Parere 8/2007: sul livello di protezione dei dati personali a Jersey

Parere 8/2007 - WP141

sul livello diprotezione dei dati personali a Jersey

adottato il 9 ottobre 2007

IL GRUPPO DI LAVORO PER LATUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI,

vista la direttiva95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativaalla tutela delle persone fisiche con riguardo al trattamento dei datipersonali, nonché alla libera circolazione di tali dati¹ (inseguito: "direttiva"), in particolare l’articolo 29 e l’articolo 30,paragrafo 1, lettera b),

visto il regolamentointerno del Gruppo di lavoro², in particolare gli articoli 12 e 14,

HA ADOTTATO IL SEGUENTEPARERE:

1. INTRODUZIONE: LEGGESULLA PROTEZIONE DEI DATI A JERSEY

1.1. La situazione delleIsole del Canale e di Jersey

Le Isole del Canale sonocomposte da cinque isole principali, Jersey, Guernsey, Alderney, Herm e Sark,situate nel Canale della Manica, nel Golfo di Saint Malo, al largo della costanordoccidentale della Francia. Non fanno parte del Regno Unito e non sono rappresentatenel Parlamento di Westminster. Dal punto di vista costituzionale, sono divisenei Baliati di Guernsey e di Jersey.

Il Baliato di Jersey è unadipendenza del Regno Unito. Quest'ultimo è competente in materia di affariinternazionali e di difesa dell'isola. Dal canto suo, Jersey è autonomo perquanto riguarda gli affari interni, inclusa la protezione dei dati. Sebbene leautorità del Regno Unito siano competenti per negoziare tutti i trattatiinternazionali, la loro ratifica da parte del Regno Unito non produce effettia Jersey, salvo richiesta delle autorità del Baliato.

Jersey fa parte delterritorio doganale della Comunità. Gli scambi commerciali tra Jersey e ipaesi extracomunitari sono soggetti alla tariffa doganale comune, ai prelievi e alle altre misure sulle importazioni agricole, mentre quelli tra Jersey e laComunità beneficiano della libera circolazione delle merci. Ciò nonostantealtre norme comunitarie, tra cui quelle sulla protezione dei dati, non trovanoapplicazione. Quando il Regno Unito ha recepito la direttiva, le autorità diJersey hanno dichiarato la sua non applicabilità all'isola e da allora hannointrodotto le proprie norme in materia.

In virtù dell'articolo 299del trattato che istituisce la Comunità europea, la direttiva non si applica aJersey, che pertanto è un paese terzo ai sensi degli articoli 25 e 26 delladirettiva.

1.2. Quadro normativovigente in materia di protezione dei dati

A nome del Baliato sonostate ratificate le seguenti convenzioni:

Convenzione per lasalvaguardia dei diritti dell’uomo e delle libertà fondamentali (CEDU);

Convenzione internazionalesui diritti civili e politici;

Patto internazionalerelativo ai diritti economici, sociali e culturali;

Convenzione delle NazioniUnite sull’eliminazione della discriminazione razziale;

Convenzione del Consigliod’Europa per la tutela delle persone con riguardo al trattamento dei datipersonali (convenzione 108).

La legge di Jersey sullaprotezione dei dati del 1987, entrata in vigore l'11 novembre 1987, si basavasulla legge del Regno Unito sulla stessa materia del 1984, sebbene l'organo dicontrollo, il cancelliere per la protezione dei dati, non fosse indipendente, ma soggiacesse al controllo del governo.

La legge di Jersey sullaprotezione dei dati del 2005, ispirata alla legge del Regno Unito sulla stessamateria del 1998 e alla relativa legislazione derivata, ha introdotto riformefondamentali per rispecchiare le disposizioni della direttiva.

2. VALUTAZIONE DEL LIVELLODI ADEGUATEZZA DELLA PROTEZIONE DEI DATI PERSONALI GARANTITO DALLA LEGGE DI JERSEYSULLA PROTEZIONE DEI DATI

Il Gruppo "articolo29" per la tutela dei dati personali (in seguito: "Gruppo dilavoro") valuta l’adeguatezza della normativa in materia di protezionedei dati di Jersey, facendo riferimento alla legge di Jersey sulla protezionedei dati del 2005 (in seguito: "legge di Jersey").

