COMMISSIONE EUROPEA

DECISIONE DELLA COMMISSIONE del 31gennaio 2011

ai sensi della direttiva 95/46/CE del Parlamento europeo e delConsiglio sull'adeguata protezione dei dati personali da parte dello Statod'Israele in relazione al trattamento automatizzato di tali dati

[notificata con il numero C(2011)332] (Testo rilevante ai fini del SEE - 2011/61/UE)

(Pubblicata sulla GUUE n. L27 del 1febbraio 2012)

 

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamentodell'Unione europea,

vista la direttiva 95/46/CE del Parlamentoeuropeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela dellepersone fisiche con riguardo al trattamento dei dati personali, nonché allalibera circolazione di tali dati (1), in particolare l'articolo 25, paragrafo 6,

sentito il Garante europeo dellaprotezione dei dati,

considerando quanto segue:

(1)       Ai sensi della direttiva 95/46/CE, gli Stati membri devono farsì che il trasferimento di dati personali a un paese terzo abbia luogo solo seil paese in questione garantisce adeguati livelli di protezione e dopo averaccertato, prima del trasferimento, che siano osservate le norme degli Statimembri che attuano altre disposizioni della direttiva.

(2)      La Commissione può constatare che un paese terzo garantiscaadeguati livelli di tutela. In tal caso, gli Stati membri possono trasferirvidati personali senza la necessità di ulteriori garanzie.

(3)      Secondo la direttiva 95/46/CE è necessario accertare il livellodi protezione dei dati alla luce di tutte le circostanze che accompagnanol'operazione, o le operazioni, di trasferimento dei dati, dando particolarerilievo agli elementi del trasferimento di cui all'articolo 25 della direttiva.

(4)      Data la diversità degli approcci alla tutela dei dati nei paesiterzi, è opportuno effettuare la valutazione dell'adeguatezza nonché adottare eapplicare ogni decisione ai sensi dell'articolo 25, paragrafo 6, delladirettiva 95/46/CE senza discriminazioni ingiustificate o arbitrarie contro otra paesi terzi in cui esistono condizioni simili e senza creare ostacolimascherati al libero scambio, nel rispetto degli attuali impegni internazionaliassunti dall'Unione europea.

(5)     Anche se l'ordinamento giuridico dello Stato d'Israele nondispone di una costituzione scritta, la Corte suprema dello Stato d'Israele haattribuito rango costituzionale ad alcune «Leggi fondamentali». A queste siaggiunge un'ampia giurisprudenza, essendo il sistema giuridico di Israele inlarga misura modellato sui principi di common law. Il diritto alla riservatezzaè sancito alla sezione 7 della «Legge fondamentale sulla dignità umana e lalibertà».

(6)      Nello Stato d'Israele, le norme giuridiche a tutela dei datipersonali sono ampiamente basate sulle disposizioni della direttiva 95/46/CE esono iscritte nella legge 5741-1981 sulla protezione della vita privata,modificata da ultimo nel 2007 al fine di stabilire nuovi criteri per iltrattamento dei dati personali e predisporre l'organizzazione dettagliatadell'autorità di controllo.

(7)      Detta legislazione in materia di protezione dei dati è inoltrecompletata da decisioni governative concernenti l'attuazione della legge5741-1981 sulla protezione della vita privata e l'organizzazione e ilfunzionamento dell'autorità di controllo, basate in gran parte suraccomandazioni formulate nella relazione del Comitato per l'esame dellalegislazione relativa alle banche dati al ministero della Giustizia (relazione Schoffman).

(8)      Disposizioni relative alla protezione dei dati figurano anche innumerosi strumenti giuridici che disciplinano diversi settori, quali lalegislazione del settore finanziario, la normativa sanitaria e i registripubblici.

(9)      Le norme giuridiche applicabili nello Stato d'Israele in materiadi protezione dei dati contengono tutti i principi di un adeguato livello ditutela delle persone fisiche relativamente al trattamento dei dati personalinelle banche dati automatizzate. Il capo 2 della legge 5741-1981 sullaprotezione della vita privata, in cui sono contenuti i principi che sottendonoal trattamento dei dati personali, non si applica al trattamento di datipersonali contenuti in banche dati non automatizzate (banche dati manuali).

(10)    L'applicazione di tali norme è garantita da mezzi di ricorsoamministrativi e giurisdizionali e dal controllo indipendente esercitatodall'autorità di controllo, l'autorità israeliana in materia di diritto,informazione e tecnologia (ILITA), dotata di poteri d'indagine e d'intervento eche opera in piena indipendenza.

