|
CE - IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI Parere 9/2007 - WP142 sul livello di protezione dei dati personali nelle Isole Faer er adottato il 9 ottobre 2007
IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI,
vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione di tali dati1 (in seguito: "la direttiva"), in particolare larticolo 29 e larticolo 30, paragrafo 1, lettera b),
visto il regolamento interno del Gruppo di lavoro2, in particolare gli articoli 12 e 14,
HA ADOTTATO IL SEGUENTE PARERE: 1. INTRODUZIONE: LEGGE SULLA PROTEZIONE DEI DATI NELLE ISOLE FAER ER 1.1. La situazione nelle Isole Faer er Le Isole Faer er sono situate nell'Atlantico del nord. Sono composte da 18 isole, separate da stretti bracci di mare o fiordi. Dal punto di vista amministrativo, sono suddivise in sette distretti con 120 comuni. Assieme alla Danimarca e alla Groenlandia formano il Regno di Danimarca, una monarchia costituzionale. Con l'adozione della legge sull'autonomia del 1948, le isole sono diventate una regione autonoma del Regno di Danimarca. La legge sull'autonomia distingue gli affari politici in due gruppi principali: gli affari comuni, di competenza del Regno, e gli affari speciali (propri delle Isole Faer er), disciplinati dalle autorit amministrative e legislative delle Isole Faer er. Ai sensi di tale legge, le autorit delle Isole Faer er (parlamento e governo) sono competenti a legiferare e amministrare in materia di affari speciali3. I settori non compresi negli affari speciali sono considerati affari comuni e sono di competenza delle autorit legislative e amministrative del Regno. Tuttavia anche in questi settori possono essere delegate alcune competenze specifiche, quali l'amministrazione o l'adozione di determinate norme nel quadro di decreti reali.
Nei settori trasferiti dalle autorit del Regno, le autorit delle Isole Faer er hanno piena competenza economica, legislativa e amministrativa. Per quanto concerne la situazione dei dati personali nelle Isole Faer er, la materia disciplinata da leggi del parlamento locale e da leggi concernenti gli affari comuni. La legge sulla protezione dei dati, adottata dal parlamento locale nel 2001, amministrata dall'Agenzia per la protezione dei dati delle Isole Faer er. La legge danese sulla protezione dei dati si applica solo ai trattamenti dei dati effettuati dalle autorit del Regno (polizia, pubblico ministero, autorit penitenziarie distrettuali, servizio penitenziario e di libert vigilata, alto commissario delle Isole Faer er, autorit preposte al trattamento delle cause di diritto di famiglia, autorit ecclesiastiche). Poich tale legge4 si basa sulla direttiva, si presume che garantisca come minimo un livello di protezione adeguato in materia di trattamento dei dati personali. Di conseguenza, il presente documento non prende in esame i settori da essa disciplinati.
1.2. Quadro normativo vigente in materia di protezione dei dati Le osservazioni sui lavori preparatori della legge delle Isole Faer er relativa alla protezione dei dati lasciano intendere che sono state prese in considerazione sia la legislazione danese sia quella norvegese. In virt di una serie di dichiarazioni effettuate dalla Danimarca tra il 1994 e il 2003, i protocolli 7, 9 e 13 della Convenzione europea del 1950 per la salvaguardia dei diritti dell'uomo si applicano alle Isole Faer er. In conformit di una dichiarazione effettuata dalla Danimarca al momento della ratifica, la Convenzione 108 non si applica alle Isole Faer er. Il sistema di protezione dei dati comprende un insieme di norme volte a proteggere le persone fisiche i cui dati sono oggetto di trattamento. Tali norme si basano su principi e valori simili a quelli previsti dal diritto comunitario. La legge sul trattamento dei dati personali (in seguito: "la legge")5 costituisce la base della legislazione applicabile nelle Isole Faer er in materia di protezione dei dati. Essa rispecchia chiaramente il contenuto della direttiva. In virt dell'articolo 299 del trattato che istituisce la Comunit europea, la direttiva non si applica alle Isole Faer er, che pertanto sono un paese terzo ai sensi degli articoli 25 e 26 della direttiva.
2. VALUTAZIONE DEL LIVELLO DI ADEGUATEZZA DELLA PROTEZIONE DEI DATI PERSONALI GARANTITO DALLA LEGGE DELLE ISOLE FAER ER SULLA PROTEZIONE DEI DATI Il Gruppo "articolo 29" per la tutela dei dati personali (in seguito: "il Gruppo di lavoro") valuta ladeguatezza della normativa in materia di protezione dei dati delle Isole Faer er, facendo riferimento alla legge sulla protezione dei dati.
