Allegato IV
alla decisione della Commissione europea 00/520/CE, del 26 luglio 2000
ALLEGATO IV
Tutela della riservatezza e risarcimento danni, autorizzazioni legali, fusioni e
acquisizioni secondo la legge degli Stati Uniti
Il presente documento risponde alla richiesta della Commissione europea di
chiarimenti sulla legge statunitense per quanto riguarda a) risarcimento dei
danni per violazione della sfera privata (privacy), b) le "autorizzazioni
esplicite" previste dalla legge degli Stati Uniti per l'uso di dati
personali in modo contrastante con i principi "approdo sicuro" (safe
harbor), c) l'effetto delle fusioni e acquisizioni sugli obblighi assunti in
base a tali principi.
A. Risarcimento dei danni per violazione della privacy
Il mancato rispetto dei principi "approdo sicuro" potrebbe provocare,
secondo le circostanze, reclami da parte di privati. In particolare, le
organizzazioni aderenti ai principi "approdo sicuro" potrebbero essere
ritenute responsabili di falsa dichiarazione per non essersi attenute ai
principi cui hanno dichiarato di conformarsi. La legge prevede inoltre la
possibilità di intentare cause per il risarcimento dei danni conseguenti a
violazioni della privacy. Molte disposizioni di legge federali e dei singoli
Stati in materia di tutela della privacy, inoltre, prevedono per i privati la
possibilità di chiedere il risarcimento dei danni derivanti da violazioni.
Il diritto al risarcimento dei danni per violazione della privacy personale è
ben definito dalla legge statunitense.
Secondo varie teorie giuridiche, l'uso dei dati personali in modo contrastante
con i principi "approdo sicuro" può dar luogo ad una responsabilità
legale. Ad esempio, sia il responsabile del trasferimento dei dati, sia le
persone interessate potrebbero citare in giudizio per falsa dichiarazione
l'organizzazione aderente ai principi "approdo sicuro" che non
rispetti gli impegni presi. Secondo Restatement of the Law, Second, Torts(1):
Chi fraudolentemente rilascia una falsa dichiarazione in merito a fatti, pareri,
intenzioni o leggi allo scopo di indurre un'altra persona ad agire o a non agire
sulla base di tale dichiarazione, è responsabile del danno pecuniario che
questa persona abbia subito per aver prestato fede, per ragioni giusitificabili,
alla falsa dichiarazione.
Restatement § 525. Una falsa dichiarazione è considerata
"fraudolenta" se chi ne è l'autore è a conoscenza della sua
falsità. Ibidem § 526. Di norma, l'autore di una falsa dichiarazione
fraudolenta è potenzialmente responsabile nei confronti di chiunque egli
ritiene o prevede che possa dar credito a tale falsa dichiarazione per ogni
danno pecuniario da essa derivante. Ibidem § 531. Inoltre, chi rilascia ad
altri una falsa dichiarazione fraudolenta può essere ritenuto responsabile nei
confronti di terzi se ritiene o prevede che la sua falsa dichiarazione possa
essere ripetuta a terzi e che questi possano agire in base ad essa. Ibidem §
533.
Nel contesto dell'approdo sicuro, la dichiarazione pertinente è la
dichiarazione pubblica con la quale l'organizzazione s'impegna a conformarsi ai
principi "approdo sicuro". Avendo assunto un tale impegno,
un'inosservanza consapevole di quei principi potrebbe motivare un'azione legale
per falsa dichiarazione promossa da quanti hanno prestato fede alla falsa
dichiarazione. Poiché l'impegno ad attenersi ai principi è preso nei confronti
del pubblico in generale, le persone interessate e i responsabili del
trattamento in Europa che trasferiscono dati personali all'organizzazione
statunitense potrebbero intraprendere un'azione legale nei confronti
dell'organizzazione statunitense per falsa dichiarazione(2). Inoltre,
l'organizzazione statunitense rimane responsabile nei loro confronti per
"falsa dichiarazione continuata" fintanto che questi prestano fede,
con loro pregiudizio, alla falsa dichiarazione. Restatement, § 535.
Chi presta fede ad una falsa dichiarazione fraudolenta ha diritto al
risarcimento dei danni. Secondo il Restatement:
Il destinatario della falsa dichiarazione fraudolenta ha diritto al risarcimento
del danno pecuniario subito, in conseguenza della falsa dichiarazione.
Restatement, § 549. I danni risarcibili comprendono le perdite effettive oltre
che il mancato guadagno in una trasazione commerciale. Ibidem; cfr., ad esempio,
Boling v. Tennessee State Bank, 890 S.W.2d 32 (1994) (la banca è obbligata a
risarcire ai mutuatari 14825 USD per aver diffuso dati personali e piani
d'impresa dei mutuatari al presidente della banca che aveva con loro un
conflitto d'interessi).
