Decisione della CCE dell’ 8 maggio 2008 ai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull’adeguata protezione dei dati personali a Jersey

COMMISSIONE DELLE COMUNITÀ EUROPEE

Decisione della Commissione

dell’ 8 maggio 2008

ai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull’adeguata protezione dei dati personali a Jersey

[notificata con il numero C(2008) 1746]

(Testo rilevante ai fini del SEE – Pubblicata sulla GUUE n. L 138 del 28/05/2008)

(2008/393/CE)

LA COMMISSIONE DELLE COMUNITÀ EUROPEE,

visto il trattato che istituisce la Comunità europea,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ^[1], in particolare l’articolo 25, paragrafo 6,

consultato il gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali ^[2],

considerando quanto segue:

(1) Ai sensi della direttiva 95/46/CE gli Stati membri devono far sì che il trasferimento di dati personali a un paese terzo abbia luogo solo se il paese in questione garantisce adeguati livelli di tutela e dopo aver accertato, prima del trasferimento, che siano soddisfatte le norme degli Stati membri che attuano altre disposizioni della direttiva.

(2) La Commissione può accertare che un paese terzo garantisce adeguati livelli di tutela. In tal caso, gli Stati membri possono trasferirvi dati personali senza la necessità di ulteriori garanzie.

(3) Secondo la direttiva 95/46/CE il livello di tutela dei dati va accertato alla luce di tutte le circostanze che accompagnano la, o le, operazioni di trasferimento dei dati, dando particolare rilievo agli elementi del trasferimento di cui all’articolo 25, paragrafo 2, della medesima.

(4) Data la diversità degli approcci alla tutela dei dati nei paesi terzi, la valutazione dell’adeguatezza va effettuata, e ogni decisione ai sensi dell’articolo 25, paragrafo 6, della direttiva 95/46/CE va presa e applicata, senza discriminazioni ingiustificate o arbitrarie contro o tra paesi terzi in cui esistono condizioni simili e senza creare ostacoli mascherati al libero scambio, nel rispetto degli attuali impegni internazionali assunti dalla Comunità.

(5) Il Baliato di Jersey è una dipendenza della Corona britannica (senza essere una zona del Regno Unito né una colonia) ma completamente indipendente, tranne che per le relazioni internazionali e la difesa, di competenza del governo britannico; il Baliato di Jersey va dunque considerato un paese terzo ai fini della direttiva 95/46/CE.

(6) Dal 1951 e 1987 rispettivamente, la ratifica, da parte del Regno Unito, della Convenzione europea sui diritti dell’uomo e la Convenzione del Consiglio d’Europa per la tutela delle persone con riguardo al trattamento dei dati personali (convenzione 108) è stata estesa al Baliato di Jersey.

(7) Nel Baliato di Jersey, le norme giuridiche a tutela dei dati personali ampiamente basate sulle disposizioni della direttiva 95/46/CE sono regolate dalla Data Protection (Jersey) Law 1987, entrata in vigore l’ 11 novembre 1987, e da due leggi complementari, la Data Protection (Amendment) (Jersey) Law 2005, e la Data Protection (Jersey) Law 2005 (Appointed Day) Act 2005.

(8) È stata inoltre adottata una legislazione derivata conformemente alla Data Protection (Jersey) Law, nel 2005, che regola questioni specifiche come l’accesso dei titolari dei dati, l’elaborazione dei dati sensibili e la notifica all’autorità di protezione dei dati ^[3].

(9) Le norme giuridiche applicabili a Jersey contengono tutti i principi di un adeguato livello di tutela delle persone fisiche. La loro applicazione è garantita dal ricorso giurisdizionale e dal controllo indipendente dell’autorità, il Data Protection Commissioner, dotato di poteri di ricerca e d’intervento.

(10) Si ritiene pertanto che Jersey fornisca adeguati livelli di tutela dei dati personali ai sensi della direttiva 95/46/CE.

(11) Per salvaguardare la trasparenza e la capacità delle competenti autorità degli Stati membri di garantire la tutela delle persone riguardo all’elaborazione dei dati personali di queste ultime, vanno precisate le circostanze eccezionali che giustificano la sospensione di particolari flussi di dati, nonostante l’esistenza di un’adeguata tutela.

(12) Le misure di cui alla presente decisione sono conformi al parere del Comitato istituito ai sensi dell’articolo 31, paragrafo 1, della direttiva 95/46/CE,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Per le finalità di cui all’articolo 25, paragrafo 2, della direttiva 95/46/CE, il Baliato di Jersey è ritenuto fornire un livello adeguato di tutela dei dati personali trasferiti dalla Comunità.