Criteri metodologici I criteri metodologici per la valutazione del sistema di protezione dei dati delle Isole Faer er sono stati fissati dal Gruppo di lavoro nel documento "Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati" (WP 12 5025/98)6 e possono essere cos riassunti: 1. Principi di contenuto: finalit limitata qualit e proporzionalit trasparenza sicurezza diritti di accesso, rettifica e opposizione restrizioni ai successivi trasferimenti principi supplementari da applicare in casi specifici di trattamento, quali quelli concernenti (i) i dati sensibili, (ii) la commercializzazione diretta e (iii) le decisioni automatizzate
2. Meccanismi di procedura/applicazione: assicurare un buon livello di osservanza delle norme fornire sostegno alla persona interessata garantire un risarcimento adeguato alla parte lesa La legge si applica al trattamento dei dati personali delle persone fisiche nel settore privato e pubblico7. Tuttavia applicabile solo "se: 1) il trattamento dei dati personali in tutto o in parte automatizzato; 2) i dati personali sono contenuti o sono destinati ad essere contenuti in un archivio e sono trattati in modo non automatizzato"8. La legge non si applica al trattamento di dati personali effettuato da una persona fisica per esercitare attivit di carattere puramente privato9. Ai sensi della legge, per "dati personali" si intende "qualsiasi informazione concernente una persona fisica identificata o identificabile ("persona interessata")"10. Tale definizione corrisponde alla prima parte della definizione di "dati personali" contenuta nell'articolo 2, lettera a), della direttiva.
2.1. Principi di contenuto Principi fondamentali
Principio della finalit limitata: i dati devono essere trattati per una finalit determinata e successivamente usati o ulteriormente comunicati solo nella misura in cui non vi sia incompatibilit con la finalit del trasferimento. Le uniche deroghe a tale norma sarebbero quelle necessarie in ogni societ democratica per una delle ragioni elencate nell'articolo 13 della direttiva. Altre deroghe sono possibili ai sensi dell'articolo 9 della direttiva qualora si rivelino necessarie per garantire la libert di espressione.
Il Gruppo di lavoro constata soddisfatto che le Isole Faer er rispettano tale principio. Ai sensi dell'articolo 8, comma 2, della legge, i dati personali devono essere raccolti solo per finalit determinate e legittime, in conformit della professione dell'incaricato del trattamento, e non devono essere successivamente trattati in modo incompatibile con tali finalit. possibile derogare solo in caso di consenso esplicito e per finalit storiche, statistiche e scientifiche. pertanto ammesso un numero inferiore di deroghe rispetto a quello previsto dall'articolo 13 della direttiva.
Principio della qualit e della proporzionalit: i dati devono essere esatti e, se necessario, aggiornati. Devono essere adeguati, pertinenti e non eccedenti rispetto alle finalit per cui sono oggetto di trasferimento o di successivo trattamento.
In virt dell'articolo 8, comma 3, della legge, i dati devono essere pertinenti e non eccedenti rispetto alle finalit per le quali sono raccolti o successivamente trattati. In conformit del comma 6 dello stesso articolo, il trattamento dei dati deve essere esatto e organizzato in modo tale da garantire l'opportuno aggiornamento dei dati. Devono inoltre essere effettuati i controlli necessari per garantire la cancellazione o la rettifica tempestiva dei dati che si rivelano inesatti o fuorvianti. Il Gruppo di lavoro ritiene pertanto che la legge delle Isole Faer er soddisfi il principio della qualit e della proporzionalit.
