29.12.2004   

IT

Gazzetta ufficiale dell'Unione europea

L 385/74

DECISIONE DELLA COMISSIONE

del 27 dicembre 2004

che modifica la decisione 2001/497/CE per quanto riguarda l’introduzione di un insieme alternativo di clausole contrattuali tipo per il trasferimento di dati personali a paesi terzi

[notificata con il numero C(2004) 5271]

(Testo rilevante ai fini del SEE)

(2004/915/CE)

LA COMMISSIONE DELLE COMUNITÀ EUROPEE,

visto il trattato che istituisce la Comunità europea,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (1), e in particolare l’articolo 26, paragrafo 4,

considerando quanto segue:

(1)

Al fine di facilitare i flussi di dati provenienti dalla Comunità, è opportuno che i responsabili del trattamento di dati siano in grado di realizzare trasferimenti di dati su scala mondiale attenendosi a un unico insieme di norme di protezione dei dati. In mancanza di una normativa internazionale in materia, le clausole contrattuali tipo costituiscono uno strumento estremamente utile, dal momento che consentono di trasferire dati personali provenienti da tutti gli Stati membri facendo riferimento ad un insieme comune di norme. La decisione 2001/497/CE della Commissione, del 15 giugno 2001, relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma della direttiva 95/46/CE (2) stabilisce un insieme modello di clausole contrattuali tipo che prevede garanzie adeguate per il trasferimento di dati verso paesi terzi.

(2)

Dal momento dell’adozione di questa decisione si è acquisita una ricca esperienza. Inoltre, un consorzio di associazioni imprenditoriali (3) ha presentato un insieme alternativo di clausole contrattuali, destinato ad offrire un livello di protezione di dati comparabile a quello offerto dall’insieme di clausole adottato nella decisione 2001/497/CE, pur utilizzando meccanismi diversi.

(3)

Considerando che l’uso di clausole contrattuali tipo nei trasferimenti internazionali ha carattere volontario (questo tipo di clausole è solo una delle varie possibilità previste dalla direttiva 95/46/CE per il trasferimento legittimo di dati personali verso paesi terzi), gli esportatori di dati nella Comunità e gli importatori di dati in paesi terzi dovrebbero poter optare per uno degli insiemi di clausole contrattuali tipo o scegliere un altro fondamento giuridico per il trasferimento di dati. Tuttavia, dal momento che ciascun gruppo costituisce un insieme coerente, non deve essere riconosciuta agli esportatori la possibilità di modificare totalmente o parzialmente tali insiemi né di combinarli in alcun modo.

(4)

Le clausole contrattuali tipo proposte dalle associazioni imprenditoriali hanno lo scopo di rafforzare l’uso di clausole contrattuali tra gli operatori, ad esempio rendendo flessibili i requisiti in materia di verifica o precisando le norme che disciplinano il diritto di accesso.

(5)

D’altro canto, l'insieme che qui si presenta contiene, come alternativa al sistema di responsabilità solidale previsto dalla decisione 2001/497/CE, un regime di responsabilità basato sugli obblighi di normale diligenza, in virtù del quale l’esportatore e l’importatore di dati dovrebbero rispondere dinnanzi agli interessati per la violazione degli obblighi contrattuali. L’esportatore è inoltre responsabile se non compie sforzi ragionevoli al fine di determinare se l’importatore è in grado di rispettare i suoi obblighi giuridici derivati dalle clausole (culpa in eligendo), avendo l’interessato la possibilità a questo titolo di avviare azioni contro l’esportatore di dati. L’applicazione della lettera b) della clausola I del nuovo insieme di clausole contrattuali tipo riveste particolare importanza al riguardo, soprattutto considerando la possibilità riconosciuta all’esportatore di dati di effettuare verifiche degli impianti dell’importatore di dati o di esigere prove che dimostrino la disponibilità di risorse finanziarie sufficienti per far fronte alle sue responsabilità.

(6)

Quanto all’esercizio dei diritti del terzo beneficiario da parte degli interessati, si prevede un maggior coinvolgimento dell’esportatore di dati nella risoluzione dei reclami degli interessati, essendo l’esportatore di dati obbligato a mettersi in contatto con l’importatore di dati se necessario ad eseguire il contratto entro il termine normale di un mese. Se l’esportatore di dati rifiuta di eseguire il contratto e persiste il mancato rispetto degli obblighi da parte dell’importatore, l’interessato potrà invocare le clausole contro l’importatore di dati ed infine avviare un’azione dinnanzi ai tribunali di uno Stato membro. Questa accettazione della giurisdizione e l’accordo di conformarsi alla decisione di un tribunale o di un’autorità di protezione di dati competenti non reca pregiudizio agli eventuali diritti processuali degli importatori di dati stabiliti in paesi terzi, ad esempio in materia di appello.