Dato che la falsa dichiarazione fraudolenta implica la consapevolezza effettiva,
o quanto meno la convinzione della falsità della dichiarazione, la
responsabilità può anche essere estesa alla negligenza. Secondo Restatement,
chiunque rilasci una falsa dichiarazione nel corso della sua attività,
professione, o occupazione, o in una qualsiasi transazione pecuniaria, può
essere ritenuto responsabile "per negligenza o incompetenza nell'ottenere o
nel comunicare le informazioni". Restatement, § 552 (1). Contrariamente
alle false dichiarazioni fraudolente, il risarcimento dei danni subiti per
effetto di una falsa dichiarazione negligente è limitato alle perdite
effettive. Ibidem § 552B (1).
In un caso recente, ad esempio, la Corte Superiore del Connecticut ha ritenuto
che il fatto che un fornitore di energia elettrica avesse omesso di dichiarare
di aver comunicato informazioni relative ai pagamenti dei clienti ad agenzie di
credito nazionali giusitificava un'azione legale per falsa dichiarazione. Cfr.
Brouillard v. United Illuminating Co., 1999 Conn. Super. LEXIS 1754. In quel
caso, al ricorrente è stato rifiutato un credito perché il convenuto aveva
riferito di pagamenti "tardivi" perché non ricevuti entro trenta
giorni della data di fatturazione. Il ricorrente ha sostenuto di non essere
stato informato di queste condizioni al momento dell'apertura del conto per la
fornitura di elettricità. Il tribunale ha ritenuto che "l'omissione di una
dichiarazione a cui il convenuto è obbligato può giustificare una denuncia per
falsa dichiarazione negligente". Questo caso dimostra inoltre che la
"intenzionalità" o l'intenzione fraudolenta non è un elemento
necessario in un'azione legale per falsa dichiarazione negligente. Pertanto,
un'organizzazione statunitense che per negligenza ometta di dichiarare in modo
completo come utilizzerà le informazioni personali ricevute in base ai principi
"approdo sicuro", potrebbe essere ritenuta responsabile di falsa
dichiarazione.
In quanto comporta un uso improprio di dati personali, una violazione dei
principi "approdo sicuro" potrebbe anche giustificare una denuncia
della persona interessata per il reato di violazione delle privacy secondo la
common law. La legge degli Stati Uniti riconosce da molto tempo cause di azione
relative alla violazione della privacy. In una causa del 1905(3), la Corte
suprema della Georgia ha riconosciuto che il diritto alla privacy è radicato
nel diritto naturale e nei precetti della common law nel giudicare il caso di un
privato cittadino la cui fotografia era stata utilizzata da una compagnia di
assicurazioni sulla vita senza il suo consenso o a sua insaputa per illustrare
un annuncio pubblicitario. Formulando argomentazioni oggi familiari nella
giurisprudenza americana relativa alla privacy, la corte ha dichiarato che l'uso
della fotografia era "doloso", "falso" e tendente a
"mettere in ridicolo il ricorrente di fronte a tutti"(4). Le
motivazioni della sentenza Pavesich sono divenute, con minime variazioni, la
base del diritto statunitense in materia. I tribunali degli Stati hanno
costantemente sostenuto le cause d'azione nell'ambito della violazione della
privacy e almeno 48 Stati riconoscono ora giudizialmente tali cause d'azione(5).
Inoltre, in almeno dodici Stati esistono norme costituzionali che tutelano il
diritto dei cittadini alla non intrusione(6), e che in alcuni casi potrebbero
essere estese alla protezione da intrusioni commesse da organismi non
governativi. Cfr. ad esempio Hill v. NCAA, 865 P.2d 633 (Ca. 1994); cfr. anche
S. Ginder, Lost and Found in Cyberspace: Informational Privacy in the Age of the
Internet, 34 S.D. L. Rev. 1153 (1997) ("Le costituzioni di alcuni Stati
prevedono una tutela della privacy più rigorosa rispetto a quella della
costituzione degli Stati Uniti, Alaska, Arizona, California, Florida, Hawaii,
Illinois, Louisiana, Montana, Carolina del Sud e Washington sono gli Stati che
assicurano una maggiore tutela della privacy").
Il Second Restatement of Torts contiene un'autorevole rassegna della legge in
questo campo. Rispecchiando la prassi giudiziaria comune, il Restatement spiega
che il "diritto alla privacy" comprende quattro distinte cause di
azione per illecito civile (cfr. Restatement, § 652A). In primo luogo, una
causa d'azione per "intrusione nella sfera riservata" (intrusion upon
seclusion) è ammissibile contro chi violi intenzionalmente, fisicamente o in
altro modo, la solitudine o l'isolamento di un altro o i suoi affari o interessi
privati(7). In secondo luogo, una causa per "appropriazione" è
giustificata qualora una persona assuma il nome o le sembianze di un'altra a suo
uso o beneficio(8). In terzo luogo, la "pubblicità data a fatti
privati" dà il diritto di proporre un'azione in giudizio quando l'evento
reso pubblico è di natura tale da essere altamente offensivo per una persona
ragionevole e non è di legittimo interesse pubblico(9). Infine, un'azione per
"pubblicità calunniosa" è legittima quando il convenuto
intenzionalmente o imprudentemente mette pubblicamente un'altra persona in
cattiva luce in un modo altamente offensivo per qualsiasi persona
ragionevole(10).