Principio della trasparenza: la persona deve ricevere informazioni sulle finalit del trattamento e sullidentit del responsabile del trattamento nel paese terzo, nonch qualunque altra informazione necessaria per effettuare un trattamento leale. Le sole deroghe consentite devono essere in linea con larticolo 11, paragrafo 2, e con larticolo 13 della direttiva. Tale principio soddisfatto dall'articolo 21 della legge, secondo cui, quando i dati sono ottenuti da una persona diversa dalla persona interessata, il responsabile del trattamento che raccoglie i dati deve indicare alla persona interessata quali dati personali sono stati raccolti, il nome e l'indirizzo del responsabile del trattamento, le finalit del trattamento, gli eventuali successivi trasferimenti e il nome dei destinatari, nonch ogni altra informazione necessaria alla persona interessata per tutelare i propri interessi in conformit della legge. Tale norma non si applica quando la persona interessata gi in possesso delle suddette informazioni, quando la registrazione o la comunicazione dei dati prevista per legge o quando fornire tali informazioni impossibile o richiede sforzi sproporzionati. Ai sensi dell'articolo 22 si pu derogare a tale norma: quando la comunicazione delle informazioni pu compromettere la sicurezza nazionale o la politica estera; per motivi di prevenzione della criminalit; quando la comunicazione contraria agli interessi della persona interessata per motivi di salute o di carattere personale; per motivi di riservatezza previsti dalla legge; quando le informazioni sono destinate ad uso interno; quando sussistono interessi pubblici o privati superiori. In linea generale, tali deroghe sono conformi a quelle autorizzate dalla direttiva.
Principio della sicurezza: il responsabile del trattamento dei dati dovrebbe adottare misure di sicurezza tecniche e organizzative appropriate rispetto ai rischi che il trattamento presenta. Chiunque agisca sotto l'autorit del responsabile del trattamento, compreso l'incaricato del trattamento, non deve effettuare operazioni di trattamento dei dati se non per disposizione del responsabile del trattamento stesso. L'articolo 31, commi da 2 a 5, della legge tratta della sicurezza. Le persone fisiche o giuridiche che operano per conto del responsabile del trattamento o dell'incaricato del trattamento possono elaborare i dati ai quali hanno accesso solo dietro istruzione del responsabile del trattamento. Il trattamento deve essere effettuato in base a un accordo scritto tra le parti che preveda questa clausola. Il responsabile del trattamento e l'incaricato del trattamento devono attuare misure tecniche ed organizzative appropriate al fine di garantire che il trattamento avvenga in modo conforme alle disposizioni della legge concernenti l'affidabilit, la libert personale e l'accesso, e per proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione non autorizzata, dall'uso abusivo e da qualsiasi altra forma di trattamento contraria alla legge. I datori di lavoro del responsabile del trattamento e dell'incaricato del trattamento e l'Agenzia per la protezione dei dati devono avere accesso alle prove documentali delle misure di sicurezza organizzative. Le istruzioni del responsabile del trattamento non possono limitare la libert di stampa n impedire la produzione di un'opera artistica o letteraria. Gli obblighi previsti dalla legge delle Isole Faer er in materia di misure di sicurezza tecniche e organizzative soddisfano il principio della sicurezza.
Diritti di accesso, rettifica e opposizione: la persona interessata deve avere diritto di ottenere copia di tutti i dati trattati che la riguardano, e il diritto di far rettificare i dati inesatti. In determinate situazioni la persona interessata deve inoltre potersi opporre al trattamento di dati che la riguardano. Le uniche deroghe a questi diritti devono essere quelle previste dall'articolo 13 della direttiva. Per quanto concerne il diritto di accesso, l'articolo 19 della legge prevede che il responsabile del trattamento debba indicare alla persona interessata che ne faccia richiesta il nome e l'indirizzo del responsabile del trattamento e dei suoi rappresentanti e subalterni, le modalit e le finalit del trattamento, la natura dei dati trattati e la loro origine, la loro eventuale comunicazione a terzi, gli eventuali destinatari e le misure di sicurezza applicate, purch tali informazioni non compromettano la sicurezza. Sotto questo aspetto, la legge delle Isole Faer er sembra conforme ai principi del WP12. Le deroghe previste dall'articolo 22, commi 1, 3 e 4, sembrano coerenti con quelle autorizzate dall'articolo 13 della direttiva. Ci si pu chiedere se la deroga relativa ai dati destinati esclusivamente ad uso interno e non comunicati a terzi sia conforme a tale articolo. A quanto pare in questo caso le norme concernenti l'informazione non si applicano e quindi il diritto di essere informati viene meno quando i dati sono usati solo internamente e non sono comunicati a terzi. Le Isole Faer er hanno informato il Gruppo di lavoro che la traduzione originale dell'articolo 22, comma 1, punto 5, della legge inesatta. La traduzione avrebbe dovuto essere la seguente: "che figurano esclusivamente in testi redatti per fini preparatori interni e che non sono stati comunicati a terzi". Le Isole Faer er hanno inoltre informato il Gruppo di lavoro che la deroga va valutata tenendo conto della legge delle Isole Faer er relativa all'accesso ai documenti contenuti in fascicoli amministrativi, cui la legge sul trattamento dei dati personali fa riferimento. Ai sensi di quella legge, tra l'altro, i documenti interni derogano alle norme sull'accesso, ma sempre possibile accedere alle informazioni in essi contenute. Tale norma simile a quella relativa ai documenti interni della legge danese sull'accesso ai registri pubblici.
