Gruppo di lavoro ex articolo 29 in tema di protezione dei dati

Transcript

1 Gruppo di lavoro ex articolo 29 in tema di protezione dei dati 11081/02/IT/def. WP 63 Parere 4/2002 sul livello di tutela dei dati personali in Argentina Adottato il 3 ottobre 2002 ll gruppo di lavoro è stato costituito in applicazione dell articolo 29 della direttiva 95/46/CE in quanto organismo europeo indipendente con finalità consultive che si occupa di protezione dei dati e di riservatezza. I suoi compiti sono descritti nell articolo 30 della direttiva 95/46/CE e nell articolo 14 della direttiva 97/66/CE. Alle funzioni di segretariato provvede la Direzione A (Funzionamento ed impatto del mercato interno - Coordinamento - Protezione dei dati) della Direzione generale Mercato interno della Commissione europea, B-1049 Bruxelles, Belgio, ufficio n. C100-6/136. Sito Web:

2 PARERE DEL GRUPPO DI LAVORO IN TEMA DI TUTELA DELLE PERSONE RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI, costituito in applicazione della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 sul livello di tutela dei dati personali in Argentina IL GRUPPO DI LAVORO IN TEMA DI TUTELA DELLE PERSONE RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI, vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati 1, in particolare l articolo 29 e l articolo 30, paragrafo 1, lettera b, visto il regolamento interno del gruppo di lavoro 2, in particolare gli articoli 12 e 14, considerando che: (1) il governo della Repubblica argentina ha invitato 3 la Commissione a verificare che l Argentina garantisce un livello adeguato di tutela a termini dell articolo 25 della direttiva, (2) la Commissione ha chiesto al gruppo di lavoro di formulare un parere in merito, HA ADOTTATO IL PRESENTE PARERE: 1. INTRODUZIONE: IL DIRITTO ARGENTINO IN TEMA DI TUTELA DEI DATI Nel diritto argentino la tutela dei dati personali è disciplinata da vari strumenti giuridici. Si può tracciare una distinzione fra norme generali e norme settoriali Norme generali Le norme generali risultano dal disposto congiunto della Costituzione, della legge n sulla tutela dei dati personali e dal regolamento approvato con decreto n. 1558/2001. Nel loro insieme questi testi costituiscono un regime giuridico comune in tema di tutela dei dati personali GU L 281 del , pag. 31, disponibile sul sito Web: Adottato dal Gruppo di lavoro nel corso della sua terza riunione tenutasi l Lettera dell ambasciatore della Repubblica argentina presso l Unione europea del 23 gennaio 2002.

3 Costituzione argentina In tema di tutela dei dati personali la Costituzione argentina prevede uno speciale ricorso giurisdizionale, denominato habeas data. Si tratta di una versione specifica della procedura disposta dalla Costituzione per garantire la tutela dei diritti costituzionali, che eleva dunque la tutela dei dati personali alla categoria di diritto fondamentale. In particolare l articolo 43, paragrafo 3 della Costituzione prevede che "chiunque può richiedere l avvio di tale azione [ossia il ricorso all habeas data] al fine di venire a conoscenza del contenuto e dell uso di tutti i dati che lo riguardano presenti presso registri o banche dati pubblici oppure banche dati private aventi finalità informative. In caso d inesattezza delle informazioni o d impiego delle stesse a fini discriminatori, la persona interessata ha la possibilità di chiedere la cancellazione, la correzione, la qualificazione di riservati o l aggiornamento dei dati contenuti negli archivi summenzionati. Tale articolo non si applica al segreto delle fonti d informazione giornalistiche." La giurisprudenza argentina ha riconosciuto l "habeas data" quale diritto fondamentale e direttamente applicabile. Legge sulla tutela dei dati personali del 4 ottobre 2000 (legge n , denominata nel seguito la legge ) La legge sviluppa ed estende le disposizioni costituzionali. Essa prevede disposizioni relative ai principi generali di tutela dei dati, ai diritti delle persone interessate, agli obblighi dei responsabili del trattamento e degli utenti dei dati, alle autorità o agli organismi di controllo, alle sanzioni e alle norme procedurali relative al ricorso giurisdizionale habeas data. Regolamento approvato con decreto n. 1558/2001 del 3 dicembre 2001 (denominato nel seguito il regolamento ) Detto regolamento introduce norme per l attuazione della legge, ne integra le disposizioni e chiarisce alcuni punti della legge atti a dare adito ad interpretazioni divergenti. I tre strumenti giuridici summenzionati costituiscono le norme generali del diritto argentino in tema di tutela dei dati (denominate nel seguito diritto argentino ). Campo d applicazione del diritto argentino Il gruppo di lavoro ha valutato l adeguatezza del livello di tutela dei dati personali fornito dalla Costituzione argentina, dalla legge n e dal regolamento approvato con decreto n. 1588/2001. Il presente parere si limita pertanto a prendere in esame il campo d applicazione delle norme in questione e non fa riferimento a situazioni che possono esulare dal campo d applicazione di detti strumenti giuridici. Il gruppo di lavoro ha in particolare tenuto conto delle spiegazioni e assicurazioni fornite dalle autorità argentine in merito alle modalità d interpretazione delle disposizioni previste dalla costituzione, dalla legge e dal regolamento ed alle

