Parere 7/2009  - WP 166

sul livello di protezione dei dati personali nel Principato di Andorra

adottato il 1� dicembre 2009

 

Il Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch� alla libera circolazione di tali dati, in particolare l'articolo 29 e l'articolo 30, paragrafo 1, lettera b),

visto il regolamento interno del Gruppo di lavoro, in particolare gli articoli 12 e 14,

HA ADOTTATO IL SEGUENTE PARERE:

 

1. INTRODUZIONE

Il 21 maggio 2008 l'ambasciatore di Andorra presso l'Unione europea ha chiesto alla Commissione di avviare la procedura per dichiarare che Andorra garantisce un livello di protezione adeguato ai sensi dell'articolo 25, paragrafo 6, della direttiva 95/46/CE.

Al fine di valutare l'adeguatezza della protezione dei data ad Andorra, la Commissione ha incaricato il Centre de Recherches Informatique et Droit (CRID) dell'Universit� di Namur di stilare una relazione. Il CRID ha elaborato una relazione approfondita che analizza il rispetto da parte del sistema normativo andorrano delle condizioni di diritto sostanziale, nonch� l'attuazione dei meccanismi di protezione dei dati personali definiti nel documento di lavoro "Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati", adottato dal Gruppo di lavoro il 24 luglio 1998 (documento WP12).

La relazione � stata discussa dal sottogruppo "Zona di sicurezza" nella riunione del 18 marzo 2009.

In occasione di questa riunione, il sottogruppo ha proposto che il presidente del Gruppo di lavoro inviasse una lettera alle autorit� andorrane, nella quale, oltre a valutare positivamente l'attuale regime di protezione dei dati ad Andorra, si evidenziassero alcune questioni che andavano chiarite meglio.

Il 31 luglio 2009 le autorit� di Andorra, tramite l'Agenzia andorrana per la protezione dei dati (Andorran Data Protection Agency – APDA), hanno inviato al Gruppo di lavoro una relazione dettagliata con la quale hanno risposto a tutte le domande poste nella lettera.

La relazione andorrana � stata discussa dal sottogruppo e, inoltre, � stata oggetto di un'audizione, svoltasi il 16 settembre 2009, durante la quale i membri del sottogruppo hanno chiesto alle autorit� andorrane, rappresentate dal direttore dell'ADPA, dal responsabile del suo dipartimento Ispezioni e dal responsabile del suo dipartimento giuridico, di delucidare quei punti che dopo la discussione della relazione delle autorit� andorrane continuavano a necessitare di ulteriore chiarimento.

Nella riunione del 12 e 13 ottobre 2009, il sottogruppo ha informato il Gruppo di lavoro delle conclusioni dell'audizione e ha proposto l'adozione del presente parere nei termini esposti di seguito; la proposta � stata adottata dal Gruppo di lavoro nella stessa riunione.

 

2. LA LEGISLAZIONE SULLA PROTEZIONE DEI DATI NEL PRINCIPATO DI ANDORRA

Andorra � un piccolo Stato situato nei Pirenei tra la Francia e la Spagna e, per estensione territoriale, � il sesto paese pi� piccolo al mondo. Andorra conta circa 80 000 abitanti. L'attivit� economica � concentrata nel settore terziario (in cui opera l'89 % delle imprese del paese), in particolare nel turismo. Solo un terzo della popolazione ha la cittadinanza andorrana.

Queste caratteristiche sono particolarmente significative per la protezione dei dati personali, in quanto incidono necessariamente sui flussi di dati verso o da Andorra e in particolare sulla visibilit� delle decisioni adottate dall'organo di controllo della protezione dei dati.

A seguito dell'adozione della costituzione mediante referendum popolare il 14 marzo 1993, Andorra � un coprincipato parlamentare; le funzioni dei due coprincipi sono esercitate dal Presidente della Repubblica francese e dal Vescovo di Urgell.

L'articolo 14 della costituzione del Principato di Andorra sancisce la tutela del diritto alla riservatezza, all'onore e alla reputazione e afferma il diritto di chiunque a essere protetto dalla legge contro le ingerenze illegittime nella vita privata o familiare.

