IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Stefano Rodota', presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; Visto l'art. 25, paragrafi numeri 1 e 2, della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 secondo cui i dati personali possono essere trasferiti in un Paese non appartenente all'Unione europea qualora il Paese terzo garantisca un livello di protezione adeguato, secondo quanto previsto nel paragrafo 2 del medesimo articolo; Visto il paragrafo 6 del medesimo art. 25 secondo il quale la Commissione europea puo' constatare che un Paese terzo garantisce un livello di protezione adeguato ai sensi del citato paragrafo 2, ai fini della tutela della vita privata o dei diritti e delle liberta' fondamentali della persona; Vista la decisione della Commissione europea del 20 dicembre 2001, 2002/2/CE (pubblicata nella Gazzetta Ufficiale delle Comunita' europee n. L 2/13 del 4 gennaio 2002) con la quale si e' constatato che il Canada garantisce un livello adeguato di protezione dei dati personali trasferiti dall'Unione europea ai destinatari soggetti alla legge canadese sulla tutela delle informazioni personali e sui documenti elettronici («the Canadian Act») del 13 aprile 2000; Considerato che gli Stati membri europei devono adottare le misure necessarie per conformarsi alla decisione della Commissione, ai sensi del paragrafo 6 del citato art. 25 della direttiva; Visto l'art. 28 della legge 31 dicembre 1996, n. 675, come modificato dall'art. 10 del decreto legislativo 28 dicembre 2001, n. 467, secondo cui il trasferimento dei dati personali all'estero puo' avvenire: a) qualora l'ordinamento dello Stato di destinazione o di transito dei dati assicuri un livello di tutela delle persone adeguato o, se si tratta di dati sensibili o di taluni dati di carattere giudiziario, di grado pari a quello assicurato dall'ordinamento italiano; b) oppure, qualora ricorra uno dei casi previsti nel comma 4 del medesimo articolo; c) in ogni caso, qualora sia autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato, prestate anche con un contratto, ovvero individuate dalla Commissione europea con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento e del Consiglio del 24 ottobre 1995 (comma 4, lettera. g); Ritenuta la necessita' di adottare una misura necessaria per l'applicazione della decisione della Commissione in conformita' al citato art. 28, comma 4, lettera g); Visti il considerando (5) della decisione della Commissione sull'ambito di applicazione della legge canadese e sulle tre fasi previste per l'entrata in vigore della stessa legge, nonche' i considerando (6) e (7) circa la successiva approvazione di legislazioni sulla riservatezza dei dati da parte di province canadesi; Rilevato che la decisione della Commissione puo' essere modificata in ogni momento alla luce dell'esperienza acquisita nel corso della sua applicazione o di emendamenti apportati alla legislazione canadese, compresi provvedimenti che riconoscano che una provincia canadese dispone di una legislazione sostanzialmente simile (art. 4); Visti gli articoli 2 e 3 della decisione in tema di controlli e provvedimenti delle autorita' di garanzia degli Stati membri sulla liceita' e correttezza dei trasferimenti e dei trattamenti di dati anteriori ai trasferimenti medesimi, anche in relazione a quanto previsto dall'art. 4 della direttiva n. 95/46/CE sul diritto nazionale applicabile; Ritenuta la necessita' di assicurare ulteriore pubblicita' alla predetta decisione disponendo la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana in allegato alla presente autorizzazione; Vista la documentazione d'ufficio; Viste le osservazioni dell'ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante, n. 1/2000; Relatore il prof. Giuseppe Santaniello; Tutto cio' premesso il Garante: 1. Autorizza i trasferimenti di dati personali dal territorio dello Stato verso soggetti che trattano dati personali in applicazione della legge canadese sulla tutela delle informazioni personali e sui documenti elettronici («the Canadian Act») del 13 aprile 2000, nei limiti in cui tale legge e' applicabile e in conformita' a quanto previsto alla decisione della Commissione europea del 20 dicembre 2001 n. 2002/2/CE. 2. Si riserva, in conformita' alla normativa comunitaria, alla legge n. 675/1996 e all'art. 3 della decisione della Commissione, di svolgere i necessari controlli sulla liceita' e correttezza dei trasferimenti di dati e delle operazioni di trattamento anteriori ai trasferimenti medesimi, e di adottare eventuali provvedimenti di blocco o di divieto di trasferimento. 3. Dispone la trasmissione del presente provvedimento e dell'allegata decisione della Commissione all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Roma, 30 aprile 2003 Il presidente: Rodota' Il segretario generale: Buttarelli |