Deliberazione 10 ottobre 2001, n.36 del Garante per la Protezione dei dati personali “Autorizzazione al trasferimento di dati personali dal territorio dello Stato verso organizzazioni aventi sede negli Stati Uniti effettuati in base ai “principi di approdo sicuro in matreria di riservatezza” applicati in conformità alle “Domande più frequenti” (FAQ) e all’uleriore documentazione allegata alla decisione della Commissione europea del 26 luglio 2000/520/CE.

image_pdfimage_print

DELIBERAZIONE 10 ottobre 2001

Autorizzazione  al  trasferimento di dati personali dal territorio dello  Stato  verso  organizzazioni  aventi  sede  negli  Stati Uniti effettuati  in  base  ai  “Principi  di  approdo sicuro in materia diriservatezza”  applicati in conformita’ alle “Domande piu’ frequenti” (FAQ) e all’ulteriore docu”terrtcrzione allegata alla decisione della Commissione   europea   del   26   luglio   2000,   n.   2000/520/CF. (Deliberazione n. 36)

(Pubblicata nel supplemento ordinario alla Gazzetta Ufficiale  n.275 del 26 novembre 2001)

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella  riunione  odierna,  in  presenza del Prof. Stefano Rodota’, presidente,  del  Prof.  Giuseppe  Santaniello,  vice-presidente, del Prof.  Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott.Giovanni Buttarelli, segretario generale;
Visto  l’art. 25, paragrafi nn. 1 e 2, della direttiva n. 95/46/CE del  Parlamento  europeo  e del Consiglio del 24 ottobre 1995 secondo cui  i  dati  personali  possono  essere  trasferiti  in un Paese non appartenente  all’Unione europea qualora il Paese terzo garantisca un livello di protezione adeguato, secondo quanto previsto nel paragrafo 2 del medesimo articolo;
Visto  il  paragrafo  6  del  medesimo art. 25 secondo il quale la Commissione  europea puo’ constatare che un Paese terzo garantisce un livello  di  protezione  adeguato ai sensi del citato paragrafo 2, ai fini  della  tutela della vita privata o dei diritti e delle liberta’ fondamentali della persona;
Vista la decisione della Commissione europea del 26 luglio 2000 n. 2000/520/CE  (pubblicata  sulla  Gazzetta  Ufficiale  delle Comunita’ europee  L 215 del 25 agosto 2000 e L 115 del 25 aprile 2001) secondo la  quale  i  “Principi di approdo sicuro in materia di riservatezza” allegati  alla  medesima  decisione,  applicati  in  conformita’ agli orientamenti   forniti  da  talune  “Domande  piu’  frequenti”  (FAQ) parimenti  allegate,  garantiscono  un livello adeguato di protezione dei  dati  personali  trasferiti  dalla  Comunita’  ad organizzazioni aventi  sede  negli  Stati  Uniti  sulla  base  della  documentazione pubblicata   dal  Dipartimento   del   commercio   statunitense  ivi menzionata;
Considerato che gli Stati membri europei devono adottare le misure necessarie per conformarsi alla decisione della Commissione, ai sensi del paragrafo 6 del citato art. 25 della direttiva;
Visto  l’art.  28 della legge 31 dicembre 1996, n. 675 secondo cui il  trasferimento  dei  dati  personali  all’estero puo’ avvenire:

a) qualora  l’ordinamento  dello Stato di destinazione o di transito dei dati  assicuri  un  livello di tutela delle persone adeguato o, se si tratta  di  dati sensibili o di taluni dati di carattere giudiziario, di  grado  pari  a  quello  assicurato  dall’ordinamento italiano;
b) oppure,  qualora  ricorra  uno  dei  casi  previsti  nel  comma 4 del medesimo  articolo; 

