|
GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29
Parere 6/2009 - WP 165 sul livello di protezione dei dati personali in Israele adottato il 1 dicembre 2009
Il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione di tali dati ("la direttiva"), in particolare l'articolo 29 e l'articolo 30, paragrafo 1, lettera b), visto il regolamento interno del Gruppo di lavoro, in particolare gli articoli 12 e 14, HA ADOTTATO IL SEGUENTE PARERE:
1. CONTESTO Il 12 luglio 2007 la Missione di Israele presso l'Unione europea chiedeva alla Commissione di avviare la procedura per il riconoscimento di Israele come paese che garantisce un livello di protezione adeguato ai sensi dell'articolo 25, paragrafo 6, della direttiva. Al fine di valutare l'adeguatezza di Israele, la Commissione chiedeva al Centre de Recherches Informatique et Droit ("CRID") dell'Universit di Namur di stilare una relazione dettagliata circa la conformit del sistema normativo israeliano ai requisiti per l'applicazione delle disposizioni sulla protezione dei dati personali stabilite nel documento di lavoro "Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati", adottato il 24 luglio 1998 dal Gruppo di lavoro istituito ai sensi dell'articolo 29 della direttiva. Il 18 marzo 2009 il sottogruppo "Approdo sicuro" si riuniva per esaminare la relazione del CRID e la risposta preliminare delle autorit israeliane al documento. Durante la riunione, il sottogruppo proponeva che il presidente del Gruppo di lavoro inviasse una lettera alle autorit israeliane in cui, pur valutando positivamente l'attuale sistema israeliano di protezione dei dati, sottolineava i punti che restavano da chiarire, e chiedeva al Gruppo di lavoro di pronunciarsi sulla proposta. Il 2 settembre 2009, tramite l'autorit israeliana in materia di diritto, informazione e tecnologia (Israeli Law, Information and Technology Authority - ILITA), le autorit israeliane trasmettevano al Gruppo di lavoro una relazione approfondita in risposta alle questioni sollevate nella lettera. La relazione stata analizzata dai membri del sottogruppo i quali, il 16 settembre 2009, incontravano le autorit israeliane per una riunione sull'argomento. In occasione della riunione, i membri del sottogruppo chiedevano alle autorit israeliane, rappresentate dal direttore dell'ILITA e dal responsabile del dipartimento giuridico dell'ILITA, di delucidare i punti rimasti da chiarire a seguito della precedente discussione sulla relazione inviata al sottogruppo. Durante la riunione del 12 e 13 ottobre 2009, il sottogruppo comunicava al Gruppo di lavoro le conclusioni raggiunte nell'incontro del 16 settembre con le autorit israeliane e proponeva l'adozione del presente parere, conformemente a quanto ivi stabilito; la proposta veniva approvata dal Gruppo di lavoro in occasione della riunione di cui sopra.
2. LA NORMATIVA ISRAELIANA IN MATERIA DI PROTEZIONE DEI DATI Il sistema giuridico israeliano presenta due tratti caratteristici di base che lo contraddistinguono dagli altri sistemi giuridici, in particolare da quelli degli Stati membri: in primo luogo, Israele non ha una costituzione scritta; in secondo luogo, sebbene possa considerarsi essenzialmente apparentabile ai sistemi di common law, il sistema israeliano presenta anche caratteristiche che rimandano alla civil law. L'assenza di una costituzione scritta compensata dall'esistenza delle cosiddette leggi fondamentali che la Corte suprema israeliana ha elevato al rango di leggi costituzionali. Anche alcuni principi di base e diritti umani fondamentali, quali l'eguaglianza, la libert di espressione o di culto, sono considerati di rango costituzionale. In questo contesto, il diritto alla privacy sancito dalla legge fondamentale sulla dignit e le libert umane che, all'articolo 7, stabilisce quanto segue: a) ogni persona ha il diritto alla privacy e all'intimit; b) vietato introdursi nel domicilio privato di una persona senza il suo consenso; c) vietata la perquisizione del domicilio privato di una persona, del suo corpo o dei suoi effetti personali; d) vietato violare la riservatezza di una conversazione, degli scritti o delle registrazioni di una persona. Il diritto alla privacy e alla protezione dei dati personali disciplinato, al tempo stesso, dalla legge sulla protezione della privacy (Privacy Protection Act - PPA), approvata nel 1981 e successivamente modificata in nove occasioni. La principale modifica, che risale al 2007, stabilisce nuovi requisiti per il trattamento dei dati personali e disciplina, in modo pi dettagliato e preciso rispetto alla normativa fino ad allora in vigore, l'organizzazione, le competenze e le funzioni dell'autorit di controllo in materia di protezione dei dati personali, con l'istituzione di un'autorit in seno al ministero della Giustizia, l'ILITA (l'autorit israeliana in materia di diritto, informazione e tecnologia), che ingloba l'ex registro delle banche dati. Si richiama inoltre l'attenzione su una relazione del gennaio 2007 stilata da un comitato di esperti nominato dal ministero della Giustizia, nota come "relazione Schoffman", che ha formulato una serie di raccomandazioni su come modificare la normativa in materia di protezione dei dati, raccomandazioni attualmente al vaglio in vista dell'adozione di un nuovo quadro normativo in questo settore. La normativa sulla protezione dei dati si recentemente arricchita, dal punto di vista del diritto legislativo, di numerose decisioni adottate dal governo israeliano riguardanti in particolare l'attuazione della PPA (ad esempio, sul trasferimento internazionale dei dati) e l'organizzazione e il funzionamento dell'ILITA (ad esempio, sulla durata del mandato del direttore e sui motivi di cessazione del mandato). Inoltre, come gi indicato, il sistema giuridico israeliano si ispira in larga misura ai principi caratteristici dei sistemi di common law. In tal senso, alle norme scritte si aggiungono le decisioni giurisprudenziali che, emesse in conformit alle disposizioni vigenti, hanno valore di precedente e sono fonti dirette del diritto israeliano. La relazione elaborata dalle autorit israeliane su richiesta del comitato e le dichiarazioni delle stesse durante la riunione del sottogruppo del 16 settembre 2009 hanno segnalato al Gruppo di lavoro una serie di pronunce giurisprudenziali di cui si tenuto conto ai fini della valutazione. In sede di valutazione preliminare, infine opportuno sottolineare che Israele ha ratificato il patto internazionale sui diritti civili e politici del 1966, anche se, per il diritto israeliano, la ratifica di un accordo internazionale non implica il suo recepimento diretto nell'ordinamento nazionale.
