CE - GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

1. INTRODUZIONE: LA LEGGE SULLA PROTEZIONE DEI DATI A GUERNSEY

1.1. La situazione delle Isole del Canale e di Guernsey

Le Isole del Canale sono un gruppo di isole, isolotti e scogli situati nella parte del canale della Manica che forma il golfo di St. Malo, prospiciente la costa nordoccidentale della Francia. Pur facendo parte delle isole britanniche, non sono parte del Regno Unito. Esse si dividono nei bailati di Guernsey e di Jersey.

Le isole sono dipendenze della Corona (non sono né zone del Regno Unito né sue colonie) e sono del tutto indipendenti tranne che per le relazioni internazionali e la difesa di cui è responsabile il governo britannico. Guernsey, Alderney e Sark sono rispettivamente governate da proprie Assemblee legislative elette.

La posizione del Bailato è già stata esaminata nel 1971 quando il Regno Unito chiese di entrare a far parte della Comunità Economica Europea. In seguito al negoziato alle isole del Canale, di cui il Bailato è parte integrante, è stata riconosciuta una relazione speciale con la Comunità europea in virtù del Protocollo 3 all'atto di adesione.

L'effetto di questo protocollo è che le isole del Bailato fanno parte della zona doganale comune e della tariffa esterna comune della Comunità europea, per cui possono esportare fisicamente prodotti agricoli e industriali verso gli Stati membri senza barriere tariffarie. Tuttavia, alle isole del Canale non si applicano le altre clausole dei trattati CE: tranne che per le questioni doganali, esse sono dunque a tutti gli effetti dei "paesi terzi". L'entrata in vigore l'1 novembre 1993, del trattato sull'Unione europea e il 2 ottobre 1997 del trattato di Amsterdam non hanno alterato la posizione costituzionale fissata dal Protocollo n. 3 all'atto di adesione.

1.2. L'attuale quadro giuridico sulla protezione dei dati:

A nome del Bailato sono state finora ratificate le seguenti convenzioni:

Secondo la costituzione del Bailato e il suo legame costituzionale con il Regno Unito, il possesso di diritti e di libertà è parte integrante dell'appartenenza a una società di tale tipo.

Le isole del Canale si sono date una legge della protezione dei dati fin dal 1986. La Data Protection (Bailiwick of Guernsey) Law, venne approvata il 30 luglio 1986 dagli Stati di Guernsey, il 3 settembre dagli Stati di Alderney e l'1 ottobre 1986 dai Chief Pleas di Sark.

La legge del 1986, elaborata sulle orme della legge sulla protezione dei dati del Regno Unito del 1984, è entrata effettivamente in vigore nel novembre 1987. L'approvazione della legge del 1986 ha permesso nell'agosto 1987 di estendere al Bailato la ratifica britannica della convenzione 108 del Consiglio d'Europa.

Il 26 luglio 2000, gli Stati di Guernsey decisero di modificare la legge sulla protezione dei dati per adeguarla compiutamente alla direttiva 95/46/CE e nella stessa seduta istituirono un commissario indipendente della protezione dei dati che, ad interim, operasse in base alla legge del 1986 in vigore.

La Data Protection (Bailiwick of Guernsey) Law, del 2001, venne approvata il 28 novembre 2001 dagli stati di Guernsey, il 23 gennaio 2002 da quelli di Alderney e il 16 gennaio 2002 dal Chief Pleas di Sark. La legge è strettamente legata alla legge britannica sulla protezione dei dati, del 1998.

La legge ha ottenuto l'assenso reale il 26 marzo ed è entrata in vigore l'1 agosto 2002, insieme a 16 strumenti di attuazione, che a loro volta rispecchiano in gran parte quelli in vigore nel Regno Unito, ma è stata modificata per tenere conto delle differenze del contesto giuridico del Bailato.

L'approvazione della legge permette alle autorità del Bailato di confermare che il Regno Unito poteva estendere al Bailato la ratifica del protocollo supplementare alla convenzione sulle autorità di controllo e i flussi di dati transfrontalieri, anche se ciò doveva ancora avvenire.

La filosofia che sostiene la nuova legge è quella di legiferare sulla protezione dei dati attenendosi il più possibile alle norme britanniche, metodo giustificato dalle seguenti ragioni:

a) dà maggiori garanzie di un adeguato recepimento dei requisiti della direttiva;

b) semplifica ai controllori dei dati del Bailato le procedure di rispondenza, dato che molti di essi sono associati a organizzazioni del Regno Unito;

c) permette al commissario di accedere all'esperienza, alla letteratura e alla consulenza dell'Ufficio del Commissario britannico alle informazioni;

d) permette di usare il software di notifica (e le procedure) già sviluppate per il Regno Unito.

2. VALUTAZIONE DELL'ADEGUATEZZA DELLA TUTELA DEI DATI PERSONALI OFFERTA DALLA LEGGE SULLA PROTEZIONE DEI DATI DI GUERNSEY

Il Gruppo di lavoro precisa che la propria valutazione sull'adeguatezza della tutela dei dati offerta a Guernsey si concentra sulla Data Protection (Bailiwick of Guernsey) Law, 2001.

La legge è stata comparata alle principali norme della direttiva tenendo conto del parere del Gruppo di lavoro sul "Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati"3. Tale parere elenca una serie di principi che costituiscono un nucleo di principi di 'contenuto' e di prescrizioni di 'procedura/applicazione', la cui osservanza potrebbe essere considerata una condizione minima di adeguatezza della tutela. Per facilitare la lettura del testo, si allega il testo degli articoli più lunghi della legge. Il risultato dell'analisi è il seguente:

2.1. Principi di contenuto

Principi fondamentali

• il principio della finalità limitata: i dati vanno trattati per una finalità specifica e successivamente usati o ulteriormente comunicati solo nella misura in cui non vi sia incompatibilità con la finalità del trasferimento. Le sole deroghe a tale norma sono quelle necessarie in ogni società democratica per una delle ragioni elencate nell'articolo 13 della direttiva.

Il Gruppo di lavoro constata soddisfatto che la legge di Guernsey aderisce a tale principio. L'allegato 1, parte 1 e in particolare il secondo principio precisano che "I dati personali vanno ottenuti solo per uno o più scopi specifici e legali e non vanno ulteriormente elaborati in modi incompatibili con tale scopo o tali scopi". Inoltre, il quinto principio dello stesso allegato aggiunge: "I dati personali elaborati per uno o più scopi qualsiasi non verranno conservati più a lungo di quanto sia necessario a tale scopo o scopi".