Le Isole Faer er hanno infine informato il Gruppo di lavoro che la deroga di cui all'articolo 22, comma 1, punto 5, proviene direttamente dalla legge norvegese sul trattamento dei dati personali.
Tenuto conto delle informazioni supplementari fornite dalle Isole Faer er in merito alla formulazione e alla sua interpretazione, la deroga al diritto di essere informati applicabile ai documenti interni non sembra costituire una grave limitazione a tale diritto.
Quanto al diritto di rettifica, l'articolo 27 della legge impone al responsabile del trattamento l'obbligo di rettificare, cancellare o congelare i dati personali, e di notificare tali operazioni, di propria iniziativa o su richiesta della persona interessata, ai terzi cui sono state comunicate le informazioni. Tale articolo risponde a quanto richiesto dal WP12, vale a dire che la persona interessata possa ottenere la rettifica dei dati inesatti.
Il diritto di opposizione previsto dall'articolo 26 della legge, secondo cui la persona interessata pu in qualsiasi momento opporsi al trattamento di dati che la riguardano e, se l'opposizione mantenuta, il trattamento non pu pi riguardare tali dati. Detta disposizione conferisce alla persona interessata diritti pi ampi rispetto a quelli richiesti dal WP12, che prevede il riconoscimento del diritto di opposizione "in determinate situazioni".
Restrizioni ai successivi trasferimenti: i successivi trasferimenti di dati personali da parte del destinatario del primo trasferimento devono essere consentiti soltanto quando anche il secondo destinatario (ossia il destinatario del trasferimento successivo) soggetto a norme che garantiscono un livello di tutela adeguato. Le uniche deroghe consentite devono essere conformi all'articolo 26, paragrafo 1, della direttiva.
Ai sensi dell'articolo 16 della legge, i trasferimenti di dati personali verso paesi stranieri possono essere effettuati solo se tali paesi garantiscono un livello di protezione adeguato e se l'Agenzia per il trattamento dei dati personali d la sua autorizzazione. L'adeguatezza del livello di protezione garantito da un paese straniero va valutata alla luce di tutte le circostanze relative al trasferimento: finalit e durata dell'operazione di trattamento, natura dei dati, disposizioni di legge vigenti nel paese straniero in questione e norme professionali e misure di sicurezza osservate in quel paese.
Per trasferire dati personali verso paesi stranieri necessaria l'autorizzazione dell'Agenzia per il trattamento dei dati personali11. Tuttavia, il ministro della Giustizia pu decidere, su raccomandazione dell'Agenzia, che i dati possono essere trasferiti verso determinati paesi senza l'autorizzazione dell'Agenzia12. Tali disposizioni figurano nel decreto ministeriale n. 33, ai sensi del quale i dati personali possano essere trasferiti verso gli Stati membri dell'UE, l'Islanda, la Norvegia, la Svizzera, l'Argentina, Guernsey e l'Isola di Man senza l'autorizzazione dell'Agenzia per il trattamento dei dati personali13. Il trasferimento di dati personali verso paesi stranieri sembra pertanto richiedere una valutazione simile a quella prevista dal diritto comunitario14. La valutazione effettuata dall'Agenzia per il trattamento dei dati personali.
Le disposizioni della legge relative al trasferimento di dati personali sembrano soddisfare i criteri del WP12. Le deroghe15 si limitano a quelle autorizzate dall'articolo 26 della direttiva.
