Decisione della Commissione

del 30 giugno 2003

conforme alla direttiva 95/46/CE del Parlamento europeo e del Consiglio e riguardante l'adeguatezza della tutela dei dati personali fornita in Argentina

(Testo rilevante ai fini del SEE)

(2003/490/CE)

LA COMMISSIONE DELLE COMUNITÀ EUROPEE,

visto il trattato che istituisce la Comunità europea,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati(1), in particolare l'articolo 25, paragrafo 6,

considerando quanto segue:

(1) Conformemente alla direttiva 95/46/CE gli Stati membri sono tenuti ad operare affinché il trasferimento di dati personali verso paesi terzi possa avvenire solo se il paese terzo in questione garantisce un livello adeguato di tutela e se, prima del trasferimento, viene rispettata la legislazione dello Stato membro che attua altre disposizioni della direttiva.

(2) La Commissione può constatare che un paese terzo garantisce un livello adeguato di tutela. In tal caso gli Stati membri vi possono trasferire dati personali senza richiedere ulteriori garanzie.

(3) Conformemente alla direttiva 95/46/CE, il livello di tutela dei dati deve essere valutato tenendo presenti tutte le circostanze in cui si svolgono le operazioni di trasferimento dei dati, con una particolare attenzione per gli aspetti relativi al trasferimento elencati nell'articolo 25, paragrafo 2. Il gruppo di lavoro sulla tutela delle persone con riguardo al trattamento dei dati personali istituito dall'articolo 29 della direttiva 95/46/CE ha fornito indicazioni per effettuare tale valutazione(2).

(4) Data la diversità degli approcci alla protezione dei dati nei paesi terzi, è opportuno che la valutazione dell'adeguatezza avvenga e che ogni decisione, basata sull'articolo 25, paragrafo 6 della direttiva 95/46/CE, sia presa ed attuata senza dar luogo a discriminazioni arbitrarie o ingiustificate verso o tra paesi terzi in cui esistono condizioni analoghe e senza costituire una barriera occulta per gli scambi commerciali, visti gli attuali impegni della Comunità a livello internazionale.

(5) Per quanto riguarda l'Argentina, le norme giuridiche relative alla tutela dei dati personali sono state inserite in norme a carattere generale e in norme settoriali, tutte giuridicamente vincolanti.

(6) Le norme a carattere generale sono stabilite dalla costituzione, dalla legge sulla tutela dei dati personali n. 25 326 e dal regolamento approvato con decreto n. 1558/2001 (in prosieguo la "legislazione argentina").

(7) La costituzione argentina prevede un ricorso giurisdizionale speciale relativo alla tutela dei dati personali, denominato "habeas data". Si tratta di una sottocategoria della procedura prevista dalla costituzione per la tutela dei diritti costituzionali che eleva quindi la tutela dei dati personali a diritto fondamentale. A norma dell'articolo 43, paragrafo 3 della costituzione argentina, ciascuno ha il diritto, a norma dell'"habeas data" di prendere conoscenza del contenuto di tutti i dati che lo riguardano e della loro finalità, che figurino in banche dati o archivi pubblici, o in quelli privati destinati a fornire dei rapporti informativi. In base a detto articolo, in caso di informazioni false o utilizzate a scopo discriminatorio, l'interessato può richiedere la cancellazione, la correzione, la qualificazione dei dati come riservati o l'aggiornamento dei dati contenuti negli archivi di cui sopra. Tale articolo non concerne la segretezza delle fonti d'informazione giornalistiche. La giurisprudenza argentina riconosce l'"habeas data" come diritto fondamentale e direttamente applicabile.

(8) La legge sulla tutela dei dati personali 25 326 del 4 ottobre 2000 (in prosieguo "la legge") sviluppa ed approfondisce le disposizioni costituzionali. Essa contiene disposizioni relative ai principi generali di tutela dei dati, ai diritti delle persone interessate, agli obblighi dei responsabili del trattamento dei dati e degli utilizzatori, all'autorità o organo di controllo, alle sanzioni e al regolamento interno concernenti il ricorso giurisdizionale all'"habeas data".

(9) Il regolamento approvato con decreto n. 1558/2001 del 3 dicembre 2001 (in prosieguo "il regolamento") stabilisce le modalità d'applicazione della legge, ne completa le disposizioni e chiarisce i punti che possono essere oggetto di interpretazioni divergenti.

