|
CE - IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI Parere 8/2007 - WP141 sul livello di protezione dei dati personali a Jersey adottato il 9 ottobre 2007
IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI,
vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione di tali dati1 (in seguito: "direttiva"), in particolare larticolo 29 e larticolo 30, paragrafo 1, lettera b),
visto il regolamento interno del Gruppo di lavoro2, in particolare gli articoli 12 e 14,
HA ADOTTATO IL SEGUENTE PARERE:
1. INTRODUZIONE: LEGGE SULLA PROTEZIONE DEI DATI A JERSEY 1.1. La situazione delle Isole del Canale e di Jersey Le Isole del Canale sono composte da cinque isole principali, Jersey, Guernsey, Alderney, Herm e Sark, situate nel Canale della Manica, nel Golfo di Saint Malo, al largo della costa nordoccidentale della Francia. Non fanno parte del Regno Unito e non sono rappresentate nel Parlamento di Westminster. Dal punto di vista costituzionale, sono divise nei Baliati di Guernsey e di Jersey.
Il Baliato di Jersey una dipendenza del Regno Unito. Quest'ultimo competente in materia di affari internazionali e di difesa dell'isola. Dal canto suo, Jersey autonomo per quanto riguarda gli affari interni, inclusa la protezione dei dati. Sebbene le autorit del Regno Unito siano competenti per negoziare tutti i trattati internazionali, la loro ratifica da parte del Regno Unito non produce effetti a Jersey, salvo richiesta delle autorit del Baliato.
Jersey fa parte del territorio doganale della Comunit. Gli scambi commerciali tra Jersey e i paesi extracomunitari sono soggetti alla tariffa doganale comune, ai prelievi e alle altre misure sulle importazioni agricole, mentre quelli tra Jersey e la Comunit beneficiano della libera circolazione delle merci. Ci nonostante altre norme comunitarie, tra cui quelle sulla protezione dei dati, non trovano applicazione. Quando il Regno Unito ha recepito la direttiva, le autorit di Jersey hanno dichiarato la sua non applicabilit all'isola e da allora hanno introdotto le proprie norme in materia.
In virt dell'articolo 299 del trattato che istituisce la Comunit europea, la direttiva non si applica a Jersey, che pertanto un paese terzo ai sensi degli articoli 25 e 26 della direttiva.
1.2. Quadro normativo vigente in materia di protezione dei dati A nome del Baliato sono state ratificate le seguenti convenzioni: Convenzione per la salvaguardia dei diritti delluomo e delle libert fondamentali (CEDU); Convenzione internazionale sui diritti civili e politici; Patto internazionale relativo ai diritti economici, sociali e culturali; Convenzione delle Nazioni Unite sulleliminazione della discriminazione razziale; Convenzione del Consiglio dEuropa per la tutela delle persone con riguardo al trattamento dei dati personali (convenzione 108).
La legge di Jersey sulla protezione dei dati del 1987, entrata in vigore l'11 novembre 1987, si basava sulla legge del Regno Unito sulla stessa materia del 1984, sebbene l'organo di controllo, il cancelliere per la protezione dei dati, non fosse indipendente, ma soggiacesse al controllo del governo.
La legge di Jersey sulla protezione dei dati del 2005, ispirata alla legge del Regno Unito sulla stessa materia del 1998 e alla relativa legislazione derivata, ha introdotto riforme fondamentali per rispecchiare le disposizioni della direttiva.
2. VALUTAZIONE DEL LIVELLO DI ADEGUATEZZA DELLA PROTEZIONE DEI DATI PERSONALI GARANTITO DALLA LEGGE DI JERSEY SULLA PROTEZIONE DEI DATI Il Gruppo "articolo 29" per la tutela dei dati personali (in seguito: "Gruppo di lavoro") valuta ladeguatezza della normativa in materia di protezione dei dati di Jersey, facendo riferimento alla legge di Jersey sulla protezione dei dati del 2005 (in seguito: "legge di Jersey").