(7)

Al fine tuttavia di evitare gli abusi cui potrebbe dare luogo questo regime più flessibile, è opportuno riconoscere alle autorità competenti per la protezione dei dati la facoltà di vietare o sospendere più facilmente i trasferimenti di dati basati sul nuovo insieme di clausole contrattuali tipo quando l’esportatore di dati rifiuti di adottare misure adeguate contro l’importatore di dati per fargli rispettare gli obblighi contrattuali o quest’ultimo rifiuti di collaborare in buona fede con le autorità di controllo competenti in materia di protezione dei dati.

(8)

L’uso di clausole contrattuali tipo sarà fatto mantenendo salva l’applicazione delle disposizioni nazionali adottate in conformità con la direttiva 95/46/CE o con la direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (4), in particolare per quanto riguarda l’invio di comunicazioni commerciali ai cittadini dell’UE.

(9)

Su questa base, le garanzie contenute nelle clausole contrattuali tipo presentate possono essere considerate sufficienti nel senso dell’articolo 26, paragrafo 2, della direttiva 95/46/CE.

(10)

l gruppo per la tutela delle persone con riguardo al trattamento di dati personali, creato dall’articolo 29 della direttiva 95/46/CE, ha emesso un parere (5) sul livello di tutela che offrono le clausole contrattuali tipo qui presentate. Di tale parere si è tenuto debito conto.

(11)

Al fine di valutare le modalità di applicazione degli emendamenti alla decisione 2001/497/CE, è opportuno che la Commissione effettui una valutazione tre anni dopo la loro notifica agli Stati membri.

(12)

La decisione 2001/497/CE deve essere modificata in modo conforme.

(13)

Le misure previste nella presente decisione sono conformi al parere del comitato creato dall’articolo 31 della direttiva 95/46/CE,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

La decisione 2001/497/CE è modificata come segue:

1)

All’articolo 1 è aggiunto il seguente paragrafo:

«I responsabili del trattamento potranno optare per uno degli insiemi – I o II – contenuti nell’allegato. Tuttavia, non potranno modificare le clausole né combinare singole clausole, né gli insiemi.»

2)

I paragrafi 2 e 3 dell’articolo 4 sono sostituiti dal testo seguente:

«2.   Agli effetti del paragrafo 1, quando il responsabile del trattamento affermi l’esistenza di garanzie sufficienti derivate dalle clausole contrattuali tipo contenute nell’insieme II dell’allegato, le autorità competenti in materia di protezione dei dati potranno esercitare i poteri di cui dispongono per proibire o sospendere i flussi di dati in entrambi i seguenti casi:

a)

se l’importatore di dati rifiuta di collaborare in buona fede con le autorità competenti in materia di protezione dei dati o di rispettare gli obblighi che gli incombono chiaramente in virtù del contratto;

b)

se l’esportatore di dati, dopo aver ricevuto una notifica delle autorità competenti in materia di protezione dei dati, rifiuta di adottare misure adeguate contro l’importatore di dati per far rispettare il contratto entro il termine normale di un mese.

Agli effetti del precedente paragrafo, il rifiuto di cooperazione in buona fede o di esecuzione del contratto da parte dell’importatore non comprende i casi in cui tale cooperazione o esecuzione confligga con gli obblighi imposti dalla legislazione nazionale applicabile all’importatore di dati che non vadano al di là dei limiti necessari in una società democratica per la salvaguardia degli interessi elencati al paragrafo 1 dell’articolo 13 della direttiva 95/46/CE, in particolare le sanzioni previste in strumenti nazionali e/o internazionali, gli obblighi di dichiarazione in materia fiscale o in materia di lotta contro il riciclaggio di denaro.

Agli effetti della lettera a) del primo paragrafo, la cooperazione potrà comprendere, in particolare, la messa a disposizione da parte dell’importatore delle sue installazioni per il trattamento di dati a fini di verifica o l’obbligo di conformarsi ai pareri dell’autorità di controllo della protezione di dati nella Comunità.

3.   Il divieto o la sospensione ai sensi dei paragrafi 1 e 2 saranno soppressi non appena cesseranno di esistere i motivi del divieto o della sospensione.