(10) La legislazione argentina concerne la tutela dei dati personali registrati in archivi, registri, basi di dati o altri strumenti tecnici gestiti da enti pubblici, così come la tutela dei dati personali registrati in archivi, registri, banche di dati o altri strumenti tecnici gestiti da privati, destinati a fornire dei rapporti informativi. Si tratta degli strumenti non limitati all'uso esclusivamente personale e di quelli destinati alla cessione o al trasferimento dei dati personali, indipendentemente dal fatto che la circolazione dei rapporti o delle informazioni prodotte sia gratuita o a pagamento.

(11) Alcune disposizioni della legge si applicano uniformemente a tutto il territorio nazionale. Si tratta di provvedimenti generali e provvedimenti relativi alla tutela generale dei dati, principi, diritti degli interessati e obblighi dei responsabili del trattamento dei dati e degli utilizzatori di archivi, registri e banche di dati, sanzioni penali, nonché dell'esistenza e delle modalità principali del ricorso giurisdizionale all'"habeas data" definito nella Costituzione.

(12) Altre disposizioni della legge riguardano i registri, gli archivi, le basi o le banche di dati che siano collegati in reti diffuse a livello intergiurisdizionale (ossia "interprovinciale"), nazionale o internazionale e considerati di competenza della giurisdizione federale. Dette disposizioni riguardano il controllo esercitato dalle autorità di controllo, le sanzioni che possono essere imposte dall'autorità di controllo e le norme di procedura che disciplinano il ricorso giurisdizionale in materia di "habeas data". Altri tipi di registri, archivi, basi o banche di dati devono essere considerati di competenza della giurisdizione provinciale. Le province possono emanare disposizioni normative nelle dette materie.

(13) Disposizioni relative alla tutela dei dati figurano anche in numerosi strumenti giuridici relativi a diversi settori, quali le transazioni tramite carta di credito, le statistiche, le operazioni bancarie o la sanità.

(14) La legislazione argentina contempla tutti i principi basilari necessari per un adeguato livello di tutela delle persone fisiche, anche se prevede eccezioni e restrizioni al fine di salvaguardare importanti interessi pubblici. L'applicazione di tali norme è garantita da uno specifico ricorso giurisdizionale, semplificato e veloce, relativo alla tutela dei dati personali, denominato "habeas data", così come dai ricorsi giurisdizionali generali. La legge prevede l'istituzione di un organo di controllo della tutela dei dati incaricato di prendere tutte le misure necessarie al rispetto delle disposizioni e degli obiettivi previsti ed è dotato di poteri d'indagine e d'intervento. Conformemente al regolamento, la Direzione nazionale per la tutela dei dati personali è stata istituita come organo di controllo. La legislazione argentina prevede sanzioni efficaci e dissuasive, sia amministrative che penali. Inoltre le disposizioni della legislazione argentina concernenti la responsabilità civile (contrattuale ed extra-contrattuale) sono applicate in caso di trattamento illegale dei dati che reca pregiudizio alle persone interessate.

(15) Il governo argentino ha fornito spiegazioni e garanzie relative all'interpretazione della legislazione argentina ed ha assicurato che le norme concernenti la tutela dei dati sono applicate conformemente a tale interpretazione. La presente decisione si basa su tali spiegazioni e garanzie, dalle quali di conseguenza dipende. La presente decisione si riferisce segnatamente alle spiegazioni e alle garanzie fornite dalle autorità argentine in merito all'interpretazione della legislazione argentina, nonché alle situazioni che rientrano nel campo d'applicazione della legislazione argentina relativa alla tutela dei dati.

(16) Si ritiene pertanto che l'Argentina fornisca un adeguato livello di tutela dei dati personali di cui alla direttiva 95/46/CE.

(17) Nell'interesse della trasparenza e al fine di salvaguardare la capacità delle autorità competenti negli Stati membri di garantire la tutela delle persone fisiche per quanto concerne il trattamento dei dati personali che li riguardano, è necessario specificare nella decisione le circostanze eccezionali in cui, nonostante la constatazione di un livello di protezione adeguato, può essere giustificata la sospensione di trasferimenti di dati specifici.

(18) Il gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall'articolo 29 della direttiva 95/46/CE ha fornito un parere sul livello di protezione dei dati personali in Argentina di cui si è tenuto conto nella preparazione della presente decisione(3).