Criteri metodologici I criteri metodologici per la valutazione del sistema di protezione dei dati di Jersey sono stati fissati dal Gruppo di lavoro nel documento Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati" (WP 12 5025/98)3 e possono essere cos riassunti:
1. Principi di contenuto: finalit limitata qualit e proporzionalit trasparenza sicurezza diritti di accesso, rettifica e opposizione restrizioni ai successivi trasferimenti principi supplementari da applicare in casi specifici di trattamento, quali quelli concernenti i) i dati sensibili, ii) la commercializzazione diretta e iii) le decisioni automatizzate
2. Meccanismi di procedura/applicazione: assicurare un buon livello di osservanza delle norme fornire sostegno alla persona interessata garantire un risarcimento adeguato alla parte lesa
Definizione e campo di applicazione della legge
Il preambolo della legge informa che si tratta di una misura diretta a "introdurre nuove disposizioni in materia di trattamento delle informazioni a carattere personale, compresi l'ottenimento, la conservazione, luso e la diffusione di tali informazioni e qualsiasi altro uso destinato a fini collaterali e connessi a tali operazioni".
La legge di Jersey sulla protezione dei dati definisce i principali concetti in materia di protezione dei dati come segue:
Dati personali I dati personali sono dati relativi a una persona vivente che pu essere identificata: a) in base a tali dati, o b) in base a tali dati e altre informazioni di cui il responsabile del trattamento dei dati in questione o probabilmente sar in possesso, e includono qualsiasi espressione di opinione su una persona che pu in tal modo essere identificata e qualsiasi indicazione delle intenzioni del responsabile del trattamento dei dati o di qualsiasi altra persona nei confronti di una persona che pu in tal modo essere identificata4.
Tale definizione differisce da quella della direttiva. In particolare la legge di Jersey prevede l'identificazione di una persona in base alle informazioni di cui il responsabile del trattamento dei dati in questione o probabilmente sar in possesso. Al contrario, la direttiva stabilisce all'articolo 2 che si considera identificabile la persona che pu essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o pi elementi specifici caratteristici della sua identit fisica, fisiologica, psichica, economica, culturale o sociale e precisa al considerando 26 che per determinare se una persona identificabile, opportuno prendere in considerazione l'insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona. Ci significa che mentre la direttiva protegge le informazioni relative a una persona che pu essere identificata non dal responsabile del trattamento ma da terzi, la legge di Jersey le protegge solo se probabile che il responsabile del trattamento venga in possesso di tali informazioni.
Per quanto concerne l'aggettivo "relativi" usato nella definizione, occorre ricordare l'importanza della giurisprudenza del Regno Unito nella causa Durant. In tale occasione la Corte d'appello del Regno Unito ha introdotto due criteri per i casi in cui non chiaro se i dati siano "relativi" a una persona e quindi costituiscano "dati personali" ai sensi della legge del Regno Unito sulla protezione dei dati. Si tratta di valutare se i dati sono "significativamente biografici" e se "le informazioni hanno ad oggetto" la persona interessata. Questi criteri si inseriscono in una serie di considerazioni pi ampie intese a stabilire, in caso di dubbio, se i dati costituiscono informazioni che ledono la vita privata della persona interessata.
Dati gli stretti legami tra il sistema giudiziario di Jersey e quello del Regno Unito (la Corte d'appello di Jersey composta da giuristi del Regno Unito), possibile che tale giurisprudenza sia seguita a Jersey. Una siffatta interpretazione restringe la definizione di dati personali della direttiva, pertanto pu compromettere il livello di protezione dei dati personali garantito dalla legge di Jersey.
Archivio pertinente La legge di Jersey definisce l' "archivio pertinente" come qualsiasi insieme di informazioni relative a persone il quale, sebbene le informazioni non siano trattate con strumenti che rispondono automaticamente a istruzioni fornite a tal fine, strutturato, rispetto a persone o a criteri relativi a persone, in modo tale da consentire un accesso agevole a specifiche informazioni relative a una persona determinata5.
