individuali e la soluzione delle controversie; oppure 3) impegnandosi a cooperare con le autorità di tutela dei dati aventi sede nella Comunità europea o loro rappresentanti autorizzati. Quest'elenco è fornito a titolo puramente esemplificativo e non limitativo. Il settore privato può indicare altri meccanismi di applicazione, purchè rispettino il principio delle garanzie d'applicazione e le FAQ. Si noti che le citate garanzie d'applicazione si aggiungono a quelle di cui al paragrafo 3 dell'introduzione ai principi, in forza delle quali le iniziative di autoregolamentazione devono avere carattere vincolante in virtù dell'articolo 5 del Federal Trade Commission Act o analogo testo di legge.
Meccanismi di ricoso:
I consumatori dovrebbero essere incoraggiati a presentare gli eventuali reclami all'organizzazione direttamente interessata, prima di rivolgersi ai dispositivi indipendenti di ricorso. L'indipendenza di un dispositivo di ricorso è un dato di fatto che può essere dimostrato in vari modi, facendo valere ad esempio la trasparenza della composizione e del finanziamento oppure una comprovata esperienza. Come prescritto dal principio delle garanzie d'applicazione il dispositivo di ricorso per i casi individuali deve essere di rapida fruizione e di costo non elevato. Gli organismi preposti alla soluzione dei contenziosi dovrebbero esaminare ogni reclamo presentato dai singoli, a meno che non si tratti di reclami chiaramente futili o infondati. Questo non pregiudica la definizione di criteri d'ammissibilità dei ricorsi da parte dell'organismo responsabile, ma tali criteri devono essere trasparenti e giustificati (ad esempio, esclusione di reclami che esulino dal campo d'applicazione del programma o siano di competenza di una diversa giurisdizione) e non devono andare a scapito dell'impegno di esaminare i ricorsi legittimi. I dispositivi di ricorso dovrebbero inoltre fornire alle persone che presentino un reclamo informazioni complete e pronte sul funzionamento della procedura di soluzione dei contenziosi. Di tali informazioni dovrebbero far parte accenni alle pratiche seguite in fatto di riservatezza nell'ambito dei dispositivi, conformemente ai principi dell'approdo sicuro(4). In tale contesto per semplificare il processo di gestione dei reclami sarebbe opportuno cooperare all'elaborazione di strumenti quali moduli di reclamo standard.
Riparazioni e sanzioni:
Le riparazioni ottenute tramite un organismo preposto alla soluzione delle controversie dovrebbero correggere o eliminare, nei limiti del possibile, gli effetti del mancato rispetto dei principi e fornire all'interessato la garanzia che in futuro l'organizzazione in questione tratterà i dati che lo riguardano nel rispetto di tali principi, ovvero cesserà di trattarli. Le sanzioni devono essere sufficientemente rigorose da garantire il rispetto dei principi. Una gamma di sanzioni di grado variabile consente di reagire in maniera proporzionale alla gravità delle infrazioni. Le sanzioni dovrebbero includere la pubblicazione del relativo verdetto ed eventualmente l'obbligo di cancellazione dei dati(5). Le sanzioni potrebbero comprendere la sospensione o il ritiro del "Marchio di conformità", il risarcimento degli eventuali danni, ed ingiunzioni. Se le loro decisioni non vengono rispettate, gli organismi per la risoluzione delle controversie e quelli di autoregolamentazione del settore privato devono notificare i tribunali o gli enti governativi competenti, nonchè il Dipartimento del commercio (o chi da esso designato).
Attività della Commissione federale per il commercio (Federal Trade Commission, FTC):
La Commissione federale per il commercio (FTC) se è impegnata ad esaminare in via prioritaria i casi trasmessi da organizzazioni di autoregolamentazione in materia di riservatezza (quali BBBOnline e TRUSTe) e dagli Stati membri dell'UE per denunciare la presunta non conformità ai principi dell'approdo sicuro, al fine di stabilire se vi siano state violazioni della sezione 5 del FTC Act, che vieta azioni o pratiche sleali od ingannevoli nel commercio. Se la FTC conclude che vi è motivo di ritenere che vi sia stata infrazione alle disposizioni della citata sezione 5, essa potrà risolvere il caso cercando di ottenere un ordine amministrativo di cessare e desistere che vieti le pratiche in questione, oppure presentando al tribunale distrettuale federale un reclamo che, se accolto, comporterebbe un'ordinanza del tribunale federale volta ad ottenere lo stesso effetto. La FTC può imporre ammende per violazioni di un ordine amministrativo di cessare e desistere e può perseguire in ambito civile o penale per mancato rispetto dell'autorità guidiziaria (contempt) l'inosservanza dell'ordine di un tribunale federale. La FTC notificherà qualsiasi azione essa decida di avviare al Dipartimento del commercio, che incoraggia altri organismi governativi ad informarlo dell'esito definitivo di qualsiasi caso ad essi deferito o di altre decisioni in tema di rispetto dei principi dell'approdo sicuro.
