GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DELIBERA 22 ottobre 2015  

Trasferimento dei  dati  personali  verso  gli  USA  con  conseguente
caducazione del provvedimento del Garante  del  10  ottobre  2001  di
riconoscimento dell'accordo sul  c.d.  «Safe  Harbor».  (Delibera  n.
564). (15A08650)
(GU n.271 del 20-11-2015) 

 
 
 
                    IL GARANTE PER LA PROTEZIONE 
                         DEI DATI PERSONALI 
 
  Nella riunione odierna,  in  presenza  del  dott.  Antonello  Soro,
presidente, della dott.ssa Augusta Iannini,  vice  presidente,  della
dott.ssa Giovanna Bianchi Clerici e della  prof.ssa  Licia  Califano,
componenti, e del dott. Giuseppe Busia, segretario generale; 
  Visto l'art. 25, paragrafi nn. 1, 2 e 6  della  direttiva  95/46/CE
del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai  sensi
del quale i dati personali possono essere trasferiti in un paese  non
appartenente  all'Unione  europea  qualora  venga  constatato   dalla
Commissione europea che il  paese  terzo  garantisce  un  livello  di
protezione adeguato ai fini della tutela della  vita  privata  o  dei
diritti e delle liberta' fondamentali della persona; 
  Considerato, altresi', che gli Stati membri europei devono adottare
le  misure  necessarie   per   conformarsi   alle   decisioni   della
Commissione, rese ai sensi del paragrafo n.  6  del  citato  art.  25
della direttiva; 
  Vista la decisione del 26 luglio 2000  n.  2000/520/CE  (pubblicata
nella Gazzetta Ufficiale delle Comunita' europee L 215 del 25  agosto
2000 e L 115 del 25 aprile 2001) adottata dalla Commissione  europea,
ai  sensi  delle  disposizioni  sopra  citate,  secondo  la  quale  i
«Principi di approdo sicuro in materia di riservatezza» allegati alla
medesima  decisione,  applicati  in  conformita'  agli   orientamenti
forniti da talune «Domande piu' frequenti» (FAQ) parimenti  allegate,
garantiscono un livello adeguato di  protezione  dei  dati  personali
trasferiti dalla Unione europea ad organizzazioni aventi  sede  negli
Stati Uniti d'America sulla base della documentazione pubblicata  dal
Dipartimento del commercio statunitense ivi menzionata; 
  Visto il decreto legislativo 30 giugno  2003,  n.  196,  Codice  in
materia di protezione dei dati personali (di seguito «Codice») ed  in
particolare l'art. 44, comma 1, lett. b),  ove  e'  previsto  che  il
trasferimento  di  dati  personali  diretto  verso   un   paese   non
appartenente all'Unione europea e' consentito quando  e'  autorizzato
dal  Garante  sulla  base  di  adeguate  garanzie   per   i   diritti
dell'interessato, individuate dall'Autorita' anche  con  le  suddette
decisioni della Commissione europea; 
  Tenuto conto che  questa  Autorita'  il  10  ottobre  2001  con  la
deliberazione n. 36  (pubblicata  nella  Gazzetta  Ufficiale  del  26
novembre n. 275 - Suppl. Ordinario n. 250, doc.  web.  n.  30939)  ha
autorizzato, ai sensi dell'art. 44, comma 1, lett. b) (gia' art.  28,
comma  4,  lett.  g)  della  legge  31  dicembre  1996,  n.  675),  i
trasferimenti di dati personali  dal  territorio  dello  Stato  verso
organizzazioni aventi sede negli Stati Uniti effettuati nel  rispetto
dei  «Principi  di  approdo  sicuro  in  materia  di   riservatezza»,
applicati in  conformita'  alle  «Domande  piu'  frequenti»  (FAQ)  e
all'ulteriore   documentazione   allegata   alla   decisione    della
Commissione europea del 26 luglio 2000 n. 2000/520/CE (c.d. regime di
«Approdo sicuro», di seguito «Safe Harbor»); 
  Considerato che la  Corte  di  giustizia  dell'Unione  Europea  (di
seguito «Corte di giustizia») si e' pronunciata il 6 ottobre 2015  in
ordine alla causa C-362/14, Maximillian Schrems vs.  Data  Protection
Commissioner, dichiarando invalida  la  decisione  della  Commissione
europea del 26 luglio 2000 n. 2000/520/CE  con  la  quale  era  stato
ritenuto  adeguato  il  livello  di  protezione  dei  dati  personali
garantito dagli Stati Uniti d'America nel contesto del c.d. regime di
«Safe Harbor»; 
  Preso atto, inoltre, delle osservazioni  formulate  dal  Gruppo  di
lavoro istituito dall'art. 29 della direttiva  95/46/CE,  di  seguito
«Gruppo ex art. 29», nello  «Statement  of  the  Article  29  Working
Party» del 16 ottobre 2015, in merito  agli  effetti  della  sentenza
della Corte di giustizia sui trasferimenti dei  dati  effettuati,  in
virtu' della decisione della Commissione europea del 26  luglio  2000
n. 2000/520/CE, dal territorio dell'Unione europea  verso  gli  Stati
Uniti d'America; 
  Tenuto conto che il Garante ha reso l'autorizzazione  di  cui  alla
deliberazione n. 36 sulla base della decisione della  Commissione  in
ordine all'adeguatezza del livello di protezione ai fini della tutela
della vita privata o dei diritti e delle liberta' fondamentali  della
persona offerto dal regime  di  «Safe  Harbor»  e  che,  pertanto,  a