3. VALUTAZIONE DELL'ADEGUATEZZA DELLA PROTEZIONE DEI DATI PERSONALI GARANTITA DALLA NORMATIVA ISRAELIANA IN MATERIA DI PROTEZIONE DEI DATI Il Gruppo di lavoro precisa che la valutazione sull'adeguatezza della protezione dei dati garantita da Israele si basa sulla legge sulla protezione della privacy (PPA). Le disposizioni della PPA e le decisioni giurisprudenziali in materia di protezione dei dati personali sono state messe a confronto con le principali disposizioni della direttiva, tenendo conto del parere WP12 del Gruppo di lavoro, che enumera una serie di principi quali nucleo di principi di contenuto e di prescrizioni di procedura/applicazione, la cui osservanza potrebbe essere considerata una condizione minima di adeguatezza della protezione. 3.1 Campo di applicazione delle normativa israeliana in materia di protezione dei dati Come gi avvenuto in precedenza, prima di procedere ad una valutazione specifica della conformit ai principi stabiliti nel documento WP12, il Gruppo di lavoro ritiene necessario analizzare il campo di applicazione della normativa israeliana in materia di protezione dei dati. a) Dati personali e informazioni personali Il Gruppo di lavoro ritiene, in particolare, necessario confrontare il concetto di "informazioni personali" rinvenuto nella PPA con quello di "dati personali" presente nella direttiva. Analogamente, necessario stabilire se la normativa israeliana in materia di protezione dei dati contempla adeguate garanzie per qualsiasi tipo di trattamento o se essa si applica unicamente a sistemi di trattamento totalmente o parzialmente automatizzati, tenendo conto dell'ambito di tutela definito dalla direttiva. In merito alla prima questione, il Gruppo di lavoro conferma che la definizione di informazioni di cui all'articolo 7 del PPA non combacia con quella della direttiva. Il summenzionato articolo intende infatti per informazioni i dati riguardanti la personalit, lo status personale, le questioni intime, lo stato di salute, la posizione economica, le qualifiche professionali, le opinioni e il credo dell'interessato. La definizione concerne esclusivamente alcune categorie di dati e non permette di capire se la PPA garantisca la protezione dei dati relativi ad un soggetto non identificato ma identificabile. Tuttavia, alla luce delle spiegazioni fornite in proposito dalle autorit israeliane e in particolare dei precedenti giurisprudenziali da queste segnalati, il Gruppo di lavoro constata un'estensione del concetto giuridico di "informazioni" che lo apparenta a quello di "dati personali" contemplato dalla direttiva. Questa conclusione stata maturata, in particolare, alla luce di alcune sentenze, quale quella pronunciata dalla Corte suprema israeliana nella causa Israele/Banca Ha'Po'alim, in cui la Corte ha stabilito che il termine informazioni comprende i dati che possono essere estratti da una banca dati non indicizzata sulla base di nominativi individuali. Tra le altre sentenze indicate, il Gruppo di lavoro considera particolarmente pertinente la giurisprudenza generata dalla sentenza Rani Mor/Ynet relativa agli indirizzi IP, le cui conclusioni possono essere assimilate a quelle raggiunte dal Gruppo di lavoro, poich il tribunale distrettuale di Haifa ha stabilito che identificare un utente online rivelandone l'indirizzo IP senza il consenso dell'interessato un reato di violazione della privacy. Pertanto, per quanto riguarda il concetto di "informazioni" e di "dati personali" ai fini dell'applicazione della normativa sulla protezione dei dati, il Gruppo di lavoro ritiene che la giurisprudenza abbia integrato la PPA, permettendo in tal senso di considerare che le garanzie offerte dalla PPA assicurino una protezione dei dati personali simile a quella prevista nella direttiva. b) I sistemi di trattamento protetto nella legislazione israeliana A questo punto, il Gruppo di lavoro ritiene necessario prendere in considerazione la struttura specifica della PPA e, in particolare, i primi due capi: il capo 1 relativo alle violazioni della privacy in generale e il capo 2 che disciplina la protezione della privacy nelle banche dati. Il capo 2, articolo 7, della PPA definisce una banca dati come una raccolta di dati, su supporto magnetico o ottico, destinata al trattamento informatico. Il sistema di garanzia stabilito dal capo 2 si applica, in tal senso, solo al trattamento automatizzato dei dati e non al trattamento non automatizzato. Il Gruppo di lavoro prende atto delle spiegazioni delle autorit israeliane secondo cui, nel caso di trattamento non automatizzato dei dati (o trattamento manuale), i cittadini sarebbero tutelati dalle garanzie previste dal capo 1 della PPA, che sancisce principi quali la finalit limitata, la segretezza e il consenso. Va tuttavia precisato che la protezione garantita dalla direttiva a questi tipi di trattamenti non si richiama soltanto ai principi summenzionati, ma alla totalit del sistema di protezione dei dati e, in particolare, ai principi contenuti nel documento WP12. Quindi, per poter considerare l'adeguatezza del livello di protezione dei dati di un determinato Stato in merito ai sistemi di trattamento non automatizzati, occorrerebbe che il diritto interno di quello Stato riconoscesse i principi summenzionati almeno per questi sistemi di trattamento. Per questo motivo, poich il capo 1 non contempla l'insieme dei principi menzionati, non possibile ritenere adeguata la normativa israeliana per quanto riguarda i sistemi di trattamento non automatizzati o manuali. In questo senso, il Gruppo di lavoro tiene a ricordare che la relazione Schoffman era giunta alla stessa conclusione, proponendo una riforma del quadro normativo vigente in Israele che estenda ai sistemi di trattamento manuali l'insieme delle garanzie sulla protezione dei dati. Il trattamento non automatizzato dei dati da considerarsi pertanto escluso dalla presente disamina del sistema israeliano di protezione dei dati sotto il profilo dell'adeguatezza, dal momento che il suddetto quadro non contempla le garanzie previste nel documento WP12. A tale riguardo, il Gruppo di lavoro intende comunque precisare che ritiene di poter proseguire l'analisi dell'adeguatezza quanto ai sistemi di trattamento totalmente automatizzato e parzialmente automatizzato. Sono pertanto da ritenersi compresi nell'esame sull'adeguatezza, che verr effettuato di qui innanzi, quei trasferimenti internazionali di dati verso Israele effettuati attraverso mezzi automatizzati oppure quelli che, seppur non