Nell'ambito dei principi "approdo sicuro", la "intrusione nella
sfera riservata" potrebbe includere la raccolta non autorizzata di
informazioni personali, mentre l'uso non autorizzato di dati personali a scopi
commerciali potrebbe dar origine a una causa per "appropriazione".
Analogamente, una divulgazione di dati personali che fosse inesatta potrebbe
dare origine a un illecito civile per "pubblicità calunniosa" qualora
le informazioni in questione abbiano la caratteristica di essere altamente
offensive per una persona ragionevole. Infine, la violazione della privacy
derivante dalla pubblicazione o divulgazione di dati personali sensibili
potrebbe dar origine a una causa per "pubblicità data a fatti
privati" (cfr. gli esempi riportati qui di seguito).
Per quanto concerne il risarcimento dei danni, le violazioni della privacy
conferiscono alla parte lesa il diritto di ottenere un indennizzo per:
a) il pregiudizio per la privacy derivante dalla violazione;
b) il danno psicologico dimostrato, nel caso in cui esso sia di natura
normalmente attribuibile ad una tale violazione;
c) ogni danno particolare di cui la violazione sia una causa legale.
Restatement, § 652H. Data l'applicabilità generale del diritto civile e la
molteplicità delle cause d'azione riguardanti i diversi aspetti degli interessi
connessi alla privacy, il risarcimento dei danni può essere richiesto da quanti
hanno subito una violazione della privacy in conseguenza di un mancato rispetto
dei principi "approdo sicuro".
I tribunali degli Stati sono sommersi da cause relative alla violazione della
privacy in situazioni analoghe. Ex Parte AmSouth Bancorporation et al., 717 So.
2d 357, ad esempio, riguardava un'azione intentata da un gruppo di persone
(class action) in cui il convenuto era accusato di "avere sfruttato la
fiducia riposta nella banca dai depositanti, comunicando informazioni riservate
sui depositanti ed i loro conti" per consentire a una banca affiliata di
vendere fondi comuni di investimento ed altri tipi di investimenti. I danni
vengono spesso risarciti in tali casi. Nella causa Vassiliades v. Garfinckel's,
Brooks Bros., 492 A.2d 580 (D.C.App. 1985), una corte d'appello ha riformato la
sentenza del tribunale di grado inferiore sostenendo che l'utilizzo delle
fotografie del ricorrente "prima" e "dopo" un intervento di
chirurgia plastica durante una presentazione in un grande magazzino costituiva
una violazione della privacy attraverso la pubblicità data a fatti privati. In
Candebat v. Flanagan, 487 So.2d 207 (Miss. 1986), la compagnia di assicurazioni
convenuta aveva utilizzato un incidente in cui la moglie del ricorrente era
rimasta gravemente ferita per una campagna pubblicitaria. Il ricorrente l'ha
citata in giudizio per violazione della privacy. Il tribunale ha decretato il
risarcimento dei danni subiti dal ricorrente per lo stress emotivo e
l'appropriazione di identità. Le azioni legali per appropriazione indebita
possono essere sostenute anche se il querelante non è un personaggio famoso.
Cfr., ad esempio, Staruski v. Continental Telephone Co., 154 Vt. 568 (1990) (il
convenuto ha ottenuto vantaggi commerciali utilizzando il nome e la fotografia
di un dipendente in un'inserzione pubblicitaria). In Pulla v. Amoco Oil Co., 882
F.Supp. 836 (S.D Iowa 1995), un datore di lavoro ha violato la riservatezza del
dipendente ricorrente chiedendo ad un altro dipendente di effettuare controlli
sui movimenti della sua carta di credito per verificare i giorni di assenza per
malattia. Il tribunale ha concesso un risarcimento di 2 USD a titolo di
indennizzo per danni reali e di 500000 USD come sanzione. Un altro datore di
lavoro è stato ritenuto responsabile per aver pubblicato un articolo nel
giornale dell'azienda riguardante un dipendente che era stato licenziato per
aver falsificato le timbrature del suo cartellino. Cfr. Zinda v.
Louisiana-Pacific Corp., 140 Wis.2d 277 (Wis. App. 1987). L'articolo aveva
violato la privacy del ricorrente rendendo pubblico un fatto privato tramite un
giornale diffuso nella comunità. Infine, un college che aveva sottoposto i suoi
studenti al test dell'HIV dopo aver detto loro che il prelievo di sangue sarebbe
servito solo per un test sulla rosolia è stato giudicato responsabile di
intrusione nella sfera riservata. Cfr. Doe v. High-Tech Institute, Inc., 972
P.2d 1060 (Colo. App. 1998). (Per altri casi menzionati, cfr. Restatement, §
652H, Appendix.)
Gli Stati Uniti sono spesso criticati per il ricorso eccessivo ad azioni
giudiziarie, ma ciò significa anche che i singoli possono effettivamente adire
le vie legali qualora ritengano di essere stati danneggiati. Molti aspetti del
sistema giudiziario americano rendono più facile per chi subisce un torto
intentare un'azione, sia individualmente, sia come categoria. L'avvocatura,
comparativamente più ampia che nella maggior parte degli altri paesi, rende la
rappresentanza professionale immediatamente disponibile. L'avvocato di parte
civile, che rappresenta i singoli nelle cause private, decide liberamente i
propri onorari e questo permette anche a persone con basso reddito di chiedere
un risarcimento danni. Questo è un aspetto importante: negli Stati Uniti
ciascuna parte paga abitualmente gli onorari dei propri avvocati e le altre
spese legali, contrariamente alla prassi prevalente in Europa, dove la parte
soccombente deve rimborsare all'altra parte le spese processuali sostenute.
