Help Print this page 

Document 32016D2295

Title and reference
Decisione di esecuzione (UE) 2016/2295 della Commissione, del 16 dicembre 2016, che modifica le decisioni 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE, 2011/61/UE e le decisioni di esecuzione 2012/484/UE, 2013/65/UE riguardanti l'adeguatezza della protezione dei dati personali da parte di taluni paesi, a norma dell'articolo 25, paragrafo 6, della direttiva 95/46/CE del Parlamento europeo e del Consiglio [notificata con il numero C(2016) 8353] (Testo rilevante ai fini del SEE )

C/2016/8353

OJ L 344, 17.12.2016, p. 83–91 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

ELI: http://data.europa.eu/eli/dec_impl/2016/2295/oj
Languages, formats and link to OJ
BG ES CS DA DE ET EL EN FR GA HR IT LV LT HU MT NL PL PT RO SK SL FI SV
HTML html BG html ES html CS html DA html DE html ET html EL html EN html FR html HR html IT html LV html LT html HU html MT html NL html PL html PT html RO html SK html SL html FI html SV
PDF pdf BG pdf ES pdf CS pdf DA pdf DE pdf ET pdf EL pdf EN pdf FR pdf HR pdf IT pdf LV pdf LT pdf HU pdf MT pdf NL pdf PL pdf PT pdf RO pdf SK pdf SL pdf FI pdf SV
Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal
 To see if this document has been published in an e-OJ with legal value, click on the icon above (For OJs published before 1st July 2013, only the paper version has legal value).
Multilingual display
Text

17.12.2016   

IT

Gazzetta ufficiale dell'Unione europea

L 344/83


DECISIONE DI ESECUZIONE (UE) 2016/2295 DELLA COMMISSIONE

del 16 dicembre 2016

che modifica le decisioni 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE, 2011/61/UE e le decisioni di esecuzione 2012/484/UE, 2013/65/UE riguardanti l'adeguatezza della protezione dei dati personali da parte di taluni paesi, a norma dell'articolo 25, paragrafo 6, della direttiva 95/46/CE del Parlamento europeo e del Consiglio

[notificata con il numero C(2016) 8353]

(Testo rilevante ai fini del SEE)

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (1), in particolare l'articolo 25, paragrafo 6,

sentito il Garante europeo della protezione dei dati,

considerando quanto segue:

(1)

Nella sentenza del 6 ottobre 2015 nella causa C-362/14, Maximillian Schrems contro Data Protection Commissioner  (2), la Corte di giustizia dell'Unione europea ha statuito che, adottando l'articolo 3 della decisione 2000/520/CE (3), la Commissione ha ecceduto la competenza attribuitale dall'articolo 25, paragrafo 6, della direttiva 95/46/CE, letto alla luce della Carta dei diritti fondamentali dell'Unione europea, e ha dichiarato l'invalidità dell'articolo 3 della decisione.

(2)

L'articolo 3, paragrafo 1, primo comma, della decisione 2000/520/CE stabilisce condizioni restrittive per cui le autorità di controllo nazionali possono decidere di sospendere i flussi di dati diretti a un'impresa statunitense autocertificatasi, e questo nonostante la constatazione di adeguatezza da parte della Commissione.

(3)

Nella sentenza Schrems la Corte di giustizia ha precisato che le autorità di controllo nazionali restano competenti per il controllo dei trasferimenti dei dati personali verso un paese terzo che è stato oggetto di una decisione d'adeguatezza della Commissione, e che la Commissione non ha la competenza di limitare i poteri ad esse conferiti dall'articolo 28 della direttiva 95/46/CE. Ai sensi di tale articolo dette autorità dispongono, in particolare, di poteri investigativi, come il diritto di raccolta di qualsiasi informazione necessaria all'esercizio della loro funzione di controllo, di poteri effettivi d'intervento, come quello di vietare a titolo provvisorio o definitivo il trattamento dei dati, e del potere di promuovere azioni giudiziarie (4).

(4)

La Corte di giustizia ha ricordato nella sentenza Schrems che, in linea con l'articolo 25, paragrafo 6, secondo comma, della direttiva 95/46/CE, gli Stati membri e i loro organi devono adottare le misure necessarie per conformarsi agli atti delle istituzioni dell'Unione, che si presumono, in linea di principio, legittimi e producono pertanto effetti giuridici, finché non siano stati revocati o annullati nel contesto di un ricorso per annullamento ovvero dichiarati invalidi a seguito di un rinvio pregiudiziale o di un'eccezione di illegittimità.

