Decisione della Commissione
del 26 luglio 2000
riguardante l'adeguatezza della protezione dei dati personali in Svizzera a norma della direttiva 95/46/CE
[notificata con il numero C(2000) 2304]
(Testo rilevante ai fini del SEE)
(2000/518/CE)
LA COMMISSIONE DELLE COMUNITÀ EUROPEE,
visto il trattato che istituisce la Comunità europea,
vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati(1), in particolare l'articolo 25, paragrafo 6,
considerando quanto segue:
(1) La direttiva 95/46/CE prescrive agli Stati membri di assicurarsi che i trasferimenti di dati personali verso un determinato paese terzo abbiano luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato e se le leggi dello Stato membro che attuano le altre disposizioni della direttiva sono rispettate prima del trasferimento.
(2) La Commissione può constatare che un paese terzo garantisce un livello di protezione adeguato. Tale constatazione permette il trasferimento di dati personali dagli Stati membri senza che siano necessarie ulteriori garanzie.
(3) A norma della direttiva 95/46/CE l'adeguatezza del livello di protezione dei dati personali deve essere valutata con riguardo a tutte le circostanze relative a un trasferimento o a una categoria di trasferimenti di dati e nel rispetto di determinate condizioni. Il gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali, istituito a norma della direttiva, ha fornito indicazioni sull'effettuazione di tali valutazioni(2).
(4) Tenuto conto dei distinti modi in cui vengono protetti i dati nei paesi terzi, sia la verifica dell'adeguatezza di tale protezione, sia l'applicazione di ogni decisione basata sull'articolo 25, paragrafo 6, della direttiva 95/46/CE, devono avvenire in modo da non produrre discriminazioni arbitrarie o ingiustificate nei confronti di o tra paesi terzi in cui sussistono condizioni analoghe e da non costituire ostacoli occulti agli scambi, tenendo conto degli attuali impegni internazionali della Comunità.
(5) Nella Confederazione svizzera vigono in materia di protezione dei dati personali norme di legge che producono effetti giuridici vincolanti a livello federale e cantonale.
(6) La costituzione federale, modificata in seguito alla consultazione popolare del 18 aprile 1999 ed entrata in vigore il 1o gennaio 2000, garantisce a ciascun cittadino il diritto al rispetto della vita privata e, in particolare, il diritto di essere tutelato contro l'uso illecito dei dati che lo riguardano. Il tribunale federale ha sviluppato, sulla base della precedente costituzione che non prevedeva una siffatta disposizione, una giurisprudenza che fissa i principi generali applicabili al trattamento dei dati personali con riguardo, in particolare, alla qualità dei dati trattati, al diritto di accesso degli interessati e al diritto di chiedere la rettifica o la distruzione dei dati. Tali principi sono vincolanti tanto per la federazione quanto per ciascun cantone.
(7) La legge federale svizzera sulla protezione dei dati del 19 giugno 1992 è entrata in vigore il 1o luglio 1993. Le modalità di applicazione di talune disposizioni della legge, riguardanti in particolare il diritto di accesso delle persone interessate, la notifica dei trattamenti all'autorità di controllo indipendente e la comunicazione di dati all'estero, sono state fissate mediante ordinanze del Consiglio federale. La legge si applica ai trattamenti di dati personali effettuati da organi federali e da tutto il settore privato nonché ai trattamenti effettuati da organi cantonali in applicazione del diritto federale nella misura in cui tali trattamenti non sono soggetti a disposizioni cantonali di protezione dei dati.