• il principio della qualità e della proporzionalità: i dati devono essere precisi e, se necessario, aggiornati. Essi devono essere adeguati, pertinenti e commisurati alle finalità per cui sono oggetto di trasferimento o di ulteriore trattamento. Il Gruppo di lavoro ritiene che legge di Guernsey soddisfi tale principio. L'allegato 1, parte 1 e in particolare il terzo principio, sostiene che i "dati personali devono essere adeguati, pertinenti e non eccessivi rispetto allo, o agli, scopi per cui sono elaborati".

Inoltre, il quarto principio dello stesso allegato stabilisce che i "dati personali devono essere esatti e, se necessario, aggiornati".

• il principio della trasparenza: la persona deve venir informata sulle finalità del trattamento e l'identità del responsabile del trattamento nel paese terzo, nonché qualunque altra informazione necessaria ad assicurare una procedura equa. Le sole deroghe consentite saranno in linea con l'articolo 11, paragrafo 2 e con l'articolo 13 della direttiva.

Il Gruppo di lavoro nota che in particolare l'articolo 7 (v. allegato, n. 1) della legge di Guernsey soddisfa questo principio. Esso è ulteriormente sviluppato nell'allegato 1, parte 2, nn. 2 e 3 (allegato, numero 2).

• il principio della sicurezza: il responsabile del trattamento dei dati dovrebbe adottare misure di sicurezza tecniche e organizzative commisurate ai rischi che il trattamento presenta. Chiunque operi sotto l'autorità del responsabile del trattamento, compresi gli incaricati del trattamento, procede al trattamento dei dati solo su istruzione del responsabile.

Il Gruppo di lavoro ritiene che la legge di Guernsey soddisfi tale principio. L'allegato 1, parte 1, settimo principio, stabilisce:

"Saranno adottate misure tecniche e organizzative adeguate contro l'elaborazione non autorizzata o illegale di dati personali e contro la perdita accidentale, la distruzione o il danneggiamento di dati personali."

Questo principio è ulteriormente spiegato nella seconda parte dello stesso allegato, in particolare, nei numeri da 9 a 12 (allegato, n. 3).

• i diritti di accesso, rettifica e opposizione: il titolare dei dati deve avere diritto di ottenere una copia di tutti i dati trattati che lo riguardino, nonché il diritto di far rettificare i dati di comprovata inesattezza. In determinate situazioni inoltre, il titolare deve potersi opporre al trattamento di dati che lo riguardino. Le sole deroghe a tali diritti saranno in linea con l'articolo 13 della direttiva.

Riguardo al diritto d'accesso, il Gruppo di lavoro constata che esso viene soddisfatto da questa legge, in particolare dall'articolo 7 (allegato, n. 4). Il principio è ulteriormente sviluppato dall'articolo 8.

Quanto al diritto di rettifica, il Gruppo di lavoro ritiene capisce che esso sia soddisfatto dalla legge di Guernsey. In particolare, l'articolo 14 della legge tratta i diritti di rettifica, blocco, cancellazione e distruzione (allegato, n. 5).

Il diritto di opposizione è trattato dall'articolo 10, il quale stabilisce il diritto di impedire un'elaborazione che possa causare danni o pericoli (allegato, n. 6).

Le eccezioni al diritto di accesso si trovano nel diritto derivato4 che permette precise deroghe in alcuni casi specifici:

- dati personali la cui rivelazione è proibita o limitata da taluni testi e strumenti derivati al fine di salvaguardare gli interessi del titolare stesso dei dati o i diritti e le libertà di terzi (articolo 1). I dati personali esentati riguardano registrazioni e relazioni di adozione a Guernsey e Alderney;

- alcuni dati (documenti sull'istruzione) che, se esposti all'esercizio di quei diritti, potrebbero attentare alla salute o alla condizione fisica o mentale del loro titolare o di terzi o, in altre circostanze, informerebbero se il titolare dei dati è, è stato. o rischia di essere vittima di abusi su minori la cui rivelazione non è nell'interesse di tale persona;

- quando è probabile che la fornitura all'interessato di aspetti delle informazioni che formano i dati rischi di attentare alla sua salute o condizione fisica o mentale o a quella di terzi. Prima di decidere se tale deroga vada applicata (e, quindi, di stabilire se concedere o no l'accesso al titolare) un controllore dei dati, che non appartenga a una professione sanitaria, deve consultare - ai sensi dell'articolo 3, paragrafo 2, e dell'articolo 4, paragrafo 1 - il professionista del settore medico-sanitario che ha in cura il titolare dei dati o, se ne esistono più di uno, quello più adatto disponibile o, se non ne esistono di disponibili oppure il controllore dei dati è l'Autorità sanitaria o della previdenza sociale degli Stati, un assistente sociale che operi in ambito penitenziario o un'altra persona che intervenga in atti concernenti le famiglie o i bambini, un professionista del settore medico-sanitario esperienza e qualifiche tali da permettergli di dare consigli su questioni riguardanti l'informazione richiesta (definizione all'articolo 7).

- in talune circostanze in cui terzi chiedono un'informazione in nome del suo titolare e questi non desidera che essa sia loro rivelata;

- taluni dati rispetto ai quali l'esposizione all'esercizio di tali diritti, pregiudica l'esecuzione di un lavoro sociale causando danni seri alla salute o alla condizione fisica o mentale del titolare dei dati o di terzi.

Il Gruppo di lavoro ritiene che queste eccezioni siano conformi a quanto previsto dall'articolo 13 della direttiva.

• restrizioni ai trasferimenti successivi: i trasferimenti successivi di dati personali da parte del destinatario del primo trasferimento saranno consentiti solo se anche il secondo destinatario (ossia il destinatario del trasferimento successivo) è soggetto a norme che garantiscono livelli adeguati di tutela. Le sole deroghe consentite devono conformarsi all'articolo 26, paragrafo 1 della direttiva..

Il Gruppo di lavoro ritiene che la legge di Guernsey soddisfi tale principio. In particolare, l'allegato 1, parte 1, principio otto, recita: "I dati personali non devono essere trasferiti in un paese o in un territorio esterno al Bailato a meno che tale paese o territorio non garantisca un adeguato livello di tutela dei diritti e delle libertà dei titolari dei dati rispetto all'elaborazione dei dati personali". Questo principio è ulteriormente spiegato all'allegato 1, parte 2, numeri da 13 a 15 (allegato, n. 7).

Eccezioni a questo principio si trovano all'allegato 4 (allegato, n. 8). Il Gruppo di lavoro nota con soddisfazione che le eccezioni sono del tutto conformi all'articolo 26 della direttiva.

