Gazzetta n. 105 del 7 maggio 2002 (vai al sommario)
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERAZIONE 10 aprile 2002
Autorizzazione al trasferimento di dati personali dal territorio dello Stato verso responsabili del trattamento residenti in Paesi terzi, in conformita' a quanto previsto dalla decisione della Commissione europea del 27 dicembre 2001, n. 2002/16/CE. (Deliberazione n. 3).

IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Stefano Rodota', presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;
Visto l'art. 25 della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 secondo cui i dati personali possono essere trasferiti in un Paese non appartenente all'Unione europea qualora il Paese terzo garantisca un livello di protezione adeguato, secondo quanto previsto nel paragrafo 2 del medesimo articolo;
Visto l'art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un Paese terzo che non garantisce un livello di protezione adeguato, qualora il titolare del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle liberta' fondamentali delle persone, nonche' per l'esercizio dei diritti connessi, risultanti anche da clausole contrattuali appropriate;
Visto il comma 4 del medesimo art. 26 sulle decisioni della Commissione europea in materia di clausole contrattuali tipo;
Vista la decisione della Commissione europea del 27 dicembre 2001, n. 2002/16/CE (pubblicata nella Gazzetta Ufficiale delle Comunita' europee L 6/52 del 10 gennaio 2002) secondo la quale alcune clausole contrattuali tipo, allegate alla medesima decisione, costituiscono garanzie sufficienti per la tutela della vita privata e dei diritti e delle liberta' fondamentali delle persone, nonche' per l'esercizio dei diritti connessi, in caso di trasferimento di dati personali a responsabili del trattamento residenti in Paesi terzi, a norma degli articoli 17, paragrafo 3, e 26, paragrafo 2, della direttiva 95/46/CE;
Considerato che gli Stati membri europei devono adottare le misure necessarie per conformarsi alla decisione della Commissione, ai sensi del paragrafo 4 del citato art. 26 della direttiva;
Visto l'art. 28 della legge 31 dicembre 1996, n. 675, come modificato dall'art. 10 del decreto legislativo 28 dicembre 2001, n. 467, secondo cui il trasferimento dei dati personali all'estero puo' avvenire:
a) qualora l'ordinamento dello Stato di destinazione o di transito dei dati assicuri un livello di tutela delle persone adeguato;
b) oppure, qualora ricorra uno dei casi previsti nel comma 4 del medesimo articolo;
c) in ogni caso, qualora sia autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato, prestate anche con un contratto, ovvero individuate dalla Commissione europea con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva n. 95/46/CE del Parlamento e del Consiglio del 24 ottobre 1995 (comma 4, lettera g);
Vista la deliberazione n. 35 del 10 ottobre 2001 con la quale questa Autorita' ha autorizzato il trasferimento di dati personali dal territorio dello Stato verso Paesi non appartenenti all'Unione europea in conformita' alle clausole contrattuali tipo di cui all'allegato alla decisione della Commissione europea del 15 giugno 2001, n. 2001/497/CE;
Ritenuto che le nuove clausole contrattuali tipo, che sono state articolate dalla Commissione in undici clausole e due appendici anche sulla base del parere favorevole del Gruppo delle autorita' garanti europee di cui all'art. 29 della citata direttiva, prevedono alcune garanzie per i diritti dell'interessato da ritenere adeguate ai sensi del citato art. 28, comma 4, lettera g);
Considerato che i soggetti che utilizzano le citate clausole contrattuali possono prevedere ulteriori garanzie per le persone cui si riferiscono i dati, rispetto alle garanzie minime previste dalle clausole medesime;
Rilevato che la decisione della Commissione riguarda unicamente i trasferimenti di dati effettuati a partire dal territorio dello Stato da un titolare del trattamento avente sede nella Comunita' (soggetto esportatore) ad un responsabile del medesimo trattamento (soggetto importatore) residente in un Paese terzo che non assicura un livello di protezione adeguato, e che la citata decisione n. 2001/497/CE della Commissione ha gia' individuato le clausole contrattuali tipo per i trasferimenti di dati effettuati da un titolare del trattamento avente sede nella Comunita' ad un diverso titolare del trattamento residente al di fuori della Comunita' medesima;
Ritenuta la necessita' di assicurare ulteriore pubblicita' alle predette clausole contrattuali tipo, disponendo la loro pubblicazione nella Gazzetta Ufficiale della Repubblica italiana in allegato alla presente autorizzazione;
Ritenuta la necessita' di formulare nel dispositivo alcune precisazioni nell'esercizio dei compiti demandati a questa Autorita' richiamati anche dalla citata decisione della Commissione, nei limiti necessari per la prima fase di applicazione del presente provvedimento;
Ritenuto di dover riservare la scelta del Garante di svolgere o meno, caso per caso, il ruolo di mediazione previsto dalla clausola n. 7, paragrafo 1, lettera a) della decisione;
Riservata la specificazione di ulteriori criteri e modalita' in base all'esperienza maturata nell'utilizzazione delle clausole, anche in sede comunitaria;
Vista la documentazione d'ufficio;
Viste le osservazioni dell'ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante, n. 1/2000;
Relatore il prof. Gaetano Rasi;
Tutto cio' premesso il Garante
1) autorizza i trasferimenti di dati personali dal territorio dello Stato verso Paesi non appartenenti all'Unione europea, effettuati sulla base e in conformita' alle clausole contrattuali tipo di cui all'allegato alla decisione della Commissione europea del 27 dicembre 2001, n. 2002/16/CE, con effetto dal 3 aprile 2002 e sulla base dei seguenti presupposti:
a) il soggetto esportatore e il soggetto importatore devono richiamare o incorporare le clausole nei contratti relativi al trasferimento dei dati in modo da renderle riconoscibili anche alle persone cui si riferiscono i dati e che chiedano di averne conoscenza, provvedendo a rendere conoscibile su richiesta di queste ultime anche una descrizione generale delle misure di sicurezza adottate, ed evitando altresi' la previsione di clausole limitative o incompatibili (clausole numeri 4, lettera h) e 5, lettera g); considerando alla decisione n. 4);
b) la copia del contratto relativo al trasferimento e le altre informazioni necessarie devono essere fornite al Garante solo a richiesta di questa Autorita' (clausola n. 8 e art. 32, comma 1, legge n. 675/1996);
c) deve essere comunicata al Garante la scelta che e' stata effettuata in caso di controversia non risolta in via amichevole e sottoposta all'esame di un soggetto diverso dal Garante o dall'autorita' giudiziaria (clausola n. 7, par. 2 e par. 1, lettera a);
2) si riserva, in conformita' alla normativa comunitaria, alla legge n. 675/1996 e all'art. 4 della decisione della Commissione, di svolgere i necessari controlli sulla liceita' e correttezza dei trasferimenti di dati e delle operazioni di trattamento, e di adottare eventuali provvedimenti di blocco o di divieto di trasferimento;
3) dispone la trasmissione del presente provvedimento e dell'allegata decisione della Commissione all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 10 aprile 2002

Il presidente
Rodota'
Il relatore
Rasi
Il segretario generale
Buttarelli
 
----> Vedere Allegato da pag. 53 a pag. 63 della G.U. <----
 
Gazzetta Ufficiale Serie Generale per iPhone