|
23.8.2012 |
IT |
Gazzetta ufficiale dell'Unione europea |
L 227/11 |
DECISIONE DI ESECUZIONE DELLA COMMISSIONE
del 21 agosto 2012
ai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull’adeguata protezione dei dati personali da parte della Repubblica orientale dell’Uruguay in relazione al trattamento automatizzato di tali dati
[notificata con il numero C(2012) 5704]
(Testo rilevante ai fini del SEE)
(2012/484/UE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea,
vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (1), in particolare l’articolo 25, paragrafo 6,
sentito il Garante europeo della protezione dei dati (2),
considerando quanto segue:
|
(1) |
Ai sensi della direttiva 95/46/CE gli Stati membri devono far sì che il trasferimento di dati personali a un paese terzo abbia luogo solo se il paese in questione garantisce adeguati livelli di tutela e dopo aver accertato, prima del trasferimento, che siano soddisfatte le norme degli Stati membri che attuano altre disposizioni della direttiva. |
|
(2) |
La Commissione può constatare che un paese terzo garantisca adeguati livelli di tutela. In tal caso, gli Stati membri possono trasferirvi dati personali senza la necessità di ulteriori garanzie. |
|
(3) |
Secondo la direttiva 95/46/CE è necessario accertare il livello di protezione dei dati alla luce di tutte le circostanze che accompagnano l’operazione, o una serie di operazioni, di trasferimento dei dati, dando particolare rilievo agli elementi del trasferimento di cui all’articolo 25 della direttiva. |
|
(4) |
Data la diversità dei sistemi di protezione dei dati nei paesi terzi, la valutazione dell’adeguatezza va effettuata, e ogni decisione ai sensi dell’articolo 25, paragrafo 6 della direttiva 95/46/CE va presa e applicata, senza discriminazioni ingiustificate o arbitrarie contro o tra paesi terzi in cui esistono condizioni simili e senza creare ostacoli mascherati al libero scambio, nel rispetto degli attuali impegni internazionali assunti dall’Unione europea. |
|
(5) |
La Costituzione politica della Repubblica orientale dell’Uruguay, adottata nel 1967, non riconosce esplicitamente i diritti alla tutela della vita privata e dei dati personali. Tuttavia, l’elenco dei diritti fondamentali non è considerato esaustivo, poiché l’articolo 72 della Costituzione dispone che l’elencazione di diritti, obblighi e garanzie ivi contenuta non ne esclude altri che siano inerenti alla persona umana o derivino dalla forma repubblicana di governo. L’articolo 1 della legge n. 18.331 relativa alla protezione dei dati personali e all’azione «Habeas Data» dell’11 agosto 2008 (Ley No 18.331 de Protección de Datos Personales y Acción de «Habeas Data») dispone espressamente che «il diritto alla tutela dei dati personali è inerente alla persona umana ed è pertanto incluso nell’articolo 72 della Costituzione della Repubblica». L’articolo 332 della Costituzione prevede che l’applicazione delle disposizioni ivi contenute che riconoscono diritti individuali, così come di quelle che conferiscono diritti e impongono obblighi alle autorità pubbliche, non deve essere pregiudicata dalla mancanza di una normativa specifica; al contrario, deve basarsi, mediante il ricorso ai principi che sottostanno a leggi analoghe, sui principi generali del diritto e della dottrina generalmente accettata. |
|
(6) |
Le norme giuridiche in materia di protezione dei dati personali nella Repubblica orientale dell’Uruguay si basano in larga misura sulle norme minime stabilite dalla direttiva 95/46/CE e sono contenute nella legge n. 18.331 relativa alla protezione dei dati personali e all’azione «Habeas Data» (Ley No 18.331 de Protección de Datos Personales y Acción de «Habeas Data»), dell’11 agosto 2008, che trova applicazione sia alle persone fisiche che alle persone giuridiche. |
