AS 2009 1793
Scambio di lettere del 1<sup>o</sup> e del 9 dicembre 2008 tra la Svizzera e gli Stati Uniti d'America concernente l'istituzione di un quadro normativo per la trasmissione di dati personali negli Stati Uniti
Scambio di lettere del 1° e del 9 dicembre 2008 tra la Svizzera e gli Stati Uniti d’America concernente l’istituzione di un quadro normativo per la trasmissione di dati personali negli Stati Uniti
Entrato in vigore mediante scambio di note il 16 febbraio 2009
Traduzione1
Incaricato federale della protezione Berna, 9 dicembre 2008 dei dati e della trasparenza IFPDT L’Incaricato
Signora Michelle O’Neill Deputy Under Secretary for International Trade United States Department of Commerce Washington, D.C. 20230
Gentile Signora O’Neill, confermiamo di aver ricevuto la Sua lettera del 1° dicembre 2008, dal tenore seguente:
«Ho l’onore di trasmetterle i principi dell’«approdo sicuro» in materia di protezione dei dati tra gli Stati Uniti e la Svizzera nonché le domande più frequenti (FAQ) relative alla loro attuazione, un memorandum sull’applicazione dell’«approdo sicu- ro» e un memorandum su protezione dati e risarcimento danni, autorizzazioni legali, fusioni e acquisizioni secondo la legge degli Stati Uniti. Questi documenti sono stati pubblicati dal Dipartimento del commercio degli Stati Uniti il 1° dicembre 20082. Le invio inoltre alcune lettere delle competenti autorità statali degli Stati Uniti autoriz- zate a esaminare denunce in caso di mancato rispetto dei principi dell’«approdo sicuro» in materia di protezione dei dati. I principi dell’«approdo sicuro» in materia di protezione dei dati tra gli Stati Uniti e la Svizzera sono l’espressione del nostro obiettivo comune di migliorare la prote- zione dei dati dei nostri cittadini e di rafforzare la certezza del diritto a beneficio delle imprese di entrambi i Paesi. Detti principi tengono conto del fatto che la tra- smissione di dati personali dalla Svizzera in un Paese terzo è permessa soltanto se il Paese in questione garantisce un livello di protezione adeguato.
RS 0.235.233.6
1 Dal testo originale inglese.
2 La versione inglese di tali documenti può essere ottenuta presso l’Incaricato federale della protezione dei dati e della trasparenza.
2008-2898 1793
Istituzione di un quadro normativo concernente la trasmissione RU 2009 di dati personali negli Stati Uniti
Il Dipartimento pubblica i documenti allegati, nell’ambito delle sue competenze e in collaborazione con la Svizzera, per promuovere e sviluppare il commercio interna- zionale. Basandosi su questa lettera e sui documenti allegati, la Svizzera ha inten- zione di riconoscere l’adeguatezza della protezione garantita dai principi dell’«approdo sicuro» applicati in conformità alle FAQ, poiché tale protezione è conforme all’articolo 6 della legge federale sulla protezione dei dati. Tali documenti non pregiudicano altre disposizioni di tale legge che riguardano il trattamento dei dati in Svizzera. Entrambi i documenti, vale a dire i principi dell’«approdo sicuro» e le FAQ («i Principi») costituiscono linee guida vincolanti per le imprese e le altre organizza- zioni statunitensi che ricevono dati personali dalla Svizzera e che desiderano poter disporre di un quadro normativo più chiaro per la prosecuzione di tale trasmissione. Il memorandum sull’applicazione dell’approdo sicuro e gli altri documenti ausiliari hanno lo scopo di esporre come le modalità di attuazione degli Stati Uniti, basate sulla legge e su altre disposizioni oppure sull’autoregolamentazione, siano conformi ai principi di applicazione e come esse garantiscano che l’impegno di un’organizzazione a rispettare i Principi sia effettivamente osservato. I documenti dell’«approdo sicuro» devono essere interpretati alla luce della legislazione statuni- tense e delle sue note peculiarità, come l’azione di gruppo e il patto di quota lite. Le imprese e le altre organizzazioni statunitensi possono usufruire dei vantaggi dell’«approdo sicuro» autocertificando di rispettarne i Principi. Il Dipartimento del commercio ha intenzione di compilare un elenco di tutte le organizzazioni che autocertificano il rispetto dei Principi. Tale elenco e le notifiche ricevute dalle orga- nizzazioni, che contengono informazioni sull’attuazione dei Principi, vanno resi accessibili al pubblico, come pure ogni accertamento ordinario e definitivo operato da un’autorità esecutiva statunitense e notificato al Dipartimento del commercio (o ai suoi incaricati), secondo il quale un’organizzazione dell’«approdo sicuro» ha violato ripetutamente i Principi. Se un’organizzazione adotta misure di protezione dei dati basate in tutto o in parte sull’autoregolamentazione, il mancato rispetto delle