Criteri metodologici

I criteri metodologici perla valutazione del sistema di protezione dei dati di Jersey sono stati fissatidal Gruppo di lavoro nel documento “Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25e 26 della direttiva europea sulla tuteladei dati" (WP 12 5025/98)3 epossono essere così riassunti:

1. Principi di contenuto:

• finalità limitata

• qualità eproporzionalità

• trasparenza

• sicurezza

• diritti di accesso,rettifica e opposizione

• restrizioni aisuccessivi trasferimenti

• principi supplementarida applicare in casi specifici di trattamento, quali quelli concernenti i) idati sensibili, ii) la commercializzazione diretta e iii) le decisioniautomatizzate

2. Meccanismi diprocedura/applicazione:

• assicurare un buonlivello di osservanza delle norme

• fornire sostegno allapersona interessata

• garantire unrisarcimento adeguato alla parte lesa

Definizione e campo diapplicazione della legge

Il preambolo della leggeinforma che si tratta di una misura diretta a "introdurre nuove disposizioni in materia di trattamentodelle informazioni a carattere personale, compresi l'ottenimento, la conservazione, l’uso e la diffusione ditali informazioni e qualsiasialtro uso destinato a fini collaterali e connessi a tali operazioni".

La legge di Jersey sullaprotezione dei dati definisce i principali concetti in materia di protezionedei dati come segue:

Dati personali

I dati personali sono datirelativi a una persona vivente che può essere identificata:

a) in base a tali dati,o

b) in base a tali datie altre informazioni di cui il responsabile del trattamento dei dati in questione è oprobabilmente sarà in possesso,

e includono qualsiasiespressione di opinione su una persona che può in tal modo essere identificata e qualsiasi indicazionedelle intenzioni del responsabiledel trattamento dei dati o di qualsiasi altra persona nei confronti di una persona che può in tal modo essereidentificata⁴.

Tale definizionedifferisce da quella della direttiva. In particolare la legge di Jersey prevede l'identificazione di una persona in base alle informazioni di cui ilresponsabile del trattamento dei dati in questione è o probabilmente sarà inpossesso. Al contrario, la direttiva stabilisce all'articolo 2 che siconsidera identificabile la persona che può essere identificata, direttamente oindirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o piùelementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale osociale e precisa al considerando26 che per determinare se una persona è identificabile, è opportuno prenderein considerazione l'insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o daaltri per identificare detta persona.

Ciò significa che mentrela direttiva protegge le informazioni relative a una persona che può essereidentificata non dal responsabile del trattamento ma da terzi, la legge diJersey le protegge solo se è probabile che il responsabile del trattamentovenga in possesso di tali informazioni.

Per quanto concernel'aggettivo "relativi" usato nella definizione, occorre ricordare l'importanza della giurisprudenza del Regno Unito nella causa Durant. In tale occasione la Corte d'appello del RegnoUnito ha introdotto due criteri per i casi in cui non è chiaro se i dati siano"relativi" a una persona e quindi costituiscano "dati personali" ai sensi della legge del Regno Unito sulla protezione dei dati.Si tratta di valutare se i dati sono "significativamentebiografici" e se "leinformazioni hanno ad oggetto" la persona interessata. Questi criteri siinseriscono in una serie di considerazioni più ampie intese a stabilire, incaso di dubbio, se i dati costituiscono informazioni che ledono la vitaprivata della persona interessata.

Dati gli stretti legamitra il sistema giudiziario di Jersey e quello del Regno Unito (la Corted'appello di Jersey è composta da giuristi del Regno Unito), è possibile chetale giurisprudenza sia seguita a Jersey. Una siffatta interpretazionerestringe la definizione di dati personali della direttiva, pertanto puòcompromettere il livello di protezione dei dati personali garantito dallalegge di Jersey.

Archivio pertinente

La legge di Jersey definiscel' "archivio pertinente" come qualsiasi insieme di informazionirelative a persone il quale, sebbene le informazioni non siano trattate con strumenti che rispondono automaticamente a istruzioni fornite a tal fine,è strutturato, rispetto a persone oa criteri relativi a persone, in modo tale da consentire un accesso agevole a specifiche informazioni relative a una personadeterminata⁵.

