GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29 Parere07/2012 – WP198 sul livello di protezione deidati personali nel Principato di Monaco adottato il19 luglio 2012 Il Gruppo per la tutela delle personecon riguardo al trattamento dei dati personali vista la direttiva 95/46/CE del Parlamento europeo e delConsiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche conriguardo al trattamento dei dati personali, nonché alla libera circolazione ditali dati, in particolare l'articolo 29 e l'articolo 30, paragrafo 1, letterab), visto il regolamento interno del Gruppo di lavoro, in particolaregli articoli 12 e 14, HA ADOTTATO IL SEGUENTE PARERE: 1. INTRODUZIONE E CONTESTO L'11 novembre 2009 il Principato di Monaco ha chiesto allaCommissione di avviare la procedura per dichiarare che il Principato di Monacogarantisce un livello di protezione adeguato ai sensi dell'articolo 25,paragrafo 6, della direttiva 95/46/CE. Al fine di valutare l'adeguatezza della protezione dei dati nel Principatodi Monaco, la Commissione ha incaricato il Gruppo di lavoro di formulare unparere che analizzi la misura in cui il sistema normativo monegasco ottemperaai requisiti per l'applicazione delle disposizioni sulla protezione dei datipersonali di cui al documento di lavoro "Trasferimento di dati personali versopaesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sullatutela dei dati", adottato dal Gruppo di lavoro il 24 luglio 1998 (documentoWP12). Durante la sessione plenaria del 4 e 5 aprile 2011 il Gruppo dilavoro ha nominato relatore di questo studio dell'adeguatezza la "Commissionnationale de l'informatique et des libertés" (commissione nazionaledell'informatica e delle libertà, in prosieguo "CNIL") in virtù deisuoi rapporti storici con il Principato di Monaco. La CNIL si è riunita più volte con l'autorità di protezione deidati di Monaco, la "Commission de Contrôle des Informations Nominatives"(commissione di controllo delle informazioni nominative, in prosieguo "CCIN"),al fine di studiare la legislazione monegasca sulla protezione dei dati e lasua attuazione pratica. Viste talune preoccupazioni riguardanti l'effettivaindipendenza della CCIN, il presidente della CNIL ha convocato una riunione dimediazione tra la CCIN e il governo monegasco il 28 maggio 2012, che ha portatoalla conclusione di un accordo che chiarisce le competenze rispettive delle dueparti e le loro relazioni in termini di risorse umane e gestione del bilancio. Come stabilito nel corso della riunione del 6 giugno 2012, ilGruppo di lavoro ha sottoposto il progetto di parere al riesame del sottogruppo"Adeguatezza". Ha inoltre deciso di adottare il presente parere medianteprocedura scritta. Dopo una teleconferenza, il 4 luglio 2012 il progetto di parere èstato trasmesso al sottogruppo "Adeguatezza" per il riesame. La proposta èstata approvata dal Gruppo di lavoro mediante procedura scritta. 2. LA LEGISLAZIONE SULLA PROTEZIONE DEIDATI NEL PRINCIPATO DI MONACO Il Principato di Monaco è il secondo paese più piccolo e piùdensamente popolato del mondo. È un principato retto da una forma di monarchiacostituzionale ereditaria a norma della costituzione del 17 dicembre 1962,modificata il 2 aprile 2002. E' una città-stato sovrana, confinante su tre laticon la Francia e su uno con il mar Mediterraneo. Ha una popolazione di circa 32800 abitanti e la sua attività economica è concentrata sulle transazionicommerciali e, in particolare, sul turismo. Tra il Principato di Monaco e laFrancia vige una forte unione politica, doganale e monetaria. La maggior partedella popolazione è costituita da cittadini francesi (28,4%), seguiti daimonegaschi (21,6%). In virtù dei legami storici tra la Francia e il Principato diMonaco, la legislazione monegasca sulla protezione dei dati è simile allanormativa francese in questo settore. L'articolo 20 della costituzione monegasca ribadisce la tutela deldiritto alla vita privata e dichiara che "chiunque ha diritto al rispettodella propria vita privata e familiare e al segreto della propriacorrispondenza". La protezione dei dati personali è disciplinata dalla legge n.1.165 del 23 dicembre 1993 relativa alla protezione dei dati personali edall'ordinanza sovrana n.2.230 del 29 giugno 2009 che stabilisce le condizionidi attuazione della legge n. 1.165. La legge n. 1.165 è stata modificata dallalegge n. 1.353 del 4 dicembre 2008 e dalla legge n. 1.353 del 1° aprile 2009(in prosieguo "la legge" o "la legge n. 1.165"). La legge istituisce la CCIN quale autorità indipendente. Nel corsodei suoi pochi anni di funzionamento nell'ambito di nuove norme e di un nuovostatuto (dal 2009), la CCIN ha redatto varie linee guida, emanato delibere,elaborato due relazioni annuali e fornito altre informazioni su diversiargomenti (ad esempio dati biometrici, chip del GPS, videosorveglianza, ecc.)per definire i diritti e i doveri delle persone fisiche, delle imprese e delloStato e fornire orientamenti sull'applicazione pratica dei principi in materiadi tutela della vita privata. A livello internazionale il Principato di Monaco ha firmato eratificato la Convenzione per la salvaguardia dei diritti dell'uomo e dellelibertà fondamentali nel 2005, la Convenzione sulla protezione delle personerispetto al trattamento automatizzato di dati a carattere personale(Convenzione n. 108) del Consiglio d'Europa e il suo protocollo addizionale (invigore dal 1° aprile 2009) e, il 28 agosto 1997, il Patto internazionalerelativo ai diritti civili e politici. 3. VALUTAZIONE DELL'ADEGUATEZZA DELLAPROTEZIONE DEI DATI PERSONALI GARANTITA DALLA LEGISLAZIONE MONEGASCA SULLAPROTEZIONE DEI DATI Il Gruppo di lavoro sottolinea che la valutazione dell'adeguatezzadella legislazione sulla protezione dei dati in vigore a Monaco si riferisceessenzialmente alla legge n. 1.165 relativa alla protezione dei dati personalidel 23 dicembre 1993 quale modificata nel 2008 e nel 2009. Le disposizioni di questa legge sono state confrontate con ledisposizioni principali della direttiva, tenendo conto del parere WP12 delGruppo di lavoro. Tale parere elenca una serie di principi che costituiscono un"'nucleo' di principi di 'contenuto' e di prescrizioni di'procedura/applicazione', la cui osservanza potrebbe essere considerata unacondizione minima di adeguatezza della tutela". 3.1. Definizioni La legge fornisce le definizioni di "dati personali","trattamento", "responsabile del trattamento", "destinatario" e "interessato"(articolo 1). Benché manchino alcune definizioni ("archivio", "incaricato deltrattamento", "terzi" e "consenso dell'interessato"), tutti questi concettivengono utilizzati da vari articoli della legge o si deducono da vari articolidella legge1 . Tuttavia, al fine di evitare interpretazioni che potrebberopregiudicare la protezione dei dati personali, sarebbe opportuno che illegislatore monegasco definisse tali concetti. Ciò è importante in particolareper quanto riguarda le definizioni di "consenso" e "incaricato deltrattamento". A tale proposito il Gruppo di lavoro desidera fare riferimento aichiarimenti forniti nei suoi pareri sui concetti di "responsabile deltrattamento", "incaricato del trattamento" e "consenso" (in particolare alfatto che sia "esplicito" e "informato") nonché sul concetto stesso di "datipersonali". 