4.   Quando gli Stati membri adottano misure in conformità con i paragrafi 1, 2 e 3, ne informano immediatamente la Commissione, che trasmette l’informazione agli altri Stati membri.»

3)

All’articolo 5 la prima frase è sostituita dalla seguente:

«La Commissione valuterà le modalità di applicazione della presente decisione sulla base delle informazioni disponibili tre anni dopo la sua notifica e dopo la notifica degli eventuali emendamenti agli Stati membri.».

4)

L’allegato è modificato come segue:

1.

dopo il titolo, viene inserita l’espressione «INSIEME I»;

2.

è inserito il testo contenuto nell’allegato alla presente decisione.

Articolo 2

La presente decisione è applicabile a decorrere dal 1o aprile 2005.

Articolo 3

Gli Stati membri sono destinatari della presente decisione.

Fatto a Bruxelles, il 27 dicembre 2004.

Per la Commissione

Charlie McCREEVY

Membro della Commissione

(1)  GU L 281 del 23.11.95, pag. 31. Direttiva modificata dal regolamento (CE) n. 1883/2003 (GU L 284 del 31.10.2003, pag. 1).

(2)  GU L 181 del 4.7.2001, pag. 19.

(3)  Camera di commercio internazionale (ICC), Japan Business Council in Europe (JBCE), European Information and Communications Technology Association (EICTA), EU Committee of the American Chamber of Commerce in Belgium (Amcham), Confederation of British Industry (CBI), International Communication Round Table (ICRT) e Federation of European Direct Marketing Associations (FEDMA).

(4)  GU L 201 del 31.7.2002, pag. 37.

(5)  Parere 8/2003, disponibile al seguente indirizzo: http://europa.eu.int/comm/privacy.

ALLEGATO

«

INSIEME II

Clausole contrattuali tipo per il trasferimento di dati personali dalla Comunità verso paesi terzi (trasferimento da responsabile a responsabile del trattamento)

Accordo di trasferimento di dati

tra

_(nome)

_(indirizzo e paese di stabilimento)

(d’ora in poi “l’esportatore di dati”)

e

_ (nome)

_ (indirizzo e paese di stabilimento)

(d’ora in poi “l’importatore di dati”),

ciascuno denominato una “parte”, insieme “le parti”.

Definizioni

Ai fini delle presenti clausole:

a)

“dati personali”, “speciali categorie di dati/dati sensibili”, “trattamento”, “responsabile del trattamento”, “incaricato del trattamento”, “interessato” e “autorità di controllo/autorità” avranno lo stesso significato indicato nella direttiva 95/46/CE (di conseguenza, si intenderà per “autorità” l’autorità competente in materia di protezione dei dati nel territorio di stabilimento dell’esportatore di dati);

b)

per “esportatore di dati” si intende il responsabile del trattamento che trasferisce i dati personali;

c)

per “importatore di dati” si intende il responsabile del trattamento che accetta di ricevere dall’esportatore dati personali per un ulteriore trattamento in conformità con i termini delle presenti clausole e che non è soggetto al sistema di un paese terzo in grado di garantire un’adeguata protezione;

d)

per “clausole” si intendono le presenti clausole contrattuali, che costituiscono un documento indipendente che non integra condizioni commerciali stabilite dalle parti in virtù di altri accordi commerciali.

I dettagli del trasferimento (così come i dati personali trasferiti) sono specificati nell’allegato B, che costituisce parte integrante delle presenti clausole.

I.   Obblighi dell’esportatore di dati

L’esportatore di dati garantisce e si impegna rispetto a quanto segue:

a)

i dati personali sono stati raccolti, trattati e trasferiti in conformità con la legislazione applicabile all’esportatore di dati;

b)

l’esportatore ha compiuto ragionevoli sforzi per determinare che l’importatore di dati sia in grado di rispettare gli obblighi giuridici ai quali è tenuto in virtù delle presenti clausole;

c)

l’esportatore fornirà all’importatore di dati, se richiesto, copie della legislazione relativa alla protezione di dati del paese in cui è stabilito l’esportatore di dati o i riferimenti a tale legislazione (ove opportuno, ed escludendo la consulenza giuridica);

d)

