Copyright © Ambiente Diritto.it
Info: AmbienteDiritto.it - Consulenza DPS (privacy)
Garante per la Protezione dei Dati
Personali - Autorizzazione al trasferimento di dati personali dal
territorio dello Stato verso responsabili del trattamento residenti in Paesi
terzi, in conformita' a quanto previsto dalla decisione della Commissione
europea del 27 dicembre 2001, n. 2002/16/CE.
(GU n. 105 del 7-5-2002)
IL GARANTE PER LA PROTEZIONE DEI DATI
PERSONALI
Nella
riunione odierna, in presenza del prof. Stefano Rodota', presidente, del prof. Giuseppe
Santaniello, vice-presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan,
componenti e del dott. Giovanni Buttarelli, segretario generale;
Visto
l'art. 25 della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del
24 ottobre 1995 secondo cui i dati personali possono essere trasferiti in un
Paese non appartenente all'Unione europea ualora il Paese terzo garantisca un livello di protezione adeguato,
secondo quanto previsto nel paragrafo 2 del medesimo articolo;
Visto
l'art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato
principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento
o una categoria di trasferimenti di dati personali verso un Paese terzo che non
garantisce un livello di protezione adeguato, qualora il titolare del trattamento
presenti garanzie sufficienti per la tutela della vita privata e dei diritti e
delle liberta' fondamentali delle persone, nonche' per l'esercizio dei diritti
connessi, risultanti anche da clausole contrattuali appropriate;
Visto
il comma 4 del medesimo art. 26 sulle decisioni della Commissione europea in
materia di clausole contrattuali tipo;
Vista
la decisione della Commissione europea del 27 dicembre 2001, n. 2002/16/CE (pubblicata
nella Gazzetta Ufficiale delle Comunita' europee L 6/52 del 10 gennaio 2002)
secondo la quale alcune clausole contrattuali tipo, allegate alla medesima
decisione, costituiscono garanzie sufficienti per la tutela della vita privata
e dei diritti e delle liberta' fondamentali delle persone, nonche' per
l'esercizio dei diritti connessi, in caso di trasferimento di dati personali a responsabili
del trattamento residenti in Paesi terzi, a norma degli articoli 17, paragrafo 3,
e 26, paragrafo 2, della direttiva 95/46/CE;
Considerato
che gli Stati membri europei devono adottare le misure necessarie per
conformarsi alla decisione della Commissione, ai sensi del paragrafo 4 del
citato art. 26 della direttiva;
Visto
l'art. 28 della legge 31 dicembre 1996, n. 675, come modificato dall'art. 10
del decreto legislativo 28 dicembre 2001, n. 467, secondo cui il trasferimento
dei dati personali all'estero puo' avvenire:
a)
qualora l'ordinamento dello Stato di destinazione o di transito dei dati assicuri
un livello di tutela delle persone adeguato;
b)
oppure, qualora ricorra uno dei casi previsti nel comma 4 del medesimo
articolo;
c)
in ogni caso, qualora sia autorizzato dal Garante sulla base di adeguate garanzie
per i diritti dell'interessato, prestate anche con un contratto, ovvero
individuate dalla Commissione europea con le decisioni previste dagli articoli
25, paragrafo 6, e 26, paragrafo 4, della direttiva n. 95/46/CE del Parlamento e
del Consiglio del 24 ottobre 1995 (comma 4, lettera g);
Vista
la deliberazione n. 35 del 10 ottobre 2001 con la quale questa Autorita' ha autorizzato
il trasferimento di dati personali dal territorio dello Stato verso Paesi non
appartenenti all'Unione europea in conformita' alle clausole contrattuali tipo di
cui all'allegato alla decisione della Commissione europea del 15 giugno 2001,
n. 2001/497/CE;
Ritenuto
che le nuove clausole contrattuali tipo, che sono state articolate dalla
Commissione in undici clausole e due appendici anche sulla base del parere
favorevole del Gruppo delle autorita' garanti europee di cui all'art. 29 della
citata direttiva, prevedono alcune garanzie per i diritti dell'interessato da
ritenere adeguate ai sensi del citato art. 28, comma 4, lettera g);