Principi supplementari da applicare in casi specifici di trattamento: Dati sensibili: se il trattamento riguarda categorie di dati "sensibili" (quelle elencate allarticolo 8 della direttiva), si devono porre in essere garanzie supplementari, come ad esempio lobbligo del consenso esplicito al trattamento da parte della persona interessata. La definizione di "dati sensibili" contenuta nella legge16 coerente con l'articolo 8. La legge fissa le condizioni alle quali i dati sensibili possono essere trattati. Il WP12 richiede a tal fine che siano poste in essere garanzie supplementari che prevedano la menzione specifica del consenso esplicito della persona interessata. L'articolo 10 della legge elenca le condizioni che devono essere soddisfatte per poter trattare i dati personali sensibili. Commercializzazione diretta: se il trasferimento dei dati avviene per finalit di commercializzazione diretta, la persona interessata deve essere in grado di decidere in qualsiasi momento lesclusione dei dati che la riguardano da un simile impiego. Ai sensi della legge, per trasferire dati per finalit di commercializzazione diretta necessario il consenso della persona interessata. La comunicazione a un terzo di dati relativi a un consumatore per finalit di commercializzazione o l'uso di tali dati per conto di un terzo per le stesse finalit richiede il consenso esplicito della persona interessata17, che pu revocarlo in qualsiasi momento18. La persona interessata ha il diritto di opporsi al trattamento dei dati che la riguardano19, il che implica che, se la sua opposizione giustificata20, pu esigere che tali dati non siano usati per finalit di commercializzazione. Il diritto di opposizione pu essere esercitato in qualsiasi momento21.
Di conseguenza, il livello di protezione garantito dalla legge in relazione alla commercializzazione diretta conforme al WP 12.
Decisioni individuali automatizzate: se la finalit del trasferimento consiste nelladozione di una decisione automatizzata ai sensi dellarticolo 15 della direttiva, la persona dovrebbe avere il diritto di conoscere la logica a cui tale decisione risponde e dovrebbero essere adottati altri provvedimenti per garantire la salvaguardia del suo interesse legittimo.
Le Isole Faer er hanno informato il Gruppo di lavoro che ad oggi la legge delle Isole Faer er non contiene disposizioni specifiche riguardanti le decisioni automatizzate.
Le Isole Faer er ritengono che la persona interessata riceva protezione attraverso altre disposizioni della legge, quali il diritto di accesso, il diritto di essere informati e il diritto di opposizione.
Per quanto concerne le decisioni delle autorit pubbliche, la persona interessata riceve protezione anche attraverso le leggi relative all'amministrazione e all'accesso. In conformit delle norme amministrative non scritte applicabili nelle Isole Faer er, le autorit pubbliche devono valutare ogni questione separatamente e pertanto non possono ricorrere a decisioni automatizzate.
2.2. Meccanismi di procedura/applicazione: In base ai principi enunciati nel WP12, per valutare l'adeguatezza dell'ordinamento giuridico di un paese terzo occorre individuare gli obiettivi di fondo di un sistema procedurale per la tutela dei dati e quindi procedere ad esaminare i diversi meccanismi procedurali giudiziari e non giudiziari applicati in quel paese.
Gli obiettivi di un sistema di tutela dei dati sono: assicurare un buon livello di osservanza delle norme; fornire aiuto e sostegno alla persona interessata nellesercizio dei propri diritti; garantire un risarcimento adeguato alla parte lesa in caso di violazione delle norme.
Assicurare un buon livello di osservanza delle norme: tra i responsabili del trattamento dei dati si pu rilevare un elevato grado di consapevolezza dei propri obblighi e tra le persone interessate la medesima consapevolezza dei propri diritti e degli strumenti per esercitarli. Di particolare importanza, al fine di garantire il rispetto delle norme, lesistenza di sanzioni efficaci e dissuasive, al pari, ovviamente, di sistemi di verifica diretta da parte di autorit, revisori o addetti indipendenti alla tutela dei dati. Il Gruppo di lavoro constata che la legge delle Isole Faer er prevede vari strumenti per raggiungere tale obiettivo, tra cui:
(a) Garante per la protezione dei dati La legge delle Isole Faer er prevede l'istituzione di un'Agenzia per la protezione dei dati22.
L'Agenzia per la protezione dei dati, composta da un consiglio e da un segretariato, incaricata di vigilare su tutte le operazioni di trattamento contemplate dalla legge sul trattamento dei dati personali, ed esercita il suo mandato in piena indipendenza. Il governo non pu pertanto dare ordini o istruzioni all'Agenzia, le cui decisioni sono definitive e non possono essere impugnate n dinanzi al ministero della Giustizia n dinanzi a qualsiasi altra autorit amministrativa.