4 situazioni che rientrano nel campo d applicazione del diritto argentino in tema di tutela dei dati. Campo materiale d applicazione Il gruppo di lavoro prende atto delle spiegazioni fornite dalle autorità argentine al riguardo, secondo le quali il diritto argentino in tema di tutela dei dati si applica alle seguenti situazioni: i. Riguardo ai responsabili del trattamento dei dati Il diritto argentino dispone la tutela dei seguenti dati: 1) Dati personali registrati presso archivi, registri, banche dati o altri strumenti tecnici pubblici. Il gruppo di lavoro ritiene si possa desumere che in questo caso il responsabile del trattamento è un istituzione od un organismo pubblico. Tale interpretazione risulta chiaramente dall articolo 4, paragrafo 3 della Costituzione e dall articolo 1 della legge. 2) Dati personali registrati presso archivi, registri, banche dati o altri strumenti tecnici privati a) Se ed in quanto l impiego degli archivi, dei registri o delle banche dati trascende l uso esclusivamente personale. Il gruppo di lavoro prende atto delle spiegazioni fornite al riguardo dalle autorità argentine, secondo le quali qualsiasi uso potenzialmente atto a ledere i diritti delle persone interessate va considerato come un uso che oltrepassa quello esclusivamente personale; oppure b) anche nel caso in cui l impiego degli archivi, dei registri o delle banche dati contenenti dati personali, pur non trascendendo l uso esclusivamente personale, è finalizzato alla cessione o al trasferimento ulteriore di dati personali, a prescindere dal fatto che la circolazione dei dati o delle informazioni ottenute venga effettuata gratuitamente o a pagamento. Il gruppo di lavoro ritiene che sia il punto a) che il punto b) facciano riferimento a situazioni in cui il responsabile del trattamento dei dati è un soggetto privato, indipendentemente dal fatto che si tratti di persona fisica o giuridica. Quanto agli archivi di dati privati, il gruppo di lavoro rileva che sia l articolo 23.3 della Costituzione che l articolo 1 della legge fanno riferimento a "archivi, registri, banche dati od altri strumenti tecnici privati di trattamento dei dati aventi finalità informative. La stessa formulazione appare in altre disposizioni della legge argentina, quali l articolo 14 sul diritto d accesso, l articolo 21 relativo all obbligo di registrazione, l articolo 29 relativo ai poteri dell organismo di controllo, gli articoli 33

5 e 35 relativi alle condizioni per il ricorso giurisdizionale habeas data, nonché l articolo 46 sulle disposizioni transitorie. L interpretazione estensiva di cui sopra si basa tuttavia su una serie di argomentazioni avanzate dalle autorità argentine: L articolo 1 del regolamento fornisce un interpretazione giuridica della legge. In particolare, esso definisce giuridicamente la nozione di "archivi, registri, banche dati privati aventi finalità informative" come "quelli che trascendono l uso esclusivamente personale e quelli finalizzati alla cessione o al trasferimento di dati personali, a prescindere dal fatto che la circolazione dei dati o delle informazioni prodotte si effettui gratuitamente o a titolo oneroso." L articolo 24 della legge dispone che i soggetti privati che costituiscono banche dati, registri o archivi non destinati ad un impiego esclusivamente personale devono essere registrati in conformità con le disposizioni di cui all articolo 21." L articolo 21 della legge impone l obbligo di registrazione degli archivi privati aventi finalità informative". L articolo 24 sarebbe privo di senso se la legge non avesse un campo d applicazione più vasto dei soli archivi aventi finalità informative. Questi due articoli confermano il parallelismo delle espressioni: "archivi aventi finalità informative" e "archivi [...] non destinati ad un impiego esclusivamente personale", come stabilito dalla definizione giuridica di cui all articolo 1 del regolamento (cfr. l argomentazione di cui sopra). Va d altronde fatto rilevare che sia la legge che il regolamento contengono disposizioni in tema di trattamento dei dati sulla salute (articolo 8 della legge) o di commercializzazione diretta (articolo 27 della legge e del regolamento), in forza delle quali detti archivi di dati, che pure trascendono l uso esclusivamente personale, non possono essere creati allo scopo di fornire informazioni. Anche in questo caso dette disposizioni risulterebbero superflue se la legge si applicasse esclusivamente ad archivi privati aventi finalità informative. Secondo le autorità argentine, nella giurisprudenza argentina si è seguita l interpretazione estensiva di cui sopra 4. ii. Riguardo alle persone interessate Il diritto argentino prevede la tutela delle persone sia fisiche che giuridiche in tema di trattamento dei dati personali. L articolo 2 della legge definisce "persona interessata" "qualsiasi persona fisica o persona giuridica avente sede legale, sedi locali o filiali nel paese in cui i dati vengono sottoposti al trattamento di cui alla presente legge"; l articolo 1 della legge stabilisce che "le disposizioni della presente legge sono ugualmente applicabili, nella misura appropriata, ai dati relativi alle persone giuridiche". Il gruppo di lavoro prende atto delle spiegazioni fornite a tale proposito dalle autorità argentine, secondo le quali la condizione di avere sede legale, sedi locali o filiali in Argentina si applica unicamente alle persone giuridiche da considerarsi come persone interessate. Non si applica invece alle persone fisiche, cosicché tutte le 4 Corte d appello, Mantovano/ Banco Regional de Cuyo, 2000; Becker José / Banco de la provincia de Buenos Aires, 2002.