3.2. Campo di applicazione della legislazione Il campo di applicazione della legge è principalmente definito alsuo capo V ed è molto simile agli articoli 3, 4 e 13 della direttiva. Il campo di applicazione materiale della legge contempla tutte leforme di trattamento dei dati personali (automatizzato o non automatizzato,articolo 24-1) a prescindere dalla forma dei dati (articolo 1, paragrafo 1),tutela le persone fisiche e giuridiche (deduzione tratta dagli articoli 3, 13,ecc.) e riguarda i trattamenti effettuati dall'intero settore pubblico eprivato. Potrebbero sorgere perplessità in merito all'introduzione,all'articolo 13 della legge, di disposizioni che consentono alle personegiuridiche di opporsi al trattamento dei loro dati personali. Il Gruppo dilavoro ritiene che il campo di applicazione della legge debba essere chiaritoal fine di evitare incongruenze testuali con il campo di applicazione inizialequale definito all'articolo 1, che fa esclusivamente riferimento alla tuteladelle persone fisiche. Come stabilito dalla direttiva, la legge monegasca non si applicaal trattamento di dati personali effettuato da una persona fisicaesclusivamente nell'ambito di attività personali o domestiche. Inoltre, lalegge non si applica ai trattamenti effettuati a norma dell'articolo 15 dellacostituzione (riguardante il diritto di reintegrazione, amnistia enaturalizzazione) o realizzati dalle autorità giudiziarie per procedimentiavviati dinanzi agli organi giurisdizionali o nell'ambito di procedure diassistenza reciproca internazionale (articolo 24-2 della legge). Inoltre, l'articolo 25 della legge prevede eccezioni per itrattamenti effettuati a scopi di espressione letteraria e artistica,analogamente all'articolo 9 della direttiva. Per quanto riguarda il campo di applicazione territoriale, l'articolo24 stabilisce, analogamente a quanto prescritto dalla direttiva, che la leggesi applica ai trattamenti automatizzati: - effettuati da un responsabile deltrattamento stabilito a Monaco; - effettuati a Monaco, anche qualora iltrattamento in questione sia destinato esclusivamente a essere utilizzatoall'estero; - laddove il responsabile del trattamentosia stabilito all'estero, ma si avvalga di strumenti di trattamento situati aMonaco; in tal caso il responsabile del trattamento deve designare unrappresentante stabilito a Monaco che effettui la dichiarazione, la richiestadi parere o la domanda di autorizzazione e su cui incombano gli obblighiprevisti dalla legge, fatte salve le azioni legali che potrebbero essereintraprese nei confronti del responsabile del trattamento stesso. Di conseguenza, il Gruppo di lavoro ritiene che il campo diapplicazione della legge monegasca sulla protezione dei dati sia analogo aquello stabilito dalla direttiva, anche se alcuni adeguamenti dellaformulazione attuale chiarirebbero meglio le modalità di applicazione delle suedisposizioni alle persone giuridiche. 3.3. Principi di contenuto a) Principi fondamentali 1) Il principio della finalità limitata:idati dovrebbero essere trattati per una finalità specifica e successivamenteutilizzati o ulteriormente comunicati soltanto nella misura in cui non vi siaincompatibilità con la finalità del trasferimento. Le sole deroghe a tale normasarebbero quelle necessarie in ogni società democratica per una delle ragioni elencatenell'articolo 13 della direttiva. Il Gruppo di lavoro ritiene che la legislazione monegasca diaattuazione al suddetto principio attraverso il suo articolo 10-1, il qualedispone che "i dati personali devono essere: raccolti e trattati lealmente elecitamente; raccolti per una finalità determinata, esplicita e legittima, enon essere trattati successivamente in modo incompatibile con talefinalità;(...)". Inoltre, l'articolo 22 della legge stabilisce che "sono puntiticon la pena detentiva da tre mesi a un anno e la pena pecuniaria di cuiall'articolo 26, punto 4, del codice penale o con una soltanto di queste duepene: (...) 9° coloro che, consapevolmente, utilizzano o fanno utilizzare idati personali per finalità diverse da quelle indicate nella dichiarazione,richiesta di parere o domanda di autorizzazione". Il Gruppo di lavoro ritiene pertanto che la legislazione monegascarispetti il principio della finalità limitata. E' peraltro interessante rilevare che l'articolo 10-2 della leggedefinisce anche le condizioni che stabiliscono la liceità del trattamento,disponendo che: "Un trattamento di dati personali deve essere giustificato: - dal consensodell'interessato/degli interessati, oppure - dall'adempimento di un obbligolegale al quale è soggetto il responsabile del trattamento o il suorappresentante, oppure - da un motivo di interessepubblico, oppure - dall'esecuzione di un contratto odi misure precontrattuali con l'interessato, oppure 2) Il principio della qualità e dellaproporzionalità dei dati: i dati dovrebbero essere precisi e, se del caso, aggiornati.Essi dovrebbero essere adeguati, pertinenti e commisurati alle finalità per cuisono oggetto di trasferimento o di ulteriore trattamento. Il Gruppo di lavoro ritiene che il principio della qualità figuriespressamente all'articolo 10-1 della legge n. 1165. A norma dell'articolo 10-1, "i dati personali devono essere: - raccolti e trattati lealmente e lecitamente; (...) - adeguati, pertinenti e non eccedenti rispetto allafinalità per la quale sono raccolti e/o successivamente trattati; (...) Inoltre, l'ultima frase del suddetto articolo stabilisce che "ilresponsabile del trattamento o il suo rappresentante deve assicurare ilrispetto di tali disposizioni". Analogamente, a norma dell'articolo 9 della legge, il periodo diconservazione non può superare la durata prevista nella richiesta di parere,nella dichiarazione o nella domanda di autorizzazione, tranne nel caso in cui idati debbano essere trattati per scopi storici, statistici o scientifici o laddovela CCIN abbia dato la propria autorizzazione. A norma dell'articolo 21, punto 4, della legge, coloro checonservano dati personali oltre il termine indicato nella dichiarazione, nellarichiesta di parere o nella domanda di autorizzazione oppure oltre il periodofissato dalla CCIN sono puntiti con la pena detentiva da uno a sei mesi e lapena pecuniaria di cui all'articolo 26, punto 3, del codice penale. Il Gruppo di lavoro ritiene pertanto che la legislazione monegascarispetti il principio della qualità e della proporzionalità dei dati. 3) Il principio della trasparenza: La legge stabilisce requisiti in materia di trasparenza agliarticoli 14, 14-2 e 10. L'articolo 14 della legge dispone, in termini analoghi a quelli dicui all'articolo 10 della direttiva, che gli interessati siano informati dalresponsabile del trattamento riguardo: -l'identità del responsabile deltrattamento