Senza dibattere dei vantaggi dei due sistemi, è meno probabile che la prassi
americana dissuada dall'intentare una causa legittima le persone che non
sarebbero in grado di sostenere le spese di entrambe le parti se dovessero
perdere la causa.
I singoli possono chiedere il risarcimento dei danni anche per somme
relativamente esigue. Nella maggior parte delle giurisdizioni americane, se non
in tutte, esistono tribunali per le cause di modesta entità (small claims
courts) che garantiscono procedure semplificate e meno costose per le
controversie di valore inferiore al limite fissato dalla legge(11). Anche le
possibili sanzioni pecuniarie (punitive damages) offrono una compensazione
finanziaria alle persone che hanno subito un lieve danno diretto e che fanno
causa per una condotta scorretta riprovevole. Infine, le persone che hanno
subito un danno identico possono mettere in comune le loro risorse e la loro
azione in giudizio per intentare una causa in quanto categoria o gruppo (class
action).
Un ottimo esempio di come i singoli possano intentare una causa per ottenere il
risarcimento di danni è la causa in corso contro Amazon.com per violazione
della privacy. Amazon.com, il grande sito di commercio elettronico, è oggetto
di un'azione legale da parte di un gruppo di persone che sostengono di non
essere stati informati e di non aver dato il loro consenso alla raccolta di dati
personali quando hanno utilizzato il software "Alexa" di proprietà di
Amazon. In questa causa gli attori hanno invocato una violazione del Computer
Fraud and Abuse Act per l'accesso illecito alle comunicazioni memorizzate e
dell'Electronic Communications Privacy Act per l'intercettazione illegale delle
loro comunicazioni elettroniche e telefoniche. Essi denunciano anche una
violazione delle privacy secondo l'accezione della common law. All'origine, vi
è una denuncia presentata da un esperto in sicurezza su Internet nel mese di
dicembre. La richiesta di risarcimento è di 1000 USD per ognuna delle persone
del gruppo, più l'onorario degli avvocati e il rimborso dei guadagni resi
possibili dalla violazione delle leggi. Poiché il numero di queste persone
dovrebbe essere dell'ordine di milioni, il risarcimento danni totale potrebbe
ammontare a miliardi di dollari. Anche la FTC (Federal Trade Commission) sta
esaminando i capi d'imputazione.
La legislazione federale e la legislazione degli Stati sulla privacy prevedono
spesso cause d'azione private per il risarcimento pecuniario.
Oltre a dar origine alla responsabilità civile nell'ambito del diritto degli
atti illeciti (tort law), l'inosservanza dei principi "approdo sicuro"
può anche comportare la violazione di qualcuna delle centinaia di leggi
federali e dei singoli Stati sulla privacy. Molte di queste leggi concernenti il
trattamento dei dati personali nei settori pubblico e privato consentono ai
singoli di chiedere il risarcimento dei danni qualora si verifichi una
violazione. Ad esempio:
Electronic Communications Privacy Act del 1986. L'ECPA vieta l'intercettazione
non autorizzata delle chiamate telefoniche tramite cellulare e delle
trasmissioni da computer a computer. Le violazioni possono comportare una
responsabilità civile non inferiore a 100 USD per ogni giorno di violazione. La
tutela dell'ECPA si estende anche all'accesso non autorizzato o alla
divulgazione delle comunicazioni elettroniche memorizzate. I trasgressori sono
responsabili dei danni subiti o dei mancati guadagni per effetto di una
violazione.
Telecommunications Act del 1996. A norma della sezione 702, le informazioni
sulla rete di proprietà riservata dell'utente (CPNI) non possono essere
utilizzate per uno scopo diverso dalla fornitura di serivizi di
telecomunicazione. Gli abbonati al servizio possono o presentare una denuncia
alla Federal Communications Commission o presentare istanza di risarcimento dei
danni e di rimborso degli onorari degli avvocati presso il tribunale del
distretto federale.
Consumer Credit Reporting Reform Act del 1996. La legge del 1996 ha emendato il
Fair Credit Reporting Act del 1970 (FCRA) per richiedere un'ulteriore notifica e
diritto di accesso per i soggetti di informazioni commerciali. Il Reform Act ha
anche imposto nuove restrizioni sui rivenditori di informazioni commerciali sui
consumatori. I consumatori possono ottenere il risarcimento dei danni e il
rimborso degli onorari degli avvocati in caso di violazione.
Le leggi degli Stati tutelano anche la sfera privata delle persone in un'ampia
gamma di situazioni. Gli Stati hanno adottato provvedimenti che riguardano i
rendiconti bancari, gli abbonamenti alle televisioni via cavo, le informazioni
commerciali, gli stati di servizio, la documentazione amministrativa, le
informazioni genetiche e le cartelle cliniche, le polizze assicurative, le
pagelle, le comunicazioni elettroniche ed il noleggio di videocassette(12).
