|
23.8.2012 |
RO |
Jurnalul Oficial al Uniunii Europene |
L 227/11 |
DECIZIA DE PUNERE ÎN APLICARE A COMISIEI
din 21 august 2012
în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind nivelul de protecție adecvat asigurat de Republica Orientală a Uruguayului privind prelucrarea automată a datelor cu caracter personal
[notificată cu numărul C(2012) 5704]
(Text cu relevanță pentru SEE)
(2012/484/UE)
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcționarea Uniunii Europene,
având în vedere Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (1), în special articolul 25 alineatul (6),
după consultarea Autorității Europene pentru Protecția Datelor (2),
întrucât:
|
(1) |
În temeiul Directivei 95/46/CE, statelor membre li se cere să ia măsuri astfel încât transferul datelor cu caracter personal către o țară terță să poată avea loc numai în cazul în care țara terță în cauză asigură un nivel de protecție adecvat și în cazul în care legile statelor membre care pun în aplicare alte dispoziții ale directivei sunt respectate înainte de transfer. |
|
(2) |
Comisia poate constata că o țară terță asigură un nivel adecvat de protecție. În acest caz, datele cu caracter personal pot fi transferate din statele membre fără să fie nevoie de garanții suplimentare. |
|
(3) |
În temeiul Directivei 95/46/CE, nivelul de protecție a datelor trebuie evaluat ținând seama de toate împrejurările care au legătură cu o operațiune de transfer de date sau cu o serie de operațiuni de transfer de date și acordând o atenție specială mai multor elemente relevante pentru transfer, enumerate la articolul 25. |
|
(4) |
Având în vedere diferitele abordări privind protecția datelor în țările terțe, evaluarea caracterului adecvat trebuie efectuată și orice decizie întemeiată pe articolul 25 alineatul (6) din Directiva 95/46/CE trebuie adoptată și pusă în aplicare astfel încât să nu creeze discriminări arbitrare sau nejustificate față de țările terțe ori între acestea, atunci când există condiții similare, și să nu constituie o barieră mascată în calea comerțului, ținând seama de angajamentele internaționale actuale ale Uniunii Europene. |
|
(5) |
Constituția politică a Republicii Orientale a Uruguayului, adoptată în 1967, nu recunoaște în mod expres dreptul la viață privată și protecția datelor cu caracter personal. Cu toate acestea, catalogul drepturilor fundamentale nu constituie o listă închisă, deoarece articolul 72 din Constituție prevede că lista drepturilor, obligațiilor și a garanțiilor enumerate în Constituție nu exclude altele care sunt inerente personalității umane sau care rezultă din forma republicană de guvernământ. La articolul 1 din Legea nr. 18.331 privind protecția datelor cu caracter personal și privind acțiunea „Habeas Data” din 11 august 2008 (Ley No 18.331 de Protección de Datos Personales y Acción de „Habeas Data”) se stabilește în mod expres că „dreptul la protecția datelor cu caracter personal este un drept inerent persoanei umane și, prin urmare, este inclus în articolul 72 din Constituția Republicii”. Articolul 332 din Constituție prevede că aplicarea prevederilor respectivei constituții care consacră drepturile persoanelor, precum și cele care acordă drepturi și impun obligații autorităților publice, nu trebuie să fie compromisă de lipsa legislației specifice, ci, mai degrabă, trebuie să se întemeieze, prin recurgerea la principiile fundamentale ale legislației similare, pe principiile generale de drept și pe doctrinele general acceptate. |
|
(6) |
Standardele legale pentru protecția datelor cu caracter personal în Republica Orientală a Uruguayului sunt întemeiate în mare parte pe standardele stabilite în Directiva 95/46/CE și sunt prevăzute în Legea nr. 18.331 privind protecția datelor cu caracter personal și privind acțiunea „Habeas Data” (Ley No 18.331 de Protección de Datos Personales y de Acción de „Habeas Data”) din 11 august 2008. Aceasta se referă la persoane fizice și la persoane juridice. |
