Decisione della Comissione

del 27 dicembre 2004

che modifica la decisione 2001/497/CE per quanto riguarda l’introduzione di un insieme alternativo di clausole contrattuali tipo per il trasferimento di dati personali a paesi terzi

[notificata con il numero C(2004) 5271]

(Testo rilevante ai fini del SEE)

(2004/915/CE)

LA COMMISSIONE DELLE COMUNITÀ EUROPEE,

visto il trattato che istituisce la Comunità europea,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati [1], e in particolare l’articolo 26, paragrafo 4,

considerando quanto segue:

(1) Al fine di facilitare i flussi di dati provenienti dalla Comunità, è opportuno che i responsabili del trattamento di dati siano in grado di realizzare trasferimenti di dati su scala mondiale attenendosi a un unico insieme di norme di protezione dei dati. In mancanza di una normativa internazionale in materia, le clausole contrattuali tipo costituiscono uno strumento estremamente utile, dal momento che consentono di trasferire dati personali provenienti da tutti gli Stati membri facendo riferimento ad un insieme comune di norme. La decisione 2001/497/CE della Commissione, del 15 giugno 2001, relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma della direttiva 95/46/CE [2] stabilisce un insieme modello di clausole contrattuali tipo che prevede garanzie adeguate per il trasferimento di dati verso paesi terzi.

(2) Dal momento dell’adozione di questa decisione si è acquisita una ricca esperienza. Inoltre, un consorzio di associazioni imprenditoriali [3] ha presentato un insieme alternativo di clausole contrattuali, destinato ad offrire un livello di protezione di dati comparabile a quello offerto dall’insieme di clausole adottato nella decisione 2001/497/CE, pur utilizzando meccanismi diversi.

(3) Considerando che l’uso di clausole contrattuali tipo nei trasferimenti internazionali ha carattere volontario (questo tipo di clausole è solo una delle varie possibilità previste dalla direttiva 95/46/CE per il trasferimento legittimo di dati personali verso paesi terzi), gli esportatori di dati nella Comunità e gli importatori di dati in paesi terzi dovrebbero poter optare per uno degli insiemi di clausole contrattuali tipo o scegliere un altro fondamento giuridico per il trasferimento di dati. Tuttavia, dal momento che ciascun gruppo costituisce un insieme coerente, non deve essere riconosciuta agli esportatori la possibilità di modificare totalmente o parzialmente tali insiemi né di combinarli in alcun modo.

(4) Le clausole contrattuali tipo proposte dalle associazioni imprenditoriali hanno lo scopo di rafforzare l’uso di clausole contrattuali tra gli operatori, ad esempio rendendo flessibili i requisiti in materia di verifica o precisando le norme che disciplinano il diritto di accesso.

(5) D’altro canto, l'insieme che qui si presenta contiene, come alternativa al sistema di responsabilità solidale previsto dalla decisione 2001/497/CE, un regime di responsabilità basato sugli obblighi di normale diligenza, in virtù del quale l’esportatore e l’importatore di dati dovrebbero rispondere dinnanzi agli interessati per la violazione degli obblighi contrattuali. L’esportatore è inoltre responsabile se non compie sforzi ragionevoli al fine di determinare se l’importatore è in grado di rispettare i suoi obblighi giuridici derivati dalle clausole (culpa in eligendo), avendo l’interessato la possibilità a questo titolo di avviare azioni contro l’esportatore di dati. L’applicazione della lettera b) della clausola I del nuovo insieme di clausole contrattuali tipo riveste particolare importanza al riguardo, soprattutto considerando la possibilità riconosciuta all’esportatore di dati di effettuare verifiche degli impianti dell’importatore di dati o di esigere prove che dimostrino la disponibilità di risorse finanziarie sufficienti per far fronte alle sue responsabilità.

(6) Quanto all’esercizio dei diritti del terzo beneficiario da parte degli interessati, si prevede un maggior coinvolgimento dell’esportatore di dati nella risoluzione dei reclami degli interessati, essendo l’esportatore di dati obbligato a mettersi in contatto con l’importatore di dati se necessario ad eseguire il contratto entro il termine normale di un mese. Se l’esportatore di dati rifiuta di eseguire il contratto e persiste il mancato rispetto degli obblighi da parte dell’importatore, l’interessato potrà invocare le clausole contro l’importatore di dati ed infine avviare un’azione dinnanzi ai tribunali di uno Stato membro. Questa accettazione della giurisdizione e l’accordo di conformarsi alla decisione di un tribunale o di un’autorità di protezione di dati competenti non reca pregiudizio agli eventuali diritti processuali degli importatori di dati stabiliti in paesi terzi, ad esempio in materia di appello.

(7) Al fine tuttavia di evitare gli abusi cui potrebbe dare luogo questo regime più flessibile, è opportuno riconoscere alle autorità competenti per la protezione dei dati la facoltà di vietare o sospendere più facilmente i trasferimenti di dati basati sul nuovo insieme di clausole contrattuali tipo quando l’esportatore di dati rifiuti di adottare misure adeguate contro l’importatore di dati per fargli rispettare gli obblighi contrattuali o quest’ultimo rifiuti di collaborare in buona fede con le autorità di controllo competenti in materia di protezione dei dati.