La protezione dei dati personali � disciplinata dalla Legge qualificata n. 15/2003 del 18 dicembre sulla protezione dei dati personali (in seguito LQPDP), attuata con diversi strumenti tra cui due decreti del 1� luglio 2004, il primo che adotta il regolamento dell'Agenzia andorrana per la protezione dei dati, e il secondo il regolamento del Registro pubblico degli archivi di dati personali. Inoltre, nel corso della procedura descritta al punto 1, le autorit� andorrane hanno informato il Gruppo di lavoro dell'imminente adozione dei regolamenti generali sulla protezione dei dati che andranno a integrare e precisare le disposizioni dell'LQPDP; i regolamenti dovranno essere adottati negli ultimi mesi del 2009 o all'inizio del 2010.

A livello internazionale Andorra ha firmato e ratificato la Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libert� fondamentali (in vigore dal 22 gennaio 1996) e il relativo Protocollo (in vigore dal 6 maggio 2008), nonch� il Patto internazionale relativo ai diritti civili e politici (in vigore dal 19 luglio 2006).

Nell'ambito della protezione dei dati, Andorra ha firmato e ratificato la Convenzione 108 del Consiglio d'Europa sulla protezione delle persone rispetto al trattamento automatizzato dei dati a carattere personale e il relativo Protocollo addizionale, entrati entrambi in vigore il 1� settembre 2008.

Occorre infine evidenziare che, in virt� dell'articolo 3 della costituzione di Andorra, i trattati e gli accordi internazionali producono effetti nell'ordinamento giuridico andorrano dalla loro pubblicazione nella Gazzetta ufficiale del Principato di Andorra e non possono essere modificati o derogati con legge. In altri termini, dal momento della loro ratifica questi trattati e accordi fanno parte del diritto andorrano e sono direttamente applicabili ad Andorra.

 

3. VALUTAZIONE DELL'ADEGUATEZZA DELLA PROTEZIONE DEI DATI PERSONALI GARANTITA DALLA LEGISLAZIONE SULLA PROTEZIONE DEI DATI DEL PRINCIPATO DI ANDORRA

Il Gruppo di lavoro sottolinea che la valutazione dell'adeguatezza della legislazione sulla protezione dei dati in vigore ad Andorra si riferisce essenzialmente alla Legge qualificata sulla protezione dei dati personali del 2003.

Le disposizioni di questa legge sono state comparate con le principali disposizioni della direttiva, tenendo conto del parere WP12 del Gruppo di lavoro. Detto parere elenca una serie di principi che costituiscono un "nucleo" di principi di "contenuto" e di prescrizioni di "procedura/applicazione", la cui osservanza potrebbe essere considerata una condizione minima di adeguatezza della tutela.

3.1. Principi di contenuto

a) Principi fondamentali

1) Il principio della finalit� limitata: i dati dovrebbero essere trattati per una finalit� specifica e successivamente utilizzati o ulteriormente comunicati soltanto nella misura in cui non vi sia incompatibilit� con la finalit� del trasferimento. Le sole deroghe a tale norma sarebbero quelle necessarie in ogni societ� democratica per una delle ragioni elencate nell�articolo 13 della direttiva.

Il Gruppo di lavoro ritiene che la legislazione di Andorra rispetti questo principio. In particolare, l'articolo 11, lettera a), dell'LQPDP precisa che il trattamento di dati personali pu� essere effettuato dai responsabili del trattamento solo se i dati sono trattati ai fini previsti dalla norma o decisione che istituisce gli archivi di dati personali.

In conformit� con questo principio, l'articolo 27 della LQPDP impone ai responsabili degli archivi di natura privata l'obbligo di iscrivere gli archivi nel registro gestito dall'Agenzia andorrana per la protezione dei dati, indicando espressamente ai sensi dell'articolo 28, lettera c), "la finalit� del trattamento dei dati".

Allo stesso modo, l'articolo 30 stabilisce come requisito per la creazione di un archivio di natura pubblica l'adozione di una norma di creazione che deve essere approvata dall'organo pubblico responsabile del trattamento e pubblicata nella Gazzetta ufficiale del Principato di Andorra. Tale norma, ai sensi dell'articolo 31, lettera a), deve specificare la "finalit� del trattamento dell'archivio".

Il divieto di trattare dati a fini incompatibili con quelli menzionati deriva dall'applicazione diretta della convenzione 108, secondo il cui articolo 5, lettera b), "[i] dati a carattere personale oggetto di una elaborazione automatica devono essere [�] registrati per fini determinati e legittimi e non devono essere utilizzati in modo incompatibile con tali fini". Come detto, questo principio � direttamente applicabile nel diritto andorrano in forza dell'articolo 3 della costituzione.