effettuati attraverso detti mezzi, riguardino dati destinati ad essere successivamente oggetto di trattamento automatizzato nello Stato di Israele. Per questo motivo, la presente valutazione si limita ad escludere quei trasferimenti internazionali di dati in cui il trasferimento stesso, e il successivo trattamento, vengono effettuati unicamente attraverso mezzi non automatizzati, essendo questi gli unici casi in cui non si applicano le disposizioni del capo 1. Il Gruppo di lavoro consapevole che, essendo limitato, il volume dei trasferimenti esclusi dalla valutazione di adeguatezza non tale da incidere in maniera significativa sull'applicazione della decisione che potr essere infine adottata. Il Gruppo ritiene tuttavia essenziale rimarcare tale esclusione alla luce delle disposizioni della direttiva. Per poter eventualmente estendere la valutazione a questi sistemi di trattamento, il Gruppo raccomanda allo tempo stesso che, in vista degli sviluppi legislativi futuri, e in particolare di quelli in esecuzione della relazione Schoffman, vengano adottate disposizioni sull'applicazione della normativa israeliana alle banche dati manuali. 3.2. Principi di natura contenutistica Sulla base di quanto sopra illustrato, si procede ora a valutare il livello di protezione dei dati di Israele, alla luce dei principi contenuti nel documento WP12, iniziando dallo studio dei principi cui la normativa israeliana dovrebbe essere conforme. A) Principi fondamentali 1) Il principio della finalit limitata: i dati dovrebbero essere trattati per una finalit specifica e successivamente utilizzati o ulteriormente comunicati soltanto nella misura in cui non vi sia incompatibilit con la finalit del trasferimento. Le sole deroghe a tale norma sarebbero quelle necessarie in ogni societ democratica per una delle ragioni elencate nell'articolo 13 della direttiva. Il Gruppo di lavoro ritiene che questo principio sia garantito nella normativa israeliana. Infatti, l'articolo 2, punto 9, della PPA individua una violazione generale della privacy nell'uso o nella trasmissione a terzi di informazioni riguardanti le questioni private di una persona per uno scopo diverso da quello per cui esse sono state fornite. Questo principio generale vieppi ribadito dall'articolo 8, lettera b), della PPA che stabilisce che le informazioni contenute in una banca dati per la quale richiesta la registrazione ai sensi dell'articolo 8 non possono essere utilizzate per un fine diverso da quello per cui la banca dati stata creata. Inoltre, per le banche dati che devono essere registrate presso l'autorit di controllo, l'articolo 9, lettera b), punto 2, della PPA stabilisce che la richiesta deve specificare i fini per cui stata creata la banca dati e a quale scopo sono destinate le informazioni. Il Gruppo di lavoro conferma infine che i tribunali hanno interpretato le suddette norme in linea con i termini della direttiva. Il Gruppo allude, in particolare, al divieto di utilizzare i dati finanziari in modo incompatibile evocato dalla Corte suprema israeliana nella causa Conservatore del registro/Ventura. 2) Il principio della qualit e della proporzionalit: i dati dovrebbero essere precisi e, se del caso, aggiornati. Essi dovrebbero essere adeguati, pertinenti e commisurati alle finalit per cui sono oggetto di trasferimento o di ulteriore trattamento. In merito al principio della qualit stricto sensu, il Gruppo di lavoro ritiene che, sebbene non enunciato come principio a se stante, l'obbligo di garantire l'esattezza dei dati e di aggiornarli ove necessario venga garantito dal diritto israeliano tramite il disposto sul diritto di rettifica di cui all'articolo 14 della PPA. L'articolo 14, lettera a), della PPA stabilisce infatti che chiunque, consultando le informazioni che lo riguardano, ne constata il carattere inesatto, incompleto, non chiaro e non aggiornato, pu chiedere al proprietario della banca dati o, se questi non residente, al possessore della stessa, di modificare o cancellare le suddette informazioni. L'articolo 14, lettere b) e c), facendo riferimento alla decisione del proprietario della banca dati, stabilisce che, qualora acconsenta ad una richiesta di cui alla lettera a), il proprietario di una banca dati modifica come necessario le informazioni e notifica le modifiche a tutti coloro cui ha trasmesso le informazioni, entro il termine previsto dai regolamenti. Se si rifiuta, il proprietario deve comunicare la sua decisione all'interessato; l'articolo 15 aggiunge in tal senso che chi chiede informazioni pu, nelle forme e modi previsti dai regolamenti, proporre ricorso davanti al giudice competente (Magistrates' Court) contro il rifiuto opposto dal proprietario di una banca dati di consentire la consultazione dei dati di cui all'articolo 13 o all'articolo 13A e contro la notifica del rifiuto di cui all'articolo 14, lettera c). Con riguardo al principio di proporzionalit sancito all'articolo 6, paragrafo 1, lettera c), della direttiva, il Gruppo di lavoro conferma che esso non specificatamente riconosciuto dalla PPA. Avendo preso nota con soddisfazione delle delucidazioni fornite e della giurisprudenza segnalata in merito dalle autorit israeliane, il Gruppo considera tuttavia che questa carenza risulti in larga misura compensata. Il Gruppo di lavoro ritiene pertanto soddisfacenti i chiarimenti forniti circa la portata costituzionale del principio di proporzionalit allorquando il trattamento dei dati sia di rilevanza del settore pubblico. Particolarmente degno di nota il precedente giudiziario stabilito dalla Corte suprema nella causa Acri/ministro dell'Interno, segnalata dalle autorit israeliane, dove viene fatto espressamente riferimento al principio di proporzionalit secondo i termini della direttiva. Il Gruppo di lavoro ritiene altres soddisfacenti le delucidazioni fornite dalle autorit israeliane per quanto riguarda il requisito giuridico della proporzionalit del trattamento, sulla base dei principi di ragionevolezza della misura e della buona fede. In tal senso, il Gruppo giudica particolarmente interessante il precedente stabilito dalla sentenza Eisner/Richmond, che ha ristretto l'uso delle videocamere sul posto di lavoro, e da altri precedenti stabiliti dalla sentenza del tribunale nazionale del lavoro di Tel Aviv. Il Gruppo di lavoro ritiene altres rilevante l'applicazione del principio di proporzionalit in materia di tutela dei consumatori e le decisioni giurisprudenziali in cui i tribunali competenti, in particolare il