La legge di Jerseyriprende la formulazione usata nella legge del Regno Unito sulla protezionedei dati del 1988, che era stata applicata in maniera restrittiva dalla giurisprudenza successiva alla sentenza nella causa Durant v. FinancialServices Authority6. In tale sentenza la Corte d'appello ha conclusoche, "ai fini della legge, si considera "archivio pertinente"un archivio 1) i cui fascicoli sono strutturati in modo tale o contengono riferimenti tali da indicarechiaramente sin dall'inizio della ricerca se l'archivio contiene informazioni specifiche che possonocorrispondere a dati personalidi una persona che le richiede ai sensi della sezione 7 e, in caso affermativo, in quali fascicoli si trovano, e 2) che dispone, nell'ambito della sua struttura o del suo meccanismo di riferimenti, distrumenti sufficientemente sofisticati e precisi per indicare rapidamente se e in quale o quali fascicolipossono essere rapidamentelocalizzati criteri specifici o informazioni specifiche concernenti il richiedente". Tale interpretazione è più restrittiva rispetto aquella della direttiva, che definisce l'archivio come qualsiasi insiemestrutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che taleinsieme sia centralizzato,decentralizzato o ripartito in modo funzionale o geografico, e che specifica al considerando 27 che ilcontenuto di un archivio deve essere strutturato secondo criteri specifici relativi alle personeche consentano un facile accesso ai dati personali. Pertanto, quando un fascicolo, pur essendoorganizzato secondo criteri specifici relativi alle persone e che consentonoun facile accesso ai dati personali, non soddisfa le condizioni fissate dallaCorte (ad esempio quando le informazioni su una persona sono contenute in unfascicolo che non è suddiviso in sottofascicoli che indicano il tipo di informazionicontenute al loro interno), le sue informazioni non sono protette dalla legge,mentre lo sono in base alle norme sulla protezione dei dati della direttiva.Considerati gli stretti legami tra il sistema giudiziario di Jersey e quello del Regno Unito (la Corte d'appello di Jersey è composta da giuristi del RegnoUnito), è possibile che tale giurisprudenza sia seguita a Jersey. Tuttavia, leprobabilità che tali tipi di fascicoli manuali poco strutturati sianotrasferiti da uno Stato membro dell'UE a Jersey sono scarse. La situazionepertanto non pone alcun grosso problema e consente di ritenere che la legge diJersey garantisca un livello di protezione adeguato sul piano della gestionedegli archivi manuali.

2.1. Principi di contenuto

Principi fondamentali

Principio dellafinalità limitata: i dati devonoessere trattati per una finalità determinata e successivamente usati oulteriormente comunicati solo nella misura in cui non vi sia incompatibilitàcon la finalità del trasferimento. Le uniche deroghe a tale norma sarebberoquelle necessarie in ogni società democratica per una delle ragioni elencatenell'articolo 13 della direttiva. Altre deroghe sono possibili ai sensi dell'articolo 9 della direttiva qualora si rivelino necessarie per garantire lalibertà di espressione.

Il Gruppo di lavoroconstata soddisfatto che Jersey rispetta tale principio. In conformità delsecondo e del quinto principio sulla protezione dei dati di cui alla primaparte dell’allegato 1 della legge di Jersey, i dati personali vanno raccoltisolo per finalità determinate e lecite, non vanno successivamente trattati inmodo incompatibile con tali finalità e non vanno conservati più del temponecessario per raggiungere tali finalità.

Principio della qualitàe della proporzionalità: i datidevono essere esatti e, se necessario, aggiornati. Devono essere adeguati,pertinenti e non eccedenti rispetto alle finalità per cui sono oggetto ditrasferimento o di successivo trattamento.

Nel terzo e nel quartoprincipio sulla protezione dei dati la legge di Jersey prevede che i datisiano adeguati, pertinenti e non eccedenti rispetto alle finalità perseguite eche siano esatti e, se necessario, aggiornati. Il Gruppo di lavoro ritienepertanto che la legge di Jersey soddisfi il principio della qualità e dellaproporzionalità. Principio della trasparenza: la persona deve ricevereinformazioni sulle finalità del trattamento e sull’identità del responsabiledel trattamento nel paese terzo, nonché qualunque altra informazionenecessaria per effettuare un trattamento leale. Le sole deroghe consentitedevono essere in linea con l’articolo 11, paragrafo 2, e con l’articolo 13della direttiva.

