32002D0002

Decisione della Commissione

del 20 dicembre 2001

conforme alla direttiva 95/46/CE del Parlamento europeo e del Consiglio e riguardante l'adeguatezza della protezione fornita dalla legge canadese sulla tutela delle informazioni personali e sui documenti elettronici (Canadian Personal Information Protection and Electronic Documents Act)

[notificata con il numero C(2001) 4539]

(2002/2/CE)

LA COMMISSIONE DELLE COMUNITÀ EUROPEE,

visto il trattato che istituisce la Comunità europea,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati(1), in particolare l'articolo 25, paragrafo 6,

considerando quanto segue:

(1) Conformemente alla direttiva 95/46/CE gli Stati membri sono tenuti ad operare affinché i trasferimenti di dati personali verso paesi terzi possano avvenire solo se il paese terzo in questione garantisce un livello adeguato di tutela e se, prima del trasferimento, viene rispettata la legislazione dello Stato membro che attua altre disposizioni della direttiva.

(2) La Commissione può constatare che un paese terzo garantisce un livello adeguato di tutela. In tal caso gli Stati membri vi possono trasferire dati personali senza richiedere ulteriori garanzie.

(3) Conformemente alla direttiva 95/46/CE, il livello di tutela dei dati deve essere valutato tenendo presenti tutte le circostanze in cui si svolgono le operazioni di trasferimento dei dati e tenendo conto di determinate condizioni. Il gruppo di lavoro sulla tutela delle persone con riguardo al trattamento dei dati personali istituito dall'articolo 29 della direttiva 95/46/CE ha fornito indicazioni per effettuare tale valutazione(2).

(4) Data la diversità degli approcci alla protezione dei dati nei paesi terzi, è opportuno che la valutazione dell'adeguatezza avvenisse e che ogni decisione, basata sull'articolo 25, § 6, della direttiva 95/46/CE, fosse presa ed attuata senza da luogo a discriminazioni arbitrarie o ingiustificate verso o tra paesi terzi in cui esistono condizioni analoghe e senza dar luogo a barriere occulte per gli scambi commerciali, visti gli attuali impegni della Comunità a livello internazionale.

(5) La legge canadese sulla tutela delle informazioni personali e sui documenti elettronici ("the Canadian Act") del 13 aprile 2000(3) si applica a organizzazioni del settore privato che rilevano, usano o comunicano informazioni personali nell'ambito di attività commerciali. Essa entra in vigore in tre fasi:

Dal 1o gennaio 2001, la legge canadese si applica alle informazioni personali, purché non a carattere sanitario, rilevate, utilizzate o comunicate da organizzazioni quali imprese, stabilimenti o aziende federali. Questi tipi di organizzazioni sono presenti nel settore del trasporto aereo, bancario, radiotelevisivo, dei trasporti interprovinciali e delle telecomunicazioni. La legge canadese si applica anche a tutte le organizzazioni che comunicano dati personali dietro compenso al di fuori della provincia o del Canada e ai dati riguardanti i dipendenti di imprese, stabilimenti o aziende federali.

Dal 1o gennaio 2002 la legge canadese si applica anche alle informazioni riguardanti la salute personale per le organizzazioni e le attività già coperte nella prima fase.

Dal 1o gennaio 2004 la legge canadese si applica a tutte le organizzazioni, federali o non federali, che rilevano, utilizzano o comunicano dati personali nell'ambito di attività commerciali. La legge canadese non si applica a organizzazioni soggette al Federal Privacy Act o regolate dal settore pubblico a livello provinciale, alle organizzazioni caritatevoli e senza scopo di lucro a meno che non siano di natura commerciale. Analogamente, essa non copre dati sui lavoratori dipendenti usati per scopi non commerciali diversi da quelli relativi ai dipendenti del settore privato regolato a livello federale. Il "Canadian Federal Privacy Commissioner" (Autorità di vigilanza canadese sulla privacy) può fornire ulteriori informazioni in tali casi.

