|
GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29
Il Gruppo di lavoro stato istituito in virt dellarticolo 29
della direttiva 95/46/CE. lorgano consultivo indipendente dellUE per la
protezione dei dati personali e della vita privata. I suoi compiti sono fissati
allarticolo 30 della direttiva 95/46/CE e allarticolo 15 della direttiva
2002/58/CE. Le funzioni di segreteria sono espletate dalla direzione C
(Diritti fondamentali e cittadinanza dell'Unione) della Commissione europea,
direzione generale Giustizia, B -1049 Bruxelles, Belgio, ufficio LX-46 01/190. Sito Internet: http://ec.europa.eu/justice/policies/privacy/index_en.htm 0475/10/IT
Parere 6/2010 - WP 177 sul livello di protezione dei dati personali nella Repubblica orientale dellUruguay adottato il 12 ottobre 2010
Il Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione di tali dati, in particolare larticolo 29 e larticolo 30, paragrafo 1, lettera b), visto il proprio regolamento interno, in particolare gli articoli 12 e 14, HA ADOTTATO IL SEGUENTE PARERE:
1. INTRODUZIONE Il 20 ottobre 2008 la Missione della Repubblica orientale dellUruguay (in prosieguo Uruguay) presso lUnione europea ha trasmesso mediante lettera alla Commissione europea la richiesta ufficiale del Governo uruguayano di avviare la procedura per dichiarare che lUruguay garantisce un livello di protezione adeguato in relazione ai trasferimenti di dati personali dallUE e dal SEE, ai sensi dellarticolo 25, paragrafo 6, della direttiva 95/46/CE relativa alla protezione dei dati personali (in prosieguo direttiva). Al fine di stabilire se lUruguay offre un livello di protezione adeguato, la Commissione ha chiesto al Centre de Recherches Informatique et Droit (CRID) delluniversit di Namur di redigere una relazione al riguardo. Tale documento circostanziato analizza il grado in cui il sistema giuridico uruguayano ottempera alle condizioni di diritto sostanziale, nonch lattuazione dei meccanismi volti ad applicare la normativa sulla protezione dei dati personali definiti nel documento di lavoro Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati, approvato il 24 luglio 1998 dal Gruppo di lavoro istituito in conformit dellarticolo 29 della direttiva (documento WP12). Le autorit uruguayane, attraverso lUnit per la regolamentazione e il controllo dei dati personali (URCDP), hanno formulato osservazioni in risposta alle questioni emerse in tale relazione, con il consenso del Consiglio esecutivo dellURCDP dell11 febbraio 2010. La relazione, congiuntamente alle osservazioni delle autorit uruguayane, stata valutata da un sottogruppo istituito appositamente in seno al Gruppo di lavoro Articolo 29, che ha sottoposto allapprovazione del Gruppo di lavoro linvio di una lettera del Presidente alle autorit uruguayane con la quale, dopo una valutazione positiva del regime di protezione dei dati in Uruguay (costituito sostanzialmente dalla legge n. 18 331, dell11 agosto 2008, concernente la protezione dei dati personali e lazione di habeas data, di seguito LPDP, e dal relativo decreto di attuazione del 31 agosto 2009, di seguito DPDP), sono state notificate a dette autorit le questioni che richiedevano ulteriori chiarimenti. Le autorit uruguayane, mediante lURCDP, hanno trasmesso al Gruppo di lavoro Articolo 29 una relazione dettagliata, approvata dal Consiglio esecutivo il 23 giugno 2010, in cui si fornivano le risposte alle questioni sollevate in tale lettera. Hanno altres prodotto una serie di documenti sulla situazione relativa alla protezione dei dati nel paese, fra cui la relazione annuale di questo organo per il 2009 e la relazione sullattivit fino al 31 maggio 2010, varie risoluzioni approvate dal suo Consiglio esecutivo e importanti decisioni giuridiche sul tema della protezione dei dati personali. Questa relazione stata ridistribuita nel settembre 2010 ai membri del sottogruppo, che lhanno analizzata prestando particolare attenzione alle questioni sollevate nella lettera inviata dal Gruppo di lavoro alle autorit uruguayane. Dopo aver analizzato le suddette informazioni, il sottogruppo reputa possibile sottoporre il presente documento al Gruppo di lavoro senza ulteriore indugio.
2. LA LEGISLAZIONE SULLA PROTEZIONE DEI DATI IN URUGUAY La Costituzione politica della Repubblica orientale dellUruguay, approvata nel 1967, non riconosce espressamente il diritto alla vita privata e alla protezione dei dati personali. Tuttavia, il testo della legge suprema non disciplina specificamente questa materia, disponendo invece allarticolo 72 che [i] diritti, gli obblighi e le garanzie elencati nella Costituzione non ne escludono altri che sono propri della persona umana o che discendono dalla forma di governo repubblicana. Inoltre, larticolo 332 della Costituzione stabilisce che [l]applicazione delle disposizioni della presente Costituzione che sanciscono i diritti della persona o che conferiscono diritti e impongono obblighi alle autorit pubbliche non preclusa dalla mancanza di leggi pertinenti, essendo tale lacuna colmata mediante il ricorso all'analogia, ai principi del diritto e alla dottrina generalmente ammessa. Il Gruppo di lavoro conferma pertanto che queste due formulazioni aperte riconoscono l'esistenza di diritti fondamentali della persona non espressamente contemplati dalla Costituzione uruguayana. Questa conclusione avvalorata dal fatto che larticolo 1 della legge 18 331 concernente la protezione dei dati personali e lazione di habeas data (di seguito, LPDP), afferma con assoluta chiarezza: Il diritto alla protezione dei dati personali connaturato allessere umano e in quanto tale ricade nellarticolo 72 della Costituzione della Repubblica. In virt di quanto precede, il diritto fondamentale alla protezione dei dati personali, riconosciuto in quanto tale dallordinamento giuridico uruguayano, disciplinato dallLPDP, promulgata l11 agosto 2008 in sostituzione della precedente Legge relativa alla protezione dei dati personali da utilizzare nelle relazioni commerciali e allazione di habeas data del 2004. L'LPDP disciplina ora a pieno titolo questa materia in tutti i settori di attivit. Larticolo 3 stabilisce infatti il principio generale secondo cui [l]e disposizioni della presente legge si applicano ai dati personali registrati su qualsiasi supporto che ne consenta il trattamento e a qualsiasi tipo di impiego successivo cui possano essere sottoposti dal settore pubblico o privato. Successivamente, il 31 agosto 2009 il Governo della Repubblica ha approvato il decreto di attuazione dell'LPDP (di seguito DPDP), nel cui preambolo si dichiara che ҏ opportuno conformare lordinamento giuridico nazionale in tale materia al regime giuridico paragonabile maggiormente accettato, essenzialmente quello istituito nei paesi europei mediante la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione di tali dati. Tale decreto introduce alcuni chiarimenti e sviluppi normativi in merito a una serie di disposizioni dellLPDP. Il Gruppo di lavoro reputa necessario fare riferimento soprattutto a quelli concernenti l'ambito di applicazione territoriale dellLPDP, la sicurezza, lesercizio del diritto di accesso, aggiornamento, integrazione e cancellazione dei dati nonch la regolamentazione dettagliata sullorganizzazione, sui poteri e sul funzionamento dellorgano di controllo, denominato "Unit per la regolamentazione e il controllo dei dati personali" (URCDP). Infine, il Gruppo di lavoro desidera segnalare che la documentazione inviata dalle autorit uruguayane in risposta alla lettera a queste trasmessa comprende la risoluzione del Consiglio esecutivo dellURCDP con cui tale organo stabilisce di adoperarsi per assicurare che il ministero delle Relazioni estere avvii le necessarie procedure presso il Consiglio dEuropa per gli scopi di cui alla presente risoluzione, ai sensi dellarticolo 23 della Convenzione n. 108 del Consiglio dEuropa (Convenzione di Strasburgo) e del relativo Protocollo aggiuntivo del 28 gennaio 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale.