(5)

Di conseguenza, una decisione d'adeguatezza della Commissione adottata ai sensi dell'articolo 25, paragrafo 6, della direttiva 95/46/CE è vincolante per tutti gli organi degli Stati membri destinatari, incluse le loro autorità di controllo indipendenti, nella parte in cui produce l'effetto di autorizzare trasferimenti di dati personali dagli Stati membri verso il paese terzo da essa interessato (5). Ne consegue che le autorità nazionali di controllo non possono adottare misure contrarie a una decisione d'adeguatezza della Commissione, quali atti con cui si dichiara l'invalidità di tale decisione o intesi a constatare con effetto vincolante che il paese terzo interessato da detta decisione non garantisce un livello di protezione adeguato. Come precisato nella sentenza Schrems, ciò non impedisce all'autorità nazionale di controllo di esaminare la domanda del singolo individuo relativa al livello di protezione dei dati personali garantito in un paese terzo oggetto di una decisione d'adeguatezza della Commissione e che, qualora la ritenga fondata, promuova un'azione giudiziaria dinanzi ai giudici nazionali affinché questi ultimi procedano, qualora condividano i dubbi in ordine alla validità della decisione della Commissione, ad un rinvio pregiudiziale inteso all'esame della validità della decisione (6).

(6)

Le decisioni 2000/518/CE (7), 2002/2/CE (8), 2003/490/CE (9), 2003/821/CE (10), 2004/411/CE (11), 2008/393/CE (12), 2010/146/UE (13), 2010/625/UE (14), 2011/61/UE (15) e le decisioni di esecuzione 2012/484/UE (16) e 2013/65/UE della Commissione (17), che sono decisioni di adeguatezza, contengono una limitazione dei poteri delle autorità di controllo nazionali che è comparabile a quella di cui all'articolo 3, paragrafo 1, primo comma, della decisione 2000/520/CE, di cui la Corte di giustizia ha dichiarato l'invalidità.

(7)

Alla luce della sentenza Schrems e ai sensi dell'articolo 266 del trattato, le disposizioni di tali decisioni che limitano i poteri delle autorità nazionali di controllo dovrebbero essere sostituite.

(8)

Nella sentenza Schrems la Corte di giustizia ha inoltre precisato che, poiché il livello di protezione assicurato da un paese terzo può cambiare, incombe alla Commissione, successivamente all'adozione di una decisione in forza dell'articolo 25, paragrafo 6, della direttiva 95/46/CE, verificare periodicamente se la constatazione relativa al livello di protezione adeguato assicurato dal paese terzo in questione continui ad essere giustificata in fatto e in diritto (18). Alla luce delle conclusioni della sentenza relative all'accesso ai dati personali da parte delle autorità pubbliche, dovrebbero essere monitorate anche le norme e le prassi che disciplinano tale accesso.

(9)

Pertanto, per i paesi per cui ha adottato una decisione d'adeguatezza, la Commissione sorveglierà costantemente gli sviluppi della legislazione e delle prassi che potrebbero incidere sul funzionamento delle decisioni, compresi gli sviluppi riguardanti l'accesso ai dati personali da parte delle autorità pubbliche.

(10)

Onde facilitare l'efficace monitoraggio del funzionamento delle decisioni d'adeguatezza attualmente in vigore, occorre che gli Stati membri informino la Commissione in merito ad azioni rilevanti intraprese dalle autorità nazionali di controllo.

(11)

Il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall'articolo 29 della direttiva 95/46/CE ha formulato un parere, preso in considerazione ai fini dell'elaborazione della presente decisione.

(12)

Le misure di cui alla presente decisione sono conformi al parere del comitato istituito dall'articolo 31, paragrafo 1, della direttiva 95/46/CE.