6 persone fisiche vengono considerate persone interessate e sono tutelate dal diritto argentino. iii. Riguardo ai mezzi di trattamento Il diritto argentino prevede la tutela dei dati personali in relazione al loro trattamento sia manuale che automatizzato. In particolare, l articolo 2 della legge definisce il "trattamento dei dati" come " le operazioni e procedure sistematiche, effettuate per via elettronica o in altro modo, che consentono la raccolta, la conservazione, l organizzazione, la memorizzazione, la modifica, la relazione, la valutazione, il blocco, la distruzione e, in generale, il trattamento di dati personali, nonché la comunicazione degli stessi a terzi mediante comunicazioni, consultazioni, interconnessioni o trasferimenti." iv. Riguardo alla finalità delle operazioni di trattamento Il gruppo di lavoro rileva che, a tale proposito, il diritto argentino presenta un campo d applicazione generale. Poiché non vi è alcuna disposizione generale che definisca la finalità degli archivi ai quali dovrebbe applicarsi la legge, il gruppo di lavoro ne desume che in linea di principio la legge si applica agli archivi, ai registri e alle banche dati costituiti per qualsiasi finalità, salvo disposizioni contrarie previste da norme specifiche. Il gruppo di lavoro, tuttavia, richiama l attenzione sui seguenti aspetti: - Trattamento dei dati avente come finalità la difesa nazionale, la pubblica sicurezza o il perseguimento d infrazioni penali Tali operazioni sono soggette alle disposizioni previste dalla legge. In questi casi si applicano le norme generali della legge e del regolamento, fatte salve le disposizioni specifiche di cui all articolo 23 della legge in quanto lex specialis, che ribadisce il principio della finalità limitata. Trattamento dei dati a fini giornalistici L articolo 43.3 della Costituzione recita: Il presente articolo non si applica al segreto delle fonti giornalistiche. L articolo 1 della legge dispone altresì che "le fonti d informazione o le basi di dati giornalistiche non sono interessate in alcun modo. Il gruppo di lavoro prende atto delle spiegazioni fornite a tale proposito dalle autorità argentine, in base alle quali la disposizione in questione ha la finalità di tutelare il segreto delle fonti d informazione dei giornalisti quale condizione necessaria per salvaguardare il diritto fondamentale alla libertà di stampa, che costituisce un importante pilastro dello Stato democratico. In questo senso va tutelata l identità della fonte d informazione giornalistica, ad esempio contro la richiesta di una persona interessata di accedere ai propri dati personali, tra i quali potrebbero rientrare anche le informazioni relative alla fonte di tali dati (cfr. l articolo 14 del regolamento). D altra parte, la rettifica di dati inesatti pubblicati dai mezzi d informazione è soggetta alle norme in tema di diritto a ottenere la rettifica connesse alla libertà di stampa.

7 Il gruppo di lavoro prende atto delle spiegazioni fornite a tale proposito dalle autorità argentine, secondo le quali tale deroga deve essere applicata in modo restrittivo e non riguarda gli archivi di dati personali non aventi finalità giornalistiche, anche nei casi in cui il responsabile del trattamento dei dati eserciti un attività giornalistica (ad esempio la base di dati relativa alle risorse umane di un organo di stampa). Trattamento dei dati a fini statistici L articolo 28 della legge stabilisce quanto segue: 1.- Le norme previste dalla presente legge non si applicano a sondaggi d opinione, inchieste o statistiche effettuati a norma della legge n. 17,622,ricerche di mercato, studi scientifici o medici e altre attività analoghe, nella misura in cui i dati raccolti non possono essere attribuiti a una persona determinata o identificabile. 2.- Qualora nel corso della raccolta dei dati non sia possibile mantenere l'anonimato della persona interessata, deve essere adottata una dissociazione tecnica in modo tale da evitare l identificazione di una qualsiasi persona. Il gruppo di lavoro ritiene che non si tratti, in effetti, di una deroga all ambito generale di applicazione della legge, quanto piuttosto dell applicazione del principio secondo il quale la legge tutela i dati personali, definiti nell articolo 2 della legge "informazioni di qualsiasi tipo riferite a persone fisiche o persone giuridiche identificate o identificabili". Il gruppo di lavoro ne deduce pertanto che quando le persone interessate sono persone fisiche o persone giuridiche identificate o identificabili la legge si applica integralmente e ciò giustifica la disposizione di cui all articolo 28 del regolamento, in forza della quale "Gli archivi, i registri, le basi di dati o banche dati di cui all articolo 28 sono responsabili e passibili delle ammende previste a norma dell articolo 31 della legge in caso di violazione di una delle disposizioni in essa contenute". Ambito d applicazione territoriale La materia è disciplinata dall articolo 44 della legge. Di conseguenza può essere tratta la seguente distinzione: I. Disposizioni della legge che si applicano in maniera uniforme su tutto il territorio nazionale: Capitolo I: disposizioni generali Capitolo II: principi generali di tutela dei dati Capitolo III: diritti delle persone interessate Capitolo IV: [obblighi dei] responsabili del trattamento dei dati e degli utenti di archivi, registri e banche dati Articolo 32: sanzioni penali L esistenza e le principali modalità di ricorso all istituto dell habeas data (a norma della Costituzione)

8 II. Disposizioni della legge che non si applicano in maniera uniforme su tutto il territorio nazionale: Capitolo V: controllo (autorità di controllo) Capitolo VI: sanzioni (che possono essere imposte dall autorità di controllo) Capitolo VII: ricorso giurisdizionale per la tutela dei dati personali ( habeas data ): norme procedurali Il gruppo di lavoro prende atto delle spiegazioni in merito fornite dalle autorità argentine, in base alle quali, in tale ambito si applicano le seguenti norme: Registri, archivi, basi di dati o banche dati interconnessi attraverso reti a livello intergiurisdizionale (ossia "interprovinciale"), nazionale o internazionale: vengono considerati come casi che rientrano nella giurisdizione federale e pertanto soggetti alle disposizioni della legge. Altri tipi di registri, archivi, basi di dati o banche dati: vanno considerati come casi che rientrano nella giurisdizione provinciale. Le province possono emanare disposizioni giuridiche in materia. Alcune province hanno già adottato norme di procedura per il ricorso "habeas data" Norme settoriali Le disposizioni in tema di tutela dei dati figurano in numerosi strumenti giuridici che disciplinano vari settori, quali le transazioni con carta di credito, le statistiche, le operazioni bancarie o la sanità. 2. VALUTAZIONE DELL ADEGUATEZZA DEL LIVELLO DI TUTELA DEI DATI PERSONALI FORNITO DAL DIRITTO ARGENTINO Il gruppo di lavoro sottolinea che la propria valutazione dell adeguatezza del livello di tutela dei dati personali fornito dal diritto argentino si fonda sulle norme generali in materia, menzionate nel precedente capitolo. Tali disposizioni sono state poste a confronto con le principali disposizioni della direttiva, tenendo conto del parere del gruppo di lavoro relativo al " Trasferimento di dati personali verso paesi terzi : applicazione degli articoli 25 e 26 della direttiva Europea sulla tutela dei dati" 5. Il parere enuncia una serie di principi che costituiscono un "nucleo di principi di contenuto e di prescrizioni di procedura/applicazione, la cui osservanza potrebbe essere considerata una condizione minima di adeguatezza della tutela." Da tale analisi emerge quanto segue: 2.1. Principi di contenuto Principi fondamentali il principio della finalità limitata: i dati dovrebbero essere trattati per una finalità specifica e successivamente utilizzati o ulteriormente comunicati soltanto nella misura in cui non vi sia incompatibilità con la finalità del trasferimento. Le sole 5 WP 12 Adottato dal gruppo di lavoro il 24 luglio 1998, reperibile sul sito:

9 deroghe a tale norma sarebbero quelle necessarie in ogni società democratica per una delle ragioni elencate nell articolo 13 della direttiva. Il gruppo di lavoro ritiene che il diritto argentino rispetti tale principio. In particolare, l articolo 4.3 della legge stabilisce che "i dati sottoposti a trattamento non devono essere utilizzati per alcuna finalità o per finalità diverse o incompatibili con la finalità che ha motivato la raccolta dei dati medesimi." il principio della qualità e della proporzionalità: i dati dovrebbero essere precisi e, se del caso, aggiornati. Essi dovrebbero essere adeguati, pertinenti e commisurati alle finalità per cui sono oggetto di trasferimento o di ulteriore trattamento. Il gruppo di lavoro ritiene che il diritto argentino rispetti tale principio. In particolare, l articolo 4.4 e l articolo 4.5 della legge stabiliscono che i dati devono essere precisi e, se necessario, aggiornati. I dati totalmente o in parte inesatti o incompleti devono essere soppressi e sostituiti o, se del caso, completati dal responsabile dell archivio o della base di dati a seguito della notifica dell inesattezza o incompletezza delle informazioni in questione, senza pregiudizio dei diritti della persona interessata stabiliti a norma dell articolo 16 della presente legge. Inoltre, l articolo 4.1 della legge stabilisce che i dati personali raccolti a fini di trattamento devono essere certi, appropriati, pertinenti e non eccessivi in relazione al campo d applicazione e alle finalità per le quali sono stati raccolti. il principio della trasparenza: la persona dovrebbe ricevere informazioni riguardanti la finalità del trattamento e l identità del responsabile del trattamento nel paese terzo, nonché qualunque altra informazione necessaria ad assicurare una procedura equa. Le sole deroghe consentite dovrebbero essere in linea con l articolo 11, paragrafo 2 e con l articolo 13 della direttiva. Il gruppo di lavoro ritiene che il diritto argentino rispetti tale principio. In particolare, l articolo 6 della legge stabilisce quanto segue: Ogniqualvolta vengono raccolti dati personali, le persone interessate devono essere informate preventivamente in modo esplicito e chiaro in merito: a) alla finalità del trattamento dei dati e all identità del destinatario o al tipo di destinatario dei dati stessi; b) all esistenza di archivi, registri o banche dati, elettronici o di altro tipo, nonché all identità e al domicilio del responsabile del trattamento dei dati; c) al carattere obbligatorio o facoltativo delle risposte al questionario sottoposto alla persona, in particolare per quanto riguarda i dati menzionati al punto seguente; d) alle conseguenze derivanti dall atto di fornire i dati, dal rifiuto di fornirli o dall inesattezza degli stessi; e) alla possibilità da parte dell interessato di esercitare il diritto all accesso, alla rettifica e alla soppressione dei dati. Il gruppo di lavoro prende atto delle spiegazioni fornite dalle autorità argentine al riguardo, secondo le quali si deve stabilire una distinzione fra la fonte della legalità del trattamento dei dati e l obbligo di informare la persona interessata.

10 Da una parte, il trattamento può essere basato su ragioni legittime di vario tipo, elencate in dettaglio all articolo 5. Fra le ragioni in questione figurano, fra l altro, il consenso della persona interessata, l esistenza di una fonte accessibile pubblicamente, l esecuzione di un compito di interesse pubblico, di un obbligo legale o di un rapporto contrattuale. Resta inteso, a norma dell articolo 5 del regolamento, che nel caso in cui il trattamento viene effettuato con il consenso della persona interessata, tale consenso deve essere informato e ciò significa che devono essere state fornite preventivamente alla persona interessata tutte le informazioni di cui all articolo 6 della legge. D altra parte, l articolo 6 della legge stabilisce che "Ogniqualvolta vengono raccolti dati personali, le persone interessate devono essere informate preventivamente in modo esplicito e chiaro in merito [segue un elenco di voci relative al trattamento]". Benché la formulazione dell articolo in questione possa suggerire che l obbligo di informare la persona interessata sussista nei casi in cui i dati vengono forniti dalle stesse persone interessate e con il loro consenso, le autorità argentine sottolineano che tale obbligo è assoluto, incondizionato e non dipende dal principio sul quale si fonda la legalità del trattamento. L obbligo di informare si applica in ogni caso, a prescindere dal fatto che i dati personali vengano richiesti alle persone interessate o a terzi e dal fatto che il trattamento venga effettuato sulla base del consenso della persona interessata o di un altra ragione legittima fra quelle elencate all articolo 5 della legge. Pertanto, anche nel caso in cui il trattamento venga effettuato senza il consenso della persona interessata, vige comunque l obbligo di informare la persona interessata a norma dell articolo 6 della legge. il principio della sicurezza: il responsabile del trattamento dei dati dovrebbe adottare misure di sicurezza tecniche e organizzative commisurate ai rischi che il trattamento presenta. Chiunque operi sotto l autorità del responsabile del trattamento, compresi gli incaricati del trattamento, procede al trattamento dei dati solo su istruzione del responsabile. Il gruppo di lavoro ritiene che il diritto argentino rispetti tale principio. L articolo 9, in particolare, stabilisce quanto segue: 1. - Il responsabile del trattamento dei dati o l utente degli archivi deve adottare le misure tecniche e organizzative necessarie per garantire la sicurezza e la riservatezza dei dati personali, al fine di evitare la loro alterazione, perdita, consultazione o trattamento non autorizzati e al fine di consentire di individuare qualsiasi distorsione intenzionale o involontaria di tali informazioni, sia nel caso in cui il rischio derivi dall azione umana che dai mezzi tecnici utilizzati E vietato registrare dati personali presso archivi, registri o banche dati che non soddisfano i requisiti di integrità e sicurezza. i diritti di accesso, rettifica e opposizione: la persona interessata dovrebbe avere il diritto di ottenere una copia di tutti i dati trattati che la riguardano, nonché il diritto di far rettificare i dati di comprovata inesattezza. In determinate situazioni, la persona interessata dovrebbe inoltre potersi opporre al trattamento di dati che la riguardano. Le sole deroghe a tali diritti dovrebbero essere in linea con l articolo 13 della direttiva.

