Autorizzazione al trasferimento di dati all’estero tramite l’accordo denominato “EU-U.S. Privacy Shield – 27 ottobre 2016
(Pubblicato sulla Gazzetta Ufficiale n. 273 del 22 novembre 2016)
Registro dei provvedimenti
n. 436 del 27 ottobre 2016
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO l’art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 secondo cui i dati personali possono essere trasferiti in un paese non appartenente all’Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;
VISTO il paragrafo 6 dell’art. 25 secondo il quale la Commissione europea può constatare che un paese terzo garantisce un livello di protezione adeguato ai sensi del citato paragrafo 2, ai fini della tutela della vita privata o dei diritti e delle libertà fondamentali della persona;
CONSIDERATO, altresì, che gli Stati membri europei devono adottare le misure necessarie per conformarsi alle decisioni della Commissione, rese ai sensi del citato art. 25, paragrafo 6 della direttiva;
VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito “Codice”) ed in particolare l’art. 44, comma 1, lett. b), in base al quale il trasferimento dei dati personali diretto verso paesi non appartenenti all’Unione europea può avvenire quando sia autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato individuate con le decisioni della Commissione previste dagli artt. 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE;
TENUTO CONTO altresì della pronuncia della Corte di giustizia dell’Unione Europea del 6 ottobre 2015 in ordine alla causa C-362/14, Maximillian Schrems vs. Data Protection Commissioner, che ha dichiarato invalida la decisione della Commissione europea del 26 luglio 2000 n. 2000/520/CE con cui era stato ritenuto adeguato il livello di protezione dei dati personali garantito dagli Stati Uniti d’America nel contesto del c.d. regime di “Safe Harbor” (c.d. regime di “Approdo sicuro”) e a seguito della quale è stato avviato un intenso dialogo tra la Commissione e le autorità statunitensi nella prospettiva dell’adozione di una nuova decisione sull’adeguatezza rispondente ai requisiti dell’articolo 25 della direttiva 95/46/CE quali interpretati dalla Corte di giustizia (v. Considerando da 6 a 12 della decisione del 12 luglio 2016 n. 2016/1250);
PRESO ATTO che in virtù della predetta pronuncia il 22 ottobre 2015 l’Autorità ha disposto la caducazione dell’autorizzazione adottata dal Garante in data 10 ottobre 2001 con deliberazione n. 36 (pubblicata sulla Gazzetta Ufficiale del 26 novembre 2001 n. 275 – Suppl. Ordinario n. 250, doc. web n. 30939) e per l’effetto ha vietato, ai sensi degli artt. 154, comma 1, lett. d) e 45 del Codice, ai soggetti esportatori di trasferire, sulla base di tale delibera e dei presupposti indicati nella medesima, i dati personali dal territorio dello Stato verso gli Stati Uniti d’America (cfr. Provvedimento del 22 ottobre 2015, n. 564 pubblicato sulla Gazzetta Ufficiale del 20 novembre 2001 n. 271, doc. web n. 4396484);
VISTA la decisione del 12 luglio 2016 n. 2016/1250 (pubblicata sulla Gazzetta Ufficiale delle Comunità europee L 207 del 1° agosto 2016), adottata dalla Commissione ai sensi delle disposizioni sopra citate, secondo la quale l’Accordo denominato “EU-U.S. Privacy Shield” (c.d. “Scudo UE-USA per la privacy”, di seguito “Scudo”), costituito dai principi emanati dal Dipartimento del Commercio degli Stati Uniti il 7 luglio 2016, riportati nell’allegato II, e dalle dichiarazioni e dagli impegni ufficiali riportati nei documenti di cui agli allegati I e da III a VII, garantisce un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea ad organizzazioni aventi sede negli Stati Uniti d’America;
CONSIDERATA l’esigenza di adottare un provvedimento necessario per l’applicazione della decisione della Commissione in conformità al citato art. 44, comma 1, lett. b);