I membri del consiglio sono nominati dal ministro della Giustizia per un periodo di 4 anni. Di norma non possono essere destituiti. Tuttavia, in casi eccezionali, ad esempio in caso di frode finanziaria, il ministro pu procedere alla destituzione di un membro. I membri del consiglio agiscono secondo le norme della "competenza ad agire", che garantisce l'indipendenza delle decisioni del consiglio.
L'Agenzia per la protezione dei dati finanziata dal bilancio delle Isole Faer er, fissato dal parlamento locale. collegata al bilancio assegnato dal parlamento al ministero della Giustizia. Una volta che il parlamento ha fissato la sovvenzione, spetta all'Agenzia gestirla.
Considerate le suddette garanzie, si pu senza dubbio ritenere che le condizioni per garantire la piena indipendenza dell'Agenzia siano soddisfatte.
Va infine ricordato che l'Agenzia delle Isole Faer er organizzata esattamente come l'omologa agenzia danese.
L'Agenzia assicura, di propria iniziativa o in risposta a denunce delle persone interessate, che i dati siano trattati in conformit della legge, si occupa delle notificazioni e delle richieste di autorizzazione, tiene un registro pubblico di tutte le notificazioni e autorizzazioni, redige pareri su proposte legislative, controlla il trattamento dei dati personali, fornisce, se del caso, direttive per il settore privato e pubblico, vigila sul rispetto delle buone pratiche, controlla gli sviluppi in materia di trattamento dei dati personali nelle Isole Faer er e in paesi terzi e fornisce informazioni su tali evoluzioni.
L'Agenzia pu ingiungere al responsabile del trattamento di porre fine a un'operazione di trattamento vietata e di rettificare, cancellare o congelare determinati dati oggetto del trattamento. Pu inoltre vietargli di usare una determinata procedura che possa comportare un trattamento illecito dei dati o pu imporgli di attuare specifiche misure di sicurezza tecniche ed organizzative per impedire il trattamento di dati che non possono essere trattati e per garantire la protezione dei dati dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione non autorizzata, dall'uso abusivo e da qualsiasi altra forma di trattamento illecito. In determinati casi pu emettere un'ingiunzione contro l'incaricato del trattamento.
I membri e il personale dell'Agenzia devono poter accedere in qualsiasi momento, senza bisogno di un'ordinanza del giudice, a tutti i locali da cui sono effettuate le operazioni di trattamento o che consentono l'accesso ai dati oggetto di trattamento, e a tutti i locali in cui sono conservati o usati dati o strumenti tecnici.
I poteri di cui dispone l'Agenzia rispondono ai requisiti di adeguatezza.
Le relazioni annuali riferiscono di tutte le attivit dell'Agenzia e sono disponibili al pubblico sul sito web dell'Agenzia23. Ad oggi l'Agenzia ha pubblicato tre relazioni, relative al 2002, al 2003 e al 200424.
(b) Mezzi esecutivi adeguati e sanzioni adeguate Per sollecitare le persone tenute a garantire un buon livello di conformit alle norme di fondo ad adempiere al loro obbligo, la legge prevede sanzioni per inosservanza delle sue disposizioni. Tuttavia, se un'altra legge prevede sanzioni pi severe, le sanzioni saranno applicate in base a tale legge25. Le sanzioni possono essere disposte solo dal giudice26.
Tutte le disposizioni essenziali della legge sono assistite da sanzioni pecuniarie o detentive per inosservanza della legge e dall'obbligo di risarcire i danni in rapporto alle misure di sicurezza di cui all'articolo 31. Sono passibili di sanzioni sia le persone fisiche che le persone giuridiche.
Fornire sostegno alla persona interessata: ogni persona deve essere in grado di far rispettare i propri diritti in modo rapido ed efficace, ad un costo non proibitivo. A tal fine dovrebbero essere istituiti meccanismi istituzionali che consentano di condurre unindagine indipendente in caso di denuncia. I diritti della persona interessata sono elencati nel capo 7 della legge27. L'articolo 30 indica il modo in cui una persona interessata pu far valere i propri diritti, vale a dire presentando denuncia all'Agenzia per la protezione dei dati. In alternativa, la persona interessata pu adire il giudice distrettuale in base alle norme generali di diritto. La decisione dell'Agenzia non pu essere impugnata n dinanzi al ministero della Giustizia n dinanzi a qualsiasi altra autorit amministrativa, ma solo dinanzi al giudice. Una funzione dell'Agenzia fornire assistenza nell'interpretazione della legge. L'Agenzia accessibile a tutti, esamina le denunce delle persone interessate e si pronuncia sulle presunte violazioni della legge. In particolare, i cittadini possono chiederle di effettuare valutazioni che forniranno un sostegno istituzionale per le questioni da trattare. La procedura di valutazione descritta dettagliatamente nel sito web dell'Agenzia ed gratuita.
