COMMISSIONE DELLE COMUNIT╦ EUROPEE

 

Decisione della Commissione del 15 giugno 2001

relativa alle clausole contrattuali tipo per iltrasferimento di dati a carattere personale verso paesi terzi a norma delladirettiva 95/46/CE

[notificata con il numero C(2001) 1539]

(Testo rilevante ai fini del SEE– Pubblicata sulla GUUE n. L 181 del 04/07/2001)

(2001/497/CE)

 

LA COMMISSIONE DELLE COMUNIT╦ EUROPEE,

visto il trattato che istituisce la Comunitł europea,

vista la direttiva 95/46/CE del Parlamento europeo edel Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisichecon riguardo al trattamento dei dati personali, nonchÄ alla libera circolazionedi tali dati(1), in particolare l'articolo 26, paragrafo 4,

considerando quanto segue:

(1) A norma della direttiva 95/46/CE, gli Statimembri devono assicurarsi che un trasferimento di dati a carattere personaleverso un paese terzo possa avere luogo soltanto se il paese terzo in questionegarantisce un livello adeguato di protezione dei dati e se la legislazionedegli Stati membri attuativa delle altre disposizioni della direttiva vienerispettata prima del trasferimento.

(2) L'articolo 26, paragrafo 2, della direttiva95/46/CE prevede tuttavia che gli Stati membri possano autorizzare, nelrispetto di determinate garanzie, un trasferimento o una serie di trasferimentidi dati personali verso paesi terzi che non assicurino un livello adeguato diprotezione dei dati. Dette garanzie possono in particolare essere fornite dallaprevisione di appropriate clausole contrattuali.

(3) A norma della direttiva 95/46/CE, il livello diprotezione dei dati deve essere valutato alla luce di tutte le circostanzerelative all'operazione o serie di operazioni di trasferimento di dati. Ilgruppo di lavoro sulla protezione degli individui per quanto riguarda iltrattamento dei dati personali costituito ai sensi della direttiva(2)ha elaborato una serie di linee direttrici per l'effettuazione di questavalutazione(3).

(4) L'articolo 26, paragrafo 2, della direttiva95/46/CE, che consente una certa flessibilitł nei riguardi di organizzazioniche debbano trasferire dati personali in paesi terzi, nonchÄ l'articolo 26,paragrafo 4, che prevede clausole contrattuali tipo, costituiscono elementiessenziali per il mantenimento del necessario flusso di dati personali fra laComunitł europea e i paesi terzi, senza creare inutili oneri per gli operatorieconomici. Tali disposizioni rivestono particolare importanza in quanto Ćprobabile che la Commissione, a breve o anche a medio termine, constatil'adeguatezza del livello di protezione ai sensi dell'articolo 25, paragrafo 6,soltanto per un numero limitato di paesi.

(5) Le clausole contrattuali tipo costituisconosoltanto una delle possibilitł previste dalla direttiva 95/46/CE per la liceitłdei trasferimenti di dati personali in paesi terzi, oltre a quanto previstoagli articoli 25 e 26, paragrafi 1 e 2. Sarł piŁ agevole per le organizzazionitrasferire i dati in paesi terzi incorporando tali clausole nei contratti. Leclausole contrattuali tipo riguardano soltanto la protezione dei dati. Gliesportatori e importatori dei dati sono liberi di inserire altre clausole acarattere commerciale ritenute pertinenti ai fini del contratto, ad esempio inmateria di assistenza reciproca in caso di controversie con le personeinteressate dai dati o con un'autoritł di controllo, purchÄ esse non sianoincompatibili con le clausole tipo.

(6) La presente decisione deve applicarsi fatte salvele eventuali autorizzazioni concesse dagli Stati membri ai sensi delledisposizioni nazionali di attuazione dell'articolo 26, paragrafo 2. La presentedecisione ha esclusivamente l'effetto di vietare che gli Stati membri rifiutinodi riconoscere come adeguate garanzie le clausole contrattuali in essacontenute, e non produce alcun effetto su clausole contrattuali diverse.

