32001D0497

2001/497/CE: Decisione della Commissione, del 15 giugno 2001, relativa alle clausole contrattuali tipo per il trasferimento di dati a carattere personale verso paesi terzi a norma della direttiva 95/46/CE (Testo rilevante ai fini del SEE) [notificata con il numero C(2001) 1539]

Gazzetta ufficiale n. L 181 del 04/07/2001 pag. 0019 - 0031


Decisione della Commissione

del 15 giugno 2001

relativa alle clausole contrattuali tipo per il trasferimento di dati a carattere personale verso paesi terzi a norma della direttiva 95/46/CE

[notificata con il numero C(2001) 1539]

(Testo rilevante ai fini del SEE)

(2001/497/CE)

LA COMMISSIONE DELLE COMUNITÀ EUROPEE,

visto il trattato che istituisce la Comunità europea,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati(1), in particolare l'articolo 26, paragrafo 4,

considerando quanto segue:

(1) A norma della direttiva 95/46/CE, gli Stati membri devono assicurarsi che un trasferimento di dati a carattere personale verso un paese terzo possa avere luogo soltanto se il paese terzo in questione garantisce un livello adeguato di protezione dei dati e se la legislazione degli Stati membri attuativa delle altre disposizioni della direttiva viene rispettata prima del trasferimento.

(2) L'articolo 26, paragrafo 2, della direttiva 95/46/CE prevede tuttavia che gli Stati membri possano autorizzare, nel rispetto di determinate garanzie, un trasferimento o una serie di trasferimenti di dati personali verso paesi terzi che non assicurino un livello adeguato di protezione dei dati. Dette garanzie possono in particolare essere fornite dalla previsione di appropriate clausole contrattuali.

(3) A norma della direttiva 95/46/CE, il livello di protezione dei dati deve essere valutato alla luce di tutte le circostanze relative all'operazione o serie di operazioni di trasferimento di dati. Il gruppo di lavoro sulla protezione degli individui per quanto riguarda il trattamento dei dati personali costituito ai sensi della direttiva(2) ha elaborato una serie di linee direttrici per l'effettuazione di questa valutazione(3).

(4) L'articolo 26, paragrafo 2, della direttiva 95/46/CE, che consente una certa flessibilità nei riguardi di organizzazioni che debbano trasferire dati personali in paesi terzi, nonché l'articolo 26, paragrafo 4, che prevede clausole contrattuali tipo, costituiscono elementi essenziali per il mantenimento del necessario flusso di dati personali fra la Comunità europea e i paesi terzi, senza creare inutili oneri per gli operatori economici. Tali disposizioni rivestono particolare importanza in quanto è probabile che la Commissione, a breve o anche a medio termine, constati l'adeguatezza del livello di protezione ai sensi dell'articolo 25, paragrafo 6, soltanto per un numero limitato di paesi.

(5) Le clausole contrattuali tipo costituiscono soltanto una delle possibilità previste dalla direttiva 95/46/CE per la liceità dei trasferimenti di dati personali in paesi terzi, oltre a quanto previsto agli articoli 25 e 26, paragrafi 1 e 2. Sarà più agevole per le organizzazioni trasferire i dati in paesi terzi incorporando tali clausole nei contratti. Le clausole contrattuali tipo riguardano soltanto la protezione dei dati. Gli esportatori e importatori dei dati sono liberi di inserire altre clausole a carattere commerciale ritenute pertinenti ai fini del contratto, ad esempio in materia di assistenza reciproca in caso di controversie con le persone interessate dai dati o con un'autorità di controllo, purché esse non siano incompatibili con le clausole tipo.

(6) La presente decisione deve applicarsi fatte salve le eventuali autorizzazioni concesse dagli Stati membri ai sensi delle disposizioni nazionali di attuazione dell'articolo 26, paragrafo 2. La presente decisione ha esclusivamente l'effetto di vietare che gli Stati membri rifiutino di riconoscere come adeguate garanzie le clausole contrattuali in essa contenute, e non produce alcun effetto su clausole contrattuali diverse.