3. VALUTAZIONE DEL LIVELLO DI ADEGUATEZZA DELLA PROTEZIONE DEI DATI PERSONALI OFFERTO DALLA LEGISLAZIONE SULLA PROTEZIONE DEI DATI IN URUGUAY Il Gruppo di lavoro precisa che la sua valutazione sulladeguatezza della legislazione vigente in Uruguay in merito alla protezione dei dati personali verte essenzialmente sulla legge n. 18 331, dell'11 agosto 2008, concernente la protezione dei dati personali e lazione di habeas data (LPDP), e sul relativo decreto di attuazione del 31 agosto (DPDP). Le disposizioni della LPDP sono state confrontate con le principali disposizioni della direttiva, tenendo conto della relazione WP12 del Gruppo di lavoro. Detta relazione elenca una serie di principi che costituiscono un nucleo di principi di contenuto e di prescrizioni di procedura/applicazione, la cui osservanza potrebbe essere considerata una condizione minima di adeguatezza della tutela. 3.1 Campo di applicazione della legislazione Da un punto di vista oggettivo, come gi indicato, larticolo 3 dellLPDP, ripreso dallarticolo 2 del DPDP, sancisce il principio secondo il quale tale regime di regolamentazione sar applicato ai dati personali registrati su qualsiasi supporto che ne consenta il trattamento e a qualsiasi tipo di impiego successivo di tali dati nel settore pubblico o privato. Al contempo, larticolo 2 prevede che la normativa sulla protezione dei dati sar applicabile per estensione alle persone giuridiche, ove opportuno. Il Gruppo di lavoro accoglie con favore i chiarimenti forniti dalle autorit uruguayane in risposta ai timori espressi dallo stesso in merito al fatto che la legge non fosse applicabile alle banche dati create e disciplinate da leggi speciali. A tale riguardo, le autorit uruguayane hanno risposto che le leggi speciali in questione, di cui hanno fornito vari esempi, istituiscono sistemi di protezione dei dati pi rigorosi rispetto a quello contemplato dalla legge generale. In ogni caso, la legge generale sar sempre applicabile alle questioni non disciplinate dalla legislazione specifica, in ottemperanza al richiamato articolo 332 della Costituzione della Repubblica. Quanto al campo di applicazione territoriale della legge, il Gruppo di lavoro constata con soddisfazione che il DPDP contiene espressamente un apposito articolo il cui tenore sostanzialmente identico a quello dell'articolo 4 della direttiva e che garantisce il rispetto dei principi, in particolare la limitazione dei trasferimenti successivi. Pertanto, in virt del suddetto articolo 3, il trattamento dei dati personali soggetto allLPDP quando: - effettuato da responsabili di banche dati o da responsabili del trattamento stabiliti in Uruguay, che ivi svolgono le loro attivit, a prescindere dalla loro forma giuridica; - il responsabile della banca dati o il responsabile del trattamento non stabilito in Uruguay ma tratta i dati mediante mezzi ubicati in tale paese. L'articolo 3 prevede inoltre una deroga alla seconda regola nei casi in cui i suddetti mezzi siano utilizzati esclusivamente a fini di trasferimento, purch il responsabile della banca dati o il responsabile del trattamento nomini, presso lorgano di controllo, un rappresentante con domicilio e residenza permanente nel territorio nazionale in modo da adempiere agli obblighi di legge disciplinati e contemplati dal presente disposto. Pertanto, in relazione ai chiarimenti menzionati in precedenza, il Gruppo di lavoro ritiene che il campo di applicazione della legislazione uruguayana sulla protezione dei dati sia analogo a quello stabilito dalla direttiva. 3.2. Principi di contenuto a) Principi fondamentali 1) Il principio della finalit limitata: i dati dovrebbero essere trattati per una finalit specifica e successivamente utilizzati o trasferiti soltanto nella misura in cui non vi sia incompatibilit con la finalit del trasferimento. Le uniche deroghe a tale norma sarebbero quelle necessarie in ogni societ democratica per una delle ragioni elencate nellarticolo 13 della direttiva. Il Gruppo di lavoro osserva con soddisfazione che questo principio espressamente contemplato nellLPDP allarticolo 5, lettera c), in cui si stabilisce esplicitamente che i responsabili delle banche dati, sia pubblici che privati, nonch, in generale, coloro che hanno a che fare con i dati personali di terzi devono agire in conformit del principio della finalit limitata. Larticolo 6 della legge recita: Nessuna banca dati pu essere utilizzata in violazione dei diritti umani, n contravvenire alla legge o alla pubblica morale. Larticolo 8, peraltro, aggiunge che [i] dati sottoposti a trattamento non sono utilizzati per finalit diverse da quelle per cui sono stati raccolti o che siano con queste incompatibili. Lunica deroga a tale disposizione il principio secondo cui [l]a normativa determina i casi e le procedure in cui, a titolo eccezionale, in virt del loro valore storico, statistico o scientifico e in linea con la legislazione specifica, i dati personali possono essere conservati anche se non sono pi necessari o pertinenti. Larticolo 37 del DPDP disciplina la procedura di autorizzazione alla conservazione dei dati a fini storici, statistici o scientifici. Il Gruppo di lavoro ritiene che questa deroga sia analoga a quella prevista dallarticolo 6, paragrafo 1, lettera b), della direttiva. Parimenti, larticolo 11 dellLPDP prevede che [l]e persone fisiche o giuridiche che ottengono legalmente informazioni da una banca dati adibita al trattamento dei dati sono tenute a utilizzarle in modo da preservarne la riservatezza ed esclusivamente per le consuete operazioni che rientrano nellesercizio delle loro attivit; vietata qualunque divulgazione di tali informazioni a terzi. Pertanto, il Gruppo di lavoro ritiene che la legislazione uruguayana soddisfi questo principio. 2) Il principio della qualit e della proporzionalit: i dati dovrebbero essere esatti e, se necessario, aggiornati. Essi dovrebbero essere adeguati, pertinenti e non eccedenti rispetto alle finalit per cui sono oggetto di trasferimento o di ulteriore trattamento. Secondo il Gruppo di lavoro, questo principio sancito dallarticolo 7 dellLPDP, che definisce il cosiddetto principio della veridicit, annoverato allarticolo 5, lettera b), fra i principi guida fondamentali della legge. Ai sensi dell'articolo 7, [i] dati personali raccolti a fini di trattamento devono essere veritieri, adeguati, imparziali e non eccedenti rispetto alle finalit per cui sono stati ottenuti. La loro raccolta non pu essere effettuata in modo sleale, fraudolento, abusivo, tramite estorsione o in qualunque altro modo contrario alle disposizioni della presente legge." Inoltre, lLPDP stabilisce che [i] dati devono essere esatti e, se necessario, aggiornati, e aggiunge che [q]ualora sia dimostrato che i dati sono inesatti o falsi, il responsabile li cancella, integra o sostituisce con dati esatti, veritieri e aggiornati, non appena viene a conoscenza di tale situazione. Inoltre, i dati scaduti sono cancellati ai sensi delle disposizioni della presente legge. Infine, ai sensi