EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 02001D0497-20050401
Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC (notified under document number C(2001) 1539) (Text with EEA relevance) (2001/497/EC)
Consolidated text: Decisione della Commissione del 15 giugno 2001 relativa alle clausole contrattuali tipo per il trasferimento di dati a carattere personale verso paesi terzi a norma della direttiva 95/46/CE [notificata con il numero C(2001) 1539] (Testo rilevante ai fini del SEE) (2001/497/CE)
Decisione della Commissione del 15 giugno 2001 relativa alle clausole contrattuali tipo per il trasferimento di dati a carattere personale verso paesi terzi a norma della direttiva 95/46/CE [notificata con il numero C(2001) 1539] (Testo rilevante ai fini del SEE) (2001/497/CE)
- Date of document:
- 01/04/2005
- Date of effect:
- 01/04/2005
- Author:
- Not available
- Form:
- Testo consolidato
- Additional information:
- LASTMODIN 32004D0915
- Link
- Link
- Link
- Select all documents mentioning this document
- Consolidation: basic act:
- 32001D0497
2001D0497 — IT — 01.04.2005 — 001.001
Trattandosi di un semplice strumento di documentazione, esso non impegna la responsabilità delle istituzioni
|
DECISIONE DELLA COMMISSIONE del 15 giugno 2001 relativa alle clausole contrattuali tipo per il trasferimento di dati a carattere personale verso paesi terzi a norma della direttiva 95/46/CE [notificata con il numero C(2001) 1539] (Testo rilevante ai fini del SEE) (GU L 181, 4.7.2001, p.19) |
Modificato da:
|
|
|
Gazzetta ufficiale |
||
|
No |
page |
date |
||
|
L 385 |
74 |
29.12.2004 |
||
DECISIONE DELLA COMMISSIONE
del 15 giugno 2001
relativa alle clausole contrattuali tipo per il trasferimento di dati a carattere personale verso paesi terzi a norma della direttiva 95/46/CE
[notificata con il numero C(2001) 1539]
(Testo rilevante ai fini del SEE)
(2001/497/CE)
LA COMMISSIONE DELLE COMUNITÀ EUROPEE,
visto il trattato che istituisce la Comunità europea,
vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ( 1 ), in particolare l'articolo 26, paragrafo 4,
considerando quanto segue:|
(1) |
A norma della direttiva 95/46/CE, gli Stati membri devono assicurarsi che un trasferimento di dati a carattere personale verso un paese terzo possa avere luogo soltanto se il paese terzo in questione garantisce un livello adeguato di protezione dei dati e se la legislazione degli Stati membri attuativa delle altre disposizioni della direttiva viene rispettata prima del trasferimento. |
|
(2) |
L'articolo 26, paragrafo 2, della direttiva 95/46/CE prevede tuttavia che gli Stati membri possano autorizzare, nel rispetto di determinate garanzie, un trasferimento o una serie di trasferimenti di dati personali verso paesi terzi che non assicurino un livello adeguato di protezione dei dati. Dette garanzie possono in particolare essere fornite dalla previsione di appropriate clausole contrattuali. |
|
(3) |
A norma della direttiva 95/46/CE, il livello di protezione dei dati deve essere valutato alla luce di tutte le circostanze relative all'operazione o serie di operazioni di trasferimento di dati. Il gruppo di lavoro sulla protezione degli individui per quanto riguarda il trattamento dei dati personali costituito ai sensi della direttiva ( 2 ) ha elaborato una serie di linee direttrici per l'effettuazione di questa valutazione ( 3 ). |
|
(4) |
L'articolo 26, paragrafo 2, della direttiva 95/46/CE, che consente una certa flessibilità nei riguardi di organizzazioni che debbano trasferire dati personali in paesi terzi, nonché l'articolo 26, paragrafo 4, che prevede clausole contrattuali tipo, costituiscono elementi essenziali per il mantenimento del necessario flusso di dati personali fra la Comunità europea e i paesi terzi, senza creare inutili oneri per gli operatori economici. Tali disposizioni rivestono particolare importanza in quanto è probabile che la Commissione, a breve o anche a medio termine, constati l'adeguatezza del livello di protezione ai sensi dell'articolo 25, paragrafo 6, soltanto per un numero limitato di paesi. |
|
(5) |
Le clausole contrattuali tipo costituiscono soltanto una delle possibilità previste dalla direttiva 95/46/CE per la liceità dei trasferimenti di dati personali in paesi terzi, oltre a quanto previsto agli articoli 25 e 26, paragrafi 1 e 2. Sarà più agevole per le organizzazioni trasferire i dati in paesi terzi incorporando tali clausole nei contratti. Le clausole contrattuali tipo riguardano soltanto la protezione dei dati. Gli esportatori e importatori dei dati sono liberi di inserire altre clausole a carattere commerciale ritenute pertinenti ai fini del contratto, ad esempio in materia di assistenza reciproca in caso di controversie con le persone interessate dai dati o con un'autorità di controllo, purché esse non siano incompatibili con le clausole tipo. |
|
(6) |
La presente decisione deve applicarsi fatte salve le eventuali autorizzazioni concesse dagli Stati membri ai sensi delle disposizioni nazionali di attuazione dell'articolo 26, paragrafo 2. La presente decisione ha esclusivamente l'effetto di vietare che gli Stati membri rifiutino di riconoscere come adeguate garanzie le clausole contrattuali in essa contenute, e non produce alcun effetto su clausole contrattuali diverse. |
|
(7) |
La presente decisione si limita a prevedere che le clausole di cui all'allegato possono essere utilizzate da un responsabile del trattamento con sede nella Comunità europea come garanzie sufficienti ai sensi dell'articolo 26, paragrafo 2, della direttiva 95/46/CE. Il trasferimento di dati personali in paesi terzi costituisce un'operazione di trattamento in uno Stato membro la cui legittimità è soggetta alla legislazione nazionale. Le autorità di controllo in materia di protezione dei dati degli Stati membri, nell'esercizio di funzioni e poteri loro attribuiti ai sensi dell'articolo 28 della direttiva 95/46/CE, restano competenti per determinare se l'esportatore dei dati ha rispettato la legislazione nazionale che recepisce le disposizioni della direttiva 95/46/CE, ed in particolare eventuali norme specifiche per quanto riguarda l'obbligo di fornire informazioni a norma della direttiva. |
|
(8) |
L'ambito di applicazione della presente decisione non si estende al trasferimento di dati personali, operato da responsabili del trattamento aventi sede nella Comunità a destinatari aventi sede al di fuori della Comunità, che costituiscano meri incaricati di trattamenti tecnici. Detti trasferimenti non richiedono le stesse garanzie in quanto l'incaricato del trattamento agisce esclusivamente per conto del responsabile del trattamento. La Commissione intende provvedere in ordine a questo genere di trattamenti con una successiva decisione. |