e, se del caso, l'identità del suo rappresentante nel Principato diMonaco; - la finalità del trattamento; - il carattere obbligatorio o facoltativodelle risposte; - le conseguenze per gli interessati diuna mancata risposta; - l'identità dei destinatari o lecategorie di destinatari; - il loro diritto di opposizione, accessoe rettifica relativamente ai dati che li riguardano; - il loro diritto di opporsi all'utilizzoper conto di terzi o alla comunicazione a terzi di dati personali che liriguardano a scopi di prospezione, in particolare di prospezione commerciale. L'articolo stipula altresì che, "qualora i dati personali nonsiano raccolti direttamente presso l'interessato, il responsabile deltrattamento o il suo rappresentante devono fornire all'interessato leinformazioni elencate al paragrafo precedente, ad eccezione dei casi in cui:l'interessato sia già stato informato o non possa essere informato;l'informazione dell'interessato comporti misure sproporzionate rispettoall'utilità dell'azione; la raccolta o la comunicazione dei dati sia stataespressamente prevista da disposizioni legislative o regolamentari". Inoltre, l'articolo 14-2, riguardante l'utilizzo di reti dicomunicazioni elettroniche, stabilisce che l'abbonato o l'utente deve ricevereinformazioni chiare e complete in merito alla finalità del trattamento e allemodalità per opporvisi. Le deroghe a questo articolo sono quelle sopraindicate (cfr. lasezione 3.2 "Campo di applicazione") e sono conformi a quelle previste dalladirettiva. L'articolo 21, punti 6 e 7, della legge prevede sanzioni penaliper la violazione delle disposizioni sopraindicate. Inoltre, l'articolo 10 istituisce un registro dei trattamenti deidati, consultabile da qualsiasi persona giuridica o fisica, contenenteinformazioni sulle dichiarazioni, richieste di pareri e domande diautorizzazione riguardanti i trattamenti di dati. Il Gruppo di lavoro ritiene pertanto che la legislazione monegascarispetti il principio della trasparenza. 4) Il principio della sicurezza: Il Gruppo di lavoro ritiene che la legislazione monegasca rispettiquesto principio. La sezione III della legge n. 1.165 è espressamente dedicata alla"Sicurezza e riservatezza dei trattamenti"; l'articolo 17 enuncia tutti irequisiti delle misure di sicurezza che devono essere adottate dal responsabiledel trattamento e dal prestatore di servizi, e dispone espressamente quantosegue: "Il responsabile del trattamento o il suo rappresentante deveattuare misure tecniche ed organizzative appropriate al fine di garantire laprotezione dei dati personali dalla distruzione accidentale o illecita, dallaperdita accidentale o dall'alterazione, dalla diffusione o dall'accesso nonautorizzati, segnatamente quando il trattamento comporta trasmissioni di datiall'interno di una rete, o da qualsiasi altra forma illecita di trattamento didati personali. Le misure attuate devono garantire un livello di sicurezzaappropriato rispetto ai rischi presentati dal trattamento e alla natura deidati da proteggere. Qualora si avvalga dei servizi di uno o più prestatori diservizi, il responsabile del trattamento o il suo rappresentante deve garantireche tali prestatori siano in grado di rispettare gli obblighi stabiliti nei dueparagrafi precedenti. I trattamenti effettuati da un prestatore di servizi devonoessere disciplinati da un accordo scritto tra il prestatore di servizi e ilresponsabile del trattamento o il suo rappresentante, in cui venga stipulato inparticolare che il prestatore di servizi e i membri del suo personale operanoesclusivamente su istruzione del responsabile del trattamento o del suorappresentante e che anche il prestatore di servizi è tenuto a rispettare gliobblighi descritti nei due paragrafi precedenti. Qualora il prestatore di servizi intenda avvalersi deiservizi di uno o più subfornitori al fine di fornire tutti o alcuni dei serviziindicati nel suddetto accordo, a tali subfornitori si applicano le disposizionidi cui al paragrafo precedente." Come raccomandato nella sezione 3.1, a fini di chiarezza e perevitare interpretazioni divergenti, il Gruppo di lavoro ritiene che sarebbe piùsoddisfacente se la legislazione monegasca definisse espressamente il concettodi "prestatore di servizi". Inoltre, l'articolo 17-1 della legge prevede misure di sicurezzaspecifiche per taluni trattamenti che vengono gestiti da autorità pubbliche oche sono contraddistinti da caratteristiche particolari (ad esempio i datibiometrici). L'articolo 21, punto 3, della legge commina la pena detentiva dauno a sei mesi e la pena pecuniaria di cui all'articolo 26, punto 3, del codicepenale, in caso di violazione delle suddette disposizioni. Riteniamo dunque che la legislazione monegasca rispetti ilprincipio della sicurezza. 5) I diritti di accesso, rettifica eopposizione: la persona interessata dovrebbe avere il diritto di ottenere unacopia di tutti i dati trattati che la riguardano, nonché il diritto di farrettificare i dati di comprovata inesattezza. In determinate situazioni, la personainteressata dovrebbe inoltre potersi opporre al trattamento di dati che lariguardano. Le sole deroghe a tali diritti dovrebbero essere in linea conl'articolo 13 della direttiva. Vari articoli fanno riferimento a tali diritti e la sezione IIdella legge è espressamente dedicata all'esercizio dei diritti di accesso,opposizione e rettifica nonché agli obblighi dei responsabili del trattamentoriguardo a tali diritti. In particolare, a norma dell'articolo 13 della legge, le personesia fisiche che giuridiche hanno il diritto di opporsi al trattamento dei datipersonali che le riguardano, di avere accesso ai loro dati alle condizioni dicui alla sezione II della legge e di richiederne, se del caso, la modifica(articoli 15-16). L'articolo 15 della legge prevede un diritto di accesso in terminimolto simili a quelli definiti all'articolo 12 della direttiva. Tale articolo,infatti, stabilisce che "chiunque sia in grado di dimostrare la propriaidentità può ottenere, dal responsabile del trattamento o dal suorappresentante: 1° informazioni riguardanti quantomeno le finalità deltrattamento, le categorie di dati trattati e i destinatari o le categorie didestinatari cui vengono comunicati i dati; 2° la conferma dell'esistenza o meno di trattamenti di datiche lo riguardano; 3° la comunicazione di tali dati in forma scritta, noncodificata e conforme al contenuto dei dati conservati; i dati di caratteremedico sono comunicati all'interessato o al medico designato da quest'ultimo atale scopo. (...); 4° informazioni riguardanti la logica applicata neiragionamenti automatizzati da cui è scaturita la decisione di cui all'articolo14-1". All'articolo 15-1, inoltre, la legge prevede un diritto di accessoindiretto in caso di trattamento effettuato da autorità giudiziarie oamministrative, esclusivamente nell'ambito degli obblighi loro incombenti exlege. Analogamente, il responsabile del trattamento o il suorappresentante ha l'obbligo, ai sensi dell'articolo 15-2 della legge, diadottare