GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29 Parere 11/2011 - WP 182 sul livello di protezione dei dati personali in NuovaZelanda adottato il 4 aprile 2011 Il Gruppo per la tutela delle personecon riguardo al trattamento dei dati personali, vista la direttiva 95/46/CE del Parlamento europeo e delConsiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche conriguardo al trattamento dei dati personali, nonché alla libera circolazione ditali dati, in particolare l'articolo 29 e l'articolo 30, paragrafo 1, letterab), visto il regolamento interno del Gruppo di lavoro, in particolaregli articoli 12 e 14, ha adottato il seguente parere 1. Introduzione e contesto Nel 2009 è stato chiesto al Gruppo di lavoro di valutarel'adeguatezza della legge neozelandese sulla protezione dei dati personali.L'incarico è stato affidato al sottogruppo pertinente in occasione dellasessione plenaria del mese di dicembre 2009. La Commissione europea ha presentato una relazionesull'adeguatezza della protezione dei dati personali in Nuova Zelanda, da essarichiesta ed elaborata dal prof. Roth, della facoltà di giurisprudenzadell'università di Otago, Dunedin, Nuova Zelanda. La relazione è stata redattacon la supervisione del Centre de Recherches Informatique et Droit (CRID)dell'Università di Namur. Nella relazione si sono analizzati il grado in cui ilsistema giuridico neozelandese ottempera alle condizioni di diritto sostanziale,nonché l'attuazione dei meccanismi volti ad applicare la normativa sullaprotezione dei dati personali definiti nel documento di lavoro "Trasferimentodi dati personali verso paesi terzi: applicazione degli articoli 25 e 26 delladirettiva europea sulla tutela dei dati", approvato dal Gruppo di lavoro il 24luglio 1998 (documento WP12). La relazione tiene conto altresì delle norme nongiuridiche, dell'applicazione nella pratica e della cultura aziendale eamministrativa generale esistenti con riferimento alla vita privata. Il sottogruppo ha analizzato la suddetta relazione e leosservazioni formulate al riguardo dall'autorità di protezione dei datineozelandese e dal ministero della Giustizia neozelandese, nonché la letteradel ministero della Giustizia sulla legge di modifica riguardante la vitaprivata (informazioni transfrontaliere) del 2010 [Privacy (Cross-borderInformation) Amendment Act]. Il sottogruppo ha inoltre chiesto al PrivacyCommissioner (autorità nazionale di controllo) neozelandese ulterioriinformazioni e chiarimenti su taluni aspetti, riportati di seguito indettaglio. Il sottogruppo ha infine valutato le informazioni ottenute, tra cuigli orientamenti del Privacy Commissioner sull'applicazione della Privacy(Cross-border Information) Amendment Act dopo la sua entrata in vigore il 7settembre 2010. Il presente parere fa ampiamente riferimento alla relazione delprof. Roth, che è stata redatta con chiarezza e strutturata in maniera utile adanalizzare la legislazione neozelandese alla luce di tutti i requisiti di cuial suddetto documento WP 12. 2. Legislazione neozelandese sullaprotezione dei dati La Nuova Zelanda non ha una costituzione scritta ed è unademocrazia parlamentare. Alcune leggi scritte hanno rilevanza costituzionale ehanno il rango di "legge superiore". Tra esse figurano la Carta dei dirittidella Nuova Zelanda del 1990 (New Zealand Bill of Rights Act 1990) e lalegge sui diritti umani del 1993 (Human Rights Act 1993). Esistono anchediversi principi e norme di common law sulla protezione dei dati, tra cui ilriconoscimento di atti illeciti contro la vita privata e la violazione delrapporto di fiducia. La principale legge neozelandese in materia di protezione dei datiè la legge sulla tutela della vita privata del 1993 (Privacy Act 1993,in prosieguo "Privacy Act"), ampiamente ispirata agli orientamentidell'OCSE del 1980 sulla protezione della vita privata e i flussitransfrontalieri di dati personali. Ai sensi dell'articolo 46 del PrivacyAct sono stati elaborati tre codici completi di buona pratica in materia ditutela della vita privata che contengono norme più rigorose e che si applicanoespressamente alle informazioni sanitarie, alle informazioni sulletelecomunicazioni e alle informazioni sulla situazione creditizia. Esistonoinoltre leggi riguardanti la libertà di informazione, i messaggi di postaelettronica indesiderati (spam), le sanzioni penali per talune violazioni dellavita privata, le condanne penali scontate, la sorveglianza, la conservazione diinformazioni sanitarie, i registri pubblici e la discriminazione. Disposizionisulla vita privata figurano altresì in altre leggi quali, per esempio, ledisposizioni sulla segretezza contenute nella legge elettorale del 1993 (ElectoralAct), che proteggono la riservatezza dell'elettore. Il Privacy Act istituisce la carica di PrivacyCommissioner quale entità indipendente. Il Privacy Commissioner hapubblicato diversi orientamenti, opuscoli e altre informazioni allo scopo diillustrare i diritti e gli obblighi di organizzazioni e persone fisiche, nonchécasi resi anonimi relativi a denunce particolari. Tale documentazione fornisceindicazioni sull'applicazione pratica dei principi di riservatezza. Anche lagiurisprudenza in materia di diritti umani ha fornito elementi di orientamentoe interpretazione su aspetti del Privacy Act. La Nuova Zelanda dispone inoltre di due leggi scritte sullalibertà di informazione contenenti disposizioni sulla vita privata: la leggesulle informazioni ufficiali (Official Information Act), che riguarda ilgoverno centrale e gli enti pubblici, e la legge sulle informazioni ufficialidella pubblica amministrazione locale e sulle riunioni del 1987 (LocalGovernment Official Information and Meetings Act), che riguarda la pubblicaamministrazione locale. Queste leggi contengono disposizioni sulla vita privatache disciplinano i casi in cui è proposta la divulgazione di informazioni dellapubblica amministrazione e il diritto di conoscere la motivazione delledecisioni della pubblica amministrazione relative alle persone fisiche. La magistratura neozelandese è indipendente e le cause cheriguardano il Privacy Act possono essere proposte dinanzi allo HumanRights Review Tribunal (tribunale del riesame per i diritti umani). La DistrictCourt è competente per le questioni di common law e di diritto penale. Ledecisioni di queste due autorità giurisdizionali possono essere impugnatedinanzi alla High Court. Al di sopra della High Court, nellagerarchia giurisdizionale, si trovano, nell'ordine, la Court of Appeal ela Supreme Court. Sono previsti rimedi di diritto civile per i casi di violazionedella vita privata, tra cui diffamazione, turbative, molestie, falsità dolosa,violazione della proprietà privata, danno intenzionale, colpa e concorrenzasleale per confusione. Inoltre, il diritto penale contempla diversi reatirelativi all'intrusione nella sfera privata della persona fisica, tra cui l'usoe la comunicazione non autorizzati di dati personali. Da ultimo, è importante osservare che la Nuova Zelanda è un paesedi piccole dimensioni di circa 4,3 milioni di abitanti, dove, come spiegatodalla relazione, la corretta gestione delle informazioni è considerata unabuona prassi commerciale. Le organizzazioni non possono permettersi diinimicarsi questo piccolo mercato e le notizie di una cattiva gestione sipropagano rapidamente. Ciò produce importanti ripercussioni nella prassicommerciale. 