g-docweb-display Portlet

Il Gruppo Articolo 29 adotta un parere sul trattamento di dati personali effettuato da SWIFT (Society for Worldwide Interbank Financial Telecommun...

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Il Gruppo Articolo 29 adotta un parere sul trattamento di dati personali effettuato da SWIFT (Society for Worldwide Interbank Financial Telecommunication)

In occasione dell´incontro tenutosi il 21 e 22 novembre scorsi, il Gruppo di lavoro ex art. 29 si è occupato nuovamente del caso SWIFT e ha adottato all´unanimità il  Parere 128 in materia.

Nel Parere, il Gruppo di lavoro sottolinea che anche nel contesto della lotta al terrorismo ed alla criminalità occorre continuare a garantire i diritti fondamentali. Il Gruppo ribadisce, pertanto, la necessità di rispettare principi globali in materia di protezione dei dati.

SWIFT è un servizio mondiale di messaggistica finanziaria che facilita i trasferimenti internazionali di valuta. SWIFT registra tutti i messaggi per un periodo di 124 giorni presso due centri operativi, uno situato nell´UE e l´altro negli USA – secondo una modalità di trattamento che nel presente documento è definita "mirroring" (creazione di copie speculari). I messaggi contengono dati personali, quali i nominativi dei soggetti pagatori e dei relativi beneficiari. Successivamente agli attacchi terroristici del settembre 2001, il Ministero del Tesoro degli USA (UST) ha emesso una serie di ordinanze ingiuntive con le quali si chiedeva a SWIFT di fornire l´accesso ad informazioni contenute nei messaggi registrati negli USA. SWIFT ha ottemperato a tali ordinanze, pur negoziando alcune restrizioni all´accesso da parte di UST. Il caso è divenuto di pubblico dominio a  seguito di alcuni articoli di stampa comparsi fra la fine di giugno ed i primi di luglio 2006.

Essendo una cooperativa con sede in Belgio, SWIFT è soggetta alla legislazione belga in materia di protezione dei dati che ha recepito la Direttiva UE sul tema (Direttiva 95/46/CE, nel prosieguo "la Direttiva"). Le istituzioni finanziarie nell´UE che utilizzano i servizi di SWIFT sono soggette alle norme nazionali in materia di protezione dei dati che hanno recepito la Direttiva nei singoli Stati Membri nei quali esse sono stabilite.

CONCLUSIONI:

Nel Parere 128 del 22 novembre 2006, relativo al trattamento di dati personali da parte della Society for Worldwide Interbank Financial Telecommunication (SWIFT), adottato in data odierna, il Gruppo di lavoro ex art. 29 giunge alle seguenti conclusioni:

a) La Direttiva UE in materia di protezione dei dati (95/46/CE) si applica allo scambio di dati personali attraverso il servizio SWIFTNet FIN;

b) Ai sensi della Direttiva per il trattamento dei dati personali, SWIFT e le istituzioni finanziarie sono co-titolari del trattamento effettuato attraverso il servizio SWIFTNet FIN; la titolarità di tale trattamento spetta in via primaria a SWIFT, mentre le istituzioni finanziarie agiscono per taluni aspetti come titolari del trattamento dei dati personali dei rispettivi clienti;

c) SWIFT e le istituzioni finanziarie nell´UE hanno omesso di rispettare le disposizioni della Direttiva:

(i) SWIFT: Per quanto concerne il trattamento ed il mirroring di dati personali nel contesto del servizio SWIFTNet FIN, SWIFT in qualità di titolare deve adempiere agli obblighi che le fanno capo in base alla Direttiva, fra cui l´obbligo di fornire un´informativa, di effettuare la notificazione del trattamento, di garantire un livello adeguato di protezione al fine di soddisfare ai requisiti concernenti i trasferimenti internazionali di dati personali;