tribunale dei contratti-tipo di Gerusalemme, hanno invalidato le clausole che consentivano lo scambio di informazioni tra gruppi commerciali, si pensi alla sentenza Banca di Israele/First International Bank of Israel. Alla luce della succitata giurisprudenza, il Gruppo di lavoro ritiene che il principio di proporzionalit sia garantito nella maggior parte dei casi che potrebbero occasionare un trattamento sproporzionato dei dati personali, e che si tratti, in particolare, di un principio costituzionale la cui osservanza si impone a qualsiasi tipo di trattamento dei dati ad opera di soggetti pubblici o di soggetti privati che assolvono mansioni pubbliche. Il Gruppo di lavoro ritiene comunque pi soddisfacente che la normativa israeliana sancisca esplicitamente questo principio; l'intento di garantire che, in riferimento alle attivit del settore privato diverse da quelle su cui esistono gi decisioni giurisprudenziali in applicazione dei principi di ragionevolezza e buona fede, risulti in futuro possibile affrontare quei problemi di interpretazione che potrebbero impedire una protezione adeguata dei diritti degli interessati. In tal senso, il Gruppo di lavoro ricorda che la stessa relazione Schoffman giunta alla conclusione che il principio vada inserito nella PPA. Prescindendo dalla succitata conclusione che incide sul giudizio finale in merito al livello di protezione dei dati nello Stato di Israele, il Gruppo di lavoro ritiene pertanto opportuno che le norme introdotte nell'ambito di sviluppi legislativi futuri e, in particolare, in esecuzione della relazione Schoffman, dispongano l'espressa applicazione del principio di proporzionalit a tutti i trattamenti dei dati personali effettuati in ambito pubblico e privato. 3) Il principio della trasparenza: la persona dovrebbe ricevere informazioni riguardanti la finalit del trattamento e l'identit del responsabile del trattamento nel paese terzo, nonch qualunque altra informazione necessaria ad assicurare una procedura equa. Le sole deroghe consentite dovrebbero essere in linea con l'articolo 11, paragrafo 2 e con l'articolo 13 della direttiva. Il Gruppo di lavoro ritiene che la legislazione dello Stato di Israele sia sufficientemente conforme a questo principio. L'articolo 11 della PPA statuisce che: le richieste di informazioni finalizzate alla conservazione e all'utilizzo dei dati in una banca dati devono essere accompagnate da una nota indicante: 1) se vi un obbligo giuridico per l'interessato di fornire le informazioni richieste o se esse sono fornite su base volontaria e consensuale; 2) a quale scopo sono richieste le informazioni; 3) a chi saranno fornite le informazioni e con quale finalit. Inoltre, in forza dell'articolo 13A, punto 1, della PPA, il proprietario di una banca dati fisicamente ubicata presso un'altra persona ("il possessore") rinvia il richiedente al possessore, indicandogli l'indirizzo, e ingiunge al possessore, per iscritto, di abilitare il richiedente a consultare i dati. Analogamente, l'articolo 13A, punto 2, stabilisce che se il richiedente si rivolge prima al possessore, questi lo informa se in possesso di informazioni sul suo conto, fornendogli inoltre il nome e l'indirizzo del proprietario della banca dati. 4) Il principio della sicurezza: il responsabile del trattamento dei dati dovrebbe adottare misure di sicurezza tecniche e organizzative commisurate ai rischi che il trattamento presenta. Chiunque operi sotto l'autorit del responsabile del trattamento, compresi gli incaricati del trattamento, procede al trattamento dei dati solo su istruzione del responsabile. Il Gruppo di lavoro ritiene che lo Stato di Israele tuteli questo principio, soprattutto alla luce delle disposizioni di cui agli articoli 16, 17, 17A e 17B della PPA. L'articolo 7 definisce la "sicurezza delle informazioni" come l'operazione di tutelare l'integrit delle informazioni, ovvero proteggerle dalla divulgazione, dall'utilizzo e dalla copia, in assenza del legittimo permesso; l'articolo 17 aggiunge che la sicurezza delle informazioni in una banca dati incombe a titolo personale al proprietario, al possessore e al gestore della banca dati. L'articolo 17B stabilisce, nello specifico, che alcuni proprietari di banche dati o gli incaricati del trattamento degli stessi devono nominare un controllore della sicurezza che vanti le competenze adeguate e che sar responsabile degli obblighi in materia di sicurezza. Inoltre, nel disciplinare l'obbligo di riservatezza in merito al trattamento dei dati, l'articolo 16 stabilisce che nessuno pu comunicare informazioni ottenute nell'esercizio della propria funzione di impiegato, gestore o possessore di una banca dati se non per assolvere alle proprie mansioni o applicare la legge o su ingiunzione di un tribunale nell'ambito di un procedimento giurisdizionale; se la richiesta presentata prima dell'avvio di un procedimento, la persona sar ascoltata dalla Magistrates' Court. L'inadempimento di tale obbligo comporta la reclusione fino ad un massimo di cinque anni. Infine, con riferimento al possessore, l'articolo 17A della PPA stabilisce quanto segue: a) il possessore di banche dati appartenenti a diversi proprietari garantisce che l'accesso a ciascuna banca sia limitato alle persone espressamente autorizzate a tale scopo tramite accordo scritto tra l'interessato e il proprietario della banca dati; b) il possessore di almeno cinque banche dati soggette a registrazione in forza dell'articolo 8 fornisce ogni anno al conservatore del registro un elenco delle banche dati in suo possesso, indicando i nomi dei proprietari delle suddette banche verificati tramite dichiarazione giurata in base alla quale, per ciascuna banca dati, le persone autorizzate all'accesso sono state individuate tramite accordo tra l'interessato e il proprietario, e il nome del controllore della sicurezza di cui all'articolo 17B. 5) I diritti di accesso, rettifica e opposizione: la persona interessata dovrebbe avere diritto di ottenere una copia di tutti i dati trattati che la riguardano, nonch il diritto di far rettificare i dati di comprovata inesattezza. In determinate situazioni, la persona interessata dovrebbe inoltre potersi opporre al trattamento di dati che la riguardano. Le sole deroghe a tali diritti dovrebbero essere in linea con l'articolo 13 della direttiva. L'articolo 13 della PPA stabilisce, alla lettera a), che chiunque ha il diritto di consultare, personalmente o tramite un rappresentante autorizzato per iscritto o un tutore, le