g-docweb-display Portlet

Autorizzazione al trasferimento verso Paesi senza adeguato livello di protezione - 10 aprile 2002 [1065361]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web. n. 1065361]

Authorisation for the Transfer of Personal Data to Data Processors Established in Third Countries in Compliance with Standard Contractual Clauses

Autorizzazione al trasferimento verso Paesi senza adeguato livello di protezione - 10 aprile 2002

Sulla base di quanto stabilito dalla Commissione europea, i Garante, preso atto dell´inadeguatezza del livello di protezione dei dati personali garantito da alcuni Paesi non appartenenti all´Unione europea, ha autorizzato, con effetto dal 3 aprile 2002, il trasferimento dei dati dall´Italia verso responsabili del trattamento residenti in tali Paesi, qualora il titolare del trattamento fornisca, anche attraverso clausole contrattuali tipo già stabilite a livello europeo, garanzie sufficienti per la tutela della vita privata, dei dirittti e delle libertà fondamentali delle persone, e sempreché risultino rispettati ulteriori presupposti precisati ne4l provvedimento stesso. Il Garante si è riservato di svolgere i necessari controlli su trasferimenti di dati e su connesse operazioni di trattamento effettuati, nonchè di adottare eventuali provvedimenti di blocco o di divieto di trasferimento. 

Deliberazioni n. 3
del 10 aprile 2002


IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del Prof. Stefano Rodotà, presidente, del Prof. Giuseppe Santaniello, vice-presidente, del Prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Visto l´art. 25 della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 secondo cui i dati personali possono essere trasferiti in un Paese non appartenente all´Unione europea qualora il Paese terzo garantisca un livello di protezione adeguato, secondo quanto previsto nel paragrafo 2 del medesimo articolo;

Visto l´art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un Paese terzo che non garantisce un livello di protezione adeguato, qualora il titolare del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi, risultanti anche da clausole contrattuali appropriate;

Visto il comma 4 del medesimo art. 26 sulle decisioni della Commissione europea in materia di clausole contrattuali tipo;

Vista la decisione della Commissione europea del 27 dicembre 2001 n. 2002/16/CE (pubblicata sulla Gazzetta Ufficiale delle Comunità europee L 6/52 del 10 gennaio 2002) secondo la quale alcune clausole contrattuali tipo, allegate alla medesima decisione, costituiscono garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi, in caso di trasferimento di dati personali a responsabili del trattamento residenti in paesi terzi, a norma degli artt. 17, paragrafo 3, e 26, paragrafo 2, della direttiva 95/46/CE;

Considerato che gli Stati membri europei devono adottare le misure necessarie per conformarsi alla decisione della Commissione, ai sensi del paragrafo 4 del citato art. 26 della direttiva;

Visto l´art. 28 della legge 31 dicembre 1996, n. 675, come modificato dall´art. 10 del decreto legislativo 28 dicembre 2001, n. 467, secondo cui il trasferimento dei dati personali all´estero può avvenire: a) qualora l´ordinamento dello Stato di destinazione o di transito dei dati assicuri un livello di tutela delle persone adeguato; b) oppure, qualora ricorra uno dei casi previsti nel comma 4 del medesimo articolo; c) in ogni caso, qualora sia autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, prestate anche con un contratto, ovvero individuate dalla Commissione europea con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva n. 95/46/CE del Parlamento e del Consiglio del 24 ottobre 1995 (comma 4, lett. g));

Vista la deliberazione n. 35 del 10 ottobre 2001 con la quale questa Autorità ha autorizzato il trasferimento di dati personali dal territorio dello Stato verso Paesi non appartenenti all´Unione europea in conformità alle clausole contrattuali tipo di cui all´allegato alla decisione della Commissione europea del 15 giugno 2001, n. 2001/497/CE;