Tale principio èsoddisfatto dall’articolo 7, paragrafo 1, della legge di Jersey, integrato daiparagrafi 2 e 5 della seconda parte dell’allegato 1.

La legge di Jersey prevedederoghe al principio della trasparenza. In linea generale riguardano glistessi settori di attività di quelle descritte nell'ambito del principio della finalità limitata e contengono gli stessi criteri per determinare se larichiesta di applicazione della deroga possa essere ritenuta necessaria per lafinalità in questione.

L'articolo 31 della leggedi Jersey contempla una deroga per fini normativi, diretta a garantire unaprotezione contro qualsiasi perdita finanziaria o pregiudizio di carattere pubblico. L'articolo 32 della legge di Jersey concerne la pubblicazione diopere giornalistiche, letterarie o artistiche di interesse pubblico. Ai sensidell'articolo 34 della legge di Jersey il principio della trasparenza non siapplica quando i dati riguardano informazioni che il responsabile deltrattamento è tenuto per legge a mettere a disposizione del pubblico. I primidue articoli sembrano collocarsi nell'ambito dell'articolo 13 della direttiva.L'articolo 34 invece non soddisfa i criteri necessari a tal fine. Di fattoprevede una deroga che non può essere considerata una misura necessaria allasalvaguardia di uno degli interessi pubblici rilevanti menzionati all'articolo13 e non si giustifica, in quanto i dati che il responsabile del trattamento mette a disposizione del pubblico (ad esempio sulla situazione giuridica di unedificio iscritto al catasto) sono diversi da quelli che deve fornire allapersona interessata in relazione al trattamento (responsabile del trattamento, finalità, categoriedi dati, destinatari, diritto di accesso), e pertanto non possono sostituirli.Tuttavia, la valutazione dell'adeguatezza riguarda la protezione dei datipersonali trasferiti a Jersey dagli Stati membri dell'UE e non i dati raccoltia Jersey relativi a persone interessate di Jersey. È difficile prevedere lecircostanze in cui i dati trasferiti dall'UE verso Jersey vengano poipubblicati in un registro pubblico di Jersey. Anche in tal caso comunque, gliobblighi derivanti dal principio della trasparenza incomberebbero principalmente al cedente dell'UE e non al destinatario di Jersey.

L'allegato 7 della leggedi Jersey fissa deroghe per i dati relativi al funzionamento delle forzearmate qualora l'applicazione del principio della trasparenza pregiudichi talefinalità. È prevista una deroga per determinati dati finanziari di società di importante interesse nazionale a livello economico o finanziario. Altre deroghe riguardano previsioni gestionali, informazioni da usare in negoziati con lapersona interessata e dati coperti dal segreto professionale che protegge lecomunicazioni con gli avvocati. Tali deroghe sembrano giustificate ai sensidell'articolo 13 della direttiva.

Le deroghe concernenti lenomine di magistrati e il sistema onorifico, applicabili in casi moltolimitati, non sembrano rientrare nell'ambito dell'articolo 13 della direttiva.

Principio della sicurezza:il responsabile del trattamento dei dati dovrebbe adottare misure di sicurezzatecniche e organizzative commisurate ai rischi che il trattamento presenta.Chiunque agisca sotto l'autorità del responsabile del trattamento, compreso l'incaricato del trattamento, non deve effettuare operazioni di trattamento deidati se non per disposizione del responsabile del trattamento stesso. Ledisposizioni della legge di Jersey sembrano soddisfare le esigenze fissate nel documento WP12 in relazione al principio di sicurezza. È dispostoesplicitamente l'obbligo per il responsabile del trattamento di adottare unlivello di sicurezza adeguato e, qualora il trattamento sia effettuato da unterzo per conto del responsabile del trattamento, è previsto, conformemente aquanto richiesto dal WP12, che sia stipulato un contratto scritto che impongaall'incaricato del trattamento obblighi equivalenti a quelli del responsabiledel trattamento.

Diritti di accesso,rettifica e opposizione: la persona interessata deve avere diritto di ottenerecopia di tutti i dati trattati che la riguardano, e il diritto di farrettificare i dati inesatti. In determinate situazioni la persona interessatadeve inoltre potersi opporre al trattamento di dati che la riguardano. Leuniche deroghe a questi diritti devono essere quelle previste dall'articolo 13della direttiva. Riguardo al diritto di accesso, l’articolo 7 della legge diJersey sembra conformarsi alle richieste del WP12. Le deroghe concernenti idiritti di accesso sembrano compatibili con quelle previste dal WP12conformemente all'articolo 13.

