COMMISSIONE EUROPEA
Bruxelles, 29.4.2016
COM(2016) 237 final
2016/0126(NLE)
Proposta di
DECISIONE DEL CONSIGLIO
relativa alla conclusione, a nome dell’Unione europea, di un accordo tra
gli Stati Uniti d’America e l’Unione europea sulla protezione delle informazioni personali a fini di prevenzione, indagine, accertamento e perseguimento di reati
RELAZIONE
1.CONTESTO DELLA PROPOSTA
•Motivi e obiettivi della proposta
Nel novembre 2006 è stato istituito un gruppo di contatto ad alto livello, composto da funzionari di alto livello della Commissione, della presidenza del Consiglio e dei dipartimenti statunitensi della Giustizia, della Sicurezza interna e dello Stato, incaricato di studiare come permettere all’UE e agli Stati Uniti di collaborare più strettamente e più efficacemente nello scambio di informazioni in materia di contrasto, garantendo nel contempo che sia assicurata la protezione dei dati personali e della vita privata. Nella relazione finale dell’ottobre 2009 1 il gruppo di contatto ad alto livello ha concluso che l’opzione migliore è un accordo internazionale che vincoli l’UE e gli Stati Uniti ad applicare principi comuni concordati in materia di protezione dei dati per i trasferimenti transatlantici di dati nel settore dell’attività di contrasto; tale opzione offrirebbe infatti il vantaggio di stabilire gli elementi fondamentali per un’efficace protezione della vita privata e dei dati personali applicabili a qualsiasi scambio di informazioni in materia di contrasto, e fornirebbe un grado maggiore di certezza del diritto.
Il 3 dicembre 2010 il Consiglio ha adottato una decisione che autorizza la Commissione ad avviare negoziati per un accordo tra l’Unione europea e gli Stati Uniti d’America sulla protezione dei dati personali trasferiti e trattati a fini di prevenzione, indagine, accertamento e perseguimento di reati, compreso il terrorismo, nel quadro della cooperazione di polizia e della cooperazione giudiziaria in materia penale (di seguito denominato “accordo quadro”) 2 .
Il 28 marzo 2011 la Commissione ha avviato i negoziati. L’8 settembre 2015 le parti hanno siglato il testo.
L’accordo quadro istituisce (per la prima volta) un quadro completo di principi e garanzie in materia di protezione dei dati per il trasferimento di informazioni personali 3 a fini di contrasto penale tra gli Stati Uniti, da un lato, e l’Unione europea o i suoi Stati membri, dall’altro. Il duplice obiettivo è garantire un livello elevato di protezione dei dati e rafforzare così la cooperazione tra le parti. Pur non costituendo di per sé la base giuridica del trasferimento delle informazioni personali verso gli Stati Uniti, l’accordo quadro integra, ove necessario, le garanzie di protezione dei dati contemplate negli accordi vigenti o futuri per il trasferimento di dati o nelle disposizioni nazionali che autorizzano tali trasferimenti.
Questo è un miglioramento sostanziale rispetto alla situazione attuale in cui le informazioni personali sono trasferite attraverso l’Atlantico sulla base di strumenti giuridici (accordi internazionali o legislazione nazionale) che in generale non contengono disposizioni sulla protezione dei dati o solo disposizioni deboli.
• Coerenza con le disposizioni vigenti nel settore normativo interessato
L’accordo quadro rafforzerà le tutele offerte a tutti i dati personali degli interessati dell’UE scambiati con gli Stati Uniti a fini di contrasto penale. Istituendo un quadro completo di garanzie concernenti la protezione dei dati, l’accordo integrerà gli accordi vigenti (sia quelli bilaterali tra gli Stati membri e gli Stati Uniti sia quelli tra l’UE e gli Stati Uniti) sulla cui base i dati personali sono trasmessi agli Stati Uniti a fini di contrasto, se e nella misura in cui tali accordi non prevedono il livello richiesto di tutele e garanzie.
Inoltre, in relazione ai futuri accordi UE/Stati membri-Stati Uniti, l’accordo fungerà da “rete di sicurezza” al di sotto della quale il livello di protezione non potrà scendere. Si tratta di una garanzia importante per il futuro e di un grande passo avanti rispetto alla situazione attuale in cui le garanzie, le tutele e i diritti devono essere rinegoziati ex novo per ogni nuovo singolo accordo.
Nel complesso, l’accordo quadro apporterà un notevole valore aggiunto in termini di innalzamento del livello di protezione degli interessati dell’UE, in linea con i requisiti prescritti dal diritto primario e derivato dell’Unione. Per la prima volta, si avrà uno strumento di protezione dei dati applicabile in modo completo e coerente a tutti i trasferimenti di dati in un determinato settore (ossia agli scambi transatlantici di dati nel settore della cooperazione di polizia e della cooperazione giudiziaria in materia penale). Inoltre, l’accordo quadro confermerà nel contesto transatlantico i requisiti generali sui trasferimenti internazionali di dati previsti dalla futura direttiva del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati (di seguito denominata “direttiva sulla protezione dei dati nell’ambito della cooperazione giudiziaria e di polizia”) 4 , adottata il 14 aprile 2016. Da queste considerazioni risulta quindi che l’accordo quadro costituirà anche un importante precedente per eventuali accordi analoghi con altri partner internazionali.
•Coerenza con le altre normative dell’Unione
Si prevede che l’accordo quadro avrà un impatto significativo sulla cooperazione di polizia e sulla cooperazione nell’attività di contrasto con gli Stati Uniti. Istituendo un quadro comune e completo di norme e garanzie di protezione dei dati, permetterà all’UE o ai suoi Stati membri, da un lato, e alle autorità di contrasto penale degli Stati Uniti, dall’altro, di cooperare più efficacemente. Inoltre, assicurerà che gli accordi vigenti contengano tutte le tutele necessarie. Consentirà così una continuità nella cooperazione nell’attività di contrasto garantendo nel contempo una maggiore certezza del diritto per i trasferimenti. Oltre a ciò, faciliterà la conclusione con gli Stati Uniti di futuri accordi per il trasferimento di dati nel settore dell’attività di contrasto penale, in quanto le garanzie di protezione dei dati saranno già concordate e non dovranno essere rinegoziate di volta in volta. Infine, l’introduzione di norme comuni in questo settore di cooperazione, essenziale ma complesso, è un risultato importante che può contribuire in modo significativo a ripristinare la fiducia nei trasferimenti transatlantici di dati.
2.BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ
•Base giuridica
La base giuridica della presente proposta è l’articolo 16 del TFUE, in combinato disposto con l’articolo 218, paragrafo 6, lettera a), del TFUE.
•Sussidiarietà
L’accordo quadro rientra nella competenza esclusiva dell’Unione europea ai sensi dell’articolo 3, paragrafo 2, del TFUE. Il principio di sussidiarietà non è pertanto applicabile.
•Proporzionalità
L’accordo quadro fissa le garanzie di protezione dei dati imposte dalle direttive di negoziato del Consiglio. Tali garanzie sono considerate essenziali per assicurare il livello di protezione richiesto per i trasferimenti di dati personali verso paesi terzi sia dalla Carta dei diritti fondamentali sia dall’acquis in evoluzione dell’UE. Un catalogo di garanzie sostanzialmente più esiguo o uno strumento meno vincolante non potrebbero essere considerati sufficienti per fornire detto livello di protezione. Pertanto, la proposta non va oltre quanto necessario per raggiungere l’obiettivo politico di istituire un quadro per la protezione dei dati personali trasferiti tra gli Stati Uniti, da un lato, e l’Unione europea o i suoi Stati membri, dall’altro, nel contesto dell’attività di contrasto.
•Scelta dell’atto giuridico
L’istituzione di un quadro vincolante per la protezione dei dati personali, che integrerà gli accordi vigenti e costituirà una base di riferimento per gli accordi futuri, può essere garantita solo attraverso un accordo internazionale concluso tra l’Unione europea e gli Stati Uniti.
Inoltre, come sottolineato dal gruppo di contatto ad alto livello nella relazione dell’ottobre 2009, un accordo internazionale fornisce un grado maggiore di certezza del diritto.
3.RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D’IMPATTO
•Valutazioni ex post / Vaglio di adeguatezza della legislazione vigente
Non applicabile.
•Consultazioni dei portatori di interessi
La Commissione ha riferito regolarmente, sia per iscritto sia oralmente, al comitato speciale designato del Consiglio sui progressi dei negoziati. Il Parlamento europeo è stato informato regolarmente, attraverso la sua commissione per le libertà civili, la giustizia e gli affari interni (LIBE), sia per iscritto sia oralmente.
•Assunzione e uso di perizie
L’iniziativa attua le direttive di negoziato del Consiglio del 3 dicembre 2010.
•Valutazione d’impatto
Non è stata necessaria alcuna valutazione dell’impatto. L’accordo proposto è in linea con le direttive di negoziato del Consiglio.
•Efficienza normativa e semplificazione
Non applicabile.
•Diritti fondamentali
Le disposizioni dell’accordo quadro mirano alla tutela del diritto fondamentale alla protezione dei dati di carattere personale e del diritto a un ricorso effettivo e a un giudice imparziale, sanciti, rispettivamente, dall’articolo 8 e dall’articolo 47 della Carta dei diritti fondamentali dell’Unione europea.
4.INCIDENZA SUL BILANCIO
L’accordo proposto non presenta alcuna incidenza sul bilancio.