l’esportatore risponderà alle richieste degli interessati e delle autorità relative al trattamento dei dati personali da parte dell’importatore di dati, a meno che le parti non abbiano concordato che sia l’importatore a rispondere a tali richieste. Anche in questo caso, sarà l’esportatore a rispondere, secondo quanto ragionevolmente possibile e a partire dalle informazioni di cui possa ragionevolmente disporre, se l’importatore di dati non è in grado di rispondere o non è disposto a farlo. Le risposte dovranno essere fornite entro un termine ragionevole;

e)

l’esportatore metterà a disposizione degli interessati che siano terzi beneficiari ai sensi della clausola III, previa loro richiesta, una copia delle presenti clausole, a meno che esse contengano informazioni confidenziali, nel qual caso è autorizzato a espungere tali informazioni. Nel caso in cui alcune informazioni siano espunte, l’esportatore di dati informerà per iscritto gli interessati del motivo dell’espunzione e del loro diritto di portare tale espunzione a conoscenza delle autorità. L’esportatore di dati dovrà tuttavia accettare qualunque decisione dell’autorità relativa all’accesso al testo completo delle clausole da parte degli interessati, purché questi ultimi abbiano accettato di rispettare la confidenzialità delle informazioni confidenziali espunte. L’esportatore di dati fornirà all’autorità, previa sua richiesta, una copia delle presenti clausole.

II.   Obblighi dell’importatore di dati

L’importatore di dati garantisce e si impegna rispetto a quanto segue:

a)

l’importatore attuerà le misure tecniche e organizzative necessarie a proteggere i dati personali contro una distruzione accidentale o illecita o la perdita accidentale, l’alterazione, la divulgazione o l’accesso di soggetti non autorizzati, e a garantire il livello di sicurezza adeguato ai rischi che comportano il trattamento e alla natura dei dati che devono essere protetti;

b)

l’importatore avrà messo a punto procedure atte a garantire che qualsiasi terzo cui consenta di accedere ai dati personali, compresi gli incaricati del trattamento, rispetti e mantenga la confidenzialità e la sicurezza dei dati personali. Nessuna persona che operi sotto l’autorità dell’importatore di dati, compresi gli incaricati del trattamento, potrà trattare i dati personali a meno che non abbia ricevuto istruzioni dall’importatore di dati. Questa disposizione non si applica alle persone autorizzate o tenute ad accedere ai dati personali in base alle leggi o ai regolamenti;

c)

l’importatore non ha motivo di ritenere, al momento di sottoscrivere le presenti clausole, che esistano atti normativi a carattere locale che possano avere un effetto negativo importante sulle garanzie previste dalle presenti clausole; l’importatore di dati informerà l’esportatore di dati (il quale, quando ne sia richiesto, trasmetterà tale notifica all’autorità) se verrà a conoscenza di un qualunque atto normativo avente tale carattere;

d)

l’importatore tratterà i dati personali ai fini descritti nell’allegato B, ed è giuridicamente abilitato ad offrire le garanzie e a rispettare gli impegni indicati nelle presenti clausole;

e)

comunicherà all’esportatore di dati un punto di contatto all’interno della sua organizzazione autorizzato a rispondere alle richieste riguardanti il trattamento dei dati personali e collaborerà in buona fede con l’esportatore di dati, l’interessato e l’autorità nell’ambito di tali inchieste entro un periodo di tempo ragionevole. Nel caso in cui l’esportatore di dati abbia cessato di esistere in diritto, o se così avranno concordato le parti, l’importatore di dati assumerà la responsabilità per quanto riguarda il rispetto delle disposizioni della lettera e) della clausola I;

f)

fornirà all’esportatore di dati, su sua richiesta, prove che dimostrino la disponibilità di risorse finanziarie sufficienti a far fronte alle responsabilità cui è tenuto in virtù della clausola III (ad esempio, una copertura assicurativa);

g)

metterà a disposizione dietro richiesta ragionevole dell’esportatore di dati, i suoi impianti di trattamento di dati, i suoi archivi e tutta la documentazione necessaria per il trattamento a fini di verifica, audit e/o certificazione. Queste attività saranno realizzate dall’esportatore di dati (o da un ispettore o revisore imparziale e indipendente designato dall’esportatore di dati e contro il quale non siano state opposte ragionevoli obiezioni dall’importatore di dati) al fine di determinare la conformità con le garanzie previste e gli impegni assunti nelle presenti clausole, con ragionevole preavviso e durante le normali ore lavorative. La richiesta sarà soggetta al consenso o all’approvazione, se necessari, delle autorità di regolamentazione o di vigilanza nel paese dell’importatore. L’importatore farà tutto il possibile per ottenere tale consenso o tale approvazione con tempestività;