Principi supplementari da applicare a casi specifici di trattamento sono:

• dati sensibili: se il trattamento riguarda categorie di dati ‘sensibili' (elencate all'articolo 8 della direttiva), si introdurranno provvedimenti di salvaguardia supplementari, come ad esempio l'obbligo del consenso esplicito al trattamento da parte del titolare dei dati.

Il Gruppo di lavoro ritiene che la legge di Guernsey soddisfi questo principio. I "dati sensibili" sono definiti soprattutto all'articolo 2 della legge (allegato, n. 9).

L'allegato 1, parte 1, principio 1, lettera b aggiunge che i dati sensibili non vanno elaborati a meno che non sia soddisfatta una delle condizioni dell'allegato 3 (allegato, n. 10).

• commercializzazione diretta: se il trasferimento dei dati avviene per finalità di commercializzazione diretta, il loro titolare deve poter decidere in qualsiasi momento di escludere i dati che lo riguardano da tale impiego. Il Gruppo di lavoro nota che il principio è soddisfatto dall'articolo 11, che regola il diritto di impedire l'elaborazione volta alla commercializzazione diretta (allegato, n. 11).

• decisioni individuali automatizzate: se la finalità del trasferimento consiste nell'adottare una decisione automatizzata ai sensi dell'articolo 15 della direttiva, la persona ha il diritto di conoscere la logica a cui risponde tale decisione e occorrono perciò provvedimenti atti a garantire la salvaguardia del suo legittimo interesse.

Il Gruppo di lavoro ritiene che la legge in Guernsey soddisfi tale principio soprattutto con l'articolo 7, paragrafo 1, lettera d (allegato, n. 12) e l'articolo 12 che riguarda i diritti relativi alle decisioni automatizzate (allegato, n. 13).

2.2. Meccanismi di procedura/applicazione

Il parere del Gruppo di lavoro sul "Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati"5 indica che per valutare adeguatamente la tutela offerta, è necessario individuare gli obiettivi di fondo di un sistema procedurale per la tutela dei dati e, da qui, esaminare i vari meccanismi procedurali, giudiziari e non, applicati nei paesi terzi.

In proposito, gli obiettivi di un sistema di tutela dei dati sono essenzialmente di tre tipi:

— garantire un buon livello di osservanza delle norme;
— fornire aiuto e sostegno ai singoli titolari dei dati nell'esercizio dei propri diritti;
— garantire un adeguato risarcimento alla parte lesa in caso di violazione delle norme.

• Garantire un buon livello di osservanza delle norme - In un buon sistema, tra i responsabili del trattamento dei dati si rileva in genere un elevato grado di consapevolezza dei propri obblighi e tra le persone interessate la medesima consapevolezza dei propri diritti e degli strumenti per esercitarli. Di particolare importanza, al fine di garantire il rispetto delle norme, è l'esistenza di sanzioni efficaci e dissuasive, al pari, ovviamente, di sistemi di verifica diretta da parte di autorità, revisori o addetti indipendenti alla tutela dei dati.

Il Gruppo di lavoro ritiene che la legge di Guernsey abbia introdotto una serie di elementi per cogliere servire tale obiettivo. In particolare:

(a) Commissario della protezione dei dati

L'articolo 6 della legge di Guernsey prevede che l'ufficio originariamente istituito dalla sezione 33A della Data Protection (Bailiwick of Guernsey) Law, 1986 e noto come Commissario della protezione dei dati, continua ad esistere ai fini della presente legge.

Il Commissario è del tutto indipendente, come enunciato all'articolo 6.4 della legge: Il Commissario non è un impiegato o un agente degli Stati, ma è il titolare di un ufficio pubblico ed ha il dovere di esercitare le funzioni di tale ufficio nello spirito di una totale lealtà, imparzialità e indipendenza.

Il Commissario ha un lungo elenco di funzioni, precisato all'articolo 51 della legge (allegato, n. 14). Esso è dotato d'una serie di poteri, come il potere di ingresso e di ispezione6 e quello di pubblicare note informative ed esecutive7. Chi non si conforma a una nota esecutiva o informativa o a una nota informativa speciale commette un'infrazione⁸.

(b) L'esistenza di mezzi esecutivi adeguati e di adeguate sanzioni

La legge stabilisce una serie di infrazioni:

a) Mancata comunicazione di una registrazione o della modifica di una registrazione.

b) Rivelazione, vendita od ottenimento non autorizzati di dati.

c) Mancato rispetto di una nota.

d) Impedimento di una persona nell'esercizio di un mandato.

Se gli occorrono più informazioni per completare una valutazione, il Commissario può pubblicare una nota esecutiva laddove ritenga che un controllore non si sia conformato ai principi o a una nota informativa.

I reclami dei titolari dei dati al Commissario relativi a infrazioni di notifica o di rivelazione possono dar luogo a procedimenti penali da parte della magistratura.

I reclami relativi alla non rispondenza ai principi vanno trattati come una richiesta di valutazione. Si può aprire un procedimento penale solo se un controllore dei dati non si conforma a una nota informativa o esecutiva pubblicata durante la valutazione.

L'articolo 60 della legge affronta le azioni giudiziarie e le infrazioni (allegato, n. 15). Come già detto, chi non si conforma a una nota esecutiva, informativa o informativa speciale commette un'infrazione. Lo stesso vale per chiunque non assolva ai doveri imposti dai regolamenti di notifica⁹

Alla luce di queste considerazioni, il Gruppo di lavoro ritiene che la legge di Guernsey contenga elementi atti a garantire un buon livello di rispondenza alle norme.

• Fornire aiuto e sostegno ai singoli titolari dei dati nell'esercizio dei propri diritti - Il singolo individuo deve fruire dei propri diritti in modo rapido, efficace e a costi non proibitivi. A tal fine, occorre un qualche meccanismo istituzionale che consenta indagini indipendenti su reclami.

Il Gruppo di lavoro nota che la legge di Guernsey ha introdotto vari elementi per cogliere tale obiettivo. Per esempio, i cittadini possono chiedere che il Commissario effettui una valutazione. Ciò è regolato nell'articolo 22 della legge (allegato, n. 16).

La procedura di valutazione (gratuita per le persone fisiche) è descritta in dettaglio sul sito Web del Commissario. Si noti anche che a Guernsey esiste un regime d'assistenza giuridica per permettere alle persone fisiche di adire il tribunale per reclami civili.

Alla luce di queste considerazioni, il Gruppo di lavoro ritiene che la legge di Guernsey contenga elementi atti a sostenere ed aiutare i singoli titolari dei dati nell'esercizio dei loro diritti.

• garantire un adeguato risarcimento alla parte lesa in caso di violazione delle norme - Si tratta di un elemento chiave, che presuppone l'esistenza di un sistema di conciliazione indipendente o di arbitrato che ammetta l'eventuale pagamento di indennizzi o l'imposizione di sanzioni.