5.ALTRI ELEMENTI
•Piani attuativi e modalità di monitoraggio, valutazione e informazione
Sarà necessaria l’attuazione da parte degli Stati membri, ma non dovrebbero essere necessarie modifiche sostanziali della normativa, in quanto le disposizioni sostanziali dell’accordo quadro rispecchiano in gran parte le norme che sono già applicabili alle autorità dell’UE e nazionali ai sensi del diritto dell’UE e/o nazionale.
•Illustrazione dettagliata delle singole disposizioni della proposta
Conformemente alle direttive di negoziato, l’accordo quadro comprende cinque categorie di disposizioni: i) disposizioni orizzontali; ii) principi e garanzie in materia di protezione dei dati; iii) diritti delle persone fisiche; iv) aspetti relativi all’applicazione dell’accordo e alla supervisione; v) disposizioni finali.
i) Disposizioni orizzontali
i) Scopo dell’accordo (articolo 1)
Per conseguire il suo scopo (ossia garantire un livello elevato di protezione delle informazioni personali e rafforzare la cooperazione nel settore dell’attività di contrasto), l’accordo quadro stabilisce un quadro per la protezione delle informazioni personali trasferite tra gli Stati Uniti, da un lato, e l’Unione europea o i suoi Stati membri, dall’altro, a fini di prevenzione, indagine, accertamento e perseguimento di reati, compreso il terrorismo. Il riferimento alle nozioni di “prevenzione, accertamento, indagine e perseguimento di reati” (di seguito collettivamente denominate “[attività di] contrasto”) garantisce la compatibilità dell’accordo con l’architettura dell’acquis attuale e futuro dell’UE in materia di protezione dei dati (in particolare la linea di demarcazione tra il regolamento concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (“regolamento generale sulla protezione dei dati”) 5 e la “direttiva sulla protezione dei dati nell’ambito della cooperazione giudiziaria e di polizia” per quanto riguarda il rispettivo campo di applicazione).
L’articolo 1 precisa che l’accordo quadro di per sé non costituisce la base giuridica per il trasferimento delle informazioni personali e che è sempre necessaria una base giuridica (distinta), e in tal modo chiarisce che l’accordo quadro è un vero e proprio accordo sui diritti fondamentali che istituisce una serie di tutele e garanzie applicabili a tali trasferimenti.
ii) Definizioni (articolo 2)
L’articolo 2 definisce le espressioni fondamentali dell’accordo quadro. Le definizioni di “informazioni personali”, “trattamento delle informazioni personali”, “parti”, “Stato membro” e “autorità competente” sono sostanzialmente in linea con le definizioni di tali concetti figuranti in altri accordi UE-Stati Uniti e/o nell’acquis dell’UE sulla protezione dei dati.
iii) Campo di applicazione dell’accordo (articolo 3)
L’articolo 3 dell’accordo quadro definisce il campo di applicazione dell’accordo. Garantirà che le tutele e le garanzie previste dall’accordo quadro si applichino a tutti gli scambi di dati effettuati nell’ambito della cooperazione transatlantica nell’attività di contrasto in materia penale. Sono quindi ricompresi i trasferimenti effettuati sulla base di legislazioni nazionali, accordi UE-Stati Uniti (ad esempio il trattato UE-USA di mutua assistenza giudiziaria), accordi tra Stati membri e Stati Uniti (ad esempio trattati di mutua assistenza giudiziaria, accordi per il rafforzamento della cooperazione nella prevenzione e lotta delle forme gravi di criminalità e accordi o intese sulle informazioni relative ai terroristi) e accordi specifici per il trasferimento di dati personali da parte di entità private a fini di contrasto (ad esempio accordo UE-USA sulle registrazioni dei nominativi dei passeggeri 6 (“accordo PNR”) e accordo UE-USA sul programma di controllo delle transazioni finanziarie dei terroristi 7 (“accordo TFTP”)). Il campo di applicazione è formulato “in base al trasferimento dei dati”, ossia in linea di principio ricomprende tutti i trasferimenti di dati effettuati a fini di contrasto penale tra l’UE e gli USA, indipendentemente dalla cittadinanza o dal luogo di residenza dell’interessato.
L’accordo quadro non si applicherà ai trasferimenti di dati personali (o ad altre forme di cooperazione) tra le autorità degli Stati Uniti e degli Stati membri responsabili per la salvaguardia della sicurezza nazionale.
iv) Non discriminazione (articolo 4)
L’articolo 4 prevede che ciascuna parte attuerà l’accordo quadro senza alcuna discriminazione arbitraria o ingiustificata tra i propri cittadini e quelli dell’altra parte.
Questo articolo integra e rafforza le altre disposizioni dell’accordo (in particolare gli articoli che riconoscono garanzie alle persone fisiche, quali l’accesso, la rettifica e il ricorso amministrativo, cfr. infra), in quanto garantisce che i cittadini europei potranno beneficiare, in linea di principio, di un trattamento uguale a quello riservato ai cittadini statunitensi per quanto riguarda la concreta attuazione di tali disposizioni ad opera delle autorità statunitensi.
v) Effetti dell’accordo (articolo 5)
Per quanto riguarda gli accordi vigenti tra l’UE/gli Stati membri e gli Stati Uniti, l’accordo quadro li integrerà all’occorrenza, ossia se e nella misura in cui non prevedono le necessarie garanzie di protezione dei dati 8 .
L’effettiva attuazione dell’accordo quadro (in particolare gli articoli sui diritti delle persone fisiche) determina una presunzione di compatibilità con le norme applicabili in materia di trasferimenti internazionali di dati. Tale presunzione non è né automatica né generale e, come tutte le presunzioni, può essere confutata. Non è automatica perché la sua applicazione dipende espressamente dall’effettiva attuazione dell’accordo quadro da parte degli Stati Uniti, più specificamente, come chiarito esplicitamente dall’articolo 5, paragrafo 2, dall’effettiva attuazione degli articoli sui diritti delle persone fisiche (in particolare, l’accesso, la rettifica e i ricorsi amministrativo e giurisdizionale), e non è generale perché, dato che l’accordo quadro non è uno strumento “autonomo” per il trasferimento, la presunzione opera necessariamente “caso per caso”, cioè in base alla valutazione del fatto che l’accordo quadro e la base giuridica specifica del trasferimento, in combinato disposto, offrono un livello di protezione in linea con le norme UE sulla protezione dei dati. In altre parole, contrariamente all’accertamento di adeguatezza, questa disposizione non prevede di per sé un riconoscimento “in blocco” del livello di protezione fornito dagli Stati Uniti né un’autorizzazione generale ai trasferimenti.
ii) Principi e garanzie in materia di protezione dei dati
Gli articoli descritti di seguito contengono principi importanti che disciplinano il trattamento dei dati personali e garanzie e limitazioni fondamentali.
i) Limitazioni delle finalità e degli usi (articolo 6)
In linea con la Carta dei diritti fondamentali dell’UE e l’acquis dell’UE, l’articolo 6 applica il principio della limitazione delle finalità a tutti i trasferimenti di dati personali rientranti nel campo di applicazione dell’accordo quadro, tanto a quelli in relazione a casi specifici quanto a quelli effettuati ai sensi di un accordo che autorizza il trasferimento di dati personali in blocco concluso tra gli Stati Uniti e l’UE/gli Stati membri. Il trattamento (che comprende il trasferimento) può avvenire solo per finalità esplicite e legittime nell’ambito del campo di applicazione dell’accordo quadro, ossia la prevenzione, l’indagine, l’accertamento e il perseguimento di reati, compreso il terrorismo.
Inoltre, l’ulteriore trattamento dei dati personali ad opera di un’autorità (di contrasto, regolamentare o amministrativa) diversa dalla prima autorità ricevente di una parte è ammesso a condizione che non sia incompatibile con le finalità per le quali i dati sono stati originariamente trasferiti e che tale altra autorità rispetti tutte le altre disposizioni dell’accordo quadro.
In casi specifici l’autorità competente del trasferimento può imporre condizioni aggiuntive (per esempio in merito all’uso dei dati).
Infine, le informazioni personali possono essere trattate solo in modo “direttamente pertinente e non eccessivo rispetto alle finalità del trattamento”.
L’articolo 6 è una disposizione chiave dell’accordo poiché garantisce l’applicazione delle garanzie all’intero “ciclo di vita” di un determinato insieme di dati: dal trasferimento originario dall’UE al loro trattamento ad opera di un’autorità competente degli Stati Uniti e viceversa, nonché alla loro eventuale ulteriore condivisione con/trattamento ad opera di un’altra autorità statunitense o, nel caso di un trasferimento di dati dagli Stati Uniti a un’autorità competente dell’UE o di uno Stato membro, alla loro eventuale ulteriore condivisione con/trattamento ad opera di un’altra autorità dell’UE o di uno Stato membro.
ii) Trasferimento successivo (articolo 7)
Le limitazioni ai trasferimenti successivi di cui all’articolo 7 implicano che qualora un’autorità statunitense voglia trasferire ulteriormente i dati ricevuti dall’UE o da uno Stato membro a un paese terzo/un organismo internazionale non vincolato dall’accordo deve prima ottenere il consenso dell’autorità di contrasto dell’UE che ha effettuato il trasferimento originario dei dati verso gli Stati Uniti. Tale norma si applica parimenti qualora un’autorità dell’UE o di uno Stato membro voglia trasferire ulteriormente i dati ricevuti dagli Stati Uniti a un paese terzo/un organismo internazionale.
Nel decidere se prestare il proprio consenso, l’autorità che ha effettuato il trasferimento originario dovrà tenere debitamente conto di tutti i fattori pertinenti, tra cui la finalità per la quale i dati sono stati originariamente trasferiti e il fatto che lo Stato terzo o l’organismo internazionale garantisca o meno un livello adeguato di protezione delle informazioni personali. Essa può anche sottoporre il trasferimento a condizioni specifiche.