3. Valutazione dell'adeguatezza dellivello di protezione dei dati offerto dalla legislazione neozelandese Il Gruppo di lavoro precisa che la sua valutazionedell'adeguatezza della legislazione neozelandese sulla protezione dei dati si èconcentrata in particolare sul Privacy Act del 1993. Le disposizioni di tale legge, nonché la giurisprudenza in materiadi protezione dei dati personali, sono state confrontate con le disposizioniprincipali della direttiva, tenendo conto del parere WP 12 del Gruppo dilavoro. Tale parere enumera una serie di principi che costituiscono un "'nucleo'di principi di 'contenuto' e di prescrizioni di 'procedura/applicazione', lacui osservanza potrebbe essere considerata una condizione minima di adeguatezzadella tutela". 3.1. Campo di applicazione dellalegislazione Il Privacy Act si applica a tutte le informazionipersonali, qualunque sia la loro forma. Copre per intero i settori pubblico eprivato, fatte salve alcune particolari deroghe di interesse pubblico, come èconsueto nelle società democratiche. Il Privacy Act definisce leinformazioni personali come "le informazioni su una persona fisicaidentificabile", ove per persona fisica si intende una persona fisica vivente,e comprende le informazioni riguardanti la morte conservate negli appositiregistri. Per quanto concerne l'identificabilità, non è l'informazione diper sé che consente l'identificazione di una persona fisica. Nella causa ProceedingsCommissioner/Commissioner of Police [2000] NZAR 277, il Tribunal haritenuto che se le informazioni "consentivano di identificare [la personafisica] tra altri soggetti" si trattava di informazioni personali ai fini del PrivacyAct. Il Privacy Act si applica a tutti gli enti neozelandesi,salvo deroghe particolari. Con il termine "ente" si intende "qualsiasi personao gruppo di persone, con o senza personalità giuridica nel settore pubblico oprivato; per evitare qualsiasi ambiguità, essa comprende anche i dipartimenti".Sebbene secondo tale definizione anche le persone fisiche siano enti, sonoescluse le informazioni personali relative a questioni private ("informazionidi natura personale, familiare o domestica"). Chiunque può presentare una denuncia al Privacy Commissioner e,ai sensi del Privacy (Cross- border Information) Amendment Act, chiunquepuò chiedere l'accesso ai dati che lo riguardano a un'autorità pubblicaneozelandese. Sono previste per legge deroghe specifiche. Le principali derogheal campo di applicazione del Privacy Act sono di natura politica,costituzionale e giudiziaria. I mezzi di informazione sono esclusi dal campo diapplicazione del Privacy Act in relazione alle loro attività diinformazione (analogamente all'articolo 9 della direttiva UE). Il Gruppo di lavoro ritiene pertanto che il campo di applicazionedel Privacy Act sia comparabile a quello previsto dalla direttiva. 3.2. Principi di contenuto Il Privacy Act enuncia dodici principi di protezione dellavita privata (information privacy principles). Tali principi non possonoessere fatti valere direttamente dinanzi a un'autorità giurisdizionale, salvoil diritto di accesso alle informazioni detenute da un ente pubblico. In casodi violazione della vita privata è possibile presentare denuncia al PrivacyCommissioner. Si verifica violazione della vita privata laddove laviolazione dei principi è accompagnata da un danno o da una perdita per lapersona fisica. Con riferimento all'approccio fondato sul danno, il PrivacyCommissioner ha ribadito che questo trova una definizione ampia nella leggee abbraccia "la perdita, il pregiudizio, il danno o la lesione" fino aricomprendere le "conseguenze negative su diritti, vantaggi, privilegi eobblighi". In primis, tra le situazioni espressamente previste dal PrivacyAct figurano il danno emotivo o mentale sotto forma di "grave umiliazione,grave perdita di dignità e offesa grave". Perché sussista violazione della vitaprivata non occorre che il danno o la perdita siano connessi ai principi diaccesso dell'interessato o di rettifica. Principi fondamentali 1) Il principio della finalità limitata:idati dovrebbero essere trattati per una finalità specifica e successivamenteutilizzati o ulteriormente comunicati soltanto nella misura in cui non vi siaincompatibilità con la finalità del trasferimento. Le sole deroghe a tale normasarebbero quelle necessarie in ogni società democratica per una delle ragionielencate nell'articolo 13 della direttiva. Il Gruppo di lavoro ritiene che la Nuova Zelanda dia attuazione alsuddetto principio attraverso i principi di protezione della vita privata 1(Finalità della raccolta di informazioni personali), 10 (Limiti all'utilizzo diinformazioni personali) e 11 (Limiti alla comunicazione di informazionipersonali). Il principio 1 prevede che, quando un ente raccoglie informazionipersonali, la finalità della raccolta dev'essere lecita e connessa con unafunzione o un'attività dell'ente, e la raccolta deve essere necessaria a talefinalità. I principi 10 e 11 impongono che l'utilizzo o la comunicazione diinformazioni personali devono essere conformi alla finalità della raccolta o aun'altra finalità direttamente correlata. Il principio 10 prevede deroghe per finalità secondarie. Taleprincipio, alla lettera e), consente a un ente di utilizzare le informazioniper una finalità diversa allorché ritiene ragionevolmente "che la finalitàdell'utilizzo delle informazioni è direttamente correlata a quella per cui leinformazioni sono state ottenute". Il principio 11, lettera a), consente aun ente di comunicare informazioni a una persona, un organo o un ente allorchéritiene ragionevolmente "che la comunicazione delle informazioni è una dellefinalità per cui le informazioni sono state ottenute ovvero è direttamentecorrelata alle finalità per cui le informazioni sono state ottenute". Il motivo accessorio relativo alla "finalità direttamentecorrelata" per l'utilizzo o la comunicazione di informazioni personalicorrisponde al requisito del documento WP 12 secondo cui i dati personalidevono essere "successivamente utilizzati o ulteriormente comunicatisoltanto nella misura in cui non vi sia incompatibilità con la finalità deltrasferimento". La maggior parte delle altre deroghe contenute nel principio 10corrisponde a quelle di cui all'articolo13 della direttiva. Quelle che noncorrispondono all'articolo 13 rispecchiano le disposizioni dell'articolo 7sulle finalità legittime di trattamento. Inoltre una deroga prevede lapossibilità per il Privacy Commissioner di autorizzare il trattamento;ciò allo scopo di comprendere circostanze impreviste o non contemplate dal PrivacyAct. Ulteriori informazioni su tali autorizzazioni sono contenute nellarelazione annuale del Privacy Commissioner. Pertanto, il Gruppo di lavoro ritiene che la legislazioneneozelandese soddisfi questo principio. 