(6) Al fine di rispettare il diritto delle province di legiferare nei loro ambiti di competenza la legge prevede che, successivamente all'approvazione di leggi provinciali sostanzialmente simili, possa essere concessa un'esenzione alle organizzazioni o attività oggetto della legislazione provinciale sulla riservatezza dei dati. La sezione 26(2) della legge canadese sulla tutela delle informazioni personali e sui documenti elettronici autorizza il gabinetto federale (se constata che la legislazione di una provincia, sostanzialmente simile alla presente parte, si applica a un'organizzazione, a una classe di organizzazioni, a un'attività o a una classe di attività) ad esentare l'organizzazione, l'attività o la classe dall'applicazione della presente parte per quanto riguarda la rilevazione, l'utilizzo o la comunicazione di informazioni personali nell'ambito di tale provincia. Il Governor in Council (gabinetto federale canadese) autorizza le esenzioni per legislazioni sostanzialmente simili tramite un Order-in-Council.

(7) Qualora una provincia adotti una legislazione sostanzialmente simile le organizzazioni, classi di organizzazioni o attività coperte saranno esentate dall'applicazione della legge federale per le transazioni all'interno della provincia; la legge federale continuerà invece ad essere applicata a tutte le attività di rilevazione, utilizzo e comunicazione di informazioni personali fra provincie nonché in tutte le situazioni per le quali le provincie non hanno previsto, integralmente o parzialmente, una legislazione sostanzialmente simile.

(8) Il 29 giugno 1984, il Canada ha aderito formalmente agli orientamenti dell'OCSE del 1980 sulla protezione della sfera privata e i flussi transfrontalieri di dati personali. Il Canada ha altresì sostenuto gli orientamenti delle Nazioni Unite riguardanti gli archivi elettronici di dati personali, adottati dall'Assemblea generale il 14 dicembre 1990.

(9) La legge canadese comprende tutti i principi fondamentali necessari a garantire un livello adeguato di protezione alle persone fisiche, contemplando però eccezioni e limitazioni per la salvaguardia di importanti interessi pubblici e per riconoscere determinate informazioni esistenti nel settore pubblico. L'applicazione di tali norme è garantita dai ricorsi giurisdizionali nonché dal controllo indipendente esercitato da autorità quali il commissario federale per la tutela della privacy (Federal Privacy Commissioner), al quale sono conferiti poteri di investigazione e intervento. Inoltre, ai casi di trattamento illecito dei dati con conseguenze pregiudizievoli per la persona, si applicano le norme di legge canadesi riguardanti la responsabilità civile.

(10) Per garantire la trasparenza e salvaguardare la capacità delle autorità competenti degli Stati membri di tutelare i cittadini per quanto riguarda il trattamento dei loro dati personali è necessario specificare nella presente decisione le circostanze eccezionali nelle quali la sospensione di determinati flussi di dati può essere giustificata, malgrado sia stato constatato un livello di protezione adeguato.

(11) Il gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall'articolo 29 della direttiva 95/46/CE ha fornito un parere sul livello di protezione della legge canadese di cui si è tenuto conto nella preparazione della presente decisione(4).

(12) Le misure previste dalla presente decisione sono conformi al parere del comitato di cui all'articolo 31 della direttiva 95/46/CE,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Ai fini dell'articolo 25, paragrafo 2, della direttiva 95/46/CE il Canada è ritenuto fornire un adeguato livello fornisca un livello adeguato di protezione ai dati personali trasferiti dalla Comunità a destinatari soggetti alla legge sulla tutela delle informazioni personali e sui documenti elettronici ("the Canadian Act").

Articolo 2

La presente decisione riguarda solo l'adeguatezza della protezione fornita in Canada dalla legge canadese, al fine di soddisfare i requisiti di cui all'articolo 25, paragrafo 1 della direttiva 95/46/CE e non produce alcun effetto su altre condizioni o restrizioni conseguenti all'attuazione di altre disposizioni della direttiva riguardanti il trattamento dei dati personali all'interno degli Stati membri.