B. Autorizzazioni legali esplicite
I principi "approdo sicuro" contengono un'eccezione qualora atti
legislativi, regolamenti o la giurisprudenza "comportino obblighi
contrastanti od autorizzazioni esplicite, purché nell'avvalersi di
un'autorizzazione siffatta un'organizzazione possa dimostrare che il mancato
rispetto dei principi da parte sua si limita a quanto strettamente necessario
per soddisfare i legittimi interessi d'ordine superiore tutelati da detta
autorizzazione". È ovvio che quando la legge statunitense impone
un'obbligazione conflittuale, le organizzazioni statunitensi, che aderiscano o
no ai principi "approdo sicuro", devono osservare la legge. Per quanto
riguarda le autorizzazioni esplicite, sebbene i principi "approdo
sicuro" intendano colmare le differenze tra il sistema americano e quello
europeo relativamente alla tutela della privacy, siamo tenuti al rispetto delle
prerogative legislative dei legislatori eletti. La limitata eccezione al
rigoroso rispetto dei principi "approdo sicuro" cerca di stabilire un
equilibrio in grado di conciliare i legittimi interessi delle parti.
L'eccezione è limitata ai casi in cui esiste un'autorizzazione esplicita.
Tuttavia, come caso limite, la legge, il regolamento o la decisione del
tribunale pertinenti devono esplicitamente autorizzare una particolare condotta
delle organizzazioni aderenti ai principi "approdo sicuro"(13). In
altre parole, l'eccezione non verrà applicata se la legge non prescrive nulla.
Inoltre, l'eccezione verrà applicata soltanto se l'esplicita autorizzazione è
in conflitto con il rispetto dei principi "approdo sicuro". Anche in
questo caso, l'eccezione "si limita a quanto strettamente necessario per
soddisfare i legittimi interessi d'ordine superiore tutelati da detta
autorizzazione". Ad esempio, se la legge si limita ad autorizzare
un'azienda a fornire dati personali alle pubbliche autorità, l'eccezione non
verrà applicata. Al contrario, se la legge autorizza espressamente l'azienda a
fornire dati personali ad organizzazioni governativi senza il consenso dei
singoli, ciò costituisce una "autorizzazione esplicita" ad agire in
contrasto con i principi "approdo sicuro". In alternativa, le
specifiche eccezioni alle disposizioni relative alla notifica al consenso
rientrerebbero nell'ambito dell'eccezione (dato che ciò equivarrebbe ad una
specifica autorizzazione a rivelare informazioni senza notifica e consenso). Ad
esempio, una legge che autorizzi i medici a fornire le cartelle cliniche dei
loro pazienti agli ufficiali sanitari senza il previo consenso dei pazienti
stessi potrebbe consentire un'eccezione ai principi di notifica e di scelta.
Tale autorizzazione non permetterebbe ad un medico di fornire le stesse cartelle
cliniche alle casse mutue malattie o ai laboratori di ricerca farmaceutica
perché ciò esulerebbe dall'ambito degli usi consentiti dalla legge e dunque
dall'ambito dell'eccezione(14). L'autorizzazione in questione può essere
un'autorizzazione "autonoma" a fare determinate cose con i dati
personali ma, come illustrato negli esempi di cui sopra, è probabile che si
tratti di un'eccezione a una legge generale che proscrive la raccolta, l'uso o
la divulgazione dei dati personali.
Telecommunications Act del 1996
In molti casi, gli usi autorizzati sono conformi alle disposizioni della
direttiva e ai principi oppure sono consentiti dall'una o dall'altra delle
eccezioni ammesse. Ad esempio, la sezione 702 del Telecommunications Act
(codificato in 47 U.S.C. § 222) impone agli operatori delle telecomunicazioni
l'obbligo di mantenere riservati i dati personali ottenuti nel corso della
fornitura dei loro servizi agli utenti. Tale disposizione consente in
particolare agli operatori delle telecomunciazioni di:
1. utilizzare le informazioni relative agli utenti per offrire un servizio di
telecomunicazione, inclusa la pubblicazione dei numeri di telefono degli
abbonati;
2. fornire informazioni sugli utenti a terzi dietro richiesta scritta
dell'utente; e
3. fornire informazioni sugli utenti in forma aggregata.
Cfr. 47 U.S.C. § 222(c)(1)-(3). La legge ammette anche un'eccezione
nell'utilizzo delle informazioni relative agli utenti da parte degli operatori
delle telecomunicazioni:
1. per l'avvio, la prestazione, la fatturazione e la riscossione per i servizi
resi;
2. per la protezione contro i comportamenti fraudolenti, abusivi o illegali;
3. per la fornitura di servizi di telemarketing, assistenza o amministrativi nel
corso di una chiamata da parte dell'utente(15).
Ibidem, § 222(d)(1)-(3). Infine, gli operatori delle telecomunicazioni sono
tenuti a fornire agli editori degli elenchi telefonici informazioni sull'elenco
degli abbonati che includano soltanto il nome, l'indirizzo, il numero di
telefono e il settore d'attività per gli utenti commerciali. Ibidem, § 222(e).