|
(7) |
A complemento di tale legge è stato adottato il decreto n. 414/009, del 31 agosto 2009, al fine di chiarire diversi aspetti della legge e di definire la regolamentazione dettagliata relativa all’organizzazione, ai poteri e al funzionamento dell’autorità di controllo della protezione dei dati. Il preambolo del decreto stabilisce che è opportuno allineare il regime giuridico nazionale di questo settore al regime giuridico simile più accettato, essenzialmente quello definito dai paesi europei mediante la direttiva 95/46/CE. |
|
(8) |
Norme sulla protezione dei dati si trovano anche in una serie di leggi speciali che istituiscono e disciplinano le banche dati, segnatamente leggi che regolamentano taluni registri pubblici (atti pubblici, diritti di proprietà industriale e marchi, atti privati, beni immobili, attività minerarie o banche dati sull’esposizione debitoria). Ai sensi dell’articolo 332 della Costituzione, la legge n. 18.331 si applica anche a questi atti relativamente a quanto non sia disciplinato da dette norme giuridiche specifiche. |
|
(9) |
Le norme giuridiche applicabili nella Repubblica orientale dell’Uruguay in materia di protezione dei dati contengono tutti i principi di un adeguato livello di tutela delle persone fisiche e prevedono altresì eccezioni e restrizioni al fine di salvaguardare importanti interessi pubblici. Tali norme giuridiche in materia di protezione dei dati personali e le relative eccezioni riflettono i principi contenuti nella direttiva 95/46/CE. |
|
(10) |
L’applicazione delle norme giuridiche in materia di protezione dei dati è garantita da mezzi di impugnazione di natura amministrativa e giudiziaria, in particolare dall’azione «Habeas Data» che consente all’interessato di agire in giudizio contro il responsabile del trattamento per esercitare i propri diritti di accesso, di rettifica e di cancellazione. L’applicazione è garantita altresì dal controllo indipendente assicurato dall’autorità a ciò preposta, l’Unità per la regolamentazione ed il controllo dei dati personali (Unidad Reguladora y de Control de Datos Personales – URCDP), a cui sono conferiti poteri d’indagine, intervento e sanzione conformemente all’articolo 28 della direttiva 95/46/CE e che agisce in totale indipendenza. Inoltre, chiunque vi abbia interesse può adire le vie legali per ottenere il risarcimento del danno subito in conseguenza del trattamento illegale dei propri dati personali. |
|
(11) |
Le autorità uruguayane competenti per la protezione dei dati hanno fornito spiegazioni e garanzie relative all’interpretazione del diritto della Repubblica orientale dell’Uruguay e hanno assicurato che la legislazione in materia di protezione dei dati è applicata conformemente a tale interpretazione. In particolare, dette autorità hanno spiegato che, ai sensi dell’articolo 332 della Costituzione, la legge 18.331 trova applicazione anche a leggi speciali che istituiscono e disciplinano specifiche banche dati, con riferimento a questioni che non sono regolate da dette leggi speciali. Le autorità hanno altresì chiarito che la legge si applica anche agli elenchi di cui all’articolo 9 C) della legge n. 18.331 per i quali non è richiesto il consenso dell’interessato per procedere al trattamento; segnatamente, trovano applicazione i principi di proporzionalità e finalità, i diritti degli interessati e il controllo da parte dell’autorità competenti per la protezione dei dati personali. Riguardo al principio di trasparenza, le autorità uruguayane competenti per la protezione dei dati personali hanno reso noto che trova applicazione in tutti i casi l’obbligo di fornire agli interessati le informazioni necessarie. Riguardo al diritto di accesso, l’autorità ha spiegato che è sufficiente per l’interessato provare la propria identità nel momento in cui inoltra una richiesta. Le stesse autorità hanno altresì chiarito che le eccezioni al principio dei trasferimenti internazionali previste dall’articolo 23, paragrafo 1, della legge n. 18.331, non possono intendersi di applicazione più ampia di quanto disponga l’articolo 26, paragrafo 1, della direttiva 95/46/CE. |