RITENUTO che i principi e le dichiarazioni e gli impegni ufficiali contenuti nello “Scudo”, in base alle valutazioni svolte dalla Commissione europea, prevedono alcune garanzie per i diritti dell’interessato che in conformità al diritto dell’Unione europea vanno ritenute adeguate ai sensi dell’art. 44, comma 1, lett. b) del Codice (cfr. Considerando 13 della decisione del 12 luglio 2016 n. 2016/1250);
PRESO ATTO, comunque, del Parere n. 1/2016 (WP 238) adottato il 13 aprile 2016 dal Gruppo di lavoro istituito dall’art. 29 della direttiva 95/46/CE (di seguito “Gruppo ex Art. 29”) sul livello di protezione offerto dallo “Scudo” e il relativo progetto di decisione, nonché della Risoluzione del Parlamento europeo del 26 maggio 2016 sui flussi di dati transatlantici [2016/2727 (RSP)] e delle osservazioni formulate dal Gruppo ex Art. 29, nello “Statement of the Article 29 Working Party” del 29 luglio 2016, in merito alle suddette garanzie e ad alcuni profili concernenti sia gli aspetti commerciali sia il tema dell’accesso e dell’uso da parte delle autorità pubbliche statunitensi dei dati personali trasferiti nell’ambito dello “Scudo” che potranno essere oggetto di ulteriori e successivi chiarimenti in occasione della c.d. First Annual Joint Review prevista dalla citata decisione (cfr. punto 6 della decisione in materia di “Riesame periodico dell’accertamento di adeguatezza”);
RILEVATO infatti che la Commissione europea si è impegnata a sottoporre ad un monitoraggio continuo il funzionamento dello “Scudo” per verificare se gli Stati Uniti continuino a garantire un livello di protezione adeguato dei dati personali trasferiti in tale ambito dall’Unione verso organizzazioni presenti sul territorio statunitense e che entro un anno dalla data di notifica della decisione agli Stati membri e successivamente a cadenza annuale, nonché a seguito dell’entrata in vigore del Regolamento (UE) 2016/679 del Parlamento e del Consiglio del 27 aprile 2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, la Commissione è tenuta a verificare la persistenza delle predette garanzie negli Stati Uniti in base a tutte le informazioni disponibili, comprese quelle ricevute nell’ambito dell’analisi annuale comune di cui agli allegati I, II e VI (art. 4 della decisione del 12 luglio 2016 n. 2016/1250);
VISTI altresì gli articoli 2 e 3 della decisione in tema di controlli e provvedimenti delle autorità di garanzia degli Stati membri sulla liceità e correttezza dei trasferimenti e dei relativi trattamenti di dati, anche in relazione a quanto previsto dall’articolo 4, sul diritto nazionale applicabile, e dall’art. 28, paragrafo 3, sui poteri conferiti alle medesime, della direttiva n. 95/46/CE;
RITENUTA la necessità di assicurare ulteriore pubblicità ai principi e alle dichiarazioni di cui alla citata decisione della Commissione disponendo la loro pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana in allegato alla presente autorizzazione;
VISTI gli atti d’ufficio;
VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Antonello Soro;
TUTTO CIÒ PREMESSO IL GARANTE
1) autorizza, ai sensi dell’art. 44, comma 1, lett. b) del Codice, i trasferimenti di dati personali dal territorio dello Stato verso le organizzazioni presenti negli Stati Uniti che figurano nell’elenco degli aderenti allo “Scudo” tenuto e pubblicato dal Dipartimento del Commercio degli Stati Uniti in base a quanto previsto nelle parti I e III dei principi enunciati nell’allegato II; ciò in conformità alla decisione della Commissione europea del 12 luglio 2016 n. 2016/1250;
2) si riserva, in conformità alla normativa dell’Unione europea, al Codice e alla suddetta decisione, di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, anche alla luce delle risultanze delle verifiche poste in essere ai sensi dell’art. 4 della citata decisione, i provvedimenti previsti dal Codice medesimo;
3) dispone la trasmissione del presente provvedimento e dell’allegata decisione della Commissione all’Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.
Roma, 27 ottobre 2016