L'eccezione per "autorizzazioni esplicite" potrebbe entrare in gioco
qualora gli operatori delle telecomunicazioni utilizzino CPNI per prevenire la
frode o altri comportamenti illegali. Anche in questo caso, tali azioni
potrebbero essere considerate di "interesse pubblico" e consentite per
questa ragione dai principi.
Norme proposte dal ministero della Sanità
Il ministero della Sanità (HHS) ha proposto alcune norme riguardanti gli
standard della privacy relativamente alle informazioni sanitarie individualmente
identificabili. Cfr. 64 Fed. Reg. 59,918 (3 novembre 1999) (da codificare in 45
C.F.R. pts. 160-164). Tali norme daranno attuazione alle disposizioni sulla
privacy del Health Insurance Portability and Accountability Act del 1996. Pub.
L. 104-191. Le norme proposte vieterebbero in linea generale alle entità
interessate (quali sistemi sanitari, stanze di compensazione sanitarie ed
operatori sanitari che trasmettono informazioni sanitarie in formato
elettronico) l'utilizzo o la divulgazione di informazioni sanitarie riservate
senza l'autorizzazione dei singoli. Cfr. proposta 45 C.F.R. § 164.506. Le norme
proposte consentiranno la divulgazione di informazioni sanitarie protette
soltanto per due motivi: 1) per consentire ai singoli di esaminare e copiare le
informazioni sanitarie sul proprio conto, cfr. ibidem § 164.514; e 2) per far
rispettare le regole, cfr. ibidem § 164.522.
Le norme proposte consentirebbero l'uso o la divulgazione di informazioni
sanitarie protette, senza la specifica autorizzazione dei singoli, in limitate
circostanze. Queste ultime includono ad esempio la supervisione del sistema
sanitario, l'applicazione della legge, e le emergenze. Cfr. al § 164.510. Le
norme proposte fissano nei dettagli i limiti di tali usi o divulgazioni.
Inoltre, gli usi consentiti e le divulgazioni delle informazioni sanitarie
protette sarebbero limitati alla quantità minima necessaria. Cfr. ibidem al §
164.506.
Gli usi esplicitamente autorizzati dalle disposizioni proposte sono generalmente
conformi ai principi "approdo sicuro" o sono altrimenti consentiti da
un'altra eccezione. Ad esempio, l'applicazione della legge e l'amministrazione
giudiziaria sono consentiti, come pure la ricerca medica. Altri usi, quali la
supervisione del sistema sanitario, la funzione della salute pubblica ed i
sistemi informativi sanitari nazionali sono di pubblico interesse. Le
divulgazioni che servono per esaminare le richieste di contributi ed esenzioni
sanitarie sono necessarie per garantire l'assistenza sanitaria. Gli usi in
situazioni di emergenza, per la consultazione in caso di un parente prossimo
riguardo a un trattamento quando il consenso del paziente "non può
praticamente o ragionevolmente essere ottenuto" o per determinare la natura
o la causa della morte del deceduto, proteggono gli interessi vitali del
soggetto e degli altri. Gli usi per la gestione dei militari in servizio
effettivo ed altre particolari categorie di persone facilita l'appropriata
esecuzione della missione militare o di simili situazioni urgenti; in ogni caso,
tali usi avranno una ripercussione limitata o nulla sui consumatori in generale.
È consentito soltanto l'utilizzo di informazioni personali da parte delle
strutture sanitarie per la pubblicazione degli elenchi nominativi dei pazienti.
Anche se un tale uso potrebbe non raggiungere il livello di un interesse
"vitale", tali elenchi costituiscono un vantaggio reale per i
pazienti, i loro amici e parenti. Anche l'ambito di tale uso autorizzato è
intrinsecamente limitato. Pertanto, il ricorso all'eccezione ai principi per gli
usi "esplicitamente autorizzati" dalla legge a tale scopo presenta un
rischio minimo per la privacy dei pazienti.
Fair Credit Reporting Act
La Commissione europea ha espresso preoccupazioni per il fatto che l'eccezione
per "autorizzazioni esplicite" possa "dar luogo efficacemente a
un accertamento di adeguatezza" relativamente al Fair Credit Reporting Act
(FCRA). Questo non è il caso. In mancanza di uno specifico giudizio di
adeguatezza relativo al FCRA, le società americane che altrimenti si
baserebbero su tale giudizio dovrebbero impegnarsi ad attenersi sotto tutti gli
aspetti ai principi "approdo sicuro". Ciò significa che, qualora le
disposizioni del FCRA superino il livello di protezione assicurato dai principi,
le organizzazioni americane devono soltanto rispettare il FCRA. Nel caso in cui,
invece, il FCRA fosse insufficiente, tali organizzazioni dovranno conformare ai
principi le loro prassi in materia d'informazione. L'eccezione non modifica la
valutazione di base. Per sua natura, l'eccezione è applicabile soltanto quando
la legge pertinente autorizza esplicitamente un comportamento che non sarebbe
conforme ai principi "approdo sicuro". L'eccezione non verrebbe
applicata nel caso in cui le disposizione del FCRA non corrispondono ai principi
"approdo sicuro"(16).
