IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vice presidente, della
dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano,
componenti, e del dott. Giuseppe Busia, Segretario generale;
Visto l'art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del
Parlamento europeo e del Consiglio del 24 ottobre 1995 secondo cui i
dati personali possono essere trasferiti in un paese non appartenente
all'Unione europea qualora il paese terzo garantisca un livello di
protezione adeguato;
Visto il paragrafo 6 dell'art. 25 secondo il quale la Commissione
europea puo' constatare che un paese terzo garantisce un livello di
protezione adeguato ai sensi del citato paragrafo 2, ai fini della
tutela della vita privata o dei diritti e delle liberta' fondamentali
della persona;
Considerato, altresi', che gli Stati membri europei devono adottare
le misure necessarie per conformarsi alle decisioni della
Commissione, rese ai sensi del citato art. 25, paragrafo 6 della
direttiva;
Visto il decreto legislativo 30 giugno 2003, n. 196, Codice in
materia di protezione dei dati personali (di seguito «Codice») ed in
particolare l'art. 44, comma 1, lettera b), in base al quale il
trasferimento dei dati personali diretto verso paesi non appartenenti
all'Unione europea puo' avvenire quando sia autorizzato dal Garante
sulla base di adeguate garanzie per i diritti dell'interessato
individuate con le decisioni della Commissione previste dagli
articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva
95/46/CE;
Tenuto conto altresi' della pronuncia della Corte di giustizia
dell'Unione europea del 6 ottobre 2015 in ordine alla causa C-362/14,
Maximillian Schrems vs. Data Protection Commissioner, che ha
dichiarato invalida la decisione della Commissione europea del 26
luglio 2000 n. 2000/520/CE con cui era stato ritenuto adeguato il
livello di protezione dei dati personali garantito dagli Stati Uniti
d'America nel contesto del c.d. regime di «Safe Harbor» (c.d. regime
di «Approdo sicuro») e a seguito della quale e' stato avviato un
intenso dialogo tra la Commissione e le autorita' statunitensi nella
prospettiva dell'adozione di una nuova decisione sull'adeguatezza
rispondente ai requisiti dell'art. 25 della direttiva 95/46/CE quali
interpretati dalla Corte di giustizia (v. considerando da 6 a 12
della decisione del 12 luglio 2016 n. 2016/1250);
Preso atto che in virtu' della predetta pronuncia il 22 ottobre
2015 l'Autorita' ha disposto la caducazione dell'autorizzazione
adottata dal Garante in data 10 ottobre 2001 con deliberazione n. 36
(pubblicata nella Gazzetta Ufficiale del 26 novembre 2001 n. 275 -
supplemento ordinario n. 250, doc. web n. 30939) e per l'effetto ha
vietato, ai sensi degli articoli 154, comma 1, lettera d) e 45 del
Codice, ai soggetti esportatori di trasferire, sulla base di tale
delibera e dei presupposti indicati nella medesima, i dati personali
dal territorio dello Stato verso gli Stati Uniti d'America (cfr.
provvedimento del 22 ottobre 2015, n. 564 pubblicato nella Gazzetta
Ufficiale del 20 novembre 2001 n. 271, doc. web n. 4396484);
Vista la decisione del 12 luglio 2016 n. 2016/1250 (pubblicata
nella Gazzetta Ufficiale delle Comunita' europee L 207 del 1° agosto
2016), adottata dalla Commissione ai sensi delle disposizioni sopra
citate, secondo la quale l'accordo denominato «EU-U.S. Privacy
Shield» (c.d. «Scudo UE-USA per la privacy», di seguito «Scudo»),
costituito dai principi emanati dal Dipartimento del commercio degli
Stati Uniti il 7 luglio 2016, riportati nell'allegato II, e dalle
dichiarazioni e dagli impegni ufficiali riportati nei documenti di
cui agli allegati I e da III a VII, garantisce un livello adeguato di
protezione dei dati personali trasferiti dall'Unione europea ad
organizzazioni aventi sede negli Stati Uniti d'America;
Considerata l'esigenza di adottare un provvedimento necessario per
l'applicazione della decisione della Commissione in conformita' al
citato art. 44, comma 1, lettera b);
Ritenuto che i principi e le dichiarazioni e gli impegni ufficiali
contenuti nello «Scudo», in base alle valutazioni svolte dalla
Commissione europea, prevedono alcune garanzie per i diritti
dell'interessato che in conformita' al diritto dell'Unione europea
vanno ritenute adeguate ai sensi dell'art. 44, comma 1, lettera b)
