Decisione di esecuzione della Commissione del 19 dicembre 2012 a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull'adeguata protezione dei dati personali da parte della Nuova Zelanda

COMMISSIONEEUROPEA

DECISIONE DI ESECUZIONE DELLA COMMISSIONE del 19dicembre 2012

anorma della direttiva 95/46/CE del Parlamento europeo e del Consigliosull'adeguata protezione dei dati personali da parte della Nuova Zelanda

(Testo rilevante ai fini del SEE - 2013/65/UE)

(Pubblicata sullaGUUE n. L 28 del 30.1.2013)

LACOMMISSIONE EUROPEA,

visto iltrattato sul funzionamento dell'Unione europea,

vista ladirettiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre1995, relativa alla tutela delle persone fisiche con riguardo al trattamentodei dati personali, nonche' alla libera circolazione di tali dati ⁽¹⁾,in particolare l'articolo 25, paragrafo 6,

sentito ilGarante europeo della protezione dei dati,

considerandoquanto segue:

1. Aisensi della direttiva 95/46/CE gli Stati membri devono far si' che iltrasferimento di dati personali a un paese terzo abbia luogo solo se il paesein questione garantisce adeguati livelli di tutela e dopo aver accertato, primadel trasferimento, che siano soddisfatte le norme degli Stati membri cheattuano altre disposizioni della direttiva.

2. LaCommissione puo' constatare che un paese terzo garantisca adeguati livellidi tutela. In tal caso, gli Stati membri possono trasferirvi dati personalisenza la necessita' di ulteriori garanzie.

3. Anorma della direttiva 95/46/CE e' necessario valutare il livello di protezionedei dati riguardo a tutte le circostanze relative a un trasferimento o auna categoria di trasferimenti di dati, prendendo in considerazione in particolarealcuni determinati elementi rilevanti ai fini del trasferimento.

4. Datala diversita' degli approcci alla protezione dei dati nei paesi terzi, e'opportuno effettuare la valutazione del l'adeguatezza, nonche' adottare eapplicare ogni decisione ai sensi della direttiva 95/46/CE, senzadiscriminazioni ingiustificate o arbitrarie contro o tra paesi terzi in cui esistonocondizioni simili e senza creare barriere occulte al libero scambio, nel rispettodegli attuali impegni internazionali assunti dall'Unione europea.

5. La Nuova Zelanda e' una ex coloniabritannica che ha acquisito lo status di dominion indipendente nel 1907,ma ha reciso formalmente il legame costituzionale con il Regno Unito solo nel1947. La Nuova Zelanda e' uno Stato unitario e non dispone di una costituzionescritta nel senso convenzionale di documento costitutivo consolidato. Ilpaese e' una monarchia costituzionale e una democrazia parlamentare basatosullo Statuto di Westminster, con la regina della Nuova Zelanda a capodello Stato.

6. Lo Stato neozelandese poggia sulprincipio della sovranita' parlamentare. Tuttavia, per convenzione, adalcune leggi aventi particolare rilevanza costituzionale e' attribuito ilrango di ´leggi di livello superioreª. Cio' significa che sono parte delcontesto o del paesaggio costituzionale e informano la prassi governativa el'applicazione delle altre normative. Inoltre, la modifica o l'abrogazione diqueste leggi richiederebbe verosimilmente un consenso trasversale a livellopolitico. Diverse di queste leggi — Bill of Rights Act del 28agosto 1990 (Public Act n. 109 del 1990), Human Rights Act del 10agosto 1993 (Public Act n. 82 del 1993), e Privacy Act del 17maggio 1993 (Public Act n. 28 del 1993) — riguardano la protezionedei dati. L'importanza costituzionale di tali disposizioni legislative trovaeco nella convenzione secondo la quale esse devono essere prese inconsiderazione quando vengono elaborate o proposte nuove leggi.

