COMMISSIONE DELLE COMUNITË EUROPEE

Decisione della Commissione

dellĠ 8 maggio 2008

ai sensi della direttiva 95/46/CE del Parlamentoeuropeo e del Consiglio sullĠadeguata protezione dei dati personali a Jersey

[notificata con il numero C(2008) 1746]

(Testo rilevante ai fini del SEE – Pubblicatasulla GUUE n. L 138 del 28/05/2008)

(2008/393/CE)

 

LA COMMISSIONE DELLE COMUNITË EUROPEE,

visto il trattato che istituisce la Comunitˆ europea,

vista la direttiva 95/46/CE del Parlamento europeo edel Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisichecon riguardo al trattamento dei dati personali, nonchŽ alla libera circolazionedi tali dati [1], in particolare lĠarticolo 25, paragrafo 6,

consultato il gruppo di lavoro per la tutela dellepersone con riguardo al trattamento dei dati personali [2],

considerando quanto segue:

(1) Ai sensi della direttiva 95/46/CE gli Statimembri devono far s“ che il trasferimento di dati personali a un paese terzoabbia luogo solo se il paese in questione garantisce adeguati livelli di tutelae dopo aver accertato, prima del trasferimento, che siano soddisfatte le normedegli Stati membri che attuano altre disposizioni della direttiva.

(2) La Commissione pu˜ accertare che un paese terzogarantisce adeguati livelli di tutela. In tal caso, gli Stati membri possonotrasferirvi dati personali senza la necessitˆ di ulteriori garanzie.

(3) Secondo la direttiva 95/46/CE il livello ditutela dei dati va accertato alla luce di tutte le circostanze che accompagnanola, o le, operazioni di trasferimento dei dati, dando particolare rilievo aglielementi del trasferimento di cui allĠarticolo 25, paragrafo 2, della medesima.

(4) Data la diversitˆ degli approcci alla tutela deidati nei paesi terzi, la valutazione dellĠadeguatezza va effettuata, e ognidecisione ai sensi dellĠarticolo 25, paragrafo 6, della direttiva 95/46/CE vapresa e applicata, senza discriminazioni ingiustificate o arbitrarie contro otra paesi terzi in cui esistono condizioni simili e senza creare ostacoli mascheratial libero scambio, nel rispetto degli attuali impegni internazionali assuntidalla Comunitˆ.

(5) Il Baliato di Jersey  una dipendenza dellaCorona britannica (senza essere una zona del Regno Unito nŽ una colonia) macompletamente indipendente, tranne che per le relazioni internazionali e ladifesa, di competenza del governo britannico; il Baliato di Jersey va dunqueconsiderato un paese terzo ai fini della direttiva 95/46/CE.

(6) Dal 1951 e 1987 rispettivamente, la ratifica, daparte del Regno Unito, della Convenzione europea sui diritti dellĠuomo e laConvenzione del Consiglio dĠEuropa per la tutela delle persone con riguardo altrattamento dei dati personali (convenzione 108)  stata estesa al Baliato diJersey.

(7) Nel Baliato di Jersey, le norme giuridiche atutela dei dati personali ampiamente basate sulle disposizioni della direttiva95/46/CE sono regolate dalla Data Protection (Jersey) Law 1987, entrata invigore lĠ 11 novembre 1987, e da due leggi complementari, la Data Protection(Amendment) (Jersey) Law 2005, e la Data Protection (Jersey) Law 2005(Appointed Day) Act 2005.

(8) é stata inoltre adottata una legislazionederivata conformemente alla Data Protection (Jersey) Law, nel 2005, che regolaquestioni specifiche come lĠaccesso dei titolari dei dati, lĠelaborazione deidati sensibili e la notifica allĠautoritˆ di protezione dei dati [3].

(9) Le norme giuridiche applicabili a Jerseycontengono tutti i principi di un adeguato livello di tutela delle personefisiche. La loro applicazione  garantita dal ricorso giurisdizionale e dalcontrollo indipendente dellĠautoritˆ, il Data Protection Commissioner, dotatodi poteri di ricerca e dĠintervento.

(10) Si ritiene pertanto che Jersey fornisca adeguatilivelli di tutela dei dati personali ai sensi della direttiva 95/46/CE.

(11) Per salvaguardare la trasparenza e la capacitˆdelle competenti autoritˆ degli Stati membri di garantire la tutela dellepersone riguardo allĠelaborazione dei dati personali di queste ultime, vannoprecisate le circostanze eccezionali che giustificano la sospensione diparticolari flussi di dati, nonostante lĠesistenza di unĠadeguata tutela.

(12) Le misure di cui alla presente decisione sonoconformi al parere del Comitato istituito ai sensi dellĠarticolo 31, paragrafo1, della direttiva 95/46/CE,

HA ADOTTATO LA PRESENTE DECISIONE:

 

Articolo 1

Per le finalitˆ di cui allĠarticolo 25, paragrafo 2,della direttiva 95/46/CE, il Baliato di Jersey  ritenuto fornire un livelloadeguato di tutela dei dati personali trasferiti dalla Comunitˆ.