misure adeguate al fine di modificare dati personali incompleti oerrati, cancellare dati che potrebbero essere stati ottenuti illegalmente ecancellare dati in forma nominativa allo scadere del periodo di conservazionefissato dalla CCIN. Al tempo stesso, all'articolo 16 la legge riconosce, negli stessitermini della direttiva [(articolo 12, lettera b)], il diritto dell'interessatoa chiedere che i suoi dati vengano rettificati, integrati, chiariti, aggiornatio cancellati laddove tali dati risultino imprecisi, incompleti, ambigui, obsoletio qualora ne siano vietate la raccolta, la registrazione, la comunicazione o laconservazione. Si applicano deroghe analoghe a quelle contemplate dall'articolo13 della direttiva (cfr. la sezione 3.2. "Campo di applicazione"). Inoltre,all'ultimo paragrafo dell'articolo 15, la legge prevede l'esenzionedall'obbligo di rispondere a domande che sono abusive per il loro numero o peril loro carattere ripetitivo o sistematico. L'articolo 21, punto 2, della legge commina la pena detentiva dauno a sei mesi e la pena pecuniaria di cui all'articolo 26, punto 3, del codicepenale, in caso di rifiuto volontario di comunicare all'interessato i datipersonali che lo riguardano oppure di modificare o cancellare dati che sianorisultati imprecisi, incompleti, ambigui o raccolti in violazione della legge. L'articolo 22, punto 5, della legge prevede sanzioni più severe incaso di violazione del diritto di opposizione al trattamento dell'interessato. Riteniamo dunque che il Principato di Monaco rispetti i diritti diaccesso, rettifica e opposizione a condizione che le deroghe siano interpretaterigorosamente. 6) Restrizioni ai successivitrasferimenti: i successivi trasferimenti di dati personali da parte deldestinatario del primo trasferimento dovrebbero essere consentiti soltantoquando anche il secondo destinatario (ossia il destinatario del trasferimentosuccessivo) è soggetto a norme che assicurano un livello adeguato di tutela. Lesole deroghe consentite dovrebbero essere in linea con l'articolo 26, paragrafo1, della direttiva. Il terzo capo della legge riguarda la regolarità deitrasferimenti. In particolare, l'articolo 20 stabilisce che un trasferimento didati personali può essere effettuato solo se il paese destinatario garantisceun livello di protezione adeguato. L'adeguatezza della tutela offerta da unpaese terzo deve essere valutata in funzione di tutte le circostanze relativead un trasferimento o ad una categoria di trasferimenti; sul suo sito Internetla CCIN fornisce un elenco di paesi che garantiscono un livello di protezionesufficiente. L'articolo 20-1 della legge prevede deroghe alla suddettadisposizione in determinate circostanze: - laddove l'interessato abbia manifestato il proprio consenso; - laddove il trasferimento sia necessario in relazione a uncontratto o a un'azione legale; - qualora il trasferimento sia necessario per la salvaguardia diun interesse pubblico rilevante; - qualora il trasferimento avvenga da un registro previsto dallalegge e destinato ad essere consultato dal pubblico o dalle persone aventi uninteresse legittimo; - qualora il trasferimento sia necessario per l'esecuzione di uncontratto tra l'interessato ed il responsabile del trattamento o perl'esecuzione di misure precontrattuali prese a richiesta dell'interessato. Inoltre, come stabilito dalla direttiva (articolo 26), untrasferimento di dati personali verso un paese o un'organizzazione che nonoffrano un livello di protezione adeguato può essere autorizzato dalla CCINqualora il responsabile del trattamento o il suo rappresentante presentigaranzie sufficienti, quali ad esempio clausole contrattuali appropriate. Inoltre, l'articolo 21, punto 5, della legge commina la penadetentiva da uno a sei mesi e la pena pecuniaria in caso di violazione dellerestrizioni ai successivi trasferimenti. Il Gruppo di lavoro ritiene che le regole enunciate rispettino ilprincipio delle restrizioni ai successivi trasferimenti di dati verso paesiterzi. Inoltre, il Gruppo di lavoro desidera raccomandare chequalsivoglia valutazione realizzata dalla CCIN tenga conto dell'interpretazionedel concetto di "livello adeguato" fornita dal documento WP12 e dal "Gruppo dilavoro" sulla questione nonché di quella riguardante le clausole contrattualitipo. Riteniamo dunque che la legislazione monegasca rispetti ilprincipio del trasferimento successivo. b) Principi supplementari Il documento WP12 riporta alcuni principi da applicare in casispecifici di trattamento, in particolare: 1) Dati sensibili: Il Gruppo di lavoro ritiene che la legislazione monegasca sullaprotezione dei dati rispetti questo principio, in particolare tenuto contodell'articolo 12 della legge, che fornisce un elenco di tali dati, definendoaltresì le condizioni che stabiliscono la liceità del trattamento, corrispondentia quelle di cui all'articolo 8 della direttiva. L'articolo 12 della legge vieta espressamente il trattamento didati personali che rivelino € le opinioni politiche o l'appartenenza a un partitopolitico; € l'origine razziale o etnica; € le convinzioni religiose o filosofiche; € l'appartenenza a un sindacato; € il trattamento di dati relativi alla salute e alla vitasessuale; € lo stile di vita e le misure di carattere sociale. Il Gruppo di lavoro osserva che nell'elenco delle "categorie particolaridi dati" figurano i dati genetici, in linea con i suggerimenti formulati dalGruppo di lavoro relativamente alla revisione in corso del quadro giuridico perla protezione dei dati nell'UE nonché con il testo attuale della proposta diregolamento UE sulla protezione dei dati presentata dalla Commissione europea;tale elenco comprende altresì dati riguardanti lo "stile di vita" ("moeurs")e le "misure di carattere sociale", ampliando pertanto considerevolmente ilcampo di applicazione del divieto in questione. Il trattamento di tali dati può considerarsi legittimo solo sericorrono determinate condizioni, molto simili a quelle definite dalladirettiva, ad esempio qualora l'interessato abbia dato il proprio consensoscritto ed esplicito, sussista un interesse pubblico, il trattamento riguardi imembri di un'istituzione ecclesiastica o di un organismo che si prefiggafinalità politiche, religiose, filosofiche, umanitarie o sindacali, iltrattamento di dati sia necessario ai fini della medicina preventiva, iltrattamento riguardi dati resi manifestamente pubblici dall'interessato o sianecessario per costituire, esercitare o difendere un diritto per viagiudiziaria o per soddisfare un obbligo legale. Inoltre, a norma dell'articolo 7-1 della legge, il trattamento didati personali a fini di ricerca medica verrà effettuato solo in seguito allaformulazione di un parere motivato della CCIN. Il Gruppo di lavoro rileva altresì che, ai sensi dell'articolo11-1, è necessaria "l'autorizzazione preventiva" della CCIN affinché unresponsabile del trattamento diverso dalle autorità giudiziarie eamministrative possa trattare determinate categorie di dati qualora iltrattamento riguardino informazioni su "presunte attività illecite",comprendano "i dati biometrici necessari per controllare le identità dellepersone" o siano effettuati "a fini di sorveglianza". Il Gruppo di lavoro tiene conto del fatto che, in pratica, questoarticolo viene utilizzato dalla CCIN per garantire un livello di protezionemaggiore subordinando trattamenti specifici a fini di controllo o sorveglianza(quali videosorveglianza, geolocalizzazione o controllo dell'accesso) a unaprocedura di autorizzazione preventiva. Inoltre, l'articolo 21 della legge prevede sanzioni penali piùrigorose per trattamenti illeciti di dati sensibili. Il Gruppo di lavoro ritiene pertanto che, in generale, la leggerispetti i requisiti di protezione dei dati sensibili. 