h)

tratterà i dati personali, a sua discrezione, in conformità con:

i)

la legislazione in materia di tutela dei dati del paese nel quale è stabilito l’esportatore di dati;

ii)

le disposizioni pertinenti (1) di qualsiasi decisione della Commissione adottata in conformità con il paragrafo 6 dell’articolo 25 della direttiva 95/46/CE, nelle quali si dimostri che l’importatore di dati rispetta le disposizioni pertinenti di tale autorizzazione o decisione ed è stabilito in un paese nel quale sono applicabili, ma non è coperto dall’autorizzazione o decisione ai fini del trasferimento o dei trasferimenti di dati personali (2); o

iii)

i principi relativi al trattamento di dati previsti nell’allegato A.

Opzione scelta dall’importatore di dati: _

Iniziali dell’importatore di dati: _;

i)

non rivelerà né trasferirà dati personali a terzi responsabili del trattamento stabiliti al di fuori dello Spazio economico europeo (SEE), a meno che notifichi all’esportatore di dati il trasferimento e

i)

il terzo responsabile del trattamento sottoponga i dati a trattamento di conformità con una decisione della Commissione nella quale si dichiari che il paese terzo in questione offre la protezione adeguata, o

ii)

il terzo responsabile del trattamento sottoscriva queste clausole o qualsiasi altro accordo di trasferimento di dati approvato da un’autorità competente nell’UE, o

iii)

gli interessati abbiano avuto la possibilità di opporsi, dopo essere stati informati in merito alle finalità del trasferimento, alle categorie di destinatari e al fatto che i paesi verso i quali i dati vengono esportati potrebbero avere una normativa differente in materia di protezione di dati, o

iv)

per quanto riguarda i trasferimenti ulteriori di dati sensibili, gli interessati abbiano dato il loro inequivocabile consenso a tali trasferimenti.

III.   Responsabilità e diritti di terzi

a)

Ciascuna delle parti sarà responsabile dinnanzi all’altra per i danni provocati dall’inadempimento delle presenti clausole. La responsabilità tra le parti si limiterà al danno realmente sofferto. È specificamente escluso il risarcimento punitivo (vale a dire il risarcimento finalizzato a punire una delle parti per la sua condotta inopportuna o colpevole). Ciascuna delle parti dovrà rispondere dinnanzi agli interessati per i danni provocati da eventuali violazioni dei diritti di terzi nell’ambito delle presenti clausole. Quanto precede fa salva la responsabilità dell’esportatore in base alla legislazione a lui applicabile in materia di protezione di dati.

b)

Le parti concordano che gli interessati, in qualità di terzi beneficiari, potranno invocare di fronte all’importatore o all’esportatore di dati la presente clausola, le lettere b), d) ed e) della clausola I, le lettere a), c), d), e), h) ed i) della clausola II, la lettera a) della clausola III, la clausola V, la lettera d) della clausola VI e la clausola VII per le rispettive violazioni dei loro obblighi contrattuali in rapporto ai loro dati personali; a tal fine, si sottomettono alla giurisdizione del paese di stabilimento dell’esportatore. Nei casi in cui sostenga l'inadempienza da parte dell’importatore di dati, l’interessato dovrà richiedere in primo luogo all’esportatore di avviare azioni adeguate per far valere i suoi diritti nei confronti dell’importatore di dati; se l’esportatore non compie tali azioni entro un termine ragionevole (che nelle normali circostanze sarebbe di un mese), l’interessato potrà far valere i suoi diritti direttamente contro l’importatore di dati. Gli interessati potranno procedere direttamente contro l’esportatore di dati quando questi non abbia compiuto sforzi ragionevoli per determinare se l’importatore di dati sia in grado di rispettare gli obblighi giuridici ai quali è tenuto in virtù delle presenti clausole (ricadrà sull’esportatore di dati l’onere di provare l’effettivo compimento di sforzi ragionevoli).

IV.   Legislazione applicabile alle clausole

Le presenti clausole sono soggette alla legislazione del paese nel quale è stabilito l’esportatore di dati, ad eccezione delle disposizioni legali e regolamentari relative al trattamento dei dati personali da parte dell’importatore di dati ai sensi della lettera h) della clausola II, che saranno applicabili solo se l’importatore avrà scelto tale opzione nell’ambito della clausola.