|
(9) |
È opportuno stabilire le informazioni minime che le parti devono specificare nel contratto relativo al trasferimento. Gli Stati membri devono mantenere il potere di specificare le informazioni che le parti sono tenute a fornire. L"applicazione della presente decisione sarà rivista alla luce dell'esperienza acquisita. |
|
(10) |
La Commissione potrà inoltre considerare in futuro se altre clausole tipo presentate da organizzazioni commerciali o altre parti interessate offrano garanzie adeguate ai sensi della direttiva 95/46/CE. |
|
(11) |
Le parti devono essere libere di convenire le prescrizioni alle quali deve conformarsi l'importatore dei dati ai fini dell'effettiva protezione degli stessi, ma determinati principi di protezione devono essere applicati in qualunque circostanza. |
|
(12) |
I dati devono essere trattati e successivamente utilizzati o comunicati ulteriormente soltanto per scopi determinati e non devono essere trattenuti che per il tempo strettamente necessario. |
|
(13) |
Ai sensi dell'articolo 12 della direttiva 95/46/CE le persone interessate dai dati devono avere accesso a tutti i dati che le riguardano e se del caso diritto di rettifica, di cancellazione o di congelamento di determinati dati. |
|
(14) |
L'ulteriore trasferimento di dati personali ad altro responsabile del trattamento, avente sede in un paese terzo, deve essere consentito soltanto subordinatamente al rispetto di determinate condizioni, tendenti in particolare a garantire che le persone interessate dai dati siano adeguatamente informate ed abbiano la possibilità di formulare osservazioni e, in casi determinati, di negare il proprio consenso al trasferimento. |
|
(15) |
Oltre a verificare se i trasferimenti in paesi terzi sono conformi alla legislazione nazionale, le autorità di controllo devono inoltre svolgere un ruolo fondamentale nel meccanismo contrattuale, al fine di garantire che i dati personali siano adeguatamente protetti dopo il trasferimento. In determinate fattispecie le autorità degli Stati membri devono avere la possibilità di proibire o sospendere un trasferimento o serie di trasferimenti di dati basati sulle clausole contrattuali tipo, in relazione a casi eccezionali in cui si accerti che un trasferimento su base contrattuale avrebbe la probabile conseguenza di recare sostanziale pregiudizio alle garanzie di adeguata tutela delle persone interessate dai dati. |
|
(16) |
Deve potersi esigere l'esecuzione delle clausole contrattuali tipo non soltanto su istanza delle parti che stipulano il contratto, ma anche delle persone interessate dai dati, in particolare qualora le stesse subiscano pregiudizio in conseguenza di violazioni del contratto. |
|
(17) |
Il contratto deve essere retto dalla legge dello Stato membro in cui ha sede l'esportatore dei dati, che abiliti il terzo beneficiario di un contratto a ottenerne l'esecuzione. Le persone interessate dai dati devono poter essere rappresentate da associazioni o altre organizzazioni se lo desiderano e se ciò è autorizzato dalla legislazione nazionale. |
|
(18) |
Per ridurre le difficoltà pratiche che le persone interessate dai dati potrebbero incontrare all'atto dell'esercizio dei loro diritti in base alle clausole contrattuali tipo, l'esportatore e l'importatore dei dati devono essere tenuti responsabili separatamente e in solido per danni derivanti da qualsiasi violazione di disposizioni soggette alla clausola del terzo beneficiario. |
|
(19) |
Le persone interessate dai dati hanno diritto di azione nonché diritto al risarcimento del danno a carico dell'esportatore e dell'importatore dei dati stessi, o di entrambi, per i danni derivanti da qualsiasi atto incompatibile con gli obblighi di cui alle clausole contrattuali tipo. Entrambe le parti possono essere esonerate da tale responsabilità se dimostrano di non essere responsabili del danno. |
|
(20) |
La responsabilità separatamente e in solido non si estende alle disposizioni escluse dalla clausola del terzo beneficiario, e non espone necessariamente una delle parti a responsabilità per illecito trattamento ad opera dell'altra. Benché tale reciproco indennizzo fra le parti non costituisca un requisito per l'adeguatezza della tutela delle persone interessate dai dati e le parti possano quindi eliminarlo dal contratto, esso deve essere incluso nelle clausole contrattuali tipo a fini di chiarezza e per evitare che le parti siano obbligate a concordare di volta in volta le clausole in materia di indennizzo. |
|
(21) |
Qualora una disputa fra le parti e le persone interessate dai dati non possa essere risolta amichevolmente e le persone interessate invochino la clausola del terzo beneficiario, le parti convengono di riconoscere alle persone interessate dai dati la possibilità di scegliere fra la mediazione, l'arbitrato e l'azione in giudizio. La misura in cui le persone interessate dai dati potranno effettivamente esercitare tale scelta dipenderà dalla disponibilità di sistemi attendibili e riconosciuti di mediazione e di arbitrato. La mediazione ad opera delle autorità di controllo degli Stati membri deve costituire un'alternativa nel caso in cui esse la forniscano. |
|
(22) |
Il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito in virtù dell'articolo 29 della direttiva 95/46/CE, ha emesso un parere sul livello di protezione raggiunto in base alle clausole contrattuali tipo allegate alla presente decisione che è stato preso in considerazione per la stesura della stessa ( 4 ). |
|
(23) |
Le disposizioni di cui alla presente decisione sono conformi al parere del comitato istituito in virtù dell'articolo 31 della direttiva 95/46/CE, |
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
Le clausole contrattuali tipo di cui all'allegato della presente decisione costituiscono garanzie sufficienti ai fini della tutela della riservatezza, dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi a norma dell'articolo 26, paragrafo 2, della direttiva 95/46/CE.
I responsabili del trattamento potranno optare per uno degli insiemi – I o II – contenuti nell’allegato. Tuttavia, non potranno modificare le clausole né combinare singole clausole, né gli insiemi.
Articolo 2
La presente decisione concerne esclusivamente l'adeguatezza della tutela assicurata dalle clausole contrattuali tipo per il trasferimento di dati personali di cui all'allegato. Essa si applica fatte salve le disposizioni nazionali di attuazione di altre disposizioni della direttiva 95/46/CE relative al trattamento dei dati personali negli Stati membri.