Articolo 2

Questa decisione riguarda lĠadeguatezza della tutelafornita a Jersey rispetto ai requisiti dellĠarticolo 25, paragrafo 1, delladirettiva 95/46/CE e non influisce su altre condizioni o restrizioni cui possadar luogo lĠattuazione di altre disposizioni della stessa direttivasullĠelaborazione di dati personali in seno agli Stati membri.

Articolo 3

1. A prescindere dai loro poteri di intervento perconformarsi a disposizioni nazionali approvate ai sensi di norme diversedallĠarticolo 25 della direttiva 95/46/CE, per proteggere le persone riguardoallĠelaborazione dei loro dati personali, le autoritˆ competenti degli Statimembri possono esercitare i loro attuali poteri di sospendere i flussi di datia un destinatario a Jersey:

a) se unĠautoritˆ competente di Jersey stabilisce cheil destinatario infrange norme di protezione in vigore; oppure

b) se  molto probabile che le norme di protezionesiano infrante; se esistono fondati motivi per credere che lĠautoritˆcompetente di Jersey non prenda o non prenderˆ provvedimenti adeguati etempestivi per comporre il caso in questione; se il persistere deltrasferimento dˆ luogo a rischi imminenti di danno grave ai titolari dei dati ein tale circostanza le autoritˆ competenti nello Stato membro hanno compiutoragionevoli sforzi per avvisare i responsabili dellĠelaborazione a Jersey e darloro lĠopportunitˆ di rispondere.

2. La sospensione cesserˆ non appena le norme diprotezione siano ripristinate e ne venga informata lĠautoritˆ competente delloStato membro interessato.

Articolo 4

1. Gli Stati membri informano immediatamente laCommissione dei provvedimenti adottati ai sensi dellĠarticolo 3.

2. Gli Stati membri e la Commissione si informanoreciprocamente dei casi in cui gli organismi di Jersey preposti a garantire larispondenza alle norme di tutela non riescono ad assolvere tale compito.

3. Se le informazioni raccolte ai sensi dellĠarticolo3 e dei paragrafi 1 e 2 del presente articolo provano che a Jersey nessunorgano preposto a garantire la rispondenza alle norme di tutela adempieefficacemente il suo ruolo, la Commissione ne informa la competente autoritˆ diJersey e, se necessario, propone contromisure ai sensi della procedura di cuiallĠarticolo 31, paragrafo 2, della direttiva 95/46/CE al fine di abrogare osospendere la presente decisione o di limitarne il campo dĠapplicazione.

Articolo 5

La Commissione controlla il funzionamento dellapresente decisione e riferisce al comitato di cui allĠarticolo 31 delladirettiva 95/46/CE ogni pertinente conclusione e, in particolare, tutto quantopossa influire sulla constatazione, di cui allĠarticolo 1 della presentedecisione, di adeguatezza della tutela a Jersey ai sensi dellĠarticolo 25 delladirettiva 95/46/CE ed eventuali prove che la decisione venga attuata in mododiscriminatorio.

Articolo 6

Gli Stati membri adottano i provvedimenti necessari aconformarsi alla presente decisione entro quattro mesi dalla data della suanotifica.

Articolo 7

Gli Stati membri sono destinatari della presentedecisione.

 

Fatto a Bruxelles, lĠ 8 maggio 2008.

Per la Commissione

Jacques Barrot

Vicepresidente

 

NOTE                                 

[1] GU L 281 del 23.11.1995, pag.31. Direttiva modificata da ultimo dal regolamento (CE) n. 1882/2003 (GU L 284del 31.10.2003, pag. 1).

[2] Parere 8/2007 sul livello diprotezione dei dati personali a Jersey, adottato il 9 ottobre 2007, disponibilesu http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2007_en.htm

[3] Data Protection (CorporateFinance Exemption) (Jersey) Regulations 2005; Data Protection (Credit ReferenceAgency) (Jersey) Regulations 2005; Data Protection (Fair Processing) (Jersey)Regulations 2005; Data Protection (International Co-operation) (Jersey)Regulations 2005; Data Protection (Notification) (Jersey) Regulations 2005;Data Protection (Sensitive Personal Data) (Jersey) Regulations 2005; DataProtection (Subject Access Exemptions) (Jersey) Regulations 2005; DataProtection (Subject Access Miscellaneous) (Jersey) Regulations 2005; DataProtection (Subject Access Modification — Education) (Jersey) Regulations2005; Data Protection (Subject Access Modification — Health) (Jersey)Regulations 2005; Data Protection (Subject Access Modification — SocialWork) (Jersey) Regulations 2005; Data Protection (Transfer in SubstantialPublic Interest) (Jersey) Regulations 2005.