V.   Risoluzione di controversie con gli interessati o con l’autorità

a)

In caso di controversia o di reclamo presentato contro una o entrambe le parti da un interessato o dall’autorità in merito al trattamento dei dati personali, le parti si informeranno reciprocamente di tali controversie o reclami e collaboreranno al fine di risolverli in modo amichevole quanto prima possibile.

b)

Le parti concordano di rispondere a qualsiasi procedura di mediazione non vincolante e generalmente accessibile che sia stata avviata da un interessato o dall’autorità. Se decidono di partecipare alla procedura, possono farlo a distanza (ad es. per telefono o attraverso altri mezzi elettronici). Le parti concordano inoltre di valutare la possibilità di partecipare a qualsiasi altro procedimento di arbitrato, mediazione o, comunque, di risoluzione delle controversie messo a punto in materia di protezione dei dati.

c)

Ciascuna delle parti si impegna ad accettare qualsiasi decisione dei tribunali competenti o dell’autorità del paese di stabilimento dell’esportatore di dati le cui decisioni siano definitive e contro le quali non sia possibile alcun ulteriore appello.

VI.   Risoluzione delle clausole

a)

Nel caso in cui l’importatore di dati violi gli obblighi ai quali è tenuto in virtù delle presenti clausole, l’esportatore di dati potrà sospendere temporaneamente il trasferimento dei dati personali all’importatore di dati sino a che non venga posto rimedio alla violazione o si concluda il contratto.

b)

Nel caso in cui:

i)

il trasferimento di dati personali all’importatore di dati sia stato sospeso temporaneamente dall’esportatore di dati per più di un mese in base a quanto previsto dalla lettera a);

ii)

il rispetto delle presenti clausole da parte dell’importatore di dati abbia come conseguenza la violazione dei suoi obblighi legali o regolamentari nel paese di importazione;

iii)

l’importatore di dati violi in modo sostanziale o persistente una qualche garanzia prevista o un qualche impegno assunto in virtù delle presenti clausole;

iv)

una decisione definitiva contro la quale non sia possibile interporre appello dinnanzi a un tribunale competente del paese di stabilimento dell’esportatore di dati o dell’autorità stabilisca che l’importatore o l’esportatore di dati hanno violato le clausole; o

v)

sia stata richiesta l’amministrazione giudiziaria o la liquidazione dell’importatore di dati, sia a titolo personale che in qualità di imprenditore, e tale richiesta non sia stata respinta entro il termine previsto dalla legislazione applicabile; si designi un liquidatore per alcuni dei suoi attivi; si nomini un curatore fallimentare, nel caso in cui l’importatore sia un privato; quest’ultimo abbia richiesto l’avvio di una procedura di concordato; ovvero si trovi in una situazione analoga dinnanzi ad una qualsiasi giurisdizione;

l’esportatore di dati, fatto salvo l’esercizio di qualsiasi altro diritto che possa vantare nei confronti dell’importatore di dati, è autorizzato a risolvere le presenti clausole, nel qual caso informerà l’autorità, se richiesto. Nei casi contemplati ai punti i), ii) o iv), anche l’importatore di dati potrà procedere alla risoluzione.

c)

Ciascuna parte può risolvere le presenti clausole se i) la Commissione dichiara che il paese (o parte del suo territorio) verso il quale si trasferiscono i dati e nel quale essi sono trattati dall’importatore di dati garantisce un livello di protezione adeguato in conformità con il paragrafo 6 dell’articolo 25 della direttiva 95/46/CE (o qualsiasi testo che la sostituisca), ovvero ii) la direttiva 95/46/CE (o qualsiasi testo che la sostituisca) divenga direttamente applicabile in tale paese.

d)

Le parti concordano che la risoluzione delle presenti clausole in qualsiasi momento, in qualsiasi circostanza e per qualsiasi motivo – ad eccezione della risoluzione in virtù della lettera c) della clausola VI) – non le esime dal rispetto degli obblighi e delle condizioni stabilite nelle presenti clausole per quanto riguarda il trattamento dei dati personali trasferiti.

VII.   Modifica delle clausole

Le parti si impegnano a non modificare le presenti clausole se non per aggiornare alcune delle informazioni contenute nell’allegato B, nel qual caso informano l’autorità, dietro sua richiesta. Ciò non impedirà alle parti di aggiungere clausole commerciali aggiuntive ove lo ritengano opportuno.

