1.2.2011 |
IT |
Gazzetta ufficiale dell'Unione europea |
L 27/39 |
DECISIONE DELLA COMMISSIONE
del 31 gennaio 2011
ai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull’adeguata protezione dei dati personali da parte dello Stato d’Israele in relazione al trattamento automatizzato di tali dati
[notificata con il numero C(2011) 332]
(Testo rilevante ai fini del SEE)
(2011/61/UE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea,
vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (1), in particolare l’articolo 25, paragrafo 6,
sentito il Garante europeo della protezione dei dati,
considerando quanto segue:
(1) |
Ai sensi della direttiva 95/46/CE, gli Stati membri devono far sì che il trasferimento di dati personali a un paese terzo abbia luogo solo se il paese in questione garantisce adeguati livelli di protezione e dopo aver accertato, prima del trasferimento, che siano osservate le norme degli Stati membri che attuano altre disposizioni della direttiva. |
(2) |
La Commissione può constatare che un paese terzo garantisca adeguati livelli di tutela. In tal caso, gli Stati membri possono trasferirvi dati personali senza la necessità di ulteriori garanzie. |
(3) |
Secondo la direttiva 95/46/CE è necessario accertare il livello di protezione dei dati alla luce di tutte le circostanze che accompagnano l’operazione, o le operazioni, di trasferimento dei dati, dando particolare rilievo agli elementi del trasferimento di cui all’articolo 25 della direttiva. |
(4) |
Data la diversità degli approcci alla tutela dei dati nei paesi terzi, è opportuno effettuare la valutazione dell’adeguatezza nonché adottare e applicare ogni decisione ai sensi dell’articolo 25, paragrafo 6, della direttiva 95/46/CE senza discriminazioni ingiustificate o arbitrarie contro o tra paesi terzi in cui esistono condizioni simili e senza creare ostacoli mascherati al libero scambio, nel rispetto degli attuali impegni internazionali assunti dall’Unione europea. |
(5) |
Anche se l’ordinamento giuridico dello Stato d’Israele non dispone di una costituzione scritta, la Corte suprema dello Stato d’Israele ha attribuito rango costituzionale ad alcune «Leggi fondamentali». A queste si aggiunge un’ampia giurisprudenza, essendo il sistema giuridico di Israele in larga misura modellato sui principi di common law. Il diritto alla riservatezza è sancito alla sezione 7 della «Legge fondamentale sulla dignità umana e la libertà». |
(6) |
Nello Stato d’Israele, le norme giuridiche a tutela dei dati personali sono ampiamente basate sulle disposizioni della direttiva 95/46/CE e sono iscritte nella legge 5741-1981 sulla protezione della vita privata, modificata da ultimo nel 2007 al fine di stabilire nuovi criteri per il trattamento dei dati personali e predisporre l’organizzazione dettagliata dell’autorità di controllo. |
(7) |
Detta legislazione in materia di protezione dei dati è inoltre completata da decisioni governative concernenti l’attuazione della legge 5741-1981 sulla protezione della vita privata e l’organizzazione e il funzionamento dell’autorità di controllo, basate in gran parte su raccomandazioni formulate nella relazione del Comitato per l’esame della legislazione relativa alle banche dati al ministero della Giustizia (relazione Schoffman). |
(8) |
Disposizioni relative alla protezione dei dati figurano anche in numerosi strumenti giuridici che disciplinano diversi settori, quali la legislazione del settore finanziario, la normativa sanitaria e i registri pubblici. |
(9) |
Le norme giuridiche applicabili nello Stato d’Israele in materia di protezione dei dati contengono tutti i principi di un adeguato livello di tutela delle persone fisiche relativamente al trattamento dei dati personali nelle banche dati automatizzate. Il capo 2 della legge 5741-1981 sulla protezione della vita privata, in cui sono contenuti i principi che sottendono al trattamento dei dati personali, non si applica al trattamento di dati personali contenuti in banche dati non automatizzate (banche dati manuali). |
(10) |
L’applicazione di tali norme è garantita da mezzi di ricorso amministrativi e giurisdizionali e dal controllo indipendente esercitato dall’autorità di controllo, l’autorità israeliana in materia di diritto, informazione e tecnologia (ILITA), dotata di poteri d’indagine e d’intervento e che opera in piena indipendenza. |
(11) |