(7) La presente decisione si limita a prevedere che le clausole di cui all'allegato possono essere utilizzate da un responsabile del trattamento con sede nella Comunità europea come garanzie sufficienti ai sensi dell'articolo 26, paragrafo 2, della direttiva 95/46/CE. Il trasferimento di dati personali in paesi terzi costituisce un'operazione di trattamento in uno Stato membro la cui legittimità è soggetta alla legislazione nazionale. Le autorità di controllo in materia di protezione dei dati degli Stati membri, nell'esercizio di funzioni e poteri loro attribuiti ai sensi dell'articolo 28 della direttiva 95/46/CE, restano competenti per determinare se l'esportatore dei dati ha rispettato la legislazione nazionale che recepisce le disposizioni della direttiva 95/46/CE, ed in particolare eventuali norme specifiche per quanto riguarda l'obbligo di fornire informazioni a norma della direttiva.

(8) L'ambito di applicazione della presente decisione non si estende al trasferimento di dati personali, operato da responsabili del trattamento aventi sede nella Comunità a destinatari aventi sede al di fuori della Comunità, che costituiscano meri incaricati di trattamenti tecnici. Detti trasferimenti non richiedono le stesse garanzie in quanto l'incaricato del trattamento agisce esclusivamente per conto del responsabile del trattamento. La Commissione intende provvedere in ordine a questo genere di trattamenti con una successiva decisione.

(9) È opportuno stabilire le informazioni minime che le parti devono specificare nel contratto relativo al trasferimento. Gli Stati membri devono mantenere il potere di specificare le informazioni che le parti sono tenute a fornire. L"applicazione della presente decisione sarà rivista alla luce dell'esperienza acquisita.

(10) La Commissione potrà inoltre considerare in futuro se altre clausole tipo presentate da organizzazioni commerciali o altre parti interessate offrano garanzie adeguate ai sensi della direttiva 95/46/CE.

(11) Le parti devono essere libere di convenire le prescrizioni alle quali deve conformarsi l'importatore dei dati ai fini dell'effettiva protezione degli stessi, ma determinati principi di protezione devono essere applicati in qualunque circostanza.

(12) I dati devono essere trattati e successivamente utilizzati o comunicati ulteriormente soltanto per scopi determinati e non devono essere trattenuti che per il tempo strettamente necessario.

(13) Ai sensi dell'articolo 12 della direttiva 95/46/CE le persone interessate dai dati devono avere accesso a tutti i dati che le riguardano e se del caso diritto di rettifica, di cancellazione o di congelamento di determinati dati.

(14) L'ulteriore trasferimento di dati personali ad altro responsabile del trattamento, avente sede in un paese terzo, deve essere consentito soltanto subordinatamente al rispetto di determinate condizioni, tendenti in particolare a garantire che le persone interessate dai dati siano adeguatamente informate ed abbiano la possibilità di formulare osservazioni e, in casi determinati, di negare il proprio consenso al trasferimento.

(15) Oltre a verificare se i trasferimenti in paesi terzi sono conformi alla legislazione nazionale, le autorità di controllo devono inoltre svolgere un ruolo fondamentale nel meccanismo contrattuale, al fine di garantire che i dati personali siano adeguatamente protetti dopo il trasferimento. In determinate fattispecie le autorità degli Stati membri devono avere la possibilità di proibire o sospendere un trasferimento o serie di trasferimenti di dati basati sulle clausole contrattuali tipo, in relazione a casi eccezionali in cui si accerti che un trasferimento su base contrattuale avrebbe la probabile conseguenza di recare sostanziale pregiudizio alle garanzie di adeguata tutela delle persone interessate dai dati.

(16) Deve potersi esigere l'esecuzione delle clausole contrattuali tipo non soltanto su istanza delle parti che stipulano il contratto, ma anche delle persone interessate dai dati, in particolare qualora le stesse subiscano pregiudizio in conseguenza di violazioni del contratto.