dellarticolo 8 dellLPDP, [i] dati sono cancellati non appena cessano di essere necessari o pertinenti alle finalit per cui sono stati raccolti. Il Gruppo di lavoro tiene anche in considerazione le spiegazioni delle autorit uruguayane sulla presunta legittimit del trattamento di cui allarticolo 9, lettera c), dellLPDP, secondo cui [n]on richiesto il consenso preliminare qualora (...) gli elenchi di dati riguardanti persone fisiche si limitano ai seguenti elementi: nome e cognome, numero di carta didentit, cittadinanza, indirizzo e data di nascita. Nel caso di persone giuridiche, i dati corrispondenti sono costituiti da denominazione sociale, marchio, codice fiscale unico, indirizzo, numero di telefono e identit dei responsabili. A tale riguardo, le autorit uruguayane hanno chiarito che in nessun caso la legittimazione riconosciuta da tale principio pu essere ritenuta difforme dai principi di legittimazione, proporzionalit e finalit limitata. Pertanto, anche qualora non sia necessario ottenere il consenso della persona interessata, il responsabile pu trattare i dati di cui al presente articolo solo se il trattamento ricade nellambito delle finalit esplicite e lecite individuate e purch i dati citati siano adeguati, pertinenti e non eccedenti rispetto alle finalit menzionate; non sussiste altra legittimazione oltre al necessario rispetto di entrambi i principi. Alla luce di quanto esposto, il Gruppo di lavoro ritiene che il principio della proporzionalit e della qualit sia garantito anche dalla legislazione uruguayana. 3) Il principio della trasparenza: gli interessati dovrebbero essere informati circa la finalit del trattamento e lidentit del responsabile del trattamento nel paese terzo, nonch in merito a qualunque altro aspetto necessario ad assicurare un trattamento leale. Le sole deroghe consentite devono essere in linea con larticolo 11, paragrafo 2, e con l'articolo 13 della direttiva. Il Gruppo di lavoro ritiene che lobbligo di informare linteressato circa il trattamento dei dati che lo riguardano sia contemplato allarticolo 13 dellLPDP, secondo il quale al momento della raccolta dei dati l'interessato dovrebbe ricevere le seguenti informazioni in modo esplicito, accurato e privo di ambiguit: - le finalit del trattamento dei dati e gli eventuali destinatari o categorie di destinatari; - lesistenza della banca dati, elettronica o di qualsiasi altro tipo, nonch lidentit e lindirizzo del responsabile del trattamento; - la natura obbligatoria o facoltativa delle risposte al questionario trasmesso, in particolare per quanto concerne i dati sensibili; - le conseguenze della comunicazione dei dati, del rifiuto di comunicarli o della loro inesattezza; - la facolt per linteressato di esercitare il diritto di accesso, rettifica o cancellazione dei dati. Il Gruppo di lavoro conferma che quando il trattamento si basa sul consenso dellinteressato, questi dovr essere informato conformemente allarticolo 9 dellLPDP e allarticolo 5 del DPDP; questultimo articolo precisa che [q]uando richiesto il consenso dellinteressato per raccogliere e trattarne i dati, questi dovrebbe essere informato in modo tale da renderlo consapevole in maniera inequivocabile della finalit per cui i dati saranno impiegati e del tipo di attivit svolta dal responsabile della banca dati o del trattamento. In caso contrario, il consenso sar considerato nullo a tutti gli effetti. Il Gruppo di lavoro tiene parimenti conto dei chiarimenti forniti dalle autorit uruguyane per quanto concerne lobbligo di informare sempre l'interessato. Infatti, sebbene la formulazione dellarticolo 13 possa far intendere che l'obbligo di informare l'interessato si riferisca esclusivamente ai casi in cui questi fornisca i dati volontariamente e con il suo consenso, le autorit uruguayane affermano che questo obbligo assoluto, incondizionato e non dipende dal motivo che legittima il trattamento dei dati. Lobbligo di informare linteressato vale sempre, a prescindere dal fatto che i dati personali siano chiesti allinteressato o a terzi e che il trattamento sia effettuato in virt del consenso dellinteressato o di qualsiasi altra motivazione lecita. Inoltre, le autorit uruguayane precisano che qualora i dati siano stati ottenuti da terzi in seguito a una comunicazione di dati, la persona o il soggetto che li comunica deve preventivamente informare l'interessato del trasferimento e dei destinatari dello stesso, ai sensi dellarticolo 13 dellLPDP. 4) Il principio della sicurezza: il responsabile del trattamento deve adottare adeguate misure tecniche e organizzative contro i rischi che il trattamento presenta. Chiunque operi sotto lautorit del responsabile del trattamento, compreso lincaricato del trattamento, deve procedere al trattamento dei dati esclusivamente su istruzione del responsabile. Il Gruppo di lavoro evidenzia che, tra i principi di cui allarticolo 5 dellLPDP, alla lettera e) figura il principio della sicurezza. Larticolo 10 sviluppa questo principio, asserendo che [i]l responsabile del trattamento o lutente della banca dati deve adottare tutte le misure necessarie ad assicurare la sicurezza e la riservatezza dei dati personali. Dette misure sono intese a evitare che i dati siano modificati, persi, consultati o trattati senza autorizzazione, nonch a individuare la trasmissione, intenzionale o meno, di informazioni, indipendentemente dal fatto che tali rischi discendano da azioni umane o dagli strumenti tecnici impiegati; aggiunge inoltre che [] vietato registrare dati personali in banche dati che non soddisfano i requisiti tecnici di integrit e sicurezza. Inoltre, larticolo 7 del DPDP precisa che [s]ia il responsabile del trattamento sia lincaricato della banca dati o del trattamento devono proteggere i dati personali trattati, utilizzando le misure tecniche e organizzative pi adatte a garantirne lintegrit, la riservatezza e la disponibilit, laddove la natura dellincaricato del trattamento coincide con quella definita dalla direttiva. Il Gruppo di lavoro osserva altres che larticolo 8 del DPDP istituisce lobbligo di informare l'interessato in merito a ogni eventuale violazione della sicurezza, affermando che [q]uando il responsabile o l'incaricato del trattamento viene a conoscenza di violazioni della sicurezza verificatesi in qualsiasi fase del trattamento suscettibili di avere ripercussioni significative sui diritti individuali, deve informarne l'interessato. Infine, il Gruppo di lavoro, avendo analizzato la disciplina dellobbligo di riservatezza e segretezza di cui allarticolo 11 dellLPDP, ritiene che, sulla base delle indicazioni fornite, la legislazione uruguayana ottemperi al principio di sicurezza conformemente a quanto prescritto nel documento WP12. 