(13)

È pertanto opportuno modificare di conseguenza le decisioni 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE, 2011/61/UE e le decisioni di esecuzione 2012/484/UE e 2013/65/UE,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

La decisione 2000/518/CE è modificata nel modo seguente:

1)

L'articolo 3 è sostituito dal testo seguente:

«Articolo 3

Quando le autorità competenti di uno Stato membro esercitano i poteri ad esse conferiti dall'articolo 28, paragrafo 3, della direttiva 95/46/CE per sospendere o vietare a titolo definitivo i flussi di dati verso la Svizzera ai fini della tutela delle persone per quanto riguarda il trattamento dei dati personali, lo Stato membro interessato informa immediatamente la Commissione, che a sua volta inoltra l'informazione agli altri Stati membri.»

2)

È inserito il seguente articolo 3 bis:

«Articolo 3 bis

1.   La Commissione sorveglia costantemente gli sviluppi dell'ordinamento giuridico svizzero che potrebbero incidere sul funzionamento della presente decisione, compresi gli sviluppi riguardanti l'accesso ai dati personali da parte delle autorità pubbliche, onde valutare se la Svizzera continua a garantire un livello adeguato di protezione dei dati personali.

2.   Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui le misure adottate dagli organismi incaricati di vigilare sul rispetto delle norme di protezione in Svizzera risultano inidonee a tal fine.

3.   Gli Stati membri e la Commissione si informano reciprocamente di qualsiasi indicazione del fatto che le ingerenze nel diritto delle persone alla protezione dei dati personali che le riguardano, compiute dalle autorità pubbliche svizzere competenti della sicurezza nazionale, dell'applicazione della legge o di altro interesse pubblico, vadano oltre quanto strettamente necessario, o che contro le ingerenze di tale natura non esista una tutela giuridica efficace.

4.   Qualora sia dimostrato che non è più garantito un livello di protezione adeguato, anche nelle situazioni di cui ai paragrafi 2 e 3, la Commissione informa l'autorità svizzera competente e, se necessario, propone un progetto delle misure da adottare secondo la procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE al fine di abrogare o sospendere la presente decisione o limitarne il campo d'applicazione.»

Articolo 2

La decisione 2002/2/CE è modificata nel modo seguente:

1)

L'articolo 3 è sostituito dal testo seguente:

«Articolo 3

Quando le autorità competenti di uno Stato membro esercitano i poteri ad esse conferiti dall'articolo 28, paragrafo 3, della direttiva 95/46/CE per sospendere o vietare a titolo definitivo i flussi di dati verso destinatari in Canada le cui attività rientrano nel campo d'applicazione della legge sulla tutela delle informazioni personali e sui documenti elettronici ai fini della tutela delle persone per quanto riguarda il trattamento dei dati personali, lo Stato membro interessato informa immediatamente la Commissione, che a sua volta inoltra l'informazione agli altri Stati membri.»

2)

È inserito il seguente articolo 3 bis:

«Articolo 3 bis

1.   La Commissione sorveglia costantemente gli sviluppi dell'ordinamento giuridico canadese che potrebbero incidere sul funzionamento della presente decisione, compresi gli sviluppi riguardanti l'accesso ai dati personali da parte delle autorità pubbliche, onde valutare se il Canada continua a garantire un livello adeguato di protezione dei dati personali.

2.   Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui le misure adottate dagli organismi incaricati di vigilare sul rispetto delle norme di protezione in Canada risultano inidonee a tal fine.

3.   Gli Stati membri e la Commissione si informano reciprocamente di qualsiasi indicazione del fatto che le ingerenze nel diritto delle persone alla protezione dei dati personali che le riguardano, compiute dalle autorità pubbliche canadesi competenti della sicurezza nazionale, dell'applicazione della legge o di altro interesse pubblico, vadano oltre quanto strettamente necessario, o che contro le ingerenze di tale natura non esista una tutela giuridica efficace.

4.   Qualora sia dimostrato che non è più garantito un livello di protezione adeguato, anche nelle situazioni di cui ai paragrafi 2 e 3, la Commissione informa l'autorità canadese competente e, se necessario, propone un progetto delle misure da adottare secondo la procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE al fine di abrogare o sospendere la presente decisione o limitarne il campo d'applicazione.»