(8) Nella maggioranza dei casi i cantoni hanno adottato un atto legislativo in materia di protezione dei dati per i settori di loro competenza quali, in particolare, ospedali pubblici, istruzione, imposte dirette cantonali e polizia. Negli altri cantoni, tali trattamenti sono disciplinati da atti di natura regolamentare o secondo i principi della giurisprudenza cantonale. Quali che siano la fonte e il contenuto delle disposizioni cantonali, e anche in assenza di disposizioni cantonali, i cantoni devono conformarsi ai principi costituzionali sopra citati. È possibile che le autorità cantonali, nei settori di loro competenza, debbano trasferire dati personali alle amministrazioni pubbliche di Stati limitrofi essenzialmente a fini di reciproca assistenza per la tutela di interessi pubblici rilevanti o, nel caso degli ospedali pubblici, al fine di tutelare l'interesse fondamentale delle persone in questione.
(9) Il 2 ottobre 1997 la Svizzera ha ratificato la convenzione del Consiglio d'Europa sulla protezione delle persone riguardo al trattamento automatizzato di dati di carattere personale (convenzione n. 108)(3), volta a rafforzare la tutela dei dati personali e ad assicurare la libera circolazione tra le parti contraenti, fatte salve le deroghe da queste eventualmente previste. Pur senza essere direttamente applicabile, la convenzione definisce gli obblighi internazionali sia della Federazione, sia dei cantoni per quanto riguarda non soltanto i principi fondamentali della protezione che ciascuna parte contraente deve attuare nel suo diritto interno, ma anche i meccanismi di cooperazione tra le parti contraenti. In particolare, le competenti autorità svizzere devono fornire alle autorità delle altre parti contraenti che ne fanno richiesta ogni informazione sul diritto e sulle prassi amministrative in materia di protezione dei dati nonché informazioni relative ad ogni caso specifico di trattamento automatizzato di dati. Inoltre, esse devono prestare assistenza alle persone residenti all'estero nell'esercizio del loro diritto di essere informate circa l'esistenza di un trattamento di dati che le riguardano, del diritto di accedere ai dati che le riguardano e di chiederne la rettifica o la cancellazione, nonché del diritto di proporre un ricorso giurisdizionale.
(10) Le norme di legge vigenti in Svizzera incorporano tutti i principi fondamentali necessari per assicurare un livello di protezione adeguato delle persone fisiche, anche se eccezioni e limitazioni sono previste a salvaguardia di interessi pubblici rilevanti. L'applicazione di tali norme è garantita dai ricorsi giurisdizionali nonché dal controllo indipendente esercitato dalle autorità, quali l'incaricato federale investito di poteri di indagine e di intervento. In caso di trattamenti illeciti arrecanti pregiudizio alla persona interessata si applicano inoltre le disposizioni della legge svizzera in materia di responsabilità civile.
(11) Nell'interesse della trasparenza e al fine di salvaguardare la capacità delle autorità competenti negli Stati membri di garantire la tutela delle persone fisiche per quanto concerne il trattamento dei dati personali che li riguardano, è necessario specificare nella decisione le circostanze eccezionali in cui, nonostante la constatazione di un livello di protezione adeguato, può essere giustificata la sospensione di trasferimenti di dati specifici.
(12) Il gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall'articolo 29 della direttiva 95/46/CE si è pronunciato sul livello di protezione garantito dalla legislazione elvetica. In sede di elaborazione della presente decisione si è tenuto conto del parere espresso da tale gruppo(4).
(13) Le misure previste dalla presente decisione sono conformi al parere del comitato istituito dall'articolo 31 della direttiva 95/46/CE,
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
Ai fini dell'applicazione dell'articolo 25, paragrafo 2, della direttiva 95/46/CE, si considera per tutte le attività che rientrano nel campo d'applicazione della direttiva, che la Svizzera offra un livello adeguato di protezione dei dati personali trasferiti dall'Unione europea.
Articolo 2
La presente decisione riguarda soltanto l'adeguatezza della protezione garantita in Svizzera in base ai requisiti prescritti dall'articolo 25, paragrafo 1, della direttiva 95/46/CE e non incide su condizioni o restrizioni stabilite in applicazione di altre disposizioni della direttiva relativamente al trattamento di dati personali negli Stati membri.