Inoltre, analogamente agli articoli riguardanti la limitazione delle finalità (cfr. supra articolo 6), il periodo di conservazione (cfr. infra articolo 12) e i dati sensibili (cfr. infra articolo 13), questo articolo tiene espressamente conto del carattere particolarmente sensibile del trasferimento in blocco di dati di persone che non sono oggetto di sospetti (ad esempio i dati PNR di tutti passeggeri che prendono un volo, indipendentemente da qualsiasi sospetto concreto), in quanto dispone che ogni ulteriore trasferimento delle informazioni personali “non in relazione con specifici casi” può essere effettuato solo alle condizioni specifiche indicate nell’accordo che fornisce la debita motivazione del trasferimento successivo.
Questo articolo (paragrafo 4) tratta anche la situazione specifica dei trasferimenti successivi verso un altro Stato all’interno dell’UE (ad esempio la polizia francese che scambia informazioni ricevute dall’FBI con la polizia tedesca) prevedendo che se ai sensi delle norme applicabili tali trasferimenti sono soggetti a previo consenso, l’autorità competente che ha originariamente trasmesso le informazioni (nell’esempio l’FBI) non potrà negare il proprio consenso o imporre condizioni per motivi di protezione dei dati (giacché tutte le autorità coinvolte sono vincolate dall’accordo quadro).
iii) Qualità e integrità delle informazioni (articolo 8)
Le parti adottano misure ragionevoli per garantire che i dati personali trasferiti mantengano l’esattezza, la pertinenza, il contenuto aggiornato e la completezza necessarie e adeguate per la liceità del loro trattamento. Se l’autorità che riceve o che trasferisce i dati viene a conoscenza di seri dubbi circa la pertinenza, il contenuto aggiornato, la completezza o l’esattezza dei dati personali ricevuti o trasferiti, ne informa, se fattibile, l’autorità del trasferimento/ricevente.
iv) Sicurezza delle informazioni (articolo 9) e notificazione di un incidente di sicurezza delle informazioni (articolo 10)
Questi articoli contribuiscono a garantire un livello elevato di sicurezza dei dati personali scambiati dalle parti dell’accordo quadro.
In primo luogo, ai sensi dell’articolo 9, le parti porranno in essere adeguate misure tecniche, organizzative e di sicurezza per proteggere le informazioni personali da distruzione accidentale o illecita, perdita accidentale e comunicazione, alterazione, accesso o altro trattamento non autorizzati. Tali misure prevedranno anche che l’accesso ai dati personali sia concesso solo al personale autorizzato.
In secondo luogo, ai sensi dell’articolo 10, in caso di incidente di sicurezza che presenta un rischio significativo di danni, devono essere prontamente adottati i provvedimenti opportuni per attenuare i danni, compresa la notificazione all’autorità competente del trasferimento e, ove opportuno in considerazione delle circostanze dell’incidente, alla persona in questione. Le eccezioni all’obbligo di notificazione sono elencate in modo esaustivo nella disposizione e corrispondono alle limitazioni ragionevoli (ad esempio, sicurezza nazionale).
v) Documentazione (articolo 11)
Le parti pongono in essere metodi efficaci (quali registrazioni) per dimostrare la liceità del trattamento e dell’uso delle informazioni personali.
Questo requisito costituisce un’importante garanzia per le persone fisiche, in quanto accolla alle autorità di contrasto l’onere di dimostrare che un determinato trattamento dei dati è stato effettuato in conformità con la legge. L’obbligo di documentare i trattamenti dei dati implica, in particolare, che ci sia una “traccia” in caso di trattamento illecito. Questo dovrebbe facilitare la gestione dei reclami e la proposizione di azioni in merito alla legittimità del trattamento.
vi) Periodo di conservazione (articolo 12);
Il trattamento dei dati sarà oggetto di specifici periodi di conservazione al fine di garantire che i dati non siano conservati più a lungo di quanto sia necessario e appropriato. Per determinare la durata dei periodi di conservazione, dovrà essere preso in considerazione un certo numero di elementi, in particolare la finalità del trattamento o dell’uso, la natura dei dati e l’impatto sui diritti e sugli interessi delle persone interessate.
L’articolo precisa che, qualora le parti concludano un accordo sul trasferimento in blocco di dati, tale accordo deve contenere una disposizione specifica sul periodo di conservazione applicabile. Con questa disposizione, le parti accettano il principio secondo cui gli accordi sui trasferimenti in blocco di dati prevedono uno specifico periodo di conservazione, che non dovrà pertanto essere rinegoziato.
I periodi di conservazione saranno soggetti a riesami periodici volti a determinare se un mutamento delle circostanze renda necessaria una loro modifica.
Per garantire la trasparenza, i periodi di conservazione dovranno essere pubblicati o resi altrimenti conoscibili al pubblico.
vii) Categorie particolari di dati (articolo 13)
Il trattamento di dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o di altro tipo o l’appartenenza sindacale, o di informazioni relative alla salute o alla vita sessuale, è possibile solo in presenza di garanzie adeguate ai sensi di legge (ad esempio il mascheramento dei dati dopo il conseguimento delle finalità per le quali sono stati trattati o l’obbligo di ottenere l’approvazione dell’autorità di controllo per accedere alle informazioni).
Gli accordi che autorizzano i “trasferimenti in blocco” di dati personali dovranno specificare ulteriormente le norme e le condizioni alle quali le categorie particolari di dati possono essere trattate.
Le disposizioni sulle categorie particolari di dati sono coerenti con il requisito secondo cui il trattamento deve essere direttamente pertinente e non eccessivo, ai sensi dell’articolo 6 sulle limitazioni delle finalità e degli usi.
viii) Decisioni automatizzate (articolo 15)
Il trattamento dei dati che può portare a decisioni aventi effetti negativi su una persona fisica (ad esempio nel contesto della profilazione) non può basarsi unicamente su un trattamento automatizzato delle informazioni personali, a meno che ciò non sia autorizzato da disposizioni di legge nazionali e purché sussistano garanzie adeguate, compresa la possibilità di ottenere l’intervento umano.
ix) Trasparenza (articolo 20)
Le persone fisiche hanno il diritto di ricevere informazioni (mediante avvisi generali o comunicazioni individuali, soggette a “limitazioni ragionevoli”) riguardanti la finalità del trattamento e l’eventuale uso ulteriore dei loro dati personali, le leggi o le norme ai cui sensi ha luogo il trattamento, l’identità dei terzi ai quali le informazioni personali possono essere comunicate, nonché l’accesso, la rettifica e i meccanismi di ricorso disponibili.
Sensibilizzare le persone fisiche ai motivi e ai soggetti che trattano i loro dati le aiuta a poter esercitare i diritti di accesso, rettifica e ricorso (cfr. infra articoli da 16 a 19).
iii) Diritti delle persone fisiche
Questi diritti sono di particolare importanza per la protezione degli interessati, che, per la prima volta, potranno avvalersi di diritti di applicazione generale per qualsiasi trasferimento transatlantico di dati personali nel settore dell’attività di contrasto penale.
i) Accesso e rettifica (articolo 16 e articolo 17)
Il diritto di accesso autorizza ogni persona fisica a chiedere e ottenere l’accesso ai dati personali che la riguardano. I motivi per limitare l’accesso sono definiti in modo tassativo e corrispondono alle limitazioni ragionevoli (ad esempio, salvaguardare la sicurezza nazionale, non compromettere l’indagine o il perseguimento di reati, proteggere i diritti e le libertà altrui). L’accesso alle proprie informazioni personali non può essere subordinato a spese eccessive.
Il diritto di rettifica autorizza ogni persona fisica a chiedere la correzione o la rettifica dei propri dati personali qualora siano inesatti o siano stati trattati impropriamente. Ciò può includere l’integrazione, la cancellazione, il blocco o altre misure o metodi per rimediare alle inesattezze o al trattamento improprio.
Qualora l’autorità competente del paese ricevente giunga alla conclusione, a seguito di una richiesta presentata da una persona fisica, una notificazione da parte del fornitore dei dati personali o proprie indagini, che i dati sono inesatti o sono stati trattati impropriamente, prende le misure di integrazione, cancellazione, blocco o altri metodi di correzione o rettifica.
Se consentito dalla legislazione nazionale, chiunque ha il diritto di autorizzare un’autorità di supervisione (ossia un’autorità nazionale di protezione dei dati per un interessato dell’UE) a chiedere l’accesso o la rettifica per proprio conto. Tale possibilità di esercizio indiretto dei diritti, attraverso un’autorità e all’interno di un sistema giuridico ben conosciuto, dovrebbe aiutare concretamente gli interessati ad esercitare i propri diritti.
Se l’accesso o la rettifica sono negati o limitati, l’autorità richiesta fornirà all’interessato (o al suo rappresentante debitamente autorizzato) una risposta illustrante i motivi del diniego o della limitazione dell’accesso o della rettifica. L’obbligo di fornire all’interessato una risposta motivata mira a consentire e agevolare l’esercizio del diritto di proporre ricorso amministrativo o giurisdizionale in caso di diniego o limitazione dell’accesso/della rettifica ad opera dell’autorità di contrasto in questione.
ii) Ricorso amministrativo (articolo 18)
La persona fisica che sia in disaccordo con l’esito della propria domanda di accesso/rettifica dei dati personali ha diritto di proporre ricorso amministrativo. Analogamente all’accesso e alla rettifica, per agevolare l’esercizio effettivo di questo diritto, l’interessato ha diritto di autorizzare un’autorità di supervisione (ossia un’autorità nazionale di protezione dei dati per un interessato dell’UE) o un altro rappresentante, se consentito dalla legislazione nazionale applicabile.