(17) Il contratto deve essere retto dalla legge dello Stato membro in cui ha sede l'esportatore dei dati, che abiliti il terzo beneficiario di un contratto a ottenerne l'esecuzione. Le persone interessate dai dati devono poter essere rappresentate da associazioni o altre organizzazioni se lo desiderano e se ciò è autorizzato dalla legislazione nazionale.

(18) Per ridurre le difficoltà pratiche che le persone interessate dai dati potrebbero incontrare all'atto dell'esercizio dei loro diritti in base alle clausole contrattuali tipo, l'esportatore e l'importatore dei dati devono essere tenuti responsabili separatamente e in solido per danni derivanti da qualsiasi violazione di disposizioni soggette alla clausola del terzo beneficiario.

(19) Le persone interessate dai dati hanno diritto di azione nonché diritto al risarcimento del danno a carico dell'esportatore e dell'importatore dei dati stessi, o di entrambi, per i danni derivanti da qualsiasi atto incompatibile con gli obblighi di cui alle clausole contrattuali tipo. Entrambe le parti possono essere esonerate da tale responsabilità se dimostrano di non essere responsabili del danno.

(20) La responsabilità separatamente e in solido non si estende alle disposizioni escluse dalla clausola del terzo beneficiario, e non espone necessariamente una delle parti a responsabilità per illecito trattamento ad opera dell'altra. Benché tale reciproco indennizzo fra le parti non costituisca un requisito per l'adeguatezza della tutela delle persone interessate dai dati e le parti possano quindi eliminarlo dal contratto, esso deve essere incluso nelle clausole contrattuali tipo a fini di chiarezza e per evitare che le parti siano obbligate a concordare di volta in volta le clausole in materia di indennizzo.

(21) Qualora una disputa fra le parti e le persone interessate dai dati non possa essere risolta amichevolmente e le persone interessate invochino la clausola del terzo beneficiario, le parti convengono di riconoscere alle persone interessate dai dati la possibilità di scegliere fra la mediazione, l'arbitrato e l'azione in giudizio. La misura in cui le persone interessate dai dati potranno effettivamente esercitare tale scelta dipenderà dalla disponibilità di sistemi attendibili e riconosciuti di mediazione e di arbitrato. La mediazione ad opera delle autorità di controllo degli Stati membri deve costituire un'alternativa nel caso in cui esse la forniscano.

(22) Il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito in virtù dell'articolo 29 della direttiva 95/46/CE, ha emesso un parere sul livello di protezione raggiunto in base alle clausole contrattuali tipo allegate alla presente decisione che è stato preso in considerazione per la stesura della stessa(4).

(23) Le disposizioni di cui alla presente decisione sono conformi al parere del comitato istituito in virtù dell'articolo 31 della direttiva 95/46/CE,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Le clausole contrattuali tipo di cui all'allegato della presente decisione costituiscono garanzie sufficienti ai fini della tutela della riservatezza, dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi a norma dell'articolo 26, paragrafo 2, della direttiva 95/46/CE.

Articolo 2

La presente decisione concerne esclusivamente l'adeguatezza della tutela assicurata dalle clausole contrattuali tipo per il trasferimento di dati personali di cui all'allegato. Essa si applica fatte salve le disposizioni nazionali di attuazione di altre disposizioni della direttiva 95/46/CE relative al trattamento dei dati personali negli Stati membri.

La presente decisione non si applica al trasferimento di dati personali operato da responsabili del trattamento, aventi sede nella Comunità, a destinatari aventi sede al di fuori della Comunità, che costituiscano meri incaricati di trattamenti tecnici.

Articolo 3

Ai fini della presente decisione:

a) si applicano le definizioni della direttiva 95/46/CE;

b) per "categorie particolari di dati" si intendono i dati di cui all'articolo 8 di detta direttiva;

c) per "autorità di controllo" si intende l'autorità di cui all'articolo 28 di detta direttiva;

d) per "esportatore di dati" si intende il responsabile del trattamento che trasferisce dati personali;

e) per "importatore di dati" si intende il responsabile del trattamento che conviene di ricevere dati personali dall'esportatore di dati, a fini di ulteriore trattamento ai sensi della presente decisione.