Le autorità israeliane competenti per la protezione dei dati hanno fornito spiegazioni e garanzie relative all’interpretazione della legislazione di Israele e hanno assicurato che la legislazione in materia di protezione dei dati è applicata conformemente a tale interpretazione. La presente decisione tiene conto di tali spiegazioni e garanzie, dalle quali di conseguenza dipende. |
(12) |
È pertanto opportuno considerare che lo Stato d’Israele fornisce adeguati livelli di protezione dei dati personali ai sensi della direttiva 95/46/CE relativamente ai trasferimenti internazionali automatizzati di dati personali dall’Unione europea verso lo Stato d’Israele e, in caso di trasferimenti non automatizzati, ai dati che siano sottoposti a ulteriore trattamento automatizzato nello Stato d’Israele. Per contro, la presente decisione non dovrebbe applicarsi ai trasferimenti internazionali di dati personali dall’UE nello Stato d’Israele qualora il trasferimento e il successivo trattamento dei dati siano effettuati esclusivamente tramite strumenti non automatizzati. |
(13) |
Per salvaguardare la trasparenza e la capacità delle competenti autorità degli Stati membri di garantire la tutela delle persone riguardo al trattamento dei dati personali di queste ultime, è necessario precisare le circostanze eccezionali che giustificano la sospensione di particolari flussi di dati, nonostante l’esistenza di un’adeguata tutela. |
(14) |
I riscontri relativi all’adeguatezza riguardanti la presente decisione si riferiscono allo Stato d’Israele, come definito ai sensi del diritto internazionale. I trasferimenti successivi verso un destinatario situato fuori dallo Stato d’Israele, come definito ai sensi del diritto internazionale, dovrebbero essere considerati trasferimenti di dati personali verso un paese terzo. |
(15) |
Il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito in forza dell’articolo 29 della direttiva 95/46/CE, ha espresso un parere favorevole sul livello di adeguatezza della protezione dei dati personali per quanto attiene alla protezione dei dati relativamente ai trasferimenti internazionali automatizzati di dati personali dall’Unione europea e, in caso di trasferimenti non automatizzati, ai dati che siano sottoposti a ulteriore trattamento automatizzato nello Stato d’Israele. In tale parere, il gruppo ha incoraggiato le autorità israeliane ad adottare ulteriori disposizioni che estendano l’applicazione della legislazione dello Stato d’Israele alle banche dati manuali, riconoscano espressamente l’applicazione del principio di proporzionalità al trattamento dei dati personali nel settore privato e interpretino le deroghe nell’ambito dei trasferimenti internazionali di dati conformemente ai criteri fissati nel «Documento di lavoro su un’interpretazione comune dell’articolo 26, paragrafo 1, della direttiva 95/46/CE» (2). Nella preparazione della presente decisione si è tenuto conto del parere del gruppo (3). |
(16) |
Il comitato istituito ai sensi dell’articolo 31, paragrafo 1, della direttiva 95/46/CE non ha formulato un parere entro il termine stabilito dal suo presidente, |
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
1. Per le finalità di cui all’articolo 25, paragrafo 2, della direttiva 95/46/CE, si ritiene che lo Stato d’Israele fornisca un adeguato livello di protezione dei dati personali trasferiti dall’Unione europea per quanto attiene ai trasferimenti internazionali automatizzati di dati personali dall’Unione europea e, in caso di trasferimenti non automatizzati, ai dati che siano sottoposti a ulteriore trattamento automatizzato nello Stato d’Israele.
2. L’autorità di controllo israeliana competente per l’applicazione delle norme in materia di protezione dei dati nello Stato d’Israele è la «Israeli Law, Information and Technology Authority (ILITA)» (autorità israeliana competente per il diritto, l’informazione e la tecnologia), di cui all’allegato della presente decisione.
Articolo 2
1. La presente decisione riguarda soltanto l’adeguatezza della protezione fornita nello Stato d’Israele, come definito ai sensi del diritto internazionale, al fine di soddisfare i requisiti di cui all’articolo 25, paragrafo 1, della direttiva 95/46/CE e non produce alcun effetto su altre condizioni o restrizioni conseguenti all’attuazione di altre disposizioni della direttiva riguardanti il trattamento dei dati personali all’interno degli Stati membri.