La presente decisione non si applica al trasferimento di dati personali operato da responsabili del trattamento, aventi sede nella Comunità, a destinatari aventi sede al di fuori della Comunità, che costituiscano meri incaricati di trattamenti tecnici.
Articolo 3
Ai fini della presente decisione:
a) si applicano le definizioni della direttiva 95/46/CE;
b) per «categorie particolari di dati» si intendono i dati di cui all'articolo 8 di detta direttiva;
c) per «autorità di controllo» si intende l'autorità di cui all'articolo 28 di detta direttiva;
d) per «esportatore di dati» si intende il responsabile del trattamento che trasferisce dati personali;
e) per «importatore di dati» si intende il responsabile del trattamento che conviene di ricevere dati personali dall'esportatore di dati, a fini di ulteriore trattamento ai sensi della presente decisione.
Articolo 4
1. Fatta salva la possibilità delle competenti autorità degli Stati membri di adottare provvedimenti, al fine di garantire il rispetto delle disposizioni nazionali di attuazione delle disposizioni di cui ai capi II, III, V e VI, della direttiva 95/46/CE, dette autorità possono avvalersi dei poteri loro attribuiti per proibire o sospendere flussi di dati verso paesi terzi, a fini di tutela delle persone per quanto riguarda il trattamento dei rispettivi dati personali, qualora:
a) sia accertato che la legislazione cui è sottoposto l'importatore dei dati lo obbliga a deroghe dai pertinenti principi di protezione dei dati che eccedano quelle ritenute necessarie in una società democratica ai sensi dell'articolo 13 della direttiva 95/46/CE, e che tali deroghe siano probabilmente destinate a recare sostanziale pregiudizio alle garanzie di cui alle clausole contrattuali tipo; oppure
b) un'autorità competente abbia accertato che l'importatore dei dati non ha rispettato le clausole contrattuali; oppure
c) sia sostanzialmente probabile che le clausole contrattuali tipo di cui all'allegato non siano o non saranno rispettate, e che la prosecuzione del trasferimento comporterebbe un rischio imminente di grave pregiudizio alle persone interessate dai dati.
2. Agli effetti del paragrafo 1, quando il responsabile del trattamento affermi l’esistenza di garanzie sufficienti derivate dalle clausole contrattuali tipo contenute nell’insieme II dell’allegato, le autorità competenti in materia di protezione dei dati potranno esercitare i poteri di cui dispongono per proibire o sospendere i flussi di dati in entrambi i seguenti casi:
a) se l’importatore di dati rifiuta di collaborare in buona fede con le autorità competenti in materia di protezione dei dati o di rispettare gli obblighi che gli incombono chiaramente in virtù del contratto;
b) se l’esportatore di dati, dopo aver ricevuto una notifica delle autorità competenti in materia di protezione dei dati, rifiuta di adottare misure adeguate contro l’importatore di dati per far rispettare il contratto entro il termine normale di un mese.
Agli effetti del precedente paragrafo, il rifiuto di cooperazione in buona fede o di esecuzione del contratto da parte dell’importatore non comprende i casi in cui tale cooperazione o esecuzione confligga con gli obblighi imposti dalla legislazione nazionale applicabile all’importatore di dati che non vadano al di là dei limiti necessari in una società democratica per la salvaguardia degli interessi elencati al paragrafo 1 dell’articolo 13 della direttiva 95/46/CE, in particolare le sanzioni previste in strumenti nazionali e/o internazionali, gli obblighi di dichiarazione in materia fiscale o in materia di lotta contro il riciclaggio di denaro.
Agli effetti della lettera a) del primo paragrafo, la cooperazione potrà comprendere, in particolare, la messa a disposizione da parte dell’importatore delle sue installazioni per il trattamento di dati a fini di verifica o l’obbligo di conformarsi ai pareri dell’autorità di controllo della protezione di dati nella Comunità.
3. Il divieto o la sospensione ai sensi dei paragrafi 1 e 2 saranno soppressi non appena cesseranno di esistere i motivi del divieto o della sospensione.
4. Quando gli Stati membri adottano misure in conformità con i paragrafi 1, 2 e 3, ne informano immediatamente la Commissione, che trasmette l’informazione agli altri Stati membri.
Articolo 5
►M1 La Commissione valuterà le modalità di applicazione della presente decisione sulla base delle informazioni disponibili tre anni dopo la sua notifica e dopo la notifica degli eventuali emendamenti agli Stati membri ◄ , e riferisce in merito alle eventuali risultanze al comitato istituito ai sensi dell'articolo 31 della direttiva 95/46/CE, ivi compreso qualsiasi elemento suscettibile di interessare la valutazione di cui all'articolo 1 della presente decisione nonché qualsiasi elemento tale da indicare che la presente decisione viene applicata in maniera discriminatoria.
Articolo 6
La presente decisione si applica dal 3 settembre 2001.
Articolo 7
La presente decisione è indirizzata agli Stati membri.
ALLEGATO
INSIEME I
Appendice 1
alle clausole contrattuali tipo
Appendice 2
alle clausole contrattuali tipo
Principi obbligatori di protezione di cui alla clausola 5, lettera b), primo capoverso
Questi principi di tutela dei dati devono essere letti ed interpretati alla luce delle disposizioni della direttiva 95/46/CE.
Essi si applicano fatte salve le norme imperative di diritto nazionale, cui sia soggetto l'importatore dei dati, che non eccedano quanto necessario, in una società democratica, per i motivi elencati all'articolo 13, paragrafo 1, della direttiva 95/46/CE, cioè se esse costituiscono misure necessarie alla salvaguardia della sicurezza dello Stato, della difesa, della pubblica sicurezza, della prevenzione, della ricerca, dell'accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate, di un rilevante interesse economico o finanziario dello Stato o della protezione della persona interessata o dei diritti e delle libertà altrui.
1. Limitazione del fine: i dati devono essere elaborati e successivamente utilizzati ovvero ulteriormente comunicati esclusivamente ai fini specificati nell'appendice allegata alle presenti clausole contrattuali tipo. I dati non possono essere detenuti più a lungo di quanto necessario ai fini per cui sono stati trasferiti.
2. Qualità e proporzionalità dei dati: i dati devono essere corretti e, ove necessario, aggiornati. I dati devono essere adeguati, pertinenti e non esuberanti in relazione ai fini per cui vengono trasferiti e ulteriormente trattati.