11 Per quanto riguarda il diritto di accesso, il gruppo di lavoro ritiene che il diritto argentino rispetti tale principio. In particolare, l articolo 14.1 della legge stabilisce che "le persone interessate, dopo aver debitamente comprovato la propria identità, hanno il diritto di chiedere e ottenere informazioni sui propri dati personali inseriti in registri o banche dati pubblici o in registri o banche date private destinati a fornire informazioni". Detto principio è ulteriormente sviluppato in altri paragrafi degli articoli 14 e 15 della legge e degli articoli 14 e 15 del regolamento. Per quanto riguarda il diritto di rettifica e di opposizione, il gruppo di lavoro ritiene che il diritto argentino rispetti tale principio. In particolare, l articolo 16.1 della legge stabilisce che: "ciascuno ha il diritto di rettificare, aggiornare e, se del caso, sopprimere o mantenere riservati i propri dati personali inseriti in una banca dati." Detto principio è ulteriormente sviluppato in altri paragrafi dell articolo 16 della legge e nell articolo 16 del regolamento. Le deroghe a tali diritti sono contemplati all articolo 17 della legge, che prevede restrizioni unicamente nel caso di banche dati pubbliche e per una serie limitata di ragioni importanti quali la difesa nazionale, l ordine pubblico, ragioni di sicurezza o la tutela dei diritti e degli interessi di terzi, oppure nei casi in cui tali informazioni potrebbero ostacolare un procedimento giudiziario o amministrativo in corso relativo all osservanza di obblighi fiscali o previdenziali, lo svolgimento di funzioni di controllo in ambito sanitario e ambientale, l accertamento di reati penali e la verifica di infrazioni amministrative. Il gruppo di lavoro ritiene che tali deroghe siano conformi alle disposizioni di cui all articolo 13 della direttiva. restrizioni ai successivi trasferimenti: ulteriori trasferimenti di dati personali da parte del destinatario del primo trasferimento dovrebbero essere consentiti soltanto quando anche il secondo destinatario (ossia il destinatario del trasferimento successivo) è soggetto a norme che assicurano un livello adeguato di tutela. Le sole deroghe consentite dovrebbero essere in linea con l articolo 26, paragrafo (1) della direttiva. Il gruppo di lavoro ritiene che tale principio sia ampiamente rispettato dal diritto argentino. In particolare, l articolo 12.1 della legge stabilisce che è vietato il trasferimento di dati personali di qualsiasi tipo a paesi o organismi internazionali o soprannazionali che non assicurano livelli adeguati di tutela. Le deroghe a tale principio figurano all articolo 12.1 della legge e si applicano ai casi seguenti: a) cooperazione giudiziaria internazionale; b) scambio di informazioni mediche, qualora ciò si renda necessario per il trattamento del soggetto interessato, o a fini di indagini epidemiologiche, a condizione che vengano condotte in conformità con le disposizioni di cui al paragrafo e) dell articolo precedente; c) trasferimenti borsistici o bancari nell ambito e in conformità con le leggi vigenti; d) qualora il trasferimento venga effettuato nel quadro di trattati internazionali di cui è firmataria la Repubblica argentina;

12 e) qualora il trasferimento venga effettuato nel quadro della cooperazione internazionale fra i servizi segreti nella lotta contro la criminalità organizzata, il terrorismo e il traffico di droga. L articolo 12 del regolamento aggiunge all elenco di deroghe il consenso esplicito della persona interessata al trasferimento e il trasferimento da un registro pubblico alle stesse condizioni della consultazione, in conformità con l articolo 26, paragrafo 1, lettera f della direttiva. Il gruppo di lavoro ritiene che tali deroghe siano più ampie rispetto a quelle previste dalla direttiva, e in particolare le deroghe di cui all articolo 12, paragrafo 1, lettere b, c e d. Il gruppo di lavoro trova che ciò sia deplorevole e auspica che le suddette deroghe vengano ridotte. Il gruppo di lavoro invita il governo argentino a adoperarsi in tal senso. I principi supplementari da applicare in casi specifici di trattamento sono i seguenti: dati sensibili: se il trattamento riguarda categorie di dati sensibili (quelle elencate all articolo 8 della direttiva), si dovrebbero porre in essere misure di salvaguardia supplementari, come ad esempio l obbligo del consenso esplicito al trattamento da parte della persona interessata. Il gruppo di lavoro ritiene che tale principio venga rispettato dal diritto argentino. In particolare, l articolo 2 della legge definisce "dati sensibili" "i dati personali che rivelano l origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l appartenenza sindacale, dati relativi alla salute e alla vita sessuale". L articolo 7 della legge prevede i seguenti provvedimenti di salvaguardia supplementare per il trattamento di tali dati: 1.- Nessuno può essere obbligato a fornire dati sensibili. 2.- I dati sensibili possono essere raccolti e sottoposti a trattamento soltanto nei casi di interesse generale ammessi dalla legge. Essi possono inoltre essere trattati a fini statistici o scientifici a condizione che le persone interessate non possano essere identificate. 3.- E vietata la creazione di archivi, banche dati o registri per conservare informazioni che rivelino direttamente o indirettamente dati sensibili. Senza pregiudizio per quanto sopra, la Chiesa cattolica, le associazioni religiose e le organizzazioni politiche e sindacali sono autorizzate a tenere un registro dei propri membri. 4.- I dati relativi a reati penali o di altro tipo possono essere sottoposti a trattamento soltanto da parte delle autorità pubbliche competenti, nel quadro stabilito dalle leggi e regolamenti corrispondenti. Inoltre, l articolo 8 della legge stabilisce che le "istituzioni sanitarie pubbliche o private, nonché i professionisti delle scienze mediche sono autorizzati a raccogliere e trattare i dati personali relativi allo stato di salute fisico o mentale dei pazienti che si avvalgono dei loro servizi o che usufruiscono o hanno usufruito delle loro prestazioni, in conformità con i principi del segreto professionale."