Articolo 3
1. Fatta salva la loro facoltà di prendere provvedimenti per garantire l'osservanza delle disposizioni nazionali adottate in conformità a disposizioni diverse da quelle di cui all'articolo 25 della direttiva 95/46/CE, le autorità competenti degli Stati membri possono esercitare i poteri di cui dispongono per sospendere trasferimenti di dati diretti ad un destinatario in Svizzera al fine di tutelare gli interessati in relazione al trattamento dei dati personali che li riguardano nei casi in cui:
a) la competente autorità svizzera abbia accertato che il destinatario viola le norme vigenti in materia di protezione, oppure
b) sia molto probabile una violazione delle norme di protezione; vi siano validi motivi per ritenere che la competente autorità svizzera non stia adottando o non adotterà misure adeguate e tempestive per risolvere il caso in questione; la continuazione del trasferimento comporti un rischio imminente di gravi danni per gli interessati e le autorità competenti degli Stati membri abbiano fatto il possibile, date le circostanze, per informare il soggetto stabilito in Svizzera che è responsabile del trattamento dei dati, dandogli la possibilità di replicare.
La sospensione cessa non appena sia garantito il rispetto delle norme di protezione e sia stata informata l'autorità competente della Comunità.
2. Gli Stati membri informano senza indugio la Commissione dell'adozione di misure in base al paragrafo 1.
3. Gli Stati membri e la Commissione si informano anche reciprocamente dei casi in cui le misure adottate dagli organismi incaricati di vigilare sul rispetto delle norme di protezione in Svizzera risultano inidonee a tal fine.
4. Se le informazioni raccolte in applicazione dei paragrafi 1, 2 e 3 dimostrano che uno degli organismi incaricati di vigilare sul rispetto delle norme di protezione in Svizzera non assolve efficacemente la sua funzione, la Commissione informa l'autorità svizzera competente e, se necessario, presenta un progetto delle misure da adottare secondo la procedura di cui all'articolo 31 della direttiva al fine di abrogare o sospendere la presente decisione o limitarne il campo d'applicazione.
Articolo 4
1. La presente decisione può essere modificata in qualsiasi momento alla luce dell'esperienza acquisita nel corso della sua applicazione o di emendamenti apportati alla legislazione svizzera.
La Commissione valuta l'applicazione della presente decisione, sulla base delle informazioni disponibili, tre anni dopo la sua notifica agli Stati membri e riferisce ogni risultanza al comitato istituito a norma dell'articolo 31 della direttiva 95/46/CE, incluso ogni elemento che possa influire sulla valutazione di cui all'articolo 1 della presente decisione circa l'adeguatezza della protezione in Svizzera ai sensi dell'articolo 25 della direttiva 95/46/CE e ogni elemento da cui risulti che la decisione è applicata in modo discriminatorio.
2. La Commissione, se necessario, presenta un progetto delle misure da adottare conformemente alla procedura di cui all'articolo 31 della direttiva 95/46/CE.
Articolo 5
Gli Stati membri adottano le misure necessarie per conformarsi alla presente decisione entro novanta giorni dalla data della sua notifica agli Stati membri.
Articolo 6
Gli Stati membri sono destinatari della presente decisione.
Fatto a Bruxelles, il 26 luglio 2000.
Per la Commissione
Frederik Bolkestein
Membro della Commissione
(1) GU L 281 del 23.11.1995, pag. 31.
(2) Parere 12/98, adottato dal gruppo di lavoro il 24 luglio 1998: "Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati" (DG MARKT D/5025/98), disponibile sul sito "Europa" della Commissione europea al seguente indirizzo: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.
(3) http://conventions.coe.int/treaty/EN/cadreintro.htm.
(4) Parere 5/99, adottato dal gruppo di lavoro il 7 giugno 1999 (GD MARKT 5054/99), disponibile sul sito Web "Europa" della Commissione europea all'indirizzo indicato nella nota 2.