La legge di Guernsey dispone un regime di indennizzi all'articolo 13 (allegato, n. 17).

Alla luce di queste considerazioni, il Gruppo di lavoro ritiene che la legge di Guernsey contenga elementi atti a indennizzare adeguatamente la parte lesa in caso di non rispetto delle norme.

In conclusione, in base ai risultati suddetti, il Gruppo di lavoro è soddisfatto che Guernsey offra livelli adeguati di tutela ai sensi dell'articolo 25, paragrafo 6 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Fatto a Bruxelles, addì 13 giugno 2003

per il Gruppo di lavoro
il Presidente
Stefano RODOTA'

NOTE

Allegato: Disposizioni pertinenti della legge sulla protezione dei dati di Guernsey

(1) "(1) Fatte salve le seguenti disposizioni di questo articolo e degli articoli 8 e 9, una persona fisica ha il diritto:

(a) di essere informato da un controllore dei dati se questi, o altri a suo nome, stia elaborando dati personali, di cui tale persona è titolare;

(b) in tal caso, di ottenere dal controllore dei dati una descrizione:

(c) che gli siano comunicate in forma intelleggibile:

(d) se l'elaborazione elettronica di dati personali di cui la persona é titolare, al fine di valutare aspetti che lo riguardino come, ad esempio, rendimento professionale, solvibilità, affidabilità o comportamento, costituisce o può costituire l'unica base per decisioni che lo riguardano da vicino, di essere informato dal controllore dei dati della logica su cui si fonda tale elaborazione".

(2) "2.(1) Fatto salvo il paragrafo 3, i dati personali sono considerati essere stati elaborati correttamente ai fini di cui al primo principio, solo se:

(a) in caso di dati ottenuti dal loro titolare, il controllore dei dati garantisce per quanto possibile che il titolare è in possesso, ha ottenuto o si è procurato facilmente, le informazioni di cui al paragrafo (3); e

(b) il controllore dei dati garantisce, in tutti gli altri casi, che prima del momento pertinente o appena possibile dopo di esso, il titolare dei dati sarà in possesso, avrà ottenuto o si sarà procurato facilmente, le informazioni di cui al paragrafo (3).

(2) Nel paragrafo (1), punto (b) "momento pertinente" significa:

(a) il momento in cui il controllore dei dati elabora i dati per la prima volte; o

(b) nel caso in cui in tale momento si preveda di comunicare i dati a terzi entro un ragionevole periodo di tempo:

(3) Le informazioni di cui al paragrafo (1) sono le seguenti:

(a) l'identità del controllore dei dati;

(b) l'identità del suo rappresentante, se ne ha nominato uno ai fini dell'applicazione della presente legge ;

(c) il/i motivo/i per cui i dati vanno elaborati; e

(d) ogni altra informazione necessaria sulle circostanze specifiche in cui i dati vengono, o devono essere, elaborati, per permettere una elaborazione leale dei dati del loro titolare.

3.(1) L'articolo 2, paragrafo (1), punto (b) non si applica se si verifica una delle condizioni primarie di cui al paragrafo (2) o una delle altre condizioni che possono essere prescritte dal Comitato mediante decreto.

(2) Le condizioni primarie di cui al paragrafo (1) si verificano se:

(a) la fornitura di tali informazioni comporta uno sforzo sproporzionato; o

(b) se il controllore dei dati deve registrare l'informazione da inserire nei dati, o nella loro comunicazione, per soddisfare un obbligo legale cui egli sia vincolato ma che non è un obbligo imposto dal contratto."

(3) "Considerando lo stadio dello sviluppo tecnologico e i costi di attuazione dei vari provvedimenti, quest'ultimi devono garantire un livello di sicurezza adeguato:

(a) al danno che può derivare dall'elaborazione non autorizzata o illegale o dalla perdita casuale, dalla distruzione o dai danni citati nel settimo principio; e

(b) alla natura dei dati da tutelare.

10. Il controllore dei dati deve prendere provvedimenti ragionevoli per garantire l'affidabilità di tutti i suoi dipendenti che hanno accesso ai dati personali.

11. Se l'elaborazione dei dati personali è effettuata da un informatico a nome di un controllore dei dati, questi - per soddisfare il settimo principio - deve:

(a) scegliere un informatico che dia sufficienti garanzie di rispettare le misure di sicurezza tecniche e organizzative che disciplinano l'elaborazione da effettuare; e

(b) prendere ragionevoli provvedimenti per garantire il rispetto di tali misure.

12. Se l'elaborazione dei dati personali è effettuata da un informatico a nome di un controllore dei dati, questi soddisferà il settimo principio solo se:

(a) l'elaborazione avviene nel quadro di un contratto:

(b) il contratto impone all'informatico di soddisfare obblighi equivalenti a quelli che il settimo principio impone a un controllore dei dati.

(4) (1) Fatte salve le seguenti disposizioni di questa articolo e delle sezioni 8 e 9, una persona fisica ha il diritto:

(a) di essere informato da un controllore dei dati se questi, o altri a suo nome, stia elaborando dati personali, di cui tale persona è titolare;

(b) in tal caso, di ottenere dal controllore dei dati una descrizione:

(c) che gli siano comunicate in forma intelleggibile:

(d) se l'elaborazione elettronica di dati personali di cui la persona é titolare, al fine di valutare aspetti che lo riguardino come, ad esempio, rendimento professionale, solvibilità, affidabilità o comportamento, costituisce o può costituire l'unica base per decisioni che lo riguardano da vicino, di essere informato dal controllore dei dati della logica su cui si fonda tale elaborazione.

(2) Un controllore dei dati fornirà le informazioni di cui al paragrafo (1) solo se ha ricevuto:

(a) una richiesta scritta; e

(b) eccetto i casi prescritti, il previsto onorario (non superiore al massimo esigibile).

(3) Se un controllore dei dati:

(a) chiede ulteriori ragionevoli informazioni per accertarsi dell'identità della persona che formula una richiesta ai sensi della presente articolo e per localizzare l'informazione da essa cercata; e

(b) ne ha informato la persona interessata,

il controllore dei dati non è obbligato a dare seguito alla richiesta se non gli sono state fornite tali informazioni.

(4) Se un controllore dei dati non può dare seguito alla richiesta senza comunicare informazioni relative a un'altra persona fisica, che verrebbe così identificata, non è obbligato a dar seguito alla richiesta a meno che:

(a) tale persona fisica acconsenta a rivelare le informazioni alla persona che ha formulato la richiesta; o

(b) sia comunque ragionevole dar seguito alla richiesta senza il consenso dell'altra persona fisica.