(ii) Istituzioni finanziarie: Le istituzioni finanziarie nell´UE in qualità di titolari sono soggette all´obbligo di legge di accertarsi che SWIFT rispetti appieno la normativa, in particolare la normativa sulla protezione dei dati, al fine di garantire la tutela dei propri clienti. Le istituzioni finanziarie sono tenute a disporre di informazioni sufficienti sui diversi sistemi di pagamento e le rispettive caratteristiche tecniche e giuridiche nonché sui rischi associati. Se le istituzioni finanziarie non si adoperassero (in misura sufficiente) al fine di ottenere tali informazioni, si esporrebbero ad un rischio considerevole in termini giuridici e di clientela, in violazione degli obblighi fondamentali di diligenza loro propri. In particolare, se alcuni servizi quali SWIFTNet FIN comportano trasferimenti massivi di dati in Paesi privi di protezione adeguata, alla luce della Direttiva, ovvero se sussiste la probabilità che tali trasferimenti si associno a rischi o problemi specifici in termini di privacy, il Gruppo di lavoro ritiene essenziale che le istituzioni finanziarie informino i singoli clienti, in quanto forniscono loro servizi professionali, conformemente ai requisiti fissati dalla Direttiva in materia di trasparenza.

d) Il Gruppo di lavoro ritiene che il deficit di trasparenza e la mancanza di meccanismi di controllo adeguati ed efficaci che risultano caratterizzare l´intera procedura di trasferimento dei dati personali prima negli USA, e successivamente all´UST, configurino una grave violazione alla luce della Direttiva. Inoltre, risultano violate le garanzie fissate dalla Direttiva rispetto al trasferimento di dati in Paesi terzi, nonché i principi di proporzionalità e necessità.

Per quanto riguarda la comunicazione di dati personali all´UST, il Gruppo di lavoro ritiene che il trasferimento di dati personali effettuato da SWIFT all´UST in modi occulti, sistematici, su base massiva ed in un´ottica di lungo periodo, secondo meccanismi confidenziali e non trasparenti, in assenza di un valido fondamento giuridico e senza alcuna possibilità di un controllo indipendente da parte delle autorità nazionali per la protezione dei dati, configuri una violazione dei principi fondamentali vigenti in Europa in materia di protezione dei dati e non sia conforme né al diritto belga né al diritto comunitario. Esiste già una griglia di riferimento internazionale per quanto concerne la lotta al terrorismo. È necessario fare uso delle opportunità già esistenti, garantendo al contempo la necessaria tutela di diritti fondamentali.
e) Il Gruppo di lavoro ricorda, ancora una volta, l´impegno delle società democratiche a garantire il rispetto dei diritti e delle libertà fondamentali delle persone. Il diritto di ciascun individuo alla protezione dei dati personali costituisce parte integrante di tali diritti e libertà fondamentali. Le direttive comunitarie in materia di protezione dei dati personali (Direttiva 95/46/CE e Direttiva 2002/58/CE) fanno parte dell´impegno in questione. Esse mirano a garantire il rispetto di diritti e libertà fondamentali, in particolare del diritto alla privacy con riguardo al trattamento di dati personali, nonché a contribuire al rispetto dei diritti sanciti dall´Articolo 8 della Convenzione europea dei diritti dell´Uomo, e dall´Articolo 8 della Carta dei diritti fondamentali dell´Unione europea. In tutti questi atti sono previste eccezioni per la lotta alla criminalità, ma tali eccezioni devono rispettare specifiche condizioni.

INTERVENTI IMMEDIATI NECESSARI ONDE MIGLIORARE LA SITUAZIONE ESISTENTE:

Alla luce delle considerazioni sopra esposte, il Gruppo di lavoro chiede l´immediata adozione delle misure di seguito indicate al fine di migliorare la situazione esistente:

a) Cessazione delle violazioni: SWIFT e le istituzioni finanziarie devono adempiere agli obblighi loro imposti dalla normativa nazionale ed europea, attivandosi onde garantire che ogni trasferimento di dati personali sia conforme alle norme di legge. In caso di mancata osservanza, i titolari potranno essere oggetto di sanzioni imposte dalle competenti autorità ai sensi della Direttiva e del diritto nazionale al fine di garantire l´osservanza delle norme.