Inosservanza persistente:
L'organizzazione che persiste nel non rispettare i principi perde la facoltà di beneficiare dell'approdo sicuro. La fattispecie dell'inosservanza persistente si configura laddove un'organizzazione che abbia fornito l'autocertificazione al Dipartimento del commercio (od alla persona fisica o giuridica da esso designata) si rifiuti di uniformarsi a quanto deciso in ultima istanza da qualsiasi organismo governativo o di autoregolamentazione, o qualora tali organismi dichiarino che un'organizzazione infrange i principi con tale frequenza da togliere ogni creditibità alle sue affermazioni formali di rispetto. In queste circostanze l'organizzazione è tenuta a notificare prontamente il Dipartimento del commercio (o chi da esso designato). La mancata notifica è perseguibile in forza del False Statements Act.
Il Dipartimento (o chi da esso designato) inserisce nell'elenco pubblico delle organizzazioni che autocertificano la propria conformità all'approdo sicuro qualsiasi notifica ricevuta in tal senso dall'organizzazione stessa, da organismi di autoregolamentazione o da organizzazioni governativi. Ciò avviene dietro preavviso all'organizzazione in questione, con possibilità di replica entro trenta giorni. L'elenco pubblico aggiornato dal Dipartimento del commercio (o chi da esso designato) permette così di stabilire quali organizzazioni possono beneficiare dell'approdo sicuro.
Un'organizzazione che chieda di partecipare ad un programma gestito da un organismo di autoregolamentazione al fine di riqualificarsi per l'approdo sicuro è tenuta a presentare a tale organismo tutte le informazioni relative alla sua precedente partecipazione all'approdo sicuro.
FAQ 12 - Principio della scelta - Quando ci si può opporre?
D: Il principio della possibilità di scelta può essere fatto valere solo all'inizio del rapporto, o in qualsiasi momento?
R: In generale il principio della possibilità di scelta ha lo scopo di garantire che le informazioni personali vengano utilizzate ed eventualmente divulgate in termini compatibili con le previsioni e le decisioni degli interessati. Di conseguenza i cittadini dovrebbero poter esercitare in qualsiasi momento la facoltà di scelta (od il diritto di opporsi o "opt-out") in rapporto all'impiego delle informazioni personali che li riguardano a fini di marketing diretto, subordinatamente al rispetto di limiti ragionevoli stabiliti dall'organizzazione, concernenti ad esempio il tempo necessario per dar seguito alla decisione. Un'organizzazione ha inoltre la facoltà di richiedere le informazioni necessarie per confermare l'identità del richiedente. Negli Stati Uniti le persone hanno la possibilità di esercitare quest'opzione servendosi di un servizio centrale come il Mail Preference Service della Direct Marketing Association. Le organizzazioni che partecipano a tale servizio dovrebbero pubblicizzarne l'esistenza presso i consumatori che non desiderano ricevere informazioni commerciali. In ogni caso ci si deve poter avvalere di un meccanismo prontamente disponibile a costi accessibili per esercitare quest'opzione.
Analogamente un'organizzazione può utilizzare informazioni per talune attività di marketing diretto ove non sia praticamente possibile dare all'individuo la possibilità di ritirarsi prima dell'utilizzo delle informazioni, purché al tempo stesso (e, su richista, in qualsiasi momento) l'organizzazione accordi prontamente all'interessato la possibilità di rifiutare (senza che ciò comporti alcun costo per lui) qualsiasi ulteriore comunicazione di marketing diretto e successivamente rispetti tale rifiuto.
FAQ 13 - Informazioni relative ai viaggiatori
D: Quando è lecito trasferire ad organizzazioni ubicate al di fuori dell'UE informazioni ricavate da prenotazioni per voli o viaggi d'altro tipo, come ad esempio informazioni relative alla categoria dei frequent flyers o a particolare esigenze dei viaggiatori come precetti religiosi da rispettare in materia di pasti o necessità di assistenza materiale?