norme di autoregolamentazione è perseguibile anche in forza delle disposizioni contenute nella sezione 5 del Federal Trade Commission Act, che proibisce atti sleali e ingannevoli, o di disposizioni legali analoghe a quelle esposte nei Principi. I Principi sono applicabili unicamente a imprese e organizzazioni che rientrano nell’ambito di competenza della Federal Trade Commission (FTC) o del Diparti- mento dei trasporti (DOT) e rispettano i Principi attuati in conformità alle FAQ. I Principi non sono perciò applicabili agli istituti finanziari, comprese le banche, le casse di risparmio e le unioni di credito, agli operatori pubblici di reti di telecomuni- cazioni, alle imprese di trasporto interstatali, ai commercianti di bestiame e di carne, ai produttori di carne come pure a tutti i soggetti giuridici e agli atti che non sotto- stanno all’autorità dell’FTC in materia di atti o pratiche sleali o ingannevoli oppure non rientrano nell’ambito di competenza del DOT (Allegato III). Il quadro normativo istituito dai principi dell’«approdo sicuro» Svizzera-USA appli- cati in conformità alle FAQ, dovrà probabilmente essere rivisto alla luce delle espe- rienze e sviluppi rilevanti. Il Dipartimento del commercio e l’Incaricato federale
Istituzione di un quadro normativo concernente la trasmissione RU 2009 di dati personali negli Stati Uniti
della protezione dei dati e della trasparenza si consulteranno in merito a ogni propo- sta di modifica dei Principi o di altri documenti delle linee guida. Il quadro normativo istituito dai principi dell’«approdo sicuro» Svizzera-USA appli- cati in conformità alle FAQ entra in vigore dopo la notificazione dell’espletamento di tutte le procedure legislative interne e resta in vigore fintantoché la Svizzera o gli Stati Uniti non comunichino per iscritto all’altro Stato la propria intenzione di denunciare il quadro normativo. Tale comunicazione deve avvenire sei mesi prima della data in cui si prevede la denuncia debba avere effetto. Allegato I Principi di «approdo sicuro» in materia di protezione dei dati tra la Svizzera e gli Stati Uniti Allegato II Domande più frequenti (FAQ) Allegato III Applicazione dell’«approdo sicuro» Allegato IV Protezione dei dati e risarcimento danni, autorizzazioni legali, fusio- ni e acquisizioni secondo la legge degli Stati Uniti Allegato V Autorità statali degli Stati Uniti autorizzate a esaminare denunce»
Condividiamo il contenuto della lettera e riconosciamo che il quadro costituito dai principi dell’«approdo sicuro» applicati in conformità alle FAQ istituisce, per quanto riguarda il suo campo d’applicazione, un quadro giuridico che garantisce un’adeguata protezione dei dati. Per questa ragione le imprese statunitensi che autocertificano di rispettare i Principi dell’«approdo sicuro» in materia di protezione dei dati tra gli Stati Uniti e la Svizzera sono considerate imprese che dispongono di un livello di protezione dei dati adeguato ai sensi dell’articolo 6 capoverso 1 LPD (Legge federale sulla protezione dei dati3). Segnaliamo inoltre che l’Incaricato federale della protezione dei dati e della traspa- renza può raccomandare, al fine di tutelare gli interessati con riferimento al tratta- mento dei dati personali che li riguardano, di sospendere flussi di dati diretti a un’impresa o a un’organizzazione che ha autocertificato la sua adesione ai principi applicati in conformità alle FAQ («i Principi») nei casi in cui la competente autorità statunitense o un organismo indipendente di ricorso abbia accertato che l’organizzazione in questione viola i Principi applicati in conformità alle FAQ, oppure sia molto probabile che i Principi vengano violati; vi siano ragionevoli motivi per ritenere che l’organismo di esecuzione competente non stia adottando o non adotterà misure adeguate e tempestive per risolvere un caso concreto, la conti- nuazione del trasferimento dei dati potrebbe determinare un rischio imminente di gravi danni per gli interessati e le competenti autorità svizzere abbiano fatto il possi- bile, date le circostanze, per informare l’organizzazione dandole l’opportunità di replicare. La raccomandazione di sospendere i flussi è revocata non appena sia garantito il rispetto dei Principi applicati in conformità alle FAQ e ciò sia stato notificato alle competenti autorità svizzere. Ove informazioni provino che uno degli organismi incaricati di garantire la conformità ai principi applicati conformemente alle FAQ negli Stati Uniti non svolge la sua funzione in modo efficace, il Governo
3 RS 235.1
Istituzione di un quadro normativo concernente la trasmissione RU 2009 di dati personali negli Stati Uniti
Svizzero ne informa il Dipartimento del commercio degli Stati Uniti e, se neces- sario, presenta progetti di misure al fine di annullare o sospendere la presente deci- sione o limitarne il campo d’applicazione.
Ringraziandola della collaborazione, Le esprimiamo i sensi della nostra alta conside- razione.
Hans-Peter Thür