3. Trasparenza: gli individui interessati dai dati devono essere informati sui fini del trattamento e sull'identità del responsabile dello stesso paese terzo, e su qualsiasi altro aspetto necessario per garantire la correttezza del trattamento, salvo che queste informazioni siano già state fornite dall'esportatore dei dati.
4. Sicurezza e riservatezza: il responsabile del trattamento è tenuto a prendere provvedimenti tecnici ed organizzativi di sicurezza appropriati ai rischi presentati dal trattamento, come accesso non autorizzato. Qualsiasi persona che agisca in virtù dell'autorità del responsabile del trattamento non deve effettuare operazioni di trattamento dei dati se non per disposizione del responsabile del trattamento stesso.
5. Diritti di accesso, rettifica, cancellazione e congelamento dei dati: come previsto dall'articolo 12 della direttiva 95/46/CE, le persone interessate dai dati hanno diritto di accedere a tutti i dati oggetto di trattamento che a loro si riferiscono, nonché il diritto di rettificare, cancellare o bloccare i dati il cui trattamento non sia conforme ai presenti principi, in particolare per il carattere incompleto o inesatto dei dati stessi. Le persone interessate dai dati devono inoltre avere la possibilità di opporsi al trattamento dei dati che a loro si riferiscono per validi e legittimi motivi inerenti alla loro situazione particolare.
6. Restrizioni sui trasferimenti successivi: ulteriori trasferimenti di dati personali dall'importatore dei dati ad altri responsabili del trattamento con sede in un paese terzo che non fornisca protezione adeguata o non sia assoggettato a una decisione della Commissione a norma dell'articolo 25, paragrafo 6, della direttiva 95/46/CE (trasferimenti successivi) possono essere effettuati soltanto:
a) se le persone interessate dai dati abbiano dato il loro esplicito consenso al successivo trasferimento in caso si tratti di speciali categorie di dati, o abbiano avuto la possibilità di negare tale consenso negli altri casi.
Le informazioni minime che devono essere fornite alle persone interessate devono comprendere, in una lingua che gli stessi possano capire:
— gli scopi del successivo trasferimento,
— l'identità dell'esportatore di dati con sede nella Comunità,
— le categorie degli ulteriori destinatari dei dati con indicazione dei paesi di destinazione, e
— l'indicazione che, qualora le persone interessate dai dati approvino il successivo trasferimento, i dati possono essere trattati da un responsabile del trattamento con sede in un paese ove non vi è un livello adeguato di protezione della riservatezza degli individui, oppure
b) se l'esportatore e l'importatore dei dati convengano il rispetto delle clausole contrattuali tipo con un altro responsabile del trattamento, che diviene nuova parte contraente delle clausole stesse e assume gli stessi obblighi dell'importatore dei dati.
7. Speciali categorie di dati: nel caso che il trattamento riguardi dati che possano rivelare l'origine razziale o etnica, ovvero le opinioni politiche, le convinzioni religiose o filosofiche, l'adesione a sindacati, dati relativi allo stato di slaute o alla vita sessuale, nonché dati relativi a reati, condanne penali o provvedimenti di sicurezza, devono essere previste ulteriori salvaguardie ai sensi della direttiva 95/46/CE, ed in particolare idonee misure di sicurezza come trasmissione cifrata o registrazione di ogni accesso ai dati.
8. Marketing diretto: quando i dati vengono trattati a fini di marketing diretto, devono essere previste procedure tali da consentire ai soggetti dei dati di negare in qualsiasi momento il proprio consenso all'utilizzazione a tali fini dei dati che li riguardano.
9. Decisioni individuali automatizzate: le persone interessate dai dati hanno il diritto di non essere assoggettati a decisioni basate unicamente sul trattamento automatizzato di dati, a meno che non vengano presi altri provvedimenti per salvaguardare i loro legittimi interessi ai sensi dell'articolo 15 della direttiva 95/46/CE. Qualora l'obiettivo del trasferimento sia una decisione automatizzata ai sensi del citato articolo 15 la persona interessata deve avere il diritto di concoscere le motivazioni su cui si basa detta decisione.
Appendice 3
alle clausole contrattuali tipo
Principi obbligatori di protezione di cui alla clausola 5, lettera b), secondo capoverso
1. Limitazione del fine: i dati devono essere elaborati e successivamente utilizzati ovvero ulteriormente comunicati esclusivamente ai fini specificati nell'appendice allegata alle presente clausole contrattuali tipo. I dati non possono essere detenuti più a lungo di quanto necessario ai fini per cui sono stati trasferiti.
2. Diritti di accesso, rettifica, cancellazione e congelamento dei dati: come previsto dall'articolo 12 della direttiva 95/46/CE, le persone interessae dai dati hanno diritto di accedere a tutti i dati oggetto di trattamento che a loro si riferiscono, nonché il diritto di rettificare, cancellare o bloccare i dati il cui trattamento non sia conforme ai presenti principi, in particolare per il carattere incompleto o inesatto dei dati stessi. Le persone interessate dai dati devono inoltre avere la possibilità di opporsi al trattamento dei dati che a loro si riferiscono per validi e legittimi motivi inerenti alla loro situazione particolare.
3. Restrizioni sui trasferimenti successivi: ulteriori trasferimenti di dati personali dall'importatore dei dati ad altri responsabili del trattamento con sede in un paese terzo che non fornisca protezione adeguata o non sia assoggettato a una decisione della Commissione a norma dell'articolo 25, paragrafo 6, della direttiva 95/46/CE (trasferimenti successivi) possono essere effettuati soltanto:
a) se le persone interessate dai dati abbiano dato il loro esplicito consenso al successivo trasferimento in caso si tratti di speciali categorie di dati, o abbiano avuto la possibilità di negare tale consenso negli altri casi.
Le informazioni minime che devono essere fornite alle persone interessate devono comprendere, in una lingua che gli stessi possano capire:
— gli scopi del successivo trasferimento,
— l'identità dell'esportatore di dati con sede nella Comunità,
— le categorie degli ulteriori destinatari dei dati con indicazione dei paesi di destinazione, e
— l'indicazione che, qualora le persone interessate dai dati approvino il successivo trasferimento, i dati possono essere trattati da un responsabile del trattamento con sede in un paese ove non vi è un livello adeguato di protezione della riservatezza degli individui, oppure
b) se l'esportatore e l'importatore dei dati convengano il rispetto delle clausoe contrattuali tipo con un altro responsabile del trattamento, che diviene nuova parte contraente delle clausole stesse e assume gli stessi obblighi dell'importatore dei dati.