2) Commercializzazione diretta: Dal 2008 la legge sancisce il diritto di opporsi al trattamentodei propri dati personali, alla loro comunicazione a terzi e al loro utilizzoper conto dell'incaricato del trattamento a scopi di prospezione commerciale. L'articolo 13 della legge sancisce il diritto di opporsi, permotivi legittimi, al trattamento dei propri dati personali. L'articolo 14, inoltre, recita: "Gli interessati presso cui vengono raccolti dati personalidevono essere informati riguardo: [...] - il loro diritto di opposizione, accesso e rettificarelativamente ai dati che li riguardano; - il loro diritto di opporsi all'utilizzo per conto diterzi o alla comunicazione a terzi di dati personali che li riguardano a scopi di prospezione, inparticolare di prospezione commerciale. [...]". Gli articoli 21, punti 6 e 7, prevedono sanzioni in caso diviolazioni dei suddetti articoli. Sarebbe più chiaro se, analogamente a quando dispostodall'articolo 14, lettera b), della direttiva, venisse sancito il diritto dellapersona interessata "di opporsi, su richiesta e gratuitamente, altrattamento dei dati personali che la riguardano previsto dal responsabile deltrattamento a fini di invio di materiale pubblicitario (...)";ciononostante, alla luce dei requisiti previsti dal documento WP12, il Gruppodi lavoro ritiene che le disposizioni dell'articolo 14 della legge n. 1.165relative al diritto del titolare o dell'utente di essere informato forniscano,congiuntamente all'articolo 13, salvaguardie accettabili, con uno specificodiritto di opposizione in caso di finalità di commercializzazione diretta. 3) Decisioni individuali automatizzate: A norma dell'articolo 14-1, la legge sancisce il dirittodell'interessato di non essere sottoposto ad una decisione che produca effettigiuridici o abbia effetti significativi nei suoi confronti fondataesclusivamente su un trattamento automatizzato di dati destinati a definire ilsuo profilo o a valutare determinati aspetti della sua personalità. Tale articolo precisa inoltre che: "Una persona può tuttaviaessere sottoposta a una decisione di cui al paragrafo precedente qualora taledecisione: – sia presa nel contesto della conclusione odell'esecuzione di un contratto, a condizione che la domanda relativa allaconclusione o all'esecuzione del contratto, presentata dalla persona interessata,sia stata accolta, oppure che misure adeguate, fra le quali la possibilità difar valere il proprio punto di vista e di ottenere il riesame della propriadomanda, garantiscano la salvaguardia dei legittimi interessi della personainteressata; – oppure sia autorizzata da disposizioni giuridiche oregolamentari che precisino i provvedimenti atti a salvaguardare i legittimiinteressi della persona interessata". Il Gruppo di lavoro ritiene pertanto che la legge rispetti il"principio delle decisioni individuali automatizzate". Infine, vale la pena rilevare che, a norma dell'articolo 7 dellalegge, l'attuazione di trattamenti da parte di responsabili del trattamento,persone giuridiche di diritto pubblico, autorità pubbliche, enti di dirittoprivato investiti di compiti di servizio pubblico o concessionari di unservizio pubblico è decisa dalle autorità a seguito di un parere motivatoemesso dalla CCIN. Meccanismi di procedura/applicazione Nel documento WP12 del Gruppo di lavoro, intitolato "Trasferimentodi dati personali verso paesi terzi: applicazione degli articoli 25 e 26 delladirettiva europea sulla tutela dei dati", si evidenzia che per valutarel'adeguatezza del sistema giuridico di un paese terzo è necessario individuaregli obiettivi di fondo di un sistema procedurale per la tutela dei dati e daqui procedere a esaminare i diversi meccanismi procedurali giudiziari e nongiudiziari applicati nei paesi terzi. In tal senso, gli obiettivi di un sistema di tutela dei dati sonoessenzialmente tre: – assicurare un buon livello di osservanza delle norme; – fornire aiuto e sostegno alla persona interessatanell'esercizio dei propri diritti; – garantire un risarcimento adeguato alla parte lesa in casodi violazione delle norme. a) Assicurare un buon livello diosservanza delle norme: in un buon sistema, tra i responsabili del trattamento deidati si può generalmente rilevare un elevato grado di consapevolezza dei propriobblighi e tra le persone interessate la medesima consapevolezza dei propridiritti e degli strumenti per esercitarli. Di particolare importanza, al finedi garantire il rispetto delle norme, è l'esistenza di sanzioni efficaci edissuasive, al pari, ovviamente, di sistemi di verifica diretta da parte diautorità, revisori o addetti indipendenti alla tutela dei dati. 1. Consapevolezzatra responsabili del trattamento e interessati Il Gruppo di lavoro ritiene che il livello di consapevolezzaassicurato dalla legislazione monegasca sulla protezione dei dati siasoddisfacente, tenuto conto della recente modifica (2009) dei poteri e dellacomposizione dell'autorità di protezione dei dati del Principato di Monacononché delle esigue dimensioni del paese. L'articolo 6 della legge prevede un obbligo di dichiarazionepreventiva dei trattamenti automatizzati di dati personali effettuati daresponsabili del trattamento, persone fisiche o giuridiche di diritto privato – dichiarazione che comporta l'impegno a garantire che iltrattamento soddisfa i requisiti della legge. Queste dichiarazioni devono contenere alcuni elementi specificatidall'articolo 8 della legge (per esempio l'identità del firmatario e delresponsabile del trattamento, le funzionalità, la finalità e lagiustificazione, l'identità delle persone responsabili dell'utilizzo dei dati ele misure adottate per consentire l'esercizio del diritto di accesso ai dati,le categorie di persone che hanno accesso ai dati, le categorie di dati e idati che sono oggetto di trattamento, la loro origine, la durata del periodo diconservazione, le categorie di persone interessate dal trattamento e lecategorie di destinatari autorizzati a ricevere comunicazione dei dati, leinterconnessioni o altre modalità di collegamento dei dati nonché tutti itrasferimenti a terzi, le misure adottate per garantire la sicurezza deltrattamento e dei dati e per salvaguardare i segreti protetti per legge,l'indicazione, ove opportuno, che il trattamento è finalizzato