 

2) Il principio della qualit� e della proporzionalit�: i dati dovrebbero essere precisi e, se del caso, aggiornati. Essi dovrebbero essere adeguati, pertinenti e commisurati alle finalit� per cui sono oggetto di trasferimento o di ulteriore trattamento.

Il Gruppo di lavoro ritiene che il principio della qualit� figuri espressamente all'articolo 11, lettera b), dell'LQPDP, secondo cui il trattamento di dati personali pu� essere effettuato dai responsabili del trattamento solo se i dati oggetto del trattamento corrispondono ai dati personali reali degli interessati e se, a tal fine, sono adottate misure per aggiornarli o cancellarli.

Riguardo al principio di proporzionalit�, il Gruppo di lavoro tiene di nuovo conto del fatto che ad Andorra � direttamente applicabile la Convenzione 108, il cui l'articolo 5, lettera c), vieta il trattamento di dati che risultino eccessivi in rapporto ai fini per i quali sono registrati.

Il Gruppo di lavoro ritiene pertanto che la legislazione di Andorra rispetti questo principio.

 

3) Il principio della trasparenza: la persona dovrebbe ricevere informazioni riguardanti la finalit� del trattamento e l'identit� del responsabile del trattamento nel paese terzo, nonch� qualunque altra informazione necessaria ad assicurare una procedura equa. Le sole deroghe consentite dovrebbero essere in linea con l�articolo 11, paragrafo 2 e con l�articolo 13 della direttiva.

Secondo il Gruppo di lavoro il diritto all'informazione dell'interessato � disciplinato dagli articoli 13 e 15 dell'LQPDP, che riguardano i casi in cui i dati sono stati raccolti rispettivamente presso l'interessato oppure presso terzi.

L'articolo 13 dell'LQPDP dispone che, al momento della raccolta dei dati, l'interessato debba essere informato dal responsabile del trattamento, in termini analoghi a quelli utilizzati nella direttiva, riguardo a:

(a) l'identit� del responsabile del trattamento;

(b) la finalit� del trattamento;

(c) i destinatari o le categorie di destinatari;

(d) i diritti di accesso ai dati, di rettifica e cancellazione e il modo di esercitare tali diritti;

(e) il diritto dell'interessato di non acconsentire al trattamento e le conseguenze che ne derivano.

In merito alla lettera e), il Gruppo di lavoro ritiene che il riferimento al consenso riguardi i casi in cui il consenso deve essere prestato in conformit� con le disposizioni dell'LQPDP che regolano la legittimit� del trattamento, figuranti al capo II della stessa legge andorrana.

Su questo punto il Gruppo di lavoro ritiene che le osservazioni fatte dalle autorit� andorrane durante l'audizione col sottogruppo sulla definizione di consenso contenuta nell'LQPD siano sufficienti per dichiarare tale consenso conforme alle condizioni definite dalla direttiva.

Se i dati non sono raccolti presso l'interessato, l'articolo 15 dell'LQPDP prevede che, qualora i dati siano comunicati a terzi, questi ultimi debbano informare l'interessato, entro 15 giorni dal ricevimento dei dati, circa le disposizioni dell'articolo 13, lettere da a) a d), nonch� circa l'identit� della persona fisica o giuridica dalla quale il responsabile ha ricevuto i dati, essendo l'interessato autorizzato, se la legge lo prevede, ad opporsi al trattamento e a chiedere la cancellazione dei dati entro un mese dal ricevimento delle informazioni.

Il Gruppo di lavoro ritiene quindi che la legislazione di Andorra rispetti questo principio.

4) Il principio della sicurezza: il responsabile del trattamento dei dati dovrebbe adottare misure di sicurezza tecniche e organizzative commisurate ai rischi che il trattamento presenta. Chiunque operi sotto l�autorit� del responsabile del trattamento, compresi gli incaricati del trattamento, procede al trattamento dei dati solo su istruzione del responsabile.

Il Gruppo di lavoro ritiene che la legislazione di Andorra rispetti questo principio.

L'articolo 12 della LQPDP stabilisce espressamente quanto segue:

I responsabili del trattamento devono attuare le misure tecniche e organizzative necessarie a garantire la riservatezza e la sicurezza dei dati personali oggetto del trattamento.