2. La presente decisione deve essere applicata conformemente al diritto internazionale. Essa non pregiudica lo status delle alture del Golan, della striscia di Gaza, della Cisgiordania e di Gerusalemme est, ai sensi del diritto internazionale.
Articolo 3
1. Fatti salvi i poteri di intervento al fine di garantire il rispetto dei provvedimenti nazionali adottati in applicazione di disposizioni diverse dall’articolo 25 della direttiva 95/46/CE, le autorità competenti degli Stati membri hanno facoltà di sospendere i trasferimenti di dati verso destinatari nello Stato d’Israele al fine di tutelare i cittadini nell’ambito del trattamento dei loro dati personali nei casi in cui:
a) |
un’autorità competente israeliana abbia constatato che il destinatario non rispetta le norme applicabili relative alla protezione; oppure |
b) |
sia fortemente probabile una violazione delle norme di protezione; vi siano motivi ragionevoli di ritenere che le autorità competenti israeliane non adottino o non intendano adottare misure adeguate e tempestive per risolvere il caso in questione; la continuazione del trasferimento dei dati comporti un rischio imminente di grave pregiudizio per le persone interessate e le autorità competenti degli Stati membri abbiano fatto il possibile, date le circostanze, per avvertire il responsabile del trattamento nello Stato d’Israele e dargli la possibilità di replicare. |
2. La sospensione cessa non appena sia garantito il rispetto delle norme di protezione e ne sia informata l’autorità competente dello Stato membro interessato.
Articolo 4
1. Gli Stati membri informano immediatamente la Commissione dell’adozione di provvedimenti ai sensi dell’articolo 3.
2. Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui l’azione degli organismi israeliani responsabili per il rispetto delle norme di protezione non sia sufficiente a garantire tale rispetto.
3. Ove risulti provato, dalle informazioni di cui all’articolo 3 e ai paragrafi 1 e 2 del presente articolo, che gli organismi israeliani incaricati di garantire il rispetto delle norme di protezione non svolgono la loro funzione in modo efficace, la Commissione avverte le autorità israeliane competenti e, se necessario, presenta progetti di misure, con la procedura di cui all’articolo 31, paragrafo 2, della direttiva 95/46/CE, al fine di abrogare o sospendere la presente decisione o di limitarne il campo d’applicazione.
Articolo 5
La Commissione verifica l’applicazione della presente decisione e comunica qualsiasi informazione utile al comitato istituito dall’articolo 31 della direttiva 95/46/CE, in particolare ogni elemento rilevante ai fini della valutazione di cui all’articolo 1 della presente decisione, circa l’adeguatezza della protezione nello Stato d’Israele ai sensi dell’articolo 25 della direttiva 95/46/CE e ogni elemento che dimostri che la presente decisione è applicata in modo discriminatorio. Verifica in particolare il trattamento dei dati personali nelle banche dati manuali.
Articolo 6
Gli Stati membri adottano le misure necessarie per conformarsi alla presente decisione entro tre mesi dalla notifica della stessa.
Articolo 7
Gli Stati membri sono destinatari della presente decisione.
Fatto a Bruxelles, il 31 gennaio 2011.
Per la Commissione
Viviane REDING
Vicepresidente
(1) GU L 281 del 23.11.1995, pag. 31.
(2) Documento WP114 del 25 novembre 2005, consultabile all’indirizzo: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2005/wp114_it.pdf
(3) Parere 6/2009 sul livello di protezione dei dati personali in Israele, consultabile all’indirizzo: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp165_it.pdf
ALLEGATO
Autorità di controllo competente di cui all’articolo 1, paragrafo 2, della presente decisione:
The Israeli Law, Information and Technology Authority |
The Government Campus |
9th floor |
125 Begin Rd. |
Tel Aviv |
Israel |
Indirizzo:
P.O. Box 7360 |
Tel Aviv, 61072 |
Tel. + 972-3-7634050 |
Fax + 972-2-6467064 |
E-mail: ILITA@justice.gov.il |
Sito internet: http://www.justice.gov.il/MOJEng/RashutTech/default.htm |