(19) Le misure previste dalla presente decisione sono conformi al parere del comitato di cui all'articolo 31, paragrafo 1 della direttiva 95/46/CE,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Ai fini dell'articolo 25, paragrafo 2, della direttiva 95/46/CE, si ritiene che l'Argentina fornisca un adeguato livello di tutela dei dati personali trasferiti dalla Comunità.

Articolo 2

La presente decisione riguarda soltanto l'adeguatezza della protezione fornita in Argentina al fine di soddisfare i requisiti di cui all'articolo 25, paragrafo 1 della direttiva 95/46/CE e non produce alcun effetto su altre condizioni o restrizioni conseguenti all'attuazione di altre disposizioni della direttiva riguardanti il trattamento dei dati personali all'interno degli Stati membri.

Articolo 3

1. Fatti salvi i poteri di intervento al fine di garantire il rispetto dei provvedimenti nazionali adottati in applicazione di disposizioni diverse dall'articolo 25 della direttiva 95/46/CE, le autorità competenti degli Stati membri hanno facoltà di sospendere i trasferimenti di dati verso destinatari in Argentina, al fine di proteggere i cittadini nell'ambito del trattamento dei loro dati personali nei casi in cui:

a) un'autorità competente argentina abbia constatato che il destinatario non rispetta le norme applicabili relative alla protezione;

b) sia fortemente probabile una violazione delle norme relative alla protezione; vi siano motivi ragionevoli di ritenere che le autorità competenti argentine non adottino o non intendano adottare misure adeguate e tempestive per risolvere il caso in questione; la continuazione del trasferimento dei dati comporti un rischio imminente di grave pregiudizio per le persone interessate e le autorità competenti degli Stati membri abbiano fatto il possibile, date le circostanze, per avvertire il responsabile del trattamento in Argentina e dargli la possibilità di replicare.

La sospensione cessa non appena sia garantito il rispetto delle norme di protezione e ne sia informata l'autorità competente della Comunità.

2. Gli Stati membri informano immediatamente la Commissione dell'adozione di provvedimenti in base al paragrafo 1.

3. Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui l'azione degli organismi argentini responsabili per il rispetto delle norme di protezione non sia sufficiente a garantire tale rispetto.

4. Ove risulti provato, dalle informazioni di cui ai paragrafi 1, 2 e 3, che gli organismi argentini incaricati di garantire il rispetto delle norme di protezione non svolgono la loro funzione in modo efficace, la Commissione avverte le autorità argentine competenti e, se necessario, presenta progetti di misure, con la procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE, al fine di abrogare o sospendere la presente decisione o di limitarne il campo d'applicazione.

Articolo 4

1. La presente decisione può essere modificata in qualsiasi momento, per tener conto delle esperienze relative alla sua applicazione o di cambiamenti intervenuti nella legislazione argentina, nella sua applicazione ed interpretazione.

La Commissione verifica l'applicazione della presente decisione e comunica qualsiasi informazione utile al comitato istituito dall'articolo 31 della direttiva 95/46/CE, in particolare ogni elemento rilevante ai fini della valutazione di cui all'articolo 1 della presente decisione circa l'adeguatezza della protezione argentina ai sensi dell'articolo 25 della direttiva 95/46/CE e ogni elemento che dimostri che la presente decisione è applicata in modo discriminatorio.

2. Se necessario, la Commissione presenta progetti di misure con la procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE.

Articolo 5

Gli Stati membri adottano le misure necessarie per conformarsi alla presente decisione entro centoventi giorni dalla notifica della stessa.

Articolo 6

Gli Stati membri sono destinatari della presente decisione.

Fatto a Bruxelles, il 30 giugno 2003.

Per la Commissione

Frederik Bolkestein

Membro della Commissione

(1) GU L 281 del 23.11.1995, pag. 31.

(2) Parere 12/98 adottato dal Gruppo di lavoro il 24 luglio 1998: Trasferimenti di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva comunitaria sulla tutela dei dati (DG MARKT D/5025/98), disponibile su Europa, il sito Web della Commissione europea, al seguente indirizzo:

http://europa.eu.int/comm/ internal_market/en/dataprot/wpdocs/ wpdocs_98.htm

(3) Parere 4/2002 sul livello di protezione dei dati personali in Argentina - WP 63 del 3 ottobre 2002 disponibile al seguente indirizzo:

http://europa.eu.int/comm/ internal_market/en/dataprot/wpdocs/ index.htm