In altre parole, non intendiamo l'eccezione nel senso che ciò che non è
obbligatorio è "esplicitamente autorizzato". Inoltre, l'eccezione è
applicabile soltanto quando ciò che è esplicitamente autorizzato dalla legge
degli Stati Uniti è in conflitto con le disposizione dei principi "approdo
sicuro". La legge in questione deve soddisfare entrambi questi elementi
prima che sia autorizzata la non conformità ai principi.
La sezione 604 del FCRA, ad esempio, autorizza esplicitamente le consumer
reporting agencies a pubblicare informazioni sui consumatori nelle varie
situazioni specificate. Cfr. FCRA, § 604. Se in tal modo la sezione 604
autorizza le agenzie ad operare in contrasto con i principi "approdo
sicuro", esse devono ricorrere all'eccezione (a meno che, naturalmente, non
sia applicabile un'altra eccezione). Le credit reporting agencies devono
conformarsi alle ordinanze del tribunale e alle ingiunzioni del grand jury e
l'uso delle informazioni da parte delle agenzie autorizzate, degli enti sociali
e di sostegno all'infanzia ha una finalità pubblica. Ibidem, § 604(a)(1),
(3)(D), e (4). Di conseguenza, la credit reporting agency non avrebbe bisogno di
far ricorso per questi scopi all'eccezione della "autorizzazione
esplicita". Se agisce conformemente alle istruzioni scritte dell'utente,
l'agenzia si conforma pienamente ai principi "approdo sicuro". Ibidem,
§ 604(a)(2). Similmente, le informazioni sui consumatori possono essere
ottenute per scopi attinenti all'occupazione soltanto con il conseno scritto dei
consumatori stessi [ibidem, §§ 604(a)(3)(B) e (b)(2)(A)(ii)] e per le
operazioni creditizie o assicurative che non sono di iniziativa del consumatore
soltanto se questi non ha scelto di esserne escluso [ibidem, § 604(c)(1)(B)].
Il FCRA vieta anche alle credit reporting agencies di fornire informazioni
sanitarie per scopi attinenti all'occupazione senza il consenso del consumatore.
Ibidem, § 604(g). Questi usi sono conformi ai principi di notifica e di scelta.
Le altre finalità autorizzate dalla sezione 604 riguardano le transazioni che
implicano il consumatore e sono per tale motivo consentite dai principi. Cfr.
ibidem, § 604(a)(3)(A) e (F).
L'ultimo uso "autorizzato" dalla sezione 604 riguarda i mercati
secondari del credito. Ibidem, § 604(a)(3)(E). Non c'è di per sé conflitto
tra l'uso di informazioni sui consumatori e i principi "approdo
sicuro". È vero che il FCRA non prevede, ad esempio, che le credit
reporting agencies notifichino ai consumatori o chiedano il loro consenso
all'atto della pubblicazione di informazioni a tale scopo. Tuttavia, ribadiamo
che l'assenza di un obbligo non implica una "autorizzazione esplicita"
ad agire in un modo diverso da quello prescritto. Analogamente, la sezione 608
consente alle credit reporting agencies di fornire dati personali a organismi
pubblici. Una tale "autorizzazione" non giustifica che una credit
reporting agency ignori il suo impegno a rispettare i principi "approdo
sicuro". Ciò contrasta con gli altri nostri esempi in cui le eccezioni ai
principi di notifica affermativa e di scelta servono ad autorizzare
esplicitamente l'uso di dati personali senza notifica o scelta.
Conclusione
Dalla nostra sommaria rassegna di queste leggi emergono distintamente alcune
linee:
- "L'autorizzazione esplicita" consente generalmente l'uso o la
divulgazione di dati personali senza il previo consenso del singolo; perciò,
l'eccezione è limitata ai principi di notifica e di scelta.
- Nella maggior parte dei casi, le eccezioni autorizzate dalla legge sono
definite in modo preciso per essere applicate in situazioni e per finalità
specifiche. In tutti i casi la legge vieta altrimenti l'uso non autorizzato o la
divulgazione di dati personali al di fuori di questi limiti.
- Nella maggior parte dei casi, rispecchiando la loro natura legislativa, l'uso
o la divulgazione autorizzata sono di pubblico interesse.
- In quasi tutti i casi, gli usi autorizzati sono o pienamente conformi ai
principi "approdo sicuro" o rientrano in una delle altre eccezioni
ammesse.
In conclusione, l'eccezione per "esplicite autorizzazioni" prevista
dalla legge avrà probabilmente, per sua natura, un campo d'applicazione
alquanto limitato.