Garantire un risarcimento adeguato alla parte lesa: si tratta di un elemento essenziale, che necessita di un sistema di arbitrato indipendente in grado di deliberare la corresponsione di un indennizzo e di imporre eventualmente sanzioni. Ai sensi dell'articolo 46 della legge, il responsabile del trattamento tenuto a risarcire qualsiasi danno causato dal trattamento dei dati personali effettuato in violazione delle disposizioni della legge, a meno che sia provato che tale danno non avrebbe potuto essere evitato usando la diligenza e la cura richieste per il trattamento dei dati personali.
Gli articoli 44 e 45 dispongono sanzioni pecuniarie e detentive in caso di violazione della legge. Chiunque svolga attivit commerciali pu essere privato del diritto di svolgere tali attivit se viene condannato per un reato di cui alla legge.
Di conseguenza, il Gruppo di lavoro ritiene che la legge delle Isole Faer er preveda disposizioni sufficienti per garantire un risarcimento adeguato per le persone che hanno subito un pregiudizio dalla violazione delle norme pertinenti.
3. RISULTATI DELLA VALUTAZIONE
Sebbene la legge delle Isole Faer er non soddisfi tutti gli obblighi imposti agli Stati membri dalla direttiva sulla tutela dei dati, il Gruppo di lavoro consapevole che con il termine "adeguatezza" non si intende l'equivalenza completa con il livello di protezione fissato dalla direttiva. Pertanto, sulla base delle constatazioni summenzionate e delle informazioni supplementari fornite dalle Isole Faer er, il Gruppo di lavoro giunge alla conclusione che le Isole Faer er garantiscono un livello di protezione adeguato ai sensi dell'articolo 25, paragrafo 6, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione di tali dati.
Fatto a Bruxelles, il 9 ottobre 2007 Per il Gruppo di lavoro il Presidente Peter SCHAAR
NOTE 1 GU L 281 del 23.11.1995, pag. 31, consultabile all'indirizzo: http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm 2 Adottato dal Gruppo di lavoro nella terza riunione l'11.9.1996. 3 Legge sull'autonomia, articolo 1. 4 Legge n. 429, del 31 maggio 2000, sul trattamento dei dati personali. Legge di attuazione della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione di tali dati. 5 Legge n. 73 dell'8 maggio 2001. 6 Cfr. anche il documento della Commissione europea "Preparation of a methodology for evaluating the adequacy of the level of protection of individuals with regard to the processing of personal data" (Lussemburgo: Ufficio delle Pubblicazioni ufficiali delle Comunit europee, 1998). 7 Articolo 1 e articolo 3, comma 1, della legge. 8 Articolo 3, comma 1, della legge. Tale norma conforme all'articolo 3, paragrafo 1, della direttiva 95/46/CE. 9 Articolo 3, comma 2, della legge. 10 Articolo 2, comma 1, della legge. 11 Articolo 16, comma 1, della legge. 12 Articolo 16, comma 2, della legge. 13 Articolo 1, comma 1, del decreto ministeriale n. 33, dell'11.4.2005, relativo al trasferimento di dati personali verso paesi senza l'autorizzazione dell'Agenzia per la protezione dei dati personali. 14 La legge delle Isole Faer er tuttavia leggermente diversa dall'articolo 25 della direttiva 95/46/CE. 15 Articolo 17 della legge. 16 Articolo 2, comma 9, della legge. 17 Articolo 9, comma 3, della legge. 18 Articolo 29 della legge. 19 Articolo 26, comma 1, della legge. 20 Articolo 26, comma 2, della legge. 21 Articolo 26, comma 1, della legge. 22 Articolo 36 della legge. 23 Articolo 41 della legge. 24 Le relazioni sono disponibili in lingua locale sulla home page dell'Agenzia per la protezione dei dati: http://www.datueftirlitid.fo/index.asp?pID={6A552A7B-263D-4D06-B468-F966DDAD0A15} 25 Articolo 44, comma 1, della legge. 26 Costituzione danese del 5 giugno 1953, articoli 3 e 63. 27 Articoli da 26 a 30 della legge.
|