GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DELIBERAZIONE 30 aprile 2003  

Autorizzazione  al  trasferimento dei dati personali verso il Canada.
(Deliberazione n. 6).
(GU n.191 del 19-8-2003) 

           IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
  Nella  riunione  odierna,  in  presenza  del prof. Stefano Rodota',
presidente,  del  prof.  Giuseppe  Santaniello,  vice-presidente, del
prof.  Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott.
Giovanni Buttarelli, segretario generale;
  Visto  l'art.  25,  paragrafi  numeri 1  e  2,  della  direttiva n.
95/46/CE  del  Parlamento europeo e del Consiglio del 24 ottobre 1995
secondo  cui  i  dati personali possono essere trasferiti in un Paese
non appartenente all'Unione europea qualora il Paese terzo garantisca
un  livello  di  protezione  adeguato,  secondo  quanto  previsto nel
paragrafo 2 del medesimo articolo;
  Visto  il  paragrafo  6  del  medesimo  art. 25 secondo il quale la
Commissione  europea puo' constatare che un Paese terzo garantisce un
livello  di  protezione  adeguato ai sensi del citato paragrafo 2, ai
fini  della  tutela della vita privata o dei diritti e delle liberta'
fondamentali della persona;
  Vista  la decisione della Commissione europea del 20 dicembre 2001,
2002/2/CE   (pubblicata  nella  Gazzetta  Ufficiale  delle  Comunita'
europee  n. L  2/13 del 4 gennaio 2002) con la quale si e' constatato
che  il  Canada garantisce un livello adeguato di protezione dei dati
personali trasferiti dall'Unione europea ai destinatari soggetti alla
legge  canadese  sulla  tutela  delle  informazioni  personali  e sui
documenti elettronici («the Canadian Act») del 13 aprile 2000;
  Considerato  che gli Stati membri europei devono adottare le misure
necessarie per conformarsi alla decisione della Commissione, ai sensi
del paragrafo 6 del citato art. 25 della direttiva;
  Visto  l'art.  28  della  legge  31 dicembre  1996,  n.  675,  come
modificato  dall'art. 10 del decreto legislativo 28 dicembre 2001, n.
467,  secondo cui il trasferimento dei dati personali all'estero puo'
avvenire:  a)  qualora l'ordinamento dello Stato di destinazione o di
transito  dei  dati  assicuri  un  livello  di  tutela  delle persone
adeguato  o,  se  si  tratta  di  dati  sensibili o di taluni dati di
carattere   giudiziario,   di   grado   pari   a   quello  assicurato
dall'ordinamento  italiano;  b)  oppure, qualora ricorra uno dei casi
previsti  nel comma 4 del medesimo articolo; c) in ogni caso, qualora
sia  autorizzato  dal  Garante  sulla base di adeguate garanzie per i
diritti  dell'interessato,  prestate  anche  con un contratto, ovvero
individuate dalla Commissione europea con le decisioni previste dagli
articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE
del Parlamento e del Consiglio del 24 ottobre 1995 (comma 4, lettera.
g);
  Ritenuta  la  necessita'  di  adottare  una  misura  necessaria per
l'applicazione  della  decisione  della Commissione in conformita' al
citato art. 28, comma 4, lettera g);
  Visti   il  considerando  (5)  della  decisione  della  Commissione
sull'ambito  di  applicazione  della  legge canadese e sulle tre fasi
previste  per  l'entrata  in  vigore  della  stessa  legge, nonche' i
considerando   (6)   e   (7)  circa  la  successiva  approvazione  di
legislazioni  sulla  riservatezza  dei  dati  da  parte  di  province
canadesi;
  Rilevato  che la decisione della Commissione puo' essere modificata
in  ogni  momento alla luce dell'esperienza acquisita nel corso della
sua   applicazione  o  di  emendamenti  apportati  alla  legislazione
canadese,  compresi  provvedimenti  che riconoscano che una provincia
canadese dispone di una legislazione sostanzialmente simile (art. 4);
  Visti  gli  articoli 2  e  3 della decisione in tema di controlli e
provvedimenti  delle  autorita'  di garanzia degli Stati membri sulla
liceita'  e  correttezza  dei trasferimenti e dei trattamenti di dati
anteriori  ai  trasferimenti  medesimi,  anche  in relazione a quanto
previsto   dall'art.  4  della  direttiva  n.  95/46/CE  sul  diritto
nazionale applicabile;
  Ritenuta  la  necessita'  di  assicurare ulteriore pubblicita' alla
predetta  decisione  disponendo  la  sua pubblicazione nella Gazzetta
Ufficiale   della  Repubblica  italiana  in  allegato  alla  presente
autorizzazione;
  Vista la documentazione d'ufficio;
  Viste   le  osservazioni  dell'ufficio,  formulate  dal  segretario
generale  ai  sensi  dell'art.  15  del  regolamento  del Garante, n.
1/2000;
  Relatore il prof. Giuseppe Santaniello;
                   Tutto cio' premesso il Garante:
  1. Autorizza i trasferimenti di dati personali dal territorio dello
Stato  verso  soggetti  che  trattano  dati personali in applicazione
della  legge canadese sulla tutela delle informazioni personali e sui
documenti  elettronici  («the  Canadian Act») del 13 aprile 2000, nei
limiti  in  cui  tale  legge e' applicabile e in conformita' a quanto
previsto  alla  decisione  della  Commissione europea del 20 dicembre
2001 n. 2002/2/CE.
  2.  Si  riserva,  in  conformita'  alla normativa comunitaria, alla
legge  n. 675/1996 e all'art. 3 della decisione della Commissione, di
svolgere  i  necessari  controlli  sulla  liceita'  e correttezza dei
trasferimenti  di dati e delle operazioni di trattamento anteriori ai
trasferimenti  medesimi,  e  di  adottare  eventuali provvedimenti di
blocco o di divieto di trasferimento.
  3.   Dispone   la   trasmissione   del   presente  provvedimento  e
dell'allegata  decisione  della Commissione all'Ufficio pubblicazione
leggi   e   decreti   del   Ministero  della  giustizia  per  la  sua
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
    Roma, 30 aprile 2003
                                               Il presidente: Rodota'
Il segretario generale: Buttarelli