Quanto al diritto direttifica, l'articolo 14 della legge di Jersey sembra soddisfare quantorichiesto dal WP12, ossia che la persona interessata possa ottenere larettifica dei dati inesatti. Anzi, va oltre, prevedendo che, se il giudice loritiene ragionevolmente possibile, possa essere imposto al responsabile deltrattamento di notificare ai destinatari che i dati sono stati rettificati⁷.

Il diritto di opposizioneè garantito dall’articolo 10 della legge di Jersey, che sancisce il diritto diimpedire qualsiasi trattamento che possa provocare un danno o un pericolo.Tale disposizione rispecchia l'esigenza imposta dal WP12 di prevedere il diritto di opposizione "in determinate situazioni".

Restrizioni ai successivitrasferimenti: i successivi trasferimenti di dati personali da parte deldestinatario del primo trasferimento devono essere consentiti soltanto quandoanche il secondo destinatario (ossia il destinatario del trasferimento successivo) è soggetto a norme che garantiscono un livello di tutela adeguato.Le uniche deroghe consentite devono essere conformi all'articolo 26, paragrafo1, della direttiva.

Ai sensi dell'ottavoprincipio sulla protezione dei dati della legge di Jersey, i dati personalinon possono essere trasferiti in un paese o territorio al di fuori dello Spazio economico europeo, a meno che tale paese o territorio garantisca un livello di protezione adeguato conformemente ai criteri elencati⁸.

In virtù di taleprincipio, le decisioni della Comunità europea relative all'adeguatezza o menodi un trattamento in un paese terzo sono vincolanti per le autorità di Jerseyin qualsiasi procedimento ai sensi della legge di Jersey⁹.

La legge di Jersey noncontempla l'obbligo di notifica preventiva o successiva, al garante per laprotezione dei dati, dei trasferimenti specifici al di fuori del SEE. Prevedetuttavia che, al momento della notifica, il responsabile del trattamentoindichi il numero di paesi al di fuori del SEE cui possono essere trasferiti idati. Se tale numero non è superiore a 10 i paesi devono essere menzionati pernome, altrimenti nella notifica deve essere specificato che i trasferimentipossono avvenire su scala "mondiale". Sebbene i trasferimenti nondebbano essere notificati, se il garante per la protezione dei dati ritieneche il trasferimento dei dati sia stato effettuato in circostanze che nongarantiscono un livello di protezione adeguato, può trasmettere una notaesecutiva al responsabile del trattamento in conformità dell'articolo 40.

Spetta tuttavia alresponsabile del trattamento decidere se tale obbligo sia stato soddisfatto omeno e la sua decisione non è soggetta ad alcuna manifesta attività di audit omonitoraggio da parte dell'autorità per la protezione dei dati.

Principi supplementari da applicare in casi specifici di trattamento:

Dati sensibili: se iltrattamento riguarda categorie di dati "sensibili" (quelle elencate all’articolo 8 della direttiva), si devono porre in essere garanziesupplementari, come ad esempio l’obbligo del consenso esplicito al trattamentoda parte della persona interessata. La definizione di "datisensibili" contenuta nella legge di Jersey è conforme al dispostodell'articolo 8.

La legge di Jersey fissale condizioni alle quali i dati sensibili possono essere trattati.

Il WP12 stabilisce che pertrattare i dati personali sensibili si devono porre in essere garanziesupplementari che prevedano la menzione specifica del consenso esplicito dellapersona interessata. L'allegato 3 della legge di Jersey elenca le condizioniche devono essere soddisfatte per poter trattare i dati personali sensibili.

Commercializzazionediretta: se il trasferimento deidati avviene per finalità di commercializzazione diretta, la personainteressata deve essere in grado di decidere in qualsiasi momento l’esclusionedei dati che la riguardano da un simile impiego.

La legge di Jersey prevedetale opzione e introduce, quale garanzia supplementare, la possibilità diadire il giudice se il responsabile del trattamento non ottempera alla richiesta. È pertanto conforme a quanto richiesto dal WP12 al riguardo.

