Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Trasferimento dati personali verso gli USA: caducazione provvedimento del Garante del 10.10.2001 di riconoscimento dell’accordo sul c.d. “Safe Harbor" - 22 ottobre 2015 [4396484]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
4396484
Data:
22/10/15
Argomenti:
Trasferimento dati all'estero , Internazionale
Tipologia:
Prescrizioni del Garante

 

VEDI ANCHE

Trasferimento dei dati personali all'estero  - Autorizzazione al trasferimento verso
gli Stati Uniti d'America ('Safe Harbor') - 10 ottobre 2001

- Comunicato stampa del 6 novembre 2015

- Sentenza della Corte di giustizia dell'Unione europea
nella causa nella causa C-362/14

- Article 29 Data Protection Working Party- STATEMENT on the implementation
of the judgementof the Court of Justice of the European Unionof 6 October 2015
in the Maximilian Schremsv
Data Protection Commissioner case (C-362-14)

- Communication from the Commission to the European Parliament and the Council
on the Transfer of Personal Data from the EU to the United States of America
under Directive 95/46/EC following the Judgment by the Court of Justice
in Case C-362/14 (Schrems) - 6 novembre 2015

- Trasferimento dei dati verso Paesi terzi - Strumenti

 

[doc. web. n. 4396484]

Trasferimento dati personali verso gli USA: caducazione provvedimento del Garante del 10.10.2001 di riconoscimento dell'accordo sul c.d. "Safe Harbor" - 22 ottobre 2015
(Pubblicato sulla Gazzetta Ufficiale n. 271 del 20 novembre 2015)

Registro dei provvedimenti
n. 564 del 22 ottobre 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l'art. 25, paragrafi nn. 1, 2 e 6 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all'Unione europea qualora venga constatato dalla  Commissione europea che il paese terzo garantisce un livello di protezione adeguato ai fini della tutela della vita privata o dei diritti e delle libertà fondamentali della persona;

CONSIDERATO, altresì, che gli Stati membri europei devono adottare le misure necessarie per conformarsi alle decisioni della Commissione, rese ai sensi del paragrafo n. 6 del citato art. 25 della direttiva;

VISTA la decisione del 26 luglio 2000 n. 2000/520/CE (pubblicata sulla Gazzetta Ufficiale delle Comunità europee L 215 del 25 agosto 2000 e L 115 del 25 aprile 2001) adottata dalla Commissione europea, ai sensi delle disposizioni sopra citate, secondo la quale i "Principi di approdo sicuro in materia di riservatezza" allegati alla medesima decisione, applicati in conformità agli orientamenti forniti da talune "Domande più frequenti" (FAQ) parimenti allegate, garantiscono un livello adeguato di protezione dei dati personali trasferiti dalla Unione europea ad organizzazioni aventi sede negli Stati Uniti d'America sulla base della documentazione pubblicata dal Dipartimento del commercio statunitense ivi menzionata;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice") ed in particolare l'art. 44, comma 1, lett. b), ove è previsto che il trasferimento di dati personali diretto verso un paese non appartenente all'Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato, individuate dall'Autorità anche con le suddette decisioni della Commissione europea;

TENUTO CONTO che questa Autorità il 10 ottobre 2001 con la deliberazione n. 36 (pubblicata sulla Gazzetta Ufficiale del 26 novembre n. 275 – Suppl. Ordinario n. 250, doc. web. n. 30939) ha autorizzato, ai sensi dell'art. 44, comma 1, lett. b) (già art. 28, comma 4, lett. g) della legge 31 dicembre 1996, n. 675), i trasferimenti di dati personali dal territorio dello Stato verso organizzazioni aventi sede negli Stati Uniti effettuati nel rispetto dei "Principi di approdo sicuro in materia di riservatezza", applicati in conformità alle "Domande più frequenti" (FAQ) e all'ulteriore documentazione allegata alla decisione della Commissione europea del 26 luglio 2000 n. 2000/520/CE (c.d. regime di "Approdo sicuro", di seguito "Safe Harbor");

CONSIDERATO che la Corte di giustizia dell'Unione Europea (di seguito "Corte di giustizia") si è pronunciata il 6 ottobre 2015 in ordine alla causa C-362/14, Maximillian Schrems vs. Data Protection Commissioner, dichiarando invalida la decisione della Commissione europea del 26 luglio 2000 n. 2000/520/CE con la quale era stato ritenuto adeguato il livello di protezione dei dati personali garantito dagli Stati Uniti d'America nel contesto del c.d. regime di "Safe Harbor";

PRESO ATTO, inoltre, delle osservazioni formulate dal Gruppo di lavoro istituito dall'art. 29 della direttiva 95/46/CE, di seguito "Gruppo ex art. 29", nello "Statement of the Article 29 Working Party" del 16 ottobre 2015, in merito agli effetti della sentenza della Corte di giustizia sui trasferimenti dei dati effettuati, in virtù della decisione della Commissione europea del 26 luglio 2000 n. 2000/520/CE, dal territorio dell'Unione europea verso gli Stati Uniti d'America;