INSIEME II
Clausole contrattuali tipo per il trasferimento di dati personali dalla Comunità verso paesi terzi (trasferimento da responsabile a responsabile del trattamento)
Accordo di trasferimento di dati
tra
_(nome)
_(indirizzo e paese di stabilimento)
(d’ora in poi «l’esportatore di dati»)
e
_ (nome)
_ (indirizzo e paese di stabilimento)
(d’ora in poi «l’importatore di dati»),
ciascuno denominato una «parte», insieme «le parti».
Definizioni
Ai fini delle presenti clausole:
a) «dati personali», «speciali categorie di dati/dati sensibili», «trattamento», «responsabile del trattamento», «incaricato del trattamento», «interessato» e «autorità di controllo/autorità» avranno lo stesso significato indicato nella direttiva 95/46/CE (di conseguenza, si intenderà per «autorità» l’autorità competente in materia di protezione dei dati nel territorio di stabilimento dell’esportatore di dati);
b) per «esportatore di dati» si intende il responsabile del trattamento che trasferisce i dati personali;
c) per «importatore di dati» si intende il responsabile del trattamento che accetta di ricevere dall’esportatore dati personali per un ulteriore trattamento in conformità con i termini delle presenti clausole e che non è soggetto al sistema di un paese terzo in grado di garantire un’adeguata protezione;
d) per «clausole» si intendono le presenti clausole contrattuali, che costituiscono un documento indipendente che non integra condizioni commerciali stabilite dalle parti in virtù di altri accordi commerciali.
I dettagli del trasferimento (così come i dati personali trasferiti) sono specificati nell’allegato B, che costituisce parte integrante delle presenti clausole.
I. Obblighi dell’esportatore di dati
L’esportatore di dati garantisce e si impegna rispetto a quanto segue:
a) i dati personali sono stati raccolti, trattati e trasferiti in conformità con la legislazione applicabile all’esportatore di dati;
b) l’esportatore ha compiuto ragionevoli sforzi per determinare che l’importatore di dati sia in grado di rispettare gli obblighi giuridici ai quali è tenuto in virtù delle presenti clausole;
c) l’esportatore fornirà all’importatore di dati, se richiesto, copie della legislazione relativa alla protezione di dati del paese in cui è stabilito l’esportatore di dati o i riferimenti a tale legislazione (ove opportuno, ed escludendo la consulenza giuridica);
d) l’esportatore risponderà alle richieste degli interessati e delle autorità relative al trattamento dei dati personali da parte dell’importatore di dati, a meno che le parti non abbiano concordato che sia l’importatore a rispondere a tali richieste. Anche in questo caso, sarà l’esportatore a rispondere, secondo quanto ragionevolmente possibile e a partire dalle informazioni di cui possa ragionevolmente disporre, se l’importatore di dati non è in grado di rispondere o non è disposto a farlo. Le risposte dovranno essere fornite entro un termine ragionevole;
e) l’esportatore metterà a disposizione degli interessati che siano terzi beneficiari ai sensi della clausola III, previa loro richiesta, una copia delle presenti clausole, a meno che esse contengano informazioni confidenziali, nel qual caso è autorizzato a espungere tali informazioni. Nel caso in cui alcune informazioni siano espunte, l’esportatore di dati informerà per iscritto gli interessati del motivo dell’espunzione e del loro diritto di portare tale espunzione a conoscenza delle autorità. L’esportatore di dati dovrà tuttavia accettare qualunque decisione dell’autorità relativa all’accesso al testo completo delle clausole da parte degli interessati, purché questi ultimi abbiano accettato di rispettare la confidenzialità delle informazioni confidenziali espunte. L’esportatore di dati fornirà all’autorità, previa sua richiesta, una copia delle presenti clausole.
II. Obblighi dell’importatore di dati
L’importatore di dati garantisce e si impegna rispetto a quanto segue:
a) l’importatore attuerà le misure tecniche e organizzative necessarie a proteggere i dati personali contro una distruzione accidentale o illecita o la perdita accidentale, l’alterazione, la divulgazione o l’accesso di soggetti non autorizzati, e a garantire il livello di sicurezza adeguato ai rischi che comportano il trattamento e alla natura dei dati che devono essere protetti;
b) l’importatore avrà messo a punto procedure atte a garantire che qualsiasi terzo cui consenta di accedere ai dati personali, compresi gli incaricati del trattamento, rispetti e mantenga la confidenzialità e la sicurezza dei dati personali. Nessuna persona che operi sotto l’autorità dell’importatore di dati, compresi gli incaricati del trattamento, potrà trattare i dati personali a meno che non abbia ricevuto istruzioni dall’importatore di dati. Questa disposizione non si applica alle persone autorizzate o tenute ad accedere ai dati personali in base alle leggi o ai regolamenti;
c) l’importatore non ha motivo di ritenere, al momento di sottoscrivere le presenti clausole, che esistano atti normativi a carattere locale che possano avere un effetto negativo importante sulle garanzie previste dalle presenti clausole; l’importatore di dati informerà l’esportatore di dati (il quale, quando ne sia richiesto, trasmetterà tale notifica all’autorità) se verrà a conoscenza di un qualunque atto normativo avente tale carattere;
d) l’importatore tratterà i dati personali ai fini descritti nell’allegato B, ed è giuridicamente abilitato ad offrire le garanzie e a rispettare gli impegni indicati nelle presenti clausole;
e) comunicherà all’esportatore di dati un punto di contatto all’interno della sua organizzazione autorizzato a rispondere alle richieste riguardanti il trattamento dei dati personali e collaborerà in buona fede con l’esportatore di dati, l’interessato e l’autorità nell’ambito di tali inchieste entro un periodo di tempo ragionevole. Nel caso in cui l’esportatore di dati abbia cessato di esistere in diritto, o se così avranno concordato le parti, l’importatore di dati assumerà la responsabilità per quanto riguarda il rispetto delle disposizioni della lettera e) della clausola I;
f) fornirà all’esportatore di dati, su sua richiesta, prove che dimostrino la disponibilità di risorse finanziarie sufficienti a far fronte alle responsabilità cui è tenuto in virtù della clausola III (ad esempio, una copertura assicurativa);
g) metterà a disposizione dietro richiesta ragionevole dell’esportatore di dati, i suoi impianti di trattamento di dati, i suoi archivi e tutta la documentazione necessaria per il trattamento a fini di verifica, audit e/o certificazione. Queste attività saranno realizzate dall’esportatore di dati (o da un ispettore o revisore imparziale e indipendente designato dall’esportatore di dati e contro il quale non siano state opposte ragionevoli obiezioni dall’importatore di dati) al fine di determinare la conformità con le garanzie previste e gli impegni assunti nelle presenti clausole, con ragionevole preavviso e durante le normali ore lavorative. La richiesta sarà soggetta al consenso o all’approvazione, se necessari, delle autorità di regolamentazione o di vigilanza nel paese dell’importatore. L’importatore farà tutto il possibile per ottenere tale consenso o tale approvazione con tempestività;
h) tratterà i dati personali, a sua discrezione, in conformità con:
i) la legislazione in materia di tutela dei dati del paese nel quale è stabilito l’esportatore di dati;
ii) le disposizioni pertinenti ( 5 ) di qualsiasi decisione della Commissione adottata in conformità con il paragrafo 6 dell’articolo 25 della direttiva 95/46/CE, nelle quali si dimostri che l’importatore di dati rispetta le disposizioni pertinenti di tale autorizzazione o decisione ed è stabilito in un paese nel quale sono applicabili, ma non è coperto dall’autorizzazione o decisione ai fini del trasferimento o dei trasferimenti di dati personali ( 6 ); o
iii) i principi relativi al trattamento di dati previsti nell’allegato A.