L’autorità alla quale è chiesto il rimedio invierà all’interessato una risposta scritta indicando, se del caso, le azioni migliorative o correttive adottate.
iii) Ricorso giurisdizionale (articolo 19)
I cittadini di ogni parte hanno il diritto di proporre ricorso giurisdizionale avverso i) il diniego dell’accesso, ii) il diniego della rettifica o iii) la comunicazione illecita ad opera delle autorità dell’altra parte.
Per quanto riguarda gli Stati Uniti, questa disposizione si riflette nel Judicial Redress Act, firmato dal presidente Obama il 24 febbraio 2016. Questa legge estenderà ai cittadini dei “paesi contemplati” 9 i tre suddetti motivi di ricorso giurisdizionale previsti dall’US Privacy Act del 1974, attualmente disponibili solo ai cittadini statunitensi e ai residenti permanenti. Il quarto capoverso del preambolo dell’accordo quadro precisa che questa estensione dovrebbe valere anche per i dati scambiati nell’ambito di accordi quali gli accordi PNR e TFTP. In combinazione con l’adozione del Judicial Redress Act, l’articolo 19 migliorerà quindi in modo sensibile la protezione giuridica dei cittadini dell’Unione europea.
Sebbene il Judicial Redress Act contenga una serie di limitazioni (in particolare quella di applicarsi soltanto ai cittadini dei “paesi contemplati” i cui dati sono stati trasferiti dalle autorità di contrasto dell’UE, in particolare ma non solo, i cittadini dell’UE), l’articolo 19 dell’accordo quadro risponde a una richiesta di lunga data dell’UE.
Tale disposizione è in linea con gli orientamenti politici del presidente Juncker secondo cui “[g]li USA devono dare [...] la garanzia che tutti i cittadini dell’UE, che risiedano o no sul suolo statunitense, siano in grado di far valere i propri diritti alla protezione dei dati dinanzi ai giudici americani: si tratta di un elemento essenziale per ristabilire la fiducia nelle relazioni transatlantiche”. Analogamente, essa risponde alla risoluzione del Parlamento europeo del 12 marzo 2014 sul programma di sorveglianza dell’Agenzia per la sicurezza nazionale degli Stati Uniti, con la quale il Parlamento ha chiesto l’immediata ripresa dei negoziati con gli Stati Uniti sull’“accordo quadro” per “porre i diritti dei cittadini dell’UE sullo stesso piano dei diritti dei cittadini statunitensi [...]” e prevedere “mezzi di ricorso amministrativo e giudiziario efficaci e applicabili per tutti i cittadini dell’UE negli Stati Uniti, senza alcuna discriminazione” 10 .
L’articolo 19, paragrafo 3, precisa che l’estensione dei tre suddetti motivi di ricorso giurisdizionale non fa venir meno le altre vie di ricorso giurisdizionale altrimenti disponibili per quanto riguarda il trattamento dei dati (ad esempio ai sensi dell’Administrative Procedure Act, dell’Electronics Communication Privacy Act o del Freedom of Information Act). Queste altre basi giuridiche per il ricorso giurisdizionale sono a disposizione di tutte le persone fisiche dell’UE interessate dal trasferimento dei dati a fini di contrasto, a prescindere dalla loro cittadinanza o luogo di residenza.
iv) Aspetti relativi all’applicazione dell’accordo e alla supervisione
i) Assunzione di responsabilità (articolo 14)
Devono essere poste in essere misure volte a promuovere l’assunzione di responsabilità da parte delle autorità che trattano i dati personali rientranti nel campo di applicazione dell’accordo quadro. In particolare, quando i dati personali sono ulteriormente condivisi dall’autorità che li riceve con altre autorità, queste ultime devono essere informate delle garanzie applicabili ai sensi del presente accordo, nonché delle eventuali condizioni aggiuntive (restrittive) che sono state imposte al trasferimento ai sensi dell’articolo 6, paragrafo 3 (sulle limitazioni delle finalità e degli usi). Sono previste sanzioni penali, civili o amministrative adeguate e dissuasive in caso di colpa grave.
Le misure volte a promuovere l’assunzione di responsabilità comprendono anche, se del caso, l’interruzione di ulteriori trasferimenti dei dati personali ad entità delle parti contraenti non rientranti nel campo di applicazione dell’accordo quadro, qualora non garantiscano una protezione efficace delle informazioni personali alla luce dello scopo dell’accordo (in particolare delle disposizioni sulle limitazioni delle finalità e sul trasferimento successivo). Questa disposizione regolamenta il caso in cui i dati personali sono trasmessi da un’autorità dell’UE a un’autorità federale degli Stati Uniti (ossia un’autorità contemplata dal presente accordo) e poi trasferiti ulteriormente a un’autorità di contrasto a livello statale. In base alle norme costituzionali statunitensi, la capacità degli Stati Uniti di vincolare i propri Stati federati a livello internazionale è limitata 11 . Orbene, per assicurare la continuità della protezione dei dati trasferiti alle agenzie federali statunitensi e poi condivisi con agenzie di contrasto a livello statale, questo articolo i) include nel suo campo di applicazione le “altre autorità” delle parti (ossia le autorità non rientranti nel campo di applicazione dell’accordo, quali le autorità statali statunitensi); ii) dispone che le garanzie previste dall’accordo quadro siano notificate a tali autorità; iii) prevede che, se del caso, i trasferimenti a tali autorità siano interrotti qualora tali autorità non proteggano in modo efficace i dati personali alla luce dello scopo dell’accordo quadro, in particolare dei suoi articoli sulla limitazione delle finalità e sul trasferimento successivo.
Mirando a garantire che le competenti autorità di contrasto rispondano del rispetto dell’accordo quadro, questo articolo è un elemento essenziale di un sistema efficace di attuazione e supervisione nell’ambito dell’accordo. Esso inoltre faciliterà la proposizione di azioni da parte delle persone fisiche in caso di colpa (e conseguente responsabilità delle autorità pubbliche).
Infine, le autorità dell’UE potranno manifestare le proprie preoccupazioni alle controparti statunitensi circa il modo in cui queste ottemperano agli obblighi imposti loro dall’articolo 14 (comprese le misure adottate al riguardo) e ricevere informazioni pertinenti. Inoltre, nel contesto della verifica congiunta (cfr. infra articolo 23), sarà prestata particolare attenzione all’effettiva attuazione di questo articolo.
ii) Supervisione efficace (articolo 21)
Le parti si dotano di una o più autorità pubbliche che esercitano funzioni e poteri di supervisione indipendente, tra cui verifica, indagine e intervento. Tali autorità hanno il potere di ricevere e dar seguito ai reclami presentati da persone fisiche in merito alle misure di attuazione dell’accordo quadro e di segnalare le violazioni di legge connesse a tale accordo ai fini di un’azione giudiziaria o disciplinare. Tenuto conto delle peculiarità del sistema statunitense, un insieme di autorità di supervisione (tra cui i responsabili della protezione della vita privata (chief privacy officers), gli ispettori generali (inspector generals), le autorità per la tutela della vita privata e delle libertà civili (privacy and civil liberties oversight boards), ecc.) eserciterà cumulativamente le funzioni di supervisione che nell’UE sono esercitate dalle autorità di protezione dei dati.
Questo articolo integra le garanzie riconosciute dalle disposizioni in materia di accesso, rettifica e ricorso amministrativo. In particolare, consente alle persone fisiche di presentare reclami dinanzi ad autorità indipendenti in merito al modo in cui l’altra parte ha attuato l’accordo quadro.
iii) Cooperazione tra le autorità di supervisione (articolo 22)
Le autorità di supervisione cooperano al fine di garantire l’attuazione efficace dell’accordo quadro, in particolare per quanto riguarda il sistema di esercizio indiretto dei diritti delle persone fisiche relativi all’accesso, alla rettifica e al ricorso amministrativo (cfr. supra articoli da 16 a 18).
Inoltre, sono istituiti punti di contatto nazionali che presteranno assistenza nell’identificazione dell’autorità di supervisione cui rivolgersi nei singoli casi. Tenuto conto in particolare dell’esistenza di diverse autorità di supervisione negli Stati Uniti, la creazione di un “punto d’ingresso” centrale per le richieste di assistenza e di cooperazione dovrebbe contribuire a una gestione efficace di tali richieste.
iv) Verifica congiunta (articolo 23)
Le parti procederanno periodicamente a una verifica congiunta dell’attuazione e dell’efficacia dell’accordo quadro, prestando particolare attenzione all’effettiva attuazione degli articoli riguardanti i diritti delle persone fisiche (accesso, rettifica, ricorsi amministrativo e giurisdizionale) e alla questione dei trasferimenti a enti territoriali non rientranti nel campo di applicazione dell’accordo (ad esempio Stati federati degli USA). La prima verifica congiunta è effettuata entro tre anni dalla data di entrata in vigore dell’accordo e quelle successive a scadenze regolari.