allacomunicazione dei dati all'estero, anche nel caso in cui sia effettuatomediante operazioni realizzate precedentemente al di fuori del Principato diMonaco). Tuttavia, su proposta o parere della CCIN possono essere emanatecon decreto ministeriale norme recanti i criteri ai quali devono aderiredeterminate categorie di trattamenti che non comportano palesemente violazionidi diritti e libertà fondamentali. Tali trattamenti possono essere oggetto diuna dichiarazione semplificata di conformità o essere esonerati dall'obbligo didichiarazione, alle condizioni fissate nel summenzionato decreto ministeriale(articolo 6). Inoltre, il sito Internet della CCIN è pratico e semplice dagestire e contiene informazioni utili che chiariscono le disposizionilegislative riguardanti i diritti e i doveri delle persone fisiche e giuridichenonché l'attuazione della nuova normativa. Contiene altresì tutte le deliberedella CCIN e le relazioni annuali, in cui vengono illustrate le attività svoltedall'autorità. Secondo recenti statistiche, nel 2009 la CCIN ha ricevutopochissime richieste; questo è comprensibile, poiché si trattava del primo annodelle sue nuove funzioni. Ciononostante, il 2010 sembra un secondo anno attivo:28 pareri, 13 decisioni su richieste di autorizzazione, 2 delibere in materiadi indagini, 3 raccomandazioni, 2 proposte di formalità semplificate, 1delibera su un disegno di legge, 1 delibera sull'organizzazione interna dellaCCIN. La CCIN ha anche partecipato a 86 riunioni con responsabili deltrattamento del settore privato e a 27 riunioni con responsabili del settorepubblico, rispondendo altresì a 159 consultazioni telefoniche. Inoltre, l'esistenza di un registro di tutti i trattamenti nelPrincipato di Monaco è prevista dall'articolo 10 della legge. Tale registro puòessere consultato da qualsiasi persona fisica o giuridica desideri conoscere iresponsabili e i dettagli del trattamento. L'unica osservazione che potremmo formulare riguardo a questaevoluzione della legislazione monegasca sulla protezione dei dati è l'assenzadi una disposizione riguardante l'esistenza di un responsabile della protezionedei dati indipendente nel settore privato e/o pubblico che potrebbe essereincaricato di garantire, in maniera indipendente, il rispetto degli obblighiprevisti da questa legge (l'incaricato della protezione dei dati propostodall'articolo 18, paragrafo 2, della direttiva). Tuttavia, non si tratta di unobbligo esplicito previsto dal documento WP12 bensì di una sempliceraccomandazione del Gruppo di lavoro al legislatore monegasco. 2. La "Commissionde contrôle des informations nominatives" (CCIN) La sezione II (articoli da 2 a 5-6 della legge) crea la CCIN qualeautorità di controllo con il compito di controllare e verificare il rispettodelle disposizioni legislative e regolamentari in materia di protezione deidati personali, conferendole un mandato pienamente indipendente alle condizionidefinite dalla legge. Il ruolo principale della CCIN consiste nel controllare itrattamenti di dati personali effettuati nel Principato di Monaco da parte siadi organismi pubblici e privati che di persone fisiche. L'articolo 2 dellalegge stabilisce le competenze della CCIN, che consistono nell'istituire eaggiornare il registro dei trattamenti, nel potere di procedere adaccertamenti, nella concessione di autorizzazioni, nella formulazione dipareri, nell'elaborazione di raccomandazioni, nello svolgimento di indagini,nell'emissione di avvertimenti e messe in mora ai responsabili del trattamentodei dati, ecc. Per quanto riguarda l'indipendenzastrutturale, l'articolo 2 della legge stabilisce che la CCIN è incaricata, inpiena indipendenza e alle condizioni definite dalla legge stessa, di svolgere icompiti di registrazione, autorizzazione, indagine e di tutte le altre mansionipreviste dalla direttiva. Inoltre, ai sensi dell'articolo 5, paragrafo 2, dellalegge, i membri della CCIN non ricevono istruzioni da alcuna autoritànell'esercizio delle loro funzioni. Il segretario generale e tutti i membri e i funzionari dei suoiservizi sono soggetti alle norme generali applicabili ai dipendenti efunzionari pubblici, sempreché non esistano disposizioni giuridiche oregolamentari specifiche. Tuttavia, il presidente della CCIN esercita solopoteri gerarchici e disciplinari nei loro confronti (articolo 5-3). Inoltre, il presidente è eletto a maggioranza assoluta tra irappresentanti della CCIN; la sua nomina e quella degli altri cinque membri èvalida per cinque anni e rinnovabile una volta (articolo 5). La CCIN è composta da sei membri proposti, in ragione della lorocompetenza, da specifiche autorità enumerate (articolo 4). Le proposte vengonoformulate in piena indipendenza rispetto ad autorità, istituzioni e consigliinteressati (articolo 4) e sono indirizzate al Principe (articolo 1 Per quanto riguarda le incompatibilità, l'articolo 5dell'ordinanza sovrana n. 2.230 definisce le incompatibilità tra l'incarico dimembro della CCIN e cinque altri incarichi elencati in tale articolo (membrodel parlamento monegasco o consigliere municipale, membro del Consiglio diStato, magistrato giudicante, fuorché per il membro proposto dal ministro dellaGiustizia, funzionario pubblico o agente dello Stato, funzionario municipale ofunzionario di un ente pubblico attualmente in carica; l'incarico di membrodella commissione è inoltre incompatibile con l'esercizio di funzioni o ladetenzione di partecipazioni in imprese monegasche o straniere checontribuiscono alla fabbricazione di materiale utilizzato nell'ambitodell'informatica o delle telecomunicazioni o alla fornitura di serviziinformatici o delle telecomunicazioni). Inoltre, la legge obbliga i funzionari e i membri della CCIN arispettare il segreto professionale e la riservatezza (articolo 5-1). A norma dell'articolo 5-5 della legge, il presidente della CCINconclude tutti i contratti e gli accordi necessari al buon funzionamento deisuoi servizi. Tuttavia, in conformità delle norme e delle praticheamministrative monegasche, la decisione sulla nomina del presidente della CCINviene sempre sottoposta al Consiglio di Governo (e successivamente alPrincipe). Inoltre, i contratti di lavoro dei funzionari contrattuali vengonofirmati dalla direzione del Servizio civile e non dal presidente della CCIN.Infine, ogni promozione proposta dal presidente deve essere presentata alladirezione del Servizio civile e trasmessa per approvazione al Consiglio diGoverno e successivamente al Principe per la decisione definitiva. Per quanto riguarda l'indipendenzafinanziaria, l'articolo 5-4 della legge stabilisce che i finanziamentinecessari al funzionamento della CCIN siano iscritti in un capitolo specificodel bilancio statale. Il presidente prepara e presenta al ministro di Stato (Ministred'Etat) proposte riguardanti le entrate e le spese previste Ai sensi dell'articolo 28 dell'ordinanza sovrana n. 2.230, ilpresidente della CCIN trasmette al primo ministro la chiusura dei conti ai finidella verifica da parte del revisore