RELAZIONE DELLA COMMISSIONE

Oggetto: Notifiche nazionali ai sensi dell’articolo 26, paragrafo 3 della direttiva e scambio delle pratiche migliori

Precedenti

La prima relazione della Commissione sull’applicazione della direttiva della protezione dei dati nella Comunità1 riflette la preoccupazione della Commissione europea sul modo con cui gli Stati membri affrontano la questione del trasferimento di dati personali a paesi con insufficiente protezione.

Come viene detto a p. 21 della relazione, taluni indicatori lasciano intendere che "molti trasferimenti non autorizzati e addirittura illegali sono effettuati verso destinazioni o destinatari che non garantiscono un livello di protezione adeguato". Uno essi è l’esiguo numero di notifiche ricevute dagli Stati membri ai sensi dell’articolo 26, paragrafo 3 della direttiva: "Benché esistano altre strade legali di trasferimento dei dati diverse da quella di cui all’articolo 26, paragrafo 2, il numero di notificazioni è irrisorio rispetto a quanto ci si potrebbe ragionevolmente aspettare".

Il programma di lavoro per una migliore applicazione della direttiva (azione 3) espone lo sforzo della Commissione teso al "miglioramento della notifica di tutti gli atti giuridici di attuazione della direttiva e delle autorizzazioni concesse ai sensi dell’articolo 26, paragrafo 2, della direttiva" e a "facilitare lo scambio delle migliori prassi". Questa nota è la risposta dei servizi della Commissione a tali preoccupazioni e a una serie di questioni poste da taluni Stati membri e dai rispettivi Garanti della protezione dei dati sul modo migliore di informare la Commissione europea di tali autorizzazioni.

Questa nota sarà inviata a tutti gli Stati membri dell’UE e alle rispettive autorità di tutela dei dati e sarà pubblicata sul sito Web pubblico della Commissione sulla protezione dei dati. Essa espone criteri comuni per effettuare le notifiche dell’articolo 26, paragrafo 3 in un modo pragmatico e attua meccanismi per garantire lo scambio di pratiche migliori tra Stati membri.

Dovere di informazione ai sensi dell’articolo 26, paragrafo 3 della direttiva sulla protezione dei dati

L’articolo 26, paragrafo 3 della direttiva recita: "Lo Stato membro informa la Commissione e gli altri Stati membri in merito alle autorizzazioni concesse a norma del paragrafo 2. Secondo il paragrafo 2 "uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell'articolo 25, paragrafo 2, qualora il responsabile del trattamento presenti garanzie sufficienti".

Le garanzie sufficienti di cui all’articolo 26, paragrafo 2 della direttiva possono essere apposite clausole contrattuali, come le clausole contrattuali standard della Commissione europea2, altre ad hoc che lo Stato membro ritiene adeguate o qualunque altro mezzo adeguato come norme aziendali vincolanti, quali quelle recentemente convenute dal Gruppo di lavoro articolo 29 per i trasferimenti intragruppo di società multinazionali3.

Se il responsabile del trattamento nella Comunità adduce garanzie sufficienti attraverso clausole contrattuali standard della Commissione europea, lo Stato membro non è tenuto a informare la Commissione del rilascio di un’autorizzazione. Per contro, come previsto dalle decisioni della Commissione sulle clausole contrattuali standard (v. articolo 4.3), se l’autorità competente nello Stato membro vieta o sospende il flusso di dati verso un paese terzo, trasferimento fondato su clausole contrattuali standard della Commissione europea per il responsabile del trattamento, quest’ultima va immediatamente informata di tale divieto o sospensione. Naturalmente, il divieto o la sospensione vanno tolti non appena cessano i motivi che li giustificano e che possono esistere solo nelle eccezionali circostanze citate dalle relative decisioni della Commissione4.

Il fatto che la Commissione europea non debba essere informata nei casi in cui le autorizzazioni nazionali sono rilasciate in base a clausole contrattuali standard della Commissione europea non pregiudica il fatto che, in virtù di apposite norme legislative nazionali, debba essere necessario rilasciare tali autorizzazioni nazionali5 o che i contratti vadano depositati o esibiti davanti alle competenti autorità negli Stati membri.