VIII.   Descrizione del trasferimento

I particolari del trasferimento e dei dati personali sono specificati all’allegato B. Le parti concordano che l’allegato B può contenere informazioni commerciali confidenziali che esse non riveleranno a terzi, a meno che non lo esiga la legislazione, ovvero in risposta a un ente regolatore o governativo competente, o quando ciò sia necessario in virtù della lettera e) della clausola I. Le parti potranno introdurre allegati aggiuntivi per regolare trasferimenti aggiuntivi, i quali saranno presentati all’autorità dietro sua richiesta. Come alternativa, la redazione dell’allegato B potrà essere effettuata in forma tale da coprire trasferimenti multipli.

Data: _

_

_

PER L’IMPORTATORE DI DATI

PER L’ESPORTATORE DI DATI

ALLEGATO A

PRINCIPI RELATIVI AL TRATTAMENTO DEI DATI

1.

Limitazione dei trasferimenti a una finalità specifica: I dati personali possono essere trattati e successivamente utilizzati o ulteriormente comunicati solo per i fini descritti all’allegato B o autorizzati successivamente dall’interessato.

2.

Qualità e proporzionalità dei dati: I dati personali devono essere accurati e, ove necessario, aggiornati. I dati personali devono essere adeguati, pertinenti e non eccedenti in rapporto agli scopi per i quali sono trasferiti e successivamente trattati.

3.

Trasparenza: Devono essere fornite agli interessati tutte le informazioni necessarie a garantire il trattamento leale dei dati (così come le informazioni sulla finalità del trattamento e sul possibile trasferimento), a meno che tali informazioni non siano già state fornite dall’esportatore di dati.

4.

Sicurezza e confidenzialità: il responsabile del trattamento deve adottare misure tecniche e organizzative volte a garantire il livello di sicurezza adeguato ai rischi che comporta il trattamento dei dati, ad esempio contro la distruzione accidentale o illecita o la perdita accidentale, alterazione, divulgazione o accesso non autorizzati. Le persone che operano sotto l’autorità del responsabile del trattamento, compreso l’incaricato del trattamento, non devono trattare i dati a meno che non ricevano istruzioni del responsabile.

5.

Diritti di accesso, rettifica, cancellazione e opposizione: Secondo quanto prevede l’articolo 12 della direttiva 95/46/CE, gli interessati hanno il diritto di conoscere, sia direttamente che attraverso un terzo, i dati personali che su di loro possiede un’organizzazione, ad eccezione delle richieste che configurino chiaramente un abuso di tale diritto, o per il fatto di essere state poste ad intervalli irragionevoli, o a causa del loro numero, o perché hanno natura ripetitiva o sistematica, o ad eccezione dei casi nei quali non è necessario concedere l’accesso all’interessato secondo la legislazione del paese dell’esportatore di dati. A condizione che l’autorità abbia dato la sua previa approvazione, l’accesso può inoltre non essere concesso quando il farlo avrebbe il probabile effetto di danneggiare gravemente gli interessi dell’importatore di dati o di altre organizzazioni che hanno rapporti con l'importatore di dati, e quando tali interessi prevalgono sugli interessi in materia di diritti e di libertà fondamentali dell’interessato. Non sarà necessario determinare l’origine dei dati personali quando ciò non sia possibile mediante sforzi ragionevoli, o se ciò comporterebbe la violazione dei diritti di persone diverse dall’interessato. L’interessato avrà il diritto di far rettificare, modificare o cancellare i dati personali quando essi non siano accurati o il loro trattamento non rispetti i principi stabiliti nel presente allegato. Se vi sono seri motivi di dubitare della legittimità della richiesta, l’organizzazione può richiedere ulteriori giustificazioni prima di procedere alla rettifica, alla modifica o alla cancellazione dei dati. Non sarà necessario notificare la rettifica, la modifica o la cancellazione dei dati ai terzi ai quali essi siano stati rivelati quando ciò richieda uno sforzo sproporzionato. Gli interessati devono inoltre potersi opporre al trattamento dei dati personali che li riguardano quando esistano motivi seri e legittimi relativi alla loro particolare situazione. L’onere della prova per qualunque rifiuto ricade sull’importatore di dati. L’interessato potrà ricorrere contro un rifiuto dinnanzi all’autorità.

6.

Dati sensibili: L’importatore di dati adotta le misure aggiuntive (ad esempio in materia di sicurezza) che risultino necessarie a proteggere i dati sensibili in conformità con gli obblighi ai quali è tenuto in virtù della clausola II.

7.