Se il trattamento � affidato, in tutto o in parte, a fornitori di servizi in materia di dati personali, spetta al responsabile del trattamento assicurarsi che i fornitori abbiano messo in atto le misure tecniche e organizzative necessarie a garantire la riservatezza e la sicurezza dei dati oggetto del servizio.

Il concetto di "fornitore di servizi in materia di dati personali" corrisponde a quello di incaricato del trattamento di cui alla direttiva, dato che l'articolo 3, paragrafo 5, dell'LQPDP lo definisce come la persona fisica o giuridica, di carattere pubblico o privato, che tratta i dati per conto del responsabile del trattamento o che ha accesso a dati personali al fine di fornire un servizio per conto e sotto il controllo del responsabile del trattamento, premesso che il fornitore non pu� utilizzare a fini privati i dati cui ha accesso n� pu� farne un uso che vada oltre le istruzioni ricevute o per fini diversi dal servizio da fornire al responsabile del trattamento.

 

5) Diritti di accesso, rettifica e opposizione: la persona interessata dovrebbe avere il diritto di ottenere una copia di tutti i dati trattati che la riguardano, nonch� il diritto di far rettificare i dati di comprovata inesattezza. In determinate situazioni, la persona interessata dovrebbe inoltre potersi opporre al trattamento dei dati che la riguardano. Le sole deroghe a tali diritti dovrebbero essere in linea con l�articolo 13 della direttiva.

L'articolo 22 dell'LQPDP riguarda il diritto di accesso e stabilisce che l'interessato ha il diritto di essere informato dal responsabile del trattamento in merito ai dati oggetto del trattamento. Il responsabile del trattamento deve accordare tale diritto entro cinque giorni e pu� scegliere la modalit� per trasmettere le informazioni all'interessato. Il Gruppo di lavoro osserva che la procedura � conforme all'articolo 12 della direttiva, che garantisce a qualsiasi interessato il diritto di ottenere "la comunicazione in forma intelligibile dei dati che sono oggetto dei trattamenti, nonch� di tutte le informazioni disponibili sull'origine dei dati".

Il diritto di rettifica � definito dall'articolo 23 dell'LQPDP come il diritto dell'interessato di ottenere la rettifica dei dati oggetto del trattamento se essi sono inesatti; il diritto deve essere accordato entro un mese dalla richiesta. Ad eccezione dei casi menzionati in appresso, il responsabile del trattamento pu� rifiutare tale diritto solo se l'interessato non fornisce l'eventuale documentazione necessaria, per provare la sussistenza di un errore nel trattamento. Il Gruppo di lavoro ritiene che questo diritto corrisponda a quello fissato all'articolo 12 della direttiva.

Il Gruppo di lavoro osserva inoltre che la legislazione del Principato di Andorra non presenta una norma che regoli il diritto di opposizione in termini analoghi a quelli dell'articolo 14 della direttiva. Tale lacuna � tuttavia colmata dalle disposizioni che disciplinano i diritti di opposizione e cancellazione di cui agli articoli 15 e 24 dell'LQPD.

Secondo la prima di queste disposizioni, l'interessato pu� opporsi, nei limiti stabiliti dallo stesso articolo 15, al trattamento dei propri dati a seguito della loro comunicazione a terzi entro un mese dal ricevimento dell'informazione che deve essergli obbligatoriamente trasmessa.

Il diritto di cancellazione � definito nell'LQPDP come il diritto dell'interessato di chiedere al responsabile del trattamento di cancellare i dati che sono oggetto del trattamento. Il responsabile deve rispondere alla richiesta entro un mese dal suo ricevimento. Una deroga � possibile solo se esiste una disposizione legale o contrattuale che impone di proseguire il trattamento.

L'LQPDP prevede solo due tipi di deroghe a questi diritti: le deroghe che riguardano esclusivamente il diritto di opposizione, applicabili a ogni trattamento (articolo 15), e quelle che riguardano tutti i diritti, ma che sono applicabili solo ad archivi pubblici o giudiziari (articolo 32).

Il Gruppo di lavoro ritiene che le deroghe suddette siano interpretabili ai sensi dell'articolo 13 della direttiva, tenuto conto anche dei chiarimenti dati al riguardo dalle autorit� di Andorra. Il Gruppo di lavoro osserva inoltre che le disposizioni che regolano ogni singolo diritto dispongono espressamente che se il diritto � rifiutato, il rifiuto � suscettibile di ricorso dinanzi all'autorit� competente.

