Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Fonti normative e documenti

2000/520/CE

Decisione della Commissione, del 26 luglio 2000, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull'adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative «Domande più frequenti» (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti
[notificata con il numero C(2000) 2441]
(Testo rilevante ai fini del SEE)
(Gazzetta ufficiale n. L 215 del 25/08/2000 PAG. 0007 - 0047)

LA COMMISSIONE DELLE COMUNITÀ EUROPEE,

visto il trattato che istituisce la Comunità europea,
vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati(1), in particolare l'articolo 25, paragrafo 6,
considerando quanto segue:
(1) A norma della direttiva 95/46/CE, gli Stati membri sono tenuti a consentire il trasferimento verso un paese terzo di dati personali soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato e se vengono rispettate, prima del trasferimento stesso, norme di attuazione delle altre disposizioni della direttiva adottate dagli Stati membri.
(2) La Commissione può constatare che un paese terzo garantisce un livello di protezione adeguato. In tal caso è possibile trasferire dati personali dagli Stati membri senza che siano necessarie ulteriori garanzie.
(3) A norma della direttiva 95/46/CE, il livello di protezione dei dati personali deve essere valutato con riguardo a tutte le circostanze relative a un trasferimento o a una categoria di trasferimenti di dati e nel rispetto di determinate condizioni; il gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali(2) ha fornito indicazioni circa le modalità di effettuazione di tali valutazioni(3).
(4) Tenuto conto della diversità degli approcci in materia di tutela dei dati nei paesi terzi, la valutazione dell'adeguatezza e le decisioni a norma dell'articolo 25, paragrafo 6, della direttiva 95/46/CE devono essere eseguite in modo da non produrre discriminazioni arbitrarie o ingiustificate nei confronti dei paesi terzi o fra questi, qualora sussistano condizioni analoghe, e da non costituire ostacoli dissimulati agli scambi, tenendo conto degli attuali impegni internazionali della Comunità.
(5) Per il trasferimento di dati dalla Comunità agli Stati Uniti, il livello adeguato di protezione di cui alla presente decisione sarebbe raggiunto ove le organizzazioni si conformino ai "principi dell'approdo sicuro in materia di riservatezza" ("The Safe Harbor Privacy Principles"), in prosieguo "i principi", nonché alle "domande più frequenti" ("Frequently Asked Questions"), in prosieguo "FAQ", pubblicate dal governo degli Stati Uniti in data 21 luglio 2000, che forniscono indicazioni per l'attuazione dei principi stessi. Le organizzazioni devono inoltre rendere note pubblicamente le loro politiche in materia di riservatezza e sono sottoposte all'autorità della Commissione federale per il commercio (FTC) ai sensi della sezione 5 del Federal Trade Commission Act, che vieta attività o pratiche sleali o ingannevoli in materia commerciale o collegata al commercio, oppure di altri organismi istituiti con legge in grado di assicurare efficacemente il rispetto dei principi applicati in conformità alle FAQ.
(6) I settori e/o le attività di elaborazione dei dati non sottoposti all'autorità di alcun ente governativo degli Stati Uniti di cui all'allegato VII non rientrano nell'ambito della presente decisione.
(7) Al fine di assicurare la corretta applicazione della presente decisione, è necessario che le organizzazioni che aderiscono ai principi ed alle FAQ possano essere riconosciute dalle parti interessate, quali le persone che sono oggetto dei dati, gli esportatori di dati e le autorità per la protezione dei dati; a tal fine il Dipartimento del commercio degli Stati Uniti, o l'ente da esso designato, deve assumersi il compito di compilare e rendere disponibile al pubblico un elenco delle organizzazioni che autocertificano la loro adesione ai principi applicati in conformità alle FAQ e sono sottoposte all'autorità di almeno uno degli enti governativi di cui all'allegato VII della presente decisione.
(8) Nell'interesse della trasparenza, e per salvaguardare la facoltà delle competenti autorità degli Stati membri di assicurare la protezione degli individui riguardo al trattamento dei dati personali, è necessario che la presente decisione specifichi le circostanze eccezionali in cui può essere giustificata la sospensione di specifici flussi di dati anche in caso di constatazione di adeguata protezione.
(9) L'approdo sicuro creato dai principi e dalle FAQ può richiedere una revisione alla luce dell'esperienza e degli sviluppi riguardanti la tutela della vita privata in un contesto in cui la tecnologia rende sempre più facile il trasferimento e il trattamento dei dati personali, e dei risultati delle attività di applicazione e di esecuzione da parte delle autorità competenti.
(10) Il gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall'articolo 29 della direttiva 95/46/CE si è espresso sul livello di protezione garantito dai principi di "approdo sicuro" negli Stati Uniti. In sede di elaborazione della presente decisione si è tenuto conto dei pareri espressi da tale gruppo(4).
(11) Le misure previste dalla presente decisione sono conformi al parere del comitato istituito dall'articolo 31 della direttiva 95/46/CE


HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

1. Ai fini dell'applicazione dell'articolo 25, paragrafo 2, della direttiva 95/46/CE, per tutte le attività che rientrano nel campo di applicazione di detta direttiva, si considera che i "Principi di approdo sicuro in materia di riservatezza", in prosieguo i "principi", di cui all'allegato I della presente decisione, applicati in conformità agli orientamenti forniti dalle "Domande più frequenti" (FAQ) di cui all'allegato II della presente decisione, pubblicate dal Dipartimento del commercio degli Stati Uniti in data 21 luglio 2000, garantiscano un livello adeguato di protezione dei dati personali trasferiti dalla Comunità a organizzazioni aventi sede negli Stati Uniti sulla base della seguente documentazione pubblicata dal Dipartimento del commercio degli Stati Uniti:
a) riepilogo delle modalità di esecuzione dei principi di approdo sicuro, di cui all'allegato III;
b) memorandum sui danni per violazioni della riservatezza ed autorizzazioni esplicite previste dalle leggi degli Stati Uniti, di cui all'allegato IV;
c) lettera della Commissione federale per il commercio (FTC), di cui all'allegato V;
d) lettera del Dipartimento dei trasporti degli Stati Uniti, di cui all'allegato VI.
2. Le seguenti condizioni devono sussistere in relazione a ogni singolo trasferimento di dati:
a) l'organizzazione che riceve i dati si è chiaramente e pubblicamente impegnata a conformarsi ai principi applicati in conformità alle FAQ, e
b) detta organizzazione è sottoposta all'autorità prevista per legge di un ente governativo degli Stati Uniti, compreso nell'elenco di cui all'allegato VII, competente ad esaminare denunce e a imporre la cessazione di prassi sleali e fraudolente nonché a disporre il risarcimento di qualunque soggetto, a prescindere dal paese di residenza o dalla nazionalità, danneggiato a seguito del mancato rispetto dei principi applicati in conformità alle FAQ.
3. Le condizioni di cui al paragrafo 2 sono considerate soddisfatte per ogni organizzazione che autocertifica la sua adesione ai principi applicati in conformità alle FAQ a partire dalla data di notifica al Dipartimento del commercio degli Stati Uniti (o all'ente da esso designato) del pubblico annuncio dell'impegno di cui al paragrafo 2, lettera a), e dell'identità dell'ente governativo di cui al paragrafo 2, lettera b).

Articolo 2

La presente decisione dispone soltanto in merito all'adeguatezza della protezione offerta negli Stati Uniti, in base ai principi applicati in conformità alle FAQ, al fine di quanto prescritto dall'articolo 25, paragrafo 1, della direttiva 95/46/CE. Essa nulla dispone relativamente all'applicazione di altre disposizioni della stessa direttiva, relative al trattamento di dati personali all'interno degli Stati membri e in particolare dell'articolo 4 della stessa.

Articolo 3

1. Fatto salvo il loro potere di adottare misure per garantire l'ottemperanza alle disposizioni nazionali adottate in forza di disposizioni diverse dall'articolo 25 della direttiva 95/46/CE, le autorità competenti degli Stati membri possono avvalersi dei loro poteri, al fine di tutelare gli interessati con riferimento al trattamento dei dati personali che li riguardano, per sospendere flussi di dati diretti a un'organizzazione che ha autocertificato la sua adesione ai principi applicati in conformità alle FAQ nei casi in cui:
a) gli enti governativi degli Stati Uniti di cui all'allegato VII della presente decisione, o un organismo indipendente di ricorso ai sensi della lettera a) del "principio di esecuzione" di cui all'allegato I della presente decisione abbiano accertato che l'organizzazione viola i principi applicati in conformità alle FAQ, oppure
b) sia molto probabile che i principi vengano violati; vi siano ragionevoli motivi per ritenere che l'organismo di esecuzione competente non stia adottando o non adotterà misure adeguate e tempestive per risolvere un caso concreto, la continuazione del trasferimento dei dati potrebbe determinare un rischio imminente di gravi danni per gli interessati e le autorità competenti dello Stato membro abbiano fatto il possibile, date le circostanze, per informare l'organizzazione dandole l'opportunità di replicare.
La sospensione dei flussi deve cessare non appena sia garantito il rispetto dei principi applicati in conformità alle FAQ e ciò sia stato notificato alle competenti autorità dell'UE.
2. Gli Stati membri comunicano immediatamente alla Commissione l'adozione di misure a norma del paragrafo 1.
3. Gli Stati membri e la Commissione s'informano altresì a vicenda in merito ai casi in cui l'azione degli organismi responsabili non garantisca la conformità ai principi applicati in conformità alle FAQ negli Stati Uniti.
4. Ove le informazioni di cui ai paragrafi 1, 2 e 3 del presente articolo provino che uno degli organismi incaricati di garantire la conformità ai principi applicati conformemente alle FAQ negli Stati Uniti non svolge la sua funzione in modo efficace, la Commissione ne informa il Dipartimento del commercio degli Stati Uniti e, se necessario, presenta progetti di misure secondo la procedura istituita dall'articolo 31 della direttiva 95/46/CE, al fine di annullare o sospendere la presente decisione o limitarne il campo d'applicazione.

Articolo 4

1. La presente decisione può essere adattata in qualsiasi momento alla luce dell'esperienza acquisita nella sua attuazione e/o qualora il livello di protezione offerta dai principi e dalle FAQ sia superato dai requisiti della legislazione degli Stati Uniti. La Commissione valuta in ogni caso l'applicazione della presente decisione tre anni dopo la sua notifica agli Stati membri sulla base delle informazioni disponibili e comunica qualsiasi riscontro al comitato istituito dall'articolo 31 della direttiva 95/46/CE, fornendo altresì ogni indicazione che possa influire sulla valutazione relativa all'adeguata salvaguardia offerta dalla disposizione di cui all'articolo 1 della presente decisione, ai sensi dell'articolo 25 della direttiva 95/46/CE, nonché di eventuali applicazioni discriminatorie della decisione stessa.
2. La Commissione, se necessario, presenta progetti di opportuni provvedimenti in conformità alla procedura di cui all'articolo 31 della direttiva 95/46/CE.

Articolo 5

Gli Stati membri adottano le misure necessarie per conformarsi alla presente decisione entro 90 giorni dalla data di notifica delle stesse.

Articolo 6

Gli Stati membri sono destinatari della presente decisione.

Fatto a Bruxelles, il 26 luglio 2000.

Per la Commissione
Frederik Bolkestein
Membro della Commissione

(1) GU L 281 del 23.11.1995, pag. 31.
(2) L'indirizzo web del gruppo di lavoro è il seguente: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.
(3) WP 12: Trasferimenti di dati personali a paesi terzi: applicazione degli artt. 25 e 26 della direttiva UE sulla protezione dei dati, documento approvato dal gruppo di lavoro il 24 luglio 1998.
(4) WP 15: Parere 1/99 concernente il livello di protezione dei dati negli Stati Uniti e le discussioni in corso fra la Commissione europea e gli Stati Uniti.
WP 19: Parere 2/99 sull'adeguatezza dei principi internazionali dell'approdo sicuro pubblicati dal Dipartimento del commercio degli Stati Uniti il 19 aprile 1999.
WP 21: Parere 4/99 sulle domande più frequenti (FAQ) che devono essere pubblicate dal Dipartimento del commercio degli Stati Uniti in relazione ai proposti principi dell'approdo sicuro sull'adeguatezza dei principi internazionali dell'approdo sicuro.
WP 23: Documento di lavoro sull'attuale stato delle discussioni in corso fra la Commissione europea ed il governo degli Stati Uniti concernenti i principi internazionali dell'approdo sicuro.
WP 27: Parere 7/99 sul livello della protezione dei dati fornito dai principi dell'approdo sicuro pubblicati unitamente alle domande più frequenti (FAQ) e agli altri documenti relativi il 15 e 16 novembre 1999 dal Dipartimento del commercio degli Stati Uniti.
WP 31: Parere 3/2000 sul dialogo UE/USA concernente l'accordo sull'approdo sicuro.
WP 32: Parere 4/2000 sul livello di protezione fornito dai principi dell'approdo sicuro.