2) Il principio della qualità e dellaproporzionalità: i dati dovrebbero essere precisi e, se del caso, aggiornati.Essi dovrebbero essere adeguati, pertinenti e commisurati alle finalità per cuisono oggetto di trasferimento o di ulteriore trattamento. Il Gruppo di lavoro ritiene che il principio della qualità deidati sia attuato dai principi di protezione della vita privata 7 (Rettificadelle informazioni personali), 8 (Precisione, ecc. delle informazioni personalida verificare prima del loro utilizzo) e 9 (L'ente non può conservare leinformazioni personali oltre il tempo necessario). Il principio dellaproporzionalità è attuato dal principio 1 (Finalità della raccolta diinformazioni personali). Ai sensi del principio 8, "l'ente che detiene informazionipersonali non ne fa uso senza prima adottare le eventuali misure che, a secondadelle circostanze, risultino ragionevoli per garantire che, riguardo allafinalità di utilizzo delle informazioni, queste ultime sono precise,aggiornate, complete, pertinenti e non fuorvianti". Ai sensi del principio 7, paragrafo 2, gli enti hanno l'obbligo direttificare le informazioni d'ufficio oppure su richiesta di una personafisica, in maniera da assicurare che le informazioni siano precise, aggiornate,complete e non fuorvianti. Qualora una persona fisica richieda una rettificache l'ente non intende apportare, detta persona può chiedere che sia allegatauna dichiarazione di rettifica all'informazione esistente. Il principio 9 concerne la conservazione delle informazioni. Essodispone che "l'ente che detiene informazioni personali non può conservarleoltre il periodo necessario per conseguire le finalità per le quali leinformazioni possono essere utilizzate in modo lecito". I criteri perdeterminare se le informazioni possono essere utilizzate in modo lecito siricavano dal principio 10, che limita l'uso delle informazioni personali. Il principio della proporzionalità è trattato dal principio 1,lettera a), secondo cui le informazioni raccolte devono essere "correlate auna funzione o a un'attività dell'ente". La lettera b) dello stessoprincipio prevede che la raccolta delle informazioni sia "necessaria"alla finalità della raccolta. L'interpretazione dell'espressione "noneccessivo" e il principio di necessità sono stati oggetto di pronunce del PrivacyCommissioner e dello Human Rights Review Tribunal. Pertanto, il Gruppo di lavoro ritiene che la legislazioneneozelandese soddisfi questo principio. 3) Il principio della trasparenza: Il Gruppo di lavoro ritiene che i requisiti di trasparenza sianotrattati nei principi di protezione della vita privata 2 (Fonte delleinformazioni personali), 3 (Raccolta di informazioni presso l'interessato) e 4(Modalità di raccolta delle informazioni personali). Il principio 2, paragrafo 1, prevede che "se un ente raccoglieinformazioni di carattere personale, queste devono essere raccolte direttamentepresso l'interessato". Secondo il principio 3, paragrafo 1, "laddove unente raccoglie informazioni di carattere personale direttamente pressol'interessato, esso è tenuto ad adottare le misure ragionevoli richieste dallecircostanze per garantire che l'interessato sappia che (...)" e poi seguel'elenco delle informazioni da fornire all'interessato. Detto elenco comprendee va oltre gli elementi di cui all'articolo 10 della direttiva. Il Privacy Act non contempla l'obbligo di informarel'interessato allorché le informazioni provengono da una fonte diversa dall'interessato in quanto, sebbene esistanotalune deroghe, il principio di diritto prevede che le informazioni non debbanoessere raccolte da persone diverse dall'interessato. In ogni caso,l'interessato è tutelato da tutti gli altri principi di protezione della vitaprivata. Il principi di protezione della vita privata 4 riguarda lacorrettezza, stabilendo che un ente non può raccogliere informazioni personali: (a) con mezzi illeciti; oppure (b) con mezzi che, nelle circostanze del caso specifico, -- (i) sono scorretti; o (ii) costituiscono un'intrusione eccessiva nelle questionipersonali dell'interessato. Alcune deroghe al principio della trasparenza corrispondono aquelle contenute nell'articolo 11, paragrafo2, e nell'articolo13 delladirettiva; altre, invece, non trovano in essa alcuna corrispondenza. Seguel'illustrazione di queste ultime. (v) Secondo l'ente sussistono ragionevoli motivi perritenere che vi sia un'autorizzazione dell'interessato. Il Privacy Act usa il termine "autorizzazione" invece di"consenso informato". Tuttavia, il Privacy Commissioner e il Tribunalhanno interpretato il termine "autorizzazione" nel senso di una formaattiva e deliberata di consenso. In un caso il Privacy Commissioner hadichiarato che l'"autorizzazione richiede un'azione positiva" e che la mancanzadi obiezione non costituisce autorizzazione. (vi) Secondo l'ente sussistono ragionevoli motivi perritenere che il mancato rispetto non pregiudicherebbe gli interessidell'interessato. Tale deroga deriva dall'approccio neozelandese basato sul danno.Lo spirito è simile al bilanciamento degli interessi di cui all'articolo 7,lettera f), della direttiva, sebbene in Nuova Zelanda il bilanciamento siariferito al danno o alla perdita che le azioni dell'organizzazione potrebberocausare. Per prudenza, le organizzazioni possono decidere di informarel'interessato e chiederne l'autorizzazione ad agire. Ciò si iscrive chiaramentenell'approccio neozelandese, in base al quale il Privacy Act riguardatutte le informazioni personali, tra cui le conversazioni, le dicerie e leinformazioni che nascono dalla mente di una persona. Tale quadro richiede unacerta flessibilità affinché il Privacy Act sia applicabile nellapratica. L'approccio fondato sul danno rappresenta un modo per raggiungerequesto obiettivo. Detto approccio differisce da quello europeo ma è improbabileche esso si traduca in un pregiudizio ai diritti e alle libertà delle persone.Alle informazioni personali coperte da tale deroga si applicano comunque glialtri principi di protezione della vita privata. (viii) Secondo l'ente sussistono ragionevoli motivi perritenere che l'osservanza pregiudicherebbe la finalità della raccolta. Sebbene la direttiva non contempli una deroga esattamente