|
(7) |
Legea respectivă este completată de Decretul nr. 414/009 din 31 august 2009, adoptat în scopul de a clarifica anumite aspecte din lege și de a stabili în detaliu reglementarea organizării, competențele și funcționarea autorității de supervizare a protecției datelor. Preambulul decretului prevede că este necesar să se adapteze sistemul juridic național în materie la regimul juridic comparabil cel mai acceptat, în principal cel stabilit de țările europene prin Directiva 95/46/CE. |
|
(8) |
Dispoziții privind protecția datelor există, de asemenea, în mai multe acte speciale, de instituire și reglementare a unor baze de date, și anume norme de reglementare ale anumitor registre publice (actele publice, drepturile de proprietate industrială și mărcile comerciale, actele cu caracter personal, proprietățile imobiliare, minerit sau de informare cu privire la credite). Legea nr. 18.331 se aplică în mod suplimentar acestor acte în ceea ce privește aspectele care nu sunt reglementate de respectivele instrumente juridice specifice, în conformitate cu articolul 332 din Constituție. |
|
(9) |
Standardele legale în materie de protecție a datelor aplicabile în Republica Orientală a Uruguayului includ toate principiile de bază necesare pentru a asigura un nivel adecvat de protecție a persoanelor fizice și prevăd, totodată, excepții și limitări menite să protejeze interesele publice importante. Atât aceste standarde juridice în materie de protecție a datelor, cât și excepțiile reflectă principiile enunțate de Directiva 95/46/CE. |
|
(10) |
Aplicarea standardelor juridice în materie de protecție a datelor este garantată prin căi de atac juridice și administrative, în special prin acțiunea „habeas data”, care permite persoanei vizate să îl cheme în instanță pe responsabilul bazei de date pentru a obține aplicarea drepturilor sale de acces, rectificare și eliminare, precum și printr-o supraveghere independentă efectuată de autoritatea de supraveghere, Unitatea de reglementare și control a datelor personale [Unidad Reguladora y de Control de Datos Personales (URCDP)], care este învestită cu competențe de investigare, intervenție și sancțiune în conformitate cu articolul 28 din Directiva 95/46/CE și care acționează în deplină independență. Mai mult, toate părțile interesate au dreptul de a introduce o acțiune în justiție pentru recuperarea daunelor suferite în urma prelucrării ilegale a datelor lor cu caracter personal. |
|
(11) |
Autoritățile uruguayene responsabile pentru protecția datelor au furnizat explicații și asigurări referitoare la modul în care trebuie interpretată legislația uruguayană și au confirmat că legislația uruguayană privind protecția datelor este pusă în aplicare conform acestei interpretări. În special, autoritățile uruguayene pentru protecția datelor au explicat că, în conformitate cu articolul 332 din Constituție, Legea nr. 18.331 se aplică în mod suplimentar legilor speciale de instituire și reglementare ale unor baze de date specifice în relație cu acele aspecte care nu sunt reglementate de respectivele instrumente juridice speciale. De asemenea, acestea au clarificat că, în ceea ce privește listele menționate la articolul 9 litera (c) din Legea nr. 18.331 și care nu necesită consimțământul persoanei vizate pentru prelucrarea datelor, legea, în special principiile proporționalității și finalității, se aplică drepturilor persoanelor vizate și că acestea fac obiectul supravegherii de către autoritatea pentru protecția datelor. În ceea ce privește principiul transparenței, autoritățile uruguayene de protecție a datelor au informat că obligația de a furniza persoanei vizate informațiile necesare se aplică în toate cazurile. În ceea ce privește dreptul de acces, autoritatea de protecție a datelor a precizat că este suficient ca persoana vizată să își dovedească identitatea atunci când formulează o solicitare. Autoritățile uruguayene de protecție a datelor au clarificat faptul că excepțiile de la principiul privind transferurile internaționale prevăzute la articolul 23 alineatul (1) din Legea nr. 18.331 nu pot fi înțelese ca având o sferă de aplicare mai largă decât articolul 26 alineatul (1) din Directiva 95/46/CE. |