La composizione delle rispettive delegazioni comprende rappresentanti delle autorità di protezione dei dati e delle autorità di contrasto/giudiziarie di entrambe le parti; i risultati della verifica congiunta saranno resi pubblici.
v) Disposizioni finali
L’accordo quadro contiene una serie di disposizioni finali riguardanti:
la notificazione all’altra parte di qualsiasi atto che abbia ripercussioni concrete sull’attuazione dell’accordo. Gli Stati Uniti notificheranno specificamente all’UE qualsiasi misura relativa all’applicazione delle disposizioni del Judicial Redress Act (articolo 24);
le consultazioni in caso di controversie sulle modalità di interpretazione o di applicazione dell’accordo (articolo 25);
la possibilità di ciascuna parte di sospendere l’accordo in caso di violazione sostanziale dell’accordo ad opera dell’altra parte (articolo 26);
l’applicazione territoriale dell’accordo per tener conto della situazione specifica del Regno Unito, dell’Irlanda e della Danimarca (articolo 27);
la durata illimitata dell’accordo (che è giustificata dalla natura dell’accordo, che è un quadro che prevede tutele e garanzie, e dalla possibilità di sospendere e denunciare l’accordo) (articolo 28);
la possibilità di ciascuna parte di denunciare l’accordo mediante notificazione all’altra parte, sebbene sia specificato che le informazioni personali trasferite prima della denuncia continueranno ad essere trattate conformemente alle norme dell’accordo quadro (articolo 29, paragrafi 2 e 3);
l’entrata in vigore dell’accordo il primo giorno del mese successivo alla data in cui le parti si sono scambiate le notificazioni di avvenuto espletamento delle rispettive procedure interne di approvazione (articolo 29, paragrafo 1);
la clausola linguistica (immediatamente prima della linea per la firma) che prevede i) la firma dell’accordo in inglese e la redazione ad opera dell’UE delle corrispondenti versioni nelle altre 23 lingue ufficiali dell’UE; ii) la possibilità, dopo la firma, di autenticare la versione dell’accordo in ciascuna delle altre lingue ufficiali dell’UE mediante scambio di note diplomatiche con gli Stati Uniti; iii) il primato della versione inglese in caso di divergenza tra versioni linguistiche autentiche dell’accordo.
2016/0126 (NLE)
Proposta di
DECISIONE DEL CONSIGLIO
relativa alla conclusione, a nome dell’Unione europea, di un accordo tra
gli Stati Uniti d’America e l’Unione europea sulla protezione delle informazioni personali a fini di prevenzione, indagine, accertamento e perseguimento di reati
IL CONSIGLIO DELL’UNIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16, in combinato disposto con l’articolo 218, paragrafo 6, lettera a),
vista la proposta della Commissione europea,
vista l’approvazione del Parlamento europeo 12 ,
sentito il garante europeo della protezione dei dati,
considerando quanto segue:
(1)Conformemente alla decisione [...] del Consiglio del [...] 13 , l’accordo tra gli Stati Uniti d’America e l’Unione europea sulla protezione delle informazioni personali a fini di prevenzione, indagine, accertamento e perseguimento di reati (di seguito denominato “accordo”) è stato firmato il XX XXXX 2016, con riserva della sua conclusione.
(2)L’accordo mira a istituire un quadro completo di principi e garanzie in materia di protezione dei dati per il trasferimento di informazioni personali a fini di contrasto penale tra gli Stati Uniti, da un lato, e l’Unione europea o i suoi Stati membri, dall’altro. L’obiettivo è garantire un livello elevato di protezione dei dati e rafforzare così la cooperazione tra le parti. Pur non costituendo di per sé la base giuridica del trasferimento delle informazioni personali verso gli Stati Uniti, l’accordo quadro integra, ove necessario, le garanzie di protezione dei dati contemplate negli accordi vigenti o futuri per il trasferimento di dati o nelle disposizioni nazionali che autorizzano tali trasferimenti.
(3)L’Unione ha competenza su tutte le disposizioni dell’accordo. In particolare, l’Unione ha adottato la direttiva 2016/XXX/UE 14 concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati.
(4)L’Unione europea ha competenza esclusiva nella misura in cui l’accordo può incidere su norme comuni dell’Unione o modificarne la portata.
(5)A norma dell’articolo 6 bis del protocollo n. 21 sulla posizione del Regno Unito e dell’Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al trattato sull’Unione europea e al trattato sul funzionamento dell’Unione europea, il Regno Unito e l’Irlanda non sono vincolati dalle norme stabilite nell’accordo che riguardano il trattamento dei dati personali nell’esercizio di attività che rientrano nel campo di applicazione del capo 4 (cooperazione giudiziaria in materia penale) o del capo 5 (cooperazione di polizia) della parte terza, titolo V del trattato sul funzionamento dell’Unione europea laddove il Regno Unito e l’Irlanda non siano vincolati dalle norme nell’ambito delle quali deve essere rispettato l’accordo.
(6)A norma degli articoli 1 e 2 del protocollo n. 22 sulla posizione della Danimarca, allegato al trattato sull’Unione europea e al trattato sul funzionamento dell’Unione europea, la Danimarca non partecipa all’adozione della presente decisione, non è vincolata dall’accordo, né è soggetta alla sua applicazione.
(7)È opportuno approvare l’accordo a nome dell’Unione,
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
L’accordo tra gli Stati Uniti d’America e l’Unione europea sulla protezione delle informazioni personali a fini di prevenzione, indagine, accertamento e perseguimento di reati è approvato a nome dell’Unione europea.
Il testo dell’accordo è accluso alla presente decisione.
Articolo 2
Il presidente del Consiglio designa la persona abilitata a procedere, a nome dell’Unione, alla notifica prevista all’articolo 29, paragrafo 1, dell’accordo, al fine di esprimere il consenso dell’Unione europea ad essere vincolata dall’accordo.
Articolo 3
La presente decisione entra in vigore il giorno della pubblicazione nella Gazzetta ufficiale dell’Unione europea 15 .
Fatto a Bruxelles, il
Per il Consiglio
Il presidente
COMMISSIONE EUROPEA
Bruxelles, 29.4.2016
COM(2016) 237 final
ALLEGATO
ACCORDO TRA GLI STATI UNITI D’AMERICA E
L’UNIONE EUROPEA SULLA PROTEZIONE DELLE INFORMAZIONI PERSONALI A FINI DI PREVENZIONE, INDAGINE, ACCERTAMENTO E PERSEGUIMENTO DI REATI
che accompagna la
Proposta di decisione del Consiglio
relativa alla conclusione, a nome dell’Unione europea, di un accordo tra
gli Stati Uniti d’America e l’Unione europea sulla protezione delle informazioni personali a fini di prevenzione, indagine, accertamento e perseguimento di reati
ACCORDO TRA GLI STATI UNITI D’AMERICA E
L’UNIONE EUROPEA SULLA PROTEZIONE DELLE INFORMAZIONI PERSONALI A FINI DI PREVENZIONE, INDAGINE, ACCERTAMENTO E PERSEGUIMENTO DI REATI
INDICE
Preambolo
Articolo 1: Scopo dell’accordo
Articolo 2: Definizioni
Articolo 3: Campo di applicazione
Articolo 4: Non discriminazione
Articolo 5: Effetti dell’accordo
Articolo 6: Limitazioni delle finalità e degli usi
Articolo 7: Trasferimento successivo
Articolo 8: Qualità e integrità delle informazioni
Articolo 9: Sicurezza delle informazioni
Articolo 10: Notificazione di un incidente di sicurezza delle informazioni
Articolo 11: Documentazione
Articolo 12: Periodo di conservazione
Articolo 13: Categorie particolari di informazioni personali
Articolo 14: Assunzione di responsabilità
Articolo 15: Decisioni automatizzate
Articolo 16: Accesso
Articolo 17: Rettifica
Articolo 18: Ricorso amministrativo
Articolo 19: Ricorso giurisdizionale
Articolo 20: Trasparenza
Articolo 21: Supervisione efficace
Articolo 22: Cooperazione tra le autorità di supervisione
Articolo 23: Verifica congiunta
Articolo 24: Notificazione
Articolo 25: Consultazione
Articolo 26: Sospensione
Articolo 27: Applicazione territoriale
Articolo 28: Durata dell’accordo
Articolo 29: Entrata in vigore e denuncia
Tenendo presente che gli Stati Uniti e l’Unione europea si sono impegnati a garantire un livello elevato di protezione delle informazioni personali scambiate nel contesto della prevenzione, dell’indagine, dell’accertamento e del perseguimento di reati, compreso il terrorismo;
Intenzionati a stabilire un quadro giuridico duraturo per agevolare lo scambio di informazioni, fondamentale per prevenire, indagare, accertare e perseguire i reati, compreso il terrorismo, al fine di proteggere le rispettive società democratiche e i valori comuni;
Decisi, in particolare, a definire le norme di protezione applicabili agli scambi di informazioni personali effettuati sulla base degli accordi esistenti e futuri tra gli Stati Uniti e l’Unione europea e i suoi Stati membri in materia di prevenzione, indagine, accertamento e perseguimento di reati, compreso il terrorismo;
Riconoscendo che alcuni accordi in vigore tra le parti in materia di trattamento delle informazioni personali enunciano di offrire un livello adeguato di protezione delle informazioni nel loro campo di applicazione, le parti dichiarano che il presente accordo non deve essere interpretato nel senso che modifica detti accordi, vi pone condizioni o vi deroga in altro modo; rilevando, tuttavia, che gli obblighi introdotti dall’articolo 19 del presente accordo, sul ricorso giurisdizionale, si applicheranno in relazione a tutti i trasferimenti che rientrano nel campo di applicazione del presente accordo e che ciò non pregiudica alcun futuro riesame o modifica dei suddetti accordi ai sensi dei medesimi;
Constatando che entrambe le parti hanno una consolidata tradizione del rispetto della vita privata, come risulta dai principi sul rispetto della vita privata e la protezione dei dati personali a fini di contrasto elaborati dal gruppo di contatto ad alto livello UE-Stati Uniti sulla condivisione delle informazioni e sulla tutela della vita privata e la protezione dei dati di carattere personale, dalla Carta dei diritti fondamentali dell’Unione europea e dalla legislazione dell’Unione applicabile, dalla Costituzione degli Stati Uniti e dalla legislazione statunitense applicabile, e dai principi del codice di deontologia dell’Organizzazione per la cooperazione e lo sviluppo economico;
Riconoscendo i principi di proporzionalità, necessità, pertinenza e ragionevolezza attuati dalle parti nei rispettivi quadri giuridici,
Gli Stati Uniti d’America e l’Unione europea hanno convenuto quanto segue:
Articolo 1: Scopo dell’accordo
1. Scopo del presente accordo è garantire un livello elevato di protezione delle informazioni personali e migliorare la cooperazione tra gli Stati Uniti e l’Unione europea e i suoi Stati membri in materia di prevenzione, indagine, accertamento e perseguimento di reati, compreso il terrorismo.