13 commercializzazione diretta: se il trasferimento dei dati avviene per finalità di commercializzazione diretta, la persona interessata dovrebbe essere in grado di decidere in qualsiasi momento l esclusione dei dati che la riguardano da un simile impiego. Il gruppo di lavoro ritiene che tale principio sia rispettato dal diritto argentino. In particolare, l articolo 27 della legge stabilisce quanto segue: 1.- Nel corso della compilazione di indirizzi, della distribuzione di documenti o di materiale pubblicitario, nonché nella vendita diretta e attività analoghe possono essere trattati dati che consentono di determinare profili specifici a fini promozionali, commerciali o pubblicitari. Possono essere compresi anche dati che consentono di individuare le abitudini di consumo, qualora tali dati figurino in documenti accessibili pubblicamente o siano stati forniti direttamente dalle persone interessate o siano stati ottenuti con il consenso di queste ultime. 2.- Nei casi contemplati dal presente articolo, le persone interessate possono esercitare gratuitamente il proprio diritto di accesso. 3.- Le persone interessate possono chiedere in qualsiasi momento l esclusione o la cancellazione del proprio nominativo dalle banche dati di cui al presente articolo." decisioni individuali automatizzate: se la finalità del trasferimento consiste nell adozione di una decisione automatizzata a norma dell articolo 15 della direttiva, la persona dovrebbe avere il diritto di conoscere la logica a cui tale decisione risponde e dovrebbero essere adottati altri provvedimenti per garantire la salvaguardia del suo interesse legittimo. Il gruppo di lavoro ritiene che tale principio sia rispettato dal diritto argentino per quanto riguarda le operazioni di trattamento effettuate dal settore pubblico, in quanto tali decisioni automatizzate sono vietate. In particolare, l articolo 20 della legge stabilisce quanto segue: 1.- Le decisioni giudiziarie o gli atti amministrativi che implicano un giudizio o una valutazione del comportamento umano non devono fondarsi unicamente sul risultato del trattamento informatico di dati personali che forniscono una definizione del profilo o della personalità della persona interessata. 2.- Qualsiasi atto contrario alla disposizione di cui sopra viene considerato irrimediabilmente nullo. Quanto al settore privato, il gruppo di lavoro rileva che il diritto argentino non prevede alcuna disposizione a tale riguardo. Il gruppo di lavoro ricorda tuttavia che per stabilire l adeguatezza delle norme occorre tenere conto di tutte le circostanze relative al trasferimento di dati personali e che il grado di rischio insito nel trasferimento per la persona interessata costituisce un elemento importante di tali "circostanze". Il diritto argentino, d altra parte, prevede misure di salvaguardia per la persona interessata nell ambito dei servizi d informazione commerciale, che costituisce un settore importante in cui vengono prese decisioni automatizzate individuali. Tali misure di salvaguardia sono previste a norma dell articolo 26 della legge e del regolamento e limitano il tipo di dati che possono essere sottoposti a trattamento, la fonte dei dati e il lasso di tempo al quale possono essere riferiti. Il

14 gruppo di lavoro ritiene dunque che la mancanza di disposizioni generali relative alle decisioni individuali automatizzate per il settore privato non debba costituire un ostacolo ai fini dell accertamento dell adeguatezza Dispositivi procedurali/applicativi Il parere del gruppo di lavoro del 1998 indica che per valutare l adeguatezza dell ordinamento giuridico di un paese terzo è necessario individuare gli obiettivi di fondo di un sistema procedurale per la tutela dei dati e da qui procedere ad esaminare i diversi meccanismi procedurali giudiziari e non giudiziari applicati nei paesi terzi. A tal fine, gli obiettivi di un sistema di tutela dei dati sono essenzialmente tre : assicurare un buon livello di osservanza delle norme; fornire aiuto e sostegno alla persona interessata nell esercizio dei propri diritti; garantire un risarcimento adeguato alla parte lesa in caso di violazione delle norme. assicurare un buon livello di osservanza delle norme: in un buon sistema, tra i responsabili del trattamento dei dati si può generalmente rilevare un elevato grado di consapevolezza dei propri obblighi e tra le persone interessate la medesima consapevolezza dei propri diritti e degli strumenti per esercitarli. Di particolare importanza, al fine di garantire il rispetto delle norme, è l esistenza di sanzioni efficaci e dissuasive, al pari, ovviamente, di sistemi di verifica diretta da parte di autorità, revisori o addetti indipendenti alla tutela dei dati. Il gruppo di lavoro ritiene che il diritto argentino preveda una serie di elementi finalizzati a conseguire tale obiettivo. In particolare: (a) Sanzioni efficaci e dissuasive Il diritto argentino prevede una serie di sanzioni di natura e livello diversi a seconda della gravità dell infrazione commessa dal responsabile del trattamento o dall utente delle basi di dati. Si possono individuare due tipi di sanzioni: i. Sanzioni amministrative Queste sanzioni sono disciplinate a norma dell articolo 31 della legge e del regolamento. Esse possono comprendere un richiamo, la sospensione, un ammenda di importo compreso fra mille pesos ($1,000.-) e centomila pesos ($100,000.-), la chiusura o la cancellazione dell archivio, del registro o della base di dati. Queste sanzioni possono essere imposte dall autorità di controllo in tema di tutela dei dati e possono essere commisurate alla natura dei diritti personali lesi, al volume del trattamento effettuato, ai benefici ottenuti, al grado di intenzione, alla reiterazione dell infrazione, al pregiudizio o al danno procurati alle persone interessate e a terzi nonché a qualsiasi altra circostanza rilevante ai fini della determinazione del grado di illegalità e colpevolezza della violazione specifica.