corrispondente,tale deroga rispecchia quelle eccezioni di cui all'articolo 13, lettere da a) af), e può essere utilizzata in relazione alle attività di controllo e disorveglianza, in particolare nei settori dell'occupazione e dell'applicazionedella legge. (xi) Autorizzazione speciale concessa dal PrivacyCommissioner. Questa deroga mira a coprire circostanze impreviste noncontemplate dal Privacy Act per le quali il trattamento dei datipersonali sia auspicabile o necessario. Il Privacy Commissioner rilasceràun'autorizzazione soltanto se sarà convinto che l'interesse pubblico "compensilargamente" ogni eventuale danno che potrebbe derivare all'interessatodalla concessione dell'autorizzazione, oppure che l'autorizzazione comporti "unevidente vantaggio per l'interessato, che compensi" ogni eventuale dannoche ne potrebbe derivare. Il Privacy Commissioner non può concederealcuna autorizzazione se l'interessato ha negato l'autorizzazione araccogliere, utilizzare o comunicare informazioni personali. Ciò significa chel'ente deve innanzi tutto ottenere il consenso dell'interessato. In caso didiniego del consenso, il Privacy Commissioner non può concedere alcunaautorizzazione. Sebbene l'approccio neozelandese sulla trasparenza differisca percerti aspetti da quello europeo, il Gruppo di lavoro ritiene che il PrivacyAct soddisfi questo principio in quanto la norma fondamentale del PrivacyAct prevede che le informazioni personali siano sempre raccoltedirettamente presso l'interessato, a cui devono essere comunicate la finalità ealtri elementi da prendere in considerazione nel momento in cui le informazionivengono raccolte. La raccolta di informazioni da altre fonti ovvero la mancatacomunicazione all'interessato al momento della raccolta medesima sono considerateuna deroga a tale norma fondamentale. 4) Il principio della sicurezza: Il Gruppo di lavoro ritiene che il principio di protezione dellavita privata 5 (Conservazione e sicurezza delle informazioni personali)riguardi gli aspetti previsti dal principio della sicurezza. Detto principio sifonda sul principio delle garanzie di sicurezza dell'OCSE e il suo tenore èsimile a quello dell'articolo 17, paragrafi 1 e 2, della direttiva, nel sensoche le misure di sicurezza devono proteggere dalla perdita, dall'accesso,dall'utilizzo, dalla modifica, dalla comunicazione e dall'uso improprio delleinformazioni personali. Qualora le informazioni vengano trasmesse a unincaricato del trattamento, gli enti sono tenuti a compiere quantoragionevolmente in loro potere per impedire l'accesso e la comunicazione nonautorizzati. Gli incaricati del trattamento che utilizzano informazioni al difuori delle istruzioni impartite dal responsabile del trattamento violanodiversi principi del Privacy Act. Come risulta dalle pronunce del PrivacyCommissioner, le informazioni di natura privata o particolarmente sensibile(quali le informazioni bancarie) devono essere protette da rigide garanzie di sicurezza.Il principio si applica sia ai responsabili del trattamento sia agli incaricatidel trattamento. Pertanto, il Gruppo di lavoro ritiene che la legislazioneneozelandese soddisfi il principio della sicurezza. 5) I diritti di accesso, rettifica e opposizione:lapersona interessata dovrebbe avere il diritto di ottenere una copia di tutti idati trattati che la riguardano, nonché il diritto di far rettificare i dati dicomprovata inesattezza. In determinate situazioni, la persona interessatadovrebbe inoltre potersi opporre al trattamento di dati che la riguardano. Lesole deroghe a tali diritti dovrebbero essere in linea con l'articolo 13 delladirettiva. Il Gruppo di lavoro ritiene che il Privacy Act contemplidiritti di accesso e di rettifica nei principi di protezione della vita privata6 (Accesso alle informazioni personali) e 7 (Rettifica di informazionipersonali). In precedenza i diritti di accesso e di rettifica erano limitatiagli interessati che erano cittadini neozelandesi o che risiedevano o eranofisicamente presenti in Nuova Zelanda. Tuttavia, il Privacy (Cross-borderInformation) Amendment Act del 2010 ha modificato il Privacy Act ondepermettere a qualsiasi interessato di presentare "richieste su informazionidi carattere privato" (information privacy requests). Questecomprendono le domande per ottenere la conferma se un ente detiene o menoinformazioni personali, le domande di accesso e le domande di rettifica.Riguardo agli enti pubblici, il diritto di accesso è un diritto direttamenteapplicabile e l'interessato, anziché passare attraverso il PrivacyCommissioner, può rivolgersi direttamente al giudice per ottenernel'applicazione. La maggior parte delle deroghe al diritto di accesso è coerentecon le disposizioni dell'articolo 13 della direttiva. La deroga sulla sicurezzadello Stato e sulla difesa nazionale riguarda anche le relazioni internazionalicon altri paesi e organizzazioni internazionali, cosa che non è espressamenteprevista nella direttiva. Tuttavia, il Gruppo di lavoro non ritiene che ciòpregiudichi il livello di adeguatezza. Esistono varie deroghe che corrispondono all'articolo 13, letterag); tuttavia, questa sezione del Privacy Act contiene anche derogherelative all'amministrazione che non sono previste dalla direttiva e di cuisegue l'analisi. L'accesso può essere negato qualora "la domanda siainconsistente o vessatoria, oppure le informazioni richieste siano futili."Ciò ha lo scopo di impedire l'uso improprio del diritto di accesso ed è similealle disposizioni presenti nella legislazione europea sulla libertà diinformazione. Sono previste tre deroghe pratiche di tipo amministrativo per icasi in cui le informazioni a) "non sono facilmente rintracciabili", b)"non esistono o non sono reperibili" e c) non sono detenute pressol'ente interessato e non sussistono motivi per ritenere che si trovino pressoun altro ente o che siano più strettamente correlate con le funzioni o con leattività di un altro ente. In tale ultimo caso, l'ente è tenuto a trasferire ladomanda di accesso all'ente interessato. Riguardo ai diritti di opposizione, la normativa neozelandese nonprevede alcun diritto diretto. Tuttavia, secondo il principio di protezionedella vita privata 3 (Raccolta di informazioni presso l'interessato) l'interessatopuò opporsi al trattamento nel momento in cui gliene viene data comunicazione.Ai sensi del principio 3, paragrafo 1, lettere e) e f), all'interessatodev'essere comunicato quanto segue: (e) se la raccolta di informazioni è autorizzata ovveronecessaria o prevista dalla legge,— (i) la legge speciale secondo cui laraccolta delle informazioni è autorizzata o prevista; e (ii) se lacomunicazione delle informazioni da parte dell'interessato è spontanea odobbligatoria; e (f) eventuali conseguenze per l'interessato qualora tutte oparte delle informazioni richieste non vengano fornite. Sono stati segnalati due casi in cui il Privacy Commissioner siè occupato di denunce di interessati cui era stata negata la possibilità diesercitare il diritto di opposizione. In un caso relativo a normative nazionalisulla pesca, l'ente ha poi modificato la propria posizione così cheall'interessato sono state poste soltanto le domande pertinenti. Nell'altrocaso, relativo ai requisiti di ammissione a un club, lo statuto di quest'ultimochiariva quali fossero le informazioni raccolte, la relativa finalità e idestinatari; il principio era quindi rispettato. Il documento WP 12 afferma che gli interessati dovrebbero vantareil diritto di opposizione soltanto in talune situazioni e che tale diritto èprevisto per i dati UE all'interno dell'UE prima del trasferimento in NuovaZelanda. Pertanto, il Gruppo di lavoro ritiene che la legislazione neozelandesesoddisfi questo principio relativo ai diritti di accesso, rettifica e opposizione. 