Articolo 2

Questa decisione riguarda l’adeguatezza della tutela fornita a Jersey rispetto ai requisiti dell’articolo 25, paragrafo 1, della direttiva 95/46/CE e non influisce su altre condizioni o restrizioni cui possa dar luogo l’attuazione di altre disposizioni della stessa direttiva sull’elaborazione di dati personali in seno agli Stati membri.

Articolo 3

1. A prescindere dai loro poteri di intervento per conformarsi a disposizioni nazionali approvate ai sensi di norme diverse dall’articolo 25 della direttiva 95/46/CE, per proteggere le persone riguardo all’elaborazione dei loro dati personali, le autorità competenti degli Stati membri possono esercitare i loro attuali poteri di sospendere i flussi di dati a un destinatario a Jersey:

a) se un’autorità competente di Jersey stabilisce che il destinatario infrange norme di protezione in vigore; oppure

b) se è molto probabile che le norme di protezione siano infrante; se esistono fondati motivi per credere che l’autorità competente di Jersey non prenda o non prenderà provvedimenti adeguati e tempestivi per comporre il caso in questione; se il persistere del trasferimento dà luogo a rischi imminenti di danno grave ai titolari dei dati e in tale circostanza le autorità competenti nello Stato membro hanno compiuto ragionevoli sforzi per avvisare i responsabili dell’elaborazione a Jersey e dar loro l’opportunità di rispondere.

2. La sospensione cesserà non appena le norme di protezione siano ripristinate e ne venga informata l’autorità competente dello Stato membro interessato.

Articolo 4

1. Gli Stati membri informano immediatamente la Commissione dei provvedimenti adottati ai sensi dell’articolo 3.

2. Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui gli organismi di Jersey preposti a garantire la rispondenza alle norme di tutela non riescono ad assolvere tale compito.

3. Se le informazioni raccolte ai sensi dell’articolo 3 e dei paragrafi 1 e 2 del presente articolo provano che a Jersey nessun organo preposto a garantire la rispondenza alle norme di tutela adempie efficacemente il suo ruolo, la Commissione ne informa la competente autorità di Jersey e, se necessario, propone contromisure ai sensi della procedura di cui all’articolo 31, paragrafo 2, della direttiva 95/46/CE al fine di abrogare o sospendere la presente decisione o di limitarne il campo d’applicazione.

Articolo 5

La Commissione controlla il funzionamento della presente decisione e riferisce al comitato di cui all’articolo 31 della direttiva 95/46/CE ogni pertinente conclusione e, in particolare, tutto quanto possa influire sulla constatazione, di cui all’articolo 1 della presente decisione, di adeguatezza della tutela a Jersey ai sensi dell’articolo 25 della direttiva 95/46/CE ed eventuali prove che la decisione venga attuata in modo discriminatorio.

Articolo 6

Gli Stati membri adottano i provvedimenti necessari a conformarsi alla presente decisione entro quattro mesi dalla data della sua notifica.

Articolo 7

Gli Stati membri sono destinatari della presente decisione.

Fatto a Bruxelles, l’ 8 maggio 2008.

Per la Commissione

Jacques Barrot

Vicepresidente

NOTE

[1] GU L 281 del 23.11.1995, pag. 31. Direttiva modificata da ultimo dal regolamento (CE) n. 1882/2003 (GU L 284 del 31.10.2003, pag. 1).

[2] Parere 8/2007 sul livello di protezione dei dati personali a Jersey, adottato il 9 ottobre 2007, disponibile su http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2007_en.htm

[3] Data Protection (Corporate Finance Exemption) (Jersey) Regulations 2005; Data Protection (Credit Reference Agency) (Jersey) Regulations 2005; Data Protection (Fair Processing) (Jersey) Regulations 2005; Data Protection (International Co-operation) (Jersey) Regulations 2005; Data Protection (Notification) (Jersey) Regulations 2005; Data Protection (Sensitive Personal Data) (Jersey) Regulations 2005; Data Protection (Subject Access Exemptions) (Jersey) Regulations 2005; Data Protection (Subject Access Miscellaneous) (Jersey) Regulations 2005; Data Protection (Subject Access Modification — Education) (Jersey) Regulations 2005; Data Protection (Subject Access Modification — Health) (Jersey) Regulations 2005; Data Protection (Subject Access Modification — Social Work) (Jersey) Regulations 2005; Data Protection (Transfer in Substantial Public Interest) (Jersey) Regulations 2005.