Messico: Adozione di una nuova legge sulla protezione dei dati personali – brevi cenni comparativi con la Direttiva Europea 95/46/EC.

Messico: Adozione di una nuova legge sulla protezione dei dati personali – brevi cenni comparativi con la Direttiva Europea 95/46/EC.

Giannini Silvia

Versione PDF del documento

Dal 5 luglio 2010 è vigente negli Stati Uniti Messicani, la legge sul trattamento dei dati personali (Ley federal de protección de datos personales en posesión de los particulares), quale conseguenza diretta del mandato costituzionale di cui all’art. 16, introdotto nel 2009, proprio in tema di protezione e trattamento dei dati personali. La nuova legge ha disposto un periodo di grazia di 18 (diciotto) mesi per gli individui e le aziende messicane, al fine di consentire l’implementazione e l’adozione delle necessarie misure di sicurezza richieste dalla normativa.

La normativa messicana si ispira fortemente alla Direttiva Europea 95/46/EC sia in merito ai principi alla base del trattamento dei dati personali sia in merito alle definizioni, con particolare riferimento alla caratterizzazione della qualifica di titolare e di responsabile del trattamento dei dati personali, nonché della nozione di trattamento (definizione estesa che include ogni e qualsivoglia processazione e attività sul dato).

La normativa messicana in tema di protezione dei dati personali si applica al trattamento dei dati personali – ovvero qualsiasi informazione afferente individui identificati o identificabili – eseguito da individui o da società, con eccezione del trattamento eseguito da:

  • società che gestiscono sistemi di informazione creditizia (credit bureau) sottoposti a normativa speciale e separata: di conseguenza le informazioni creditizie nella accezione più completa (anagrafica cliente e dati sul comportamento di pagamento) non sono sottoposti ai vincoli della normativa in materia di protezione dei dati personali, ricadendo in un regime speciale;

  • soggetti che eseguono trattamento e conservazione dei dati personali esclusivamente a scopo personale (e non a scopo di divulgazione e/o commerciale)

All’art. 6 della legge messicana sulla privacy, si declinano gli otto principi che il titolare deve rispettare nel trattamento dei dati personali, di forte matrice e derivazione europea ma anche di altre legislazioni a carattere locale, che trovano coniugazione anche nei diversi articoli della citata legge; fra gli altri si rilevano:

  1. la qualità dei dati, ovvero i dati personali, in particolare, devono essere trattati lealmente e lecitamente e rilevati per finalità determinate, esplicite e legittime. Essi devono inoltre essere esatti e, se necessario, aggiornati, come declinato all’art. 11;

  2. la legittimazione del trattamento di dati: il trattamento dei dati personali può essere effettuato solo con il consenso esplicito della persona interessata o se il trattamento è necessario per eseguire un contratto di cui una persona è parte ovvero per l’esecuzione di un contratto di cui è parte la persona interessata od adempiere un obbligo legale al quale è soggetto il responsabile del trattamento o salvaguardare l’interesse vitale della persona interessata o l’esecuzione di una funzione di interesse pubblico. In tal senso l’art. 10 disciplina espressamente i casi di esimente del consenso

  3. l’informazione delle persone interessate dal trattamento dei dati: il titolare del trattamento deve fornire all’interessato determinate informazioni (identità del responsabile del trattamento, finalità del trattamento, destinatari dei dati, ecc.);

  4. la proporzionalità del trattamento, ovvero il trattamento dei dati è legittimato esclusivamente dallo scopo/finalità definita all’interno della notifica/informativa rilasciata all’interessato.

Altro aspetto interessante è che la legge messicana definisce i soggetti i cui dati personali afferiscono per i quali il titolare del trattamento dei dati personali è chiamato ad eseguire tale obbligo di notifica/informativa, quali “Proprietari dei dati personali” laddove la Direttiva Europea li definisce “Interessati”. L’accezione proprietaria della legge messicana, oltre a trovare riscontro nei sistemi legali costituzionali di diversi paesi latini-americani, trova la sua ratio nella volontà di estendere la tipologia di azioni e di tutele a disposizione di tali soggetti nei confronti del titolare del trattamento, più ampia rispetto all’accezione affermata dalla Direttiva Europea.

Sempre nell’ottica di un parallelismo fra la legge messicana e la Direttiva Europea, la definizione e determinazione dei “dati sensibili”, seppure improntata alla citata direttiva, costituisce un meius, in quanto include nella definizione i dati genetici – definizione del tutto mancante nella parallela definizione della succitata direttiva – salvo però essere più in generale manchevole rispetto ad una tutela ed una disciplina specifica in materia di dati e informazioni giudiziarie.

A differenza della normativa europea, non è previsto alcun obbligo di notificazione e registrazione del trattamento dei dati personali presso l’autorità garante per la protezione dei dati personali: l’obbligo di notifica si esaurisce fornendo all’interessato l’informativa ovvero i dettagli concernenti la tipologia di trattamento, i mezzi, i dettagli sul titolare/responsabile del trattamento: obbligo che si applica a tutti i trattamenti dei dati personali indipendentemente dalla loro fonte (ovvero raccolti direttamente dagli interessati o da terze parti).