5) I diritti di accesso, rettifica e opposizione: l'interessato dovrebbe avere il diritto di ottenere una copia di tutti i dati trattati che lo riguardano, nonch di far rettificare i dati inesatti. In determinate circostanze, l'interessato dovrebbe anche potersi opporre al trattamento dei suoi dati. Le sole deroghe a tali diritti dovrebbero essere in linea con larticolo 13 della direttiva. In relazione al diritto di accesso, larticolo 14 dellLPDP stabilisce che [l]'interessato, previa dimostrazione della propria identit mediante documento di identit o altra modalit equivalente, ha il diritto di ottenere tutte le informazioni che lo riguardano contenute in banche dati pubbliche o private. Tale diritto di accesso pu essere esercitato gratuitamente solo ogni sei mesi, salvo il caso in cui sorga nuovamente un interesse giustificato conformemente al sistema giuridico. Le informazioni [d]evono essere fornite entro cinque giorni lavorativi dalla richiesta. Allo scadere del termine senza che sia soddisfatta la richiesta, o qualora questa sia respinta per ragioni non giustificate dalla presente legge, promossa lazione di habeas data. Inoltre, [l]e informazioni comunicate devono essere chiare, non codificate e, se del caso, accompagnate da spiegazioni dei termini usati formulate in un linguaggio comprensibile all'individuo medio. Larticolo 14 stabilisce anche che [l]e informazioni devono essere complete e riguardare lintero fascicolo concernente l'interessato, anche se la richiesta fa riferimento unicamente a un aspetto dei dati personali. In nessun caso devono rivelare dati di terzi, anche se connessi allinteressato. Inoltre [l]e informazioni possono essere fornite per iscritto, su supporto elettronico, telefonicamente, tramite immagini o con altri mezzi idonei, a discrezione del titolare. Il Gruppo di lavoro tiene conto dei chiarimenti forniti dalle autorit uruguayane, secondo cui, nonostante la formulazione dellarticolo 9, lettera d), del DPDP, linteressato non tenuto a motivare la richiesta avanzata; la verifica della sua identit sufficiente. In particolare, il Gruppo di lavoro tiene conto dellaccordo stipulato dallURCDP il 18 giugno 2010 in cui si asserisce che per esercitare il diritto di accesso di cui allarticolo 14 della legge n. 18 331 concernente la protezione dei dati personali e lazione di habeas data, il responsabile della banca dati esige esclusivamente, come requisito per dare corso alla richiesta, lidentificazione del titolare dei dati. In relazione agli altri diritti delle persone fisiche, larticolo 15 dellLPDP stabilisce che [t]utte le persone fisiche o giuridiche hanno diritto di chiedere che i propri dati personali contenuti in una banca dati siano corretti, aggiornati, integrati o cancellati previa conferma di un errore, imprecisione o lacuna nelle rispettive informazioni. La legge aggiunge che [i]l responsabile della banca dati o lincaricato del trattamento deve rettificare, aggiornare, includere o cancellare dette informazioni, attuando tutte le operazioni necessarie allo scopo, entro cinque giorni lavorativi dal ricevimento della richiesta dellinteressato oppure, se del caso, riferire i motivi per cui si considera che non si debba procedere in tal senso. La legge conclude che [s]e il responsabile o lincaricato del trattamento non adempie a questo obbligo o non rispetta il termine, linteressato pu promuovere lazione di habeas data di cui alla presente legge. Il Gruppo di lavoro prende atto dei chiarimenti apportati dal DPDP, in particolare sulle definizioni di cui agli articoli 10 e 12. Ai sensi dellarticolo 10, il diritto di rettifica cos definito: Il diritto di rettifica il diritto dellinteressato di ottenere la rettifica di qualsiasi dato inesatto o incompleto. Larticolo 11 definisce il diritto di aggiornamento come segue: Il diritto di aggiornamento il diritto dellinteressato di ottenere la rettifica dei dati che risultano inesatti alla data in cui viene esercitato il diritto. Larticolo 12 definisce cos il diritto di integrazione: Il diritto di integrazione il diritto dellinteressato di ottenere linclusione dei propri dati personali in una banca dati quando riconosciuto un interesse giustificato. Inoltre, larticolo 13 fa riferimento al diritto di cancellazione nei seguenti termini: Il diritto di cancellazione il diritto dellinteressato di far cancellare i dati il cui uso da parte di terzi illegale o che si dimostrano inadeguati o eccessivi. Per quanto riguarda questa legge, il Gruppo di lavoro fa propri i punti indicati dal CRID nelle due relazioni relative alladeguatezza della protezione dei dati in Uruguay e in particolare negli addenda concernenti lattuazione del DPDP, in cui si ritiene che, attraverso la regolamentazione del diritto di cancellazione, la legge uruguayana riconosce il diritto di opposizione nei termini fissati allarticolo 14 della direttiva. Quanto alle deroghe allesercizio di questi diritti, il Gruppo di lavoro reputa che quelle giustificate dallesigenza di conservare le informazioni per motivi storici, statistici o scientifici in conformit della legge applicabile, e quelle riconducibili alla continuazione delle relazioni contrattuali tra il responsabile del trattamento e linteressato, circostanza che giustifica il trattamento dei dati, siano conformi ai principi della protezione dei dati. Inoltre, il Gruppo di lavoro rileva che le deroghe istituite dallarticolo 26 dellLPDP, che prende in considerazione gli eventuali pericoli per la difesa dello Stato o la pubblica sicurezza, la protezione dei diritti e delle libert di terzi o le necessit dettate da indagini in corso, possano essere considerate analoghe a quelle previste allarticolo 13 della direttiva. In particolare, il Gruppo di lavoro tiene conto del fatto che la legge stessa prevede allarticolo 26 che [l]'interessato cui viene parzialmente o integralmente negato lesercizio dei diritti di cui ai precedenti paragrafi pu informarne lorgano di controllo, che si pronuncer in merito alla legittimit o illegittimit del rifiuto. 6) Restrizioni ai trasferimenti successivi verso altri paesi: i trasferimenti successivi di dati personali dal paese di destinazione verso un altro paese sono ammissibili solo se anche questultimo garantisce un livello di protezione adeguato. Le sole deroghe consentite dovrebbero essere quelle contemplate dallarticolo 26, paragrafo 1, della direttiva. Il Gruppo di lavoro osserva che il diritto uruguayano definisce la nozione di trasferimento internazionale dei dati in termini analoghi a quelli usati dagli Stati membri, dal momento che essa comprende non solo i trasferimenti di dati verso un responsabile del trattamento situato in un altro Stato, ma anche i casi in cui i dati sono trasmessi a un incaricato del trattamento. Ci discende dalle definizioni di esportazione e importazione di dati di cui all'articolo 4, lettere e) e f), del DPDP. L'esportatore definito come la persona fisica o giuridica, pubblica o privata, situata nel territorio uruguayano che trasferisce i dati personali verso un altro paese, ai sensi delle disposizioni del presente decreto, mentre l'importatore come la persona fisica o giuridica, pubblica o privata, che riceve i dati da un altro paese nell'ambito di un trasferimento internazionale, indipendentemente dal fatto che sia il responsabile del trattamento, l'incaricato