(7) La presente decisione si limita a prevedere chele clausole di cui all'allegato possono essere utilizzate da un responsabiledel trattamento con sede nella Comunitł europea come garanzie sufficienti aisensi dell'articolo 26, paragrafo 2, della direttiva 95/46/CE. Il trasferimentodi dati personali in paesi terzi costituisce un'operazione di trattamento inuno Stato membro la cui legittimitł Ć soggetta alla legislazione nazionale. Leautoritł di controllo in materia di protezione dei dati degli Stati membri,nell'esercizio di funzioni e poteri loro attribuiti ai sensi dell'articolo 28della direttiva 95/46/CE, restano competenti per determinare se l'esportatoredei dati ha rispettato la legislazione nazionale che recepisce le disposizionidella direttiva 95/46/CE, ed in particolare eventuali norme specifiche perquanto riguarda l'obbligo di fornire informazioni a norma della direttiva.

(8) L'ambito di applicazione della presente decisionenon si estende al trasferimento di dati personali, operato da responsabili deltrattamento aventi sede nella Comunitł a destinatari aventi sede al di fuoridella Comunitł, che costituiscano meri incaricati di trattamenti tecnici. Dettitrasferimenti non richiedono le stesse garanzie in quanto l'incaricato deltrattamento agisce esclusivamente per conto del responsabile del trattamento.La Commissione intende provvedere in ordine a questo genere di trattamenti conuna successiva decisione.

(9) Ú opportuno stabilire le informazioni minime chele parti devono specificare nel contratto relativo al trasferimento. Gli Statimembri devono mantenere il potere di specificare le informazioni che le partisono tenute a fornire. L"applicazione della presente decisione sarł rivistaalla luce dell'esperienza acquisita.

(10) La Commissione potrł inoltre considerare infuturo se altre clausole tipo presentate da organizzazioni commerciali o altreparti interessate offrano garanzie adeguate ai sensi della direttiva 95/46/CE.

(11) Le parti devono essere libere di convenire leprescrizioni alle quali deve conformarsi l'importatore dei dati ai finidell'effettiva protezione degli stessi, ma determinati principi di protezionedevono essere applicati in qualunque circostanza.

(12) I dati devono essere trattati e successivamenteutilizzati o comunicati ulteriormente soltanto per scopi determinati e nondevono essere trattenuti che per il tempo strettamente necessario.

(13) Ai sensi dell'articolo 12 della direttiva95/46/CE le persone interessate dai dati devono avere accesso a tutti i datiche le riguardano e se del caso diritto di rettifica, di cancellazione o dicongelamento di determinati dati.

(14) L'ulteriore trasferimento di dati personali adaltro responsabile del trattamento, avente sede in un paese terzo, deve essereconsentito soltanto subordinatamente al rispetto di determinate condizioni,tendenti in particolare a garantire che le persone interessate dai dati sianoadeguatamente informate ed abbiano la possibilitł di formulare osservazioni e,in casi determinati, di negare il proprio consenso al trasferimento.

(15) Oltre a verificare se i trasferimenti in paesiterzi sono conformi alla legislazione nazionale, le autoritł di controllodevono inoltre svolgere un ruolo fondamentale nel meccanismo contrattuale, alfine di garantire che i dati personali siano adeguatamente protetti dopo iltrasferimento. In determinate fattispecie le autoritł degli Stati membri devonoavere la possibilitł di proibire o sospendere un trasferimento o serie di trasferimentidi dati basati sulle clausole contrattuali tipo, in relazione a casieccezionali in cui si accerti che un trasferimento su base contrattuale avrebbela probabile conseguenza di recare sostanziale pregiudizio alle garanzie diadeguata tutela delle persone interessate dai dati.

(16) Deve potersi esigere l'esecuzione delle clausolecontrattuali tipo non soltanto su istanza delle parti che stipulano ilcontratto, ma anche delle persone interessate dai dati, in particolare qualorale stesse subiscano pregiudizio in conseguenza di violazioni del contratto.

(17) Il contratto deve essere retto dalla legge delloStato membro in cui ha sede l'esportatore dei dati, che abiliti il terzobeneficiario di un contratto a ottenerne l'esecuzione. Le persone interessatedai dati devono poter essere rappresentate da associazioni o altreorganizzazioni se lo desiderano e se ciś Ć autorizzato dalla legislazionenazionale.