 

6) Restrizioni ai successivi trasferimenti: i successivi trasferimenti di dati personali da parte del destinatario del primo trasferimento dovrebbero essere consentiti soltanto quando anche il secondo destinatario (ossia il destinatario del trasferimento successivo) � soggetto a norme che assicurano un livello adeguato di tutela. Le sole deroghe consentite dovrebbero essere in linea con l�articolo 26, paragrafo 1, della direttiva.

Il capo VI dell'LQPDP riguarda i trasferimenti internazionali di dati e precisa innanzitutto che la comunicazione internazionale di dati non pu� aver luogo se il paese destinatario dei dati non assicura, nella sua normativa, un livello di protezione dei dati personali almeno equivalente a quello garantito dalla presente legge.

Il Gruppo di lavoro ritiene soddisfacente l'interpretazione del termine "equivalente" utilizzato nella legge andorrana e i chiarimenti forniti dalle autorit� del Principato, che hanno precisato che il termine dovrebbe essere interpretato in conformit� con l'articolo 25 della direttiva, nel senso che la limitazione riguarda i paesi che non assicurano un livello di protezione "adeguato". Il Gruppo di lavoro tiene inoltre conto del chiarimento dato all'articolo 36 della legge andorrana, che considera "equivalente" il livello di protezione fissato negli Stati membri e in quegli Stati che "la Commissione delle comunit� europee ha dichiarato Stati con un livello di protezione equivalente".

L'articolo 37 dell'LQPDP enuncia le deroghe alla regola generale dell'adeguatezza, cui si � fatto riferimento, specificando che sono possibili trasferimenti:

(a) effettuati con il consenso inequivocabile dell'interessato;

(b) effettuati in conformit� con accordi internazionali ai quali il Principato di Andorra � parte contraente;

(c) attuati con la finalit� di fornire aiuti internazionali o per il riconoscimento, l'esercizio e la difesa di un diritto nel quadro di un procedimento giudiziario;

(d) realizzati a fini di prevenzione o diagnosi medica, cure sanitarie, prevenzione o valutazione sociale o nell'interesse vitale della persona interessata;

(e) fatti in occasione di trasferimenti monetari o bonifici bancari;

(f) necessari per stabilire, eseguire, attuare o verificare rapporti giuridici o obblighi contrattuali tra l'interessato e il responsabile del trattamento;

(g) necessari per tutelare l'interesse pubblico;

(h) riguardanti dati provenienti da registri pubblici o effettuati per adempiere le funzioni e le finalit� di registri pubblici.

Il Gruppo di lavoro ritiene che le spiegazioni e i chiarimenti forniti dalle autorit� andorrane su questo punto siano sufficienti per considerare le deroghe di cui sopra conformi con quelle contemplate all'articolo 26, paragrafo 1, della direttiva.

Di conseguenza e in aggiunta alle deroghe riguardanti il consenso gi� menzionate, il Gruppo di lavoro ritiene che le deroghe riportate alla lettera e) dovrebbero essere considerate figuranti all'articolo 26, paragrafo 1, lettere b) e c), della direttiva.

Inoltre, il Gruppo di lavoro accoglie con soddisfazione i chiarimenti delle autorit� andorrane secondo cui l'interesse pubblico di cui al punto g) deve essere sempre di grande rilevanza, dato che il sistema giuridico andorrano non contempla la possibilit� di un interesse pubblico, ma solo dell'interesse pubblico, cosicch�, in questo paese, non � data l'esistenza di un interesse pubblico che non sia di grande rilevanza.

Allo stesso modo, il Gruppo di lavoro prende atto con soddisfazione dei chiarimenti delle autorit� andorrane riguardanti i concetti di "registri pubblici" e "registri accessibili al pubblico". Il trasferimento di cui alla lettera h) pu� pertanto verificarsi solo nella misura e nei casi previsti dalle norme applicabili ad ogni registro, cosicch� non sar� mai possibile n� un trasferimento in blocco dei dati conservati in un registro pubblico, n� un trasferimento in una misura e a condizioni diverse da quelle previste dalle norme applicabili, le quali in generale impongono che il richiedente abbia un interesse legittimo per verificare il contenuto del registro.

