RELAZIONE DELLA COMMISSIONE

La prima relazione della Commissione sull’applicazione della direttiva della protezione dei dati nella Comunit๠riflette la preoccupazione della Commissione europea sul modo con cui gli Stati membri affrontano la questione del trasferimento di dati personali a paesi con insufficiente protezione.

Come viene detto a p. 21 della relazione, taluni indicatori lasciano intendere che "molti trasferimenti non autorizzati e addirittura illegali sono effettuati verso destinazioni o destinatari che non garantiscono un livello di protezione adeguato". Uno essi è l’esiguo numero di notifiche ricevute dagli Stati membri ai sensi dell’articolo 26, paragrafo 3 della direttiva: "Benché esistano altre strade legali di trasferimento dei dati diverse da quella di cui all’articolo 26, paragrafo 2, il numero di notificazioni è irrisorio rispetto a quanto ci si potrebbe ragionevolmente aspettare".

Il programma di lavoro per una migliore applicazione della direttiva (azione 3) espone lo sforzo della Commissione teso al "miglioramento della notifica di tutti gli atti giuridici di attuazione della direttiva e delle autorizzazioni concesse ai sensi dell’articolo 26, paragrafo 2, della direttiva" e a "facilitare lo scambio delle migliori prassi". Questa nota è la risposta dei servizi della Commissione a tali preoccupazioni e a una serie di questioni poste da taluni Stati membri e dai rispettivi Garanti della protezione dei dati sul modo migliore di informare la Commissione europea di tali autorizzazioni.

Questa nota sarà inviata a tutti gli Stati membri dell’UE e alle rispettive autorità di tutela dei dati e sarà pubblicata sul sito Web pubblico della Commissione sulla protezione dei dati. Essa espone criteri comuni per effettuare le notifiche dell’articolo 26, paragrafo 3 in un modo pragmatico e attua meccanismi per garantire lo scambio di pratiche migliori tra Stati membri.

L’articolo 26, paragrafo 3 della direttiva recita: "Lo Stato membro informa la Commissione e gli altri Stati membri in merito alle autorizzazioni concesse a norma del paragrafo 2. Secondo il paragrafo 2 "uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell'articolo 25, paragrafo 2, qualora il responsabile del trattamento presenti garanzie sufficienti".

Le garanzie sufficienti di cui all’articolo 26, paragrafo 2 della direttiva possono essere apposite clausole contrattuali, come le clausole contrattuali standard della Commissione europea², altre ad hoc che lo Stato membro ritiene adeguate o qualunque altro mezzo adeguato come norme aziendali vincolanti, quali quelle recentemente convenute dal Gruppo di lavoro articolo 29 per i trasferimenti intragruppo di società multinazionali³.

Se il responsabile del trattamento nella Comunità adduce garanzie sufficienti attraverso clausole contrattuali standard della Commissione europea, lo Stato membro non è tenuto a informare la Commissione del rilascio di un’autorizzazione. Per contro, come previsto dalle decisioni della Commissione sulle clausole contrattuali standard (v. articolo 4.3), se l’autorità competente nello Stato membro vieta o sospende il flusso di dati verso un paese terzo, trasferimento fondato su clausole contrattuali standard della Commissione europea per il responsabile del trattamento, quest’ultima va immediatamente informata di tale divieto o sospensione. Naturalmente, il divieto o la sospensione vanno tolti non appena cessano i motivi che li giustificano e che possono esistere solo nelle eccezionali circostanze citate dalle relative decisioni della Commissione⁴.

Il fatto che la Commissione europea non debba essere informata nei casi in cui le autorizzazioni nazionali sono rilasciate in base a clausole contrattuali standard della Commissione europea non pregiudica il fatto che, in virtù di apposite norme legislative nazionali, debba essere necessario rilasciare tali autorizzazioni nazionali⁵ o che i contratti vadano depositati o esibiti davanti alle competenti autorità negli Stati membri.

Il rilascio di autorizzazioni nazionali in base a norme aziendali vincolanti segue le stesse regole di informazioni sopraindicate. Ma, se più Stati membri rilasciano autorizzazioni in base alla procedura di cooperazione concordata dalle autorità di tutela dei dati nel Gruppo di lavoro articolo 29⁶, basta una sola notifica alla Commissione europea. Il presente documento di lavoro prevede che la Commissione europea debba essere informata anche nei casi in cui intervenga una sospensione o una revoca delle autorizzazioni inizialmente rilasciate, a causa del netto e/o persistente rifiuto del gruppo di società di cooperare o aderire al parere dell’autorità competente sulla tutela dei dati⁷.

La direttiva 95/46/EC non impone alcun obbligo alla Commissione di informare gli Stati membri delle notifiche ricevute ai sensi dell’articolo 26, paragrafo 3. Gli Stati membri sono invitati a informare la Commissione europea e gli altri Stati membri di tutte le autorizzazioni rilasciate. Tuttavia, i servizi della Commissione informeranno gli Stati membri e le autorità di tutela dei dati dell’esistenza di tali notifiche così che gli interessati possono contattare l’autorità notificante competente e ottenere direttamente da essa tutte le informazioni necessarie.

La Commissione accuserà dunque ricevuta di tutte le informazioni ottenute per posta elettronica ai sensi dell’articolo 26, paragrafo 3 della direttiva, indirizzata all’elenco di indirizzi del Comitato Articolo 31 e del Gruppo di lavoro Articolo 29. L’avviso di ricevimento indicherà lo Stato membro notificante (ed, eventualmente, l’Autorità di tutela dei dati notificante), il riferimento nazionale dell’autorizzazione (se esiste), la data di autorizzazione e il paese di destinazione.

Essa indicherà anche, in breve, lo scopo del trasferimento e se l’autorizzazione sia stata rilasciata in base a una clausola contrattuale, a una norma aziendale vincolante o ad altre garanzie sufficienti addotte dal responsabile del trattamento nella Comunità. I servizi della Commissione cercheranno di notificare eventuali obiezioni entro tre mesi dalla data di pubblicazione dell’avviso di ricevimento.

Non verrà data altra pubblicità a tali avvisi di ricevimento e le richieste di consultare i documenti ottenuti ai sensi dell’articolo 26, paragrafo 3 della direttiva saranno soggette ai limiti e alle condizioni del regolamento 1049/2001 relativo all’accesso del pubblico ai documenti dell’UE.

Bruxelles, 21 agosto 2003

Guido Berardis

c.c.: sig. Renaudière, sig. Cervera Navas