2. A tal fine, il presente accordo istituisce il quadro per la protezione delle informazioni personali trasferite tra gli Stati Uniti, da un lato, e l’Unione europea e i suoi Stati membri, dall’altro.
3. Il presente accordo di per sé non costituisce la base giuridica per il trasferimento delle informazioni personali. Per il trasferimento delle informazioni personali è sempre necessaria una base giuridica.
Articolo 2: Definizioni
Ai fini del presente accordo si intende per:
1.“informazioni personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile. Si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un numero di identificazione o a uno o più elementi caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;
2.“trattamento delle informazioni personali”: qualsiasi operazione o insieme di operazioni implicanti la raccolta, la conservazione, l’uso, la modifica, l’organizzazione, la strutturazione, la comunicazione, la diffusione o la cessione;
3.“parti”: l’Unione europea e gli Stati Uniti d’America;
4.“Stato membro”: uno Stato membro dell’Unione europea;
5.“autorità competente”: per gli Stati Uniti, un’autorità di contrasto statunitense responsabile per la prevenzione, l’indagine, l’accertamento e il perseguimento dei reati, compreso il terrorismo, e, per l’Unione europea, un’autorità dell’Unione europea, e un’autorità di uno Stato membro, responsabile per la prevenzione, l’indagine, l’accertamento e il perseguimento di reati, compreso il terrorismo.
Articolo 3: Campo di applicazione
1. Il presente accordo si applica alle informazioni personali trasferite tra le autorità competenti di una parte e le autorità competenti dell’altra parte, o altrimenti trasferite in forza di un accordo concluso tra gli Stati Uniti e l’Unione europea o i suoi Stati membri, a fini di prevenzione, accertamento, indagine e perseguimento di reati, compreso il terrorismo.
2. Il presente accordo non concerne e non pregiudica i trasferimenti o altre forme di cooperazione tra le autorità degli Stati membri e degli Stati Uniti diverse da quelle di cui all’articolo 2, punto 5, responsabili per la salvaguardia della sicurezza nazionale.
Articolo 4: Non discriminazione
Ciascuna parte rispetta gli obblighi derivanti dal presente accordo al fine di proteggere le informazioni personali dei propri cittadini e dei cittadini dell’altra parte indipendentemente dalla loro cittadinanza e senza alcuna discriminazione arbitraria o ingiustificata.
Articolo 5: Effetti dell’accordo
1. Il presente accordo integra, senza sostituire, le disposizioni sulla protezione delle informazioni personali contemplate negli accordi internazionali conclusi tra le parti, o tra gli Stati Uniti e gli Stati membri, che disciplinano materie rientranti nel campo di applicazione del presente accordo.
2. Le parti adottano tutte le misure necessarie per attuare il presente accordo, in particolare gli obblighi ivi previsti in materia di accesso, rettifica e ricorso amministrativo e giurisdizionale per le persone fisiche. Le tutele e i rimedi previsti dal presente accordo si applicano alle persone fisiche e alle entità nel modo previsto dalla legislazione nazionale applicabile di ciascuna parte. Per quanto riguarda gli Stati Uniti, i loro obblighi si applicano in modo coerente con i principi fondamentali del federalismo statunitense.
3. Con l’attuazione del paragrafo 2, il trattamento delle informazioni personali da parte degli Stati Uniti o dell’Unione europea e dei suoi Stati membri in relazione alle materie rientranti nel campo di applicazione del presente accordo è considerato conforme alle rispettive legislazioni sulla protezione dei dati che limitano o sottopongono a condizioni i trasferimenti internazionali di informazioni personali, e non è necessaria alcuna ulteriore autorizzazione ai sensi di tali legislazioni.
Articolo 6: Limitazioni delle finalità e degli usi
1. Il trasferimento delle informazioni personali per finalità specifiche è autorizzato dalla base giuridica del trasferimento di cui all’articolo 1.
2. Il trattamento successivo delle informazioni personali ad opera di una parte non può essere incompatibile con le finalità per le quali le informazioni sono state trasferite. Il trattamento compatibile comprende il trattamento effettuato ai sensi degli accordi internazionali e dei quadri internazionali scritti vigenti in materia di prevenzione, indagine, accertamento e perseguimento di reati gravi. Tale trattamento delle informazioni personali ad opera di altre autorità nazionali di contrasto, regolamentari o amministrative deve rispettare le altre disposizioni del presente accordo.
3. Il presente articolo fa salva la facoltà dell’autorità competente del trasferimento di imporre in casi specifici condizioni aggiuntive, nella misura in cui il quadro giuridico applicabile al trasferimento lo consenta. Non rientrano in tali condizioni le condizioni di protezione dei dati generiche, ossia non collegate alle circostanze specifiche del caso. L’autorità competente ricevente rispetta le eventuali condizioni cui sono soggetti i dati. L’autorità competente che fornisce le informazioni può altresì imporre al destinatario di informarla sull’uso fatto dei dati trasferiti.
4. Qualsiasi accordo concluso tra gli Stati Uniti, da un lato, e l’Unione europea o uno Stato membro, dall’altro, per il trasferimento di informazioni personali non in relazione con specifici casi, indagini o azioni penali indica le finalità specifiche per le quali le informazioni sono trasferite e trattate.
5. Le parti assicurano, ai sensi delle rispettive legislazioni, che le informazioni personali siano trattate in modo direttamente pertinente e non eccessivo rispetto alle finalità del trattamento.
Articolo 7: Trasferimento successivo
1. Le informazioni personali relative a un caso specifico trasferite da un’autorità competente di una parte a un’autorità competente dell’altra parte possono essere trasferite a uno Stato non vincolato dal presente accordo o a un organismo internazionale solo previo consenso dell’autorità competente che ha effettuato il trasferimento originario.
2. Nel prestare il consenso al trasferimento di cui al paragrafo 1, l’autorità competente che ha effettuato il trasferimento originario tiene debitamente conto di tutti i fattori pertinenti, tra cui la gravità del reato, la finalità per la quale le informazioni sono state originariamente trasferite e il fatto che lo Stato non vincolato dal presente accordo o l’organismo internazionale in questione garantisca o meno un livello adeguato di protezione delle informazioni personali. Essa può anche sottoporre il trasferimento a condizioni specifiche.
3. Qualora gli Stati Uniti, da un lato, e l’Unione europea o uno Stato membro, dall’altro, concludano un accordo per il trasferimento di informazioni personali non in relazione con specifici casi, indagini o azioni penali, il trasferimento successivo delle informazioni personali può essere effettuato solo alle condizioni specifiche indicate nell’accordo che forniscono la debita motivazione del trasferimento successivo. L’accordo prevede inoltre opportuni meccanismi di informazione tra le autorità competenti.
4. Nessuna disposizione del presente articolo può essere interpretata nel senso di pregiudicare eventuali requisiti, obblighi o prassi secondo cui per trasferire successivamente le informazioni a uno Stato od organismo vincolato dal presente accordo è necessario il previo consenso dell’autorità competente che ha effettuato il trasferimento originario, fermo restando che il livello di protezione dei dati garantito da tale Stato od organismo non giustifica il diniego del consenso al trasferimento o l’imposizione di condizioni al medesimo.
Articolo 8: Qualità e integrità delle informazioni
Le parti adottano misure ragionevoli per garantire che le informazioni personali mantengano l’esattezza, la pertinenza, il contenuto aggiornato e la completezza necessarie e adeguate per la liceità del loro trattamento. A tal fine, le autorità competenti si dotano di procedure volte a garantire la qualità e l’integrità delle informazioni personali, tra cui:
a) le misure di cui all’articolo 17;
b) se l’autorità competente del trasferimento viene a conoscenza di seri dubbi circa la pertinenza, il contenuto aggiornato, la completezza o l’esattezza delle informazioni personali o di una valutazione che ha trasferito, ne informa, se fattibile, l’autorità competente ricevente;
c) se l’autorità competente ricevente viene a conoscenza di seri dubbi circa la pertinenza, il contenuto aggiornato, la completezza o l’accuratezza delle informazioni personali ricevute da un’autorità governativa o di una valutazione effettuata dall’autorità competente del trasferimento riguardo all’esattezza delle informazioni o all’affidabilità di una fonte, ne informa, se fattibile, l’autorità competente del trasferimento.
Articolo 9: Sicurezza delle informazioni
Le parti provvedono affinché siano attuate adeguate misure tecniche, organizzative e di sicurezza per proteggere le informazioni personali da quanto segue:
a) distruzione accidentale o illecita;
b) perdita accidentale;
c) comunicazione, alterazione, accesso o altro trattamento non autorizzati.
Tali misure comprendono garanzie adeguate per quanto riguarda l’autorizzazione necessaria per accedere alle informazioni personali.