(18) Per ridurre le difficoltł pratiche che lepersone interessate dai dati potrebbero incontrare all'atto dell'esercizio deiloro diritti in base alle clausole contrattuali tipo, l'esportatore el'importatore dei dati devono essere tenuti responsabili separatamente e insolido per danni derivanti da qualsiasi violazione di disposizioni soggettealla clausola del terzo beneficiario.

(19) Le persone interessate dai dati hanno diritto diazione nonchÄ diritto al risarcimento del danno a carico dell'esportatore edell'importatore dei dati stessi, o di entrambi, per i danni derivanti daqualsiasi atto incompatibile con gli obblighi di cui alle clausole contrattualitipo. Entrambe le parti possono essere esonerate da tale responsabilitł sedimostrano di non essere responsabili del danno.

(20) La responsabilitł separatamente e in solido nonsi estende alle disposizioni escluse dalla clausola del terzo beneficiario, enon espone necessariamente una delle parti a responsabilitł per illecitotrattamento ad opera dell'altra. BenchÄ tale reciproco indennizzo fra le partinon costituisca un requisito per l'adeguatezza della tutela delle personeinteressate dai dati e le parti possano quindi eliminarlo dal contratto, essodeve essere incluso nelle clausole contrattuali tipo a fini di chiarezza e perevitare che le parti siano obbligate a concordare di volta in volta le clausolein materia di indennizzo.

(21) Qualora una disputa fra le parti e le personeinteressate dai dati non possa essere risolta amichevolmente e le personeinteressate invochino la clausola del terzo beneficiario, le parti convengonodi riconoscere alle persone interessate dai dati la possibilitł di sceglierefra la mediazione, l'arbitrato e l'azione in giudizio. La misura in cui lepersone interessate dai dati potranno effettivamente esercitare tale sceltadipenderł dalla disponibilitł di sistemi attendibili e riconosciuti dimediazione e di arbitrato. La mediazione ad opera delle autoritł di controllodegli Stati membri deve costituire un'alternativa nel caso in cui esse laforniscano.

(22) Il gruppo per la tutela delle persone conriguardo al trattamento dei dati personali, istituito in virtŁ dell'articolo 29della direttiva 95/46/CE, ha emesso un parere sul livello di protezioneraggiunto in base alle clausole contrattuali tipo allegate alla presentedecisione che Ć stato preso in considerazione per la stesura della stessa(4).

(23) Le disposizioni di cui alla presente decisionesono conformi al parere del comitato istituito in virtŁ dell'articolo 31 delladirettiva 95/46/CE,

HA ADOTTATO LA PRESENTE DECISIONE:

 

Articolo 1

Le clausole contrattuali tipo di cui all'allegatodella presente decisione costituiscono garanzie sufficienti ai fini dellatutela della riservatezza, dei diritti e delle libertł fondamentali dellepersone, nonchÄ per l'esercizio dei diritti connessi a norma dell'articolo 26,paragrafo 2, della direttiva 95/46/CE.

Articolo 2

La presente decisione concerne esclusivamentel'adeguatezza della tutela assicurata dalle clausole contrattuali tipo per iltrasferimento di dati personali di cui all'allegato. Essa si applica fattesalve le disposizioni nazionali di attuazione di altre disposizioni delladirettiva 95/46/CE relative al trattamento dei dati personali negli Statimembri.

La presente decisione non si applica al trasferimentodi dati personali operato da responsabili del trattamento, aventi sede nellaComunitł, a destinatari aventi sede al di fuori della Comunitł, checostituiscano meri incaricati di trattamenti tecnici.

Articolo 3

Ai fini della presente decisione:

a) si applicano le definizioni della direttiva95/46/CE;

b) per "categorie particolari di dati" siintendono i dati di cui all'articolo 8 di detta direttiva;

c) per "autoritł di controllo" si intendel'autoritł di cui all'articolo 28 di detta direttiva;

d) per "esportatore di dati" si intende ilresponsabile del trattamento che trasferisce dati personali;

e) per "importatore di dati" si intende ilresponsabile del trattamento che conviene di ricevere dati personalidall'esportatore di dati, a fini di ulteriore trattamento ai sensi dellapresente decisione.