del trattamento oppure un terzo. Larticolo 23 dellLPDP stabilisce la seguente regola generale per i trasferimenti: Sono vietati i trasferimenti di dati personali verso paesi od organizzazioni internazionali che non garantiscono un livello di protezione adeguato secondo gli standard contemplati dal diritto internazionale o regionale. Gli ultimi due paragrafi di questo articolo precisano: Fatte salve le disposizioni di cui al primo paragrafo del presente articolo, lUnit per la regolamentazione e il controllo dei dati personali pu autorizzare un trasferimento o una serie di trasferimenti di dati personali verso un paese terzo che non garantisce un livello di protezione adeguato qualora il responsabile del trattamento offra adeguate garanzie per la protezione della vita privata e dei diritti e delle libert degli individui, nonch per lesercizio dei rispettivi diritti. Tali garanzie possono discendere da apposite clausole contrattuali. Pertanto, il Gruppo di lavoro ritiene che queste norme stabiliscano un sistema di regolamentazione dei trasferimenti internazionali di dati analogo a quello istituito dallarticolo 25, paragrafo 1, e dallarticolo 26, paragrafo 2, della direttiva. Larticolo 23 dellLPDP contiene inoltre due elenchi di deroghe allautorizzazione. Il Gruppo di lavoro riscontra che il secondo di questi elenchi coincide con le deroghe stabilite allarticolo 26, paragrafo 2, della direttiva, poich prevede che lautorizzazione non sia necessaria quando: - l'interessato ha manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto; - il trasferimento necessario per lesecuzione di un contratto tra l'interessato e il responsabile del trattamento o per lesecuzione di misure precontrattuali prese a richiesta dell'interessato; - il trasferimento necessario per lesecuzione di un contratto, concluso o da concludere nellinteresse dell'interessato, tra il responsabile del trattamento e un terzo; - il trasferimento necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per constatare, esercitare o difendere un diritto per via giudiziaria; - il trasferimento necessario per la salvaguardia dellinteresse vitale dell'interessato; - il trasferimento avviene a partire da un registro pubblico il quale, in forza di disposizioni legislative o regolamentari, sia predisposto per linformazione del pubblico e sia aperto alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo, nella misura in cui nel caso specifico siano rispettate le condizioni che la legge prevede per la consultazione. Il Gruppo di lavoro osserva inoltre che il primo elenco comprende una serie di ipotesi che non coincidono letteralmente con quelle di cui allarticolo 26, paragrafo 1, della direttiva. Le deroghe ivi previste riguardano: a) la cooperazione giudiziaria internazionale, ai sensi dello strumento internazionale interessato, indipendentemente dal fatto che si tratti di un trattato o una convenzione, conformemente alle circostanze del caso; b) lo scambio di dati medici, qualora il trattamento medico dell'interessato lo esiga per ragioni di salute o igiene pubblica; c) i bonifici o i cambi, in funzione dell'operazione in questione e in conformit della legge applicabile; d) gli accordi nel quadro di trattati internazionali di cui parte la Repubblica orientale dellUruguay; e) la cooperazione internazionale tra agenzie di intelligence per combattere la criminalit organizzata, il terrorismo e il traffico di droga. Il Gruppo di lavoro richiama lattenzione sul suo parere 4/2002 sul livello di tutela dei dati personali in Argentina, in cui aveva segnalato che le deroghe di cui alle lettere b), c) e d) potrebbero suggerire, a prima vista, lesistenza di altre deroghe oltre a quelle previste allarticolo 26, paragrafo 1, della direttiva, il che potrebbe nuocere allapplicazione di questo principio. Tuttavia, il Gruppo di lavoro accoglie favorevolmente i chiarimenti forniti dalle autorit uruguayane, secondo cui queste deroghe non possono essere interpretate nel senso che hanno un campo di applicazione pi ampio di quello previsto allarticolo 26, paragrafo 1. Pertanto, la deroga di cui alla lettera c) fa riferimento allesistenza di una relazione contrattuale tra l'interessato e lesportatore, la cui esecuzione implica necessariamente il trasferimento internazionale di dati personali. Le deroghe di cui alle lettere b) e d) vanno sempre interpretate nel senso che lesistenza di un importante interesse pubblico, la ratifica di un accordo internazionale vincolante per lUruguay oppure questioni di salute pubblica rientrano nel concetto generale di interesse pubblico sostanziale. Alla luce di queste considerazioni, il Gruppo di lavoro accetta queste spiegazioni ma raccomanda ladozione di provvedimenti intesi ad assicurare che le autorit uruguayane applichino questa interpretazione delle norme esaminate. b) Principi supplementari Il documento WP12 riporta alcuni principi da applicare a categorie particolari di trattamento, segnatamente: 1) Dati sensibili: nel caso di categorie di dati sensibili" (elencate allarticolo 8 della direttiva), si dovrebbero porre in essere misure di salvaguardia supplementari, come lobbligo del consenso esplicito al trattamento da parte dell'interessato. Il Gruppo di lavoro ritiene che la legislazione uruguayana sulla protezione dei dati rispetti questo principio. Allarticolo 4, lettera e), dellLPDP si definiscono i dati sensibili come i dati personali che rivelano lorigine razziale o etnica, le opinioni politiche, le convinzioni religiose o morali, lappartenenza sindacale, nonch informazioni relative alla salute e alla vita sessuale. In particolare, in relazione ai dati sanitari, l'articolo 4, lettera d), del DPDP chiarisce la definizione in termini analoghi a quelli stabiliti dalla Corte di giustizia dellUnione europea, asserendo che sono dati sensibili le informazioni riguardanti la salute fisica o mentale passata, presente o futura di una persona, aggiungendo che [f]ra gli altri, sono compresi i dati relativi alle condizioni di salute di una persona, quali la percentuale di disabilit o informazioni genetiche. Larticolo 18 dellLPDP stabilisce il seguente principio generale: Nessuno pu essere costretto a fornire dati sensibili. Questi possono essere trattati solo con lesplicito consenso scritto dellinteressato. Dispone inoltre: I dati sensibili possono essere raccolti e trattati per motivi di interesse generale previsti dalla legge, oppure se lorganismo richiedente legalmente autorizzato a tal fine. Possono essere trattati anche a fini statistici o scientifici purch siano dissociati dalla persona cui si riferiscono. Larticolo 19 prevede, in relazione ai dati sanitari, che [i] servizi e gli operatori sanitari del settore pubblico o privato possono raccogliere e trattare i dati personali relativi alla salute fisica o mentale dei pazienti che seguono oppure che curano o hanno curato, purch rispettino i principi di riservatezza, i regolamenti specifici e le disposizioni della presente legge; inoltre larticolo 17, in relazione alla comunicazione dei dati sanitari, stabilisce che si pu prescindere dal consenso dell'interessato solo qualora si tratti di dati personali relativi alla salute e sussista una necessit dettata da motivi di salute e igiene pubblica, emergenza o studi epidemiologici, proteggendo nel contempo lidentit dell'interessato mediante adeguati meccanismi di disassociazione. Inoltre, larticolo 18 vieta la costituzione di banche dati che archivino informazioni atte a rivelare direttamente o indirettamente dati sensibili. Sono previste deroghe per le banche dati detenute da partiti politici, sindacati, chiese, confessioni religiose, associazioni, fondazioni e altri organismi senza scopo di lucro, per finalit politiche, religiose, filosofiche o sindacali, facenti riferimento allorigine razziale o etnica, alla salute o alla vita sessuale, per quanto concerne i dati dei soci o membri, fermo restando che la comunicazione di tali dati richiede sempre il previo consenso dellinteressato. 