|
(12) |
La presente decisione tiene conto di tali chiarimenti e su di essi è fondata. |
|
(13) |
La Repubblica orientale dell’Uruguay è altresì parte alla Convenzione americana sui diritti dell’uomo (Pact of San José de Costa Rica) del 22 novembre 1969, entrata in vigore il 18 luglio 1978 (3). L’articolo 11 di detta Convenzione sancisce il diritto alla vita privata, mentre l’articolo 30 prevede che le restrizioni applicabili, ai sensi della Convenzione, al godimento o all’esercizio dei diritti o delle libertà dalla stessa sancite, non possano esserlo se non nel rispetto delle leggi adottate per motivi di interesse generale e conformemente allo scopo per il quale tali restrizioni sono state introdotte (articolo 30). Inoltre, la Repubblica orientale dell’Uruguay ha accettato la giurisdizione della Corte interamericana dei diritti dell’uomo. Peraltro, alla loro 1118o riunione tenutasi il 6 luglio 2011, i viceministri del Consiglio d’Europa, a seguito del parere favorevole espresso dal pertinente comitato consultivo, hanno invitato la Repubblica orientale dell’Uruguay ad aderire alla Convenzione per la tutela delle persone rispetto al trattamento dei dati personali (ETS n. 108) nonché al suo protocollo aggiuntivo (ETS n. 118) (4). |
|
(14) |
Si ritiene pertanto che la Repubblica orientale dell’Uruguay fornisca adeguati livelli di tutela dei dati personali ai sensi della direttiva 95/46/CE. |
|
(15) |
La presente decisione si riferisce all’adeguatezza della protezione garantita nella Repubblica orientale dell’Uruguay ai fini dei requisiti di cui all’articolo 25, paragrafo 1, della direttiva 95/46/CE. Essa non pregiudica altre condizioni o restrizioni che attuino altre disposizioni di detta direttiva attinenti al trattamento di dati personali negli Stati membri. |
|
(16) |
Per salvaguardare la trasparenza e la capacità delle competenti autorità degli Stati membri di garantire la tutela delle persone riguardo al trattamento dei dati personali, è necessario precisare le circostanze eccezionali che giustificano la sospensione di particolari flussi di dati, nonostante l’esistenza di un’adeguata tutela. |
|
(17) |
È necessario che la Commissione vigili sul funzionamento della decisione e riferisca eventuali riscontri pertinenti al comitato istituito ai sensi dell’articolo 31 della direttiva 95/46/CE. Tale controllo deve includere, tra l’altro, il regime della Repubblica orientale dell’Uruguay applicabile a trasferimenti nel quadro di trattati internazionali. |
|
(18) |
Il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito in forza dell’articolo 29 della direttiva 95/46/CE, ha espresso un parere favorevole sul livello di adeguatezza della protezione dei dati personali, di cui si è tenuto conto nella stesura della presente decisione (5). |
|
(19) |
Le misure previste dalla presente decisione sono conformi al parere del comitato istituito ai sensi dell’articolo 31, paragrafo 1, della direttiva 95/46/CE, |
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
1. Per le finalità di cui all’articolo 25, paragrafo 2, della direttiva 95/46/CE, si ritiene che la Repubblica orientale dell’Uruguay fornisca un adeguato livello di protezione dei dati personali trasferiti dall’Unione europea.
2. L’autorità di controllo della Repubblica orientale dell’Uruguay competente per l’applicazione nella stessa Repubblica delle norme giuridiche in materia di protezione dei dati è indicata nell’allegato alla presente decisione.