6) Restrizioni ai successivitrasferimenti ad altri paesi: i trasferimenti successivi di dati personali dal paese didestinazione verso un altro paese sono ammissibili solo se anche quest'ultimogarantisce un adeguato livello di protezione. Le sole deroghe consentitedovrebbero essere in linea con l'articolo 26, paragrafo 1, della direttiva. Poiché la legislazione neozelandese si basa sugli orientamentiOCSE, non esistono disposizioni specifiche su protezioni e garanzie in caso ditrasferimento di dati personali verso paesi terzi. L'articolo 10 del PrivacyAct si applica quando enti neozelandesi detengono informazioni in un paeseterzo e ciò impedisce che gli enti eludano i principi del Privacy Act trasferendosifuori dalla Nuova Zelanda. Tale disposizione riguarda altresì le informazionidetenute in un paese terzo da un incaricato del trattamento che agisce perconto di un ente neozelandese. Il principio di protezione della vita privata 11limita le comunicazioni, anche con riferimento agli enti situati in paesiterzi. Le deroghe a questa disposizione sono ampiamente coerenti con le deroghedi cui all'articolo 26 della direttiva. Anche quando le informazioni si trovanoin un paese terzo, gli enti neozelandesi rispondono sempre di qualsiasi danno operdita derivante dall'utilizzo o dalla comunicazione di tali informazioni nelpaese terzo; è pertanto nel loro interesse ridurre al minimo il rischio eaccertarsi che in loco siano presenti garanzie adeguate. Il Privacy (Cross-Border Information) Amendment Act del2010 ha introdotto disposizioni in ordine alla presentazione di denuncetransfrontaliere all'autorità competente e per conferire al PrivacyCommissioner il potere di vietare, in situazioni eccezionali, iltrasferimento successivo di informazioni personali ricevute dall'estero. Il PrivacyCommissioner ha formulato linee guida che definiscono le modalità diapplicazione della disposizione e il modo in cui i suoi servizi intendonoesercitare i nuovi poteri. Il Privacy Commissioner può emettere unprovvedimento di divieto di trasferimento la cui violazione sarà perseguibilepenalmente e passibile di una multa di 10 000 NZD. Ai fini della notifica di un provvedimento di divieto, il PrivacyCommissioner deve accertarsi che: € le informazioni personali siano state ricevute da un altro Stato esaranno trasferite a uno Stato terzo in cui non saranno soggette a una leggeche contempla garanzie analoghe a quelle di cui al Privacy Act; € i trasferimenti probabilmente violerebbero i principi fondamentaliapplicabili a livello nazionale definiti negli orientamenti dell'OCSE. Il Privacy Commissioner, prima di esercitare il poterediscrezionale di vietare un trasferimento, è tenuto a considerare: € gli elementi di cui all'articolo 114 (riguardanti i diritti umanie altri interessi sociali in contrasto con la vita privata, gli obblighiinternazionali della Nuova Zelanda, i principi di protezione della vita privatae i principi di protezione della vita privata applicabili ai registripubblici); € se il trasferimento proposto arreca o può arrecare pregiudizio apersone fisiche; € l'utilità di agevolare il libero flusso di informazioni tra laNuova Zelanda e altri Stati; e € qualsiasi orientamento internazionale esistente o in corso dielaborazione relativo ai flussi di dati transfrontalieri (tra cui gliorientamenti OCSE e la direttiva UE). Riguardo all'efficace applicazione su scala internazionale, ledisposizioni e gli orientamenti del Privacy Commissioner comportano che,qualora le autorità europee di protezione dei dati segnalino al PrivacyCommissioner un trasferimento, questi tratterà il caso con priorità e, senecessario, emetterà un provvedimento di divieto. Il Privacy Commissionerdispone altresì di poteri di indagine per individuare eventuali accordi ditrasferimento che potrebbero autorizzare l'esercizio dei poteri di divieto ditrasferimento di dati. Il Gruppo di lavoro nutre alcune preoccupazioni circa l'efficaciadelle disposizioni nella pratica, in quanto non sono chiare le modalità in cuiil Privacy Commissioner verrebbe a conoscenza dei trasferimenti fuoridalla Nuova Zelanda, se non per il tramite delle autorità preposte allaprotezione dei dati. Tuttavia, le modifiche legislative e gli orientamenti del PrivacyCommissioner hanno avuto per effetto di sensibilizzare le imprese sullanecessità di garantire l'"adeguatezza" dei trasferimenti successivi, pena ildivieto del trasferimento medesimo. In realtà, visti l'isolamento geograficodella Nuova Zelanda rispetto all'Europa, le dimensioni del territorio e la naturadell'economia di questo Stato, è improbabile che gli enti neozelandesi abbianointeressi economici legati al trasferimento di importanti volumi di dati diorigine UE a paesi terzi. Sebbene il Gruppo di lavoro sia del parere che la leggeneozelandese non soddisfi pienamente il principio del trasferimento successivo,non ritiene che questo aspetto costituisca una lacuna grave o pregiudichi unrisultato di "adeguatezza". Ulteriori principi Il documento WP12 riporta alcuni principi da applicare in casi specificidi trattamento, in particolare: A differenza della direttiva, il Privacy Act non distinguetra dati sensibili e dati non sensibili. Considera tutti i dati comepotenzialmente sensibili e dunque soggetti alle stesse norme di protezione. Lecategorie di dati di cui all'articolo 8 della direttiva rientrano nelledisposizioni contenute nello Human Rights Act del 1993. Poiché lalegislazione neozelandese sulla protezione dei dati è anteriore alla direttivadell'UE, essa ha seguito l'approccio delineato negli orientamenti dell'OCSE. Nederiva, in particolare, un approccio basato sulle finalità, in quanto lefinalità della raccolta delle informazioni determineranno le circostanze delloro utilizzo e della loro comunicazione, secondo i principi di protezionedella vita privata 10 e 