Ritenuto che le nuove clausole contrattuali tipo, che sono state articolate dalla Commissione in n. 11 clausole e n. 2 appendici anche sulla base del parere favorevole del Gruppo delle autorità garanti europee di cui all´art. 29 della citata direttiva, prevedono alcune garanzie per i diritti dell´interessato da ritenere adeguate ai sensi del citato art. 28, comma 4, lett. g);

Considerato che i soggetti che utilizzano le citate clausole contrattuali possono prevedere ulteriori garanzie per le persone cui si riferiscono i dati, rispetto alle garanzie minime previste dalle clausole medesime;

Rilevato che la decisione della Commissione riguarda unicamente i trasferimenti di dati effettuati a partire dal territorio dello Stato da un titolare del trattamento avente sede nella Comunità (soggetto esportatore) ad un responsabile del medesimo trattamento (soggetto importatore) residente in un Paese terzo che non assicura un livello di protezione adeguato, e che la citata decisione n. 2001/497/CE della Commissione ha già individuato le clausole contrattuali tipo per i trasferimenti di dati effettuati da un titolare del trattamento avente sede nella Comunità ad un diverso titolare del trattamento residente al di fuori della Comunità medesima;

Ritenuta la necessità di assicurare ulteriore pubblicità alle predette clausole contrattuali tipo, disponendo la loro pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana in allegato alla presente autorizzazione;

Ritenuta la necessità di formulare nel dispositivo alcune precisazioni nell´esercizio dei compiti demandati a questa Autorità richiamati anche dalla citata decisione della Commissione, nei limiti necessari per la prima fase di applicazione del presente provvedimento;

Ritenuto di dover riservare la scelta del Garante di svolgere o meno, caso per caso, il ruolo di mediazione previsto dalla clausola n. 7, paragrafo 1, lett. a) della Decisione;

Riservata la specificazione di ulteriori criteri e modalità in base all´esperienza maturata nell´utilizzazione delle clausole, anche in sede comunitaria;

Vista la documentazione d´ufficio;

Viste le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante, n. 1/2000;

Relatore il prof. Gaetano Rasi;

TUTTO CIÒ PREMESSO IL GARANTE:

1) autorizza i trasferimenti di dati personali dal territorio dello Stato verso Paesi non appartenenti all´Unione europea, effettuati sulla base e in conformità alle clausole contrattuali tipo di cui all´allegato alla decisione della Commissione europea del 27 dicembre 2001 n. 2002/16/CE, con effetto dal 3 aprile 2002 e sulla base dei seguenti presupposti:

a) il soggetto esportatore e il soggetto importatore devono richiamare o incorporare le clausole nei contratti relativi al trasferimento dei dati in modo da renderle riconoscibili anche alle persone cui si riferiscono i dati e che chiedano di averne conoscenza, provvedendo a rendere conoscibile su richiesta di queste ultime anche una descrizione generale delle misure di sicurezza adottate, ed evitando altresì la previsione di clausole limitative o incompatibili (clausole nn. 4, lett. h) e 5, lett. g); considerando alla decisione n. 4);

b) la copia del contratto relativo al trasferimento e le altre informazioni necessarie devono essere fornite al Garante solo a richiesta di questa Autorità (clausola n. 8 e art. 32, comma 1, legge n. 675/1996);

c) deve essere comunicata al Garante la scelta che è stata effettuata in caso di controversia non risolta in via amichevole e sottoposta all´esame di un soggetto diverso dal Garante o dall´autorità giudiziaria (clausola 7, par. 2 e par. 1, lett. a));

2) si riserva, in conformità alla normativa comunitaria, alla legge n. 675/1996 e all´art. 4 della Decisione della Commissione, di svolgere i necessari controlli sulla liceità e correttezza dei trasferimenti di dati e delle operazioni di trattamento, e di adottare eventuali provvedimenti di blocco o di divieto di trasferimento;

3) dispone la trasmissione del presente provvedimento e dell´allegata decisione della Commissione all´Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.

Roma, 10 aprile 2002

IL PRESIDENTE
Rodotà

IL RELATORE
Rasi

IL SEGRETARIO GENERALE
Buttarelli



Vedi anche (10)