Articolo 4

1. Fatta salva la possibilitł delle competentiautoritł degli Stati membri di adottare provvedimenti, al fine di garantire ilrispetto delle disposizioni nazionali di attuazione delle disposizioni di cuiai capi II, III, V e VI, della direttiva 95/46/CE, dette autoritł possonoavvalersi dei poteri loro attribuiti per proibire o sospendere flussi di dativerso paesi terzi, a fini di tutela delle persone per quanto riguarda iltrattamento dei rispettivi dati personali, qualora:

a) sia accertato che la legislazione cui Ć sottopostol'importatore dei dati lo obbliga a deroghe dai pertinenti principi diprotezione dei dati che eccedano quelle ritenute necessarie in una societłdemocratica ai sensi dell'articolo 13 della direttiva 95/46/CE, e che talideroghe siano probabilmente destinate a recare sostanziale pregiudizio allegaranzie di cui alle clausole contrattuali tipo; oppure

b) un'autoritł competente abbia accertato chel'importatore dei dati non ha rispettato le clausole contrattuali; oppure

c) sia sostanzialmente probabile che le clausolecontrattuali tipo di cui all'allegato non siano o non saranno rispettate, e chela prosecuzione del trasferimento comporterebbe un rischio imminente di gravepregiudizio alle persone interessate dai dati.

2. Il divieto o la sospensione cessano non appenavengono meno le ragioni che li hanno imposti.

3. Quando uno Stato membro prende provvedimenti dicui ai paragrafi 1 e 2 ne informa la Commissione, che trasmette le informazioniagli altri Stati membri.

Articolo 5

La Commissione valuta il funzionamento della presentedecisione sulla base delle informazioni disponibili tre anni dopo la notificadella stessa agli Stati membri, e riferisce in merito alle eventuali risultanzeal comitato istituito ai sensi dell'articolo 31 della direttiva 95/46/CE, ivicompreso qualsiasi elemento suscettibile di interessare la valutazione di cuiall'articolo 1 della presente decisione nonchÄ qualsiasi elemento tale daindicare che la presente decisione viene applicata in maniera discriminatoria.

Articolo 6

La presente decisione si applica dal 3 settembre2001.

Articolo 7

La presente decisione Ć indirizzata agli Statimembri.

Fatto a Bruxelles, il 15 giugno 2001.

Per la Commissione

Frederik Bolkestein

Membro della Commissione

 

(1) GU L 281 del 23.11.1995, pag.31.

(2) Indirizzo Internet del gruppo dilavoro:

http://www.europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm

(3) WP 4 (5020/97): "Primiorientamenti sui trasferimenti di dati personali verso paesi terzi - possibilimodalitł di verifica dell'adeguatezza", documento di discussione approvatodal gruppo di lavoro il 26 giugno 1997.

WP 7 (5057/97): "Valutazionedell'autoregolamentazione dell'industria: quando reca un contributosignificativo al livello di protezione dei dati in un paese terzo?",documento di lavoro: approvato dal gruppo di lavoro il 14 gennaio 1998.

WP 9 (5005/98): "Pareripreliminari sull'impiego delle clausole contrattuali nel contesto deitrasferimenti di dati personali a paesi terzi", documento di lavoro:approvato dal gruppo di lavoro il 22 aprile 1998.

WP12: "Trasferimenti di datipersonali a paesi terzi: applicazione degli articoli 25 e 26 della direttiva UEper la protezione dei dati", documento di lavoro: approvato dal gruppo dilavoro il 24 luglio 1998, disponibile sul sito Internet"europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/en"della Commissione europea.

(4) Parere n. 1/2001 adottato dalgruppo di lavoro in data 26.1.2001 (DG MARKT 5102/00 WP 38), disponibile sulsito "Europa" della Commissione europea.

