IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del Prof. Stefano Rodota',
presidente, del Prof. Giuseppe Santaniello, vice-presidente, del
Prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott.
Giovanni Buttarelli, segretario generale;
Visto l'art. 25, paragrafi nn. 1 e 2, della direttiva n. 95/46/CE
del Parlamento europeo e del Consiglio del 24 ottobre 1995 secondo
cui i dati personali possono essere trasferiti in un Paese non
appartenente all'Unione europea qualora il Paese terzo garantisca un
livello di protezione adeguato, secondo quanto previsto nel paragrafo
2 del medesimo articolo;
Visto il paragrafo 6 del medesimo art. 25 secondo il quale la
Commissione europea puo' constatare che un Paese terzo garantisce un
livello di protezione adeguato ai sensi del citato paragrafo 2, ai
fini della tutela della vita privata o dei diritti e delle liberta'
fondamentali della persona;
Vista la decisione della Commissione europea del 26 luglio 2000 n.
2000/520/CE (pubblicata sulla Gazzetta Ufficiale delle Comunita'
europee L 215 del 25 agosto 2000 e L 115 del 25 aprile 2001) secondo
la quale i "Principi di approdo sicuro in materia di riservatezza"
allegati alla medesima decisione, applicati in conformita' agli
orientamenti forniti da talune "Domande piu' frequenti" (FAQ)
parimenti allegate, garantiscono un livello adeguato di protezione
dei dati personali trasferiti dalla Comunita' ad organizzazioni
aventi sede negli Stati Uniti sulla base della documentazione
pubblicata dal Dipartimento del commercio statunitense ivi
menzionata;
Considerato che gli Stati membri europei devono adottare le misure
necessarie per conformarsi alla decisione della Commissione, ai sensi
del paragrafo 6 del citato art. 25 della direttiva;
Visto l'art. 28 della legge 31 dicembre 1996, n. 675 secondo cui
il trasferimento dei dati personali all'estero puo' avvenire: a)
qualora l'ordinamento dello Stato di destinazione o di transito dei
dati assicuri un livello di tutela delle persone adeguato o, se si
tratta di dati sensibili o di taluni dati di carattere giudiziario,
di grado pari a quello assicurato dall'ordinamento italiano; b)
oppure, qualora ricorra uno dei casi previsti nel comma 4 del
medesimo articolo; c) in ogni caso, qualora sia autorizzato dal
Garante sulla base di adeguate garanzie per i diritti
dell'interessato, prestate anche con un contratto (comma 4, lett.
g));
Ritenuta la necessita' di adottare una misura necessaria per
l'applicazione della Decisione della Commissione in conformita' al
citato art. 28, nelle more del completamento del recepimento della
citata direttiva n. 95/46/CE;
Ritenuto che i sette Principi allegati alla Decisione e precisati
in n. 15 FAQ, su cui si e' espresso con vari pareri ed osservazioni
anche il Gruppo delle autorita' garanti europee di cui all'art. 29
della citata direttiva, prevedono alcune garanzie per i diritti
dell'interessato che in conformita' al diritto comunitario vanno
ritenute adeguate ai sensi del citato art. 28, comma 4, lett. g);
Considerato che i soggetti che applicano i predetti Principi
possono prevedere ulteriori garanzie per le persone cui si
riferiscono i dati, rispetto a quelle minime previste dalla
richiamata Decisione;
Rilevato che la Decisione della Commissione puo' essere adattata
alla luce dell'esperienza acquisita nella sua attuazione o alla luce
di nuove normative intervenute negli Stati Uniti (art. 4);
Visti gli articoli 2 e 3 della Decisione in tema di controlli e
provvedimenti delle autorita' di garanzia degli Stati membri sulla
liceita' e correttezza dei trasferimenti e dei trattamenti di dati
anteriori ai trasferimenti medesimi, anche in relazione a quanto
previsto dall'articolo 4 della direttiva n. 95/46/CE sul diritto
nazionale applicabile;
Vista la FAQ n. 5 sul ruolo che le autorita' di garanzia degli
Stati membri dovrebbero svolgere con la cooperazione delle
organizzazioni statunitensi che ricevano dati personali dall'Unione
europea, anche nell'ambito di un comitato (panel) informale di
autorita' costituito a livello europeo cui il Garante intende
partecipare;
Rilevato che le autorita' di garanzia degli Stati membri, riunite
nel Gruppo di cui all'art. 29 della direttiva europea n. 95/46/CE,
hanno aderito all'inserimento della FAQ n. 5 nel pacchetto di misure
previsto dalla Decisione della Commissione;
Ritenuta la necessita' di assicurare ulteriore pubblicita' ai
predetti Principi disponendo la loro pubblicazione sulla Gazzetta
Ufficiale della Repubblica italiana in allegato alla presente
autorizzazione;
Vista la documentazione d'ufficio;
Viste le osservazioni dell'Ufficio, formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante, n.
1/2000;
Relatore il prof. Giuseppe Santaniello;
TUTTO CIO' PREMESSO IL GARANTE:
1) autorizza i trasferimenti di dati personali dal territorio
dello Stato verso organizzazioni aventi sede negli Stati Uniti
effettuati sulla base e in conformita' ai "Principi di approdo sicuro
in materia di riservatezza", applicati in conformita' alle "Domande
piu' frequenti" (FAQ) e all'ulteriore documentazione allegata alla
Decisione della Commissione europea del 26 luglio 2000 n.
2000/520/CE;
2) si riserva di svolgere, in conformita' alla normativa
comunitaria, alla legge n. 675/1996, all'art. 3 della Decisione della
Commissione e all'allegata FAQ. n. 5, i necessari controlli sulla
liceita' e correttezza dei trasferimenti e delle operazioni di
trattamento anteriori ai trasferimenti medesimi, nonche' sul rispetto
dei predetti Principi, e di adottare eventuali provvedimenti di
blocco o di divieto di trasferimento;
3) dispone la trasmissione del presente provvedimento e
dell'allegata decisione della Commissione all'Ufficio pubblicazione
leggi e decreti del Ministero della giustizia per la sua
pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.
Roma, 10 ottobre 2001
IL PRESIDENTE: Rodota'
IL RELATORE: Santaniello
IL SEGRETARIO GENERALE: Buttarelli