DELIBERAZIONE 10 ottobre 2001
Autorizzazione al trasferimento di dati personali dal territorio dello Stato verso organizzazioni aventi sede negli Stati Uniti effettuati in base ai “Principi di approdo sicuro in materia diriservatezza” applicati in conformita’ alle “Domande piu’ frequenti” (FAQ) e all’ulteriore docu”terrtcrzione allegata alla decisione della Commissione europea del 26 luglio 2000, n. 2000/520/CF. (Deliberazione n. 36)
(Pubblicata nel supplemento ordinario alla Gazzetta Ufficiale n.275 del 26 novembre 2001)
Visto l’art. 25, paragrafi nn. 1 e 2, della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 secondo cui i dati personali possono essere trasferiti in un Paese non appartenente all’Unione europea qualora il Paese terzo garantisca un livello di protezione adeguato, secondo quanto previsto nel paragrafo 2 del medesimo articolo;
Visto il paragrafo 6 del medesimo art. 25 secondo il quale la Commissione europea puo’ constatare che un Paese terzo garantisce un livello di protezione adeguato ai sensi del citato paragrafo 2, ai fini della tutela della vita privata o dei diritti e delle liberta’ fondamentali della persona;
Vista la decisione della Commissione europea del 26 luglio 2000 n. 2000/520/CE (pubblicata sulla Gazzetta Ufficiale delle Comunita’ europee L 215 del 25 agosto 2000 e L 115 del 25 aprile 2001) secondo la quale i “Principi di approdo sicuro in materia di riservatezza” allegati alla medesima decisione, applicati in conformita’ agli orientamenti forniti da talune “Domande piu’ frequenti” (FAQ) parimenti allegate, garantiscono un livello adeguato di protezione dei dati personali trasferiti dalla Comunita’ ad organizzazioni aventi sede negli Stati Uniti sulla base della documentazione pubblicata dal Dipartimento del commercio statunitense ivi menzionata;
Considerato che gli Stati membri europei devono adottare le misure necessarie per conformarsi alla decisione della Commissione, ai sensi del paragrafo 6 del citato art. 25 della direttiva;
Visto l’art. 28 della legge 31 dicembre 1996, n. 675 secondo cui il trasferimento dei dati personali all’estero puo’ avvenire:
a) qualora l’ordinamento dello Stato di destinazione o di transito dei dati assicuri un livello di tutela delle persone adeguato o, se si tratta di dati sensibili o di taluni dati di carattere giudiziario, di grado pari a quello assicurato dall’ordinamento italiano;
b) oppure, qualora ricorra uno dei casi previsti nel comma 4 del medesimo articolo;
Ritenuta la necessita’ di adottare una misura necessaria per l’applicazione della Decisione della Commissione in conformita’ al citato art. 28, nelle more del completamento del recepimento della citata direttiva n. 95/46/CE;
Ritenuto che i sette Principi allegati alla Decisione e precisati in n. 15 FAQ, su cui si e’ espresso con vari pareri ed osservazioni anche il Gruppo delle autorita’ garanti europee di cui all’art. 29 della citata direttiva, prevedono alcune garanzie per i diritti dell’interessato che in conformita’ al diritto comunitario vanno ritenute adeguate ai sensi del citato art. 28, comma 4, lett. g);
Considerato che i soggetti che applicano i predetti Principi possono prevedere ulteriori garanzie per le persone cui si riferiscono i dati, rispetto a quelle minime previste dalla richiamata Decisione;
Rilevato che la Decisione della Commissione puo’ essere adattata alla luce dell’esperienza acquisita nella sua attuazione o alla luce di nuove normative intervenute negli Stati Uniti (art. 4);
Visti gli articoli 2 e 3 della Decisione in tema di controlli e provvedimenti delle autorita’ di garanzia degli Stati membri sulla liceita’ e correttezza dei trasferimenti e dei trattamenti di dati anteriori ai trasferimenti medesimi, anche in relazione a quanto previsto dall’articolo 4 della direttiva n. 95/46/CE sul diritto nazionale applicabile;
Vista la FAQ n. 5 sul ruolo che le autorita’ di garanzia degli Stati membri dovrebbero svolgere con la cooperazione delle organizzazioni statunitensi che ricevano dati personali dall’Unione europea, anche nell’ambito di un comitato (panel) informale di autorita’ costituito a livello europeo cui il Garante intende partecipare;
Rilevato che le autorita’ di garanzia degli Stati membri, riunite nel Gruppo di cui all’art. 29 della direttiva europea n. 95/46/CE, hanno aderito all’inserimento della FAQ n. 5 nel pacchetto di misure previsto dalla Decisione della Commissione;
Ritenuta la necessita’ di assicurare ulteriore pubblicita’ ai predetti Principi disponendo la loro pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana in allegato alla presente autorizzazione;
Vista la documentazione d’ufficio;
Viste le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante, n. 1/2000;
Relatore il prof. Giuseppe Santaniello;
TUTTO CIO’ PREMESSO IL GARANTE:
2) si riserva di svolgere, in conformita’ alla normativa comunitaria, alla legge n. 675/1996, all’art. 3 della Decisione della Commissione e all’allegata FAQ. n. 5, i necessari controlli sulla liceita’ e correttezza dei trasferimenti e delle operazioni di trattamento anteriori ai trasferimenti medesimi, nonche’ sul rispetto dei predetti Principi, e di adottare eventuali provvedimenti di blocco o di divieto di trasferimento;
3) dispone la trasmissione del presente provvedimento e dell’allegata decisione della Commissione all’Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.
Roma, 10 ottobre 2001
IL PRESIDENTE: Rodota’
IL RELATORE: Santaniello
IL SEGRETARIO GENERALE: Buttarelli