ufficiale dei conti. In pratica, la CCIN è sottoposta a un controllo preventivocompleto delle spese da parte del revisore ufficiale delle spese (ContrôleurGénéral des Dépenses). Tale controllo sembra essere basato su una praticaamministrativa monegasca applicabile a un'ampia maggioranza di autoritàpubbliche, ma non può soddisfare completamente i requisiti di indipendenzafissati dall'articolo 28 della direttiva. In merito a tale questione, è importante ricordare che la grandesezione della Corte di giustizia europea si è pronunciata a favore diun'interpretazione ampia dei termini "pienamente indipendenti" di cuiall'articolo 28 della direttiva (C-518/07 del 9 marzo 2010): Pertanto, come stabilito dalla Corte: € "Ne discende che, nello svolgimento delle loro funzioni, leautorità di controllo devono agire in modo obiettivo ed imparziale. A tale fineesse devono essere sottratte a qualsiasi influenza esterna, compresa quella,diretta o indiretta, dello Stato o dei Länder, e non solamente essere poste alriparo dall'influenza degli organismi controllati." (cfr. punto 25); € "Tale indipendenza esclude non solamente qualsiasi influenzaesercitata dagli organismi controllati, ma anche qualsivoglia imposizione eogni altra influenza esterna, diretta o indiretta, che possa rimettere indiscussione lo svolgimento, da parte delle menzionate autorità, del lorocompito, consistente nello stabilire un giusto equilibrio fra la protezione deldiritto alla vita privata e la libera circolazione dei dati personali."(cfr. punto 30); € "Inoltre, occorre sottolineare che il solo rischio che leautorità di vigilanza possano esercitare un'influenza politica sulle decisionidelle autorità di controllo è sufficiente ad ostacolare lo svolgimento indipendentedelle funzioni di queste ultime." (cfr. punto 36). La CNIL, in qualità di relatore, ha ritenuto che gli elementisopradescritti, riguardanti l'influenza del governo monegasco sull'assunzione esulla promozione del personale della CCIN nonché sul controllo preventivocompleto delle spese della commissione, potrebbero verosimilmente pregiudicarel'indipendenza della CCIN e, di conseguenza, incidere sulla conformità airequisiti europei della legislazione monegasca sulla protezione dei dati. Al fine di risolvere le questioni che ostacolano il riconoscimentodell'adeguatezza, il 28 maggio 2012 il presidente della CNIL ha convocato unariunione di mediazione tra la CCIN e il governo monegasco. Tale riunione ha portato alla conclusione di un accordo tra ilgoverno monegasco e la CCIN volto a chiarire le pratiche amministrative e lecompetenze di entrambe le parti in termini di risorse umane e gestione delbilancio al fine di rafforzare il principio dell'indipendenza. Ai sensi di tale accordo, il presidente della CCIN è competente a: - definire le modalità di assunzione senza alcun controllo diopportunità del governo (ad esempio l'elaborazione del modulo di assunzione, ladefinizione delle competenze e delle condizioni necessarie per la selezione, ladecisione sul processo e sul colloquio di assunzione); - quando l'assunzione riguarda un funzionario pubblico o un agentecontrattuale, la CCIN deve garantire, con l'aiuto del governo, che lecondizioni di assunzione siano in linea con le norme applicabili ai funzionaripubblici e agli agenti contrattuali. Inoltre, la nomina di tale persona vienedecisa in seno al Consiglio di Governo. Il presidente della CCIN è l'autoritàcompetente a firmare i contratti di lavoro degli agenti contrattuali; - decidere in merito alla promozione interna degli agenti dellaCCIN nel quadro del bilancio del governo. Inoltre, l'accordo prescriveformalmente che il controllo preventivo delle spese non deve essere uncontrollo di opportunità, ma deve rimanere un puro controllo di legittimità. 3. Mezzi emeccanismi di applicazione Il capo III della legge (articoli 18 e 19) concerne il controllodella regolarità dei trattamenti (mezzi coercitivi e sanzioni). Gli articoli da13 a 15 dell'ordinanza sovrana n. 2.230 forniscono dettagli anche in materia diindagini e investigatori. - A norma dell'articolo 18 della legge, i membri nominati dallaCCIN conformemente alle condizioni definite all'ultimo paragrafo dell'articolo13 dell'ordinanza sovrana n. 2.230 hanno accesso, dalle 6.00 alle 21.00, ailocali che devono essere controllati. Devono essere muniti di una lettera dinomina del presidente della CCIN e possono chiedere di esaminare qualsivogliadocumento o di raccogliere presso qualsiasi persona competente informazioniutili ai fini dell'indagine. - L'articolo 19 della legge prevede sanzioni amministrative che laCCIN infligge in caso di inosservanza della legge (avvertimenti o messe in moracontenenti l'ingiunzione di porre fine alle irregolarità o di eliminarne glieffetti). Il presidente della CCIN segnala senza indugio al procuratoregenerale eventuali irregolarità che costituiscono infrazioni penali. Inoltre,qualora il responsabile del trattamento non abbia dato seguito alla lettera dimessa in mora, il presidente del tribunale di primo grado, cui la questioneviene deferita dal presidente della commissione, dispone, mediante procedimentosommario, le misure necessarie a porre fine a tali irregolarità o a eliminarnegli effetti, fatte salve le sanzioni penali comminate e le domande di risarcimentodegli interessati che sono stati danneggiati. Tale decisione può anche esserecorredata di una pena pecuniaria. - Gli articoli da 21 a 23 della legge prevedono sanzioni in casodi violazioni dei diritti e delle disposizioni della legge stessa. Tutte questesanzioni comportano la cessazione degli effetti della dichiarazione odell'autorizzazione nonché la radiazione dal registro dei trattamentiautomatizzati di dati. Alla luce di tutto ciò, il Gruppo di lavoro ritiene chel'obiettivo di assicurare un buon livello di osservanza delle norme siarealizzato solo in parte. In particolare, incoraggia le autorità monegasche adadottare disposizioni riguardo a un'attuazione più efficace dell'indipendenzastrutturale e finanziaria della CCIN e a rafforzare i poteri di applicazioneattribuiti all'autorità in merito all'osservanza da parte del settore pubblicoe, più in generale, le misure che devono essere adottate nei confronti deiresponsabili del trattamento che non rispettano la legge indipendentemente e aldi là dell'imposizione di sanzioni penali per mezzo delle autorità giudiziarie.A tale proposito, il Gruppo di lavoro desidera fare riferimentoall'interpretazione del concetto di "indipendenza" di un'autorità di protezionedei dati formulata nella sentenza C-518/07 della Corte di giustizia europea. b) Fornire aiuto e sostegno alla personainteressata nell'esercizio dei propri diritti: ogni persona deve essere in grado di far rispettare i propridiritti in modo rapido ed efficace, ad un costo non proibitivo. A tal fineoccorre porre in essere qualche meccanismo istituzionale che consenta dicondurre un'indagine indipendente in caso di denuncia. Al di là delle considerazioni espresse precedentemente in meritoall'indipendenza della CCIN, il Gruppo di lavoro constata che la legislazionemonegasca ha messo in atto vari meccanismi per conseguire tale obiettivo. In particolare, - la CCIN è incaricata di esaminare le denunce (articolo 3)relative a violazioni di diritti o di altre disposizioni della legge (violazione della sicurezza,consenso al trasferimento, ecc.). Tali denunce possono dare avvio a un'indagineda parte della CCIN e potrebbero comportare l'apertura di un procedimentosanzionatorio amministrativo; - la CCIN ha inoltre il dovere di informare gli interessati deiloro diritti, di denunciare al procuratore generale fatti che costituisconoinfrazioni di cui sia venuta a conoscenza nell'esercizio delle sue funzioni, diemettere avvertimenti e messe in mora ai responsabili del trattamento, per lefinalità e alle condizioni previste dalla legge, di adire l'autoritàgiudiziaria per le finalità e alle condizioni previste dalla legge, ecc.