del Codice (cfr. considerando 13 della decisione del 12 luglio 2016
n. 2016/1250);
Preso atto, comunque, del parere n. 1/2016 (WP 238) adottato il 13
aprile 2016 dal Gruppo di lavoro istituito dall'art. 29 della
direttiva 95/46/CE (di seguito «Gruppo ex Art. 29») sul livello di
protezione offerto dallo «Scudo» e il relativo progetto di decisione,
nonche' della risoluzione del Parlamento europeo del 26 maggio 2016
sui flussi di dati transatlantici [2016/2727 (RSP)] e delle
osservazioni formulate dal Gruppo ex Art. 29, nello «Statement of the
Article 29 Working Party» del 29 luglio 2016, in merito alle suddette
garanzie e ad alcuni profili concernenti sia gli aspetti commerciali
sia il tema dell'accesso e dell'uso da parte delle autorita'
pubbliche statunitensi dei dati personali trasferiti nell'ambito
dello «Scudo» che potranno essere oggetto di ulteriori e successivi
chiarimenti in occasione della c.d. First Annual Joint Review
prevista dalla citata decisione (cfr. punto 6 della decisione in
materia di «Riesame periodico dell'accertamento di adeguatezza»);
Rilevato infatti che la Commissione europea si e' impegnata a
sottoporre ad un monitoraggio continuo il funzionamento dello «Scudo»
per verificare se gli Stati Uniti continuino a garantire un livello
di protezione adeguato dei dati personali trasferiti in tale ambito
dall'Unione verso organizzazioni presenti sul territorio statunitense
e che entro un anno dalla data di notifica della decisione agli Stati
membri e successivamente a cadenza annuale, nonche' a seguito
dell'entrata in vigore del regolamento (UE) 2016/679 del Parlamento e
del Consiglio del 27 aprile 2016 «relativo alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali,
nonche' alla libera circolazione di tali dati», la Commissione e'
tenuta a verificare la persistenza delle predette garanzie negli
Stati Uniti in base a tutte le informazioni disponibili, comprese
quelle ricevute nell'ambito dell'analisi annuale comune di cui agli
allegati I, II e VI (art. 4 della decisione del 12 luglio 2016 n.
2016/1250);
Visti altresi' gli articoli 2 e 3 della decisione in tema di
controlli e provvedimenti delle autorita' di garanzia degli Stati
membri sulla liceita' e correttezza dei trasferimenti e dei relativi
trattamenti di dati, anche in relazione a quanto previsto dall'art.
4, sul diritto nazionale applicabile, e dall'art. 28, paragrafo 3,
sui poteri conferiti alle medesime, della direttiva n. 95/46/CE;
Ritenuta la necessita' di assicurare ulteriore pubblicita' ai
principi e alle dichiarazioni di cui alla citata decisione della
Commissione disponendo la loro pubblicazione nella Gazzetta Ufficiale
della Repubblica italiana in allegato alla presente autorizzazione;
Visti gli atti d'ufficio;
Viste le osservazioni dell'ufficio formulate dal Segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Antonello Soro;
Tutto cio' premesso
il Garante:
1) Autorizza, ai sensi dell'art. 44, comma 1, lettera b) del
Codice, i trasferimenti di dati personali dal territorio dello Stato
verso le organizzazioni presenti negli Stati Uniti che figurano
nell'elenco degli aderenti allo «Scudo» tenuto e pubblicato dal
Dipartimento del commercio degli Stati Uniti in base a quanto
previsto nelle parti I e III dei principi enunciati nell'allegato II;
cio' in conformita' alla decisione della Commissione europea del 12
luglio 2016 n. 2016/1250.
2) Si riserva, in conformita' alla normativa dell'Unione europea,
al Codice e alla suddetta decisione, di svolgere in qualsiasi momento
i necessari controlli sulla liceita' e correttezza del trasferimento
dei dati e, comunque, su ogni operazione di trattamento ad essi
inerente, nonche' di adottare, se necessario, anche alla luce delle
risultanze delle verifiche poste in essere ai sensi dell'art. 4 della
citata decisione, i provvedimenti previsti dal Codice medesimo.
3) Dispone la trasmissione del presente provvedimento e
dell'allegata decisione della Commissione all'Ufficio pubblicazione
leggi e decreti del Ministero della giustizia per la sua
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 27 ottobre 2016
Il Presidente e relatore: Soro
Il Segretario generale: Busia
Avvertenza:
Il testo integrale della decisione di esecuzione,
riportata nella delibera, e' disponibile al link:
http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELE
X:32016D1250&rid=1