Articolo 3

La decisione 2003/490/CE è modificata nel modo seguente:

1)

L'articolo 3 è sostituito dal testo seguente:

«Articolo 3

Quando le autorità competenti di uno Stato membro esercitano i poteri ad esse conferiti dall'articolo 28, paragrafo 3, della direttiva 95/46/CE per sospendere o vietare a titolo definitivo i flussi di dati verso l'Argentina al fine della tutela delle persone per quanto riguarda il trattamento dei dati personali, lo Stato membro interessato informa immediatamente la Commissione, che a sua volta inoltra l'informazione agli altri Stati membri.»

2)

È inserito il seguente articolo 3 bis:

«Articolo 3 bis

1.   La Commissione sorveglia costantemente gli sviluppi dell'ordinamento giuridico argentino che potrebbero incidere sul funzionamento della presente decisione, compresi gli sviluppi riguardanti l'accesso ai dati personali da parte delle autorità pubbliche, onde valutare se l'Argentina continua a garantire un livello adeguato di protezione dei dati personali.

2.   Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui le misure adottate dagli organismi incaricati di vigilare sul rispetto delle norme di protezione in Argentina risultano inidonee a tal fine.

3.   Gli Stati membri e la Commissione si informano reciprocamente di qualsiasi indicazione del fatto che le ingerenze nel diritto delle persone alla protezione dei dati personali che le riguardano, compiute dalle autorità pubbliche argentine competenti della sicurezza nazionale, dell'applicazione della legge o di altro interesse pubblico, vadano oltre quanto strettamente necessario, o che contro le ingerenze di tale natura non esista una tutela giuridica efficace.

4.   Qualora sia dimostrato che non è più garantito un livello di protezione adeguato, anche nelle situazioni di cui ai paragrafi 2 e 3, la Commissione informa l'autorità argentina competente e, se necessario, propone un progetto delle misure da adottare secondo la procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE al fine di abrogare o sospendere la presente decisione o limitarne il campo d'applicazione.»

Articolo 4

Gli articoli 3 e 4 della decisione 2003/821/CE della Commissione sono sostituiti dal testo seguente:

«Articolo 3

Quando le autorità competenti di uno Stato membro esercitano i poteri ad esse conferiti dall'articolo 28, paragrafo 3, della direttiva 95/46/CE per sospendere o vietare a titolo definitivo i flussi di dati verso il Baliato (Bailiwick) di Guernsey al fine della tutela delle persone per quanto riguarda il trattamento dei dati personali, lo Stato membro interessato informa immediatamente la Commissione, che a sua volta inoltra l'informazione agli altri Stati membri.

Articolo 4

1.   La Commissione sorveglia costantemente gli sviluppi dell'ordinamento giuridico di Guernsey che potrebbero incidere sul funzionamento della presente decisione, compresi gli sviluppi riguardanti l'accesso ai dati personali da parte delle autorità pubbliche, onde valutare se Guernsey continua a garantire un livello adeguato di protezione dei dati personali.

2.   Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui le misure adottate dagli organismi incaricati di vigilare sul rispetto delle norme di protezione in Guernsey risultano inidonee a tal fine.

3.   Gli Stati membri e la Commissione si informano reciprocamente di qualsiasi indicazione del fatto che le ingerenze nel diritto delle persone alla protezione dei dati personali che le riguardano, compiute dalle autorità pubbliche di Guernsey competenti della sicurezza nazionale, dell'applicazione della legge o di altro interesse pubblico, vadano oltre quanto strettamente necessario, o che contro le ingerenze di tale natura non esista una tutela giuridica efficace.

4.   Qualora sia dimostrato che non è più garantito un livello di protezione adeguato, anche nelle situazioni di cui ai paragrafi 2 e 3, la Commissione informa l'autorità competente di Guernsey e, se necessario, propone un progetto delle misure da adottare secondo la procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE al fine di abrogare o sospendere la presente decisione o limitarne il campo d'applicazione.»

Articolo 5

Gli articoli 3 e 4 della decisione 2004/411/CE della Commissione sono sostituiti dal testo seguente:

«Articolo 3

Quando le autorità competenti di uno Stato membro esercitano i poteri ad esse conferiti dall'articolo 28, paragrafo 3, della direttiva 95/46/CE per sospendere o vietare a titolo definitivo i flussi di dati verso l'Isola di Man al fine della tutela delle persone per quanto riguarda il trattamento dei dati personali, lo Stato membro interessato informa immediatamente la Commissione, che a sua volta inoltra l'informazione agli altri Stati membri.