Articolo 2
1. Fatti salvi i poteri di intervento al fine di garantire il rispetto dei provvedimenti nazionali adottati in applicazione di disposizioni diverse dall’articolo 25 della direttiva 95/46/CE, le autorità competenti degli Stati membri hanno facoltà di sospendere i trasferimenti di dati verso destinatari nella Repubblica orientale dell’Uruguay al fine di tutelare i cittadini nell’ambito del trattamento dei loro dati personali nei casi in cui:
|
a) |
un’autorità competente uruguayana abbia constatato che il destinatario non rispetta le norme applicabili relative alla protezione; oppure |
|
b) |
se è molto probabile che le norme di protezione siano infrante; se esistono fondati motivi per credere che l’autorità uruguayana competente non prenda o non prenderà provvedimenti adeguati e tempestivi per comporre il caso in questione; se il persistere del trasferimento dà luogo a rischi imminenti di danno grave agli interessati e in tale circostanza le autorità competenti nello Stato membro hanno compiuto ragionevoli sforzi per avvisare i responsabili del trattamento nella Repubblica orientale dell’Uruguay e dar loro l’opportunità di rispondere. |
2. La sospensione cessa non appena sia garantito il rispetto delle norme di protezione e ne sia informata l’autorità competente dello Stato membro interessato.
Articolo 3
1. Gli Stati membri informano immediatamente la Commissione dell’adozione di provvedimenti ai sensi dell’articolo 2.
2. Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui l’azione degli organismi uruguayani responsabili per il rispetto delle norme di protezione non sia sufficiente a garantire tale rispetto.
3. Ove risulti provato, dalle informazioni di cui all’articolo 2 e ai paragrafi 1 e 2 del presente articolo, che gli organismi della Repubblica orientale dell’Uruguay incaricati di garantire il rispetto delle norme di protezione non svolgono la loro funzione in modo efficace, la Commissione avverte le autorità uruguayane competenti e, se necessario, presenta progetti di misure, secondo la procedura di cui all’articolo 31, paragrafo 2, della direttiva 95/46/CE, al fine di abrogare o sospendere la presente decisione o di limitarne il campo d’applicazione.
Articolo 4
La Commissione verifica l’applicazione della presente decisione e comunica qualsiasi informazione utile al comitato istituito dall’articolo 31 della direttiva 95/46/CE, in particolare ogni elemento rilevante ai fini della valutazione di cui all’articolo 1 della presente decisione, circa l’adeguatezza della protezione nella Repubblica orientale dell’Uruguay ai sensi dell’articolo 25 della direttiva 95/46/CE e ogni elemento che dimostri che la presente decisione è applicata in modo discriminatorio.
Articolo 5
Gli Stati membri adottano le misure necessarie per conformarsi alla presente decisione entro tre mesi dalla notifica della stessa.
Articolo 6
Gli Stati membri sono destinatari della presente decisione.
Fatto a Bruxelles, il 21 agosto 2012
Per la Commissione
Viviane REDING
Vicepresidente
(1) GU L 281 del 23.11.1995, pag. 31.
(2) Lettera del 31 agosto 2011.
(3) Organizzazione degli Stati americani, OAS, Treaty Series, No 36, 1144 U.N.T.S. 123, http://www.oas.org/juridico/english/treaties/b-32.html
(4) Consiglio d’Europa: https://wcd.coe.int/wcd/ViewDoc.jsp?Ref=CM/Del/Dec(2011)1118/10.3&Language=lanEnglish&Ver=original&Site=CM&BackColorInternet=DBDCF2&BackColorIntranet=FDC864&BackColorLogged=FDC864
(5) Parere 6/2010 sul livello di protezione dei dati personali nella Repubblica orientale dell’Uruguay. Il parere è accessibile alla seguente pagina web: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp177_it.pdf
ALLEGATO
Autorità di controllo competente di cui all’articolo 1, paragrafo 2, della presente decisione:
|
Unidad Reguladora y de Control de Datos Personales (URCDP) |
|
Andes 1365, Piso 8 |
|
Tel. +598 2901 2929 Int. 1352 |
|
11.100 Montevideo |
|
URUGUAY |
e-mail di contatto: http://www.datospersonales.gub.uy/sitio/contactenos.aspx
Denunce on line: http://www.datospersonales.gub.uy/sitio/denuncia.aspx
Sito web: http://www.datospersonales.gub.uy/sitio/index.aspx