Articolo 4

1. Fatta salva la possibilità delle competenti autorità degli Stati membri di adottare provvedimenti, al fine di garantire il rispetto delle disposizioni nazionali di attuazione delle disposizioni di cui ai capi II, III, V e VI, della direttiva 95/46/CE, dette autorità possono avvalersi dei poteri loro attribuiti per proibire o sospendere flussi di dati verso paesi terzi, a fini di tutela delle persone per quanto riguarda il trattamento dei rispettivi dati personali, qualora:

a) sia accertato che la legislazione cui è sottoposto l'importatore dei dati lo obbliga a deroghe dai pertinenti principi di protezione dei dati che eccedano quelle ritenute necessarie in una società democratica ai sensi dell'articolo 13 della direttiva 95/46/CE, e che tali deroghe siano probabilmente destinate a recare sostanziale pregiudizio alle garanzie di cui alle clausole contrattuali tipo; oppure

b) un'autorità competente abbia accertato che l'importatore dei dati non ha rispettato le clausole contrattuali; oppure

c) sia sostanzialmente probabile che le clausole contrattuali tipo di cui all'allegato non siano o non saranno rispettate, e che la prosecuzione del trasferimento comporterebbe un rischio imminente di grave pregiudizio alle persone interessate dai dati.

2. Il divieto o la sospensione cessano non appena vengono meno le ragioni che li hanno imposti.

3. Quando uno Stato membro prende provvedimenti di cui ai paragrafi 1 e 2 ne informa la Commissione, che trasmette le informazioni agli altri Stati membri.

Articolo 5

La Commissione valuta il funzionamento della presente decisione sulla base delle informazioni disponibili tre anni dopo la notifica della stessa agli Stati membri, e riferisce in merito alle eventuali risultanze al comitato istituito ai sensi dell'articolo 31 della direttiva 95/46/CE, ivi compreso qualsiasi elemento suscettibile di interessare la valutazione di cui all'articolo 1 della presente decisione nonché qualsiasi elemento tale da indicare che la presente decisione viene applicata in maniera discriminatoria.

Articolo 6

La presente decisione si applica dal 3 settembre 2001.

Articolo 7

La presente decisione è indirizzata agli Stati membri.

Fatto a Bruxelles, il 15 giugno 2001.

Per la Commissione

Frederik Bolkestein

Membro della Commissione

(1) GU L 281 del 23.11.1995, pag. 31.

(2) Indirizzo Internet del gruppo di lavoro:

http://www.europa.eu. int/comm/internal_market/en/media/dataprot/wpdocs/index.htm

(3) WP 4 (5020/97): "Primi orientamenti sui trasferimenti di dati personali verso paesi terzi - possibili modalità di verifica dell'adeguatezza", documento di discussione approvato dal gruppo di lavoro il 26 giugno 1997.

WP 7 (5057/97): "Valutazione dell'autoregolamentazione dell'industria: quando reca un contributo significativo al livello di protezione dei dati in un paese terzo?", documento di lavoro: approvato dal gruppo di lavoro il 14 gennaio 1998.

WP 9 (5005/98): "Pareri preliminari sull'impiego delle clausole contrattuali nel contesto dei trasferimenti di dati personali a paesi terzi", documento di lavoro: approvato dal gruppo di lavoro il 22 aprile 1998.

WP12: "Trasferimenti di dati personali a paesi terzi: applicazione degli articoli 25 e 26 della direttiva UE per la protezione dei dati", documento di lavoro: approvato dal gruppo di lavoro il 24 luglio 1998, disponibile sul sito Internet "europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/en" della Commissione europea.

(4) Parere n. 1/2001 adottato dal gruppo di lavoro in data 26.1.2001 (DG MARKT 5102/00 WP 38), disponibile sul sito "Europa" della Commissione europea.