informazioni sul proprio conto contenute in una banca dati, e aggiunge, alla lettera b), che il proprietario di una banca dati acconsente, su richiesta di una persona di cui alla lettera a) ("il richiedente") alla consultazione delle informazioni nelle lingue ebraica, araba o inglese. In merito al diritto di rettifica, il gi analizzato articolo 14, lettera a), della PPA afferma che chiunque, consultando le informazioni che lo riguardano, ne constata il carattere inesatto, incompleto, non chiaro e non aggiornato, pu chiedere al proprietario della banca dati o, se questi non residente, al possessore della stessa, di modificare o cancellare le suddette informazioni. L'inadempimento degli obblighi gravanti sui controllori in forza dei suddetti articoli costituisce un reato ai sensi dell'articolo 31A e d diritto all'interessato di chiedere il risarcimento del danno ai sensi dell'articolo 31B. Questi articoli saranno oggetto di un'analisi pi approfondita in appresso. Quanto al diritto di opposizione, esso espressamente sancito dall'articolo 17F della PPA per quanto riguarda le attivit di marketing diretto, come si vedr oltre. Detto ci, il Gruppo di lavoro conferma che la normativa israeliana non sancisce il suddetto diritto tramite una clausola generale. Il Gruppo prende tuttavia nota che la PPA limita lo scopo della raccolta dei dati (articolo 8, lettera b), e articolo 2, punto 9) e prescrive che l'interessato ne sia preventivamente informato (articolo 11). Il Gruppo ritiene pertanto riconosciuta la possibilit per l'interessato di opporsi al trattamento dei dati che lo riguardano nei casi in cui il trattamento travalica lo scopo della raccolta o se l'interessato non ne stato debitamente informato. In tal caso, il trattamento eccessivo ritenuto una violazione della privacy ai sensi dell'articolo 2, punto 9, della PPA, un reato ai sensi dell'articolo 31A, lettera a), punto 1, e un inadempimento dell'obbligo di notifica, considerato un reato ai sensi dell'articolo 31A, lettera a), punto 3. L'articolo 15 della PPA stabilisce inoltre che chi richiede informazioni pu, nelle forme e nei modi previsti dai regolamenti, proporre ricorso davanti alla Magistrates' Court contro il rifiuto opposto dal proprietario di una banca dati di consentire la consultazione dei dati di cui all'articolo 13 o all'articolo 13A e contro la notifica del rifiuto di cui all'articolo 14, lettera c). Infine, il Gruppo di lavoro ritiene che le deroghe all'esercizio del diritto di accesso, e quindi del diritto di rettifica, di cui all'articolo 13, lettera c), della PPA siano in linea con quelle contemplate all'articolo 13 della direttiva nei confronti degli Stati membri. In tal senso, il Gruppo di lavoro valuta positivamente le norme giurisprudenziali relative all'esercizio dei diritti summenzionati e, in particolare, quelle contenute nella decisione della Corte suprema nella causa Fischler/Capo della polizia, dove stato riconosciuto il diritto dell'interessato di prendere conoscenza delle informazioni sul suo conto contenute negli schedari di polizia. Il Gruppo di lavoro pertanto dell'avviso che la normativa dello Stato di Israele garantisca in modo sufficiente il diritto dell'interessato di accedere ai dati, di chiederne la rettifica o di opporsi al loro trattamento, in linea con il documento WP12. 6) Restrizioni ai successivi trasferimenti di dati personali da parte del destinatario del primo trasferimento dovrebbero essere consentite soltanto quando anche il secondo destinatario (ossia il destinatario del trasferimento successivo) soggetto a norme che assicurano un livello adeguato di tutela. Le sole deroghe consentite dovrebbero essere in linea con l'articolo 26, paragrafo (1) della direttiva. Tali deroghe sono esaminate nel capitolo 5e. Per valutare il rispetto di questo principio, il Gruppo di lavoro tiene conto dei regolamenti sulla tutela della privacy (trasferimento all'estero di banche dati) adottati dal governo israeliano il 17 giugno 2001. I regolamenti vietano il trasferimento di dati verso paesi terzi, a meno che i paesi interessati non garantiscano un livello di protezione dei dati almeno uguale a quello garantito dalla normativa israeliana. I regolamenti fanno specificatamente riferimento a diversi principi basilari, quali la raccolta e il trattamento leciti ed illeciti dei dati, la finalit limitata, la qualit dei dati (esattezza e aggiornamento), il rispetto del diritto di accesso (e, di conseguenza, di rettifica, secondo la normativa israeliana) e la sicurezza dei dati. Il punto 8 del regolamento n. 2, specifica i paesi per i quali l'adeguatezza giuridicamente presunta; tra questi figurano gli Stati membri dell'UE, i paesi firmatari della convenzione n. 108 del Consiglio d'Europa e quelli per i quali il conservatore del registro ha annunciato la sigla di un accordo con l'agenzia della privacy. I punti da 1 a 7 del regolamento n. 2 specificano le deroghe a queste regole generali: se l'interessato dei dati consenziente; se non possibile ottenerne il consenso ma il trasferimento dei dati fondamentale per la salute dell'interessato; se i dati sono trasferiti verso una societ [straniera] appartenente al proprietario della banca dati [locale] che ne garantisce la protezione; se il destinatario dei dati ha sottoscritto l'obbligo di garantire la protezione dei dati come se questi fossero conservati in Israele; se i dati sono disponibili al pubblico in forza di un'autorizzazione di legge; se il trasferimento fondamentale per garantire l'ordine pubblico o la pubblica sicurezza; se il trasferimento dei dati richiesto dal diritto israeliano. Il regolamento n. 3 sancisce il principio della responsabilit stabilendo che chi trasferisce i dati deve ottenere dal destinatario dei dati la garanzia che questi adotter i provvedimenti sufficienti a garantire la sicurezza dei dati e che i dati non saranno successivamente trasferiti. Il Gruppo di lavoro ritiene inoltre che le norme adottate siano in linea con il principio che restringe i successivi trasferimenti dei dati verso paesi terzi e che le garanzie fornite dalla normativa israeliana su questo punto siano tali da assicurare un rispetto adeguato dei diritti dei cittadini dell'Unione europea i cui dati sono soggetti a trattamento in Israele. Il Gruppo di lavoro tiene tuttavia a ricordare i criteri per l'interpretazione delle deroghe di cui all'articolo 26, paragrafo 1, della direttiva illustrati nel Documento di lavoro su un'interpretazione comune dell'articolo 26, paragrafo 