(5) Nel paragrafo (4) il riferimento a informazioni su un'altra persona fisica comprende un riferimento a informazioni che identificano tale persona come fonte dell'informazione cercate dalla richiesta; il paragrafo non dispensa però il controllore dei dati dall'obbligo di comunicare quante più informazioni cercate dalla richiesta senza rivelare l'identità dei terzi interessati, omettendo nomi o altri dettagli di identificazione o in altri modi.

(6) Nello stabilire, ai sensi del paragrafo (4), punto (b), se sia comunque ragionevole dar seguito alla richiesta senza il consenso dell'altra persona interessata, si terrà conto soprattutto:

(a) di tutti i doveri di riservatezza dovuti a tale persona;

(b) di tutti i provvedimenti presi dal controllore dei dati per ottenere il consenso di tale persona;

(c) del fatto che l'altra persona sia in grado di dare il consenso; e

(d) di ogni esplicito rifiuto da parte dell'altra persona di dare il consenso.

(7) Una persona fisica che formuli una richiesta ai sensi della presente articolo può, in casi che possono essere prescritti, precisare che la sua richiesta si limita ai dati personali di una descrizione prescritta.

(8) Fatto salvo il paragrafo (4), un controllore dei dati soddisferà una richiesta formulata ai sensi della presente articolo rapidamente e comunque entro la fine del periodo prescritto che inizia con il giorno pertinente.

(9) Una corte che, su ricorso di una persona che abbia formulato una richiesta ai sensi delle precedenti disposizioni di questa articolo, si convince che il controllore dei dati in questione non ha dato seguito alla richiesta contravvenendo a quelle disposizioni, può ordinargli di soddisfare la richiesta.

(10) Per stabilire se un richiedente ai sensi del paragrafo (9) può ottenere le informazioni che chiede (e se i dati pertinenti siano esenti da tale articolo in virtù della Parte IV), la corte può chiedere che sia messa a disposizione della sua indagine l'informazione che forma i dati elaborati da o a nome del controllore dei dati e ogni informazione sulla logica che fonda la decisione di cui al paragrafo (1), punto (d) ma, in attesa della soluzione della questione a favore del ricorrente, non chiederà che le informazioni cercate dal richiedente siano in un qualche modo svelate a lui o ai suoi rappresentanti.

(11)In questo articolo:

"prescritto" significa prescritto dal Comitato per decreto;

"il massimo prescritto" significa l'importo che può essere prescritto;

"il periodo prescritto" significa sessanta giorni o altro periodo che possa essere prescritto; e

"il giorno pertinente", nel caso di una richiesta ai sensi della presente articolo, è il giorno in cui il controllore dei dati riceve la richiesta o, se ciò accade più tardi, il primo giorno in cui il controllore dei dati ha l'onorario richiesto e le informazioni di cui al paragrafo (3).

(12) Per casi diversi ai sensi della presente articolo, possono essere prescritti importi o periodi diversi."

(5) " 14.(1) Una corte che, su ricorso di un titolare dei dati, si convinca che i dati personali di cui il richiedente è titolare sono inesatti, può ordinare al controllore dei dati di rettificare, bloccare, cancellare o distruggere questi e tutti gli altri dati personali del cui trattamento sia responsabile, contenenti l'espressione di un parere che la corte ritenga basata sui dati inesatti.

(2) Il paragrafo (1) si applica indipendentemente dal fatto che i dati registrino correttamente l'informazione pervenuta al controllore dei dati dal loro titolare o da terzi ma se i dati registrano esattamente tale informazione, allora:

(a) se i requisiti di cui al paragrafo 7 della parte II del Programma 1 sono stati soddisfatti, la corte può, invece di decidere ai sensi del paragrafo (1), chiedere di completare i dati con un accertamento, che esso può approvare, dei fatti reali concernenti gli argomenti trattati dai dati; e

(b) se i requisiti non sono stati tutti soddisfatti, la corte, invece di decidere ai sensi del presente paragrafo, può prendere la decisione che le sembri atta a garantire la conformità a tali requisiti, indipendentemente da ulteriori decisioni che richiedano di completare i dati con la dichiarazione di cui al paragrafo (a).

(3) Se la corte:

(a) decide ai sensi del paragrafo (1); o

(b) si convince, su istanza di un titolare dei dati, che i dati personali di cui era titolare e che sono stati rettificati, bloccati, cancellati o distrutti erano inesatti; può ordinare al controllore dei dati, se lo ritiene ragionevolmente praticabile, di informare i terzi, cui i dati sono stati comunicati, della loro rettifica, blocco, cancellazione o distruzione.

(4) Se una corte, su istanza di un titolare dei dati, si convince:

(a) che questi ha subito danni perché un controllore dei dati non ha soddisfatto un requisito della presente legge su un qualunque tipo di dati personali, in circostanze che lo autorizzano a imporre un indennizzo ai sensi della articolo 13; e

(b) che in tali circostanze esiste il rischio effettivo di altre infrazione rispetto a quei dati; la corte può ordinare la rettifica, il blocco, la cancellazione o la distruzione dei dati interessati.

(5) Se la corte decide ai sensi del paragrafo (4) e se lo ritiene ragionevolmente praticabile, può ordinare al controllore dei dati di informare i terzi cui i dati sono stati comunicati della loro rettifica, blocco, cancellazione o distruzione.

(6) Per stabilire se sia ragionevolmente possibile chiedere la notifica di cui ai paragrafi (3) o (5) la corte terrà conto soprattutto del numero di persone che devono essere informate."

(6) "(1) Fatto salvo il paragrafo (2), una persona fisica può in qualunque momento, mediante istanza scritta a un controllore dei dati, chiedere che questi al termine di un periodo ragionevole a seconda delle circostanze, cessi, o non inizi, l'elaborazione, o l'elaborazione a fini o in modi specifici, di dati personali di cui egli è titolare, perché, per ragioni precise:

(a) l'elaborazione di tali dati o la loro elaborazione a fini e secondo modi specifici causa o può causare danni o grave emergenza a lui o a terzi; e

(b) il danno o l'emergenza è o sarebbe ingiustificata.

(2) Il paragrafo (1) non si applica:

(a) se si verifica una delle condizioni di cui ai paragrafi da 1 a 4 del Programma 2; o

(b) in altri casi che possono essere prescritti da ordini del Comitato.

(3) Entro 21 giorni dal ricevimento di un avviso ai sensi del paragrafo (1) ("l'avviso del titolare dei dati"), il controllore dei dati deve inviare alla persona fisica che glielo ha trasmesso un avviso scritto:

(a) che attesti l'adesione o l'intenzione di aderire all'avviso del titolare dei dati; o

(b) che attesti i motivi per ritenere l'avviso del titolare dei dati in parte ingiustificato e la misura in cui egli vi si sia (eventualmente) conformato o intenda conformarvisi.