C. Fusioni e acquisizioni
Il gruppo di lavoro "articolo 29" ha espresso preoccupazione per le
situazioni in cui un'organizzazione che ha aderito ai principi "approdo
sicuro" viene rilevata da o si fonde con una società che non ha assunto
l'impegno di rispettare tali principi. Il gruppo di lavoro sembra ritenere che
l'azienda rilevante non sia tenuta ad applicare i principi "approdo
sicuro" ai dati personali in possesso dell'azienda rilevata, ma questo non
è necessariamente il caso per la legge degli Stati Uniti. La regola generale
negli Stati Uniti per quanto concerne le fusioni e le acquisizioni è che la
società che acquista il capitale sociale di un'altra si assume generalmente gli
obblighi e le resonsabilità della società rilevata. Cfr. 15 Fletcher
Cyclopedia of the Law of Private Corporations § 7117 (1990); cfr. anche Model
Bus. Corp. Act § 11.06(3) (1979) ("la società risultante assume tutte le
responsabilità delle società partecipanti alla fusione"). In altre
parole, la società che rileva per fusione o acquisizione un'impresa che ha
aderito ai principi "approdo sicuro" sarà in questo modo vincolata
dagli impegni assunti da quest'ultima.
Inoltre, anche se la fusione o l'acquisizione fossero effettuate tramite il
trasferimento di attivi, le responsabilità della società acquisita
vincolerebbero comunque la società acquisente in alcune circostanze. 15
Fletcher, § 7122. Anche nel caso in cui le responsabilità non sopravvivessero
alla fusione, va tuttavia osservato che queste non sopravviverebbero ad una
fusione qualora i dati fossero trasferiti dall'Europa in base ad un contratto
(la sola alternativa possibile all'approdo sicuro per il trasferimento di dati
negli Stati Uniti). Inoltre, i documenti "approdo sicuro" nella loro
versione modificata richiedono ora che ogni impresa che abbia aderito ai
principi notifichi al Dipartimento del commercio ogni acquisizione e permettono
che i dati continuino ad essere trasferiti alla società subentrante solo se
essa aderisce ai principi (cfr. FAQ 6). In virtù delle modifiche ora apportate
al quadro "approdo sicuro", le società americane che si trovano in
questa situazione hanno l'obbligo di cancellare le informazioni ricevute in tale
quadro nel caso in cui gli impegni da loro assunti non siano mantenuti o non
siano adottate altre salvaguardie adeguate.
(1) Second Restatement of the Law - Torts; American Law Institute (1997) (2.
Bearbeitung der Rechtsgrundsätze, Sachgebiet unerlaubte Handlungen,
Amerikanisches Rechtsinstitut).
(2) Questo potrebbe essere il caso, per esempio, delle persone che hanno dato il
loro consenso al trasferimento negli Stati Uniti di dati personali confidando
nell'impegno dell'organizzazione statunitense ad attenersi ai principi
"approdo sicuro".
(3) Pavesich v. New England Life Ins. Co., 50 S.E. 68 (Ga. 1905).
(4) Ibidem, a 69.
(5) Una ricerca elettronica effettuata nella base di dati Westlaw ha rilevato
2703 casi di azioni civili nei tribunali nazionali relativi alla
"privacy" a partire dal 1995. Abbiamo già presentato alla Commissione
i risultati di tale ricerca.
(6) Cfr. ad esempio Alaska Constitution, Art. 1, Sez. 22; Arizona, Art. 2, Sez.
8; California, Art. 1, Sez. 1; Florida, Art. 1, Sez. 23; Hawaii, Art. 1, Sez. 5;
Illinois, Art. 1, Sez. 6; Louisiana, Art. 1, Sez. 5; Montana, Art. 2, Sez. 10;
New York, Art. 1, Sez. 12; Pennsylvania, Art. 1, Sez. 1; South Carolina, Art. 1,
Sez. 10; e Washington, Art. 1, Sez. 7.
(7) Ibidem, Capitolo 28, Sezione 652B.
(8) Ibidem, Capitolo 28, Sezione 652C.
(9) Ibidem, Capitolo 28, Sezione 652D.
(10) Ibidem, Capitolo 28, Sezione 652E.
(11) Abbiamo già fornito alla Commissione le informazioni relative alle azioni
di modesta entità.
(12) Una recente ricerca elettronica sulla base di dati Westlaw ha individuato
994 cause per risarcimento danni e violazione della privacy.
(13) Come elemento di chiarificazione, l'autorizzazione legale pertinente non
dovrà far specifico riferimento ai principi "approdo sicuro".
(14) Analogamente, il medico dell'esempio non potrebbe basarsi su
un'autorizzazione legale per non tenere conto della possibilità di rifiutare la
commercializzazione diretta prevista per i singoli dalla FAQ 12. L'ambito di
qualsiasi eccezione per "autorizzazione esplicita" è necessariamente
limitato all'ambito dell'autorizzazione conformemente alla legge in materia.
(15) L'ambito di tale eccezione è molto limitato. In quanto tale, l'operatore
delle telecomunicazioni può utilizzare CPNI soltanto durante una chiamata fatta
dal cliente. Inoltre, siamo stati informati dalla FCC che esso non può
utilizzare CPNI per commercializzare servizi che esulino dall'ambito della
richiesta dell'utente. Infine, dato che l'utente deve approvare l'uso di CPNI a
tale scopo, questa disposizione non costituisce realmente una
"eccezione".
(16) Queste nostre osservazioni non vanno intese come un'ammissione del fatto
che il FCRA non prevede una "adeguata" protezione. Una valutazione del
FCRA deve tener conto della tutela assicurata dalla legge nella sua interezza e
non concentrarsi sulle sole eccezioni, come facciamo qui. |
Pagina stampabile
