Registro delle deliberazioni n. 35 del 10 ottobre 2001

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del Prof. Stefano Rodotà, presidente, del Prof. Giuseppe Santaniello, vice-presidente, del Prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Visto l'art. 25 della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 secondo cui i dati personali possono essere trasferiti in un Paese non appartenente all'Unione europea qualora il Paese terzo garantisca un livello di protezione adeguato, nei termini previsti nel paragrafo 2 del medesimo articolo;

Visto l'art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un Paese terzo che non garantisce un livello di protezione adeguato, qualora il titolare del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi, risultanti anche da clausole contrattuali appropriate;

Visto il comma 4 del medesimo articolo 26 sulle decisioni della Commissione europea in materia di clausole contrattuali tipo;

Vista la decisione della Commissione europea del 15 giugno 2001 n. 2001/497/CE (pubblicata sulla Gazzetta Ufficiale delle Comunità europee L 181 del 4 luglio 2001) secondo la quale alcune clausole contrattuali tipo, allegate alla medesima decisione, costituiscono garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi, in caso di trasferimento di dati personali verso Paesi terzi a norma della direttiva 95/46/CE;

Considerato che gli Stati membri devono adottare le misure necessarie per conformarsi alla decisione della Commissione, ai sensi del paragrafo 4 del citato art. 26 della direttiva;

Visto l'art. 28 della legge 31 dicembre 1996, n. 675 secondo cui il trasferimento dei dati personali all'estero può avvenire: a) qualora l'ordinamento dello Stato di destinazione o di transito dei dati assicuri un livello di tutela delle persone adeguato o, se si tratta di dati sensibili o di taluni dati di carattere giudiziario, di grado pari a quello assicurato dall'ordinamento italiano; b) oppure, qualora ricorra uno dei casi previsti nel comma 4 del medesimo articolo; c) in ogni caso, qualora sia autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato, prestate anche con un contratto (comma 4, lett. g));

Ritenuta la necessità di adottare, in conformità al citato art. 28, una misura necessaria per l'applicazione della decisione della Commissione;

Ritenuto che le citate clausole contrattuali tipo, che sono state articolate dalla Commissione in n. 11 clausole e n. 3 allegati anche sulla base del parere favorevole del Gruppo delle autorità garanti europee di cui all'art. 29 della citata direttiva, prevedono alcune garanzie per i diritti dell'interessato da ritenere adeguate ai sensi del citato art. 28, comma 4, lett. g);

Considerato che i soggetti che utilizzano le citate clausole contrattuali possono prevedere ulteriori garanzie per le persone cui si riferiscono i dati, rispetto alle garanzie minime previste dalle clausole medesime;

Rilevato che la decisione della Commissione riguarda unicamente i trasferimenti di dati effettuati a partire dal territorio dello Stato da un titolare del trattamento avente sede nella Comunità (soggetto esportatore) ad un diverso titolare del trattamento (soggetto importatore) e che un'ulteriore decisione della Commissione individuerà altre clausole contrattuali tipo per i trasferimenti di dati effettuati da un titolare del trattamento avente sede nella Comunità ad un responsabile del medesimo trattamento;

Ritenuta la necessità di assicurare ulteriore pubblicità alle predette clausole contrattuali tipo, disponendo la loro pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana in allegato alla presente autorizzazione;

Ritenuta la necessità di formulare nel dispositivo alcune precisazioni nell'esercizio dei compiti demandati a questa Autorità dall'art. 28 della citata direttiva e dalla legge n. 675/1996, richiamati anche dalla citata decisione della Commissione, nei limiti necessari per la prima fase di applicazione del presente provvedimento;

Ritenuto di dover riservare la scelta del Garante di svolgere o meno, caso per caso, il ruolo di mediazione previsto dalla clausola n. 7, paragrafo 1, lett. a) della Decisione;

Riservata la specificazione di ulteriori criteri e modalità in base all'esperienza maturata nell'utilizzazione delle clausole, anche in sede comunitaria;

Vista la documentazione d'ufficio;

Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante, n. 1/2000;

Relatore il prof. Stefano Rodotà;

TUTTO CIO' PREMESSO IL GARANTE:

1) autorizza i trasferimenti di dati personali dal territorio dello Stato verso Paesi non appartenenti all'Unione europea, effettuati sulla base e in conformità alle clausole contrattuali tipo di cui all'allegato alla decisione della Commissione europea del 15 giugno 2001 n. 2001/497/CE, con effetto dal 3 settembre 2001 e sulla base dei seguenti presupposti:

a) il soggetto esportatore e il soggetto importatore devono richiamare o incorporare le clausole nei contratti relativi al trasferimento dei dati in modo da renderle riconoscibili anche alle persone cui si riferiscono i dati e che chiedano di averne conoscenza, evitando altresì la previsione di clausole limitative o incompatibili (clausole nn. 4, lett. c) e 5, lett. e); considerando alla decisione n. 5);

b) la copia del contratto relativo al trasferimento e le altre informazioni necessarie devono essere fornite al Garante solo a richiesta di questa Autorità (clausole nn. 4, 5 e 8; art. 31, comma 2, legge n. 675/1996);

c) deve essere comunicata al Garante la scelta che è stata effettuata in caso di controversia non risolta in via amichevole e sottoposta all'esame di un soggetto diverso dal Garante o dall'autorità giudiziaria (clausola 7, par. 2 e par. 1, lett. a); art. 31, comma 2, legge n. 675/1996);

2) si riserva in ogni caso di svolgere i necessari controlli e di adottare eventuali provvedimenti anche di blocco o di divieto di trasferimento in conformità alla legge n. 675/1996 e alla normativa comunitaria (art. 4 e considerando n. 15 della decisione);

3) dispone la trasmissione del presente provvedimento e dell'allegata decisione della Commissione all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.