(4) Se una corte, su istanza di chiunque abbia trasmesso un avviso di cui al paragrafo (1) che essa ritenga (almeno in parte) giustificato, si convince che il controllore dei dati in questione non si è conformato all'avviso, può imporgli misure che ritiene adeguate per conformarvisi (o per conformarvisi almeno in parte).

(5) L'impossibilità per un titolare dei dati di esercitare i diritti conferiti dal paragrafo (1) o dall'articolo 11, paragrafo (1) non lede gli altri diritti conferitigli da questa parte."

(7) "13. Un livello di tutela è adeguato se resta tale nella varie circostanze dei singoli casi, e in particolare per quanto riguarda:

(a) la natura dei dati personali;

(b) il paese o territorio d'origine delle informazioni contenute nei dati;

(c) il paese o territorio di destinazione finale di tali informazioni;

(d) i fini per cui i dati vanno elaborati e al periodo in cui ciò avviene;

(e) la legge in vigore nel paese o nel territorio in questione;

(f) gli obblighi internazionali di quel paese o di quel territorio;

(g) i codici di condotta pertinenti o alle altre regole applicabili in quel paese o in quel territorio (in generale o con regole ad hoc in casi particolari); e

(h) le misure di sicurezza prese a favore dei dati in quel paese o in quel territorio.

14. L'ottavo principio non si applica ad un trasferimento che avviene ai sensi di un articolo dell'allegato 4, tranne nelle circostanze e nella misura in cui il Comitato fissa con un ordine.

15. (1) Quando:

(a) in una procedura ai sensi della presente legge sorge la questione se, in merito al trasferimento di dati personali a un paese o a un territorio esterno al bailato, venga rispettato il requisito dell'ottavo principio sul livello adeguato di protezione; e

(b) avviene una costatazione comunitaria sui trasferimenti del tipo in questione; la questione va decisa in base a tale costatazione.

(2) Nel paragrafo (1) "costatazione comunitaria" significa la costatazione della Commissione europea, ai sensi della procedura dell'articolo 31, paragrafo 2 della direttiva sulla protezione dei dati, se un paese o un territorio al di fuori del SEE garantisce o no un livello adeguato di tutela ai sensi dell'articolo 25, paragrafo 2 della direttiva."

(8) "1. Il titolare dei dati ha dato il suo assenso al trasferimento.

2. Il trasferimento è necessario:

(a) per adempiere a un contratto tra il titolare e il controllore dei dati; o

(b) per adottare provvedimenti a richiesta del titolare dei dati, finalizzati alla conclusione di un contratto tra lui e il controllore dei dati.

3. Il trasferimento è necessario:

(a) perché tra il controllore dei dati e una persona diversa dal titolare dei dati possa essere concluso un contratto che:

(b) perché tale contratto sia eseguito.

4.(1) Il trasferimento è necessario per importanti ragioni di interesse pubblico.

(2) Il Comitato può specificare con un ordine:

(a) le circostanze in cui un trasferimento debba essere considerato necessario, ai fini del paragrafo (1), per importanti ragioni d'interesse pubblico; e

(b) le circostanze in cui un trasferimento, non richiesto per legge, non deve essere considerato necessario, ai fini del paragrafo (1), per importanti ragioni d'interesse pubblico.

5. Il trasferimento:

(a) è necessario o si riferisce a un procedimento giudiziario (compresi quelli futuri);

(b) è necessario al fine di ottenere un parere legale; o

(c) è necessario per instaurare, esercitare o difendere dei diritti legali.

6. Il trasferimento è necessario per proteggere interessi vitali del titolare dei dati.

7. Il trasferimento riguarda dati personali di un registro pubblico e le condizioni cui è soggetta la consultazione del registro sono soddisfatte da tutti coloro ai quali i dati sono o possono essere comunicati dopo il trasferimento.

8. Il trasferimento avviene a condizioni che il Commissario ritiene atte a garantire un'adeguata tutela dei diritti e delle libertà dei titolari dei dati.

9. Il trasferimento è stato autorizzato dal Commissario perché è stato fatto in modo da garantire un'adeguata tutela dei diritti e delle libertà dei titolari dei dati."

(9) "2. In questa legge "dati personali sensibili" significa dati personali consistenti in informazioni come:

(a) l'origine razziale o etnica del titolare dei dati;

(b) le sue opinioni politiche;

(c) le sue convinzioni religiose o altre convinzioni di simile natura;

(d) la sua appartenenza a un'organizzazione professionale, come un sindacato;

(e) la sua salute o condizione fisica o mentale;

(f) la sua vita sessuale;

(g) la perpetrazione o la presunta perpetrazione di un reato da parte sua; o

(h) i processi per i reati che egli ha, o si presume abbia, commesso, la loro conclusione o la sentenza emessa da un tribunale in tali processi."

(10) "1. Il titolare dei dati ha dato il suo esplicito consenso all'elaborazione dei dati personali.

2.(1) L'elaborazione è necessaria per esercitare un diritto o adempiere un obbligo conferito o imposto dalla legge al controllore dei dati nell'ambito della sua funzione.

(2) Il Comitato può con un ordine:

(a) escludere l'applicazione del paragrafo (1) in taluni casi da specificare; o

(b) stabilire che, in taluni casi da specificare, la condizione di cui al paragrafo (1) non è soddisfatta a meno di non soddisfare altre condizioni specificate dall'ordine.

3. L'elaborazione è necessaria:

(a) per proteggere interessi vitali del titolare dei dati o di un'altra persona, quando:

(b) per proteggere interessi vitali di un'altra persona, quando il titolare dei dati, o chi per lui, nega l'assenso in modo irragionevole.

4. L'elaborazione:

(a) viene effettuata nel quadro delle legittime attività di un ente o un'associazione che:

(b) viene effettuata salvaguardando adeguatamente i diritti e le libertà dei titolari dei dati;

(c) riguarda solo persone membri dell'ente o dell'associazione o che hanno con esso contatti regolari legati ai suoi scopi; e

(d) non rivela dati personali a terzi senza il consenso del titolare dei dati.

5. L'informazione contenuta nei dati personali è stata resa pubblica in virtù di decisioni prese deliberatamente dal titolare dei dati.

6. L'elaborazione:

(a) è necessaria o si riferisce a un procedimento giudiziario (compresi quelli futuri);

(b) è necessaria al fine di ottenere un parere legale; o

(c) è necessaria per instaurare, esercitare o difendere dei diritti legali.