Ai sensi dell’art. 16 della legge sul trattamento dei dati messicana, l’informativa, da rilasciarsi al proprietario dei dati attraverso la stampa, mezzi audio-visivi, digitale o altre tecnologie, dovrà specificare le modalità di trattamento, l’identità del titolare del trattamento dei dati personali, la finalità del trattamento, i diritti a disposizione degli interessati in relazione al trattamento dati nonché la notifica di eventuali trasferimenti/comunicazione a terzi di tali dati personali, in linea con quanto dettagliato nella Direttiva Europea.

Si rileva un aspetto fondamentale in relazione all’obbligo dell’informativa: laddove, i dati personali sono direttamente raccolti presso gli interessati, l’informativa deve essere rilasciata al momento in cui i dati sono raccolti, salvo che sia possibile rilasciarla anticipatamente (art. 17 (I)). Laddove i dati sono ottenuti attraverso mezzi elettronici, audio-visivi o altri mezzi, il titolare dei dati personali deve fornire immediatamente agli interessati le informazioni di cui all’art. 16 precedentemente commentato nonché i meccanismi per ottenere l’informativa completa.

Qualora sia particolarmente difficile per la quantità dei dati personali processati, di cui al trattamento, da notificare ovvero l’impegno sia sproporzionato rispetto all’obbligo, la legge concede al titolare del trattamento dei dati personali, con l’autorizzazione dell’autorità garante per la protezione dei dati personali, la facoltà di implementare misure alternative, al fine di conformarsi alla normativa in materia di protezione dei dati personali.

In linea generale, il trattamento dei dati personali è condizionato al consenso: il consenso è necessario, fermo restando che per la raccolta, l’uso e la divulgazione di dati personali, il consenso è implicito (opt-out). Pertanto, se il “proprietario dei dati personali” non si oppone al trattamento all’atto del ricevimento dell’informativa, il consenso si intende garantito e concesso, implicitamente.

Laddove la legge dispone che per il trattamento di dati finanziari nonché per il trattamento dei dati sensibili, il consenso sia espresso: in tali casi, il consenso deve essere scritto e rilasciato anche a mezzo di firma elettronica. Qualora il titolare intenda trattare i dati per uno scopo non compatibile con la finalità determinata e dichiarata nell’informativa, dovrà raccogliere altro consenso dall’interessato.

La legge riconosce ai proprietari dei dati diversi diritti: all’art. 28 viene specificato che il proprietario dei dati personali ha il diritto di accesso, rettifica, cancellazione o opposizione. In tal senso la richiesta di accesso, rettifica, cancellazione o opposizione deve contenere almeno:

  1. i dettagli del proprietario dei dati personali a cui notificare la risposta alla richiesta;

  2. documenti con i quali accertare identità del proprietario dei dati personali (in caso di entità, si riferisce al legale rappresentante della società);

  3. una chiara e precisa descrizione dei dati personali per i quali il proprietario dei dati personali esercita i diritti.

La legge dispone un obbligo – analogo obbligo è del tutto assente nella Direttiva Europea, si rileva che la nomina del responsabile del trattamento è infatti libera facoltà del titolare dei dati persoanli – di individuare al proprio interno un referente o un dipartimento incaricato di processare le richieste dei proprietari dei dati personali.

Il titolare del trattamento dei dati personali si impegna, entro 20 (venti) giorni dalla ricevimento della richiesta del proprietario dei dati personali a contattare il medesimo ed entro 15 giorni a dare riscontro; le tempistiche possono essere estese per una sola volta in caso di gravi circostanze.

La richiesta di accesso si intende evasa qualora il proprietario delle informazioni riceva riscontro anche via e-mail alla propria richiesta o tramite mezzo elettronico o altra modalità.

La comunicazione dei dati personali da parte del titolare dei dati personali al proprietario dei dati personali, all’atto della richiesta di accesso, è gratuita dietro evidenza della propria identità e al proprietario dei dati personali si potrà richiedere esclusivamente il rimborso delle spese di spedizione o delle spese di copiatura o fornitura, in altro mezzo, dei dati. La legge, altresì specifica che qualora lo stesso interessato/proprietario dei dati personali ripeta la propria richiesta per più volte nell’arco dei 12 mesi, i costi rimborsabili non saranno maggiore del compenso per 3 giorni di salario minimo vigente in Città del Messico (circa 12 dollari), salvo che vi siano state variazioni nell’informativa.

Altro elemento essenziale è la disciplina del trasferimento dei dati personali, tema di notevole importanza se si pensa al possibile scambio di dati che può accadere fra società operanti su diversi paesi.