ALLEGATO

>PIC FILE= "L_2001181IT.002402.TIF">

>PIC FILE= "L_2001181IT.002501.TIF">

>PIC FILE= "L_2001181IT.002601.TIF">

>PIC FILE= "L_2001181IT.002701.TIF">

Appendice 1

alle clausole contrattuali tipo

>PIC FILE= "L_2001181IT.002802.TIF">

>PIC FILE= "L_2001181IT.002901.TIF">

Appendice 2

alle clausole contrattuali tipo

Principi obbligatori di protezione di cui alla clausola 5, lettera b), primo capoverso

Questi principi di tutela dei dati devono essere letti ed interpretati alla luce delle disposizioni della direttiva 95/46/CE.

Essi si applicano fatte salve le norme imperative di diritto nazionale, cui sia soggetto l'importatore dei dati, che non eccedano quanto necessario, in una società democratica, per i motivi elencati all'articolo 13, paragrafo 1, della direttiva 95/46/CE, cioè se esse costituiscono misure necessarie alla salvaguardia della sicurezza dello Stato, della difesa, della pubblica sicurezza, della prevenzione, della ricerca, dell'accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate, di un rilevante interesse economico o finanziario dello Stato o della protezione della persona interessata o dei diritti e delle libertà altrui.

1. Limitazione del fine: i dati devono essere elaborati e successivamente utilizzati ovvero ulteriormente comunicati esclusivamente ai fini specificati nell'appendice allegata alle presenti clausole contrattuali tipo. I dati non possono essere detenuti più a lungo di quanto necessario ai fini per cui sono stati trasferiti.

2. Qualità e proporzionalità dei dati: i dati devono essere corretti e, ove necessario, aggiornati. I dati devono essere adeguati, pertinenti e non esuberanti in relazione ai fini per cui vengono trasferiti e ulteriormente trattati.

3. Trasparenza: gli individui interessati dai dati devono essere informati sui fini del trattamento e sull'identità del responsabile dello stesso paese terzo, e su qualsiasi altro aspetto necessario per garantire la correttezza del trattamento, salvo che queste informazioni siano già state fornite dall'esportatore dei dati.

4. Sicurezza e riservatezza: il responsabile del trattamento è tenuto a prendere provvedimenti tecnici ed organizzativi di sicurezza appropriati ai rischi presentati dal trattamento, come accesso non autorizzato. Qualsiasi persona che agisca in virtù dell'autorità del responsabile del trattamento non deve effettuare operazioni di trattamento dei dati se non per disposizione del responsabile del trattamento stesso.

5. Diritti di accesso, rettifica, cancellazione e congelamento dei dati: come previsto dall'articolo 12 della direttiva 95/46/CE, le persone interessate dai dati hanno diritto di accedere a tutti i dati oggetto di trattamento che a loro si riferiscono, nonché il diritto di rettificare, cancellare o bloccare i dati il cui trattamento non sia conforme ai presenti principi, in particolare per il carattere incompleto o inesatto dei dati stessi. Le persone interessate dai dati devono inoltre avere la possibilità di opporsi al trattamento dei dati che a loro si riferiscono per validi e legittimi motivi inerenti alla loro situazione particolare.

6. Restrizioni sui trasferimenti successivi: ulteriori trasferimenti di dati personali dall'importatore dei dati ad altri responsabili del trattamento con sede in un paese terzo che non fornisca protezione adeguata o non sia assoggettato a una decisione della Commissione a norma dell'articolo 25, paragrafo 6, della direttiva 95/46/CE (trasferimenti successivi) possono essere effettuati soltanto:

a) se le persone interessate dai dati abbiano dato il loro esplicito consenso al successivo trasferimento in caso si tratti di speciali categorie di dati, o abbiano avuto la possibilità di negare tale consenso negli altri casi.

Le informazioni minime che devono essere fornite alle persone interessate devono comprendere, in una lingua che gli stessi possano capire:

- gli scopi del successivo trasferimento,

- l'identità dell'esportatore di dati con sede nella Comunità,

- le categorie degli ulteriori destinatari dei dati con indicazione dei paesi di destinazione, e

- l'indicazione che, qualora le persone interessate dai dati approvino il successivo trasferimento, i dati possono essere trattati da un responsabile del trattamento con sede in un paese ove non vi è un livello adeguato di protezione della riservatezza degli individui, oppure

b) se l'esportatore e l'importatore dei dati convengano il rispetto delle clausole contrattuali tipo con un altro responsabile del trattamento, che diviene nuova parte contraente delle clausole stesse e assume gli stessi obblighi dell'importatore dei dati.