7. Le norme giuridiche a protezione deidati personali della Nuova Zelanda sono principalmente enunciate nel PrivacyAct, modificato dal Privacy (Cross-border Information) AmmendementAct del 7 settembre 2010 (Public Act n. 113 del 2010). L'atto,anteriore alla direttiva 95/46/CE, non si limita a dati elaboratiautomaticamente o a dati strutturati contenuti in un archivio, ma siapplica a tutte le informazioni personali, qualunque sia la loro forma. Il suocampo di applicazione ricomprende integralmente i settori pubblico e privato,fatte salve alcune particolari deroghe di interesse pubblico, come e' consueto nellesocieta' democratiche.

8. In Nuova Zelanda esistono diversiquadri regolamentari che permettono di trattare le questioni inerenti la sferaprivata in termini di politiche, norme, o giurisdizioni di ricorso; alcuni sonodi matrice normativa, mentre altri sono corpora di autoregolamentazionesettoriale, compresi i settori dei mezzi di comunicazione, del marketingdiretto, dei messaggi di posta elettronica indesiderati, delle ricerche dimercato, della salute e delle disabilita', dei servizi bancari e assicurativi edel risparmio.

9. Oltre alla legislazione adottata dalParlamento neozelandese, esiste un considerevole corpus di common lawmodellato sul common law inglese, contenente principi e norme di dirittoconsuetudinario concernenti la protezione dei dati. Uno dei principiportanti di common law e' quello che pone la dignita' della persona tra gliobiettivi primari del diritto. Tale principio di common law e' un elementofondamentale del contesto generale in cui si svolge il processo decisionalegiudiziario in Nuova Zelanda. La giurisprudenza della Nuova Zelandamodellata sul common law concerne anche una serie di altri aspetti inerentialla riservatezza della vita privata, compresi la violazione della privacy, laviolazione dell'obbligo di riservatezza e i dispositivi di protezioneaccessoria nel contesto, tra l'altro, di diffamazione, turbative, molestie,falsita' dolosa e colpa.

10. Lenorme giuridiche neozelandesi applicabili in materia di protezione dei daticontemplano tutti i principi relativi a un adeguato livello di tutela dellepersone fisiche, prevedendo eccezioni e restrizioni a salvaguardia dirilevanti interessi pubblici. Tali norme in materia di protezione dei dati e lerelative eccezioni riflettono i principi contenuti nella direttiva 95/46/CE.

11. L'applicazionedi dette norme e' garantita da mezzi di ricorso amministrativi egiurisdizionali e dal controllo indipendente esercitato dall'autorita' dicontrollo — il Privacy Commissioner — che e' dotato del tipodi poteri enunciati nell'articolo 28 della direttiva 95/46/CE, e che agisce inpiena indipendenza. Inoltre, chiunque vi abbia interesse puo' adire le vie legaliper ottenere il risarcimento del danno subito in conseguenza del trattamentoillecito dei propri dati personali.

12. E'pertanto opportuno considerare che la Nuova Zelanda fornisce adeguati livellidi tutela dei dati personali ai sensi della direttiva 95/46/CE.

13. Lapresente decisione dovrebbe riguardare l'adeguatezza della protezioneassicurata in Nuova Zelanda ai fini della sua conformita' ai requisiti di cuiall'articolo 25, paragrafo 1, della direttiva 95/46/CE, ferme restando altrecondizioni o restrizioni che attuano altre disposizioni della direttivaattinenti al trattamento di dati personali negli Stati membri.

14. Nell'interessedella trasparenza e per salvaguardare la capacita' delle competentiautorita' degli Stati membri di garantire la tutela delle persone riguardo altrattamento dei dati personali, e' necessario precisare le circostanzeeccezionali che giustificano la sospensione di particolari flussi di dati,nonostante l'esistenza di un'adeguata protezione.

15. Ilgruppo per la tutela delle persone con riguardo al trattamento dei datipersonali, istituito dall'articolo 29 della direttiva 95/46/CE, ha espressoparere favorevole circa il livello di adeguatezza della protezione dei datipersonali in Nuova Zelanda ⁽²⁾,di cui si e' tenuto conto nella stesura della presente decisione di esecuzione.