La legge di Jersey riprende la formulazione usata nella legge del Regno Unito sulla protezione dei dati del 1988, che era stata applicata in maniera restrittiva dalla giurisprudenza successiva alla sentenza nella causa Durant v. Financial Services Authority6. In tale sentenza la Corte d'appello ha concluso che, "ai fini della legge, si considera "archivio pertinente" un archivio 1) i cui fascicoli sono strutturati in modo tale o contengono riferimenti tali da indicare chiaramente sin dall'inizio della ricerca se l'archivio contiene informazioni specifiche che possono corrispondere a dati personali di una persona che le richiede ai sensi della sezione 7 e, in caso affermativo, in quali fascicoli si trovano, e 2) che dispone, nell'ambito della sua struttura o del suo meccanismo di riferimenti, di strumenti sufficientemente sofisticati e precisi per indicare rapidamente se e in quale o quali fascicoli possono essere rapidamente localizzati criteri specifici o informazioni specifiche concernenti il richiedente". Tale interpretazione pi restrittiva rispetto a quella della direttiva, che definisce l'archivio come qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico, e che specifica al considerando 27 che il contenuto di un archivio deve essere strutturato secondo criteri specifici relativi alle persone che consentano un facile accesso ai dati personali. Pertanto, quando un fascicolo, pur essendo organizzato secondo criteri specifici relativi alle persone e che consentono un facile accesso ai dati personali, non soddisfa le condizioni fissate dalla Corte (ad esempio quando le informazioni su una persona sono contenute in un fascicolo che non suddiviso in sottofascicoli che indicano il tipo di informazioni contenute al loro interno), le sue informazioni non sono protette dalla legge, mentre lo sono in base alle norme sulla protezione dei dati della direttiva. Considerati gli stretti legami tra il sistema giudiziario di Jersey e quello del Regno Unito (la Corte d'appello di Jersey composta da giuristi del Regno Unito), possibile che tale giurisprudenza sia seguita a Jersey. Tuttavia, le probabilit che tali tipi di fascicoli manuali poco strutturati siano trasferiti da uno Stato membro dell'UE a Jersey sono scarse. La situazione pertanto non pone alcun grosso problema e consente di ritenere che la legge di Jersey garantisca un livello di protezione adeguato sul piano della gestione degli archivi manuali.
2.1. Principi di contenuto Principi fondamentali
Principio della finalit limitata: i dati devono essere trattati per una finalit determinata e successivamente usati o ulteriormente comunicati solo nella misura in cui non vi sia incompatibilit con la finalit del trasferimento. Le uniche deroghe a tale norma sarebbero quelle necessarie in ogni societ democratica per una delle ragioni elencate nell'articolo 13 della direttiva. Altre deroghe sono possibili ai sensi dell'articolo 9 della direttiva qualora si rivelino necessarie per garantire la libert di espressione.
Il Gruppo di lavoro constata soddisfatto che Jersey rispetta tale principio. In conformit del secondo e del quinto principio sulla protezione dei dati di cui alla prima parte dellallegato 1 della legge di Jersey, i dati personali vanno raccolti solo per finalit determinate e lecite, non vanno successivamente trattati in modo incompatibile con tali finalit e non vanno conservati pi del tempo necessario per raggiungere tali finalit.
Principio della qualit e della proporzionalit: i dati devono essere esatti e, se necessario, aggiornati. Devono essere adeguati, pertinenti e non eccedenti rispetto alle finalit per cui sono oggetto di trasferimento o di successivo trattamento.
Nel terzo e nel quarto principio sulla protezione dei dati la legge di Jersey prevede che i dati siano adeguati, pertinenti e non eccedenti rispetto alle finalit perseguite e che siano esatti e, se necessario, aggiornati. Il Gruppo di lavoro ritiene pertanto che la legge di Jersey soddisfi il principio della qualit e della proporzionalit. Principio della trasparenza: la persona deve ricevere informazioni sulle finalit del trattamento e sullidentit del responsabile del trattamento nel paese terzo, nonch qualunque altra informazione necessaria per effettuare un trattamento leale. Le sole deroghe consentite devono essere in linea con larticolo 11, paragrafo 2, e con larticolo 13 della direttiva. Tale principio soddisfatto dallarticolo 7, paragrafo 1, della legge di Jersey, integrato dai paragrafi 2 e 5 della seconda parte dellallegato 1. La legge di Jersey prevede deroghe al principio della trasparenza. In linea generale riguardano gli stessi settori di attivit di quelle descritte nell'ambito del principio della finalit limitata e contengono gli stessi criteri per determinare se la richiesta di applicazione della deroga possa essere ritenuta necessaria per la finalit in questione.