15 Il responsabile del trattamento o l utente di una base di dati pubblica può inoltre incorrere in responsabilità amministrative a termini delle norme generali in tema di servizio pubblico. ii. Sanzioni penali Il codice penale argentino considera un reato penale il trattamento deliberato di dati personali inesatti e la violazione della riservatezza o della sicurezza dei dati. Il codice prevede pene detentive da 3 a 6 anni (o da 4 a 9 anni in caso di danni alle persone) e l interdizione dai pubblici uffici per i dipendenti pubblici. Il gruppo di lavoro ritiene che tali sanzioni siano efficaci e dissuasive e che possano servire in maniera soddisfacente da deterrente contro il trattamento illegale di dati personali. (b) Autorità di controllo della tutela dei dati Il diritto argentino prevede la creazione di un organo di controllo della tutela dei dati. In forza dell articolo 29 della legge a detto organismo di controllo spetta il compito di adottare tutte le misure atte ad assicurare il rispetto degli obiettivi e delle disposizioni di legge. A tal fine esso esercita una serie di funzioni, fra le quali funzioni di assistenza e consulenza, l adozione di norme e disposizioni esecutive, la gestione di archivi e registri di dati e il controllo della conformità degli archivi di dati rispetto alla legge. Questo organismo è dotato di una serie di poteri, quali quello di richiedere l autorizzazione giudiziaria per accedere a locali e attrezzature adibiti al trattamento dei dati, richiedere informazioni a enti pubblici e privati, imporre sanzioni amministrative, promuovere azioni penali e verificare che vengano rispettati i criteri e le misure di salvaguardia necessarie per la costituzione di archivi privati. In applicazione dell articolo 29 del regolamento è stata istituita la Direzione nazionale per la tutela dei dati personali (DNPDP) quale organismo di controllo. Tale Direzione fa capo al Ministero della giustizia e dei diritti dell uomo. Il Direttore esercita le proprie funzioni in piena indipendenza e non deve seguire istruzioni. Contro le sue decisioni si può ricorrere in appello in forza delle norme generali relative alle procedure amministrative. Il gruppo di lavoro richiama tuttavia l attenzione sul fatto che il direttore dell autorità di controllo per la tutela dei dati è nominato e può essere destituito dal Ministro della giustizia e dei diritti dell uomo; quest ultimo decide anche la composizione del personale dell autorità di controllo. L autorità è inserita all interno della struttura del Ministero della giustizia. Il gruppo di lavoro ritiene che tale situazione non garantisca la completa indipendenza dell autorità nel proprio operato e auspica pertanto che vengano adottati al più presto i provvedimenti necessari a tal fine, in particolare che vengano modificate le modalità di nomina e di destituzione del direttore dell autorità.

16 Sulla base dell articolo 44 della legge, il gruppo di lavoro ritiene che la DNPDP possa essere considerata come "giurisdizione federale" ed essa sia pertanto responsabile della sorveglianza di registri, archivi o banche dati interconnessi in reti giurisdizionali a livello nazionale o internazionale. In altri casi, detti registri, archivi o banche dati ricadrebbero sotto la giurisdizione provinciale e pertanto esulerebbero dall ambito di competenza della DNPNP. Il gruppo di lavoro si augura che vengano istituite autorità di controllo della tutela dei dati in tutte le province. Ciò è importante per garantire in ogni caso un sistema di verifica diretta da parte delle autorità e un meccanismo istituzionale che consenta il ricorso a indagini indipendenti non giudiziarie in caso di denuncia. Alla luce di tali considerazioni, il gruppo di lavoro ritiene che il diritto argentino contenga gli elementi necessari per assicurare un buon livello di osservanza delle norme. fornire aiuto e sostegno alla persona interessata nell esercizio dei propri diritti. Ogni persona deve essere in grado di far rispettare i propri diritti in modo rapido ed efficace, ad un costo non proibitivo. A tal fine occorre porre in essere qualche meccanismo istituzionale che consenta di condurre un indagine indipendente in caso di denuncia. Il gruppo di lavoro rileva che il diritto argentino prevede una serie di strumenti a tal fine. In particolare: (a) Il ricorso giurisdizionale "Habeas data" Come indicato in precedenza, la Costituzione argentina prevede uno speciale ricorso giurisdizionale per la tutela dei dati personali, denominato habeas data. Si tratta di una versione specifica della procedura disposta dalla Costituzione per garantire la tutela dei diritti costituzionali che eleva pertanto la tutela dei dati personali alla categoria di diritto fondamentale. In particolare, l articolo 43.3 della Costituzione argentina stabilisce che "chiunque può richiedere l avvio di tale azione [il ricorso all habeas data] al fine di venire a conoscenza del contenuto e dell uso di tutti i dati che lo riguardano presenti presso registri pubblici o banche dati pubbliche o private destinate a fornire informazioni. In caso di informazioni inesatte o di uso delle stesse a fini discriminatori, la persona interessata ha la possibilità di chiedere la cancellazione, la correzione, la riservatezza o l aggiornamento dei dati contenuti negli archivi summenzionati. Tale articolo non si applica al segreto delle fonti d informazione giornalistiche." Le disposizioni legislative di applicazione relative a tale ricorso costituzionale sono contenute agli articoli della legge. L "habeas data" pertanto, è stato concepito come un ricorso giurisdizionale semplificato e rapido. Esso può essere utilizzato dalle persone interessate contro responsabili del trattamento dei dati o utenti di archivi di dati. Il governo argentino ha precisato che, in forza di quanto è stato dichiarato in merito al campo d applicazione della tutela dei dati nel diritto argentino, si può utilizzare tale strumento contro i responsabili del trattamento dei dati o gli utenti di qualsiasi base di dati pubblica o privata (e non soltanto delle basi di dati private destinate a fornire informazioni) qualora il loro utilizzo vada oltre l uso