11. Inoltre, la parte 11 e l'allegato 5 del PrivacyAct disciplinano in maniera precisa l'accesso degli enti pubblici alleinformazioni sull'applicazione della legge. La Nuova Zelanda ha inoltre seguito gli orientamenti OCSEidentificando talune categorie di informazioni che richiedono un'attenzioneparticolare. A tal fine sono stati adottati specifici codici di buona praticaobbligatori. Le informazioni sanitarie sono soggette al codice di protezionedella vita privata nel campo sanitario del 1994 (Health Information PrivacyCode), che contempla disposizioni più rigorose rispetto al Privacy Act.Vi è poi il codice di protezione della vita privata nel campo delletelecomunicazioni del 2003 (Telecommunications Information Privacy Code)e il codice di protezione della vita privata nel campo delle comunicazionifinanziarie del 2004 (Credit Reporting Privacy Code). Quest'ultimoprevede che chi fornisce informazioni riguardanti la situazione creditizia "nondeve raccogliere informazioni personali al fine di riferire informazioni sullasituazione creditizia a meno che non si tratti di informazioni sul credito". Il Privacy Act prevede rimedi per gli interessati chesubiscano "grave umiliazione, perdita di dignità o danno morale". Ildanno emotivo viene giudicato in base all'effettivo pregiudizio subitodall'interessato a causa della violazione e non in base alla modalità delpregiudizio che un ipotetico e plausibile soggetto interessato potrebbe subire. Come la legislazione sui diritti umani contiene disposizionicontro la discriminazione, altre leggi contemplano la protezione per talunecategorie di dati. Per esempio, la legge penale del 1961 (Crimes Act)tratta i reati contro la vita privata e contiene divieti di intercettazioni. Lalegge sugli investigatori privati e le guardie di sicurezza del 1974 (ThePrivate Investigators and Security Guards Act) vieta agli investigatoriprivati di scattare fotografie o effettuare riprese video di una persona senzail previo consenso scritto di quest'ultima e, inoltre, vieta l'uso di taliimmagini o registrazioni nei procedimenti civili. Analogamente a quantoprevisto in alcuni Stati europei, la normativa sulla libertà di informazionecontiene disposizioni volte a evitare la divulgazione qualora questa "comportila divulgazione ingiustificata di questioni che riguardano un'altra persona" enon vi sia un interesse pubblico prevalente. In una serie di casi è statoritenuto che ai sensi del Privacy Act determinate informazioni avevanocausato grave umiliazione, perdita della dignità o danno morale agliinteressati in quanto erano state raccolte, utilizzate o comunicate senzaautorizzazione; tali categorie di dati andavano oltre quanto previstoall'articolo 8 della direttiva. Pertanto, il Gruppo di lavoro ritiene che la legislazioneneozelandese soddisfi questo principio. Nell'analisi di questo principio, il Gruppo di lavoro riconosceche la Nuova Zelanda è un paese di piccole dimensioni in cui le attività dicommercializzazione diretta non sono sviluppate come in altri paesi. Il PrivacyAct non contiene disposizioni specifiche sulla commercializzazione diretta.Tuttavia, i principi di protezione della vita privata si applicano anche inquesto settore. Tra questi principi figura quello generale secondo cui leinformazioni personali, tra cui quelle utilizzate per la commercializzazionediretta, devono essere ottenute direttamente presso l'interessato. È dunqueraro, se non del tutto improbabile, che informazioni personali siano trasferitedall'UE alla Nuova Zelanda per essere ivi utilizzate a fini dicommercializzazione diretta. Inoltre, il Telecommunications InformationPrivacy Code del 2003 limita le tipologie di informazioni che possonoessere raccolte e il loro utilizzo. Il codice si applica agli operatori direte, ai fornitori di servizi di telecomunicazione, agli editori di elenchi ealle agenzie di informazioni, ai fornitori di servizi internet, ai call centerche forniscono appositi servizi in appalto a un'altra agenzia e ai rivenditoridi telefonia mobile. Il codice consente l'utilizzo di informazioni sulletelecomunicazioni a fini di commercializzazione diretta soltanto previoconsenso dell'interessata. La legge sui messaggi di posta elettronica non desiderati del 2007(Unsolicited Electronic Messages Act) verte sugli spam e riguarda laposta elettronica, la messaggistica istantanea, gli SMS e gli MMS di naturacommerciale. Le sue disposizioni sono analoghe a quelle della direttiva2002/58/CE in quanto i messaggi possono essere inviati soltanto a coloro che vihanno acconsentito e devono prevedere la possibilità di cancellazione dalleliste di invio. Il Privacy Commissioner si è occupato con successo di moltedenunce sulla commercializzazione diretta. In termini di autoregolamentazione, la New Zealand MarketingAssociation e l'Advertising Standards Authority sensibilizzano iloro membri alla protezione della vita privata delle persone fisiche. Hannopubblicato un codice di condotta che tutti i venditori sono tenuti a rispettare.Le persone fisiche possono rivolgersi a un servizio gratuito di composizionedelle controversie. La New Zealand Marketing Association fornisce anche servizigratuiti di esclusione da liste di invio di messaggi di posta (Do Not Mail) edi possibili destinatari di telefonate (Do Not Call), che riguardano telefonatee messaggi di posta indesiderati, anche se le copie aggiornate delle liste sonoinviate unicamente ai suoi associati. Sebbene il quadro che disciplina la commercializzazione diretta inNuova Zelanda differisca da quello europeo, nella pratica l'interessato disponedi varie modalità di opt out. Anche in assenza di un diritto legale di opt out,l'interessato può sporgere reclamo al Privacy Commissioner, che hariconosciuto la necessità di inasprire la legge in questo settore. In realtà èmolto improbabile che persone che si trovano nell'UE siano oggetto dioperazioni di commercializzazione diretta dalla Nuova Zelanda. Pertanto, ilGruppo di lavoro ritiene che, sebbene la legislazione neozelandese non soddisfi pienamente il principio della commercializzazionediretta, ciò non costituisca una lacuna grave né pregiudichi un risultato di"adeguatezza". 