Opzione scelta dall’importatore di dati: _
Iniziali dell’importatore di dati: _;
i) non rivelerà né trasferirà dati personali a terzi responsabili del trattamento stabiliti al di fuori dello Spazio economico europeo (SEE), a meno che notifichi all’esportatore di dati il trasferimento e
i) il terzo responsabile del trattamento sottoponga i dati a trattamento di conformità con una decisione della Commissione nella quale si dichiari che il paese terzo in questione offre la protezione adeguata, o
ii) il terzo responsabile del trattamento sottoscriva queste clausole o qualsiasi altro accordo di trasferimento di dati approvato da un’autorità competente nell’UE, o
iii) gli interessati abbiano avuto la possibilità di opporsi, dopo essere stati informati in merito alle finalità del trasferimento, alle categorie di destinatari e al fatto che i paesi verso i quali i dati vengono esportati potrebbero avere una normativa differente in materia di protezione di dati, o
iv) per quanto riguarda i trasferimenti ulteriori di dati sensibili, gli interessati abbiano dato il loro inequivocabile consenso a tali trasferimenti.
III. Responsabilità e diritti di terzi
a) Ciascuna delle parti sarà responsabile dinnanzi all’altra per i danni provocati dall’inadempimento delle presenti clausole. La responsabilità tra le parti si limiterà al danno realmente sofferto. È specificamente escluso il risarcimento punitivo (vale a dire il risarcimento finalizzato a punire una delle parti per la sua condotta inopportuna o colpevole). Ciascuna delle parti dovrà rispondere dinnanzi agli interessati per i danni provocati da eventuali violazioni dei diritti di terzi nell’ambito delle presenti clausole. Quanto precede fa salva la responsabilità dell’esportatore in base alla legislazione a lui applicabile in materia di protezione di dati.
b) Le parti concordano che gli interessati, in qualità di terzi beneficiari, potranno invocare di fronte all’importatore o all’esportatore di dati la presente clausola, le lettere b), d) ed e) della clausola I, le lettere a), c), d), e), h) ed i) della clausola II, la lettera a) della clausola III, la clausola V, la lettera d) della clausola VI e la clausola VII per le rispettive violazioni dei loro obblighi contrattuali in rapporto ai loro dati personali; a tal fine, si sottomettono alla giurisdizione del paese di stabilimento dell’esportatore. Nei casi in cui sostenga l'inadempienza da parte dell’importatore di dati, l’interessato dovrà richiedere in primo luogo all’esportatore di avviare azioni adeguate per far valere i suoi diritti nei confronti dell’importatore di dati; se l’esportatore non compie tali azioni entro un termine ragionevole (che nelle normali circostanze sarebbe di un mese), l’interessato potrà far valere i suoi diritti direttamente contro l’importatore di dati. Gli interessati potranno procedere direttamente contro l’esportatore di dati quando questi non abbia compiuto sforzi ragionevoli per determinare se l’importatore di dati sia in grado di rispettare gli obblighi giuridici ai quali è tenuto in virtù delle presenti clausole (ricadrà sull’esportatore di dati l’onere di provare l’effettivo compimento di sforzi ragionevoli).
IV. Legislazione applicabile alle clausole
Le presenti clausole sono soggette alla legislazione del paese nel quale è stabilito l’esportatore di dati, ad eccezione delle disposizioni legali e regolamentari relative al trattamento dei dati personali da parte dell’importatore di dati ai sensi della lettera h) della clausola II, che saranno applicabili solo se l’importatore avrà scelto tale opzione nell’ambito della clausola.
V. Risoluzione di controversie con gli interessati o con l’autorità
a) In caso di controversia o di reclamo presentato contro una o entrambe le parti da un interessato o dall’autorità in merito al trattamento dei dati personali, le parti si informeranno reciprocamente di tali controversie o reclami e collaboreranno al fine di risolverli in modo amichevole quanto prima possibile.
b) Le parti concordano di rispondere a qualsiasi procedura di mediazione non vincolante e generalmente accessibile che sia stata avviata da un interessato o dall’autorità. Se decidono di partecipare alla procedura, possono farlo a distanza (ad es. per telefono o attraverso altri mezzi elettronici). Le parti concordano inoltre di valutare la possibilità di partecipare a qualsiasi altro procedimento di arbitrato, mediazione o, comunque, di risoluzione delle controversie messo a punto in materia di protezione dei dati.
c) Ciascuna delle parti si impegna ad accettare qualsiasi decisione dei tribunali competenti o dell’autorità del paese di stabilimento dell’esportatore di dati le cui decisioni siano definitive e contro le quali non sia possibile alcun ulteriore appello.