Infine, viste soprattutto le peculiarit� geografiche e demografiche di Andorra, il Gruppo di lavoro ritiene sufficienti anche le dichiarazioni sulla deroga di cui alla lettera d), deroga che pu� quindi considerarsi compresa all'articolo 26, paragrafo 1, lettera e) della direttiva.

b) Principi supplementari

Il documento WP12 riporta alcuni principi da applicare in casi specifici di trattamento, in particolare:

1) Dati sensibili: se il trattamento riguarda categorie di dati �sensibili� (quelle elencate all�articolo 8 della direttiva), si dovrebbero porre in essere misure di salvaguardia supplementari, come ad esempio l�obbligo del consenso esplicito al trattamento da parte della persona interessata.

Il Gruppo di lavoro ritiene che la legislazione andorrana rispetti questo principio, in particolare tenuto conto delle disposizioni degli articoli da 19 a 21 dell'LQPDP e della definizione di dati sensibili di cui all'articolo 3, paragrafo 11, della stessa legge, che comprende un elenco di tali dati corrispondente a quello di cui all'articolo 8 della direttiva.

In particolare, in virt� dell'LQPDP i dati sensibili possono essere oggetto di trattamento o di comunicazione solo con il consenso esplicito dell'interessato. � inoltre espressamente vietata la creazione di archivi che abbiano come unica finalit� la raccolta e il trattamento di dati sensibili.

Il Gruppo di lavoro accoglie con soddisfazione i chiarimenti fatti dalle autorit� andorrane sulle norme specifiche applicabili al trattamento dei dati sanitari e, in particolare, l'obbligo di segretezza espressamente previsto nel sistema normativo andorrano, nonch� sulle norme concernenti l'anonimato in caso di studi epidemiologici.

2) Commercializzazione diretta: se il trasferimento dei dati avviene per finalit� di commercializzazione diretta, la persona interessata dovrebbe essere in grado di decidere in qualsiasi momento l'esclusione dei dati che la riguardano da un simile impiego.

La legislazione andorrana non contempla espressamente questo principio. Tuttavia, il Gruppo di lavoro osserva che esso � garantito dalla legislazione tramite l'applicazione di diverse norme.

Cos�, al momento della raccolta dei dati, il responsabile del trattamento deve informare l'interessato delle finalit� del trattamento e, se del caso, ottenerne il consenso (articoli 13 e 17 dell'LQPDP).

Allo stesso modo, se i dati non sono raccolti direttamente presso l'interessato, quest'ultimo deve essere informato delle finalit� del trattamento entro quindici giorni e pu� rifiutare il trattamento entro il mese successivo (articolo 15).

Infine, l'interessato pu� esercitare in qualsiasi momento il diritto di cancellazione, che pu� essere rifiutato solo nei casi previsti dalla legge; tali casi non possono mai comprendere l'utilizzo di dati per finalit� dirette di commercializzazione (articolo 24 dell'LQPDP). Pertanto, se l'interessato chiede la cessazione del trattamento per tali finalit� dopo la raccolta del trattamento o l'esercizio del diritto di cui all'articolo 15 dell'LPDP, il responsabile del trattamento � tenuto a conformarsi a tale richiesta.

Il Gruppo di lavoro ritiene quindi che la legislazione andorrana garantisca questo principio.

3) Decisioni individuali automatizzate: se la finalit� del trasferimento consiste nell�adozione di una decisione automatizzata ai sensi dell�articolo 15 della direttiva, la persona dovrebbe avere il diritto di conoscere la logica a cui tale decisione risponde e dovrebbero essere adottati altri provvedimenti per garantire la salvaguardia del suo interesse legittimo.

Come nel caso precedente, questo principio non � espressamente contemplato nella legislazione di Andorra.

Il Gruppo di lavoro tiene conto dei chiarimenti dati dalle autorit� andorrane sulla tutela del diritto dell'interessato in materia di decisioni individuali automatizzate, in particolare laddove � detto che l'interessato pu� sempre esercitare i diritti di accesso e cancellazione previsti nell'LQPDP, il che consente alla persona di conoscere la logica a cui il trattamento corrisponde e di opporvisi.

Tuttavia, e sebbene ci� non infici la valutazione positiva della normativa andorrana, il Gruppo di lavoro ritiene altamente auspicabile che nella legislazione del Principato questo principio figuri espressamente, in modo da dissipare in futuro ogni dubbio in merito alla sua possibile applicazione.