3) Decisioni individuali automatizzate: La relazione spiega che il processo di decisione automatizzata nonè usuale in Nuova Zelanda e che esistono diverse norme che mirano a scoraggiarequesta prassi. Alcuni programmi statali di abbinamento di informazionipermettono di ottenere decisioni automatizzate e sono regolati dalla parte 10(Abbinamento informazioni) e dall'allegato 4 (Regole sull'abbinamento diinformazioni) del Privacy Act. Il Privacy Commissioner svolge unruolo di supervisione su tali programmi. La regolamentazione esige garanzie perle persone fisiche, tra cui la verifica della validità dei risultati automaticie la comunicazione agli interessati di informazioni in merito a discrepanze e apossibili azioni nei loro confronti. Di norma, al momento della raccolta di informazioni personalil'interessato dovrebbe essere informato della finalità della raccolta(principio 3); prima dell'utilizzo di informazioni personali dovrebbe esserneverificata l'esattezza (principio 8); e le informazioni personali non possono,di regola, essere usate per finalità diverse da quelle per cui sono stateottenute (principio 10). Gli enti che ricorrono a decisioni automatizzate sonoinoltre soggetti a responsabilità civile qualora il loro operato cagioni dannoo perdita a persone fisiche. Con riferimento al settore pubblico, ai sensi dell'OfficialInformation Act e del Local Government Official Information and MeetingsAct ogni persona fisica ha diritto di conoscere le motivazioni delledecisioni che la riguardano. Tuttavia, ciò vale unicamente per i cittadinineozelandesi e i coloro che risiedono o si trovano fisicamente in NuovaZelanda. Pertanto, il Gruppo di lavoro ritiene che la legislazioneneozelandese soddisfi in maniera adeguata questo principio. 3.3. Meccanismi di procedura e applicazione Il documento WP 12 indica che, per fornire una base per lavalutazione dell'adeguatezza della tutela offerta, è necessario individuare gliobiettivi di fondo di un sistema procedurale per la tutela dei dati e da quiprocedere ad esaminare i diversi meccanismi procedurali giudiziari e nongiudiziari applicati nei paesi terzi. In proposito, gli obiettivi di un sistema di tutela dei dati sono:– assicurare un buon livello di osservanza delle norme; – fornireaiuto e sostegno alla persona interessata nell'esercizio dei propri diritti;– garantire un risarcimento adeguato alla parte lesa in caso diviolazione delle norme. Di particolare importanza, al fine di garantire il rispetto dellenorme, è l'esistenza di sanzioni efficaci e dissuasive, al pari, ovviamente, disistemi di verifica diretta da parte di autorità, revisori o addettiindipendenti alla tutela dei dati. Consapevolezza tra responsabili deltrattamento e interessati Il Privacy Act è in vigore dal 1993 e prevede che ogni entepubblico o privato abbia almeno un responsabile per la protezione della vitaprivata, il cui compito è favorire il rispetto dei principi di protezione deidati, trattare le domande di accesso, collaborare con il PrivacyCommissioner in caso di indagini e garantire in altra maniera il rispettodel Privacy Act da parte dell'ente. In tutto il paese sono presentivarie reti di responsabili per la protezione della vita privata che siriuniscono periodicamente. L'ufficio del Privacy Commissioner mette adisposizione ampie informazioni sul proprio sito internet e pubblica unanewsletter trimestrale insieme a una rassegna di casi resi anonimi su indaginiselezionate. L'ufficio tiene sessioni periodiche di formazione e seminari intutto il paese per i responsabili della protezione della vita privata e altrifunzionari, e partecipa ogni anno alla settimana di sensibilizzazione allaprotezione della vita privata nell'area asiatico-pacifica (Asia- PacificPrivacy Awareness week). L'ufficio effettua indagini quinquennali permisurare il grado di consapevolezza e l'efficienza del Privacy Commissioner. Ufficio del Privacy Commissioner Il Privacy Commissioner è un organismo statale tenuto adesercitare le sue funzioni, i suoi doveri e i suoi poteri in modo indipendente.Il Privacy Commissioner è nominato dal Governatore generale (Governor-General,il rappresentante del Capo di Stato neozelandese) su proposta del ministrocompetente, ossia il ministro della Giustizia. La nomina da parte delGovernatore generale è una procedura speciale di rango superiore riservata apoche nomine importanti previste dalla legge. Per proporre la nomina di unapersona alla carica di Privacy Commissioner il ministro responsabiledeve ritenere che tale persona abbia le conoscenze, le capacità e l'esperienzaadeguate per assistere tale organismo nel perseguimento dei suoi obiettivi enell'adempimento delle sue funzioni. La sezione 13(1A) del Privacy Act prevedeche il Commissioner eserciti le sue funzioni, i suoi doveri e i suoipoteri in modo indipendente. L'ufficio del Privacy Commissioner riferisce annualmente alParlamento. Le sue relazioni includono informazioni su tutti i programmi diabbinamento di informazioni autorizzate effettuati nel corso dell'anno e unavalutazione della loro conformità alla legge. Il Privacy Commissioner svolge funzioni di difensorecivico, effettua indagini e cerca di comporre le controversie svolgendo indaginianche d'ufficio. Esercita inoltre le funzioni indicate nel Privacy Act, tracui attività di sensibilizzazione, la verifica del rispetto del Privacy Act,la formulazione di pareri, risposte a quesiti, relazioni al primo ministro,ecc. La Parte 9 del Privacy Act attribuisce al Privacy Commissioner ilpotere di convocare ed escutere testimoni dietro giuramento e chiedere loro difornire informazioni e documenti entro 20 giorni lavorativi. Al Privacy Commissioner spettano altresì poteri, obblighi efunzioni ai sensi di leggi diverse dal Privacy Act [quali la legge sullasanità (Health Act), la legge sulla sicurezza sociale (SocialSecurity Act), la legge sulla violenza domestica (Domestic Violence Act)e la legge sui passaporti (Passports Act)]. L'ufficio del Privacy Commissioner è stato inoltre ammessoalla Conferenza internazionale delle Autorità garanti per la protezione deidati personali (International Conference of Data Protection and PrivacyCommissioners), è stato autorizzato a partecipare all'Accordotransfrontaliero dell'APEC sulla protezione della vita privata (APECCross-border Privacy Enforcement Arrangement) ed è stato ammesso qualemembro della Rete globale per la protezione della vita privata (GlobalPrivacy Enforcement Network). Mezzi di applicazione e sanzioni La parte 9 del Privacy Act (Procedure del Commissioner)definisce le procedure e i poteri d'indagine del Privacy Commissioner.La mancata collaborazione o l'interferenza nelle indagini del PrivacyCommissioner costituiscono un illecito penale passibile di una multa fino a2 000 NZD. Qualora un caso non possa essere risolto dal Commissioner,potrà essere sottoposto allo Human Rights Review Tribunal se ildenunciante o il Director of Human Rights Proceedings decidono in talsenso. Il denunciante può chiedere al Director di trasmettere il caso alTribunal anche nell'ipotesi di rifiuto di agire in tal senso da partedel Privacy Commissioner. Il Tribunal dispone di una vasta gammadi rimedi, tra cui il risarcimento del danno e provvedimenti quali inibitorie eingiunzioni. Di solito i mezzi di comunicazione riportano tali decisioni e,considerate le dimensioni limitate della Nuova Zelanda, la pubblicità negativaha un effetto dissuasivo. Se il Director of