32003D0821

Decisione della Commissione

del 21 novembre 2003

sulla adeguata protezione dei dati personali in Guernsey

[notificata con il numero C(2003) 4309]

(Testo rilevante ai fini del SEE)

(2003/821/CE)

LA COMMISSIONE DELLE COMUNITÀ EUROPEE,

visto il trattato che istituisce la Comunità europea,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati(1), e in particolare l'articolo 25, paragrafo 6, della medesima,

consultato il Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali(2),

considerando quanto segue:

(1) Ai sensi della direttiva 95/46/CE gli Stati membri devono far sì che il trasferimento di dati personali a un paese terzo abbia luogo solo se il paese in questione garantisce adeguati livelli di tutela e dopo aver accertato, prima del trasferimento, che siano soddisfatte le norme degli Stati membri che attuano altre disposizioni della direttiva.

(2) La Commissione può accertare che un paese terzo garantisce adeguati livelli di tutela. In tal caso, gli Stati membri possono trasferirvi dati personali senza la necessità di ulteriori garanzie.

(3) Secondo la direttiva 95/46/CE il livello di tutela dei dati va accertato alla luce di tutte le circostanze che accompagnano la, o le, operazioni di trasferimento dei dati, dando particolare rilievo agli elementi del trasferimento di cui all'articolo 25, paragrafo 2 della medesima.

(4) Data la diversità degli approcci alla tutela dei dati nei paesi terzi, la valutazione dell'adeguatezza va effettuata - e ogni decisione ai sensi dell'articolo 25, paragrafo 6 della direttiva 95/46/CE va presa e applicata - senza discriminazioni ingiustificate o arbitrarie contro o tra paesi terzi in cui esistono condizioni simili e senza creare ostacoli mascherati al libero scambio, nel rispetto degli attuali impegni internazionali assunti dalla Comunità.

(5) Il Baliato (Bailiwick) di Guernsey è una dipendenza della Corona britannica (senza essere una zona del Regno Unito né una colonia) ma completamente indipendente, tranne che per le relazioni internazionali e la difesa, di competenza del governo britannico; il Baliato di Guernsey va dunque considerato un paese terzo ai fini della direttiva.

(6) Dall'agosto 1987, la ratifica, da parte del Regno Unito, della convenzione del Consiglio d'Europa sulla tutela delle persone con riguardo al trattamento automatico dei dati personali (Convenzione n. 108), è stata estesa al Baliato di Guernsey.

(7) Nel Baliato di Guernsey, le norme giuridiche a tutela dei dati personali, basate sulle norme della direttiva 95/46/CE, sono regolate dalla Data Protection (Bailiwick of Guernsey) Law, 2001, entrata in vigore il 1o agosto 2002.

(8) Nel 2002, Guernsey ha anche approvato altri sedici strumenti normativi (Orders) che regolano questioni specifiche come l'accesso dei titolari dei dati, l'elaborazione dei dati sensibili e la notifica all'autorità di protezione dei dati. Tali strumenti completano la legge suddetta.

(9) Le norme giuridiche applicabili in Guernsey contengono tutti i principi di un adeguato livello di tutela delle persone fisiche. La loro applicazione è garantita dal ricorso giurisdizionale e dal controllo indipendente di autorità come il Data Protection Commissioner, dotato di poteri di ricerca e d'intervento.

(10) Si ritiene pertanto che Guernsey fornisca adeguati livelli di tutela dei dati personali ai sensi della direttiva 95/46/CE.

(11) Per salvaguardare la trasparenza e la capacità delle competenti autorità degli Stati membri di garantire la tutela delle persone riguardo all'elaborazione dei dati personali di quest'ultime, vanno precisate le circostanze eccezionali che giustificano la sospensione di particolari flussi di dati, nonostante l'esistenza di un'adeguata tutela.

(12) Le misure di cui alla presente decisione sono conformi al parere del Comitato istituito ai sensi dell'articolo 31, paragrafo 1, della direttiva 95/46/CE,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Per le finalità di cui all'articolo 25, paragrafo 2, della direttiva 95/46/CE, il Baliato di Guernsey è ritenuto fornire un livello adeguato di tutela dei dati personali trasferiti dalla Comunità.

Articolo 2

Questa decisione riguarda l'adeguatezza della tutela fornita a Guernsey rispetto ai requisiti dell'articolo 25, paragrafo 1, della direttiva 95/46/CE e non influisce su altre condizioni o restrizioni cui possa dar luogo l'attuazione di altre disposizioni della stessa direttiva sull'elaborazione di dati personali in seno agli Stati membri.

Articolo 3

1. A prescindere dai loro poteri di intervento per conformarsi a disposizioni nazionali approvate ai sensi di norme diverse dall'articolo 25 della direttiva 95/46/CE, per proteggere le persone riguardo all'elaborazione dei loro dati personali, le autorità competenti degli Stati membri possono esercitare i loro attuali poteri di sospendere i flussi di dati a un destinatario in Guernsey:

a) se un'autorità competente di Guernsey stabilisce che il destinatario infrange norme di protezione in vigore; oppure

b) se è molto probabile che le norme di protezione siano infrante; se esistono fondati motivi per credere che l'autorità competente di Guernsey non prenda o non prenderà provvedimenti adeguati e tempestivi per comporre il caso in questione; se il persistere del trasferimento dà luogo a rischi imminenti di danno grave ai titolari dei dati e in tale circostanza le autorità competenti nello Stato membro hanno compiuto ragionevoli sforzi per avvisare i responsabili dell'elaborazione in Guernsey e dar loro l'opportunità di rispondere.

2. La sospensione cesserà non appena le norme di protezione siano ripristinate e ne venga informata l'autorità competente dello Stato membro interessato.

Articolo 4

1. Gli Stati membri informano immediatamente la Commissione dei provvedimenti adottati ai sensi dell'articolo 3.

2. Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui gli organismi di Guernsey preposti a garantire la rispondenza alle norme di tutela non riescono ad assolvere tale compito.

3. Se le informazioni raccolte ai sensi dell'articolo 3 e dei paragrafi 1 e 2 del presente articolo provano che in Guernsey nessun organo preposto a garantire la rispondenza alle norme di tutela adempie efficacemente il suo ruolo, la Commissione ne informa la competente autorità di Guernsey e, se necessario, propone contromisure ai sensi della procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE al fine di abrogare o sospendere la presente decisione o di limitarne il campo d'applicazione.

Articolo 5

La Commissione controlla il funzionamento della presente decisione e riferisce al comitato di cui all'articolo 31 della direttiva 95/46/CE ogni pertinente conclusione e, in particolare, tutto quanto possa influire sulla constatazione, di cui all'articolo 1 della presente decisione, di adeguatezza della tutela in Guernsey ai sensi dell'articolo 25 della direttiva 95/46/CE ed eventuali prove che la decisione venga attuata in modo discriminatorio.

Articolo 6

Gli Stati membri adottano i provvedimenti necessari a conformarsi alla presente decisione entro quattro mesi dalla data della sua notifica.

Articolo 7

Gli Stati membri sono destinatari della presente decisione.

Fatto a Bruxelles, il 21 novembre 2003.

Per la Commissione

Frederik Bolkestein

Membro della Commissione

(1) GU L 281 del 23.11.1995, pag. 31.

(2) Parere 5/2003 sul livello di protezione dei dati personali a Guernsey, adottato dal Gruppo di lavoro in data 13 giugno 2003, disponibile presso: http://europa.eu.int/comm/ internal_market/privacy/workingroup/ wp2003/wpdocs03_en.htm