La comunicazione di dati personali alle autorità competenti di Stati vincolati da un accordo di associazione alla normativa di Dublino è parificata alla comunicazione di dati personali tra organi federali.
1 commentary
Secondo l'art. 102b LAsi la comunicazione di dati personali ad autorità di uno Stato vincolato a un accordo di associazione di Dublino equivale a una comunicazione tra organi federali. Nella giurisprudenza citata (Tribunale amministrativo federale, TAF F‑1812/2020) si afferma che la trasmissione era lecita, poiché lo Stato destinatario (Portogallo) è parte del Regolamento Dublino III (RD III) ed è soggetto al RGPD, e non risultava che non avrebbe adempiuto ai suoi obblighi in materia di protezione dei dati. Pertanto la decisione avvalora la verifica se lo Stato destinatario sia soggetto al RD III/RGPD o garantisca un livello di protezione comparabile; in mancanza di un indizio di carenze nella protezione dei dati, nulla osta alla trasmissione.
“1), dans la mesure où le SEM avait transmis des informations la concernant aux autorités portugaises sans son consentement. Aux termes de l'art. 102b LAsi (communication de données personnelles à un État lié par un des accords d'association à Dublin), la communication de données personnelles aux autorités compétentes des États liés par un des accords d'association à Dublin est assimilée à une communication entre organes fédéraux. Selon l'art. 38 par. 1 RD III (sécurité et protection des données), les États membres prennent toutes les mesures appropriées en vue de garantir la sécurité des données à caractère personnel transmises, et notamment pour éviter l'accès ou la diffusion illicites ou non autorisés, l'altération ou la perte des données personnelles faisant l'objet d'un traitement. En l'espèce, les autorités suisses étaient en droit de communiquer les données personnelles de la recourante aux autorités portugaises nécessaires au traitement de la demande d'asile de celle-ci en vertu des art. 102b LAsi et 38 RD III. Le Portugal est en effet partie contractante au RD III et se doit de garantir une protection équivalente à la Suisse lors de la transmission de données en vertu de ce règlement. En outre, rien n'indique que ce pays, dont les autorités sont soumises au règlement (UE) no 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO L 119 du 4 mai 2016, ci-après : RGPD), ne respecterait pas ses engagements, ce d'autant plus qu'il figure sur la liste des Etats ayant une législation assurant un niveau de protection adéquat (art. 6 al. 1 LPD) établie par le Préposé fédéral à la protection des données (état au 12 janvier 2017, consultée en décembre 2020). L'intéressée n'a pas non plus démontré qu'elle se trouverait, à l'instar de sa mère et de son fils, en danger dans ce pays, ne faisant l'objet d'aucune demande d'extradition vers la Russie (cf.”
“1), dans la mesure où le SEM avait transmis des informations la concernant aux autorités portugaises sans son consentement. Aux termes de l'art. 102b LAsi (communication de données personnelles à un État lié par un des accords d'association à Dublin), la communication de données personnelles aux autorités compétentes des États liés par un des accords d'association à Dublin est assimilée à une communication entre organes fédéraux. Selon l'art. 38 par. 1 RD III (sécurité et protection des données), les États membres prennent toutes les mesures appropriées en vue de garantir la sécurité des données à caractère personnel transmises, et notamment pour éviter l'accès ou la diffusion illicites ou non autorisés, l'altération ou la perte des données personnelles faisant l'objet d'un traitement. En l'espèce, les autorités suisses étaient en droit de communiquer les données personnelles de la recourante aux autorités portugaises nécessaires au traitement de la demande d'asile de celle-ci en vertu des art. 102b LAsi et 38 RD III. Le Portugal est en effet partie contractante au RD III et se doit de garantir une protection équivalente à la Suisse lors de la transmission de données en vertu de ce règlement. En outre, rien n'indique que ce pays, dont les autorités sont soumises au règlement (UE) no 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO L 119 du 4 mai 2016, ci-après : RGPD), ne respecterait pas ses engagements, ce d'autant plus qu'il figure sur la liste des Etats ayant une législation assurant un niveau de protection adéquat (art. 6 al. 1 LPD) établie par le Préposé fédéral à la protection des données (état au 12 janvier 2017, consultée en décembre 2020). L'intéressée n'a pas non plus démontré qu'elle se trouverait, à l'instar de sa mère et de son fils, en danger dans ce pays, ne faisant l'objet d'aucune demande d'extradition vers la Russie (cf.”