Articolo 10: Notificazione di un incidente di sicurezza delle informazioni
1. In caso di scoperta di un incidente riguardante la perdita o la distruzione accidentali di informazioni personali o l’accesso, la comunicazione o l’alterazione non autorizzati delle stesse, che presenta un rischio significativo di danni, l’autorità competente ricevente valuta prontamente la probabilità e l’entità dei danni alle persone fisiche e all’integrità del programma dell’autorità competente del trasferimento e adotta prontamente i provvedimenti opportuni per attenuare i danni.
2. I provvedimenti per attenuare i danni comprendono la notificazione all’autorità competente del trasferimento. Tuttavia la notificazione può:
a) prevedere adeguate limitazioni all’ulteriore trasmissione della notificazione;
b) essere posticipata od omessa qualora tale notificazione possa mettere a repentaglio la sicurezza nazionale;
c) essere posticipata qualora tale notificazione possa mettere a repentaglio operazioni di pubblica sicurezza.
3. I provvedimenti per attenuare i danni comprendono anche la notificazione alla persona in questione, ove opportuno in considerazione delle circostanze dell’incidente, a meno che tale notificazione possa mettere a repentaglio:
a) la sicurezza pubblica o nazionale;
b) indagini, inchieste o procedimenti ufficiali;
c) la prevenzione, l’accertamento, l’indagine o il perseguimento di reati;
d) i diritti e le libertà altrui, in particolare la protezione delle vittime e dei testimoni.
4. Le autorità competenti coinvolte nel trasferimento delle informazioni personali possono consultarsi in merito all’incidente e alla risposta da dare allo stesso.
Articolo 11: Documentazione
1. Le parti pongono in essere metodi efficaci per dimostrare la liceità del trattamento delle informazioni personali, che possono includere l’uso di registrazioni o altre forme di documentazione.
2. Le autorità competenti possono usare tali registrazioni o forme di documentazione per mantenere l’ordinata gestione delle banche dati o dei fascicoli in questione, al fine di garantire l’integrità e la sicurezza dei dati e, se necessario, seguire le procedure di backup.
Articolo 12: Periodo di conservazione
1. Le parti prevedono nei rispettivi quadri giuridici applicabili specifici periodi di conservazione della documentazione contenente informazioni personali, al fine di garantire che le informazioni personali non siano conservate più a lungo di quanto necessario e appropriato. Tali periodi di conservazione tengono conto della finalità del trattamento, della natura dei dati, dell’autorità che li tratta, dell’impatto sui diritti e sugli interessi in gioco delle persone interessate e di altre considerazioni giuridiche applicabili.
2. Qualsiasi accordo concluso tra gli Stati Uniti, da un lato, e l’Unione europea o uno Stato membro, dall’altro, per il trasferimento di informazioni personali non in relazione con specifici casi, indagini o azioni penali contiene una disposizione specifica, stabilita di comune accordo, sui periodi di conservazione.
3. Le parti prevedono procedure di riesame periodico del periodo di conservazione, al fine di determinare se questo debba essere modificato a seguito di un mutamento delle circostanze.
4. Le parti pubblicano o rendono altrimenti conoscibili al pubblico i periodi di conservazione.
Articolo 13: Categorie particolari di informazioni personali
1. Il trattamento di informazioni personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o di altro tipo o l’appartenenza sindacale, o di informazioni relative alla salute o alla vita sessuale, è possibile solo in presenza di garanzie adeguate ai sensi di legge. Tali garanzie adeguate possono comprendere: la limitazione delle finalità per le quali le informazioni possono essere trattate, ad esempio consentendo il trattamento solo caso per caso; il mascheramento, la cancellazione o il blocco delle informazioni dopo il conseguimento delle finalità per le quali sono state trattate; la limitazione del personale autorizzato ad accedere alle informazioni; l’obbligo di formazione specialistica per il personale che ha accesso alle informazioni; l’obbligo di ottenere l’approvazione dell’autorità di controllo per accedere alle informazioni; o altre misure di protezione. Tali garanzie tengono debitamente conto della natura delle informazioni, del loro carattere particolarmente sensibile e delle finalità per le quali sono trattate.
2. Qualsiasi accordo concluso tra gli Stati Uniti, da un lato, e l’Unione europea o uno Stato membro, dall’altro, per il trasferimento di informazioni personali non in relazione con specifici casi, indagini o azioni penali precisa ulteriormente le norme e le condizioni alle quali le informazioni possono essere trattate, tenendo debitamente conto della loro natura e delle finalità per le quali sono usate.
Articolo 14: Assunzione di responsabilità
1. Le parti pongono in essere misure volte a promuovere l’assunzione di responsabilità per il trattamento di informazioni personali nell’ambito del presente accordo da parte delle rispettive autorità competenti e di ogni altra loro autorità a cui le informazioni personali siano state trasferite. Tali misure comprendono la notificazione delle garanzie applicabili ai trasferimenti di informazioni personali ai sensi del presente accordo e delle eventuali condizioni imposte dall’autorità competente del trasferimento ai sensi dell’articolo 6, paragrafo 3. Sono previste sanzioni penali, civili o amministrative adeguate e dissuasive in caso di colpa grave.
2. Le misure di cui al paragrafo 1 comprendono, se del caso, l’interruzione del trasferimento delle informazioni personali ad autorità di enti territoriali costitutivi delle parti non rientranti nel campo di applicazione del presente accordo che non hanno protetto in modo efficace le informazioni personali, tenuto conto dello scopo del presente accordo e, in particolare, delle sue disposizioni sulle limitazioni delle finalità e degli usi e sul trasferimento successivo.
3. In caso di asserzioni di scorretta attuazione del presente articolo, una parte può chiedere all’altra parte di fornire informazioni pertinenti, tra cui, se del caso, informazioni in merito alle misure adottate a norma del presente articolo.
Articolo 15: Decisioni automatizzate
Le decisioni che comportano azioni significativamente negative per gli interessi pertinenti della persona fisica non possono basarsi unicamente su un trattamento automatizzato di informazioni personali senza partecipazione umana, a meno che ciò non sia autorizzato da disposizioni di legge nazionali e purché sussistano garanzie adeguate che includano la possibilità di ottenere l’intervento umano.
Articolo 16: Accesso
1. Le parti provvedono affinché chiunque abbia il diritto di chiedere accesso alle proprie informazioni personali e, fatte salve le limitazioni di cui al paragrafo 2, di ottenerlo. L’accesso è chiesto e ottenuto da un’autorità competente conformemente al quadro giuridico applicabile dello Stato in cui è chiesto il rimedio.
2. In singoli casi l’ottenimento delle proprie informazioni personali può essere soggetto a limitazioni ragionevoli previste dalla legislazione nazionale, tenuto conto dei legittimi interessi della persona in questione, al fine di:
a) proteggere i diritti e le libertà altrui, compresa la loro vita privata;
b) salvaguardare la sicurezza pubblica e nazionale;
c) proteggere informazioni sensibili relative all’applicazione della legge;
d) non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;
e) non compromettere la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali;
f) proteggere in altro modo gli interessi riconosciuti dalla legislazione in materia di libertà di informazione e accesso del pubblico ai documenti.
3. L’accesso alle proprie informazioni personali non può essere subordinato a spese eccessive.
4. Chiunque ha il diritto di autorizzare, se consentito dalla legislazione nazionale applicabile, un’autorità di supervisione o un altro rappresentante a chiedere l’accesso per proprio conto.
5. Se l’accesso è negato o limitato, l’autorità competente richiesta procederà, senza indebito ritardo, a comunicare alla persona in questione, o al suo rappresentante debitamente autorizzato di cui al paragrafo 4, i motivi del diniego o della limitazione dell’accesso.
Articolo 17: Rettifica
1. Le parti provvedono affinché chiunque abbia il diritto di chiedere la correzione o la rettifica delle proprie informazioni personali che ritiene siano inesatte o siano state trattate impropriamente. La correzione o la rettifica può includere l’integrazione, la cancellazione, il blocco o altre misure o metodi per rimediare alle inesattezze o al trattamento improprio. La correzione o la rettifica è chiesta e ottenuta da un’autorità competente conformemente al quadro giuridico applicabile dello Stato in cui è chiesto il rimedio.
2. Qualora l’autorità competente ricevente giunga alla conclusione, a seguito di:
a) una richiesta a norma del paragrafo 1,
b) una notificazione da parte del fornitore, o
c) proprie indagini o inchieste,
che le informazioni che ha ricevuto ai sensi del presente accordo sono inesatte o sono state trattate impropriamente, prende le misure di integrazione, cancellazione, blocco o altri metodi di correzione o rettifica, a seconda del caso.
3. Chiunque ha il diritto di autorizzare, se consentito dalla legislazione nazionale applicabile, un’autorità di supervisione o un altro rappresentante a chiedere la correzione o la rettifica per proprio conto.
4. Se la correzione o la rettifica è negata o limitata, l’autorità competente richiesta procederà, senza indebito ritardo, a fornire alla persona in questione, o al suo rappresentante debitamente autorizzato di cui al paragrafo 3, una risposta illustrante i motivi del diniego o della limitazione della correzione o rettifica.
Articolo 18: Ricorso amministrativo
1. Le parti provvedono affinché chiunque abbia il diritto di proporre ricorso amministrativo qualora ritenga che l’accesso ai sensi dell’articolo 16 o la rettifica delle informazioni inesatte o del trattamento improprio ai sensi dell’articolo 17 sia stato indebitamente negato. Il ricorso è proposto e il rimedio ottenuto da un’autorità competente conformemente al quadro giuridico applicabile dello Stato in cui è chiesto il rimedio.