Questioni relative al seguito dato a tali notifiche vanno indirizzate a Leonardo Cervera Navas, amministratore, Unità "Media e protezione dei dati". DG Mercato interno, Commissione europea. B-1049. Bruxelles. Tel.: 0032-2-2965859. indirizzo e-mail: Leonardo.Cervera-Navas@cec.eu.int

Disposizioni speciali di notifica nei casi di autorizzazioni nazionali rilasciate in base a norme aziendali vincolanti

Il rilascio di autorizzazioni nazionali in base a norme aziendali vincolanti segue le stesse regole di informazioni sopraindicate. Ma, se più Stati membri rilasciano autorizzazioni in base alla procedura di cooperazione concordata dalle autorità di tutela dei dati nel Gruppo di lavoro articolo 296, basta una sola notifica alla Commissione europea. Il presente documento di lavoro prevede che la Commissione europea debba essere informata anche nei casi in cui intervenga una sospensione o una revoca delle autorizzazioni inizialmente rilasciate, a causa del netto e/o persistente rifiuto del gruppo di società di cooperare o aderire al parere dell’autorità competente sulla tutela dei dati7.

Il seguito dato dalla Commissione alle notifiche ricevute

La direttiva 95/46/EC non impone alcun obbligo alla Commissione di informare gli Stati membri delle notifiche ricevute ai sensi dell’articolo 26, paragrafo 3. Gli Stati membri sono invitati a informare la Commissione europea e gli altri Stati membri di tutte le autorizzazioni rilasciate. Tuttavia, i servizi della Commissione informeranno gli Stati membri e le autorità di tutela dei dati dell’esistenza di tali notifiche così che gli interessati possono contattare l’autorità notificante competente e ottenere direttamente da essa tutte le informazioni necessarie.

La Commissione accuserà dunque ricevuta di tutte le informazioni ottenute per posta elettronica ai sensi dell’articolo 26, paragrafo 3 della direttiva, indirizzata all’elenco di indirizzi del Comitato Articolo 31 e del Gruppo di lavoro Articolo 29. L’avviso di ricevimento indicherà lo Stato membro notificante (ed, eventualmente, l’Autorità di tutela dei dati notificante), il riferimento nazionale dell’autorizzazione (se esiste), la data di autorizzazione e il paese di destinazione.

Essa indicherà anche, in breve, lo scopo del trasferimento e se l’autorizzazione sia stata rilasciata in base a una clausola contrattuale, a una norma aziendale vincolante o ad altre garanzie sufficienti addotte dal responsabile del trattamento nella Comunità. I servizi della Commissione cercheranno di notificare eventuali obiezioni entro tre mesi dalla data di pubblicazione dell’avviso di ricevimento.

Non verrà data altra pubblicità a tali avvisi di ricevimento e le richieste di consultare i documenti ottenuti ai sensi dell’articolo 26, paragrafo 3 della direttiva saranno soggette ai limiti e alle condizioni del regolamento 1049/2001 relativo all’accesso del pubblico ai documenti dell’UE.

Bruxelles, 21 agosto 2003

Guido Berardis

c.c.: sig. Renaudière, sig. Cervera Navas

 

NOTE

1 http://europa.eu.int/comm/internal_market/privacy/lawreport/data-directive_en.htm
2 V. decisione 2001/497/CE della Commissione: http://europa.eu.int/eur-lex/pri/en/oj/dat/2001/l_181/l_18120010704en00190031.pdf e decisione 2002/16/CE della Commissione: http://europa.eu.int/eur-lex/pri/en/oj/dat/2002/l_006/l_00620020110en00520062.pdf
3 V. il documento di lavoro n. 74: "Trasferimenti di dati personali a paesi terzi: applicazione dell’articolo 26, paragrafo 2 della direttiva sulla protezione dei dati dell’UE a norme aziendali vincolanti per i trasferimenti internazionali di dati":
http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2003/wp74_en.pdf
4 V. articolo 4, paragrafo 1, lettere a), b) e c).
5 Ovviamente in questi casi il rilascio dell’autorizzazione deve essere automatico e limitato per verificare se le clausole contrattuali presentate corrispondano effettivamente alle clausole contrattuali standard della Commissione europea.
6 V. il capitolo 6 del documento di lavoro sulle norme aziendali vincolanti.
7 V. il capitolo 5.4 del presente documento di lavoro sul dovere di cooperazione con le autorità di protezione dei dati.