7.(1) L'elaborazione è necessaria:

(a) per l'amministrazione della giustizia;

(b) per l'esercizio di una funzione conferita per legge a una persona; o

(c) per l'esercizio di una funzione della Corona, di un avvocato della Corona o di un Comitato degli "Stati".

(2) Il Comitato può con un ordine:

(a) escludere l'applicazione del paragrafo (1) in taluni casi da specificare; o

(b) stabilire che, in taluni casi da specificare, la condizione di cui al paragrafo (1) non è soddisfatta a meno di non soddisfare altre condizioni specificate dall'ordine.

8.(1) L'elaborazione è necessaria a fini sanitari e viene effettuata da:

(a) un professionista del settore medico-sanitario; o

(b) una persona che, nella fattispecie, ha un dovere di riservatezza equivalente a quello che essa avrebbe se fosse un professionista del settore medico-sanitario.

(2) In questo paragrafo "fini sanitari" comprende fini di prevenzione medica, diagnostici, di ricerca, terapeutici e di trattamento e gestione di servizi sanitari.

9.(1) L'elaborazione:

(a) riguarda dati personali sensibili consistenti in informazioni sull'origine razziale o etnica;

(b) è necessaria a individuare o controllare se esista o no uguaglianza di opportunità o di trattamento tra persone di origini razziali o etniche diverse, per promuovere o mantenere tale uguaglianza; e

(c) viene effettuata salvaguardando adeguatamente i diritti e le libertà dei titolari dei dati.

(2) Il Comitato può con un ordine precisare le condizione alle quali l'elaborazione, di cui al paragrafo (1), punti (a) e (b), abbia, o no, salvaguardato adeguatamente i diritti e le libertà dei titolari dei dati, ai sensi del paragrafo (1), punto (c).

10. I dati personali sono elaborati a condizioni specificate in un ordine del Comitato nell'ambito delle finalità di questo paragrafo."

(11) "(1) Una persona fisica può in qualunque momento, mediante istanza scritta a un controllore dei dati, chiedere che questi al termine di un periodo ragionevole a seconda delle circostanze, cessi, o non inizi, l'elaborazione di dati personali, di cui egli è titolare, a fini di commercializzazione diretta.

(2) Se una corte si convince, su ricorso di chiunque abbia inviato un'istanza ai sensi del paragrafo (1), che il controllore dei dati non si e conformato all'istanza, essa può ordinargli di conformarvisi nei modi che essa ritiene opportuni.

(3) In questa articolo "commercializzazione diretta" indica la comunicazione, con ogni mezzo, di materiali pubblicitari o promozionali alle persone singole.

(12) "(1) Fatte salve le seguenti disposizioni di questa articolo e degli articoli 8 e 9, una persona fisica ha il diritto:

(d) se l'elaborazione elettronica di dati personali di cui tale persona é titolare, al fine di valutare aspetti che lo riguardino come, ad esempio, rendimento professionale, solvibilità, affidabilità o comportamento, costituisce o può costituire l'unica base per decisioni che lo riguardano da vicino, di essere informato dal controllore dei dati della logica su cui si fonda tale elaborazione".

(13) "(1) In qualunque momento, una persona fisica, con istanza scritta rivolta a un controllore dei dati, può chiedere a quest'ultimo di garantire che nessuna decisione presa dal controllore stesso, o a suo nome, e che riguardi da vicino il richiedente, si basi solo sull'elaborazione automatica dei dati personali, di cui tale persona è titolare, al fine di valutare aspetti che lo riguardino come, ad esempio, rendimento professionale, solvibilità, affidabilità o comportamento.

(2) Se non è stata formulata alcuna istanza ai sensi del paragrafo (1) e una decisione che riguardi da vicino una persona fisica si basa solo sull'elaborazione di cui al paragrafo (1):

(a) il controllore dei dati deve, appena ragionevolmente possibile, informare la persona che la decisione è stata presa su tale base; e

(b) la persona, entro 21 giorni dal ricevimento della notifica del controllore dei dati, può chiedere, con istanza scritta a quest'ultimo, che riconsideri la decisione o che prenda una nuova decisione su una base diversa.

(3) ) Entro 21 giorni dal ricevimento di un'istanza ai sensi del paragrafo (2), punto

(b) ("l'istanza del titolare dei dati"), il controllore dei dati deve inviare alla persona fisica che gliela ha trasmessa un avviso scritto che indichi i provvedimenti che egli intende prendere per soddisfare la richiesta del titolare dei dati.

(4) Un'istanza ai sensi del paragrafo (1) non ha effetti nei confronti di una decisione d'eccezione; e nel paragrafo (2) non si applica nulla a una decisione d'eccezione.

(5) Nel paragrafo (4) "decisione d'eccezione" significa una decisione:

(a) nei cui confronti la condizione del paragrafo (6) e quella del paragrafo (7) sono soddisfatte; o
(b) che viene presa in circostanze diverse che possono essere prescritte dal Comitato con un ordine.

(6) La condizione in questo paragrafo è che la decisione:

(a) sia presa nell'ambito di provvedimenti:

(b) sia autorizzata o richiesta da un testo di legge.

(7) La condizione in questo paragrafo è che:

(a) l'effetto della decisione sia di soddisfare una richiesta del titolare dei dati; oppure

(b) siano presi provvedimenti per salvaguardare interessi legittimi del titolare dei dati (per esempio, permettendogli di esprimersi).

(8) Se, su istanza del titolare dei dati, una corte si convince che chi prende decisioni ("la persona responsabile") riguardanti il titolare dei dati non ha soddisfatto i requisiti di cui al paragrafo (1) o (2), punto (b), essa può ordinare alla persona responsabile di riconsiderare la decisione o di prendere una nuova decisione non basata solo sull'elaborazione di cui al paragrafo (1).

(9) Un ordine ai sensi del paragrafo (8) riguarderà solo i diritti del titolare dei dati e della persona responsabile."

(14) "(1) Il Commissario deve far sì che i controllori dei dati seguano buone pratiche e, in particolare, deve assolvere alle proprie funzioni, fissate dalla presente legge, in modo tale che i controllori dei dati ne osservino i requisiti.

(2) Il Commissario, in forme e modi adeguati, diffonde l'informazione che ritiene opportuno fornire al pubblico sul funzionamento di questa legge, sulle buone pratiche e su altri aspetti nell'ambito delle sue funzioni ai sensi di questa legge, e può fornire un parere a chiunque su qualunque argomenti ad essa inerente.

(3) Se:

(a) il Comitato stabilisce con un ordine in tal senso; o

(b) il Commissario ritiene opportuno agire in tal modo;

il Commissario, consultatosi con associazioni professionali, titolari dei dati o persone che li rappresentino, nei modi che ritiene opportuni, preparerà e diffonderà alle persone che ritiene adatte codici professionali di orientamento nelle buone pratiche.

(4) Il Commissario inoltre:

(a) se lo ritiene opportuno, incoraggia le associazioni professionali a preparare e a diffondere ai loro membri, tali codici professionali; e

(b) se un'associazione professionale sottopone alla sua considerazione un codice professionale, lo esaminerà e, consultatosi con titolari dei dati o loro rappresentanti nei modi che ritiene opportuni, notificherà all'associazione professionale se secondo lui il codice promuove l'adozione di buone pratiche.

(5) Un ordine ai sensi del paragrafo (3) descriverà i dati personali o l'elaborazione cui si riferirà il codice professionale e potrà anche descrivere le persone o le classi di persone cui si rivolge.

(6) Il Commissario diffonderà nei modi che ritiene opportuni:

(a) le constatazioni comunitarie definite al paragrafo 15, punto (2) della parte II del Programma 1;

(b) le decisioni della Commissione europea, prese ai sensi della procedura di cui all'articolo 31, paragrafo 2 della direttiva sulla protezione dei dati, e ai fini dell'articolo 26, paragrafi 3 o 4 della stessa direttiva; e

(c) le altre informazioni, che riterrà opportuno comunicare ai controllori dei dati, sui dati personali e la tutela dei diritti e delle libertà dei loro titolari, relative all'elaborazione dei dati personali in paesi e territori esterni al Bailato.

(7) Il Commissario, con il consenso del controllore dei dati, può valutare un'elaborazione dei dati personali finalizzata all'adozione di una buona pratica e informerà il controllore dei dati dei risultati della valutazione.

(8) Il Commissario può fatturare gli importi fissati con il consenso del Comitato per qualsiasi servizio fornito dal suo ufficio in virtù della presente Parte.

(9) In questa articolo:

"buona pratica" è la pratica di elaborazione dei dati personali che il Commissario ritiene migliore, rispetto agli interessi dei titolari dei dati e di terzi, e che soddisfa i requisiti della presente legge (senza limitarvisi);

"associazione professionale" è un ente che rappresenti dei controllori di dati.

(15) "(1) Una persona colpevole di infrazioni ai sensi della presente legge, che non siano quelle di cui al paragrafo 11 dell'allegato 8, è passibile:

(a) previa condanna in procedimento sommario, di una multa non superiore al livello 5 della "uniform scale"; o

(b) previa condanna in procedimento penale, di una multa.

(2) Una persona colpevole di un'infrazione ai sensi del paragrafo 11 dell'allegato 8 è passibile previa condanna in procedimento sommario di una multa non superiore al livello 5 della "uniform scale".

(3) Fatto salvo il paragrafo (4), la corte dalla quale o davanti alla quale una persona è riconosciuta colpevole:

(a) di un'infrazione ai sensi degli articoli 21 punto (1), 22 punto (6), 55 o 56;

(b) di un'infrazione ai sensi dell'articolo 21 punto (2) relativo a un'elaborazione valutabile ai fini dell'articolo 22; o

(c) di un'infrazione ai sensi dell'articolo 47 punto (1) relativa a una nota esecutiva; può ordinare che documenti o altri materiali usati nell'elaborazione dei dati personali e, per la corte, collegati alla perpetrazione dell'infrazione, siano ritirati, distrutti o cancellati.

(4) La corte emetterà ordini ai sensi del paragrafo (3) su un materiale, solo se a una persona (diversa dall'accusato) che sostenga di essere il proprietario del materiale o ad esso altrimenti interessato e che chieda di essere sentita dalla corte, sarà data la possibilità di illustrare i motivi per cui l'ordine non debba essere emesso."

(16) "(1) In questo articolo "elaborazione valutabile" indica l'elaborazione di una descrizione specificata in un ordine emesso dal Comitato cui sembra particolarmente probabile che essa:

(a) causi un danno o uno svantaggio sostanziale ai titolari dei dati; o

(b) pregiudichi comunque in misura notevole diritti e libertà dei titolari dei dati.

(2) Al ricevimento di una notifica da un controllore dei dati ai sensi dell'articolo 18 o dei regolamenti di notifica di cui all'articolo 20, il Commissario considererà:

(a) se l'elaborazione cui si riferisce la notifica è un'elaborazione valutabile; e

(b) in tal caso, se l'elaborazione valutabile possa soddisfare le disposizioni di questa legge.

(3) Fatto salvo il paragrafo (4), il Commissario, entro 28 giorni dal giorno in cui riceve una notifica sull'elaborazione valutabile, informa il controllore dei dati sulla misura in cui egli ritiene che l'elaborazione si conformi o meno alle disposizioni di questa legge.

(4) Prima della fine del periodo di cui al paragrafo (3) il Commissario, in circostanze particolari, con un avviso al controllore dei dati può prorogare una sola volta tale periodo di altri 14 giorni al massimo, secondo le sue istruzioni nell'avviso.

(5) Una elaborazione valutabile, in merito alla quale è pervenuta al Commissario una notifica ai sensi del paragrafo (2), verrà effettuata solo se:

(a) sarà trascorso il periodo di 28 giorni dal giorno in cui la notifica perviene al Commissario (o, nel caso di cui al paragrafo (4), del periodo prorogato ai sensi di tale paragrafo); o

(b) prima della fine di tale periodo (o del periodo prorogato) il controllore dei dati avrà ricevuto una notifica dal Commissario ai sensi del paragrafo (3) inerente l'elaborazione.

(6) Se il paragrafo (5) non viene rispettato, il controllore dei dati commette un'infrazione.

(7) Il Comitato può con un ordine emendare i paragrafi (3), (4) e (5) sostituendo al numero di giorni del periodo ivi precisato, un numero diverso precisato nell'ordine.

(17) "(1) Una persona fisica danneggiata dall'infrazione di un controllore dei dati nei confronti di un requisito della presente legge ha diritto a essere indennizzato dal controllore dei dati per tale danno.

(2) Una persona fisica svantaggiata dall'infrazione di un controllore dei dati nei confronti di un requisito della presente legge ha diritto a essere indennizzato dal controllore dei dati per tale svantaggio se:

(a) tale persona subisce un danno anche a causa dell'infrazione; o

(b) l'infrazione si riferisce all'elaborazione dei dati personali per scopi speciali.

(3) Una persona accusata in virtù del presente articolo potrà difendersi provando che in tutte le circostanze essa ha usato ogni diligenza ragionevolmente dovuta per soddisfare il requisito in questione.