(8) L’uso di clausole contrattuali tipo sarà fatto mantenendo salva l’applicazione delle disposizioni nazionali adottate in conformità con la direttiva 95/46/CE o con la direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) [4], in particolare per quanto riguarda l’invio di comunicazioni commerciali ai cittadini dell’UE.

(9) Su questa base, le garanzie contenute nelle clausole contrattuali tipo presentate possono essere considerate sufficienti nel senso dell’articolo 26, paragrafo 2, della direttiva 95/46/CE.

(10) l gruppo per la tutela delle persone con riguardo al trattamento di dati personali, creato dall’articolo 29 della direttiva 95/46/CE, ha emesso un parere [5] sul livello di tutela che offrono le clausole contrattuali tipo qui presentate. Di tale parere si è tenuto debito conto.

(11) Al fine di valutare le modalità di applicazione degli emendamenti alla decisione 2001/497/CE, è opportuno che la Commissione effettui una valutazione tre anni dopo la loro notifica agli Stati membri.

(12) La decisione 2001/497/CE deve essere modificata in modo conforme.

(13) Le misure previste nella presente decisione sono conformi al parere del comitato creato dall’articolo 31 della direttiva 95/46/CE,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

La decisione 2001/497/CE è modificata come segue:

1) All’articolo 1 è aggiunto il seguente paragrafo:

"I responsabili del trattamento potranno optare per uno degli insiemi – I o II – contenuti nell’allegato. Tuttavia, non potranno modificare le clausole né combinare singole clausole, né gli insiemi."

2) I paragrafi 2 e 3 dell’articolo 4 sono sostituiti dal testo seguente:

"2. Agli effetti del paragrafo 1, quando il responsabile del trattamento affermi l’esistenza di garanzie sufficienti derivate dalle clausole contrattuali tipo contenute nell’insieme II dell’allegato, le autorità competenti in materia di protezione dei dati potranno esercitare i poteri di cui dispongono per proibire o sospendere i flussi di dati in entrambi i seguenti casi:

a) se l’importatore di dati rifiuta di collaborare in buona fede con le autorità competenti in materia di protezione dei dati o di rispettare gli obblighi che gli incombono chiaramente in virtù del contratto;

b) se l’esportatore di dati, dopo aver ricevuto una notifica delle autorità competenti in materia di protezione dei dati, rifiuta di adottare misure adeguate contro l’importatore di dati per far rispettare il contratto entro il termine normale di un mese.

Agli effetti del precedente paragrafo, il rifiuto di cooperazione in buona fede o di esecuzione del contratto da parte dell’importatore non comprende i casi in cui tale cooperazione o esecuzione confligga con gli obblighi imposti dalla legislazione nazionale applicabile all’importatore di dati che non vadano al di là dei limiti necessari in una società democratica per la salvaguardia degli interessi elencati al paragrafo 1 dell’articolo 13 della direttiva 95/46/CE, in particolare le sanzioni previste in strumenti nazionali e/o internazionali, gli obblighi di dichiarazione in materia fiscale o in materia di lotta contro il riciclaggio di denaro.

Agli effetti della lettera a) del primo paragrafo, la cooperazione potrà comprendere, in particolare, la messa a disposizione da parte dell’importatore delle sue installazioni per il trattamento di dati a fini di verifica o l’obbligo di conformarsi ai pareri dell’autorità di controllo della protezione di dati nella Comunità.

3. Il divieto o la sospensione ai sensi dei paragrafi 1 e 2 saranno soppressi non appena cesseranno di esistere i motivi del divieto o della sospensione.

4. Quando gli Stati membri adottano misure in conformità con i paragrafi 1, 2 e 3, ne informano immediatamente la Commissione, che trasmette l’informazione agli altri Stati membri."

3) All’articolo 5 la prima frase è sostituita dalla seguente:

"La Commissione valuterà le modalità di applicazione della presente decisione sulla base delle informazioni disponibili tre anni dopo la sua notifica e dopo la notifica degli eventuali emendamenti agli Stati membri.".

4) L’allegato è modificato come segue:

1. dopo il titolo, viene inserita l’espressione "INSIEME I";

2. è inserito il testo contenuto nell’allegato alla presente decisione.

Articolo 2

La presente decisione è applicabile a decorrere dal 1o aprile 2005.

Articolo 3

Gli Stati membri sono destinatari della presente decisione.

Fatto a Bruxelles, il 27 dicembre 2004.

Per la Commissione

Charlie McCreevy

Membro della Commissione

--------------------------------------------------

[1] GU L 281 del 23.11.95, pag. 31. Direttiva modificata dal regolamento (CE) n. 1883/2003 (GU L 284 del 31.10.2003, pag. 1).

[2] GU L 181 del 4.7.2001, pag. 19.

[3] Camera di commercio internazionale (ICC), Japan Business Council in Europe (JBCE), European Information and Communications Technology Association (EICTA), EU Committee of the American Chamber of Commerce in Belgium (Amcham), Confederation of British Industry (CBI), International Communication Round Table (ICRT) e Federation of European Direct Marketing Associations (FEDMA).

[4] GU L 201 del 31.7.2002, pag. 37.

[5] Parere 8/2003, disponibile al seguente indirizzo: http://europa.eu.int/comm/privacy.

--------------------------------------------------

+++++ ANNEX 1 +++++