1 della direttiva 95/46/CE del 24 ottobre 1995 (documento WP114) ed esorta le autorit israeliane ad interpretare le summenzionate deroghe di cui al regolamento n. 2 in conformit con i criteri illustrati nel detto documento e nella direttiva stessa. b) Principi supplementari Il documento WP12 enuncia alcuni principi che devono essere sanciti nel caso di sistemi di trattamento particolari quali: 1) Dati sensibili: se il trattamento riguarda categorie di dati 'sensibili' (quelle elencate all'articolo 8 della direttiva), si dovrebbero porre in essere misure di salvaguardia supplementari, come ad esempio l'obbligo del consenso esplicito al trattamento da parte della persona interessata. L'articolo 7 della PPA definisce i "dati sensibili" quali: 1) i dati riguardanti la personalit, le questioni intime, lo stato di salute, la posizione economica, le opinioni e il credo dell'interessato; 2) le informazioni che il ministro della Giustizia ha specificato con ordinanza, con l'approvazione della Commissione "costituzione, diritto e giustizia" della Knesset. Il Gruppo di lavoro ritiene che, per quanto non pienamente coincidente, questa elencazione possa considerarsi simile a quella contenuta nell'articolo 8 della direttiva. In particolare, le informazioni cui la PPA fa riferimento con "opinioni e credo" coprono, a quanto si intende, la maggior parte dei dati di cui all'articolo 8. Il Gruppo di lavoro esorta peraltro le autorit israeliane a considerare informazioni sensibili, non da ultimo perch rientrano nella categoria "questioni intime", quelle afferenti ai dati enumerati all'articolo 8 della direttiva che non rientrerebbero nelle altre categorie contemplate dalla PPA, in particolare, i dati relativi all'origine etnica e alla vita sessuale. Il Gruppo di lavoro conferma inoltre che, in termini generali, la raccolta dei dati richiede sempre il previo consenso dell'interessato, consenso che, secondo l'articolo 3 della PPA, pu essere esplicito o implicito. Questa alternativa non del tutto rispondente ai requisiti di cui all'articolo 8 della direttiva, che vuole che il consenso sia esplicito. Questa lacuna eventuale risulta tuttavia compensata dal succitato articolo 3 che stabilisce che il consenso deve essere, in ogni caso, informato. Il Gruppo di lavoro pertanto del parere che, se l'interessato stato chiaramente informato su quanto illustrato in riferimento al principio della trasparenza, il trattamento dei dati pu avvenire solo su iniziativa dell'interessato e non come risultato dell'espressione diretta del consenso. Per questo motivo, il Gruppo di lavoro ritiene che, anche quando il trattamento dei dati consegue dal consenso implicito dell'interessato, il controllore deve aver agito comunicando all'interessato le conseguenze del consenso che questi esprimer. Il Gruppo di lavoro ritiene pertanto che, sebbene non contempli una norma simile a quella prevista dalla direttiva, la normativa israeliana rispetti in modo adeguato il principio in questione. 2) Commercializzazione diretta: se il trasferimento dei dati avviene per finalit di commercializzazione diretta, la persona interessata dovrebbe essere in grado di decidere in qualsiasi momento l'esclusione dei dati che la riguardano da un simile impiego. Il Gruppo di lavoro conferma con soddisfazione che questo principio chiaramente disciplinato dalla normativa israeliana; la PPA, capo 2, parte 2, definisce infatti il "mailing diretto" come l'operazione di contattare individualmente una persona, sulla base della sua appartenenza ad un gruppo di individui aventi una o pi caratteristiche tipiche, i cui nominativi sono contenuti in una banca dati. La normativa israeliana contempla obblighi specifici per il trattamento dei suddetti dati. I controllori sono tenuti, in particolare, a registrare il file presso l'autorit di controllo e ad aggiornare il registro delle fonti da cui hanno ottenuto i dati. Sono inoltre previsti requisiti specifici che devono essere rispettati in tutte le comunicazioni agli interessati. Con riguardo al principio stesso, il Gruppo di lavoro ritiene che esso tutelato dal disposto di cui all'articolo 17F, lettere da b) a e), della PPA, secondo cui: b) chiunque ha il diritto di chiedere per iscritto al proprietario della banca dati utilizzata per il mailing diretto che le informazioni sul suo conto siano cancellate dalla banca; c) chiunque ha il diritto di chiedere per iscritto al proprietario della banca dati utilizzata per i servizi di mailing diretto o al proprietario della banca dati contenente le informazioni all'origine del contatto, che le informazioni che lo riguardano non siano fornite ad una persona, ad una categoria di persone o a persone specifiche, per un certo periodo di tempo o in modo definitivo; d) il proprietario di una banca dati che abbia ricevuto dall'interessato una richiesta ai sensi delle lettere b) o c) deve agire conformemente alla richiesta notificando per iscritto all'interessato di aver agito in tal senso; e) se il proprietario di una banca dati omette di trasmettere la notifica di cui alla lettera d) entro 30 giorni dalla data di ricevimento della richiesta, l'interessato pu adire la Magistrates' Court, nei modi previsti dai regolamenti, per far s che il proprietario della banca dati agisca in conformit alla legge. 3) Decisioni individuali automatizzate: se la finalit del trasferimento consiste nell'adozione di una decisione automatizzata ai sensi dell'articolo 15 della direttiva, la persona dovrebbe avere il diritto di conoscere la logica a cui tale decisione risponde e dovrebbero essere adottati altri provvedimenti per garantire la salvaguardia del suo interesse legittimo. Il Gruppo di lavoro conferma che la normativa israeliana non contempla espressamente disposizioni riguardanti questo principio. Il Gruppo ha tuttavia ritenuto soddisfacenti i commenti riportati nella relazione del CRID e le delucidazioni fornite dalle autorit israeliane secondo cui il diritto israeliano consente in ogni caso all'interessato di opporsi all'adozione di questo tipo di decisioni. Seppur constatando che il suddetto principio risulta attualmente tutelato, il Gruppo di lavoro esorta tuttavia le autorit israeliane a prevederne l'esplicita tutela in termini simili a quelli previsti dall'articolo 15 della direttiva nell'ambito dei provvedimenti regolamentari che verranno adottati in questo ambito. 