7. Speciali categorie di dati: nel caso che il trattamento riguardi dati che possano rivelare l'origine razziale o etnica, ovvero le opinioni politiche, le convinzioni religiose o filosofiche, l'adesione a sindacati, dati relativi allo stato di slaute o alla vita sessuale, nonché dati relativi a reati, condanne penali o provvedimenti di sicurezza, devono essere previste ulteriori salvaguardie ai sensi della direttiva 95/46/CE, ed in particolare idonee misure di sicurezza come trasmissione cifrata o registrazione di ogni accesso ai dati.

8. Marketing diretto: quando i dati vengono trattati a fini di marketing diretto, devono essere previste procedure tali da consentire ai soggetti dei dati di negare in qualsiasi momento il proprio consenso all'utilizzazione a tali fini dei dati che li riguardano.

9. Decisioni individuali automatizzate: le persone interessate dai dati hanno il diritto di non essere assoggettati a decisioni basate unicamente sul trattamento automatizzato di dati, a meno che non vengano presi altri provvedimenti per salvaguardare i loro legittimi interessi ai sensi dell'articolo 15 della direttiva 95/46/CE. Qualora l'obiettivo del trasferimento sia una decisione automatizzata ai sensi del citato articolo 15 la persona interessata deve avere il diritto di concoscere le motivazioni su cui si basa detta decisione.

Appendice 3

alle clausole contrattuali tipo

Principi obbligatori di protezione di cui alla clausola 5, lettera b), secondo capoverso

1. Limitazione del fine: i dati devono essere elaborati e successivamente utilizzati ovvero ulteriormente comunicati esclusivamente ai fini specificati nell'appendice allegata alle presente clausole contrattuali tipo. I dati non possono essere detenuti più a lungo di quanto necessario ai fini per cui sono stati trasferiti.

2. Diritti di accesso, rettifica, cancellazione e congelamento dei dati: come previsto dall'articolo 12 della direttiva 95/46/CE, le persone interessae dai dati hanno diritto di accedere a tutti i dati oggetto di trattamento che a loro si riferiscono, nonché il diritto di rettificare, cancellare o bloccare i dati il cui trattamento non sia conforme ai presenti principi, in particolare per il carattere incompleto o inesatto dei dati stessi. Le persone interessate dai dati devono inoltre avere la possibilità di opporsi al trattamento dei dati che a loro si riferiscono per validi e legittimi motivi inerenti alla loro situazione particolare.

3. Restrizioni sui trasferimenti successivi: ulteriori trasferimenti di dati personali dall'importatore dei dati ad altri responsabili del trattamento con sede in un paese terzo che non fornisca protezione adeguata o non sia assoggettato a una decisione della Commissione a norma dell'articolo 25, paragrafo 6, della direttiva 95/46/CE (trasferimenti successivi) possono essere effettuati soltanto:

a) se le persone interessate dai dati abbiano dato il loro esplicito consenso al successivo trasferimento in caso si tratti di speciali categorie di dati, o abbiano avuto la possibilità di negare tale consenso negli altri casi.

Le informazioni minime che devono essere fornite alle persone interessate devono comprendere, in una lingua che gli stessi possano capire:

- gli scopi del successivo trasferimento,

- l'identità dell'esportatore di dati con sede nella Comunità,

- le categorie degli ulteriori destinatari dei dati con indicazione dei paesi di destinazione, e

- l'indicazione che, qualora le persone interessate dai dati approvino il successivo trasferimento, i dati possono essere trattati da un responsabile del trattamento con sede in un paese ove non vi è un livello adeguato di protezione della riservatezza degli individui, oppure

b) se l'esportatore e l'importatore dei dati convengano il rispetto delle clausoe contrattuali tipo con un altro responsabile del trattamento, che diviene nuova parte contraente delle clausole stesse e assume gli stessi obblighi dell'importatore dei dati.