R: Il trasferimento d'informazioni di questo genere è consentito in tutta una serie di circostanze differenti. A norma dell'articolo 26 della direttiva è lecito trasferire dati personali in "un paese terzo che non garantisce una tutela adeguata ai sensi dell'articolo 25, paragrafo 2" purché 1) ciò risulti necessario per l'esecuzione del contratto di trasporto e/o di stipulazioni del tipo frequent flyer, ovvero 2) l'interessato abbia manifestato il proprio consenso in maniera inequivocabile. Le organizzazioni statunitensi che abbiano aderito all'approdo sicuro garantiscono un'adeguata tutela dei dati personali e sono quindi abilitate a ricevere trasferimenti di dati dall'UE senza dover soddisfare dette condizioni od altre stabilite dall'articolo 26 della direttiva. L'impostazione dell'approdo sicuro dispone norme specifiche per le informazioni sensibili (la cui raccolta può risultare necessaria ad esempio in rapporto alle esigenze dei clienti in fatto d'assistenza materiale), cosicché queste possono far parte dei dati trasferiti ad organizzazioni che abbiano aderito all'approdo sicuro. L'organizzazione che provvede al trasferimento deve tuttavia uniformarsi in ogni caso alla normativa vigente nello Stato membro in cui opera, il quale può tra l'altro prescrivere condizioni speciali per il trasferimento di dati di natura sensibile.
FAQ 14 - Medicinali e prodotti farmaceutici
D 1: Qualora dati personali vengano raccolti nell'UE e trasferiti negli Stati Uniti per la ricerca farmaceutica e/o altri fini, si applicano i principi dell'approdo sicuro oppure le disposizioni legislative degli Stati membri?
R 1: Le disposizioni legislative degli Stati membri si applicano alla raccolta dei dati personali in questione e relativa elaborazione prima del trasferimento negli Stati Uniti. I principi dell'approdo sicuro si applicano ai dati quando vengono trasferiti negli Stati Uniti. I dati utilizzati per ricerche farmaceutiche e altri fini, all'occorrenza, dovrebbero essere resi anonimi.
D 2: I dati personali acquisiti in campi specifici della ricerca medica o farmaceutica svolgono spesso un ruolo importante in future ricerche scientifiche. Quando i dati personali raccolti per uno studio vengono trasferiti a un'organizzazione statunitense nel quadro dell'approdo sicuro, può tale organizzazione utilizzare i dati per nuove attività di ricerca?
R 2: Sì, qualora abbia in primo luogo dato adeguatamente avviso di tale intenzione ed abbia dato possibilità di scelta. Nell'informativa dovrebbero figurare informazioni concernenti tutte le future utilizzazioni dei dati, quali controlli periodici, studi correlati o marketing. È ovviamente impossibile specificare tutte le future utilizzazioni dei dati, poiché un nuovo impiego per la ricerca potrebbe rivelarsi necessario in seguito a nuovi studi sui dati originari, a scoperte e progressi della medicina, nonché a nuovi sviluppi della regolamentazione e della sanità pubblica. Se dunque il caso specifico lo richiede, nella informativa va indicato chiaramente che i dati personali possono essere utilizzati in future attività di ricerca medica e farmaceutica non preventivate. Qualora l'uso dei dati non sia compatibile con i fini generali della ricerca per cui essi sono stati originariamente raccolti o per cui la persona interessata aveva successivamente dato il suo consenso, è necessario ottenere un nuovo consenso.
D 3: Qualora un partecipante decida volontariamente o su richiesta dell'ente promotore della ricerca di ritirarsi da una sperimentazione clinica, cosa avviene dei dati relativi?
R 3: I partecipanti possono decidere di ritirarsi da una sperimentazione clinica, o essere invitati a farlo, in qualsiasi momento. I dati raccolti prima che il paziente si ritiri dalla sperimentazione possono essere ancora elaborati insieme agli altri dati raccolti nel corso della sperimentazione, purché tale possibilità sia stata segnalata al partecipante quando ha accettato di participare.
D 4: Per motivi di regolamentazione e di supervisione le aziende produttrici di farmaci e di apparecchiature mediche possono fornire a enti regolatori statunitensi dati personali relativi a sperimentazioni cliniche condotte nell'UE. Simili trasferimenti possono essere fatti anche a parti terze, quali le filiali delle aziende o altri ricercatori?
R 4: Sì, conformemente ai principi della informativa e della scelta.
D 5: In molte sperimentazioni cliniche, per garantire l'obiettività, i partecipanti e sovente anche gli sperimentatori non possono avere accesso a informazioni relative al tipo di cura a cui ogni partecipante viene sottoposto, poiché in tal modo la validità della ricerca e dei relativi risultati verrebbe compromessa. I partecipanti a tali sperimentazioni cliniche (denominate "esperimenti in cieco") avranno accesso ai dati relativi al trattamento che ricevono durante la sperimentazione?