3.3. Meccanismi procedurali/attuativi Il parere espresso dal Gruppo di lavoro nel documento WP12 Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati indica che, per fungere da base alla valutazione dell'adeguatezza della tutela offerta, necessario individuare gli obiettivi di fondo di un sistema procedurale di tutela dei dati e da qui procedere ad esaminare i diversi meccanismi procedurali giudiziari e non giudiziari applicati nei paesi terzi. In tal senso, gli obiettivi di un sistema di tutela dei dati sono essenzialmente tre: – assicurare un buon livello di osservanza delle norme; – fornire aiuto e sostegno alla persona interessata nell'esercizio dei propri diritti; – garantire un risarcimento adeguato alla parte lesa in caso di violazione delle norme. A) Assicurare un buon livello di osservanza delle norme: in un buon sistema, tra i responsabili del trattamento dei dati si pu generalmente rilevare un elevato grado di consapevolezza dei propri obblighi e tra le persone interessate la medesima consapevolezza dei propri diritti e degli strumenti per esercitarli. Di particolare importanza, al fine di garantire il rispetto delle norme, l'esistenza di sanzioni efficaci e dissuasive, al pari, ovviamente, di sistemi di verifica diretta da parte di autorit, revisori o addetti indipendenti alla tutela dei dati. L'autorit israeliana in materia di diritto, informazione e tecnologia (ILITA) La PPA, all'articolo 7, definisce il "conservatore del registro" come la persona designata con nomina governativa, pubblicata nel Reshumot, che vanta le qualifiche previste per i giudici della Magistrates' Court, preposta alla conservazione del "registro delle banche dati", come previsto all'articolo 12. Con la decisione del governo nel 2006, la figura del conservatore stata inglobata nell'ILITA, istituita in forza della medesima decisione; il conservatore del registro delle banche dati quindi anche direttore dell'ILITA. L'ILITA comprende inoltre il registro delle autorit di certificazione e il registro dei servizi dei dati sul credito. I poteri dell'ILITA in materia di applicazione della normativa sono disciplinati dall'articolo 10 della PPA. Alla luce di quanto su illustrato, il Gruppo di lavoro consapevole che questi poteri, conferiti dalla legge al conservatore del registro, sono di fatto conferiti all'ILITA, che ha per l'appunto ripreso le funzioni del conservatore. La PPA conferisce, in particolare, all'ILITA i poteri di registrazione e di ispezione sui trattamenti, secondo i termini illustrati di seguito. Avendo preso nota delle recenti modifiche adottate dal Governo per quanto riguarda la nomina e la revoca del mandato del direttore dell'ILITA, il Gruppo di lavoro ritiene che esse garantiscano al direttore, e quindi all'ILITA stessa, un livello adeguato di indipendenza, alla luce di quanto prevede la direttiva riguardo alle autorit di controllo. Viene in particolare constatato che coloro che lavorano all'ILITA, direttore compreso, hanno un profilo di funzionari pubblici e non sono assoggettati ad alcun tipo di mandato o profilo politico. In tal senso, il Gruppo di lavoro constata che, in forza della decisione n. 4660 (HC/195) del governo dell'8 gennaio 2006, la nomina del direttore dell'ILITA, in quanto funzionario di alto rango, soggetta al previo esame di una commissione indipendente composta da cinque membri, rappresentanti delle autorit pubbliche, del mondo accademico e degli enti sottoposti al controllo; la commissione a definire i requisiti che la persona designata deve soddisfare e a proporre quindi la nomina del candidato prescelto. Il Gruppo di lavoro prende inoltre atto con soddisfazione che, in forza della decisione n. 4470 del governo dell'8 febbraio 2009, il mandato del direttore dell'ILITA stato fissato a sei anni. Il mandato del direttore dell'ILITA pu essere revocato, in circostanze eccezionali, solo da una commissione speciale della funzione pubblica presieduta da un ex giudice. Questo meccanismo simile a quello previsto in Israele ad esempio per il commissario dell'antitrust, per il regolatore dei mercati dei capitali e delle assicurazioni o per il revisore generale del ministero delle Finanze. Inoltre, qualsiasi decisione di revoca del mandato del direttore dell'ILITA, ricorribile in via giurisdizionale, deve essere fondatamente motivata. Infine, il direttore dell'ILITA tutelato dalla normativa del lavoro israeliana, dalle disposizioni della legge fondamentale in materia di libero impiego e dai principi di ragionevolezza, proporzionalit e equo procedimento. Per quanto riguarda l'indipendenza finanziaria dell'ILITA, il Gruppo di lavoro ha preso nota delle delucidazioni fornite dalle autorit nazionali secondo cui il regime finanziario dell'ILITA apparentabile, in termini generali, a quello previsto in Israele per le altre autorit di controllo; il Gruppo conferma inoltre che negli ultimi anni gli stanziamenti dell'ILITA lasciano ritenere un grado di indipendenza adeguato. Il Gruppo di lavoro ha inoltre tenuto conto del fatto che, ai sensi dell'articolo 36A, lettera b), della PPA, i proventi del canone per la registrazione delle banche dati confluiscono direttamente nelle casse dell'ILITA in qualit di autorit di controllo preposta a svolgere le mansioni attribuitele per legge. Il Gruppo di lavoro ha inoltre tenuto conto delle affermazioni delle autorit israeliane circa l'indipendenza di cui esse hanno dato prova nell'assolvimento del loro compito, anche per quanto riguarda le ispezioni presso organi pubblici quali l'Ufficio del Procuratore generale, il ministero degli Interni, il ministero dei Trasporti, il ministero della Difesa o addirittura il ministro della Giustizia, cui fa capo l'ILITA. Il Gruppo di lavoro ritiene infine che le competenze attribuite all'ILITA, tra cui quella di perseguire i reati contro la privacy, e il fatto che l'ILITA sia stata incaricata di organizzare la 32 Conferenza internazionale sulla privacy e la protezione dei dati personali, prevista ad ottobre 2010 a Gerusalemme, comprovino gli sforzi del governo israeliano intesi ad assicurare l'esistenza di un'autorit di protezione dei dati personali e a garantire una protezione adeguata di questo diritto. Alla luce di quanto sopra, il Gruppo di lavoro conclude che lo Stato di Israele abbia fin qui garantito all'autorit di controllo per la protezione dei dati l'indipendenza necessaria e i poteri adeguati in materia di applicazione della legge, in termini simili a quelli previsti dall'articolo 28 della direttiva. Misure attuative e sanzioni Quando riceve un reclamo, l'ILITA procede ad un'indagine per deciderne la fondatezza. Se il