30.1.2013   

IT

Gazzetta ufficiale dell'Unione europea

L 28/12

(1)

Ai sensi della direttiva 95/46/CE gli Stati membri devono far sì che il trasferimento di dati personali a un paese terzo abbia luogo solo se il paese in questione garantisce adeguati livelli di tutela e dopo aver accertato, prima del trasferimento, che siano soddisfatte le norme degli Stati membri che attuano altre disposizioni della direttiva.

(2)

La Commissione può constatare che un paese terzo garantisca adeguati livelli di tutela. In tal caso, gli Stati membri possono trasferirvi dati personali senza la necessità di ulteriori garanzie.

(3)

A norma della direttiva 95/46/CE è necessario valutare il livello di protezione dei dati riguardo a tutte le circostanze relative a un trasferimento o a una categoria di trasferimenti di dati, prendendo in considerazione in particolare alcuni determinati elementi rilevanti ai fini del trasferimento.

(4)

Data la diversità degli approcci alla protezione dei dati nei paesi terzi, è opportuno effettuare la valutazione dell’adeguatezza, nonché adottare e applicare ogni decisione ai sensi della direttiva 95/46/CE, senza discriminazioni ingiustificate o arbitrarie contro o tra paesi terzi in cui esistono condizioni simili e senza creare barriere occulte al libero scambio, nel rispetto degli attuali impegni internazionali assunti dall’Unione europea.

(5)

La Nuova Zelanda è una ex colonia britannica che ha acquisito lo status di dominion indipendente nel 1907, ma ha reciso formalmente il legame costituzionale con il Regno Unito solo nel 1947. La Nuova Zelanda è uno Stato unitario e non dispone di una costituzione scritta nel senso convenzionale di documento costitutivo consolidato. Il paese è una monarchia costituzionale e una democrazia parlamentare basato sullo Statuto di Westminster, con la regina della Nuova Zelanda a capo dello Stato.

(6)

Lo Stato neozelandese poggia sul principio della sovranità parlamentare. Tuttavia, per convenzione, ad alcune leggi aventi particolare rilevanza costituzionale è attribuito il rango di «leggi di livello superiore». Ciò significa che sono parte del contesto o del paesaggio costituzionale e informano la prassi governativa e l’applicazione delle altre normative. Inoltre, la modifica o l’abrogazione di queste leggi richiederebbe verosimilmente un consenso trasversale a livello politico. Diverse di queste leggi — Bill of Rights Act del 28 agosto 1990 (Public Act n. 109 del 1990), Human Rights Act del 10 agosto 1993 (Public Act n. 82 del 1993), e Privacy Act del 17 maggio 1993 (Public Act n. 28 del 1993) — riguardano la protezione dei dati. L’importanza costituzionale di tali disposizioni legislative trova eco nella convenzione secondo la quale esse devono essere prese in considerazione quando vengono elaborate o proposte nuove leggi.

(7)

Le norme giuridiche a protezione dei dati personali della Nuova Zelanda sono principalmente enunciate nel Privacy Act, modificato dal Privacy (Cross-border Information) Ammendement Act del 7 settembre 2010 (Public Act n. 113 del 2010). L’atto, anteriore alla direttiva 95/46/CE, non si limita a dati elaborati automaticamente o a dati strutturati contenuti in un archivio, ma si applica a tutte le informazioni personali, qualunque sia la loro forma. Il suo campo di applicazione ricomprende integralmente i settori pubblico e privato, fatte salve alcune particolari deroghe di interesse pubblico, come è consueto nelle società democratiche.

(8)

In Nuova Zelanda esistono diversi quadri regolamentari che permettono di trattare le questioni inerenti la sfera privata in termini di politiche, norme, o giurisdizioni di ricorso; alcuni sono di matrice normativa, mentre altri sono corpora di autoregolamentazione settoriale, compresi i settori dei mezzi di comunicazione, del marketing diretto, dei messaggi di posta elettronica indesiderati, delle ricerche di mercato, della salute e delle disabilità, dei servizi bancari e assicurativi e del risparmio.

(9)

Oltre alla legislazione adottata dal Parlamento neozelandese, esiste un considerevole corpus di common law modellato sul common law inglese, contenente principi e norme di diritto consuetudinario concernenti la protezione dei dati. Uno dei principi portanti di common law è quello che pone la dignità della persona tra gli obiettivi primari del diritto. Tale principio di common law è un elemento fondamentale del contesto generale in cui si svolge il processo decisionale giudiziario in Nuova Zelanda. La giurisprudenza della Nuova Zelanda modellata sul common law concerne anche una serie di altri aspetti inerenti alla riservatezza della vita privata, compresi la violazione della privacy, la violazione dell’obbligo di riservatezza e i dispositivi di protezione accessoria nel contesto, tra l’altro, di diffamazione, turbative, molestie, falsità dolosa e colpa.

(10)

Le norme giuridiche neozelandesi applicabili in materia di protezione dei dati contemplano tutti i principi relativi a un adeguato livello di tutela delle persone fisiche, prevedendo eccezioni e restrizioni a salvaguardia di rilevanti interessi pubblici. Tali norme in materia di protezione dei dati e le relative eccezioni riflettono i principi contenuti nella direttiva 95/46/CE.

(11)

L’applicazione di dette norme è garantita da mezzi di ricorso amministrativi e giurisdizionali e dal controllo indipendente esercitato dall’autorità di controllo — il Privacy Commissioner — che è dotato del tipo di poteri enunciati nell’articolo 28 della direttiva 95/46/CE, e che agisce in piena indipendenza. Inoltre, chiunque vi abbia interesse può adire le vie legali per ottenere il risarcimento del danno subito in conseguenza del trattamento illecito dei propri dati personali.

(12)

È pertanto opportuno considerare che la Nuova Zelanda fornisce adeguati livelli di tutela dei dati personali ai sensi della direttiva 95/46/CE.

(13)

La presente decisione dovrebbe riguardare l’adeguatezza della protezione assicurata in Nuova Zelanda ai fini della sua conformità ai requisiti di cui all’articolo 25, paragrafo 1, della direttiva 95/46/CE, ferme restando altre condizioni o restrizioni che attuano altre disposizioni della direttiva attinenti al trattamento di dati personali negli Stati membri.

(14)

Nell’interesse della trasparenza e per salvaguardare la capacità delle competenti autorità degli Stati membri di garantire la tutela delle persone riguardo al trattamento dei dati personali, è necessario precisare le circostanze eccezionali che giustificano la sospensione di particolari flussi di dati, nonostante l’esistenza di un’adeguata protezione.

(15)

Il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito dall’articolo 29 della direttiva 95/46/CE, ha espresso parere favorevole circa il livello di adeguatezza della protezione dei dati personali in Nuova Zelanda (2), di cui si è tenuto conto nella stesura della presente decisione di esecuzione.

(16)

Le misure previste dalla presente decisione sono conformi al parere del comitato istituito ai sensi dell’articolo 31, paragrafo 1, della direttiva 95/46/CE,

a)

un’autorità competente neozelandese abbia constatato che il destinatario non rispetta le norme applicabili relative alla protezione; o

b)

sia fortemente probabile una violazione delle norme di protezione, esistano fondati motivi per credere che l’autorità competente della Nuova Zelanda non prenda o non prenderà provvedimenti adeguati e tempestivi per risolvere la questione, il persistere del trasferimento dia luogo a rischi imminenti di danno grave per gli interessati e le autorità competenti dello Stato membro abbiano compiuto ragionevoli sforzi per avvisare i responsabili del trattamento in Nuova Zelanda e dar loro l’opportunità di rispondere.