|
(12) |
Prezenta decizie ia în considerare și se bazează pe aceste explicații și asigurări. |
|
(13) |
Totodată, Republica Orientală a Uruguayului este parte la Convenția Americană a Drepturilor Omului („Pactul de la San José de Costa Rica”) din 22 noiembrie 1969, care a intrat în vigoare la 18 iulie 1978 (3). Articolul 11 din respectiva convenție stabilește dreptul la viață privată, iar articolul 30 prevede că restricțiile care, în temeiul acestei convenții, ar putea fi impuse asupra exercitării drepturilor sau libertăților recunoscute de convenție nu pot fi puse în aplicare decât în conformitate cu legile adoptate pe considerente de interes general și în concordanță cu obiectivul pentru care au fost stabilite asemenea restricții (articolul 30). Mai mult, Republica Orientală a Uruguayului a acceptat jurisdicția Curții Interamericane a Drepturilor Omului. În plus, la cea de a 1118-a reuniune la nivel de adjunct de ministru a Consiliului Europei, desfășurată la 6 iulie 2011, oficialii au invitat Republica Orientală a Uruguayului să adere la Convenția pentru protecția persoanelor cu privire la prelucrarea automată a datelor cu caracter personal (ETS nr. 108) și la Protocolul adițional la aceasta (ETS nr. 118), în urma unei opinii favorabile a comitetului consultativ pertinent (4). |
|
(14) |
Prin urmare, ar trebui să se considere că Republica Orientală a Uruguayului dispune de un nivel adecvat de protecție a datelor cu caracter personal în sensul Directivei 95/46/CE. |
|
(15) |
Prezenta decizie ar trebui să vizeze nivelul de adecvare al protecției furnizate de Republica Orientală a Uruguayului în scopul îndeplinirii cerințelor articolului 25 alineatul (1) din Directiva 95/46/CE. Acest lucru nu ar trebui să afecteze alte condiții sau restricții prin care se pun în aplicare alte prevederi ale directivei respective care se referă la prelucrarea datelor cu caracter personal în statele membre. |
|
(16) |
În interesul transparenței și în scopul protejării capacității autorităților competente din statele membre de a asigura protecția persoanelor în ceea ce privește prelucrarea datelor lor personale, este necesar să se specifice circumstanțele excepționale în care s-ar putea justifica suspendarea fluxului de date, fără a se aduce atingere identificării unei protecții adecvate. |
|
(17) |
Comisia trebuie să monitorizeze punerea în aplicare a deciziei și să informeze asupra constatărilor relevante Comitetul instituit în temeiul articolului 31 din Directiva 95/46/CE. Această monitorizare trebuie să acopere, între altele, regimul Republicii Orientale a Uruguayului aplicabil transferurilor în cadrul tratatelor internaționale. |
|
(18) |
Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit în temeiul articolului 29 din Directiva 95/46/CE a emis un aviz favorabil cu privire la nivelul adecvat al protecției datelor cu caracter personal, luat în considerare la pregătirea prezentei decizii (5). |
|
(19) |
Măsurile prevăzute de prezenta decizie sunt conforme cu avizul Comitetului instituit în temeiul articolului 31 alineatul (1) din Directiva 95/46/CE, |
ADOPTĂ PREZENTA DECIZIE:
Articolul 1
(1) În sensul articolului 25 alineatul (2) din Directiva 95/46/CE, se consideră că Republica Orientală a Uruguayului asigură un nivel adecvat de protecția a datelor personale transferate din Uniunea Europeană.
(2) Autoritatea competentă de supraveghere din Republica Orientală a Uruguayului responsabilă cu aplicarea standardelor în materie de protecție a datelor în Republica Orientală a Uruguayului este stabilită în anexa la prezenta decizie.