(11)    Le autorità israeliane competenti per la protezione dei datihanno fornito spiegazioni e garanzie relative all'interpretazione dellalegislazione di Israele e hanno assicurato che la legislazione in materia diprotezione dei dati è applicata conformemente a tale interpretazione. Lapresente decisione tiene conto di tali spiegazioni e garanzie, dalle quali diconseguenza dipende.

(12)    È pertanto opportuno considerare che lo Stato d'Israele fornisceadeguati livelli di protezione dei dati personali ai sensi della direttiva95/46/CE relativamente ai trasferimenti internazionali automatizzati di datipersonali dall'Unione europea verso lo Stato d'Israele e, in caso ditrasferimenti non automatizzati, ai dati che siano sottoposti a ulterioretrattamento automatizzato nello Stato d'Israele. Per contro, la presentedecisione non dovrebbe applicarsi ai trasferimenti internazionali di datipersonali dall'UE nello Stato d'Israele qualora il trasferimento e ilsuccessivo trattamento dei dati siano effettuati esclusivamente tramitestrumenti non automatizzati.

(13)    Per salvaguardare la trasparenza e la capacità delle competentiautorità degli Stati membri di garantire la tutela delle persone riguardo altrattamento dei dati personali di queste ultime, è necessario precisare lecircostanze eccezionali che giustificano la sospensione di particolari flussidi dati, nonostante l'esistenza di un'adeguata tutela.

(14) I riscontri relativiall'adeguatezza riguardanti la presente decisione si riferiscono allo Statod'Israele, come definito ai sensi del diritto internazionale. I trasferimentisuccessivi verso un destinatario situato fuori dallo Stato d'Israele, comedefinito ai sensi del diritto internazionale, dovrebbero essere consideratitrasferimenti di dati personali verso un paese terzo.

(15)    Il gruppo per la tutela delle persone con riguardo altrattamento dei dati personali, istituito in forza dell'articolo 29 delladirettiva 95/46/CE, ha espresso un parere favorevole sul livello di adeguatezzadella protezione dei dati personali per quanto attiene alla protezione dei datirelativamente ai trasferimenti internazionali automatizzati di dati personalidall'Unione europea e, in caso di trasferimenti non automatizzati, ai dati chesiano sottoposti a ulteriore trattamento automatizzato nello Stato d'Israele.In tale parere, il gruppo ha incoraggiato le autorità israeliane ad adottareulteriori disposizioni che estendano l'applicazione della legislazione delloStato d'Israele alle banche dati manuali, riconoscano espressamente l'applicazionedel principio di proporzionalità al trattamento dei dati personali nel settoreprivato e interpretino le deroghe nell'ambito dei trasferimenti internazionalidi dati conformemente ai criteri fissati nel «Documento di lavoro suun'interpretazione comune dell'articolo 26, paragrafo 1, della direttiva95/46/CE» (2).

Nella preparazione della presentedecisione si è tenuto conto del parere del gruppo (3).

(16)    Il comitato istituito ai sensi dell'articolo 31, paragrafo 1,della direttiva 95/46/CE non ha formulato un parere entro il termine stabilitodal suo presidente,

HA ADOTTATO LA PRESENTE DECISIONE:

 

Articolo 1

1. Per le finalità di cui all'articolo25, paragrafo 2, della direttiva 95/46/CE, si ritiene che lo Stato d'Israelefornisca un adeguato livello di protezione dei dati personali trasferitidall'Unione europea per quanto attiene ai trasferimenti internazionaliautomatizzati di dati personali dall'Unione europea e, in caso di trasferimentinon automatizzati, ai dati che siano sottoposti a ulteriore trattamentoautomatizzato nello Stato d'Israele.

2.        L'autoritàdi controllo israeliana competente per l'applicazione delle norme in materia diprotezione dei dati nello Stato d'Israele è la «Israeli Law, Information andTechnology Authority (ILITA)» (autorità israeliana competente per il diritto,l'informazione e la tecnologia), di cui all'allegato della presente decisione.

 

Articolo 2

1. La presente decisione riguarda soltantol'adeguatezza della protezione fornita nello Stato d'Israele, come definito aisensi del diritto internazionale, al fine di soddisfare i requisiti di cuiall'articolo 25, paragrafo 1, della direttiva 95/46/CE e non produce alcuneffetto su altre condizioni o restrizioni conseguenti all'attuazione di altredisposizioni della direttiva riguardanti il trattamento dei dati personaliall'interno degli Stati membri.

2. La presente decisione deve essere applicataconformemente al diritto internazionale. Essa non pregiudica lo status dellealture del Golan, della striscia di Gaza, della Cisgiordania e di Gerusalemmeest, ai sensi del diritto internazionale.

 

Articolo 3

1. Fatti salvi i poteri di interventoal fine di garantire il rispetto dei provvedimenti nazionali adottati inapplicazione di disposizioni diverse dall'articolo 25 della direttiva 95/46/CE,le autorità competenti degli Stati membri hanno facoltà di sospendere itrasferimenti di dati verso destinatari nello Stato d'Israele al fine ditutelare i cittadini nell'ambito del trattamento dei loro dati personali neicasi in cui:

a) un'autorità competente israeliana abbiaconstatato che il destinatario non rispetta le norme applicabili relative allaprotezione; oppure

b) sia fortemente probabile unaviolazione delle norme di protezione; vi siano motivi ragionevoli di ritenereche le autorità competenti israeliane non adottino o non intendano adottaremisure adeguate e tempestive per risolvere il caso in questione; lacontinuazione del trasferimento dei dati comporti un rischio imminente di gravepregiudizio per le persone interessate e le autorità competenti degli Statimembri abbiano fatto il possibile, date le circostanze, per avvertire ilresponsabile del trattamento nello Stato d'Israele e dargli la possibilità direplicare.

2. La sospensione cessa non appenasia garantito il rispetto delle norme di protezione e ne sia informatal'autorità competente dello Stato membro interessato.

 

Articolo 4

1. Gli Stati membri informano immediatamentela Commissione dell'adozione di provvedimenti ai sensi dell'articolo 3.

2. Gli Stati membri e la Commissione siinformano reciprocamente dei casi in cui l'azione degli organismi israelianiresponsabili per il rispetto delle norme di protezione non sia sufficiente agarantire tale rispetto.

3.        Overisulti provato, dalle informazioni di cui all'articolo 3 e ai paragrafi 1 e 2del presente articolo, che gli organismi israeliani incaricati di garantire ilrispetto delle norme di protezione non svolgono la loro funzione in modoefficace, la Commissione avverte le autorità israeliane competenti e, se necessario,presenta progetti di misure, con la procedura di cui all'articolo 31, paragrafo2, della direttiva 95/46/CE, al fine di abrogare o sospendere la presentedecisione o di limitarne il campo d'applicazione.

 

Articolo 5

La Commissione verifica l'applicazionedella presente decisione e comunica qualsiasi informazione utile al comitatoistituito dall'articolo 31 della direttiva 95/46/CE, in particolare ognielemento rilevante ai fini della valutazione di cui all'articolo 1 dellapresente decisione, circa l'adeguatezza della protezione nello Stato d'Israeleai sensi dell'articolo 25 della direttiva 95/46/CE e ogni elemento che dimostriche la presente decisione è applicata in modo discriminatorio. Verifica inparticolare il trattamento dei dati personali nelle banche dati manuali.

 

Articolo 6

Gli Stati membri adottano le misurenecessarie per conformarsi alla presente decisione entro tre mesi dallanotifica della stessa.

 

Articolo 7

Gli Stati membri sono destinataridella presente decisione.

Fatto a Bruxelles, il 31 gennaio2011.

Per la Commissione

Viviane REDING

Vicepresidente

 

ALLEGATO

Autorità di controllo competente dicui all'articolo 1, paragrafo 2, della presente decisione:

The Israeli Law, Information andTechnology Authority

The Government Campus 9th floor 125Begin Rd. Tel Aviv

Israel Indirizzo: P.O. Box 7360 TelAviv, 61072 Tel. + 972-3-7634050 Fax + 972-2-6467064 E-mail:ILITA@justice.gov.il Sito internet:http://www.justice.gov.il/MOJEng/RashutTech/default.htm

 

 

NOTE                                               

(1) GU L 281del 23.11.1995, pag. 31.

(2) Documento WP114del 25 novembre 2005, consultabile all'indi­ rizzo:http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/ 2005/wp114_it.pdf

(3) DocumentoWP114 del 25 novembre 2005, consultabile all'indirizzo: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2005/wp114_it.pdf