La trasmissione di dati personali da parte di Postfinance a un istituto bancario sul territorio statunitense deve fondarsi su un motivo giustificativo e l'interessato deve esserne debitamente informato. In seguito al nostro intervento, Postfinance ha adattato la sua prassi e ha proposto misure che tengono conto delle nostre osservazioni.
Un cliente ha trasmesso a Postfinance, per mezzo del servizio Yellownet, un ordine di trasferimento di una certa somma di dollari americani sul conto di un’agenzia viaggi cubana presso una banca a Zurigo. Sul conto postale del cliente è stata addebitata la cifra richiesta, ma la società cubana non l’ha ricevuta. Alla domanda del cliente, Postfinance ha risposto che il suo versamento era stato bloccato dalle autorità statunitensi a causa dell’embargo deciso nei confronti di Cuba e che l’importo si trovava su un conto del ministero delle finanze (U.S. Department of Treasury). Questa situazione è spiegata dal fatto che le transazioni in valuta estera avvengono tramite un istituto bancario all’estero, in questo caso un istituto bancario americano, che sottostà alla legislazione degli Stati Uniti, secondo la quale tutte le operazioni finanziarie in relazione con Cuba devono essere comunicate. Il cliente ha fatto notare a Postfinance che il suo versamento riguardava due istituti finanziari con sede in Svizzera (Postfinance e la banca a Zurigo) e che sul sito di Yellownet non era per nulla indicato che le transazioni in valuta estera all’interno della Svizzera passano attraverso un altro Stato.
Su richiesta dell’interessato, abbiamo analizzato il trattamento dei dati personali eseguito da Postfinance nel suo caso. La legge federale sulla protezione dei dati si applica alla trasmissione di dati personali da Postfinance alla banca negli Stati Uniti. Per contro, le comunicazioni di dati da questa banca alle autorità statunitensi non sottostanno alla legislazione svizzera, ma al diritto americano. Postfinance è autorizzato a trasmettere i dati personali alla banca statunitense soltanto se sussiste un motivo giustificativo, ossia il consenso dell’interessato, un interesse pubblico preponderante o una legge. Nel presente caso, si possono prendere in considerazione due motivi giustificativi: il consenso dell’interessato o un interesse preponderante privato. Per essere valido, il consenso deve essere volontario ed informato. L’interessato deve essere pertanto informato chiaramente dei dati che saranno comunicati e anche del fatto che questi saranno trasmessi a uno Stato che non dispone di una legislazione sulla protezione dei dati equivalente al diritto svizzero. L’interessato deve inoltre essere informato del fatto che il destinatario dei dati può essere obbligato dalla legislazione dello Stato in questione a fornire i dati alle autorità. A prescindere dal consenso dell’interessato, Postfinance può far valere anche un interesse preponderante privato per trasmettere alla banca i dati necessari alla realizzazione del contratto concluso con il proprio cliente. Le esigenze in materia di trasparenza, che derivano dal principio della buona fede, richiedono tuttavia un’informazione appropriata, in particolare quando la personalità dell’interessato può essere lesa perché manca un sistema di protezione dei dati equivalente al sistema svizzero. Nella presente fattispecie abbiamo constatato che l’informazione non era sufficiente. Inoltre, per le comunicazioni sistematiche a un destinatario che si trova in uno Stato senza legislazione equivalente, il fornitore dei dati personali deve garantire mediante un contratto con il destinatario un livello di protezione dei dati che sia equivalente alla protezione assicurata dalla legislazione svizzera.
Sulla base dei risultati delle nostre analisi, abbiamo invitato Postfinance a informare debitamente gli interessati e ad assicurare per mezzo di un contratto con il destinatario che i dati trasmessi siano trattati in modo adeguato. In risposta alla nostra richiesta, Postfinance ha proposto misure che tengono conto delle nostre osservazioni. In futuro l’istituto trasmetterà alla banca corrispondente solo l'importo della transazione, il nome e il numero di conto della banca destinataria in Svizzera nonché un numero di riferimento. Se una transazione viene bloccata, Postfinance interviene presso le autorità estere non appena ha ricevuto una procura dell'interessato. Per informare gli interessati, Postfinance modificherà la clausola sulla protezione dei dati nell'ambito dei prossimi adattamenti delle condizioni generali.
[Luglio 2006]