Garante per la protezione
    dei dati personali

Newsletter

TRASFERIMENTO DI DATI VERSO PAESI EXTRA UE: PER LA COMMISSIONE EUROPEA PRIVACY ADEGUATA IN CANADA

Lo scorso 4 gennaio è stata pubblicata sulla Gazzetta Ufficiale delle Comunità europee la decisione con cui la Commissione riconosce l’adeguatezza del livello di protezione dei dati offerto dal Canada ai fini del trasferimento di dati personali dal territorio dell’UE verso tale Stato (documento n. 2002/2/CE, pubblicato su GUCE L2 del 4 gennaio 2002).

Analogamente alle altre decisioni in materia (che riguardavano rispettivamente Ungheria, Svizzera e USA, questi ultimi in base all’accordo di "Safe Harbor"), con questo strumento la Commissione intende facilitare i flussi di dati dall’Europa verso un Paese terzo in cui, come previsto dall’art. 25(2) della direttiva sulla protezione dei dati (95/46/CE), si riconosce l’esistenza di un livello adeguato di protezione. Nel caso del Canada, questa valutazione è stata compiuta attraverso l’esame del "Personal Information Protection and Electronic Documents Act" (Legge sulla protezione dei dati personali e sui documenti elettronici), che riguarda i trattamenti di dati personali effettuati da soggetti privati in rapporto ad attività di natura commerciale.

Va rilevato che, secondo quanto previsto dalla direttiva 95/46, il gruppo dei Garanti europei aveva espresso un parere sostanzialmente favorevole rispetto alla Legge canadese sopra menzionata (Parere 2/2001 del 26 gennaio 2001, disponibile all’indirizzo http://www.europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp39it.pdf.). La Commissione ne ha tenuto conto ai fini della decisione in oggetto, dove, in particolare, si sottolinea come la Legge canadese preveda un calendario per la sua entrata in vigore secondo cui, ad esempio, soltanto dal 1 gennaio 2004 essa si applicherà a tutti i soggetti privati che raccolgono dati personali in relazione ad attività commerciali; attualmente (dal 1 gennaio 2002) essa si applica soltanto ai soggetti privati la cui attività è regolamentata da norme federali — ad esempio, linee aeree, istituti bancari, imprese radiotelevisive, di trasporti e TLC a livello interprovinciale, anche per quanto riguarda i dati di natura sanitaria. Occorre infatti ricordare che il Canada è uno Stato federale, e che ciascuna provincia ha autonomia normativa.

La Commissione ha dunque ritenuto che, alla luce di tutti gli elementi disponibili, il trasferimento di dati verso organismi soggetti all’applicazione della Legge sopra menzionata possa avvenire nell’ottica di una tutela "adeguata" ai sensi della direttiva 95/46. Come per le altre decisioni in materia, resta ferma la possibilità di introdurre modifiche al testo della decisione sulla base dell’esperienza successivamente maturata e, in particolare, delle disposizioni eventualmente adottate a livello delle singole province. Su questo punto occorre dire, tuttavia, che il Gruppo dei Garanti aveva raccomandato alla Commissione di valutare con maggiore attenzione i meccanismi in base ai quali si potrà stabilire che la normativa approvata dalle province canadesi sia "sostanzialmente simile" a quella federale — un concetto evidentemente bisognoso di definizioni più puntuali.

Inoltre, non va dimenticato che la Legge canadese si applica soltanto alle transazioni commerciali. Ne restano escluse, dunque, numerose transazioni che possono riguardare comunque dati trasferiti da Paesi dell’UE (ad esempio, quelle effettuate verso soggetti no-profit).

Gli Stati membri hanno 90 giorni di tempo per prendere i provvedimenti necessari, in base al diritto nazionale, per dare attuazione alla decisione della Commissione. Il Garante verosimilmente adotterà un provvedimento analogo a quelli già pubblicati in Gazzetta Ufficiale - riguardo al trasferimento di dati verso USA, Ungheria e Svizzera - in modo tale da consentire alle imprese italiane di trasferire senza problemi i dati verso altre imprese situate in Canada.