Articolo 3

1. Fatti salvi i poteri di intervenire al fine di garantire il rispetto dei provvedimenti nazionali adottati in conformità delle disposizioni diverse dall'articolo 25 della direttiva 95/46/CE, le autorità competenti degli Stati membri hanno la facoltà di sospendere flussi di dati verso destinatari in Canada le cui attività rientrano nel campo d'applicazione della legge canadese al fine di proteggere i cittadini nell'ambito del trattamento dei loro dati personali nei casi seguenti:

a) qualora un'autorità competente canadese abbia constatato che il destinatario non rispetta le norme applicabili relative alla protezione; oppure

b) qualora sussista una sostanziale probabilità di violazione delle norme relative alla protezione; qualora vi siano motivi ragionevoli di credere che le autorità competenti canadesi non stiano o non intendano adottare misure adeguate e tempestive per risolvere il caso in questione; se, continuando il trasferimento dei dati, si verrebbe a creare un rischio imminente di grave danneggiamento delle persone cui si riferiscono i dati e le autorità competenti degli Stati membri hanno fatto il possibile, date le circostanze, per avvertire il responsabile del trattamento in Canada, dando a quest'ultimo l'opportunità di replicare.

La sospensione cesserà non appena sarà garantito il rispetto delle norme di protezione e ne sarà stata data notifica all'autorità competente in questione nella Comunità.

2. Gli Stati membri informano la Commissione immediatamente dell'adozione di provvedimenti in base al paragrafo 1.

3. Gli Stati membri e la Commissione si informano reciprocamente anche dei casi in cui l'intervento degli organismi canadesi responsabili per il rispetto delle norme di protezione non riesce a garantire tale rispetto.

4. Se le informazioni rilevate in base ai paragrafi 1, 2 e 3 provano che gli organismi canadesi incaricati di garantire il rispetto delle norme di protezione non svolgono la loro funzione in modo efficace, la Commissione avverte le autorità canadesi competenti e, se necessario, presenta progetti di misure conformemente alla procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE, al fine di abrogare o sospendere la presente decisione o limitarne il campo d'applicazione.

Articolo 4

1. La presente decisione può essere modificata in qualsiasi momento, alla luce delle esperienze relative al suo funzionamento o di modifiche della legislazione canadese, compresi provvedimenti che riconoscano che una provincia canadese dispone di una legislazione sostanzialmente simile. Tre anni dopo la notifica della presente decisione agli Stati membri la Commissione ne valuta il funzionamento in base alle informazioni disponibili; essa comunica qualsiasi elemento utile al comitato istituito dall'articolo 31 della direttiva 95/46/CE, inclusi quelli in grado di influire su quanto enunciato dall'articolo 1 della presente decisione in merito all'adeguatezza della protezione canadese ai sensi dell'articolo 25 della direttiva 95/46/CE e di provare l'esistenza di discriminazioni nell'attuazione della presente decisione.

2. Se necessario, la Commissione presenta progetti di misure conformemente alla procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE.

Articolo 5

Gli Stati membri adottano tutte le misure necessarie per uniformarsi alla presente decisione entro novanta giorni dalla data di notifica della decisione stessa.

Articolo 6

Gli Stati membri sono destinatari della presente decisione.

Fatto a Bruxelles, il 20 dicembre 2001.

Per la Commissione

Frederik Bolkestein

Membro della Commissione

(1) GU L 281 del 23.11.1995, pag. 31.

(2) WP 12: Trasferimenti di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva comunitaria sulla tutela dei dati, documento adottato dal gruppo di lavoro il 24 luglio 1998, disponibile al seguente indirizzo: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wpdocs_98.htm

(3) Electronically published (paper and web) versions of the Act are available at http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html and http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-F.html. Printed versions are available at Public Works and Government Services Canada - Publishing, Ottawa, Canada K1A 0S9.

(4) Parere 2/2001 sull'adeguatezza della legge canadese sulle informazioni personali e i documenti elettronici - WP 39 del 26 gennaio 2001, disponibile al seguente indirizzo: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm