L_2016207IT.01000101.xml
1.8.2016 | IT | Gazzetta ufficiale dell'Unione europea | L 207/1 |
DECISIONE DI ESECUZIONE (UE) 2016/1250 DELLA COMMISSIONE
del 12 luglio 2016
a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy
[notificata con il numero C(2016) 4176]
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (1), in particolare l'articolo 25, paragrafo 6,
sentito il garante europeo della protezione dei dati (2),
1. INTRODUZIONE
(1) | La direttiva 95/46/CE stabilisce le regole per il trasferimento dei dati personali dagli Stati membri ai paesi terzi nella misura in cui tale trasferimento rientri nel suo ambito d'applicazione. |
(2) | L'articolo 1 e i considerando 2 e 10 della direttiva 95/46 intendono garantire non solo una tutela efficace e completa delle libertà e dei diritti fondamentali delle persone fisiche, e segnatamente del diritto fondamentale al rispetto della vita privata con riguardo al trattamento dei dati personali, ma anche un livello elevato di protezione di tali libertà e diritti fondamentali (3). |
(3) | La giurisprudenza della Corte di giustizia (4) sottolinea l'importanza sia del diritto fondamentale al rispetto della vita privata, garantito dall'articolo 7 della Carta dei diritti fondamentali dell'Unione europea, sia del diritto fondamentale alla protezione dei dati personali, garantito dall'articolo 8 della stessa. |
(4) | A norma dell'articolo 25, paragrafo 1, della direttiva 95/46/CE, gli Stati membri sono tenuti a consentire il trasferimento di dati personali verso un paese terzo soltanto se il paese terzo garantisce un livello di protezione adeguato e se, prima del trasferimento stesso, sono rispettate le norme adottate dagli Stati membri in attuazione delle altre disposizioni della direttiva. La Commissione può constatare che un paese terzo garantisce tale livello di protezione adeguato in considerazione della sua legislazione nazionale o degli impegni internazionali che ha stipulato per proteggere i diritti delle persone. Fermo restando il rispetto delle disposizioni nazionali adottate conformemente alle altre disposizioni della direttiva, gli Stati membri possono in tale caso trasferire i dati personali senza che siano necessarie garanzie supplementari. |
(5) | A norma dell'articolo 25, paragrafo 2, della direttiva 95/46/CE, il livello di protezione garantito da un paese terzo dovrebbe essere valutato con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati, comprese le norme di diritto, generali o settoriali, vigenti nel paese terzo in questione. |
(6) | La decisione 2000/520/CE della Commissione (5) ha considerato che, ai fini dell'articolo 25, paragrafo 2, della direttiva 95/46/CE, i principi di approdo sicuro, attuati nel rispetto delle indicazioni fornite nelle cosiddette «domande più frequenti» pubblicate dal Dipartimento del Commercio degli Stati Uniti, garantissero un livello adeguato di protezione dei dati personali trasferiti dall'Unione alle organizzazioni stabilite negli Stati Uniti d'America. |
(7) | Nelle comunicazioni COM(2013) 846 final (6) e COM(2013) 847 final (7) del 27 novembre 2013, la Commissione ha affermato la necessità di rivedere e rafforzare il fondamento stesso del regime dell'approdo sicuro, in considerazione di una serie di fattori che sollevavano dubbi circa il livello di tutela che il regime era in grado di garantire, tra cui l'aumento esponenziale dei flussi di dati e la relativa importanza fondamentale per l'economia transatlantica, la rapida crescita del numero di imprese statunitensi aderenti al regime dell'approdo sicuro e le nuove informazioni disponibili sull'ampiezza e la portata di alcuni programmi di intelligence statunitensi. La Commissione ha riscontrato inoltre una serie di carenze e lacune nel regime dell'approdo sicuro. |
(8) | Muovendo dalle prove raccolte, tra cui le informazioni emerse dai lavori del gruppo di contatto UE-Stati Uniti sulla vita privata (8) e le informazioni sui programmi di intelligence statunitensi ricevute nell'ambito del gruppo di lavoro ad hoc UE-USA (9), la Commissione ha formulato 13 raccomandazioni per una revisione del regime dell'approdo sicuro. Le raccomandazioni chiedevano di rafforzare i principi sostanziali in materia di privacy attraverso una maggiore trasparenza delle politiche della privacy applicate delle imprese statunitensi che si autocertificano come aderenti al regime, un'azione più incisiva delle autorità statunitensi in termini di verifica, vigilanza e controllo dell'osservanza di tali principi, la disponibilità di meccanismi di composizione delle controversie di costo accessibile e la necessità di limitare alla misura strettamente necessaria e proporzionata il ricorso all'eccezione per motivi di sicurezza nazionale prevista dalla decisione 2000/520/CE. |
(9) | Con la sentenza del 6 ottobre 2015 nella causa C-362/14 Maximillian Schrems contro Data Protection Commissioner (10), la Corte di giustizia dell'Unione europea ha dichiarato invalida la decisione 2000/520/CE. Senza esaminare i principi dell'approdo sicuro nel merito, la Corte ha rilevato che, in tale decisione, la Commissione non ha affermato che gli Stati Uniti d'America «garantiscono» effettivamente un livello di protezione adeguato in considerazione della loro legislazione nazionale o dei loro impegni internazionali (11). |
(10) | Al riguardo la Corte di giustizia ha chiarito che l'espressione «livello di protezione adeguato» figurante all'articolo 25, paragrafo 6, della direttiva 95/46/CE, pur non implicando un livello di protezione identico a quello garantito nell'ordinamento giuridico dell'Unione, deve essere intesa nel senso che esige che il paese terzo assicuri un livello di protezione delle libertà e dei diritti fondamentali «sostanzialmente equivalente» a quello garantito all'interno dell'Unione in forza della direttiva 95/46/CE, letta alla luce della Carta dei diritti fondamentali. Anche se gli strumenti dei quali tale paese terzo si avvale al riguardo possono essere diversi da quelli attuati all'interno dell'Unione, tali strumenti devono cionondimeno rivelarsi efficaci nella prassi (12). |
(11) | La Corte di giustizia ha criticato il fatto che nella decisione 2000/520/CE manchino dichiarazioni sufficienti quanto all'esistenza, negli Stati Uniti, di norme statali destinate a limitare le eventuali ingerenze nei diritti fondamentali delle persone i cui dati vengono trasferiti dall'Unione verso gli Stati Uniti, ingerenze che entità statali di tale paese sarebbero autorizzate a compiere laddove perseguano obiettivi legittimi, come la sicurezza nazionale, e quanto all'esistenza di una tutela giuridica efficace nei confronti delle ingerenze di tale natura (13). |
(12) | Nel 2014 la Commissione ha avviato un dialogo con le autorità statunitensi al fine di discutere di un rafforzamento del regime dell'approdo sicuro in linea con le 13 raccomandazioni formulate nella comunicazione COM(2013) 847 final. I colloqui si sono intensificati a seguito della sentenza Schrems della Corte di giustizia dell'Unione europea, nella prospettiva dell'adozione di un'eventuale nuova decisione sull'adeguatezza rispondente ai requisiti dell'articolo 25 della direttiva 95/46/CE quali interpretati dalla Corte di giustizia. I documenti allegati alla presente decisione, che saranno pubblicati anche nel Registro federale degli Stati Uniti d'America, costituiscono il risultato delle discussioni tenute. I principi in materia di privacy (allegato II) costituiscono, insieme agli impegni e alle dichiarazioni ufficiali delle varie autorità degli Stati Uniti riportati nei documenti di cui agli allegati I e da III a VII, lo «scudo UE-USA per la privacy» («scudo» o «regime»). |
(13) | La Commissione ha analizzato con attenzione le leggi e pratiche applicate negli Stati Uniti, compresi detti impegni e dichiarazioni ufficiali. In base alle constatazioni illustrate nei considerando 136-140, la Commissione giunge alla conclusione che gli Stati Uniti d'America assicurano un livello di protezione adeguato dei dati personali trasferiti nell'ambito dello scudo dall'Unione alle organizzazioni statunitensi che si sono autocertificate come aderenti al regime. |
2. SCUDO UE-USA PER LA PRIVACY
(14) | Lo scudo UE-USA per la privacy si fonda su un sistema di autocertificazione in base al quale l'organizzazione statunitense s'impegna a rispettare un insieme di principi in materia di privacy, ossia i principi del regime dello scudo UE-USA per la privacy, comprensivi dei principi supplementari (collettivamente denominati qui di seguito «principi»), emanati dal Dipartimento del Commercio degli USA e riportati nell'allegato II della presente decisione. Lo scudo si applica sia ai titolari sia ai responsabili del trattamento (procuratori), con la specificità che un contratto deve vincolare il responsabile del trattamento ad agire esclusivamente secondo le istruzioni del titolare del trattamento dell'UE e a prestargli assistenza per rispondere alle persone che esercitano i loro diritti nell'ambito dei principi (14). |
(15) | Fermo restando il rispetto delle disposizioni nazionali adottate in applicazione della direttiva 95/46/CE, la presente decisione ha l'effetto di autorizzare il trasferimento dei dati personali dai titolari o responsabili del trattamento nell'Unione alle organizzazioni presenti negli USA che si sono autocertificate come aderenti |
...