Articolo 4

1.   La Commissione sorveglia costantemente gli sviluppi dell'ordinamento giuridico dell'Isola di Man che potrebbero incidere sul funzionamento della presente decisione, compresi gli sviluppi riguardanti l'accesso ai dati personali da parte delle autorità pubbliche, onde valutare se l'Isola di Man continua a garantire un livello adeguato di protezione dei dati personali.

2.   Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui le misure adottate dagli organismi incaricati di vigilare sul rispetto delle norme di protezione nell'Isola di Man risultano inidonee a tal fine.

3.   Gli Stati membri e la Commissione si informano reciprocamente di qualsiasi indicazione del fatto che le ingerenze nel diritto delle persone alla protezione dei dati personali che le riguardano, compiute dalle autorità pubbliche dell'Isola di Man competenti della sicurezza nazionale, dell'applicazione della legge o di altro interesse pubblico, vadano oltre quanto strettamente necessario, o che contro le ingerenze di tale natura non esista una tutela giuridica efficace.

4.   Qualora sia dimostrato che non è più garantito un livello di protezione adeguato, anche nelle situazioni di cui ai paragrafi 2 e 3, la Commissione informa l'autorità competente dell'Isola di Man e, se necessario, propone un progetto delle misure da adottare secondo la procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE al fine di abrogare o sospendere la presente decisione o limitarne il campo d'applicazione.»

Articolo 6

Gli articoli 3 e 4 della decisione 2008/393/CE della Commissione sono sostituiti dal testo seguente:

«Articolo 3

Quando le autorità competenti di uno Stato membro esercitano i poteri ad esse conferiti dall'articolo 28, paragrafo 3, della direttiva 95/46/CE per sospendere o vietare a titolo definitivo i flussi di dati verso Jersey ai fini della tutela delle persone per quanto riguarda il trattamento dei dati personali, lo Stato membro interessato informa immediatamente la Commissione, che a sua volta inoltra l'informazione agli altri Stati membri.

Articolo 4

1.   La Commissione sorveglia costantemente gli sviluppi dell'ordinamento giuridico di Jersey che potrebbero incidere sul funzionamento della presente decisione, compresi gli sviluppi riguardanti l'accesso ai dati personali da parte delle autorità pubbliche, onde valutare se Jersey continua a garantire un livello adeguato di protezione dei dati personali.

2.   Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui le misure adottate dagli organismi incaricati di vigilare sul rispetto delle norme di protezione a Jersey risultano inidonee a tal fine.

3.   Gli Stati membri e la Commissione si informano reciprocamente di qualsiasi indicazione del fatto che le ingerenze nel diritto delle persone alla protezione dei dati personali che le riguardano, compiute dalle autorità pubbliche di Jersey competenti della sicurezza nazionale, dell'applicazione della legge o di altro interesse pubblico, vadano oltre quanto strettamente necessario, o che contro le ingerenze di tale natura non esista una tutela giuridica efficace.

4.   Qualora sia dimostrato che non è più garantito un livello di protezione adeguato, anche nelle situazioni di cui ai paragrafi 2 e 3, la Commissione informa l'autorità competente di Jersey e, se necessario, propone un progetto delle misure da adottare secondo la procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE al fine di abrogare o sospendere la presente decisione o limitarne il campo d'applicazione.»

Articolo 7

Gli articoli 3 e 4 della decisione 2010/146/UE della Commissione sono sostituiti dal testo seguente:

«Articolo 3

Quando le autorità competenti di uno Stato membro esercitano i poteri ad esse conferiti dall'articolo 28, paragrafo 3, della direttiva 95/46/CE per sospendere o vietare a titolo definitivo i flussi di dati verso destinatari nelle Isole Faer Øer le cui attività rientrano nel campo d'applicazione della legge delle Isole Faer Øer sul trattamento dei dati personali ai fini della tutela delle persone per quanto riguarda il trattamento dei dati personali, lo Stato membro interessato informa immediatamente la Commissione, che a sua volta inoltra l'informazione agli altri Stati membri.

Articolo 4

1.   La Commissione sorveglia costantemente gli sviluppi dell'ordinamento giuridico delle Isole Faer Øer che potrebbero incidere sul funzionamento della presente decisione, compresi gli sviluppi riguardanti l'accesso ai dati personali da parte delle autorità pubbliche, onde valutare se le Isole Faer Øer continuano a garantire un livello adeguato di protezione dei dati personali.

2.   Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui le misure adottate dagli organismi incaricati di vigilare sul rispetto delle norme di protezione nelle Isole Faer Øer risultano inidonee a tal fine.

3.   Gli Stati membri e la Commissione si informano reciprocamente di qualsiasi indicazione del fatto che le ingerenze nel diritto delle persone alla protezione dei dati personali che le riguardano, compiute dalle autorità pubbliche delle Isole Faer Øer competenti della sicurezza nazionale, dell'applicazione della legge o di altro interesse pubblico, vadano oltre quanto strettamente necessario, o che contro le ingerenze di tale natura non esista una tutela giuridica efficace.

4.   Qualora sia dimostrato che non è più garantito un livello di protezione adeguato, anche nelle situazioni di cui ai paragrafi 2 e 3, la Commissione informa l'autorità competente delle Isole Faer Øer e, se necessario, propone un progetto delle misure da adottare secondo la procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE al fine di abrogare o sospendere la presente decisione o limitarne il campo d'applicazione.»

Articolo 8

Gli articoli 3 e 4 della decisione 2010/625/UE della Commissione sono sostituiti dal testo seguente:

«Articolo 3

Quando le autorità competenti di uno Stato membro esercitano i poteri ad esse conferiti dall'articolo 28, paragrafo 3, della direttiva 95/46/CE per sospendere o vietare a titolo definitivo i flussi di dati verso Andorra al fine della tutela delle persone per quanto riguarda il trattamento dei dati personali, lo Stato membro interessato informa immediatamente la Commissione, che a sua volta inoltra l'informazione agli altri Stati membri.

Articolo 4

1.   La Commissione sorveglia costantemente gli sviluppi dell'ordinamento giuridico di Andorra che potrebbero incidere sul funzionamento della presente decisione, compresi gli sviluppi riguardanti l'accesso ai dati personali da parte delle autorità pubbliche, onde valutare se Andorra continua a garantire un livello adeguato di protezione dei dati personali.

2.   Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui le misure adottate dagli organismi incaricati di vigilare sul rispetto delle norme di protezione ad Andorra risultano inidonee a tal fine.

3.   Gli Stati membri e la Commissione si informano reciprocamente di qualsiasi indicazione del fatto che le ingerenze nel diritto delle persone alla protezione dei dati personali che le riguardano, compiute dalle autorità pubbliche di Andorra competenti della sicurezza nazionale, dell'applicazione della legge o di altro interesse pubblico, vadano oltre quanto strettamente necessario, o che contro le ingerenze di tale natura non esista una tutela giuridica efficace.

4.   Qualora sia dimostrato che non è più garantito un livello di protezione adeguato, anche nelle situazioni di cui ai paragrafi 2 e 3, la Commissione informa l'autorità competente di Andorra e, se necessario, propone un progetto delle misure da adottare secondo la procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE al fine di abrogare o sospendere la presente decisione o limitarne il campo d'applicazione.»

Articolo 9

Gli articoli 3 e 4 della decisione 2011/61/UE della Commissione sono sostituiti dal testo seguente:

«Articolo 3

Quando le autorità competenti di uno Stato membro esercitano i poteri ad esse conferiti dall'articolo 28, paragrafo 3, della direttiva 95/46/CE per sospendere o vietare a titolo definitivo i flussi di dati verso lo Stato d'Israele al fine della tutela delle persone per quanto riguarda il trattamento dei dati personali, lo Stato membro interessato informa immediatamente la Commissione, che a sua volta inoltra l'informazione agli altri Stati membri.

Articolo 4

1.   La Commissione sorveglia costantemente gli sviluppi dell'ordinamento giuridico israeliano che potrebbero incidere sul funzionamento della presente decisione, compresi gli sviluppi riguardanti l'accesso ai dati personali da parte delle autorità pubbliche, onde valutare se lo Stato d'Israele continua a garantire un livello adeguato di protezione dei dati personali.

2.   Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui le misure adottate dagli organismi incaricati di vigilare sul rispetto delle norme di protezione nello Stato d'Israele risultano inidonee a tal fine.

3.   Gli Stati membri e la Commissione si informano reciprocamente di qualsiasi indicazione del fatto che le ingerenze nel diritto delle persone alla protezione dei dati personali che le riguardano, compiute dalle autorità pubbliche israeliane competenti della sicurezza nazionale, dell'applicazione della legge o di altro interesse pubblico, vadano oltre quanto strettamente necessario, o che contro le ingerenze di tale natura non esista una tutela giuridica efficace.

4.   Qualora sia dimostrato che non è più garantito un livello di protezione adeguato, anche nelle situazioni di cui ai paragrafi 2 e 3, la Commissione informa l'autorità competente israeliana e, se necessario, propone un progetto delle misure da adottare secondo la procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE al fine di abrogare o sospendere la presente decisione o limitarne il campo d'applicazione.»

Articolo 10

Gli articoli 2 e 3 della decisione di esecuzione 2012/484/UE della Commissione sono sostituiti dal testo seguente:

«Articolo 2

Quando le autorità competenti di uno Stato membro esercitano i poteri ad esse conferiti dall'articolo 28, paragrafo 3, della direttiva 95/46/CE per sospendere o vietare a titolo definitivo i flussi di dati verso la Repubblica orientale dell'Uruguay al fine della tutela delle persone per quanto riguarda il trattamento dei dati personali, lo Stato membro interessato informa immediatamente la Commissione, che a sua volta inoltra l'informazione agli altri Stati membri.

Articolo 3

1.   La Commissione sorveglia costantemente gli sviluppi dell'ordinamento giuridico della Repubblica orientale dell'Uruguay che potrebbero incidere sul funzionamento della presente decisione, compresi gli sviluppi riguardanti l'accesso ai dati personali da parte delle autorità pubbliche, onde valutare se la Repubblica orientale dell'Uruguay continua a garantire un livello adeguato di protezione dei dati personali.

2.   Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui le misure adottate dagli organismi incaricati di vigilare sul rispetto delle norme di protezione nella Repubblica orientale dell'Uruguay risultano inidonee a tal fine.

3.   Gli Stati membri e la Commissione si informano reciprocamente di qualsiasi indicazione del fatto che le ingerenze nel diritto delle persone alla protezione dei dati personali che le riguardano, compiute dalle autorità pubbliche uruguayane competenti della sicurezza nazionale, dell'applicazione della legge o di altro interesse pubblico, vadano oltre quanto strettamente necessario, o che contro le ingerenze di tale natura non esista una tutela giuridica efficace.

4.   Qualora sia dimostrato che non è più garantito un livello di protezione adeguato, anche nelle situazioni di cui ai paragrafi 2 e 3, la Commissione informa l'autorità competente uruguayana e, se necessario, propone un progetto delle misure da adottare secondo la procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE al fine di abrogare o sospendere la presente decisione o limitarne il campo d'applicazione.»

Articolo 11

Gli articoli 2 e 3 della decisione di esecuzione 2013/65/UE della Commissione sono sostituiti dal testo seguente:

«Articolo 2

Quando le autorità competenti di uno Stato membro esercitano i poteri ad esse conferiti dall'articolo 28, paragrafo 3, della direttiva 95/46/CE per sospendere o vietare a titolo definitivo i flussi di dati verso la Nuova Zelanda al fine della tutela delle persone per quanto riguarda il trattamento dei dati personali, lo Stato membro interessato informa immediatamente la Commissione, che a sua volta inoltra l'informazione agli altri Stati membri.

Articolo 3

1.   La Commissione sorveglia costantemente gli sviluppi dell'ordinamento giuridico della Nuova Zelanda che potrebbero incidere sul funzionamento della presente decisione, compresi gli sviluppi riguardanti l'accesso ai dati personali da parte delle autorità pubbliche, onde valutare se la Nuova Zelanda continua a garantire un livello adeguato di protezione dei dati personali.

2.   Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui le misure adottate dagli organismi incaricati di vigilare sul rispetto delle norme di protezione in Nuova Zelanda risultano inidonee a tal fine.

3.   Gli Stati membri e la Commissione si informano reciprocamente di qualsiasi indicazione del fatto che le ingerenze nel diritto delle persone alla protezione dei dati personali che le riguardano, compiute dalle autorità pubbliche neozelandesi competenti della sicurezza nazionale, dell'applicazione della legge o di altro interesse pubblico, vadano oltre quanto strettamente necessario, o che contro le ingerenze di tale natura non esista una tutela giuridica efficace.

4.   Qualora sia dimostrato che non è più garantito un livello di protezione adeguato, anche nelle situazioni di cui ai paragrafi 2 e 3, la Commissione informa l'autorità competente neozelandese e, se necessario, propone un progetto delle misure da adottare secondo la procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE al fine di abrogare o sospendere la presente decisione o limitarne il campo d'applicazione.»

Articolo 12

Gli Stati membri sono destinatari della presente decisione.

Fatto a Bruxelles, il 16 dicembre 2016

Per la Commissione

Věra JOUROVÁ

Membro della Commissione


(1)  GU L 281 del 23.11.1995, pag. 31.

(2)  ECLI:EU:C:2015:650.

(3)  Decisione 2000/520/CE della Commissione, del 26 luglio 2000, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull'adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative «Domande più frequenti» (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti (GU L 215 del 25.8.2000, pag. 7).

(4)  Schrems, punti 40 e segg e punti da 101 a 103.

(5)  Schrems, punti 51, 52 e 62.

(6)  Schrems, punti 52, 62 e 65.

(7)  Decisione 2000/518/CE della Commissione, del 26 luglio 2000, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio riguardante l'adeguatezza della protezione dei dati personali in Svizzera (GU L 215 del 25.8.2000, pag. 1).

(8)  Decisione 2002/2/CE della Commissione, del 20 dicembre 2001, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio riguardante l'adeguatezza della protezione fornita dalla legge canadese sulla tutela delle informazioni personali e sui documenti elettronici (Canadian Personal Information Protection and Electronic Documents Act) (GU L 2 del 4.1.2002, pag. 13).

(9)  Decisione 2003/490/CE della Commissione, del 30 giugno 2003, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio riguardante l'adeguatezza della tutela dei dati personali fornita in Argentina (GU L 168 del 5.7.2003, pag. 19).

(10)  Decisione 2003/821/CE della Commissione, del 21 novembre 2003, sull'adeguata protezione dei dati personali in Guernsey (GU L 308 del 25.11.2003, pag. 27).

(11)  Decisione 2004/411/CE della Commissione, del 28 aprile 2004, sull'adeguata protezione dei dati personali nell'Isola di Man (GU L 151 del 30.4.2004, pag. 48).

(12)  Decisione 2008/393/CE della Commissione, dell'8 maggio 2008, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull'adeguata protezione dei dati personali a Jersey (GU L 138 del 28.5.2008, pag. 21).

(13)  Decisione 2010/146/UE della Commissione, del 5 marzo 2010, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull'adeguata protezione fornita dalla legge delle Isole Faer Øer sul trattamento dei dati personali (GU L 58 del 9.3.2010, pag. 17).

(14)  Decisione 2010/625/UE della Commissione, del 19 ottobre 2010, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull'adeguata protezione dei dati personali ad Andorra (GU L 277 del 21.10.2010, pag. 27).

(15)  Decisione 2011/61/UE della Commissione, del 31 gennaio 2011, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull'adeguata protezione dei dati personali da parte dello Stato d'Israele in relazione al trattamento automatizzato di tali dati (GU L 27 dell'1.2.2011, pag. 39).

(16)  Decisione di esecuzione 2012/484/UE della Commissione, del 21 agosto 2012, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull'adeguata protezione dei dati personali da parte della Repubblica orientale dell'Uruguay in relazione al trattamento automatizzato di tali dati (GU L 227 del 23.8.2012, pag. 11).

(17)  Decisione di esecuzione 2013/65/UE della Commissione, del 19 dicembre 2012, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull'adeguata protezione dei dati personali da parte della Nuova Zelanda (GU L 28 del 30.1.2013, pag. 12).

(18)  Schrems, punto 76. Una siffatta verifica è in ogni caso obbligatoria quando la Commissione acquisisce un'informazione che faccia sorgere un dubbio giustificato a tale riguardo.


Top