TENUTO CONTO che il Garante ha reso l'autorizzazione di cui alla deliberazione n. 36 sulla base della decisione della Commissione in ordine all'adeguatezza del livello di protezione ai fini della tutela della vita privata o dei diritti e delle libertà fondamentali della persona offerto dal regime di "Safe Harbor" e che, pertanto, a seguito dell'emanazione della sentenza della Corte di giustizia sopra citata è venuto meno il presupposto di legittimità dei trasferimenti di dati personali posti in essere dal territorio nazionale verso le organizzazioni aventi sede negli Stati Uniti d'America che hanno aderito a tale regime;

RILEVATO che i trasferimenti dei dati personali verso un paese non appartenente all'Unione europea possono essere effettuati sulla base anche di ulteriori presupposti di liceità, così come previsto negli artt. 43 ("Trasferimenti consentiti in Paesi terzi") e 44 ("Altri trasferimenti consentiti") del Codice;

RILEVATO, con riferimento all'art. 43, che i dati in questione possono essere trasferiti sulla base di una delle deroghe di cui al comma 1 del citato articolo e, in particolare, qualora gli interessati abbiano espresso liberamente il loro consenso specifico e informato (cfr. lett. a));

RILEVATO, altresì, con riferimento all'art. 44, che tali trasferimenti possano essere effettuati mediante l'utilizzo delle clausole contrattuali tipo (c.d. standard contractual clauses) di cui alle autorizzazioni rese, ex art. 44, comma 1, lett. b) del Codice, dal Garante il 10 ottobre 2001, con deliberazione n. 35 (doc. web. n. 42156), il 9 giugno 2005, con deliberazione n. 12 (doc. web. n. 1214121) e il 27 maggio 2010, con deliberazione n. 35 (doc. web n. 1728496, al riguardo si veda anche il successivo Provvedimento del Garante del 15 novembre 2012, doc. web. n. 2191156); o altrimenti in ragione dell'avvenuta adozione, nell'ambito di società appartenenti a un medesimo gruppo, delle regole di condotta di cui all'art. 44, comma 1, lett. a) del Codice, denominate Binding Corporate Rules (c.d. "Bcr", cfr. in ordine alle "Bcr for Controller", fra gli altri, i documenti del "Gruppo ex art. 29", WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008; mentre, per quanto riguarda le "Bcr for Processor", i documenti WP 195 del 6 giugno 2012 e WP 204 del 19 aprile 2013); o qualora vengano autorizzati dal Garante, ai sensi dell'art. 44, comma 1, lett. a) del Codice, sulla base di adeguate garanzie per i diritti dell'interessato individuate dal medesimo anche in relazione a garanzie prestate con un contratto;

RITENUTO che, in ogni caso, alla luce delle considerazioni contenute nella predetta sentenza della Corte di giustizia, la protezione del diritto fondamentale al rispetto della vita privata a livello europeo richiede che deroghe e limitazioni alla protezione dei dati personali trovino applicazione solo nella misura in cui le stesse siano strettamente necessarie (cfr. Corte di giustizia dell'Unione europea causa C-362/14, Maximillian Schrems vs. Data Protection Commissioner, paragrafo n. 92 e cause riunite C-293/12 and C-594/12, Digital Rights Ireland and Others) e che, ai sensi dell'art. 47 della Carta dei diritti fondamentali dell'Unione europea, ogni individuo i cui diritti e le cui libertà garantiti dal diritto dell'Unione siano stati violati deve aver diritto a un ricorso effettivo dinanzi a un giudice, nel rispetto delle condizioni previste nel medesimo articolo;

RITENUTA la necessità, per le ragioni sopra esposte, di disporre la caducazione dell'autorizzazione adottata con la deliberazione del Garante n. 36 del 10 ottobre 2001 e per l'effetto di vietare i trasferimenti di dati ivi descritti; tutto ciò nei termini di cui al seguente dispositivo;

VISTI gli atti d'ufficio;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

1) dispone la caducazione dell'autorizzazione adottata dal Garante in data 10 ottobre 2001 con deliberazione n. 36 e per l'effetto vieta, ai sensi degli artt. 154, comma 1, lett. d) e 45 del Codice, ai soggetti esportatori di trasferire, sulla base di tale delibera e dei presupposti indicati nella medesima, i dati personali dal territorio dello Stato verso gli Stati Uniti d'America;

2) si riserva, ai sensi dell'art. 154, comma 1, lettere da a) a d) del Codice, di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice;

3) dispone la trasmissione del presente provvedimento all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.

Roma, 22 ottobre 2015

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia