CE - IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI Parere 9/2007 - WP142 sul livello diprotezione dei dati personali nelle Isole Faer er adottato il 9 ottobre 2007
IL GRUPPO DI LAVORO PER LATUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI,
vista la direttiva95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativaalla tutela delle persone fisiche con riguardo al trattamento dei datipersonali, nonch alla libera circolazione di tali dati1 (inseguito: "la direttiva"), in particolare larticolo 29 e larticolo30, paragrafo 1, lettera b),
visto il regolamentointerno del Gruppo di lavoro2, in particolare gli articoli 12 e 14,
HA ADOTTATO IL SEGUENTEPARERE: 1. INTRODUZIONE: LEGGESULLA PROTEZIONE DEI DATI NELLE ISOLE FAER ER 1.1. La situazionenelle Isole Faer er Le Isole Faer er sonosituate nell'Atlantico del nord. Sono composte da 18 isole, separate dastretti bracci di mare o fiordi. Dal punto di vista amministrativo, sono suddivise in sette distretti con 120 comuni. Assieme alla Danimarca e alla Groenlandia formano il Regno di Danimarca, una monarchia costituzionale. Con l'adozione della leggesull'autonomia del 1948, le isole sono diventate una regione autonoma delRegno di Danimarca. La legge sull'autonomia distingue gli affari politici indue gruppi principali: gli affari comuni, di competenza del Regno, e gliaffari speciali (propri delle Isole Faer er), disciplinati dalle autorit amministrative e legislative delle Isole Faer er. Ai sensi di tale legge, leautorit delle Isole Faer er (parlamento e governo) sono competenti alegiferare e amministrare in materia di affari speciali3. I settorinon compresi negli affari speciali sono considerati affari comuni e sono dicompetenza delle autorit legislative e amministrative del Regno. Tuttavia anche in questisettori possono essere delegate alcune competenze specifiche, qualil'amministrazione o l'adozione di determinate norme nel quadro di decretireali.
Nei settori trasferitidalle autorit del Regno, le autorit delle Isole Faer er hanno pienacompetenza economica, legislativa e amministrativa. Per quanto concerne lasituazione dei dati personali nelle Isole Faer er, la materia disciplinatada leggi del parlamento locale e da leggi concernenti gli affari comuni. La legge sulla protezione dei dati, adottata dal parlamento locale nel 2001, amministrata dall'Agenzia per la protezione dei dati delle Isole Faer er. La legge danese sullaprotezione dei dati si applica solo ai trattamenti dei dati effettuati dalleautorit del Regno (polizia, pubblico ministero, autorit penitenziarie distrettuali, servizio penitenziario e di libert vigilata, alto commissariodelle Isole Faer er, autorit preposte al trattamento delle cause di dirittodi famiglia, autorit ecclesiastiche). Poich tale legge4 si basasulla direttiva, si presume che garantisca come minimo un livello diprotezione adeguato in materia di trattamento dei dati personali. Diconseguenza, il presente documento non prende in esame i settori da essadisciplinati.
1.2. Quadro normativovigente in materia di protezione dei dati Le osservazioni sui lavoripreparatori della legge delle Isole Faer er relativa alla protezione dei datilasciano intendere che sono state prese in considerazione sia la legislazionedanese sia quella norvegese. In virt di una serie di dichiarazioni effettuatedalla Danimarca tra il 1994 e il 2003, i protocolli 7, 9 e 13 della Convenzione europea del 1950 per la salvaguardia dei diritti dell'uomo siapplicano alle Isole Faer er. In conformit di una dichiarazione effettuatadalla Danimarca al momento della ratifica, la Convenzione 108 non si applicaalle Isole Faer er. Il sistema di protezionedei dati comprende un insieme di norme volte a proteggere le persone fisiche icui dati sono oggetto di trattamento. Tali norme si basano su principi evalori simili a quelli previsti dal diritto comunitario. La legge sultrattamento dei dati personali (in seguito: "la legge")5costituisce la base della legislazione applicabile nelle Isole Faer er inmateria di protezione dei dati. Essa rispecchia chiaramente il contenuto delladirettiva. In virt dell'articolo 299del trattato che istituisce la Comunit europea, la direttiva non si applicaalle Isole Faer er, che pertanto sono un paese terzo ai sensi degli articoli25 e 26 della direttiva.
2. VALUTAZIONE DEL LIVELLODI ADEGUATEZZA DELLA PROTEZIONE DEI DATI PERSONALI GARANTITO DALLA LEGGE DELLEISOLE FAER ER SULLA PROTEZIONE DEI DATI Il Gruppo "articolo29" per la tutela dei dati personali (in seguito: "il Gruppo di lavoro") valuta ladeguatezza della normativa in materia di protezione deidati delle Isole Faer er, facendo riferimento alla legge sulla protezione deidati.
Criteri metodologici I criteri metodologici perla valutazione del sistema di protezione dei dati delle Isole Faer er sonostati fissati dal Gruppo di lavoro nel documento "Trasferimento di dati personali verso paesi terzi:applicazione degli articoli 25 e 26 della direttiva europea 1. Principi di contenuto: finalit limitata qualit eproporzionalit trasparenza sicurezza diritti di accesso,rettifica e opposizione restrizioni aisuccessivi trasferimenti principi supplementarida applicare in casi specifici di trattamento, quali quelli concernenti (i) idati sensibili, (ii) la commercializzazione diretta e (iii) le decisioniautomatizzate
2. Meccanismi diprocedura/applicazione: assicurare un buonlivello di osservanza delle norme fornire sostegno allapersona interessata garantire unrisarcimento adeguato alla parte lesa La legge si applica al trattamentodei dati personali delle persone fisiche nel settore privato e pubblico7.Tuttavia applicabile solo "se: 1) il trattamento dei dati personali Ai sensi della legge, per"dati personali" si intende "qualsiasi informazione Tale definizionecorrisponde alla prima parte della definizione di "dati personali" contenuta nell'articolo 2, lettera a), della direttiva.
2.1. Principi di contenuto Principi fondamentali
Principio dellafinalit limitata: i dati devonoessere trattati per una finalit determinata e successivamente usati oulteriormente comunicati solo nella misura in cui non vi sia incompatibilitcon la finalit del trasferimento. Le uniche deroghe a tale norma sarebberoquelle necessarie in ogni societ democratica per una delle ragioni elencatenell'articolo 13 della direttiva. Altre deroghe sono possibili ai sensi dell'articolo 9 della direttiva qualora si rivelino necessarie per garantire lalibert di espressione.
Il Gruppo di lavoroconstata soddisfatto che le Isole Faer er rispettano tale principio. Ai sensi dell'articolo 8,comma 2, della legge, i dati personali devono essere raccolti solo perfinalit determinate e legittime, in conformit della professionedell'incaricato del trattamento, e non devono essere successivamente trattatiin modo incompatibile con tali finalit. possibile derogare solo in caso di consensoesplicito e per finalit storiche, statistiche e scientifiche. pertantoammesso un numero inferiore di deroghe rispetto a quello previstodall'articolo 13 della direttiva.
Principio della qualite della proporzionalit: i datidevono essere esatti e, se necessario, aggiornati. Devono essere adeguati,pertinenti e non eccedenti rispetto alle finalit per cui sono oggetto ditrasferimento o di successivo trattamento.
In virt dell'articolo 8,comma 3, della legge, i dati devono essere pertinenti e non eccedenti rispettoalle finalit per le quali sono raccolti o successivamente trattati. In conformit del comma 6 dello stesso articolo, il trattamento dei dati deveessere esatto e organizzato in modo tale da garantire l'opportuno aggiornamentodei dati. Devono inoltre essere effettuati i controlli necessari per garantirela cancellazione o la rettifica tempestiva dei dati che si rivelano inesatti ofuorvianti. Il Gruppo di lavoro ritiene pertanto che la legge delle Isole Faerer soddisfi il principio della qualit e della proporzionalit.
Principio dellatrasparenza: la persona devericevere informazioni sulle finalit del trattamento e sullidentit delresponsabile del trattamento nel paese terzo, nonch qualunque altra informazionenecessaria per effettuare un trattamento leale. Le sole deroghe consentitedevono essere in linea con larticolo 11, paragrafo 2, e con larticolo 13della direttiva. Tale principio soddisfatto dall'articolo 21 della legge, secondo cui, quando i dati sonoottenuti da una persona diversa dalla persona interessata, il responsabile del trattamento che raccoglie i dati deve indicare alla persona interessata qualidati personali sono stati raccolti, il nome e l'indirizzo del responsabile deltrattamento, le finalit del trattamento, gli eventuali successivitrasferimenti e il nome dei destinatari, nonch ogni altra informazionenecessaria alla persona interessata per tutelare i propri interessi inconformit della legge. Tale norma non si applica quando la persona interessata gi in possesso delle suddette informazioni, quando laregistrazione o la comunicazione dei dati prevista per legge o quandofornire tali informazioni impossibile o richiede sforzi sproporzionati. Ai sensi dell'articolo 22si pu derogare a tale norma: quando la comunicazione delle informazioni pucompromettere la sicurezza nazionale o la politica estera; per motivi diprevenzione della criminalit; quando la comunicazione contraria agliinteressi della persona interessata per motivi di salute o di caratterepersonale; per motivi di riservatezza previsti dalla legge; quando leinformazioni sono destinate ad uso interno; quando sussistono interessipubblici o privati superiori. In linea generale, tali deroghe sono conformi aquelle autorizzate dalla direttiva.
Principio dellasicurezza: il responsabile deltrattamento dei dati dovrebbe adottare misure di sicurezza tecniche eorganizzative appropriate rispetto ai rischi che il trattamento presenta.Chiunque agisca sotto l'autorit del responsabile del trattamento, compresol'incaricato del trattamento, non deve effettuare operazioni di trattamento dei dati se non per disposizione del responsabile del trattamento stesso. L'articolo 31, commi da 2a 5, della legge tratta della sicurezza. Le persone fisiche o giuridiche cheoperano per conto del responsabile del trattamento o dell'incaricato del trattamento possono elaborare i dati ai quali hanno accesso solo dietroistruzione del responsabile del trattamento. Il trattamento deve essereeffettuato in base a un accordo scritto tra le parti che preveda questaclausola. Il responsabile del trattamento e l'incaricato del trattamentodevono attuare misure tecniche ed organizzative appropriate al fine di garantireche il trattamento avvenga in modo conforme alle disposizioni della leggeconcernenti l'affidabilit, la libert personale e l'accesso, e per proteggerei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione non autorizzata, dall'usoabusivo e da qualsiasi altra forma di trattamento contraria alla legge. Idatori di lavoro del responsabile del trattamento e dell'incaricato deltrattamento e l'Agenzia per la protezione dei dati devono avere accesso alleprove documentali delle misure di sicurezza organizzative. Le istruzioni delresponsabile del trattamento non possono limitare la libert di stampa nimpedire la produzione di un'opera artistica o letteraria. Gli obblighi previstidalla legge delle Isole Faer er in materia di misure di sicurezza tecniche eorganizzative soddisfano il principio della sicurezza.
Diritti di accesso,rettifica e opposizione: la personainteressata deve avere diritto di ottenere copia di tutti i dati trattati chela riguardano, e il diritto di far rettificare i dati inesatti. In determinatesituazioni la persona interessata deve inoltre potersi opporre al trattamentodi dati che la riguardano. Le uniche deroghe a questi diritti devono Per quanto concerne ildiritto di accesso, l'articolo 19 della legge prevede che il responsabile deltrattamento debba indicare alla persona interessata che ne faccia richiesta ilnome e l'indirizzo del responsabile del trattamento e dei suoi rappresentanti e subalterni, le modalit e le finalit del trattamento, la natura dei datitrattati e la loro origine, la loro eventuale comunicazione a terzi, glieventuali destinatari e le misure di sicurezza applicate, purch taliinformazioni non compromettano la sicurezza. Sotto questo aspetto, la leggedelle Isole Faer er sembra conforme ai principi del WP12. Le deroghepreviste dall'articolo 22, commi 1, 3 e 4, sembrano coerenti con quelle autorizzate dall'articolo 13 della direttiva. Ci si pu chiedere se la derogarelativa ai dati destinati esclusivamente ad uso interno e non comunicati aterzi sia conforme a tale articolo. A quanto pare in questo caso le normeconcernenti l'informazione non si applicano e quindi il diritto di essereinformati viene meno quando i dati sono usati solo internamente e non sonocomunicati a terzi. Le Isole Faer er hannoinformato il Gruppo di lavoro che la traduzione originale dell'articolo 22,comma 1, punto 5, della legge inesatta. La traduzione avrebbe dovuto esserela seguente: "che figurano esclusivamente in testi redatti per fini preparatori interni e che non sono stati comunicati a terzi". Le Isole Faer er hannoinoltre informato il Gruppo di lavoro che la deroga va valutata tenendo contodella legge delle Isole Faer er relativa all'accesso ai documenti contenutiin fascicoli amministrativi, cui la legge sul trattamento dei dati personalifa riferimento. Ai sensi di quella legge, tra l'altro, i documenti interni derogano alle norme sull'accesso, ma sempre possibile accedere alleinformazioni in essi contenute. Tale norma simile a quella relativa aidocumenti interni della legge danese sull'accesso ai registri pubblici.
Le Isole Faer er hanno infineinformato il Gruppo di lavoro che la deroga di cui all'articolo 22, comma 1,punto 5, proviene direttamente dalla legge norvegese sul trattamento dei datipersonali.
Tenuto conto delleinformazioni supplementari fornite dalle Isole Faer er in merito allaformulazione e alla sua interpretazione, la deroga al diritto di essereinformati applicabile ai documenti interni non sembra costituire una gravelimitazione a tale diritto.
Quanto al diritto direttifica, l'articolo 27 della legge impone al responsabile del trattamentol'obbligo di rettificare, cancellare o congelare i dati personali, e di notificare tali operazioni, di propria iniziativa o su richiesta della personainteressata, ai terzi cui sono state comunicate le informazioni. Tale articolorisponde a quanto richiesto dal WP12, vale a dire che la persona interessatapossa ottenere la rettifica dei dati inesatti.
Il diritto di opposizione previsto dall'articolo 26 della legge, secondo cui la persona interessatapu in qualsiasi momento opporsi al trattamento di dati che la riguardano e,se l'opposizione mantenuta, il trattamento non pu pi riguardare tali dati.Detta disposizione conferisce alla persona interessata diritti pi ampirispetto a quelli richiesti dal WP12, che prevede il riconoscimento deldiritto di opposizione "in determinate situazioni".
Restrizioni aisuccessivi trasferimenti: isuccessivi trasferimenti di dati personali da parte del destinatario del primotrasferimento devono essereconsentiti soltanto quando anche il secondo destinatario (ossia ildestinatario del trasferimento successivo) soggetto a norme che garantisconoun livello di tutela adeguato. Le uniche deroghe consentite devono
Ai sensi dell'articolo 16della legge, i trasferimenti di dati personali verso paesi stranieri possonoessere effettuati solo se tali paesi garantiscono un livello di protezioneadeguato e se l'Agenzia per il trattamento dei dati personali d la sua autorizzazione. L'adeguatezza del livello di protezione garantito da un paesestraniero va valutata alla luce di tutte le circostanze relative altrasferimento: finalit e durata dell'operazione di trattamento, natura deidati, disposizioni di legge vigenti nel paese straniero in questione e normeprofessionali e misure di sicurezza osservate in quel paese.
Per trasferire datipersonali verso paesi stranieri necessaria l'autorizzazione dell'Agenzia peril trattamento dei dati personali11. Tuttavia, il ministro dellaGiustizia pu decidere, su raccomandazione dell'Agenzia, che i dati possonoessere trasferiti verso determinati paesi senza l'autorizzazione dell'Agenzia12.Tali disposizioni figurano nel decreto ministeriale n. 33, ai sensi del qualei dati personali possano essere trasferiti verso gli Stati membri dell'UE,l'Islanda, la Norvegia, la Svizzera, l'Argentina, Guernsey e l'Isola di Mansenza l'autorizzazione dell'Agenzia per il trattamento dei dati personali13.Il trasferimento di dati personali verso paesi stranieri sembra pertantorichiedere una valutazione simile a quella prevista dal diritto comunitario14.La valutazione effettuata dall'Agenzia per il trattamento dei dati personali.
Le disposizioni dellalegge relative al trasferimento di dati personali sembrano soddisfare icriteri del WP12. Le deroghe15 si limitano a quelle autorizzate dall'articolo 26 della direttiva.
Principi supplementari Dati sensibili La legge fissa lecondizioni alle quali i dati sensibili possono essere trattati. Il WP12 richiede a tal fine che siano poste in essere garanzie supplementari che prevedanola menzione specifica del consenso esplicito della persona interessata.L'articolo 10 della legge elenca le condizioni che devono essere soddisfatteper poter trattare i dati personali sensibili. Commercializzazionediretta: se il trasferimento deidati avviene per finalit di commercializzazione diretta, la personainteressata deve essere in grado di decidere in qualsiasi momento lesclusionedei dati che la riguardano da un simile impiego. Ai sensi della legge, pertrasferire dati per finalit di commercializzazione diretta necessario ilconsenso della persona interessata. La comunicazione a un terzo di dati relativi a un consumatore per finalit di commercializzazione o l'uso di talidati per conto di un terzo per le stesse finalit richiede il consensoesplicito della persona interessata17, che pu revocarlo inqualsiasi momento18. La persona interessata ha il diritto diopporsi al trattamento dei dati che la riguardano19, il che implicache, se la sua opposizione giustificata20, pu esigere che talidati non siano usati per finalit di commercializzazione. Il diritto di opposizione pu essere esercitato inqualsiasi momento21.
Di conseguenza, il livellodi protezione garantito dalla legge in relazione alla commercializzazionediretta conforme al WP 12.
Decisioni individualiautomatizzate: se la finalit deltrasferimento consiste nelladozione di una decisione automatizzata ai sensidellarticolo 15 della direttiva, la persona dovrebbe avere il diritto diconoscere la logica a cui tale decisione risponde e dovrebbero essere adottatialtri provvedimenti per garantire la salvaguardia del suo interesse legittimo.
Le Isole Faer er hannoinformato il Gruppo di lavoro che ad oggi la legge delle Isole Faer er noncontiene disposizioni specifiche riguardanti le decisioni automatizzate.
Le Isole Faer erritengono che la persona interessata riceva protezione attraverso altredisposizioni della legge, quali il diritto di accesso, il diritto di essereinformati e il diritto di opposizione.
Per quanto concerne ledecisioni delle autorit pubbliche, la persona interessata riceve protezioneanche attraverso le leggi relative all'amministrazione e all'accesso. In conformitdelle norme amministrative non scritte applicabili nelle Isole Faer er, le autorit pubbliche devono valutare ogni questione separatamente e pertanto non possono ricorrere a decisioni automatizzate.
2.2. Meccanismi diprocedura/applicazione: In base ai principienunciati nel WP12, per valutare l'adeguatezza dell'ordinamento giuridico diun paese terzo occorre individuare gli obiettivi di fondo di un sistema procedurale per la tutela dei dati e quindi procedere ad esaminare i diversimeccanismi procedurali giudiziari e non giudiziari applicati in quel paese.
Gli obiettivi di unsistema di tutela dei dati sono: assicurare un buon livello di osservanzadelle norme; fornire aiuto e sostegno alla persona interessata nellesercizio dei propri diritti; garantire un risarcimento adeguato alla parte lesa in casodi violazione delle norme.
Assicurare un buonlivello di osservanza delle norme:tra i responsabili del trattamento dei dati si pu rilevare un elevato gradodi consapevolezza dei propri obblighi e tra le persone interessate la medesimaconsapevolezza dei propri diritti e degli strumenti per esercitarli. Diparticolare importanza, al fine di garantire il rispetto delle norme, lesistenza di sanzioni efficaci e dissuasive, al pari, ovviamente, di sistemidi verifica diretta da parte di autorit, revisori o addetti indipendenti allatutela dei dati. Il Gruppo di lavoroconstata che la legge delle Isole Faer er prevede vari strumenti perraggiungere tale obiettivo, tra cui:
(a) Garante per laprotezione dei dati La legge delle Isole Faerer prevede l'istituzione di un'Agenzia per la protezione dei dati22.
L'Agenzia per laprotezione dei dati, composta da un consiglio e da un segretariato, incaricata di vigilare su tutte le operazioni di trattamento contemplate dallalegge sul trattamento dei dati personali, ed esercita il suo mandato in pienaindipendenza. Il governo non pupertanto dare ordini o istruzioni all'Agenzia, le cui decisioni sono definitive e non possono essere impugnate n dinanzi al ministero dellaGiustizia n dinanzi a qualsiasi altra autorit amministrativa.
I membri del consigliosono nominati dal ministro della Giustizia per un periodo di 4 anni. Di normanon possono essere destituiti. Tuttavia, in casi eccezionali, ad esempio incaso di frode finanziaria, il ministro pu procedere alla destituzione di unmembro. I membri del consiglio agiscono secondo le norme della"competenza ad agire", che garantisce l'indipendenza delle decisionidel consiglio.
L'Agenzia per laprotezione dei dati finanziata dal bilancio delle Isole Faer er, fissatodal parlamento locale. collegata al bilancio assegnato dal parlamento al ministero della Giustizia. Una volta che il parlamento ha fissato la sovvenzione,spetta all'Agenzia gestirla.
Considerate le suddettegaranzie, si pu senza dubbio ritenere che le condizioni per garantire lapiena indipendenza dell'Agenzia siano soddisfatte.
Va infine ricordato chel'Agenzia delle Isole Faer er organizzata esattamente come l'omologaagenzia danese.
L'Agenzia assicura, dipropria iniziativa o in risposta a denunce delle persone interessate, che idati siano trattati in conformit della legge, si occupa delle notificazioni edelle richieste di autorizzazione, tiene un registro pubblico di tutte le notificazioni e autorizzazioni, redige pareri su proposte legislative,controlla il trattamento dei dati personali, fornisce, se del caso, direttiveper il settore privato e pubblico, vigila sul rispetto delle buone pratiche,controlla gli sviluppi in materia di trattamento dei dati personali nelleIsole Faer er e in paesi terzi e fornisce informazioni su tali evoluzioni.
L'Agenzia pu ingiungereal responsabile del trattamento di porre fine a un'operazione di trattamentovietata e di rettificare, cancellare o congelare determinati dati oggetto deltrattamento. Pu inoltre vietargli di usare una determinata procedura che possa comportare un trattamento illecito dei dati o pu imporgli di attuarespecifiche misure di sicurezza tecniche ed organizzative per impedire iltrattamento di dati che non possono essere trattati e per garantire laprotezione dei dati dalla distruzione accidentale o illecita, dalla perditaaccidentale o dall'alterazione, dalla diffusione non autorizzata, dall'usoabusivo e da qualsiasi altra forma di trattamento illecito. In determinaticasi pu emettere un'ingiunzione contro l'incaricato del trattamento.
I membri e il personaledell'Agenzia devono poter accedere in qualsiasi momento, senza bisogno diun'ordinanza del giudice, a tutti i locali da cui sono effettuate le operazioni di trattamento o che consentono l'accesso ai dati oggetto ditrattamento, e a tutti i locali in cui sono conservati o usati dati ostrumenti tecnici.
I poteri di cui disponel'Agenzia rispondono ai requisiti di adeguatezza.
Le relazioni annualiriferiscono di tutte le attivit dell'Agenzia e sono disponibili al pubblicosul sito web dell'Agenzia23. Ad oggi l'Agenzia ha pubblicato trerelazioni, relative al 2002, al 2003 e al 200424.
(b) Mezzi esecutiviadeguati e sanzioni adeguate Per sollecitare le personetenute a garantire un buon livello di conformit alle norme di fondo adadempiere al loro obbligo, la legge prevede sanzioni per inosservanza dellesue disposizioni. Tuttavia, se un'altra legge prevede sanzioni pi severe, le sanzioni saranno applicate in base a tale legge25. Le sanzionipossono essere disposte solo dal giudice26.
Tutte le disposizioniessenziali della legge sono assistite da sanzioni pecuniarie o detentive perinosservanza della legge e dall'obbligo di risarcire i danni in rapporto allemisure di sicurezza di cui all'articolo 31. Sono passibili di sanzioni sia lepersone fisiche che le persone giuridiche.
Fornire sostegno allapersona interessata: ogni personadeve essere in grado di far rispettare i propri diritti in modo rapido edefficace, ad un costo non proibitivo. A tal fine dovrebbero essere istituitimeccanismi istituzionali che consentano di condurre unindagine indipendentein caso di denuncia. I diritti della personainteressata sono elencati nel capo 7 della legge27. L'articolo 30 indica ilmodo in cui una persona interessata pu far valere i propri diritti, vale adire presentando denuncia all'Agenzia per la protezione dei dati. Inalternativa, la persona interessata pu adire il giudice distrettuale in basealle norme generali di diritto. La decisione dell'Agenzianon pu essere impugnata n dinanzi al ministero della Giustizia n dinanzi aqualsiasi altra autorit amministrativa, ma solo dinanzi al giudice. Una funzione dell'Agenzia fornire assistenza nell'interpretazione della legge. L'Agenzia accessibile atutti, esamina le denunce delle persone interessate e si pronuncia sullepresunte violazioni della legge. In particolare, i cittadini possono chiederledi effettuare valutazioni che forniranno un sostegno istituzionale per le questioni da trattare. La procedura di valutazione descritta dettagliatamentenel sito web dell'Agenzia ed gratuita.
Garantire unrisarcimento adeguato alla parte lesa:si tratta di un elemento essenziale, che necessita di un sistema di arbitratoindipendente in grado di deliberare la corresponsione di un indennizzo e diimporre eventualmente sanzioni. Ai sensi dell'articolo 46della legge, il responsabile del trattamento tenuto a risarcire qualsiasidanno causato dal trattamento dei dati personali effettuato in violazione delle disposizioni della legge, a meno che sia provato che tale danno non avrebbepotuto essere evitato usando la diligenza e la cura richieste per iltrattamento dei dati personali.
Gli articoli 44 e 45dispongono sanzioni pecuniarie e detentive in caso di violazione della legge.Chiunque svolga attivit commerciali pu essere privato del diritto di svolgere tali attivit se viene condannato per un reato di cui alla legge.
Di conseguenza, il Gruppodi lavoro ritiene che la legge delle Isole Faer er preveda disposizionisufficienti per garantire un risarcimento adeguato per le persone che hannosubito un pregiudizio dalla violazione delle norme pertinenti.
3. RISULTATI DELLAVALUTAZIONE
Sebbene la legge delleIsole Faer er non soddisfi tutti gli obblighi imposti agli Stati membri dalladirettiva sulla tutela dei dati, il Gruppo di lavoro consapevole che con iltermine "adeguatezza" non si intende l'equivalenza completa con illivello di protezione fissato dalla direttiva. Pertanto, sulla base delleconstatazioni summenzionate e delle informazioni supplementari fornite dalleIsole Faer er, il Gruppo di lavoro giunge alla conclusione che le Isole Faerer garantiscono un livello di protezione adeguato ai sensi dell'articolo 25,paragrafo 6, della direttiva 95/46/CE del Parlamento europeo e del Consiglio,del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione di tali dati.
Fatto a Bruxelles, il 9ottobre 2007 Per il Gruppo di lavoro il Presidente
1 GU L281 del 23.11.1995, pag. 31, consultabile all'indirizzo: http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm 2 Adottato dal Gruppo di lavoro nella terza riunione l'11.9.1996. 3 Leggesull'autonomia, articolo 1. 4 Leggen. 429, del 31 maggio 2000, sul trattamento dei dati personali. Legge diattuazione della direttiva 95/46/CE del Parlamento europeo e del Consiglio,del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardoal trattamento dei dati personali, nonch alla libera circolazione di talidati. 5 Leggen. 73 dell'8 maggio 2001. 6 Cfr.anche il documento della Commissione europea "Preparation of amethodology for evaluating the adequacy of the level of protection of individuals with regardto the processing of personal data" (Lussemburgo: Ufficio delle Pubblicazioni ufficiali delleComunit europee, 1998). 7 Articolo 1 e articolo 3, comma 1, della legge. 8 Articolo3, comma 1, della legge. Tale norma conforme all'articolo 3, paragrafo 1,della direttiva 95/46/CE. 9 Articolo 3, comma 2, della legge. 10 Articolo 2, comma 1, della legge. 11 Articolo16, comma 1, della legge. 12 Articolo 16, comma 2, della legge. 13 Articolo 1, comma 1, del decreto ministeriale n. 33, dell'11.4.2005, relativoal trasferimento di dati personali verso paesi senza l'autorizzazionedell'Agenzia per la protezione dei dati personali. 14 Lalegge delle Isole Faer er tuttavia leggermente diversa dall'articolo 25della direttiva 95/46/CE. 15 Articolo17 della legge. 16 Articolo2, comma 9, della legge. 17 Articolo 9, comma 3, della legge. 18 Articolo 29 della legge. 19 Articolo 26, comma 1, della legge. 20 Articolo 26, comma 2, della legge. 21 Articolo 26, comma 1, della legge. 22 Articolo36 della legge. 23 Articolo 41 della legge. 24 Lerelazioni sono disponibili in lingua locale sulla home page dell'Agenzia per laprotezione dei dati: http://www.datueftirlitid.fo/index.asp?pID={6A552A7B-263D-4D06-B468-F966DDAD0A15} 25 Articolo44, comma 1, della legge. 26 Costituzionedanese del 5 giugno 1953, articoli 3 e 63. 27 Articolida 26 a 30 della legge.
|