2) Commercializzazione diretta: se il trasferimento dei dati avviene per finalit di commercializzazione diretta, l'interessato dovrebbe essere in grado di decidere in qualsiasi momento lesclusione dei dati che lo riguardano da un simile impiego. Il Gruppo di lavoro ritiene che questo principio sia contemplato allarticolo 21 dellLPDP, che riguarda i casi di raccolta di indirizzi privati, distribuzione di documenti, pubblicit, vendita o altre attivit analoghe. Tale articolo, dopo aver disposto che possono essere trattati i dati atti alla profilazione per finalit promozionali, commerciali o pubblicitarie e i dati atti a stabilire le abitudini di consumo purch figurino in documenti accessibili al pubblico, siano stati forniti dagli interessati o siano stati ottenuti con il loro consenso e dopo aver riconosciuto il libero esercizio in ogni caso del diritto di accesso, stabilisce chiaramente all'ultimo paragrafo che [l]interessato pu in qualsiasi momento chiedere che i propri dati siano congelati o cancellati dalle banche dati cui si applica il presente articolo. 3) Decisioni individuali automatizzate: se la finalit del trattamento consiste nelladozione di una decisione automatizzata ai sensi dellarticolo 15 della direttiva, linteressato dovrebbe avere il diritto di conoscere la logica a cui tale decisione risponde e dovrebbero essere adottati altri provvedimenti per tutelare i suoi interessi legittimi. Il Gruppo di lavoro conferma che questo principio riconosciuto espressamente dallarticolo 16 dellLPDP, che si basa sulla norma generale secondo cui [l]'interessato ha il diritto di non essere soggetto a decisioni aventi effetti giuridici con un impatto significativo nei suoi confronti fondate su un trattamento dei dati, automatizzato o meno, inteso a valutare determinati aspetti della sua personalit, quali, fra gli altri, il rendimento sul lavoro, il credito, laffidabilit o il comportamento. Inoltre, il terzo paragrafo di questo articolo sancisce un principio analogo a quello indicato nel documento WP12, poich stabilisce che l'interessato ha il diritto di ottenere dal responsabile del trattamento informazioni sui criteri di valutazione e sul programma di trattamento utilizzati per adottare la decisione. 3.3. Meccanismi di procedura/applicazione Nel documento WP12 del Gruppo di lavoro, intitolato Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati, si evidenzia che, per stabilire se il sistema giuridico di un paese terzo garantisca una protezione adeguata, necessario individuare gli obiettivi di fondo di un regime di protezione dei dati e su tale base valutare i diversi meccanismi giudiziari ed extragiudiziari utilizzati in altri paesi. A tale proposito, gli obiettivi di un sistema di tutela dei dati sono essenzialmente tre: – assicurare un buon livello di osservanza delle norme, – fornire aiuto e sostegno ai singoli interessati, – offrire un risarcimento adeguato alla parte lesa in caso di violazione delle norme. a) Assicurare un buon livello di osservanza delle norme: in un buon sistema tra i responsabili del trattamento si pu generalmente rilevare un elevato grado di consapevolezza dei propri obblighi e tra gli interessati la medesima consapevolezza dei propri diritti e degli strumenti per esercitarli. L'esistenza di sanzioni efficaci e deterrenti importante per garantire il rispetto delle norme, al pari, ovviamente, di sistemi di verifica diretta da parte di autorit, revisori e funzionari pubblici indipendenti addetti alla tutela dei dati. Il Gruppo di lavoro ritiene che il suddetto obiettivo sia soddisfatto da diverse disposizioni della legislazione uruguayana, in particolare da quelle esposte di seguito. LUnit per la regolamentazione e il controllo dei dati personali (URCDP) Lautorit di controllo per la protezione dei dati, istituita in virt dellarticolo 31 dellLPDP e denominata "Unit per la regolamentazione e il controllo dei dati personali" (URCDP), un organismo autonomo dellAgenzia per lo sviluppo della pubblica amministrazione elettronica e della societ della conoscenza (AGESIC) che dispone della pi ampia autonomia tecnica. NellAGESIC rientrano i seguenti organismi autonomi: la richiamata URCDP e lUnit per laccesso alle informazioni pubbliche (UAIP). Il Gruppo di lavoro prende nota delle osservazioni delle autorit uruguayane sullesistenza delle Unit di regolamentazione, organismi autonomi statali dotati di autonomia tecnica e non soggetti ad alcun tipo di mandato o istruzione nellambito dei poteri conferiti, come generalmente riconosciuto nel diritto uruguayano agli organismi di regolamentazione generale e di settore. LURCDP simile nellorganizzazione agli organismi istituiti ai fini della pianificazione delle telecomunicazioni, dellenergia o delle informazioni pubbliche. Quanto alla sua struttura, ai sensi dellarticolo 31 dellLPDP, lURCDP ҏ gestita da un consiglio costituito da tre membri: il direttore esecutivo dellAGESIC e due membri nominati dal potere esecutivo in ragione del curriculum personale, dellesperienza professionale e delle competenze in materia, che ne garantiscono lindipendenza di giudizio, lefficienza, lobiettivit e limparzialit nellespletamento delle mansioni. Il Gruppo di lavoro prende atto che il riferimento al potere esecutivo rimanda alla Presidenza della Repubblica e che questa procedura per la nomina dei membri dellorgano di controllo quella prevista dalla legge uruguayana. Il Consiglio esecutivo sar assistito da un Consiglio consultivo, costituito da cinque membri: - una persona nota per le sue azioni di promozione e difesa dei diritti umani, nominata dal potere legislativo, che non pu essere membro attivo del parlamento; - un rappresentante del potere giudiziario; - un rappresentante del ministero pubblico; - un rappresentante del mondo accademico; - un rappresentante del settore privato, scelto ai sensi della normativa vigente. Quanto allindipendenza di detta autorit, il Gruppo di lavoro ha riscontrato prove sufficienti nella legislazione uruguayana, soprattutto dopo lapprovazione del DPDP, per concludere