R 5: No. Non vi è obbligo di accordare ad un partecipante tale accesso se questa restrizione è stata indicata esplicitamente al momento in cui la sperimentazione ha avuto inizio. La divulgazione di tali informazioni comprometterebbe inoltre l'integrità dell'intera ricerca. Il consenso a partecipare alla sperimentazione a queste condizioni è una ragionevole rinuncia al diritto di accesso. In seguito alla conclusione della sperimentazione ed all'analisi dei risultati i partecipanti devono poter accedere ai propri dati, qualora ne facciano richiesta. A tale scopo dovranno rivolgersi in primo luogo al medico o all'addetto del settore sanitario da cui sono stati curati durante la sperimentazione clinica oppure all'ente promotore della ricerca.
D 6: Un'azienda produttrice di farmaci o di apparecchiature mediche è tenuta ad aderire ai principi dell'approdo sicuro per quanto riguarda informativa, scelta, trasferimento successivo ed accesso in relazione alle attività di sicurezza e controllo dei suoi prodotti, comprese la segnalazione di eventi sfavorevoli e l'assistenza ai pazienti/soggetti che utilizzano particolari medicinali o apparecchiature mediche (ad esempio un pacemaker)?
R 6: No, nella misura in cui l'applicazione dei principi dell'approdo sicuro interferisce con il rispetto delle regolamentazioni. Questo vale sia per le segnalazioni fatte ad esempio da un addetto del settore sanitario alle aziende produttrici di farmaci e di apparecchiature mediche, sia per le segnalazioni fatte da tali aziende ad enti governativi, quali la Food and Drug Administration (l'organismo di controllo degli alimenti e dei farmaci).
D 7: Per non rivelare l'identità dei singoli partecipanti lo sperimentatore principale assegna invariabilmente ai dati della ricerca un codice di accesso unico. Le aziende farmaceutiche che promuovono tale ricerca non ricevono il codice di accesso. Soltanto il ricercatore ne è in possesso per poter essere in grado d'identificare il partecipante in circostanze particolari (ad esempio quando è necessario un supplemento d'assistenza medica). Un trasferimento dall'UE agli Stati Uniti di dati codificati in questo modo costituisce un trasferimento di dati personali soggetto ai principi dell'approdo sicuro?
R 7: No; questo modo di procedere non costituisce un trasferimento di dati personali soggetto ai principi in questione.
FAQ 15 - Informazioni pubbliche e di dominio pubblico
D: I principi di informativa, scelta, e successivo trasferimento vanno applicati anche alle informazioni che figurano in archivi e registri pubblici o sono comunque di pubblico dominio?
R: Non occorre applicare i principi di informativa, scelta o successivo trsferimento alle informazioni a carattere pubblico, a meno che non comprendano anche elementi non di pubblico dominio, e vengano rispettate le condizioni eventualmente stabilite per la consultazione dalla competente giurisdizione.
Parimenti, di norma non è necessario applicare i principi di informativa, scelta o successivo trasferimento ad informazioni di pubblico dominio, a meno che il trasferente europeo non indichi che le informazioni in questione sono soggette a restrizioni che comportano l'obbligo per l'organizzazione interessata di applicare tali principi. Le organizzazioni non sono responsabili dell'uso di siffatte informazioni da parte di chi le abbia ricavate da fonti pubblicate.
Qualora risulti che un'organizzazione abbia deliberatamente divulgato informazioni aventi carattere personale in violazione ai principi per trarre beneficio, o consentire a terzi di trarre beneficio, dalle eccezioni di cui sopra, l'organizzazione cessa di qualificarsi per l'approdo sicuro.

(1) Perché questa FAQ possa venir inclusa nel pacchetto è necessario il consenso delle autorità competenti per la tutela dei dati (ATD), che ne hanno discusso il testo attuale in seno al gruppo di lavoro dell'articolo 29. Una maggioranza di esse lo trova accettabile, ma le ATD sono disposte ad esprimersi in via definitiva unicamente nel contesto del parere globale fornito dal gruppo di lavoro in merito al pacchetto finale.
(2) Vedere la FAQ 7 sulla verifica.
(3) In questo punto la Commissione aveva proposto d'inserire la frase "e fintantoché siano rispettate le condizioni eventualmente stabilite dalla competente giurisdizione".
(4) Gli organismi preposti alla soluzione dei contenziosi non sono tenuti ad adeguarsi al principio delle garanzie d'applicazione. Nell'espletamento delle loro mansioni specifiche essi possono altresì derogare ai principi qualora incontrino obblighi contrastanti fra loro o autorizzazioni esplicite.
(5) Gli organismi preposti alla soluzione dei contenziosi dispongono di un margine di discrezione per quanto riguarda le circostanze in cui applicare tali sanzioni. La sensibilità dei dati in questione costituisce uno degli elementi da prendere in considerazione per decidere se richiederne la cancellazione, alla pari del fatto che un'organizzazione abbia raccolto, utilizzato o pubblicato informazioni contravvenendo in modo flagrante ai principi.