reclamo fondato, l'ILITA ha il potere di impartire al controllore della banca dati istruzioni su come conformarsi alla normativa. La PPA, all'articolo 31A, contempla un elenco di reati connessi alle violazioni. Va notato che, come gi detto, l'ILITA stata investita dell'autorit di indagare, nell'ambito dei poteri di applicazione di cui gode, su questi reati in una fase preliminare e di seguire l'azione penale presso le sedi giudiziarie. L'ILITA gode inoltre del potere di comminare sanzioni amministrative per i reati elencati all'articolo 31A ai sensi di uno degli allegati ai regolamenti sui reati amministrativi del 2004 emanati dal ministero di Giustizia in forza dell'autorit conferitagli dalla legge sui reati amministrativi del 1985. In base al sistema delle sanzioni amministrative, gli enti esecutivi preposti hanno il potere di comminare sanzioni e il sanzionato pu decidere di pagare o di chiedere un processo. Oltre alle summenzionate sanzioni, la PPA, articolo 10, lettera f), stabilisce che, se il possessore o il proprietario di una banca dati viola una qualsiasi disposizione della PPA o dei relativi regolamenti, oppure omette di rispondere ad una richiesta del conservatore del registro, quest'ultimo pu sospendere la registrazione per un periodo che riterr opportuno oppure decidere di radiare la banca dati dal registro, a condizione che il proprietario della banca abbia avuto l'opportunit di difendersi. Alla luce di quanto sopra illustrato, il Gruppo di lavoro ritiene che la normativa israeliana contempli gli elementi necessari a garantire un buon livello di osservanza delle norme in materia di protezione dei dati. 2) Fornire aiuto e sostegno alla persona interessata nell'esercizio dei propri diritti. Ogni persona deve essere in grado di far rispettare i propri diritti in modo rapido ed efficace, ad un costo non proibitivo. A tal fine occorre porre in essere qualche meccanismo istituzionale che consenta di condurre un'indagine indipendente in caso di denuncia. Il Gruppo di lavoro ritiene che questo principio sia sufficientemente garantito dalla normativa israeliana. In particolare, l'articolo 10, lettere da d) a e1), stabilisce quanto segue: d) il ministero della Giustizia, previa approvazione della Commissione "costituzione, diritto e giustizia" della Knesset, istituisce per ordinanza un'unit di controllo preposta al controllo delle banche dati, della registrazione e delle informazioni ivi contenute, le cui dimensioni sono definite in funzione delle necessit di controllo; e) il conservatore del registro presiede l'unit di controllo e nomina gli ispettori preposti ai controlli ai sensi della PPA; la nomina di ispettore conferita a persone che hanno ricevuto una formazione adeguata in materia di informatizzazione e sicurezza delle informazioni e di esercizio dei poteri previsti dalla PPA, e alla cui nomina la polizia israeliana non si oppone per motivi di pubblica sicurezza. e1) Nell'esercizio delle sue funzioni, l'ispettore pu: 1) chiedere alle persone competenti di fornirgli le informazioni e i documenti riguardanti la banca dati; 2) avere accesso ai locali in cui abbia ragionevolmente motivo di ritenere che sia gestita una banca dati, eseguire perquisizioni sul posto e sequestrare oggetti, laddove sia convinto che tutto ci sia necessario a garantire l'applicazione della PPA e a prevenire violazioni alle relative disposizioni; agli oggetti sequestrati in applicazione del presente articolo si applicano le disposizioni di cui all'ordinanza sulla procedura penale (arresto e perquisizione) [nuova versione], 5869 – 1969; il ministro della Giustizia, previa consultazione del ministro competente per l'autorit di sicurezza, decide le disposizioni relative all'accesso alle istallazioni militari o alle istallazioni di un'autorit di sicurezza ai sensi dell'articolo 19, lettera c); ai sensi del presente punto, per oggetto si intende anche il materiale informatico come definito dalla legge sui computer, 5765 – 1995; 3) in deroga alle disposizioni di cui al punto (2), un ispettore non pu introdursi in locali destinati unicamente a residenza, se non per ordine di un magistrato della Magistrates' Court. 3) Garantire un risarcimento adeguato alla parte lesa in caso di violazione delle norme. Si tratta di un elemento essenziale, che necessita di un sistema di arbitrato indipendente in grado di deliberare la corresponsione di un indennizzo e di imporre eventualmente sanzioni. Oltre alle gi analizzate sanzioni amministrative e penali l'articolo 31B della PPA stabilisce che un'azione o un'omissione in violazione delle disposizioni dei capi due o quattro o in violazione dei regolamenti in applicazione della PPA un illecito ai sensi dell'ordinanza sulla responsabilit civile. Il Gruppo di lavoro ritiene pertanto che la normativa israeliana tuteli sufficientemente il diritto all'indennizzo dell'interessato in caso di violazione dei suoi diritti o di danno patrimoniale conseguenti al trattamento illecito dei dati personali.
4. RISULTATI DELLA VALUTAZIONE In conclusione, alla luce delle precedenti considerazioni, ai sensi dell'articolo 25, paragrafo 6, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione di tali dati, il Gruppo di lavoro del parere che lo Stato di Israele garantisca un livello di protezione adeguato per quanto riguarda i trasferimenti di dati internazionali automatizzati ovvero, nel caso di trasferimenti non automatizzati, dei dati soggetti ad ulteriore trattamento automatizzato sul territorio israeliano. Al tempo stesso, in vista di futuri sviluppi legislativi, e in particolare di quelli in esecuzione della relazione Schoffman, il Gruppo di lavoro esorta le autorit israeliane ad adottate disposizioni: o sull'applicazione della normativa nazionale alle banche dati manuali, affinch la valutazione sull'adeguatezza includa quei casi che non sono coperti dal presente parere; o che prevedano l'applicazione esplicita del principio di proporzionalit a tutti i trattamenti dei dati personali effettuati dal settore privato; o basate su un'interpretazione delle deroghe contemplate all'articolo 26, paragrafo 1, della direttiva 95/46/CE per quanto riguarda i trasferimenti internazionali di dati online. Il Gruppo di lavoro dichiara infine che seguir da vicino i provvedimenti adottati in riferimento alle questioni esaminate nel presente parere, nel quadro che verr stabilito dalla decisione finale della Commissione. Fatto a Bruxelles, il 1 dicembre 2009 Per il gruppo di lavoro Il Presidente Alex TRK |