c)  in  ogni  caso,  qualora sia autorizzato dal Garante   sulla   base   di   adeguate   garanzie   per   i   diritti dell’interessato,  prestate  anche  con  un contratto (comma 4, lett. g));
Ritenuta  la  necessita’  di  adottare  una  misura necessaria per l’applicazione  della  Decisione  della Commissione in conformita’ al citato  art.  28,  nelle more del completamento del recepimento della citata direttiva n. 95/46/CE;
Ritenuto  che i sette Principi allegati alla Decisione e precisati in  n.  15 FAQ, su cui si e’ espresso con vari pareri ed osservazioni anche  il  Gruppo  delle autorita’ garanti europee di cui all’art. 29 della  citata  direttiva,  prevedono  alcune  garanzie  per i diritti dell’interessato  che  in  conformita’  al  diritto comunitario vanno ritenute adeguate ai sensi del citato art. 28, comma 4, lett. g);
Considerato  che  i  soggetti  che  applicano  i predetti Principi possono   prevedere   ulteriori   garanzie  per  le  persone  cui  si riferiscono   i   dati,  rispetto  a  quelle  minime  previste  dalla richiamata Decisione;
Rilevato  che  la Decisione della Commissione puo’ essere adattata alla  luce dell’esperienza acquisita nella sua attuazione o alla luce di nuove normative intervenute negli Stati Uniti (art. 4);
Visti  gli  articoli  2 e 3 della Decisione in tema di controlli e provvedimenti  delle  autorita’  di garanzia degli Stati membri sulla liceita’  e  correttezza  dei trasferimenti e dei trattamenti di dati anteriori  ai  trasferimenti  medesimi,  anche  in relazione a quanto previsto  dall’articolo  4  della  direttiva  n. 95/46/CE sul diritto nazionale applicabile;
Vista  la  FAQ  n.  5 sul ruolo che le autorita’ di garanzia degli Stati   membri   dovrebbero   svolgere   con  la  cooperazione  delle organizzazioni  statunitensi  che ricevano dati personali dall’Unione europea,  anche  nell’ambito  di  un  comitato  (panel)  informale di autorita’  costituito  a  livello  europeo  cui  il  Garante  intende partecipare;

Rilevato  che le autorita’ di garanzia degli Stati membri, riunite nel  Gruppo  di  cui all’art. 29 della direttiva europea n. 95/46/CE, hanno  aderito all’inserimento della FAQ n. 5 nel pacchetto di misure previsto dalla Decisione della Commissione;
Ritenuta  la  necessita’  di  assicurare  ulteriore pubblicita’ ai predetti  Principi  disponendo  la  loro pubblicazione sulla Gazzetta Ufficiale   della  Repubblica  italiana  in  allegato  alla  presente autorizzazione;
Vista la documentazione d’ufficio;
Viste  le  osservazioni  dell’Ufficio,  formulate  dal  segretario generale  ai  sensi  dell’art.  15  del  regolamento  del Garante, n. 1/2000;
Relatore il prof. Giuseppe Santaniello;

 

TUTTO CIO’ PREMESSO IL GARANTE:

1)  autorizza  i  trasferimenti  di  dati personali dal territorio dello  Stato  verso  organizzazioni  aventi  sede  negli  Stati Uniti effettuati sulla base e in conformita’ ai “Principi di approdo sicuro in  materia  di riservatezza”, applicati in conformita’ alle “Domande piu’  frequenti”  (FAQ)  e all’ulteriore documentazione allegata alla Decisione   della   Commissione   europea   del  26  luglio  2000  n.2000/520/CE;
2)   si   riserva  di  svolgere,  in  conformita’  alla  normativa comunitaria, alla legge n. 675/1996, all’art. 3 della Decisione della Commissione  e  all’allegata  FAQ.  n. 5, i necessari controlli sulla liceita’  e  correttezza  dei  trasferimenti  e  delle  operazioni di trattamento anteriori ai trasferimenti medesimi, nonche’ sul rispetto dei  predetti  Principi,  e  di  adottare  eventuali provvedimenti di blocco o di divieto di trasferimento;
3)   dispone   la   trasmissione   del  presente  provvedimento  e dell’allegata  decisione  della Commissione all’Ufficio pubblicazione leggi   e   decreti   del   Ministero  della  giustizia  per  la  sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.
Roma, 10 ottobre 2001

IL PRESIDENTE: Rodota’
IL RELATORE: Santaniello
IL SEGRETARIO GENERALE: Buttarelli