Decisioni individualiautomatizzate: se la finalità deltrasferimento consiste nell’adozione di una decisione automatizzata ai sensidell’articolo 15 della direttiva, la persona dovrebbe avere il diritto diconoscere la logica a cui tale decisione risponde e dovrebbero essere adottatialtri provvedimenti per garantire la salvaguardia del suo interesse legittimo.

Le disposizioni dellalegge di Jersey relative a questo principio sembrano sufficienti perconcludere che il livello di protezione è adeguato. La legge va oltre quanto richiesto dal WP12, poiché garantisce il diritto di opporsi all'applicazione disistemi di presa di decisioni automatizzate, quanto meno in determinatesituazioni. Contempla inoltre la possibilità di richiedere al responsabile deltrattamento di riesaminare una decisione precedentemente adottata. È infineprevisto che la persona venga informata della logica su cui si basa ilsistema.

2.2. Meccanismi diprocedura/applicazione:

In base ai principienunciati nel WP12, per valutare l'adeguatezza dell'ordinamento giuridico diun paese terzo occorre individuare gli obiettivi di fondo di un sistema procedurale per la tutela dei dati e quindi procedere ad esaminare i diversimeccanismi procedurali giudiziari e non giudiziari applicati in quel paese.

Gli obiettivi di unsistema di tutela dei dati sono: assicurare un buon livello di osservanzadelle norme; fornire aiuto e sostegno alla persona interessata nell’esercizio dei propri diritti; garantire un risarcimento adeguato alla parte lesa in casodi violazione delle norme.

Assicurare un buon livellodi osservanza delle norme: tra i responsabili del trattamento dei dati si puòrilevare un elevato grado di consapevolezza dei propri obblighi e tra lepersone interessate la medesima consapevolezza dei propri diritti e deglistrumenti per esercitarli. Di particolare importanza, al fine di garantire ilrispetto delle norme, è l’esistenza di sanzioni efficaci e dissuasive, alpari, ovviamente, di sistemi di verifica diretta da parte di autorità,revisori o addetti indipendenti alla tutela dei dati.

Il Gruppo di lavoroconstata che la legge di Jersey prevede vari strumenti per raggiungere taleobiettivo, tra cui:

(a) Garante per laprotezione dei dati

La legge di Jerseycontempla la figura del garante per la protezione dei dati, nominato dall'assemblea degli Stati, un'istituzione unicamerale parzialmente elettivacon funzioni esecutive e legislative. Essendo un ufficio dotato di personalitàgiuridica, che può essere occupato da una sola persona alla volta, il garanteè un organo indipendente dal governo e continua a mantenere il suo statusgiuridico anche quando la persona che occupa l'ufficio lascia le sue funzioni.Il garante può essere destituito solo dall'assemblea degli Stati; i termini ele condizioni della sua nomina non devono essere interpretati come uncontratto di lavoro o di agenzia tra gli Stati e la persona nominata, che èretribuita attraverso le entrate generali degli Stati.

Poiché il garante ènominato dagli Stati, ossia dal parlamento, e può essere destituito solo dagliStati, non sussistono dubbi sull'esistenza delle condizioni perché possa adempiere le sue funzioni in piena indipendenza.

Le funzioni e i poteri delgarante sono fissati dalla legge di Jersey, che prevede che il garanteraccolga le notifiche, valuti determinate forme di trattamento e sia dotato di poteri investigativi ed esecutivi. L'articolo 51 della legge gli conferiscealtre funzioni.

I poteri del garante sonopiù limitati rispetto a quelli previsti dall'articolo 28 della direttiva. Perquanto riguarda i poteri investigativi, in particolare il potere di accedere alocali e raccogliere informazioni, in linea di principio è necessario unmandato del giudice. Il responsabile del trattamento può tuttavia opporsi alsuo rilascio. Tale possibilità diminuisce l'efficacia della misura e la rendeinadeguata a controlli a campione o a indagini spontanee.

Le preoccupazioni delGruppo di lavoro per l'insufficienza dei poteri conferiti al garante suscitanopertanto alcuni dubbi sull'idoneità di tale strumento ad assicurare un buonlivello di osservanza delle norme.

(b) Mezzi esecutiviadeguati e sanzioni adeguate

La legge di Jersey prevedeuna serie di sanzioni per i responsabili del trattamento dei dati che violanole sue disposizioni. Ai sensi dell'articolo 17 l'inosservanza dell'obbligo dinotifica costituisce reato. L'articolo 20 impone al responsabile del trattamento dei dati di notificare qualsiasi modifica della natura o dellafinalità del trattamento.