che vale anche per lURCDP. In primo luogo, lLPDP afferma esplicitamente che i membri del Consiglio esecutivo non ricevono ordini n istruzioni su questioni tecniche, espressione che secondo i chiarimenti addotti dalle autorit uruguayane va intesa nel senso pi ampio possibile. Inoltre, ai sensi dellarticolo 29 del DPDP, [g]li atti amministrativi dellURCDP sono eseguiti in linea con i principi di imparzialit, celerit, efficienza, verit sostanziale, informalit, giusto processo, promozione del lavoro, buona fede, motivazione e semplicit, che fungono da criterio interpretativo per comporre eventuali vertenze che potrebbero insorgere nel trattamento delle questioni. Nel contempo, quanto al mandato dei membri del Consiglio esecutivo, lLPDP stabilisce una durata determinata dello stesso e limita espressamente la possibilit di rimozione dallincarico, prevedendo allarticolo 31 che [a]d eccezione del direttore esecutivo dellAGESIC, i membri rimangono in carica per quattro anni, rinnovabili. I membri cessano di esercitare le loro attivit solamente allo scadere del mandato e previa nomina dei successori, oppure quando il potere esecutivo li rimuove dallincarico per incompetenza, omissione o reato, conformemente alle garanzie del giusto processo. Il Gruppo di lavoro osserva con soddisfazione che il disposto del DPDP rafforza il ruolo dei due membri del Consiglio esecutivo diversi dal direttore esecutivo dellAGESIC, il cui ruolo stato ridimensionato, garantendo cos una maggior indipendenza dellorgano di controllo. In tal senso, larticolo 21 del DPDP stabilisce che [l]a presidenza dellURCDP assunta a rotazione annuale dai tre membri del Consiglio esecutivo, ad eccezione del direttore esecutivo dellAgenzia per lo sviluppo della pubblica amministrazione elettronica e della societ basata sulla conoscenza (AGESIC). In caso di assenza momentanea del presidente dellURCDP, la presidenza esercitata temporaneamente da un membro nominato dal potere esecutivo, escludendo quindi qualsiasi possibilit che la presidenza dellorgano sia assunta dal direttore esecutivo dellAGESIC. Questo fatto particolarmente rilevante dato che larticolo 24, lettera a), del DPDP stabilisce che le risoluzioni del Consiglio devono essere adottate a maggioranza e che [i]n caso di parit di voto, la questione riesaminata nella riunione successiva e, qualora non vi siano cambiamenti, il voto del presidente vale il doppio. Questa procedura impedisce che una decisione dellorgano di controllo possa basarsi sul disaccordo del solo direttore esecutivo dellAGESIC, il cui mandato soggetto a un regime diverso da quello degli altri membri del Consiglio esecutivo. Il Gruppo di lavoro constata altres che il presidente dellURCDP deve, tra l'altro, adottare qualunque misura ritenuta adeguata in caso di urgenza, notificarla in occasione della prima riunione utile del Consiglio esecutivo e rispettare ogni nuova risoluzione adottata. Infine, il Gruppo di lavoro riconosce che lindipendenza dellorgano di controllo stata dimostrata nella pratica. Dalle informazioni fornite dallURCDP al Gruppo di lavoro sulle attivit dell'organo nel 2009 e nel 2010 risulta infatti che la sua attivit non ha subito alcuna modifica dopo l'instaurazione del nuovo governo nel 2009. Quanto ai poteri dellautorit, il Gruppo di lavoro si compiace di confermare che questi sono identici a quelli stabiliti dallarticolo 28 della direttiva per le autorit di controllo in materia di protezione dei dati. Larticolo 34 dellLPDP prevede che lURCDP eserciti "le seguenti funzioni e poteri: - fornire assistenza e consulenza alle persone che lo richiedono per comprendere il campo di applicazione della presente legge e dei rimedi giuridici disponibili per tutelare i diritti garantiti dalla presente legge; - stabilire le norme e i regolamenti da applicare nello svolgimento delle attivit di cui alla presente legge; - condurre un censimento delle banche dati interessate dalla presente legge e tenere un registro permanente delle stesse; - controllare l'osservanza della normativa che disciplina lintegrit, la veridicit e la sicurezza dei dati da parte dei responsabili del trattamento, potendo a tal fine effettuare tutte le verifiche necessarie; - chiedere informazioni a soggetti pubblici e privati, che dovranno fornire tutte le indicazioni contestuali, la documentazione, i programmi o altri aspetti specificati in relazione al trattamento dei dati personali. In tali casi, lautorit deve garantire la sicurezza e la riservatezza delle informazioni e degli elementi forniti; - emettere pareri su richiesta delle autorit competenti, comprese le richieste relative alle sanzioni amministrative per violazione della presente legge o di qualsiasi norma o decisione che disciplina il trattamento dei dati personali previsti dalla presente legge; - fornire consulenza, se del caso, al potere esecutivo nel redigere gli atti giuridici che interessano, in tutto o in parte, la protezione dei dati personali; - informare gratuitamente tutte le persone dellesistenza di banche di dati personali, delle relative finalit e dellidentit dei responsabili del trattamento dei dati." Inoltre, lLPDP, come specificato di seguito, contiene disposizioni specifiche per quanto attiene a indagini, ispezioni e sanzioni, mentre il DPDP stabilisce norme specifiche per determinate procedure da sottoporre allURCDP e, in particolare, per la registrazione del trattamento e lautorizzazione dei trasferimenti internazionali dei dati. Il Gruppo di lavoro segnala che le informazioni trasmesse dallURCDP ai fini dell'analisi delladeguatezza della protezione dei dati esposta nel presente documento dimostrano lesercizio effettivo di questi poteri. Per tutti questi motivi, il Gruppo di lavoro conclude che lUruguay dispone di unautorit di controllo in materia di protezione dei dati dotata della necessaria indipendenza e di adeguati poteri di esecuzione, in termini analoghi a quelli previsti allarticolo 28 della direttiva. Mezzi di esecuzione e sanzioni Ai sensi dellarticolo 12 dellLPDP, [i]l responsabile del trattamento responsabile di qualunque violazione delle disposizioni di cui alla presente legge. Larticolo 34, lettera e), dispone che lURCDP ha il compito di chiedere informazioni a soggetti pubblici e privati, che dovranno fornire le indicazioni contestuali, la documentazione, i programmi o altri aspetti specificati in relazione al trattamento dei dati personali. In tali casi, lautorit deve garantire la sicurezza e la riservatezza delle informazioni e degli elementi forniti. Larticolo 35 dellLPDP prevede la possibilit di adottare misure coercitive in caso di violazione della legge. Afferma che [l]organo di controllo pu imporre le seguenti sanzioni al responsabile del trattamento o all'incaricato del trattamento in caso di violazione delle disposizioni della presente legge: a) ammonimento; b) ammenda di importo non superiore a cinquecentomila unit di indice; c) sospensione della banca dati corrispondente. A tal fine, lAGESIC ha facolt di raccomandare all'organo