(articolo 2); - a norma dell'articolo 16 della legge, l'interessato ha ildiritto di ricevere gratuitamente una copia dei dati raccolti, modificati,ecc., che lo riguardano; - come precedentemente osservato, la CCIN ha il potere dicontrollare l'applicazione della legge, di condurre indagini (articolo 18), diadire l'autorità giudiziaria per le finalità e alle condizioni previste dallalegge, di infliggere sanzioni amministrative, ecc.; - come si è già osservato, la CCIN è stata consultata 159 voltenel corso del 2010, dato alquanto soddisfacente se si considerano le dimensionidel paese e il fatto che per la commissione si è trattato solo del secondo annodi funzionamento nell'ambito delle nuove norme. Il Gruppo di lavoro ritiene pertanto che la legislazione delPrincipato di Monaco offra meccanismi sufficienti a fornire assistenza esostegno agli interessati. c) Garantire un risarcimento adeguatoalla parte lesa in caso di violazione delle norme: Ai sensi dell'articolo 3 della legge, qualsiasi persona fisica ogiuridica i cui diritti siano stati violati o chiunque abbia motivo di credereche i propri diritti sono stati violati può deferire la questione al presidentedella CCIN affinché vengano attuate, se del caso, le misure previste dallalegge, quali per esempio l'emissione di un avvertimento o di una messa in mora. Se, allo scadere del periodo indicato, non sarà stato dato seguitoalle misure in questione, il presidente del tribunale di primo grado, cui laquestione viene deferita dal presidente della commissione, dispone, medianteprocedimento sommario, le misure necessarie a porre fine a tali irregolarità oa eliminarne gli effetti, fatte salve le sanzioni penali inflitte o le domandedi risarcimento degli interessati che sono stati danneggiati. Tale decisionepuò anche essere corredata di una pena pecuniaria (articolo 19). E' opportuno rilevare che la CCIN non ha il potere di imporresanzioni penali, ma ha il potere di segnalare senza indugio al procuratoregenerale eventuali irregolarità che costituiscono infrazioni penali. Inoltre, il tribunale ha il potere di imporre le seguenti sanzionipreviste dagli articoli 21 e 22 della legge: - una pena detentiva da uno a sei mesi e una pena pecuniaria da 9.000EUR fino a un massimo di 18.000 EUR (o una di queste due sanzioni) in caso diviolazioni di principi riguardanti lo stato dei dati personali e la liceità delloro trattamento, di rifiuto volontario di comunicare all'interessato i datipersonali che lo riguardano oppure di modificare o cancellare dati che sianorisultati imprecisi, incompleti, ambigui o raccolti in violazione della legge,di negligenze in materia di misure di sicurezza, conservazione dei dati oltreil periodo previsto, trasferimento illecito, ecc.; - una pena detentiva da tre a dodici mesi e una pena pecuniaria da18.000 EUR fino a un massimo di 90.000 EUR (o una di queste due sanzioni) incaso di violazioni di disposizioni riguardanti il trattamento di datisensibili, di raccolta illecita oppure qualora vengano volontariamente impediteod ostacolate le indagini o vengano comunicati documenti inesatti airesponsabili delle indagini, ecc.. Inoltre, ai sensi dell'articolo 23 della legge, il tribunale ha ilpotere di ordinare la confisca e la distruzione, senza risarcimento, deisupporti contenenti i dati personali incriminati e di vietare una nuovaregistrazione per un periodo non superiore a tre anni e non inferiore a seimesi. Può altresì stabilire che una persona giuridica di diritto privato siatenuta, in solido con il proprio rappresentante statutario, al pagamento di unapena pecuniaria inflitta a quest'ultimo. Il Gruppo di lavoro ritiene pertanto che la legislazione monegascatuteli sufficientemente il diritto al risarcimento dell'interessato in caso diviolazione dei suoi diritti o di danno patrimoniale conseguenti al trattamentoillecito dei dati personali. 3. RISULTATIDELLA VALUTAZIONE In conclusione Al tempo stesso, il Gruppo di lavoro esorta le autorità monegaschea tenere conto delle raccomandazioni contenute nel presente parere, inparticolare quelle riguardanti: - la definizione di concetti mancanti enunciati dalla direttiva95/46/CE (per esempio "archivio", "terzi", "incaricato del trattamento","consenso dell'interessato"); - la necessità di chiarire il modo in cui le disposizioni dellalegge siano applicabili alle persone giuridiche alla luce del campo diapplicazione iniziale della legge quale definito all'articolo 1; - la necessità di chiarire il diritto dell'interessato a essereinformato tempestivamente (in particolare quando i dati non sono stati ottenutidirettamente dall'interessato) e a opporsi, senza dover fornire una motivazionelegittima, al trattamento dei propri dati a fini di commercializzazionediretta, in quanto la formulazione attuale degli articoli 13 e 14 della leggenon fa esplicitamente riferimento all'espressione "senza dover fornire unamotivazione legittima"; - l'opportunità di rafforzare i poteri coercitivi attribuitiall'autorità in merito all'osservanza da parte del settore pubblico e le misureche devono essere adottate nei confronti dei responsabili del trattamento chenon rispettano la legge indipendentemente e al di là dell'imposizione diavvertimenti, messe in mora e sanzioni penali per mezzo delle autoritàgiudiziarie; - l'istituzione del meccanismo di responsabili per la protezionedei dati indipendenti, al fine di garantire un maggiore rispetto della legge daparte dei responsabili del trattamento; - l'importanza di tenere costantemente presenti le decisioni dellaCommissione europea e i documenti del Gruppo di lavoro Articolo 29 riguardantila valutazione dell'adeguatezza della protezione dei dati nei paesi terzi; Infine, il Gruppo di lavoro si congratula con la CCIN e con ilgoverno del Principato di Monaco per la firma dell'accordo che garantiscel'indipendenza dell'autorità di protezione dei dati (CCIN) e invita entrambe leparti a rispettare rigorosamente gli impegni derivanti dalle sue clausole. Fatto a Bruxelles, il 19 luglio 2012 Per il Gruppo di lavoro Il Presidente Jacob KOHNSTAMM NOTE |