L'articolo 31 della legge di Jersey contempla una deroga per fini normativi, diretta a garantire una protezione contro qualsiasi perdita finanziaria o pregiudizio di carattere pubblico. L'articolo 32 della legge di Jersey concerne la pubblicazione di opere giornalistiche, letterarie o artistiche di interesse pubblico. Ai sensi dell'articolo 34 della legge di Jersey il principio della trasparenza non si applica quando i dati riguardano informazioni che il responsabile del trattamento tenuto per legge a mettere a disposizione del pubblico. I primi due articoli sembrano collocarsi nell'ambito dell'articolo 13 della direttiva. L'articolo 34 invece non soddisfa i criteri necessari a tal fine. Di fatto prevede una deroga che non pu essere considerata una misura necessaria alla salvaguardia di uno degli interessi pubblici rilevanti menzionati all'articolo 13 e non si giustifica, in quanto i dati che il responsabile del trattamento mette a disposizione del pubblico (ad esempio sulla situazione giuridica di un edificio iscritto al catasto) sono diversi da quelli che deve fornire alla persona interessata in relazione al trattamento (responsabile del trattamento, finalit, categorie di dati, destinatari, diritto di accesso), e pertanto non possono sostituirli. Tuttavia, la valutazione dell'adeguatezza riguarda la protezione dei dati personali trasferiti a Jersey dagli Stati membri dell'UE e non i dati raccolti a Jersey relativi a persone interessate di Jersey. difficile prevedere le circostanze in cui i dati trasferiti dall'UE verso Jersey vengano poi pubblicati in un registro pubblico di Jersey. Anche in tal caso comunque, gli obblighi derivanti dal principio della trasparenza incomberebbero principalmente al cedente dell'UE e non al destinatario di Jersey.
L'allegato 7 della legge di Jersey fissa deroghe per i dati relativi al funzionamento delle forze armate qualora l'applicazione del principio della trasparenza pregiudichi tale finalit. prevista una deroga per determinati dati finanziari di societ di importante interesse nazionale a livello economico o finanziario. Altre deroghe riguardano previsioni gestionali, informazioni da usare in negoziati con la persona interessata e dati coperti dal segreto professionale che protegge le comunicazioni con gli avvocati. Tali deroghe sembrano giustificate ai sensi dell'articolo 13 della direttiva.
Le deroghe concernenti le nomine di magistrati e il sistema onorifico, applicabili in casi molto limitati, non sembrano rientrare nell'ambito dell'articolo 13 della direttiva.
Principio della sicurezza: il responsabile del trattamento dei dati dovrebbe adottare misure di sicurezza tecniche e organizzative commisurate ai rischi che il trattamento presenta. Chiunque agisca sotto l'autorit del responsabile del trattamento, compreso l'incaricato del trattamento, non deve effettuare operazioni di trattamento dei dati se non per disposizione del responsabile del trattamento stesso. Le disposizioni della legge di Jersey sembrano soddisfare le esigenze fissate nel documento WP12 in relazione al principio di sicurezza. disposto esplicitamente l'obbligo per il responsabile del trattamento di adottare un livello di sicurezza adeguato e, qualora il trattamento sia effettuato da un terzo per conto del responsabile del trattamento, previsto, conformemente a quanto richiesto dal WP12, che sia stipulato un contratto scritto che imponga all'incaricato del trattamento obblighi equivalenti a quelli del responsabile del trattamento. Diritti di accesso, rettifica e opposizione: la persona interessata deve avere diritto di ottenere copia di tutti i dati trattati che la riguardano, e il diritto di far rettificare i dati inesatti. In determinate situazioni la persona interessata deve inoltre potersi opporre al trattamento di dati che la riguardano. Le uniche deroghe a questi diritti devono essere quelle previste dall'articolo 13 della direttiva. Riguardo al diritto di accesso, larticolo 7 della legge di Jersey sembra conformarsi alle richieste del WP12. Le deroghe concernenti i diritti di accesso sembrano compatibili con quelle previste dal WP12 conformemente all'articolo 13.