Human Rights Proceedings decidedi non rappresentare un denunciante, il Privacy Commissioner viene dinorma rappresentato nei procedimenti in cui, come spesso accade, il denunciantenon è difeso da un legale e il caso verte su un importante principio giuridicodel Privacy Act. Il diritto del Privacy Commissioner di comparireo di essere rappresentato in questi procedimenti comporta che egli possacostituirsi ed essere ascoltato in qualunque procedimento in cui il Directorof Human Rights Proceedings potrebbe costituirsi ed essere sentito ma rifiutadi farlo. Il Director of Human Rights Proceedings può altresì avviareun'azione collettiva per conto di più persone, anche se ciò non è ancoraaccaduto. Come si è detto, il Privacy (Cross-Border Information)Amendment Act del 2010 attribuisce al Commissioner il potere diemettere provvedimenti di divieto di trasferimento di informazioni dalla NuovaZelanda a paesi terzi che non garantiscono un livello adeguato di protezione. Alla luce delle suesposte considerazioni, il Gruppo di lavororitiene che la legislazione neozelandese disponga degli elementi necessari pergarantire un buon livello di osservanza delle norme sulla protezione dei dati. b) Fornire aiuto e sostegno alla persona interessata nell'esercizio deipropri diritti. Ogni persona deve essere in grado di far rispettare i propridiritti in modo rapido ed efficace, ad un costo non proibitivo. A tal fineoccorre porre in essere qualche meccanismo istituzionale che consenta dicondurre un'indagine indipendente in caso di denuncia. Come si è detto, al Privacy Commissioner è richiesto diesercitare le sue funzioni, i suoi doveri e i suoi poteri in modo indipendente.Negli ultimi anni tale ufficio ha creato meccanismi più efficaci per gestire ledenunce e ridurre gli arretrati. Il Privacy Commissioner è autorizzato aobbligare le parti coinvolte in a una denuncia partecipare a incontriobbligatori allo scopo di individuare le questioni pertinenti e cercare diraggiungere un accordo tra le parti. Talvolta l'ufficio può predisporre unamediazione indipendente o interna al fine di risolvere le controversie. Glienti possono accettare transazioni in grado di offrire rimedi non espressamentecontemplati dalla Privacy Act. Gli interessati non devono sopportare nessun costo per presentareuna denuncia al Commissioner o farsi rappresentare dal Director ofHuman Rights Proceedings dinanzi al giudice. I denuncianti possonorivolgersi direttamente allo Human Rights Review Tribunal senza doversostenere alcuna spesa per il deposito della denuncia e senza l'obbligo diessere rappresentati da un legale. Tuttavia, se il denunciante rimanesoccombente, potrà vedersi chiedere un contributo alle spese legalieffettivamente e ragionevolmente sostenute dalla parte vittoriosa. Il Gruppo di lavoro ritiene che la legislazione neozelandese offrameccanismi sufficienti a fornire aiuto e sostegno alla persona interessata. c) Garantire un risarcimento adeguato alla parte lesa in caso di violazione dellenorme. Si tratta di un elemento essenziale, che necessita di un sistema diarbitrato indipendente in grado di deliberare la corresponsione di unindennizzo e di imporre eventualmente sanzioni. La maggior parte delle denunce per violazione della vita privatasono risolte dal Commissioner oppure, dopo l'indagine, ad esse non vienedato seguito. Il numero di casi portati dinanzi allo Human Rights ReviewTribunal è relativamente costante e ammonta a circa 20 denunce l'anno. Il Tribunal può pronunciare dichiarazioni, inibitorie esopprimere dettagli su un caso ovvero tenere tutta o parte dell'udienza a portechiuse. Può altresì riconoscere il risarcimento dei danni fino a un massimo di200 000 NZD. Ad oggi l'importo massimo accordato ai sensi del Privacy Act èstato di 40 000 NZD, concesso per "umiliazione, perdita di dignità e offesadella persona danneggiata". Qualora la richiesta di risarcimento superi 200000 NZD, il Tribunal può rinviare la questione alla High Court. Il Tribunal può ingiungere all'ente determinate azioni, adesempio comunicare informazioni cui aveva negato l'accesso. Può altresìdisporre "altri rimedi" per fornire soluzioni diverse da quelle previstedal Privacy Act. Le decisioni del Tribunal possono essere impugnate permotivi di fatto dinanzi alla High Court, le cui decisioni sono a lorovolta impugnabili dinanzi alla Court of Appeal per motivi di diritto.Qualora la High Court dichiari l'impugnazione inammissibile, la Courtof Appeal potrà ammetterla se ritiene che la questione di diritto sollevatasia sufficientemente rilevante. La medesima procedura vale per le impugnazionidinanzi alla Supreme Court. Il Gruppo di lavoro ritiene, pertanto, che la legislazioneneozelandese fornisca un risarcimento adeguato. 4. Risultato della valutazione La legislazione neozelandese sulla protezione dei dati e dellavita privata precede di molto la direttiva dell'UE e attua gli orientamentidell'OCSE. Di recente sono state tuttavia apportate alcune modifiche per tenerconto di alcune preoccupazioni sull'adeguatezza riguardo ai trasferimenti didati personali dall'UE. Il Gruppo di lavoro ricorda che, sebbene sussistaancora qualche preoccupazione, adeguatezza non vuol dire equivalenza alladirettiva. Pertanto, il Gruppo di lavoro ritiene che la Nuova Zelanda garantisca un livello adeguato di protezione aisensi dell'articolo 25, paragrafo 6, della direttiva 95/46/CE del Parlamentoeuropeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela dellepersone fisiche con riguardo al trattamento dei dati personali, nonché allalibera circolazione di tali dati. Tuttavia, il Gruppo di lavoro esorta le autorità neozelandesi adadottare le misure necessarie per risolvere i punti deboli dell'attuale quadrolegislativo. Più in particolare, il Gruppo di lavoro incoraggia il PrivacyCommissioner a ribadire il suo invito a rafforzare la normativa sullacommercializzazione diretta e a continuare a effettuare controlli efficaci suitrasferimenti dalla Nuova Zelanda ai paesi terzi per i quali non è stata ancoraaccertata l'adeguatezza. Il Gruppo di lavoro chiede inoltre che, al momento didecidere se emettere un provvedimento di divieto di trasferimento, il PrivacyCommissioner tenga conto non solo degli orientamenti dell'OCSE e della direttivadell'UE, ma anche delle pertinenti decisioni della Commissione europea e degliorientamenti del Gruppo di lavoro articolo 29. Il Gruppo di lavoro evidenzia altresì il fatto che, come perqualsiasi decisione adottata dalla Commissione, seguirà con attenzionel'evoluzione della protezione dei dati in Nuova Zelanda e le modalità con cuil'ufficio del Privacy Commissioner applica i principi di protezione deidati enunciati nel documento WP12 e nel presente parere. Fatto a Bruxelles, il 4 aprile 2011 Per il Gruppo di lavoro Il Presidente Jacob KOHNSTAMM |