Considerato
che i soggetti che utilizzano le citate clausole contrattuali possono prevedere
ulteriori garanzie per le persone cui si riferiscono i dati, rispetto alle
garanzie minime previste dalle clausole medesime;
Rilevato
che la decisione della Commissione riguarda unicamente i trasferimenti di dati
effettuati a partire dal territorio dello Stato da un titolare del trattamento
avente sede nella Comunita' (soggetto esportatore) ad un responsabile del medesimo
trattamento (soggetto importatore) residente in un Paese terzo che non assicura
un livello di protezione adeguato, e che la citata decisione n. 2001/497/CE della
Commissione ha gia' individuato le clausole contrattuali tipo per i trasferimenti
di dati effettuati da un titolare del trattamento avente sede nella Comunita'
ad un diverso titolare del trattamento residente al di fuori della Comunita'
medesima;
Ritenuta
la necessita' di assicurare ulteriore pubblicita' alle predette clausole
contrattuali tipo, disponendo la loro pubblicazione nella Gazzetta Ufficiale
della Repubblica italiana in allegato alla presente autorizzazione;
Ritenuta
la necessita' di formulare nel dispositivo alcune precisazioni nell'esercizio
dei compiti demandati a questa Autorita' richiamati anche dalla citata
decisione della Commissione, nei limiti necessari per la prima fase di applicazione
del presente provvedimento;
Ritenuto
di dover riservare la scelta del Garante di svolgere o meno, caso per caso, il
ruolo di mediazione previsto dalla clausola n. 7, paragrafo 1, lettera a) della
decisione;
Riservata
la specificazione di ulteriori criteri e modalita' in base all'esperienza
maturata nell'utilizzazione delle clausole, anche in sede comunitaria;
Vista
la documentazione d'ufficio;
Viste
le osservazioni dell'ufficio, formulate dal segretario generale ai sensi dell'art.
15 del regolamento del Garante, n. 1/2000;
Relatore
il prof. Gaetano Rasi;
Tutto
cio' premesso il Garante
1)
autorizza i trasferimenti di dati personali dal territorio dello Stato verso Paesi
non appartenenti all'Unione europea, effettuati sulla base e in conformita'
alle clausole contrattuali tipo di cui all'allegato alla decisione della
Commissione europea del 27 dicembre 2001, n. 2002/16/CE, con effetto dal 3
aprile 2002 e sulla base dei seguenti presupposti:
a)
il soggetto esportatore e il soggetto importatore devono richiamare o incorporare
le clausole nei contratti relativi al trasferimento dei dati in modo da
renderle riconoscibili anche alle persone cui si riferiscono i dati e che chiedano
di averne conoscenza, provvedendo a rendere conoscibile su richiesta di queste ultime
anche una descrizione generale delle misure di sicurezza adottate, ed evitando
altresi' la previsione di clausole limitative o incompatibili (clausole numeri
4, lettera h) e 5, lettera g);
considerando alla decisione n. 4);
b)
la copia del contratto relativo al trasferimento e le altre informazioni necessarie
devono essere fornite al Garante solo a richiesta di questa Autorita' (clausola
n. 8 e art. 32, comma 1, legge n. 675/1996);
c)
deve essere comunicata al Garante la scelta che e' stata effettuata in caso di
controversia non risolta in via amichevole e sottoposta all'esame di un soggetto
diverso dal Garante o dall'autorita' giudiziaria (clausola n. 7, par. 2 e par.
1, lettera a);
2)
si riserva, in conformita' alla normativa comunitaria, alla legge n. 675/1996 e
all'art. 4 della decisione della Commissione, di svolgere i necessari controlli
sulla liceita' e correttezza dei trasferimenti di dati e delle operazioni di trattamento,
e di adottare eventuali provvedimenti di blocco o di divieto di trasferimento;
3)
dispone la trasmissione del presente provvedimento e dell'allegata decisione della
Commissione all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia
per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma,
10 aprile 2002
Il
presidente Rodota'
Il
relatore Rasi
Il
segretario generale Buttarelli
Allegato omesso