La legge chiaramente dispone che qualora il trasferimento avvenga verso una terza parte – diversa rispetto al responsabile del trattamento che agisce e può trattare i dati in nome del titolare dei dati personali – il titolare dovrà preventivamente informare i proprietari dei dati in merito alla finalità del trattamento e raccogliere il consenso di tali soggetti. Resta inteso che la terza parte sarà autorizzata a processare e trattare i dati nel rispetto delle medesime obbligazioni assunte dal titolare. L’art. 37 della legge sul trattamento dei dati messicana specifica che non è necessario il consenso qualora:

  • il trasferimento avvenga in conformità ad un trattato o una legge di cui il Messico fa parte;

  • il trasferimento sia necessario per diagnosi medica o per ragioni connesse alla tutela della salute;

  • il trasferimento sia eseguito verso società controllanti, controllate o sottoposte al medesimo controllo del titolare dei dati personali o verso una società appartenente al medesimo gruppo a cui appartiene il titolare dei dati personali, operanti nel rispetto delle medesime policies e processi interni;

  • il trasferimento sia necessario nell’interesse del proprietario dei dati;

  • il trasferimento sia necessario per salvaguardare un interesse pubblico;

  • il trasferimento sia necessario per l’esercizio di un diritto in un procedimento giudiziale

  • il trasferimento sia necessario per mantenere o eseguire un rapporto contrattuale fra il titolare dei dati personali e i proprietari dei dati.

Di conseguenza, in punta di norma, i titolari dei dati personali operanti in Messico che fanno parte di gruppi societari operanti su diversi livelli, sono autorizzati a trattare i dati e a comunicarli, trasferirli anche all’estero, verso società appartenenti al medesimo gruppo, a condizione e fino a quando le stesse gestiscono e trattano i dati in conformità alla notifica privacy fornita dal titolare dei dati personali.

In tale contesto, riveste una particolare e fondamentale importanza la notifica/informativa privacy in quanto il titolare dovrà dettagliare la finalità del trattamento e i soggetti verso i quali intende operare il trasferimento.

Infine, la legge messicana nel definire le sanzioni applicabili in caso di violazione dei termini della legge, statuisce un sistema incrementale di penali: si parte da circa settecento sessantatre mila e settecento USD, fra l’altro, per condotta negligente nel trattamento dei dati personali, per dichiarazioni false in merito all’esistenza di dati personali presso la propria azienda e i propri database interni, per omissione di uno o più elementi essenziali nella informativa privacy fino ad una penale pari a un milione e quattrocento mila dollari per violazione della confidenzialità nel trattamento dei dati personali, per trasferimento di dati personali a terze parti senza preventiva divulgazione del trasferimento programmato che vengono raddoppiate per violazioni perpetrate.

Sono previste anche pene più severe come il carcere qualora si processino dati per profitto causando una violazione seria della sicurezza (da tre mesi a tre anni) o qualora la processazione avvenga per trarre ingiusto profitto ( da sei mesi a cinque anni) fino ad arrivare a raddoppiare tali pene, qualora si processino dati sensibili in violazione dei termini di legge.

Si deve dare atto della volontà e dell’intenzione del legislatore messicano di introdurre un sistema di norme e regole a tutela dell’individuo e dei propri dati personali, laddove, il dato personale/l’informazione, che sempre maggiore valore assume all’interno di società evolute tecnologicamente come la nostra, era sprovvisto di una efficace tutela.

Si segnalano, sebbene il testo sia ampiamente e senza alcuna negazione da parte del legislatore messicano, ispirato al testo della attuale direttiva europea in vigore 95/46/EC, alcune debolezze quali:

  1. un sistema efficace di controllo/notifica nei confronti dell’autorità a protezione dei dati personali: in tal senso, si ricorda che non è necessaria alcuna registrazione/notifica verso tale autorità che ha quale compito istituzionale più che altro quello di direzione e di studio/interpretazione della legge;

  2. il riconoscimento del valore vincolante di un consenso presunto, implicito (opt-out), laddove, si considera necessario ed espresso solo per alcune categorie di dati, lasciando alla libera iniziativa dell’interessato/proprietario dei dati personali l’iniziativa a tutela dei propri interessi. Tale specifica disciplina del consenso, vero è che si allontana dal testo di direttiva europea sui dati personali, che comunque prevede espressamente un consenso, salvo i casi di esimente, si pone in linea, comunque, con la direttiva 2002/58/EC con riguardo alle comunicazioni indesiderate a scopo di commercializzazione diretta, che aveva rimesso agli Stati membri la scelta delle misure da adottare tra due sistemi: quello dell’opt in, dove è necessario un consenso preventivo da parte dell’abbonato, e l’opt out, dove al contrario è prescritta la necessità di un suo espresso diniego a ricevere questo tipo di chiamate. In tal senso, proprio rilevando la necessità di creare sistemi o procedure differenti a seconda dell’importanza strategica dell’informazione/dato personale.

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it