Articolul 2
(1) Fără a se aduce atingere competențelor lor de a lua măsuri pentru respectarea dispozițiilor naționale adoptate în temeiul altor dispoziții decât cele prevăzute la articolul 25 din Directiva 95/46/CE, autoritățile competente din statele membre își pot exercita competențele de care dispun pentru a suspenda fluxurile de date către un destinatar din Republica Orientală a Uruguayului în vederea protejării persoanelor în ceea ce privește prelucrarea datelor cu caracter personal ale acestora în următoarele cazuri:
|
(a) |
atunci când o autoritate competentă din Uruguay a stabilit că destinatarul încalcă standardele de protecție aplicabile; sau |
|
(b) |
când există o probabilitate semnificativă că standardele de protecție sunt încălcate, atunci când există temeiuri rezonabile pentru a crede că autoritatea competentă din Uruguay competentă nu ia sau nu va lua măsurile adecvate în timp util pentru a soluționa situația dată, continuarea transferului de date ar crea un risc iminent de a afecta în mod grav persoanele vizate și atunci când autoritățile competente din statele membre au făcut eforturi rezonabile în circumstanțele date de a notifica partea responsabilă cu prelucrarea datelor din Republica Orientală a Uruguayului și de a îi oferi posibilitatea de a răspunde. |
(2) Suspendarea încetează imediat ce standardele de protecție sunt asigurate, iar autoritatea competentă în cauză din statele membre este notificată în acest sens.
Articolul 3
(1) Statele membre informează fără întârziere Comisia atunci când se adoptă măsuri în temeiul articolului 2.
(2) Statele membre și Comisia se informează reciproc cu privire la cazurile în care măsurile luate de organismele responsabile cu asigurarea respectării standardelor de protecție în Republica Orientală a Uruguayului nu asigură această respectare.
(3) În cazul în care informațiile colectate în temeiul articolului 2 și al alineatelor (1) și (2) din prezentul articol furnizează dovezi că un organism însărcinat cu asigurarea respectării standardelor de protecție în Republica Orientală a Uruguayului nu își îndeplinește eficient rolul, Comisia informează autoritatea uruguayană competentă și, dacă este necesar, prezintă un proiect de măsuri în conformitate cu procedura prevăzută la articolul 31 alineatul (2) din Directiva 95/46/CE în vederea abrogării sau suspendării prezentei decizii ori a limitării domeniului de aplicare al acesteia.
Articolul 4
Comisia monitorizează aplicarea prezentei decizii și raportează toate constatările pertinente Comitetului instituit în temeiul articolului 31 din Decizia 95/46/CE, inclusiv orice dovadă care ar putea afecta constatarea menționată în articolul 1 din prezenta decizie, conform căreia protecția datelor în Republica Orientală a Uruguayului este adecvată în sensul articolului 25 din Directiva 95/46/CE, precum și orice dovadă că prezenta decizie este aplicată în mod discriminatoriu.
Articolul 5
Statele membre iau toate măsurile necesare pentru a se conforma prezentei decizii în termen de 3 luni de la data notificării acesteia.
Articolul 6
Prezenta decizie se adresează statelor membre.
Adoptată la Bruxelles, 21 august 2012.
Pentru Comisie
Viviane REDING
Vicepreședinte
(1) JO L 281, 23.11.1995, p. 31.
(2) Scrisoarea din 31 august 2011.
(3) Organisation of American States; O.A.S., Treaty Series, No 36, 1144 U.N.T.S. 123. http://www.oas.org/juridico/english/treaties/b-32.html
(4) Consiliul Europei: https://wcd.coe.int/wcd/ViewDoc.jsp?Ref=CM/Del/Dec(2011)1118/10.3&Language=lanEnglish&Ver=original&Site=CM&BackColorInternet=DBDCF2&BackColorIntranet=FDC864&BackColorLogged=FDC864
(5) Avizul nr. 6/2010 privind nivelul de protecție a datelor personale în Republica Orientală a Uruguayului. Disponibil la http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp177_ro.pdf
ANEXĂ
Autoritatea competentă în materie de supraveghere menționată la articolul 1 alineatul (2) din prezenta decizie:
|
Unidad Reguladora y de Control de Datos Personales (URCDP), |
|
Andes 1365, Piso 8 |
|
Tel. +598 2901 2929 Int. 1352 |
|
11.100 Montevideo |
|
URUGUAY |
Contact e-mail: http://www.datospersonales.gub.uy/sitio/contactenos.aspx
Plângeri online: http://www.datospersonales.gub.uy/sitio/denuncia.aspx
Site: http://www.datospersonales.gub.uy/sitio/index.aspx