2. Chiunque ha il diritto di autorizzare, se consentito dalla legislazione nazionale applicabile, un’autorità di supervisione o un altro rappresentante a proporre ricorso amministrativo per proprio conto.
3. L’autorità competente alla quale è chiesto il rimedio procede alle opportune inchieste e verifiche, e senza indebito ritardo ne trasmette per iscritto, anche con mezzi elettronici, i risultati, comprese le azioni migliorative o correttive adottate, se del caso. L’informativa sulla procedura per proporre eventuale ulteriore ricorso amministrativo è conforme all’articolo 20.
Articolo 19: Ricorso giurisdizionale
1. Le parti dispongono nei rispettivi quadri giuridici applicabili che, fatto salvo l’eventuale requisito del previo esperimento del ricorso amministrativo, ogni cittadino di una parte ha il diritto di chiedere il controllo giurisdizionale in relazione a quanto segue:
a) diniego da parte di un’autorità competente dell’accesso alla documentazione contenente informazioni personali che lo riguardano;
b) diniego da parte di un’autorità competente della modifica della documentazione contenente informazioni personali che lo riguardano;
c) deliberata o intenzionale comunicazione illecita di informazioni personali che lo riguardano, il che include la possibilità di risarcimento dei danni.
2. Il controllo giurisdizionale è chiesto e ottenuto conformemente al quadro giuridico applicabile dello Stato in cui è chiesto il rimedio.
3. I paragrafi 1 e 2 non pregiudicano qualunque altro controllo giurisdizionale disponibile in relazione al trattamento delle informazioni personali di una persona in base alla legislazione dello Stato in cui è chiesto il rimedio.
4. In caso di sospensione o denuncia dell’accordo, l’articolo 26, paragrafo 2, o l’articolo 29, paragrafo 3, non costituisce una base per proporre un ricorso giurisdizionale che non è più disponibile ai sensi della legislazione della parte in questione.
Articolo 20: Trasparenza
1. Le parti forniscono alle persone fisiche, in relazione alle loro informazioni personali, informazioni, che possono essere fornite dalle autorità competenti mediante pubblicazione di avvisi generali o comunicazione individuale, nella forma e nel momento stabiliti dalla legge applicabile all’autorità che le fornisce, riguardanti:
a) le finalità del trattamento delle informazioni da parte dell’autorità in questione;
b) le finalità per le quali le informazioni possono essere condivise con altre autorità;
c) le leggi o le norme ai cui sensi ha luogo il trattamento;
d) i terzi ai quali le informazioni sono comunicate;
e) l’accesso, la correzione o la rettifica e il ricorso disponibili.
2. Tale obbligo di informativa è soggetto alle limitazioni ragionevoli previste dalla legislazione nazionale in relazione alle finalità di cui all’articolo 16, paragrafo 2, lettere da a) a f).
Articolo 21: Supervisione efficace
1. Le parti si dotano di una o più autorità di supervisione pubbliche che:
a) esercitano funzioni e poteri di supervisione indipendente, tra cui verifica, indagine e intervento, se del caso su propria iniziativa;
b) hanno il potere di ricevere e dar seguito ai reclami presentati da persone fisiche in merito alle misure di attuazione del presente accordo;
c) hanno il potere di segnalare le violazioni di legge connesse al presente accordo ai fini di un’azione giudiziaria o disciplinare, a seconda dei casi.
2. L’Unione europea provvede alla supervisione ai sensi del presente articolo tramite le sue autorità di protezione dei dati e quelle degli Stati membri.
3. Gli Stati Uniti provvedono alla supervisione ai sensi del presente articolo cumulativamente tramite più autorità, che possono includere gli ispettori generali (inspectors general), i responsabili della protezione della vita privata (chief privacy officers), gli uffici per la responsabilità governativa (government accountability offices), le autorità per la tutela della vita privata e delle libertà civili (privacy and civil liberties oversight boards) e altre pertinenti autorità esecutive e legislative preposte alla verifica del rispetto della vita privata e delle libertà civili.
Articolo 22: Cooperazione tra le autorità di supervisione
1. All’occorrenza le autorità che effettuano la supervisione ai sensi dell’articolo 21 si consultano in merito all’espletamento delle funzioni in relazione al presente accordo, al fine di garantire l’attuazione efficace delle disposizioni degli articoli 16, 17 e 18.
2. Le parti istituiscono punti di contatto nazionali che presteranno assistenza nell’identificazione dell’autorità di supervisione a cui rivolgersi nei singoli casi.
Articolo 23: Verifica congiunta
1. Le parti procedono periodicamente a una verifica congiunta delle politiche e delle procedure che attuano il presente accordo e della loro efficacia. Nel corso della verifica congiunta è prestata particolare attenzione all’attuazione efficace delle tutele di cui all’articolo 14 sull’assunzione di responsabilità, all’articolo 16 sull’accesso, all’articolo 17 sulla rettifica, all’articolo 18 sul ricorso amministrativo e all’articolo 19 sul ricorso giurisdizionale.
2. La prima verifica congiunta è effettuata entro tre anni dalla data di entrata in vigore del presente accordo e quelle successive a scadenze regolari. Le parti convengono in anticipo le modalità e i termini della verifica congiunta e si comunicano la composizione delle rispettive delegazioni, che include rappresentanti delle autorità di supervisione pubbliche di cui all’articolo 21 sulla supervisione efficace, e delle autorità di contrasto e giudiziarie. I risultati della verifica congiunta sono resi pubblici.
3. Qualora le parti o gli Stati Uniti e uno Stato membro abbiano concluso un altro accordo il cui oggetto rientra nel campo di applicazione del presente accordo e che prevede verifiche congiunte, tali verifiche congiunte non vanno ripetute e i loro risultati, se pertinenti, sono integrati in quelli della verifica congiunta ai sensi del presente accordo.
Articolo 24: Notificazione
1. Gli Stati Uniti notificano all’Unione europea ogni designazione effettuata dalle autorità statunitensi in relazione all’articolo 19 e le relative modifiche.
2. Le parti si adoperano in ogni modo ragionevole per notificarsi l’adozione di eventuali disposizioni legislative o regolamentari che possano avere ripercussioni concrete sull’attuazione del presente accordo, se fattibile prima che diventino efficaci.
Articolo 25: Consultazione
In caso di controversia sull’interpretazione o sull’applicazione del presente accordo le parti si consultano al fine di giungere a una soluzione reciprocamente accettabile.
Articolo 26: Sospensione
1. In caso di violazione sostanziale del presente accordo, ciascuna parte può sospenderlo, in tutto o in parte, mediante notificazione scritta per via diplomatica all’altra parte. Tale notificazione scritta può essere effettuata solo dopo che le parti si sono impegnate in un ragionevole periodo di consultazione senza giungere a una soluzione, e la sospensione ha effetto decorsi venti giorni dalla data di ricezione della notificazione. La sospensione può essere revocata dalla parte che l’ha notificata, mediante notificazione scritta all’altra parte. La sospensione è revocata non appena ricevuta tale notificazione.
2. Nonostante la sospensione del presente accordo, i dati personali che rientrano nel suo campo di applicazione e che sono stati trasferiti prima della sua sospensione continuano ad essere trattati conformemente al presente accordo.
Articolo 27: Applicazione territoriale
|
1. Il presente accordo si applica alla Danimarca, al Regno Unito o all’Irlanda solo se la Commissione europea notifica per iscritto agli Stati Uniti che la Danimarca, il Regno Unito o l’Irlanda hanno deciso che il presente accordo si applica al loro Stato. 2. Se prima dell’entrata in vigore del presente accordo la Commissione europea notifica agli Stati Uniti che esso si applica alla Danimarca, al Regno Unito o all’Irlanda, il presente accordo si applica a tali Stati a decorrere dalla data di entrata in vigore del presente accordo. 3. Se dopo l’entrata in vigore del presente accordo la Commissione europea notifica agli Stati Uniti che esso si applica alla Danimarca, al Regno Unito o all’Irlanda, il presente accordo si applica a tali Stati a decorrere dal primo giorno del mese successivo alla ricezione della notificazione da parte degli Stati Uniti. |
Articolo 28: Durata dell’accordo
Il presente accordo è concluso per una durata illimitata.
Articolo 29: Entrata in vigore e denuncia
1. Il presente accordo entra in vigore il primo giorno del mese successivo alla data in cui le parti si sono scambiate le notificazioni di avvenuto espletamento delle rispettive procedure interne a tal fine necessarie.
2. Ciascuna parte può denunciare il presente accordo mediante notificazione scritta per via diplomatica all’altra parte. La denuncia ha effetto decorsi trenta giorni dalla data di ricezione della notificazione.
3. Nonostante la denuncia del presente accordo, le informazioni personali che rientrano nel suo campo di applicazione e che sono state trasferite prima della sua denuncia continuano ad essere trattate conformemente al presente accordo.
IN FEDE DI CHE, i plenipotenziari sottoscritti hanno apposto la propria firma in calce al presente accordo.
Fatto a […], addì […] 201[...], in due originali in lingua inglese. Ai sensi del diritto dell’UE, il presente accordo è redatto dall’UE in lingua bulgara, ceca, croata, danese, estone, finlandese, francese, greca, irlandese, italiana, lettone, lituana, maltese, neerlandese, polacca, portoghese, rumena, slovacca, slovena, spagnola, svedese, tedesca e ungherese. Tali versioni linguistiche aggiuntive possono essere autenticate mediante scambio di note diplomatiche tra gli Stati Uniti e l’Unione europea. In caso di divergenza tra versioni linguistiche autentiche, prevale la versione in lingua inglese.