giurisdizionale competente la sospensione della banca dati per un periodo massimo di sei giorni lavorativi, in ragione delle violazioni o infrazioni della legge dimostrate. Le funzioni coercitive dellURCDP a tale riguardo sono contemplate anche dallarticolo 31 del DPDP, in base al quale l'organo di controllo pu: - effettuare tutte le ispezioni che il Consiglio esecutivo ritenga pertinenti, sulla base di una decisione motivata; - chiedere al tribunale competente di adottare misure adeguate qualora sussista il rischio che vadano persi elementi di prova. La richiesta di adozione di tali misure richiede una decisione motivata del Consiglio esecutivo; - comunicare tutte le azioni al responsabile del trattamento o allincaricato del trattamento, concedendo loro un periodo di dieci giorni dal giorno successivo alla notifica affinch le eseguano. Alla scadenza del termine, le azioni da eseguire sono sottoposte al Consiglio esecutivo, che dispone di un periodo di 30 giorni per prendere una decisione. La risoluzione adottata pu essere impugnata ai sensi della normativa vigente. Alla luce delle precedenti osservazioni, il Gruppo di lavoro ritiene che la legislazione uruguayana fornisca misure investigative e sanzionatorie analoghe a quelle previste allarticolo 28 della direttiva per le autorit di controllo degli Stati membri. b) Fornire aiuto e sostegno ai singoli interessati: linteressato deve avere la possibilit di far valere i propri diritti in modo rapido ed efficace, senza costi eccessivi. A tal fine deve sussistere un meccanismo istituzionale che consenta di condurre unindagine in maniera indipendente in caso di denuncia. Il Gruppo di lavoro osserva che la legislazione dellUruguay ha introdotto vari meccanismi atti a conseguire questo obiettivo. In primo luogo, larticolo 34, lettera a), dellLPDP stabilisce che [l]organo di controllo deve mettere in atto tutti i provvedimenti necessari a soddisfare gli obiettivi e le altre disposizioni della presente legge. Una di queste funzioni fornire assistenza e consulenza alle persone che lo richiedono per comprendere il campo di applicazione della presente legge e dei rimedi giuridici disponibili per tutelare i diritti garantiti dalla presente legge. Queste attivit possono portare all'apertura di un procedimento di indagine e, se del caso, un procedimento sanzionatorio. Tale procedimento pu essere avviato su iniziativa dellorgano di controllo o su richiesta di un interessato, come stabilito nel DPDP. Inoltre, allarticolo 34, lettera h), fra le funzioni dellURCDP si annovera anche quella di informare gratuitamente tutte le persone dellesistenza di banche di dati personali, delle loro finalit e dellidentit dei responsabili del trattamento dei dati, disciplinando i procedimenti di registrazione e i registri. Parallelamente a questi doveri, la legislazione uruguayana prevede ladozione di misure di sensibilizzazione sulla normativa in materia di protezione dei dati destinate agli interessati e ai soggetti obbligati a rispettare detta normativa. Questo obiettivo conseguito attraverso la divulgazione trasparente delle decisioni e dei pareri dell'URCDP. A tal fine, larticolo 25, paragrafo 1, del DPDP recita: Previa notifica, lURCDP pubblica sul suo sito Internet tutte le decisioni adottate. Tale pubblicazione effettuata applicando i criteri pertinenti fissati per assicurare la disassociazione dei dati personali. Il Gruppo di lavoro ritiene che il secondo tipo di misure di assistenza agli interessati per tutelarne i diritti sia costituito dallazione di habeas data, di cui al capitolo VII dellLPDP. Larticolo 38 della legge stabilisce infatti che linteressato pu presentare istanza di habeas data oppure ricorrere contro tutti i responsabili del trattamento pubblici o privati, nei seguenti casi: - quando linteressato intende accedere ai dati personali registrati in una banca dati o su un supporto analogo e questa richiesta respinta o non eseguita dal responsabile del trattamento alle condizioni ed entro i termini fissati per legge; - quando linteressato chiede al responsabile del trattamento o allincaricato del trattamento di rettificare, aggiornare, eliminare, integrare o cancellare i dati e il responsabile non d corso alla richiesta, oppure non giustifica in modo sufficiente la mancata esecuzione della stessa entro i termini fissati per legge. Si tratta di unazione legale trattata rapidamente e che pu essere proposta dallinteressato, dal suo rappresentante legale e, nel caso di persone decedute, dai successori universali. disciplinata da norme procedurali con le specificit previste nellLPDP. Ai sensi dellarticolo 43 dellLPDP, [l]a sentenza basata sullazione di habeas data deve: - identificare chiaramente lautorit o la persona contro la quale proposto ricorso e contro la cui azione, atto od omissione emesso lhabeas data; - determinare in modo preciso che cosa occorre fare o non fare e, se del caso, il periodo di tempo durante il quale tale decisione rimane in vigore; - indicare il termine entro cui ottemperare alla decisione, che sar fissato dal tribunale in base alle circostanze del caso e che non sar superiore a 15 giorni di calendario consecutivi e ininterrotti, a decorrere dalla data di notifica. In considerazione delle informazioni summenzionate e come gi indicato, il Gruppo di lavoro ritiene che la legislazione uruguayana offra meccanismi sufficienti per fornire assistenza e sostegno agli interessati. c) Offrire un risarcimento adeguato alla parte lesa in caso di violazione delle norme: si tratta di un elemento essenziale che deve essere incluso in un sistema che fornisca la possibilit di ottenere una decisione legale o arbitrale e, se del caso, indennizzi e sanzioni. Larticolo 12 dellLPDP stabilisce che [i]l responsabile del trattamento responsabile di qualunque violazione delle disposizioni di cui alla presente legge. Il Gruppo di lavoro osserva che, in virt delle disposizioni di questo articolo e delle norme generali del diritto civile uruguayano, in particolare il codice civile, chiunque subisca danni in seguito al trattamento dei suoi dati personali pu chiederne il risarcimento. Questultimo pu comprendere il risarcimento dei danni materiali e morali. Pertanto, il Gruppo di lavoro ritiene che questa garanzia sia adeguatamente prevista dal diritto uruguayano. 4. RISULTATI DELLA VALUTAZIONE In conclusione, alla luce di quanto precede, il Gruppo di lavoro ritiene che la Repubblica orientale dellUruguay garantisca un livello di protezione adeguato ai sensi dellarticolo 25, paragrafo 6, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione di tali dati. Il Gruppo di lavoro evidenzia altres il fatto che, come per qualsiasi decisione adottata dalla Commissione, seguir con attenzione levoluzione della protezione dei dati in Uruguay e le modalit con cui lautorit per la protezione dei dati (URCDP) applica i principi in materia previsti dal documento WP12 e dal presente parere. Fatto a Bruxelles, il 12 ottobre 2010 Per il Gruppo di lavoro, Il Presidente Jacob KOHNSTAMM |