seguito dell'emanazione della sentenza della Corte di giustizia sopra
citata  e'  venuto  meno   il   presupposto   di   legittimita'   dei
trasferimenti di  dati  personali  posti  in  essere  dal  territorio
nazionale verso le  organizzazioni  aventi  sede  negli  Stati  Uniti
d'America che hanno aderito a tale regime; 
  Rilevato che i trasferimenti dei dati personali verso un paese  non
appartenente all'Unione europea possono essere effettuati sulla  base
anche di ulteriori presupposti di liceita', cosi' come previsto negli
artt. 43 («Trasferimenti consentiti in Paesi  terzi»)  e  44  («Altri
trasferimenti consentiti») del Codice; 
  Rilevato, con riferimento all'art. 43,  che  i  dati  in  questione
possono essere trasferiti sulla base di una delle deroghe di  cui  al
comma  1  del  citato  articolo  e,  in  particolare,   qualora   gli
interessati abbiano espresso liberamente il loro consenso specifico e
informato (cfr. lett. a)); 
  Rilevato,  altresi',  con  riferimento  all'art.   44,   che   tali
trasferimenti possano essere  effettuati  mediante  l'utilizzo  delle
clausole contrattuali tipo (c.d. standard contractual clauses) di cui
alle autorizzazioni rese, ex art. 44, comma 1, lett. b)  del  Codice,
dal Garante il 10 ottobre 2001, con deliberazione n. 35 (doc. web. n.
42156), il 9 giugno 2005, con  deliberazione  n.  12  (doc.  web.  n.
1214121) e il 27 maggio 2010, con deliberazione n. 35  (doc.  web  n.
1728496, al riguardo si veda anche il  successivo  Provvedimento  del
Garante del 15 novembre 2012, doc. web. n. 2191156); o altrimenti  in
ragione dell'avvenuta adozione, nell'ambito di societa'  appartenenti
a un medesimo gruppo, delle regole di condotta di  cui  all'art.  44,
comma 1, lett. a) del  Codice,  denominate  Binding  Corporate  Rules
(c.d. «Bcr», cfr. in ordine alle «Bcr for Controller», fra gli altri,
i documenti del «Gruppo ex art. 29», WP 74 del 3 giugno 2003, WP  108
del 14 aprile 2005 e WP 153 del 24 giugno 2008;  mentre,  per  quanto
riguarda le «Bcr for Processor», i documenti WP 195 del 6 giugno 2012
e WP 204 del 19 aprile  2013);  o  qualora  vengano  autorizzati  dal
Garante, ai sensi dell'art. 44, comma 1, lett. a) del  Codice,  sulla
base di adeguate garanzie per i diritti dell'interessato  individuate
dal medesimo anche in relazione a garanzie prestate con un contratto; 
  Ritenuto  che,  in  ogni  caso,  alla  luce  delle   considerazioni
contenute nella  predetta  sentenza  della  Corte  di  giustizia,  la
protezione del diritto fondamentale al rispetto della vita privata  a
livello europeo richiede che deroghe e  limitazioni  alla  protezione
dei dati personali trovino applicazione solo nella misura in  cui  le
stesse  siano  strettamente  necessarie  (cfr.  Corte  di   giustizia
dell'Unione europea causa  C-362/14,  Maximillian  Schrems  vs.  Data
Protection Commissioner, paragrafo n. 92 e cause riunite C-293/12 and
C-594/12,  Digital  Rights  Ireland  and  Others)  e  che,  ai  sensi
dell'art.  47  della  Carta  dei  diritti  fondamentali   dell'Unione
europea, ogni individuo i cui diritti e le cui liberta' garantiti dal
diritto dell'Unione siano  stati  violati  deve  aver  diritto  a  un
ricorso effettivo dinanzi a un giudice, nel rispetto delle condizioni
previste nel medesimo articolo; 
  Ritenuta la necessita', per le ragioni sopra esposte,  di  disporre
la caducazione dell'autorizzazione adottata con la deliberazione  del
Garante n. 36 del 10 ottobre  2001  e  per  l'effetto  di  vietare  i
trasferimenti di dati ivi descritti; tutto cio' nei termini di cui al
seguente dispositivo; 
  Visti gli atti d'ufficio; 
  Viste  le  osservazioni  dell'Ufficio  formulate   dal   segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; 
  Relatore il dott. Antonello Soro; 
 
                   Tutto cio' premesso il Garante: 
 
  1) dispone la caducazione dell'autorizzazione adottata dal  Garante
in data 10 ottobre 2001 con  deliberazione  n.  36  e  per  l'effetto
vieta, ai sensi degli artt. 154, comma 1, lett. d) e 45  del  Codice,
ai soggetti esportatori di trasferire, sulla base di tale delibera  e
dei  presupposti  indicati  nella  medesima,  i  dati  personali  dal
territorio dello Stato verso gli Stati Uniti d'America; 
  2) si riserva, ai sensi dell'art. 154, comma 1, lettere da a) a  d)
del Codice, di svolgere in qualsiasi momento  i  necessari  controlli
sulla liceita' e correttezza del trasferimento dei dati e,  comunque,
su ogni operazione  di  trattamento  ad  essi  inerente,  nonche'  di
adottare, se necessario, i provvedimenti previsti dal Codice; 
  3) dispone la trasmissione del presente  provvedimento  all'Ufficio
pubblicazione leggi e decreti del Ministero della  giustizia  per  la
sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. 
    Roma, 22 ottobre 2015 
 
                                       Il Presidente e relatore: Soro 
 
 
Il segretario generale: Busia