A tal fine, il Gruppo di lavoro esprime soddisfazione circa il fatto che l'LQPDP sar� oggetto di imminenti regolamenti di attuazione e chiede alle autorit� del Principato di Andorra di enunciare chiaramente in tali regolamenti, in termini analoghi a quelli utilizzati nell'articolo 15 della direttiva, il principio in oggetto.

3.2. Meccanismi di procedura/applicazione

Nel documento WP12 sul �Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati� si evidenzia che per valutare l'adeguatezza del sistema giuridico di un paese terzo � necessario individuare gli obiettivi di fondo di un sistema procedurale per la tutela dei dati e da qui procedere a esaminare i diversi meccanismi procedurali giudiziari e non giudiziari applicati nei paesi terzi.

Gli obiettivi di un sistema di tutela dei dati sono essenzialmente tre:

– assicurare un buon livello di osservanza delle norme;

– fornire aiuto e sostegno alla persona interessata nell�esercizio dei propri diritti;

– garantire un risarcimento adeguato alla parte lesa in caso di violazione delle norme.

a) Assicurare un buon livello di osservanza delle norme: in un buon sistema, tra i responsabili del trattamento dei dati si pu� generalmente rilevare un elevato grado di consapevolezza dei propri obblighi e tra le persone interessate la medesima consapevolezza dei propri diritti e degli strumenti per esercitarli. Di particolare importanza, al fine di garantire il rispetto delle norme, � l�esistenza di sanzioni efficaci e dissuasive, al pari, ovviamente, di sistemi di verifica diretta da parte di autorit�, revisori o addetti indipendenti alla tutela dei dati.

Il Gruppo di lavoro ritiene che il suddetto obiettivo sia rispettato, tenendo conto delle diverse disposizioni previste dalla legislazione andorrana, in particolare di quelle esposte di seguito.

 

L'Agenzia andorrana per la protezione dei dati (APDA)

Il capo VII dell'LQPDP istituisce l'Agenzia andorrana per la protezione dei dati quale organo pubblico dotato di personalit� giuridica, indipendente dalla pubblica amministrazione e con piena capacit� di agire.

Il regolamento dell'Agenzia la definisce come autorit� indipendente che esercita le proprie funzioni con obiettivit� e in piena indipendenza dall'amministrazione pubblica andorrana e che intrattiene relazioni col governo tramite il ministero dell'Economia. Il Gruppo di lavoro ritiene che, secondo il diritto pubblico andorrano, tale rapporto non implichi una dipendenza gerarchica di nessun tipo.

Inoltre, il Gruppo di lavoro evidenzia che le norme contemplate nell'LQPDP e nel regolamento dell'APDA dimostrano l'indipendenza dell'Agenzia per quanto riguarda la nomina e la revoca del direttore e dei due ispettori che la compongono, nonch� la sua autonomia finanziaria, dato che la nomina e la revoca delle persone nelle funzioni suddette e il bilancio dell'Agenzia sono approvati dall'organo legislativo (Consell General), che per i primi due casi richiede una maggioranza qualificata speciale. Inoltre, per valutare tale indipendenza il Gruppo di lavoro tiene conto del fatto che avverso le decisione dell'APDA � ammesso solo il ricorso giurisdizionale.

L'LQPDP attribuisce all'APDA competenze adeguate per assicurare il rispetto delle norme di protezione dei dati. In generale, spetta all'APDA garantire l'osservanza di tali norme. In particolare, il Gruppo di lavoro osserva che l'LQPDP attribuisce all'APDA la facolt� di esercitare il potere di ispezione e di imporre le sanzioni applicabili nei casi di infrazione definiti al capo V della presente legge.

 

Mezzi di esecuzione e sanzioni

Il capo V dell'LQPDP riguarda le sanzioni da irrogare in caso di violazione delle sue disposizioni e stabilisce, come principio generale, che ogni violazione alla presente legge da parte di persone fisiche o giuridiche di natura privata � passibile di sanzione amministrativa. La prima violazione commessa dal responsabile di un archivio � passibile di un'ammenda fino a 50 000 euro, mentre le violazioni successive commesse dallo stesso responsabile potranno essere sanzionate con un'ammenda fino a 100 000 euro (articolo 33).