VI. Risoluzione delle clausole
a) Nel caso in cui l’importatore di dati violi gli obblighi ai quali è tenuto in virtù delle presenti clausole, l’esportatore di dati potrà sospendere temporaneamente il trasferimento dei dati personali all’importatore di dati sino a che non venga posto rimedio alla violazione o si concluda il contratto.
b) Nel caso in cui:
i) il trasferimento di dati personali all’importatore di dati sia stato sospeso temporaneamente dall’esportatore di dati per più di un mese in base a quanto previsto dalla lettera a);
ii) il rispetto delle presenti clausole da parte dell’importatore di dati abbia come conseguenza la violazione dei suoi obblighi legali o regolamentari nel paese di importazione;
iii) l’importatore di dati violi in modo sostanziale o persistente una qualche garanzia prevista o un qualche impegno assunto in virtù delle presenti clausole;
iv) una decisione definitiva contro la quale non sia possibile interporre appello dinnanzi a un tribunale competente del paese di stabilimento dell’esportatore di dati o dell’autorità stabilisca che l’importatore o l’esportatore di dati hanno violato le clausole; o
v) sia stata richiesta l’amministrazione giudiziaria o la liquidazione dell’importatore di dati, sia a titolo personale che in qualità di imprenditore, e tale richiesta non sia stata respinta entro il termine previsto dalla legislazione applicabile; si designi un liquidatore per alcuni dei suoi attivi; si nomini un curatore fallimentare, nel caso in cui l’importatore sia un privato; quest’ultimo abbia richiesto l’avvio di una procedura di concordato; ovvero si trovi in una situazione analoga dinnanzi ad una qualsiasi giurisdizione;
l’esportatore di dati, fatto salvo l’esercizio di qualsiasi altro diritto che possa vantare nei confronti dell’importatore di dati, è autorizzato a risolvere le presenti clausole, nel qual caso informerà l’autorità, se richiesto. Nei casi contemplati ai punti i), ii) o iv), anche l’importatore di dati potrà procedere alla risoluzione.
c) Ciascuna parte può risolvere le presenti clausole se i) la Commissione dichiara che il paese (o parte del suo territorio) verso il quale si trasferiscono i dati e nel quale essi sono trattati dall’importatore di dati garantisce un livello di protezione adeguato in conformità con il paragrafo 6 dell’articolo 25 della direttiva 95/46/CE (o qualsiasi testo che la sostituisca), ovvero ii) la direttiva 95/46/CE (o qualsiasi testo che la sostituisca) divenga direttamente applicabile in tale paese.
d) Le parti concordano che la risoluzione delle presenti clausole in qualsiasi momento, in qualsiasi circostanza e per qualsiasi motivo – ad eccezione della risoluzione in virtù della lettera c) della clausola VI) – non le esime dal rispetto degli obblighi e delle condizioni stabilite nelle presenti clausole per quanto riguarda il trattamento dei dati personali trasferiti.
VII. Modifica delle clausole
Le parti si impegnano a non modificare le presenti clausole se non per aggiornare alcune delle informazioni contenute nell’allegato B, nel qual caso informano l’autorità, dietro sua richiesta. Ciò non impedirà alle parti di aggiungere clausole commerciali aggiuntive ove lo ritengano opportuno.
VIII. Descrizione del trasferimento
I particolari del trasferimento e dei dati personali sono specificati all’allegato B. Le parti concordano che l’allegato B può contenere informazioni commerciali confidenziali che esse non riveleranno a terzi, a meno che non lo esiga la legislazione, ovvero in risposta a un ente regolatore o governativo competente, o quando ciò sia necessario in virtù della lettera e) della clausola I. Le parti potranno introdurre allegati aggiuntivi per regolare trasferimenti aggiuntivi, i quali saranno presentati all’autorità dietro sua richiesta. Come alternativa, la redazione dell’allegato B potrà essere effettuata in forma tale da coprire trasferimenti multipli.
Data: _
_
_
PER L’IMPORTATORE DI DATI
PER L’ESPORTATORE DI DATI
…
…
…
…
…
…
ALLEGATO A
PRINCIPI RELATIVI AL TRATTAMENTO DEI DATI
1. Limitazione dei trasferimenti a una finalità specifica: I dati personali possono essere trattati e successivamente utilizzati o ulteriormente comunicati solo per i fini descritti all’allegato B o autorizzati successivamente dall’interessato.
2. Qualità e proporzionalità dei dati: I dati personali devono essere accurati e, ove necessario, aggiornati. I dati personali devono essere adeguati, pertinenti e non eccedenti in rapporto agli scopi per i quali sono trasferiti e successivamente trattati.
3. Trasparenza: Devono essere fornite agli interessati tutte le informazioni necessarie a garantire il trattamento leale dei dati (così come le informazioni sulla finalità del trattamento e sul possibile trasferimento), a meno che tali informazioni non siano già state fornite dall’esportatore di dati.
4. Sicurezza e confidenzialità: il responsabile del trattamento deve adottare misure tecniche e organizzative volte a garantire il livello di sicurezza adeguato ai rischi che comporta il trattamento dei dati, ad esempio contro la distruzione accidentale o illecita o la perdita accidentale, alterazione, divulgazione o accesso non autorizzati. Le persone che operano sotto l’autorità del responsabile del trattamento, compreso l’incaricato del trattamento, non devono trattare i dati a meno che non ricevano istruzioni del responsabile.
5. Diritti di accesso, rettifica, cancellazione e opposizione: Secondo quanto prevede l’articolo 12 della direttiva 95/46/CE, gli interessati hanno il diritto di conoscere, sia direttamente che attraverso un terzo, i dati personali che su di loro possiede un’organizzazione, ad eccezione delle richieste che configurino chiaramente un abuso di tale diritto, o per il fatto di essere state poste ad intervalli irragionevoli, o a causa del loro numero, o perché hanno natura ripetitiva o sistematica, o ad eccezione dei casi nei quali non è necessario concedere l’accesso all’interessato secondo la legislazione del paese dell’esportatore di dati. A condizione che l’autorità abbia dato la sua previa approvazione, l’accesso può inoltre non essere concesso quando il farlo avrebbe il probabile effetto di danneggiare gravemente gli interessi dell’importatore di dati o di altre organizzazioni che hanno rapporti con l'importatore di dati, e quando tali interessi prevalgono sugli interessi in materia di diritti e di libertà fondamentali dell’interessato. Non sarà necessario determinare l’origine dei dati personali quando ciò non sia possibile mediante sforzi ragionevoli, o se ciò comporterebbe la violazione dei diritti di persone diverse dall’interessato. L’interessato avrà il diritto di far rettificare, modificare o cancellare i dati personali quando essi non siano accurati o il loro trattamento non rispetti i principi stabiliti nel presente allegato. Se vi sono seri motivi di dubitare della legittimità della richiesta, l’organizzazione può richiedere ulteriori giustificazioni prima di procedere alla rettifica, alla modifica o alla cancellazione dei dati. Non sarà necessario notificare la rettifica, la modifica o la cancellazione dei dati ai terzi ai quali essi siano stati rivelati quando ciò richieda uno sforzo sproporzionato. Gli interessati devono inoltre potersi opporre al trattamento dei dati personali che li riguardano quando esistano motivi seri e legittimi relativi alla loro particolare situazione. L’onere della prova per qualunque rifiuto ricade sull’importatore di dati. L’interessato potrà ricorrere contro un rifiuto dinnanzi all’autorità.