 

Appendice 1

alle clausole contrattuali tipo

 

Appendice 2

alle clausole contrattuali tipo

 

Principi obbligatori di protezione di cui allaclausola 5, lettera b), primo capoverso

Questi principi di tutela dei dati devono essereletti ed interpretati alla luce delle disposizioni della direttiva 95/46/CE.

Essi si applicano fatte salve le norme imperative didiritto nazionale, cui sia soggetto l'importatore dei dati, che non eccedanoquanto necessario, in una societł democratica, per i motivi elencati all'articolo13, paragrafo 1, della direttiva 95/46/CE, cioĆ se esse costituiscono misurenecessarie alla salvaguardia della sicurezza dello Stato, della difesa, dellapubblica sicurezza, della prevenzione, della ricerca, dell'accertamento e delperseguimento di infrazioni penali o di violazioni della deontologia delleprofessioni regolamentate, di un rilevante interesse economico o finanziariodello Stato o della protezione della persona interessata o dei diritti e dellelibertł altrui.

1. Limitazione del fine: i dati devono essereelaborati e successivamente utilizzati ovvero ulteriormente comunicatiesclusivamente ai fini specificati nell'appendice allegata alle presenticlausole contrattuali tipo. I dati non possono essere detenuti piŁ a lungo diquanto necessario ai fini per cui sono stati trasferiti.

2. Qualitł e proporzionalitł dei dati: i dati devonoessere corretti e, ove necessario, aggiornati. I dati devono essere adeguati,pertinenti e non esuberanti in relazione ai fini per cui vengono trasferiti e ulteriormentetrattati.

3. Trasparenza: gli individui interessati dai datidevono essere informati sui fini del trattamento e sull'identitł delresponsabile dello stesso paese terzo, e su qualsiasi altro aspetto necessarioper garantire la correttezza del trattamento, salvo che queste informazionisiano gił state fornite dall'esportatore dei dati.

4. Sicurezza e riservatezza: il responsabile deltrattamento Ć tenuto a prendere provvedimenti tecnici ed organizzativi disicurezza appropriati ai rischi presentati dal trattamento, come accesso nonautorizzato. Qualsiasi persona che agisca in virtŁ dell'autoritł delresponsabile del trattamento non deve effettuare operazioni di trattamento deidati se non per disposizione del responsabile del trattamento stesso.

5. Diritti di accesso, rettifica, cancellazione econgelamento dei dati: come previsto dall'articolo 12 della direttiva 95/46/CE,le persone interessate dai dati hanno diritto di accedere a tutti i datioggetto di trattamento che a loro si riferiscono, nonchÄ il diritto direttificare, cancellare o bloccare i dati il cui trattamento non sia conformeai presenti principi, in particolare per il carattere incompleto o inesatto deidati stessi. Le persone interessate dai dati devono inoltre avere la possibilitłdi opporsi al trattamento dei dati che a loro si riferiscono per validi elegittimi motivi inerenti alla loro situazione particolare.

6. Restrizioni sui trasferimenti successivi:ulteriori trasferimenti di dati personali dall'importatore dei dati ad altriresponsabili del trattamento con sede in un paese terzo che non forniscaprotezione adeguata o non sia assoggettato a una decisione della Commissione anorma dell'articolo 25, paragrafo 6, della direttiva 95/46/CE (trasferimentisuccessivi) possono essere effettuati soltanto:

a) se le persone interessate dai dati abbiano dato illoro esplicito consenso al successivo trasferimento in caso si tratti dispeciali categorie di dati, o abbiano avuto la possibilitł di negare taleconsenso negli altri casi.

Le informazioni minime che devono essere fornite allepersone interessate devono comprendere, in una lingua che gli stessi possanocapire:

- gli scopi del successivo trasferimento,

- l'identitł dell'esportatore di dati con sede nellaComunitł,

- le categorie degli ulteriori destinatari dei daticon indicazione dei paesi di destinazione, e

- l'indicazione che, qualora le persone interessatedai dati approvino il successivo trasferimento, i dati possono essere trattatida un responsabile del trattamento con sede in un paese ove non vi Ć un livelloadeguato di protezione della riservatezza degli individui, oppure

b) se l'esportatore e l'importatore dei daticonvengano il rispetto delle clausole contrattuali tipo con un altroresponsabile del trattamento, che diviene nuova parte contraente delle clausolestesse e assume gli stessi obblighi dell'importatore dei dati.