Quanto al diritto di rettifica, l'articolo 14 della legge di Jersey sembra soddisfare quanto richiesto dal WP12, ossia che la persona interessata possa ottenere la rettifica dei dati inesatti. Anzi, va oltre, prevedendo che, se il giudice lo ritiene ragionevolmente possibile, possa essere imposto al responsabile del trattamento di notificare ai destinatari che i dati sono stati rettificati7.
Il diritto di opposizione garantito dallarticolo 10 della legge di Jersey, che sancisce il diritto di impedire qualsiasi trattamento che possa provocare un danno o un pericolo. Tale disposizione rispecchia l'esigenza imposta dal WP12 di prevedere il diritto di opposizione "in determinate situazioni".
Restrizioni ai successivi trasferimenti: i successivi trasferimenti di dati personali da parte del destinatario del primo trasferimento devono essere consentiti soltanto quando anche il secondo destinatario (ossia il destinatario del trasferimento successivo) soggetto a norme che garantiscono un livello di tutela adeguato. Le uniche deroghe consentite devono essere conformi all'articolo 26, paragrafo 1, della direttiva. Ai sensi dell'ottavo principio sulla protezione dei dati della legge di Jersey, i dati personali non possono essere trasferiti in un paese o territorio al di fuori dello Spazio economico europeo, a meno che tale paese o territorio garantisca un livello di protezione adeguato conformemente ai criteri elencati8.
In virt di tale principio, le decisioni della Comunit europea relative all'adeguatezza o meno di un trattamento in un paese terzo sono vincolanti per le autorit di Jersey in qualsiasi procedimento ai sensi della legge di Jersey9.
La legge di Jersey non contempla l'obbligo di notifica preventiva o successiva, al garante per la protezione dei dati, dei trasferimenti specifici al di fuori del SEE. Prevede tuttavia che, al momento della notifica, il responsabile del trattamento indichi il numero di paesi al di fuori del SEE cui possono essere trasferiti i dati. Se tale numero non superiore a 10 i paesi devono essere menzionati per nome, altrimenti nella notifica deve essere specificato che i trasferimenti possono avvenire su scala "mondiale". Sebbene i trasferimenti non debbano essere notificati, se il garante per la protezione dei dati ritiene che il trasferimento dei dati sia stato effettuato in circostanze che non garantiscono un livello di protezione adeguato, pu trasmettere una nota esecutiva al responsabile del trattamento in conformit dell'articolo 40. Spetta tuttavia al responsabile del trattamento decidere se tale obbligo sia stato soddisfatto o meno e la sua decisione non soggetta ad alcuna manifesta attivit di audit o monitoraggio da parte dell'autorit per la protezione dei dati.
Principi supplementari da applicare in casi specifici di trattamento: Dati sensibili: se il trattamento riguarda categorie di dati "sensibili" (quelle elencate allarticolo 8 della direttiva), si devono porre in essere garanzie supplementari, come ad esempio lobbligo del consenso esplicito al trattamento da parte della persona interessata. La definizione di "dati sensibili" contenuta nella legge di Jersey conforme al disposto dell'articolo 8. La legge di Jersey fissa le condizioni alle quali i dati sensibili possono essere trattati. Il WP12 stabilisce che per trattare i dati personali sensibili si devono porre in essere garanzie supplementari che prevedano la menzione specifica del consenso esplicito della persona interessata. L'allegato 3 della legge di Jersey elenca le condizioni che devono essere soddisfatte per poter trattare i dati personali sensibili. Commercializzazione diretta: se il trasferimento dei dati avviene per finalit di commercializzazione diretta, la persona interessata deve essere in grado di decidere in qualsiasi momento lesclusione dei dati che la riguardano da un simile impiego. La legge di Jersey prevede tale opzione e introduce, quale garanzia supplementare, la possibilit di adire il giudice se il responsabile del trattamento non ottempera alla richiesta. pertanto conforme a quanto richiesto dal WP12 al riguardo. Decisioni individuali automatizzate: se la finalit del trasferimento consiste nelladozione di una decisione automatizzata ai sensi dellarticolo 15 della direttiva, la persona dovrebbe avere il diritto di conoscere la logica a cui tale decisione risponde e dovrebbero essere adottati altri provvedimenti per garantire la salvaguardia del suo interesse legittimo. Le disposizioni della legge di Jersey relative a questo principio sembrano sufficienti per concludere che il livello di protezione adeguato. La legge va oltre quanto richiesto dal WP12, poich garantisce il diritto di opporsi all'applicazione di sistemi di presa di decisioni automatizzate, quanto meno in determinate situazioni. Contempla inoltre la possibilit di richiedere al responsabile del trattamento di riesaminare una decisione precedentemente adottata. infine previsto che la persona venga informata della logica su cui si basa il sistema.