Fornire sostegno allapersona interessata: ogni personadeve essere in grado di far rispettare i propri diritti in modo rapido edefficace, ad un costo non proibitivo. A tal fine dovrebbero essere istituitimeccanismi istituzionali che consentano di condurre un’indagine indipendentein caso di denuncia.

La legge di Jerseygarantisce un livello di protezione adeguato a questo riguardo.

Senza una Costituzioneformale è difficile garantire l'indipendenza di un organo, tuttavia nullaindica la presenza di interferenze politiche nel funzionamento dell'ufficiodel garante né di controversie sul livello delle risorse attribuite.

L'articolo 42 della leggedi Jersey, che consente alla persona interessata di chiedere al garante divalutare la legittimità del trattamento, rafforza notevolmente i diritti che talepersona può far valere dinanzi ai giudici. Inoltre l'articolo 53 indica i casiin cui la stessa può chiedere l'assistenza del garante in un procedimentogiudiziario. In questo contesto la legge di Jersey soddisfa l'obbligo difornire sostegno alla persona interessata.

La legge di Jerseyprosegue inoltre il processo di creazione del tribunale per la protezione deidati, con funzioni di giudice di appello per le decisioni del garante.

Garantire un risarcimentoadeguato alla parte lesa: si tratta di un elemento essenziale, che necessitadi un sistema di arbitrato indipendente in grado di deliberare lacorresponsione di un indennizzo e di imporre eventualmente sanzioni.

Ai sensi dell'articolo 13della legge di Jersey, chiunque subisca un pregiudizio a causa dell'inosservanza, da parte del responsabile del trattamento, delledisposizioni della legge ha diritto al risarcimento. Ha inoltre diritto allarettifica, al congelamento, alla cancellazione e alla distruzione dei datiinesatti. Tali diritti si estendono a qualsiasi espressione di opinionefondata sui dati inesatti e sono accompagnati da disposizioni sui reati chepossono pregiudicare le persone.

Di conseguenza, il Gruppodi lavoro ritiene che la legge di Jersey preveda disposizioni sufficienti pergarantire un risarcimento adeguato per le persone che hanno subito unpregiudizio dalla violazione delle norme pertinenti.

3. RISULTATI DELLAVALUTAZIONE

Sebbene possa sussisterequalche dubbio sul pieno rispetto, da parte della legge di Jersey, degliobblighi imposti agli Stati membri dalla direttiva sulla tutela dei dati, il Gruppo di lavoro ricorda che con il termine "adeguatezza" non siintende l'equivalenza completa con il livello di protezione fissato dalladirettiva. Gli aspetti relativi alla definizione dell'espressione "datipersonali" e di altri concetti, alla trasparenza e ai poteri del garantesuscitano qualche preoccupazione, ma tenuto conto dei chiarimenti e dellegaranzie forniti dalle autorità di Jersey il Gruppo di lavoro ritiene che talipreoccupazioni non siano significative per quanto riguarda la protezionegarantita ai dati personali trasferiti dagli Stati membri dell'UE a Jersey.

Pertanto, sulla base delleconstatazioni summenzionate, il Gruppo di lavoro giunge alla conclusione cheJersey garantisce un livello di protezione adeguato ai sensi dell'articolo 25,paragrafo 6, della direttiva 95/46/CE del Parlamento europeo e del Consiglio,del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Fatto a Bruxelles, il 9ottobre 2007.

Per il Gruppo di lavoro

Il Presidente

Peter SCHAAR

NOTE
1 GU L 281del 23.11.1995, pag. 31, consultabile all'indirizzo:

http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm

2 Adottato dal Gruppo di lavoro nella terza riunione l'11.9.1996.

3 Cfr.anche il documento della Commissione europea "Preparation of amethodology for evaluating the adequacy of the level of protection of individuals with regardto the processing of personal data" (Lussemburgo: Ufficio delle pubblicazioni ufficiali delleComunità europee, 1998).

4 Articolo 1.

5 Articolo 1.

6 [2003] EWCA Civ 1746.

7 Articolo 14, paragrafo 5.

8 Allegato 1, parte 2, paragrafo 13.

9 Allegato 1, parte 2, paragrafo 15.