Garante per la protezione
    dei dati personali

Newsletter

FLUSSI DI DATI PERSONALI VERSO PAESI EXTRA UE — LA SITUAZIONE IN CANADA

Il Canada è fra gli Stati cosiddetti "terzi" che offrono un livello adeguato di tutela dei dati personali, secondo quanto stabilito dalla Commissione europea in base alla decisione adottata lo scorso 20 dicembre 2001
(
http://www.europa.eu.int/comm/internal_market/en/dataprot/adequacy/canadadecisionit.pdf).
La decisione si riferisce alle salvaguardie previste dal Personal Information Protection and Electronic Documents Act (PIPEDA), ossia dalla legge federale approvata il 13 aprile 2000 che estende al settore privato una serie di disposizioni che in precedenza valevano soltanto per i trattamenti di dati personali effettuati da soggetti pubblici. Dunque, in base a tale decisione e all'articolo 25(6) della direttiva, il trasferimento di dati personali dall'Unione Europea (e quindi dall'Italia) al Canada è sempre consentito, a meno che non sussistano particolari circostanze (ad esempio, qualora il destinatario risulti non offrire garanzie sufficienti, sulla base di accertamenti condotti dalle autorità canadesi, oppure se è ragionevole ritenere che l'autorità canadese competente a vigilare in materia non adotti misure adeguate per fare fronte ad eventuali abusi). Il Garante è in procinto di emanare un'autorizzazione al trasferimento dei dati personali in Canada, analoga a quelle già emanate, in seguito alle decisioni assunte dalla Commissione europea sull'adeguatezza della protezione dei dati personali in Svizzera ed Ungheria (vedi "Newsletter", 8-14 ottobre 2001).

Va sottolineato, tuttavia, che il Canada è uno stato federale e le singole province di cui si compone hanno autonomia legislativa. L'applicazione del PIPEDA, pertanto, non è immediata né uniforme. Vi sono settori (ad esempio, la sanità) che sono riservati alla regolamentazione delle singole province. Per tale motivo, un articolo della Legge prevede la possibilità di esentare singoli enti o singole attività (o categorie di attività) dall'applicazione delle disposizioni della Legge federale in materia di raccolta, utilizzazione e comunicazione di dati personali purché il Governatore della rispettiva provincia accerti e dichiari che la legislazione in vigore nella provincia è "sostanzialmente simile" a quella contenuta nella Legge federale (PIPEDA). Naturalmente l'esenzione si riferisce soltanto ai trasferimenti di dati fra soggetti all’interno di una stessa provincia; per i trasferimenti interprovinciali si applicano le disposizioni della Legge federale.

Una circolare pubblicata di recente dal Ministero dell'industria canadese, che ha competenza in materia, ha chiarito quali siano i termini di riferimento per valutare questa "somiglianza sostanziale" fra norma provinciale e norma federale. L'importanza di questa circolare è legata anche al fatto che l'applicazione integrale del PIPEDA a tutti i soggetti privati avrà effetto soltanto a partire dal 1 gennaio 2004, secondo un processo graduale che esclude, in ogni caso, l'applicazione della legge ai trattamenti per scopi non commerciali (dunque, ad esempio, il trattamento dei dati personali di dipendenti di un'azienda non è soggetto all'applicazione del PIPEDA). Per tutti questi motivi, già sottolineati nel Parere che i Garanti avevano espresso sull'adeguatezza del testo di legge
(
http://www.europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp39it.pdf), può essere utile riportare brevemente quanto previsto dalla circolare del Ministero dell'industria canadese. Inoltre, la decisione stessa della Commissione è soggetta a riesame ogni tre anni anche alla luce "delle esperienze relative al suo funzionamento o di modifiche della legislazione canadese, compresi provvedimenti che riconoscano che una provincia canadese dispone di una legislazione sostanzialmente simile."

I criteri adottati dal Governatore della singola provincia, che può agire su richiesta di singoli enti o imprese, oppure su indicazione del Ministro dell'industria, devono essere i seguenti:

a) si terrà conto dell'intero assetto normativo esistente nella provincia, per quanto riguarda le garanzie offerte rispetto al trattamento di dati personali nel settore privato (va detto che, ad esempio, nel Quebec esiste una legge onnicomprensiva riferita alla protezione dei dati personali, mentre in altre province non è così);

b) della procedura di valutazione sarà data notizia pubblica (sulla Gazzetta Ufficiale canadese), e si inviterà chi lo desidera a far pervenire osservazioni o commenti;

c) sarà obbligatorio sentire il parere del Privacy Commissioner, ossia dell'autorità federale competente in materia di protezione dei dati personali; al riguardo il Privacy Commissioner ha già chiarito che per "sostanzialmente simile" intende una norma pari o superiore alla legge federale in termini qualitativi e di efficacia;

d) il Ministro dell'industria formulerà una serie di raccomandazioni che il Governatore della singola provincia dovrà adottare, nel segnalare la somiglianza della normativa provinciale al PIPEDA, sulla base di alcuni criteri: il rispetto nella normativa provinciale dei dieci principi fondamentali in materia di protezione dati previsti dal PIPEDA, con particolare riguardo al diritto di accesso e rettifica ed ai meccanismi per la prestazione del consenso; l'esistenza di meccanismi/sistemi di riparazione e controllo efficaci e indipendenti; la previsione che la raccolta, l'uso e la comunicazione di dati personali siano consentiti soltanto per scopi legittimi o opportuni.

Sarà interessante verificare il funzionamento di questo sistema di valutazione "incrociata".