2.2. Meccanismi di procedura/applicazione: In base ai principi enunciati nel WP12, per valutare l'adeguatezza dell'ordinamento giuridico di un paese terzo occorre individuare gli obiettivi di fondo di un sistema procedurale per la tutela dei dati e quindi procedere ad esaminare i diversi meccanismi procedurali giudiziari e non giudiziari applicati in quel paese.
Gli obiettivi di un sistema di tutela dei dati sono: assicurare un buon livello di osservanza delle norme; fornire aiuto e sostegno alla persona interessata nellesercizio dei propri diritti; garantire un risarcimento adeguato alla parte lesa in caso di violazione delle norme.
Assicurare un buon livello di osservanza delle norme: tra i responsabili del trattamento dei dati si pu rilevare un elevato grado di consapevolezza dei propri obblighi e tra le persone interessate la medesima consapevolezza dei propri diritti e degli strumenti per esercitarli. Di particolare importanza, al fine di garantire il rispetto delle norme, lesistenza di sanzioni efficaci e dissuasive, al pari, ovviamente, di sistemi di verifica diretta da parte di autorit, revisori o addetti indipendenti alla tutela dei dati. Il Gruppo di lavoro constata che la legge di Jersey prevede vari strumenti per raggiungere tale obiettivo, tra cui:
(a) Garante per la protezione dei dati La legge di Jersey contempla la figura del garante per la protezione dei dati, nominato dall'assemblea degli Stati, un'istituzione unicamerale parzialmente elettiva con funzioni esecutive e legislative. Essendo un ufficio dotato di personalit giuridica, che pu essere occupato da una sola persona alla volta, il garante un organo indipendente dal governo e continua a mantenere il suo status giuridico anche quando la persona che occupa l'ufficio lascia le sue funzioni. Il garante pu essere destituito solo dall'assemblea degli Stati; i termini e le condizioni della sua nomina non devono essere interpretati come un contratto di lavoro o di agenzia tra gli Stati e la persona nominata, che retribuita attraverso le entrate generali degli Stati. Poich il garante nominato dagli Stati, ossia dal parlamento, e pu essere destituito solo dagli Stati, non sussistono dubbi sull'esistenza delle condizioni perch possa adempiere le sue funzioni in piena indipendenza. Le funzioni e i poteri del garante sono fissati dalla legge di Jersey, che prevede che il garante raccolga le notifiche, valuti determinate forme di trattamento e sia dotato di poteri investigativi ed esecutivi. L'articolo 51 della legge gli conferisce altre funzioni. I poteri del garante sono pi limitati rispetto a quelli previsti dall'articolo 28 della direttiva. Per quanto riguarda i poteri investigativi, in particolare il potere di accedere a locali e raccogliere informazioni, in linea di principio necessario un mandato del giudice. Il responsabile del trattamento pu tuttavia opporsi al suo rilascio. Tale possibilit diminuisce l'efficacia della misura e la rende inadeguata a controlli a campione o a indagini spontanee.
Le preoccupazioni del Gruppo di lavoro per l'insufficienza dei poteri conferiti al garante suscitano pertanto alcuni dubbi sull'idoneit di tale strumento ad assicurare un buon livello di osservanza delle norme.
(b) Mezzi esecutivi adeguati e sanzioni adeguate La legge di Jersey prevede una serie di sanzioni per i responsabili del trattamento dei dati che violano le sue disposizioni. Ai sensi dell'articolo 17 l'inosservanza dell'obbligo di notifica costituisce reato. L'articolo 20 impone al responsabile del trattamento dei dati di notificare qualsiasi modifica della natura o della finalit del trattamento.