b) Ripristino della liceità dei trattamenti: Il Gruppo di lavoro ex art. 29 invita SWIFT e le istituzioni finanziarie a prendere immediati provvedimenti onde porre rimedio alle illiceità in essere e ripristinare condizioni tali per cui i trasferimenti internazionali di valuta possano avvenire in piena conformità alla legislazione sulla protezione dei dati. Il Gruppo di lavoro si compiace che alcune autorità per la protezione dei dati abbiano già invitato le istituzioni finanziarie a individuare senza indugio le opportune soluzioni.

c) Misure concernenti SWIFT: Rispetto alla totalità delle operazioni di trattamento svolte, SWIFT in quanto titolare deve adottare le misure necessarie per adempiere agli obblighi previsti dalla normativa belga in materia di protezione dei dati che recepisce la Direttiva.

d) Misure concernenti le Banche centrali: La situazione esistente impone di fare chiarezza sulla vigilanza rispetto a SWIFT. Il Gruppo di lavoro raccomanda l´individuazione di soluzioni opportune al fine di garantire che tale vigilanza comprenda senza incertezze anche il rispetto, in particolare, delle norme di protezione dei dati, salvi i poteri delle autorità nazionali di controllo in materia di protezione dei dati, nonché al fine di assicurare la necessaria e tempestiva informazione, se del caso, delle pertinenti autorità. Il Gruppo di lavoro ritiene che l´inosservanza della normativa in materia di protezione dei dati possa costituire un ostacolo reale allo sviluppo di un rapporto fiduciario fra consumatori e banche, e quindi pregiudicare anche la stabilità finanziaria del sistema dei pagamenti (rischio reputazionale). Ostacoli di natura giuridica, quali gli obblighi connessi al segreto professionale dei soggetti incaricati della vigilanza, eventualmente invocabili per limitare l´incisività dei controlli da parte delle autorità indipendenti per la protezione dei dati, non possono essere utilizzati in presenza di violazioni di diritti costituzionali o diritti umani.

e) Misure concernenti le istituzioni finanziarie: Tutte le istituzioni finanziarie nell´UE che utilizzano il servizio SWIFTNet FIN, comprese le Banche centrali, devono assicurarsi, ai sensi degli Articoli 10 e 11 della Direttiva 95/46/CE, che la clientela sia adeguatamente informata sulle modalità di trattamento dei dati personali e sui diritti di cui godono gli interessati. Inoltre, esse devono informare i clienti in merito alla possibilità che ai dati in questione accedano autorità degli USA. Le autorità di controllo per la protezione dei dati assicureranno l´applicazione di tali prescrizioni onde garantirne l´osservanza da parte di tutte le istituzioni finanziarie a livello europeo, e collaboreranno alla definizione di informative armonizzate. Il Gruppo di lavoro ex art. 29 ricorda, al riguardo, il Parere adottato sull´armonizzazione delle disposizioni in materia di informativa.  Inoltre, appare opportuno che le istituzioni finanziarie e le Banche centrali valutino soluzioni tecniche alternative alle procedure attualmente in uso, conformemente ai principi della Direttiva.


Il Gruppo di lavoro desidera, inoltre, sottolineare quanto segue:

f) Tutela dei nostri valori fondamentali nella lotta alla criminalità: Il Gruppo di lavoro ricorda che qualsiasi misura adottata nella lotta contro la criminalità ed il terrorismo non può e non deve abbassare gli standard di tutela di diritti fondamentali che caratterizzano le società democratiche. Nella lotta al terrorismo, una componente essenziale è costituita dalla tutela dei diritti fondamentali che stanno a fondamento delle società democratiche, e che sono esattamente quelli che i sostenitori dell´impiego della violenza cercano di distruggere.

g) Principi globali in materia di protezione dei dati: Il Gruppo di lavoro ritiene essenziale che i principi in materia di protezione dei dati, fra cui la vigilanza esercitata da autorità indipendenti, siano rispettati appieno in tutti i contesti caratterizzati da sistemi globali per lo scambio di informazioni.

Il Parere WP128 è disponibile al seguente indirizzo:
http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2006_en.htm.

Bruxelles, 23 novembre 2006

Per il Gruppo di lavoro:
Peter Schaar
Presidente