16. Lemisure previste dalla presente decisione sono con formi al parere delcomitato istituito ai sensi dell'articolo 31, paragrafo 1, della direttiva95/46/CE,

HAADOTTATO LA PRESENTE DECISIONE:

Articolo1

1. Per le finalita'di cui all'articolo 25, paragrafo 2, della direttiva 95/46/CE, si ritiene chela Nuova Zelanda fornisca un adeguato livello di protezione dei dati personalitrasferiti dall'Unione europea.

2. L'autorita'di controllo competente per l'applicazione delle norme sulla protezione deidati in Nuova Zelanda figura nell'allegato della presente decisione.

Articolo2

1. Fatti salvii poteri di intervento volti a garantire il rispetto delle disposizioninazionali adottate in applicazione di disposizioni diverse dall'articolo25 della direttiva 95/46/CE, le autorita' competenti degli Stati membri possonoesercitare i poteri di cui dispongono per sospendere i trasferimenti di dativerso destinatari in Nuova Zelanda al fine di tutelare i cittadininell'ambito del trattamento dei loro dati personali nei casi in cui:

a) un'autorita' competente neozelandese abbia constatato che il destinatarionon rispetta le norme applicabili relative alla protezione; o

b) sia fortemente probabile una violazione delle norme di protezione,esistano fondati motivi per credere che l'autorita' competente della NuovaZelanda non prenda o non prendera' provvedimenti adeguati e tempestivi perrisolvere la questione, il persistere del trasferimento dia luogo a rischiimminenti di danno grave per gli interessati e le autorita' competentidello Stato membro abbiano compiuto ragionevoli sforzi per avvisare iresponsabili del trattamento in Nuova Zelanda e dar loro l'opportunita' dirispondere.

2. La sospensionecessa non appena sia garantito il rispetto delle norme di protezione e ne siainformata l'autorita' competente dello Stato membro interessato.

Articolo3

1. Gli Stati membriinformano immediatamente la Commissione dell'adozione di provvedimenti aisensi dell'articolo 2.

2. Gli Stati membrie la Commissione si comunicano a vicenda i casi in cui l'azione degliorganismi neozelandesi responsabili di assicurare il rispetto delle normedi protezione non sia sufficiente a garantire tale rispetto.

3. Ove risultiprovato, dalle informazioni di cui all'articolo 2, paragrafo 1, e ai paragrafi1 e 2 del presente articolo, che gli organismi incaricati di garantire ilrispetto delle norme di protezione in Nuova Zelanda non svolgono la lorofunzione in modo efficace, la Commissione avverte le competenti autorita'neozelandesi e, se necessario, presenta proposte di misure, secondo laprocedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE, invista di abrogare o sospendere la presente decisione o di limitarne il campod'applicazione.

Articolo4

La Commissionecontrolla l'attuazione della presente decisione e comunica qualsiasiinformazione utile al comitato di cui all'articolo 31 della direttiva95/46/CE, in particolare ogni elemento rilevante ai fini della valutazione dicui all'articolo 1 della presente decisione circa l'adeguatezza dellaprotezione in Nuova Zelanda ai sensi dell'articolo 25 della direttiva 95/46/CE eogni elemento che dimostri che la presente decisione e' applicata in mododiscriminatorio.

Articolo5

Gli Statimembri adottano le misure necessarie per conformarsi alla presente decisioneentro il 20 marzo 2013.

Articolo6

Gli Statimembri sono destinatari della presente decisione.

Fatto aBruxelles, il 19 dicembre 2012

Perla Commissione

VivianeREDING

Vicepresidente

ALLEGATO

Autorita' dicontrollo competente di cui all'articolo 1, paragrafo 2, della presentedecisione:

PrivacyCommissioner:

Te ManaMatapono Matatapu

Level 4

109-111Featherston Street

Wellington 6143

Nuova Zelanda

Tel.:+ 64-4-474 7590

e-mail:enquiries@privacy.org.nz

Sitoweb: http://privacy.org.nz/

NOTE

(1)GU L 281 del 23.11.1995, pag. 31.

(2)Parere 11/2011 del 4 aprile 2011 sul livello di protezione dei dati personali in Nuova Zelanda. /wp182.