Fornire sostegno alla persona interessata: ogni persona deve essere in grado di far rispettare i propri diritti in modo rapido ed efficace, ad un costo non proibitivo. A tal fine dovrebbero essere istituiti meccanismi istituzionali che consentano di condurre unindagine indipendente in caso di denuncia. La legge di Jersey garantisce un livello di protezione adeguato a questo riguardo. Senza una Costituzione formale difficile garantire l'indipendenza di un organo, tuttavia nulla indica la presenza di interferenze politiche nel funzionamento dell'ufficio del garante n di controversie sul livello delle risorse attribuite.
L'articolo 42 della legge di Jersey, che consente alla persona interessata di chiedere al garante di valutare la legittimit del trattamento, rafforza notevolmente i diritti che tale persona pu far valere dinanzi ai giudici. Inoltre l'articolo 53 indica i casi in cui la stessa pu chiedere l'assistenza del garante in un procedimento giudiziario. In questo contesto la legge di Jersey soddisfa l'obbligo di fornire sostegno alla persona interessata.
La legge di Jersey prosegue inoltre il processo di creazione del tribunale per la protezione dei dati, con funzioni di giudice di appello per le decisioni del garante.
Garantire un risarcimento adeguato alla parte lesa: si tratta di un elemento essenziale, che necessita di un sistema di arbitrato indipendente in grado di deliberare la corresponsione di un indennizzo e di imporre eventualmente sanzioni. Ai sensi dell'articolo 13 della legge di Jersey, chiunque subisca un pregiudizio a causa dell'inosservanza, da parte del responsabile del trattamento, delle disposizioni della legge ha diritto al risarcimento. Ha inoltre diritto alla rettifica, al congelamento, alla cancellazione e alla distruzione dei dati inesatti. Tali diritti si estendono a qualsiasi espressione di opinione fondata sui dati inesatti e sono accompagnati da disposizioni sui reati che possono pregiudicare le persone.
Di conseguenza, il Gruppo di lavoro ritiene che la legge di Jersey preveda disposizioni sufficienti per garantire un risarcimento adeguato per le persone che hanno subito un pregiudizio dalla violazione delle norme pertinenti.
3. RISULTATI DELLA VALUTAZIONE
Sebbene possa sussistere qualche dubbio sul pieno rispetto, da parte della legge di Jersey, degli obblighi imposti agli Stati membri dalla direttiva sulla tutela dei dati, il Gruppo di lavoro ricorda che con il termine "adeguatezza" non si intende l'equivalenza completa con il livello di protezione fissato dalla direttiva. Gli aspetti relativi alla definizione dell'espressione "dati personali" e di altri concetti, alla trasparenza e ai poteri del garante suscitano qualche preoccupazione, ma tenuto conto dei chiarimenti e delle garanzie forniti dalle autorit di Jersey il Gruppo di lavoro ritiene che tali preoccupazioni non siano significative per quanto riguarda la protezione garantita ai dati personali trasferiti dagli Stati membri dell'UE a Jersey.
Pertanto, sulla base delle constatazioni summenzionate, il Gruppo di lavoro giunge alla conclusione che Jersey garantisce un livello di protezione adeguato ai sensi dell'articolo 25, paragrafo 6, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione di tali dati.
Fatto a Bruxelles, il 9 ottobre 2007. Per il Gruppo di lavoro Il Presidente Peter SCHAAR
NOTE http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm 2 Adottato dal Gruppo di lavoro nella terza riunione l'11.9.1996. 3 Cfr. anche il documento della Commissione europea "Preparation of a methodology for evaluating the adequacy of the level of protection of individuals with regard to the processing of personal data" (Lussemburgo: Ufficio delle pubblicazioni ufficiali delle Comunit europee, 1998). 4 Articolo 1. 5 Articolo 1. 6 [2003] EWCA Civ 1746. 7 Articolo 14, paragrafo 5. 8 Allegato 1, parte 2, paragrafo 13. 9 Allegato 1, parte 2, paragrafo 15.
|