17 esclusivamente personale. Questa posizione è stata confermata dall orientamento in tal senso della giurisprudenza. Il gruppo di lavoro prende atto delle spiegazioni fornite in merito dalle autorità argentine, secondo le quali la legge estende il campo d applicazione della disposizione costituzionale, autorizzando il ricorso a questo strumento nei casi in cui si presume il trattamento di dati personali la cui registrazione è vietata dalla legge. Ciò significa che qualsiasi violazione delle norme di tutela dei dati può autorizzare il ricorso all "habeas data". Il gruppo di lavoro rileva che l onere della prova spetta al responsabile del trattamento o all utente dei dati in caso di deroga al diritto di accesso, rettifica o cancellazione. L istituto dell "habeas data" prevede che i dati possano essere soppressi, rettificati, aggiornati o dichiarati riservati per decisione del tribunale. Il gruppo di lavoro prende atto che la decisione del tribunale deve essere notificata all organismo di controllo e che in tal modo la DNPDP è autorizzata, nel proprio ambito di competenza, a esigere il rispetto delle norme in tema di tutela dei dati anche nei confronti di altre persone interessate che non abbiano potuto partecipare al procedimento iniziale dell "habeas data". (b) Ricorsi giurisdizionali generali Oltre all "habeas data", le norme generali del diritto argentino consentono di assicurare il rispetto dei diritti e degli obblighi in tema di tutela dei dati attraverso procedure generali. In particolare, le persone interessate possono avviare un azione legale presso un tribunale civile al fine di ottenere un indennizzo per i danni subiti o per ottenere l applicazione di uno dei diritti sanciti dalla legge o dal regolamento. Inoltre possono essere promosse azioni penali per i reati penali connessi al trattamento di dati personali previsti dal Codice penale. Alla luce di tali considerazioni, il gruppo di lavoro ritiene che il diritto argentino contenga gli elementi necessari per fornire aiuto e sostegno alla persona interessata nell esercizio dei propri diritti. garantire un risarcimento adeguato alla parte lesa in caso di violazione delle norme. Si tratta di un elemento essenziale, che necessita di un sistema di arbitrato indipendente in grado di deliberare la corresponsione di un indennizzo e di imporre eventualmente sanzioni. Il gruppo di lavoro fa rilevare che né la legge né il regolamento contengono norme specifiche riguardanti il diritto della persona danneggiata a seguito di un operazione di trattamento illegale di dati a ricevere un indennizzo per il danno subito. A tale proposito il gruppo di lavoro prende atto delle spiegazioni fornite dalle autorità argentine al riguardo, secondo le quali, in mancanza di norme specifiche, si applicano le norme generali del diritto argentino in tema di responsabilità. A seconda dei casi, le disposizioni da applicare possono essere quelle relative alla responsabilità contrattuale (quando il trattamento viene effettuato nel quadro di un rapporto contrattuale fra le parti) oppure, diversamente, quelle relative alla responsabilità extracontrattuale. In

18 entrambi i casi le disposizioni argentine sono conformi alla tradizione europea del diritto civile che esige l indennizzo del danno subito a seguito del trattamento illegale. Alla luce di tali considerazioni, il gruppo di lavoro ritiene che il diritto argentino contenga gli elementi necessari per garantire un risarcimento adeguato alla parte lesa in caso di violazione delle norme Altre questioni Il gruppo di lavoro rileva che l articolo 5 della legge argentina autorizza il trattamento dei dati personali senza il consenso della persona interessata quando i dati vengono ottenuti da fonti accessibili pubblicamente senza restrizioni. Il gruppo di lavoro richiama l attenzione sulla necessità di norme che garantiscano che i dati contenuti presso fonti accessibili al pubblico incondizionatamente siano di natura tale che il loro trattamento senza consenso da parte delle persone interessate non rischi di porre a repentaglio i diritti e le libertà fondamentali delle persone e, in particolare, il loro diritto al rispetto della vita privata. Resta inteso che, anche nel caso di dati personali contenuti presso fonti accessibili pubblicamente senza restrizioni, si applicano tutte le disposizioni della legge argentina sulla tutela dei dati. 3. RISULTATI DELLA VALUTAZIONE Il gruppo di lavoro sottolinea che, al fine di consentire l esecuzione della presente valutazione sul diritto argentino, il governo argentino ha fornito le informazioni relative alle modalità di interpretazione delle disposizioni previste dalla Costituzione argentina, dalla legge e dal regolamento. Esso ha fornito inoltre assicurazione che le norme argentine in tema di tutela dei dati vengono attualmente applicate in conformità con detta interpretazione. Il gruppo di lavoro, pertanto, ha fondato la propria analisi sulle informazioni e assicurazioni ricevute dal governo argentino e il parere emesso dipende dunque dalla conferma di detti elementi forniti dal governo argentino nell effettiva applicazione delle norme di tutela dei dati in Argentina. In particolare, per quanto riguarda il campo d applicazione del diritto argentino, il gruppo di lavoro ha tenuto conto delle spiegazioni e assicurazioni ricevute dalle autorità argentine relative alle modalità di interpretazione delle disposizioni previste dalla Costituzione, dalla legge e dal regolamento e alle situazioni che rientrano nel campo d applicazione del diritto argentino in tema di tutela dei dati. Il presente parere è stato formulato sulla base delle suddette interpretazione e in assenza di qualsiasi esperienza sostanziale riguardo all applicazione pratica della legislazione in esame, tanto a livello federale che provinciale. Lo stesso dicasi per la possibilità di stabilire se le autorità argentine prenderanno effettivamente in considerazione, entro un lasso di tempo ragionevole, le riserve espresse sopra e gli inviti a migliorare o modificare il testo delle disposizioni vigenti. In conclusione, in base alle constatazioni di cui sopra, il gruppo di lavoro ritiene che l Argentina assicuri un livello adeguato di tutela a termini dell articolo 25, paragrafo 6 della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il gruppo di lavoro esorta tuttavia le autorità argentine a adottare le misure necessarie per ovviare ad alcuni limiti, evidenziati nel presente parere, che permangono negli