Dati utilizzati a fini di marketing: Quando il trattamento dei dati sia realizzato a fini di marketing diretto, dovranno esistere procedimenti efficaci tali da consentire all’interessato di opporsi in qualsiasi momento a che i suoi dati personali siano utilizzati per gli scopi suddetti.

8.

Decisioni automatizzate: Agli effetti del presente allegato, per «decisione automatizzata» si intende una decisione dell’esportatore o dell’importatore di dati che abbia effetti giuridici sull’interessato o che lo interessi in modo significativo e che si basi unicamente su un trattamento automatizzato di dati personali destinato a valutare determinati aspetti della sua personalità, come il suo rendimento lavorativo, la sua solvibilità, l’affidabilità, la condotta, ecc. L’importatore di dati non adotta nessuna decisione automatizzata relativa agli interessati, eccettuati i casi in cui:

a.

i)

tali decisioni siano state adottate dall’importatore di dati al momento di stipulare o eseguire un contratto con l’interessato, e

ii)

si offra all’interessato l’opportunità di discutere i risultati di una decisione automatizzata che lo riguarda con un rappresentante della parte che abbia adottato la decisione ovvero la possibilità di presentare osservazioni a questa parte;

o

b.

la legislazione applicabile all’esportatore di dati stabilisca altrimenti.

ALLEGATO B

DESCRIZIONE DEL TRASFERIMENTO

(Dovrà essere riempito dalle parti)

Image

CLAUSOLE COMMERCIALI ILLUSTRATIVE (OPZIONALI)

Risarcimento tra l’esportatore e l’importatore di dati:

“Ciascuna delle parti risarcisce e manleva l’altra per qualunque costo, onere, danno, spesa o perdita causati all’altra parte in seguito alla violazione di una qualsiasi delle disposizioni delle presenti clausole. L’indennizzo dipenderà dai seguenti elementi: a) la parte o le parti che devono ricevere l’indennizzo (la ‘parte indennizzata’) notifica immediatamente il reclamo all’altra parte/alle altre parti; b) la parte/le parti che deve/devono provvedere all’indennizzo abbia/abbiano il controllo esclusivo della difesa e della risoluzione di una controversia di questo tipo; e c) la parte indennizzata cooperi ed assista in misura ragionevole la parte indennizzatrice nella difesa del reclamo.”

Soluzione delle controversie tra l’esportatore e l’importatore di dati (le parti potranno convenire di sostituire questa clausola con qualsiasi altra clausola di giurisdizione o di soluzione alternativa di conflitti):

“Qualunque controversia tra l’importatore e l’esportatore di dati in rapporto con una supposta violazione di una qualsiasi delle disposizioni delle presenti clausole sarà risolta in via definitiva con riferimento alle norme di arbitrato della Camera di commercio internazionale, da uno o più arbitri designati in conformità con tali norme. La sede dell’arbitrato sarà [ ]. Il numero di arbitri sarà di [ ].”

Attribuzione dei costi:

“Ciascuna parte osserverà gli obblighi ai quali è tenuta in virtù delle presenti clausole a proprie spese.”

Clausola aggiuntiva di risoluzione

“In caso di risoluzione delle presenti clausole, l’importatore di dati deve, a discrezione dell’esportatore, restituire immediatamente tutti i dati personali soggetti alle presenti clausole e le copie in suo possesso, ovvero distruggerli completamente e certificare tale circostanza all’esportatore, a meno che la legislazione nazionale o la regolamentazione locale applicabile all’importatore gli impedisca la restituzione o la distruzione totale o parziale di tali dati, nel qual caso l’importatore si impegna a mantenere il segreto sui dati personali e a non sottoporli a ulteriore trattamento per qualsivoglia finalità. L’importatore di dati accetta, su richiesta dell’esportatore di dati, di mettere a disposizione di quest’ultimo o di un ispettore da questi designato e al quale l’importatore di dati non opponga ragionevoli obiezioni, i suoi impianti di trattamento per verificare che ciò sia stato fatto, con ragionevole preavviso e durante l’orario di lavoro.”.

».

(1)  Per “disposizioni pertinenti” si intendono le disposizioni di un’autorizzazione o decisione che non siano esecutive (le quali sono disciplinate dalle presenti clausole).

(2)  Nel caso in cui, tuttavia, si scelga questa opzione, dovranno applicarsi le disposizioni del punto 5 dell’allegato A, relativo ai diritti di accesso, rettifica, cancellazione e obiezione, che prevarranno su qualsiasi disposizione comparabile della decisione della Commissione in questione.