7. Speciali categorie di dati: nel caso che iltrattamento riguardi dati che possano rivelare l'origine razziale o etnica,ovvero le opinioni politiche, le convinzioni religiose o filosofiche,l'adesione a sindacati, dati relativi allo stato di slaute o alla vitasessuale, nonchÄ dati relativi a reati, condanne penali o provvedimenti disicurezza, devono essere previste ulteriori salvaguardie ai sensi della direttiva95/46/CE, ed in particolare idonee misure di sicurezza come trasmissionecifrata o registrazione di ogni accesso ai dati.

8. Marketing diretto: quando i dati vengono trattatia fini di marketing diretto, devono essere previste procedure tali da consentireai soggetti dei dati di negare in qualsiasi momento il proprio consensoall'utilizzazione a tali fini dei dati che li riguardano.

9. Decisioni individuali automatizzate: le personeinteressate dai dati hanno il diritto di non essere assoggettati a decisionibasate unicamente sul trattamento automatizzato di dati, a meno che non venganopresi altri provvedimenti per salvaguardare i loro legittimi interessi ai sensidell'articolo 15 della direttiva 95/46/CE. Qualora l'obiettivo deltrasferimento sia una decisione automatizzata ai sensi del citato articolo 15la persona interessata deve avere il diritto di concoscere le motivazioni sucui si basa detta decisione.

 

Appendice 3

alle clausole contrattuali tipo

 

Principi obbligatori di protezione di cui allaclausola 5, lettera b), secondo capoverso

1. Limitazione del fine: i dati devono essereelaborati e successivamente utilizzati ovvero ulteriormente comunicatiesclusivamente ai fini specificati nell'appendice allegata alle presenteclausole contrattuali tipo. I dati non possono essere detenuti piŁ a lungo diquanto necessario ai fini per cui sono stati trasferiti.

2. Diritti di accesso, rettifica, cancellazione econgelamento dei dati: come previsto dall'articolo 12 della direttiva 95/46/CE,le persone interessae dai dati hanno diritto di accedere a tutti i dati oggettodi trattamento che a loro si riferiscono, nonchÄ il diritto di rettificare,cancellare o bloccare i dati il cui trattamento non sia conforme ai presentiprincipi, in particolare per il carattere incompleto o inesatto dei datistessi. Le persone interessate dai dati devono inoltre avere la possibilitł diopporsi al trattamento dei dati che a loro si riferiscono per validi elegittimi motivi inerenti alla loro situazione particolare.

3. Restrizioni sui trasferimenti successivi:ulteriori trasferimenti di dati personali dall'importatore dei dati ad altriresponsabili del trattamento con sede in un paese terzo che non forniscaprotezione adeguata o non sia assoggettato a una decisione della Commissione anorma dell'articolo 25, paragrafo 6, della direttiva 95/46/CE (trasferimentisuccessivi) possono essere effettuati soltanto:

a) se le persone interessate dai dati abbiano dato illoro esplicito consenso al successivo trasferimento in caso si tratti dispeciali categorie di dati, o abbiano avuto la possibilitł di negare taleconsenso negli altri casi.

Le informazioni minime che devono essere fornite allepersone interessate devono comprendere, in una lingua che gli stessi possanocapire:

- gli scopi del successivo trasferimento,

- l'identitł dell'esportatore di dati con sede nellaComunitł,

- le categorie degli ulteriori destinatari dei daticon indicazione dei paesi di destinazione, e

- l'indicazione che, qualora le persone interessatedai dati approvino il successivo trasferimento, i dati possono essere trattatida un responsabile del trattamento con sede in un paese ove non vi Ć un livelloadeguato di protezione della riservatezza degli individui, oppure

b) se l'esportatore e l'importatore dei daticonvengano il rispetto delle clausoe contrattuali tipo con un altroresponsabile del trattamento, che diviene nuova parte contraente delle clausolestesse e assume gli stessi obblighi dell'importatore dei dati.