Se il responsabile del trattamento � un ente pubblico, l'articolo 34 stabilisce che sono applicabili le disposizioni che regolano il regime disciplinare. Il Gruppo di lavoro prende atto dei chiarimenti forniti dalle autorit� andorrane, secondo cui il riferimento fatto nell'LQPDP al regime "disciplinare" nel settore della pubblica amministrazione dovrebbe essere interpretato come riferimento a un regime "sanzionatorio" e secondo cui l'articolo 14 del regolamento dell'Agenzia conferisce a quest'ultima potere sanzionatorio sugli archivi delle pubbliche amministrazioni, parlando al riguardo di norme sanzionatorie specifiche. Il Gruppo di lavoro prende inoltre atto del potere di bloccare le basi di dati a titolo di misura preventiva.

Ispezioni e sanzioni, come illustrato, sono di competenza dell'APDA. Il Gruppo di lavoro rileva l'ampia portata di detti poteri alla luce delle disposizioni dell'LQPDP e del regolamento dell'Agenzia.

Considerato quanto precede, il Gruppo di lavoro ritiene che la legislazione di Andorra presenti gli elementi necessari ad assicurare un buon livello di osservanza delle norme suddette.

b) Fornire aiuto e sostegno alla persona interessata nell�esercizio dei propri diritti: ogni singola persona deve essere in grado di far rispettare i propri diritti in modo rapido ed efficace e ad un costo non proibitivo. A tal fine occorre porre in essere qualche meccanismo istituzionale che consenta di condurre un'indagine indipendente in caso di denuncia.

Il Gruppo di lavoro constata che la legislazione di Andorra ha messo in atto diversi meccanismi per conseguire tale obiettivo.

Da un lato, l'articolo 25 della legge dispone che l'esercizio dei diritti di accesso, rettifica, cancellazione e opposizione non pu� essere assoggettato a formalit� ad opera del responsabile dell'archivio n� al pagamento, da parte dell'interessato, delle spese che possono derivarne. Se questi diritti non sono rispettati, l'LQPDP prevede la possibilit� di ricorso avverso la decisione dinanzi al giudice competente.

Inoltre, l'articolo 41, paragrafo 3, dell'LQPDP conferisce all'APDA la facolt� di avviare un'indagine di propria iniziativa o su richiesta di ogni interessato che ritenga che i propri diritti siano lesi o che il responsabile del trattamento abbia violato gli obblighi imposti dalla legge. Dal canto suo, l'articolo 20, paragrafo 2, del regolamento dell'Agenzia fa esplicito riferimento a indagini svolte su richiesta di interessati, imponendo all'APDA l'obbligo di procedere alle ispezioni da essi richieste.

Alla luce di quanto precede, il Gruppo di lavoro ritiene che la legislazione di Andorra contenga le disposizioni necessarie per fornire aiuto e sostegno all'interessato nell�esercizio dei propri diritti.

c) Garantire un risarcimento adeguato alla parte lesa in caso di violazione delle norme: si tratta di un elemento essenziale, che necessita di un sistema di arbitrato indipendente in grado di deliberare la corresponsione di un indennizzo e di imporre eventualmente sanzioni.

L'articolo 26 dell'LQPDP riconosce espressamente il diritto dell'interessato alla corresponsione di un indennizzo per i danni eventualmente derivanti della responsabilit� civile del responsabile del trattamento che abbia violato la legge, e ci� a prescindere dalle sanzioni che l'APDA pu� imporre.

Per questa ragione, il Gruppo di lavoro ritiene che la legislazione di Andorra comprenda le disposizioni necessarie per garantire un risarcimento adeguato alla parte lesa in caso di violazione delle norme.

 

4. RISULTATI DELLA VALUTAZIONE

Concludendo, alla luce di quanto precede, il Gruppo di lavoro ritiene che il Principato di Andorra garantisca un livello adeguato di protezione ai sensi dell�articolo 25, paragrafo 6, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch� alla libera circolazione di tali dati.

Nel contempo, il Gruppo di lavoro chiede che nei regolamenti di attuazione della legge qualificata sulla protezione dei dati personali le autorit� di Andorra tengano conto dei chiarimenti illustrati nel presente parere, in particolare quelli relativi alle disposizioni sulle decisioni individuali automatizzate.

Fatto a Bruxelles, il 1� dicembre 2009

Per il Gruppo di lavoro

Il Presidente

Alex T�RK