6. Dati sensibili: L’importatore di dati adotta le misure aggiuntive (ad esempio in materia di sicurezza) che risultino necessarie a proteggere i dati sensibili in conformità con gli obblighi ai quali è tenuto in virtù della clausola II.
7. Dati utilizzati a fini di marketing: Quando il trattamento dei dati sia realizzato a fini di marketing diretto, dovranno esistere procedimenti efficaci tali da consentire all’interessato di opporsi in qualsiasi momento a che i suoi dati personali siano utilizzati per gli scopi suddetti.
8. Decisioni automatizzate: Agli effetti del presente allegato, per «decisione automatizzata» si intende una decisione dell’esportatore o dell’importatore di dati che abbia effetti giuridici sull’interessato o che lo interessi in modo significativo e che si basi unicamente su un trattamento automatizzato di dati personali destinato a valutare determinati aspetti della sua personalità, come il suo rendimento lavorativo, la sua solvibilità, l’affidabilità, la condotta, ecc. L’importatore di dati non adotta nessuna decisione automatizzata relativa agli interessati, eccettuati i casi in cui:
i) tali decisioni siano state adottate dall’importatore di dati al momento di stipulare o eseguire un contratto con l’interessato, e
ii) si offra all’interessato l’opportunità di discutere i risultati di una decisione automatizzata che lo riguarda con un rappresentante della parte che abbia adottato la decisione ovvero la possibilità di presentare osservazioni a questa parte;
o
b. la legislazione applicabile all’esportatore di dati stabilisca altrimenti.
ALLEGATO B
DESCRIZIONE DEL TRASFERIMENTO
(Dovrà essere riempito dalle parti)
CLAUSOLE COMMERCIALI ILLUSTRATIVE (OPZIONALI)
Risarcimento tra l’esportatore e l’importatore di dati:
«Ciascuna delle parti risarcisce e manleva l’altra per qualunque costo, onere, danno, spesa o perdita causati all’altra parte in seguito alla violazione di una qualsiasi delle disposizioni delle presenti clausole. L’indennizzo dipenderà dai seguenti elementi: a) la parte o le parti che devono ricevere l’indennizzo (la “parte indennizzata”) notifica immediatamente il reclamo all’altra parte/alle altre parti; b) la parte/le parti che deve/devono provvedere all’indennizzo abbia/abbiano il controllo esclusivo della difesa e della risoluzione di una controversia di questo tipo; e c) la parte indennizzata cooperi ed assista in misura ragionevole la parte indennizzatrice nella difesa del reclamo.»
Soluzione delle controversie tra l’esportatore e l’importatore di dati (le parti potranno convenire di sostituire questa clausola con qualsiasi altra clausola di giurisdizione o di soluzione alternativa di conflitti):
«Qualunque controversia tra l’importatore e l’esportatore di dati in rapporto con una supposta violazione di una qualsiasi delle disposizioni delle presenti clausole sarà risolta in via definitiva con riferimento alle norme di arbitrato della Camera di commercio internazionale, da uno o più arbitri designati in conformità con tali norme. La sede dell’arbitrato sarà [ ]. Il numero di arbitri sarà di [ ].»
Attribuzione dei costi:
«Ciascuna parte osserverà gli obblighi ai quali è tenuta in virtù delle presenti clausole a proprie spese.»
Clausola aggiuntiva di risoluzione
«In caso di risoluzione delle presenti clausole, l’importatore di dati deve, a discrezione dell’esportatore, restituire immediatamente tutti i dati personali soggetti alle presenti clausole e le copie in suo possesso, ovvero distruggerli completamente e certificare tale circostanza all’esportatore, a meno che la legislazione nazionale o la regolamentazione locale applicabile all’importatore gli impedisca la restituzione o la distruzione totale o parziale di tali dati, nel qual caso l’importatore si impegna a mantenere il segreto sui dati personali e a non sottoporli a ulteriore trattamento per qualsivoglia finalità. L’importatore di dati accetta, su richiesta dell’esportatore di dati, di mettere a disposizione di quest’ultimo o di un ispettore da questi designato e al quale l’importatore di dati non opponga ragionevoli obiezioni, i suoi impianti di trattamento per verificare che ciò sia stato fatto, con ragionevole preavviso e durante l’orario di lavoro.».
( 1 ) GU L 281 del 23.11.1995, pag. 31.
( 2 ) Indirizzo Internet del gruppo di lavoro:
http://www.europa.eu. int/comm/internal_market/en/media/dataprot/wpdocs/index.htm
( 3 ) WP 4 (5020/97): «Primi orientamenti sui trasferimenti di dati personali verso paesi terzi — possibili modalità di verifica dell'adeguatezza», documento di discussione approvato dal gruppo di lavoro il 26 giugno 1997.
WP 7 (5057/97): «Valutazione dell'autoregolamentazione dell'industria: quando reca un contributo significativo al livello di protezione dei dati in un paese terzo?», documento di lavoro: approvato dal gruppo di lavoro il 14 gennaio 1998.
WP 9 (5005/98): «Pareri preliminari sull'impiego delle clausole contrattuali nel contesto dei trasferimenti di dati personali a paesi terzi», documento di lavoro: approvato dal gruppo di lavoro il 22 aprile 1998.
WP12: «Trasferimenti di dati personali a paesi terzi: applicazione degli articoli 25 e 26 della direttiva UE per la protezione dei dati», documento di lavoro: approvato dal gruppo di lavoro il 24 luglio 1998, disponibile sul sito Internet «europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/en» della Commissione europea.
( 4 ) Parere n. 1/2001 adottato dal gruppo di lavoro in data 26.1.2001 (DG MARKT 5102/00 WP 38), disponibile sul sito «Europa» della Commissione europea.
( 5 ) Per «disposizioni pertinenti» si intendono le disposizioni di un’autorizzazione o decisione che non siano esecutive (le quali sono disciplinate dalle presenti clausole).
( 6 ) Nel caso in cui, tuttavia, si scelga questa opzione, dovranno applicarsi le disposizioni del punto 5 dell’allegato A, relativo ai diritti di accesso, rettifica, cancellazione e obiezione, che prevarranno su qualsiasi disposizione comparabile della decisione della Commissione in questione.
