La Commissione europea,
visto il trattato sul funzionamento dell'Unione europea,
vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (1), in particolare l'articolo 25, paragrafo 6,
sentito il garante europeo della protezione dei dati (2),
1.INTRODUZIONE
(1)La direttiva 95/46/CE stabilisce le regole per il trasferimento dei dati personali dagli Stati membri ai paesi terzi nella misura in cui tale trasferimento rientri nel suo ambito d'applicazione.
(2)L'articolo 1 e i considerando 2 e 10 della direttiva 95/46 intendono garantire non solo una tutela efficace e completa delle libertà e dei diritti fondamentali delle persone fisiche, e segnatamente del diritto fondamentale al rispetto della vita privata con riguardo al trattamento dei dati personali, ma anche un livello elevato di protezione di tali libertà e diritti fondamentali (3).
(3)La giurisprudenza della Corte di giustizia (4) sottolinea l'importanza sia del diritto fondamentale al rispetto della vita privata, garantito dall'articolo 7 della Carta dei diritti fondamentali dell'Unione europea, sia del diritto fondamentale alla protezione dei dati personali, garantito dall'articolo 8 della stessa.
(4)A norma dell'articolo 25, paragrafo 1, della direttiva 95/46/CE, gli Stati membri sono tenuti a consentire il trasferimento di dati personali verso un paese terzo soltanto se il paese terzo garantisce un livello di protezione adeguato e se, prima del trasferimento stesso, sono rispettate le norme adottate dagli Stati membri in attuazione delle altre disposizioni della direttiva. La Commissione può constatare che un paese terzo garantisce tale livello di protezione adeguato in considerazione della sua legislazione nazionale o degli impegni internazionali che ha stipulato per proteggere i diritti delle persone. Fermo restando il rispetto delle disposizioni nazionali adottate conformemente alle altre disposizioni della direttiva, gli Stati membri possono in tale caso trasferire i dati personali senza che siano necessarie garanzie supplementari.
(5)A norma dell'articolo 25, paragrafo 2, della direttiva 95/46/CE, il livello di protezione garantito da un paese terzo dovrebbe essere valutato con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati, comprese le norme di diritto, generali o settoriali, vigenti nel paese terzo in questione.
(6)La decisione 2000/520/CE della Commissione (5) ha considerato che, ai fini dell'articolo 25, paragrafo 2, della direttiva 95/46/CE, i principi di approdo sicuro, attuati nel rispetto delle indicazioni fornite nelle cosiddette «domande più frequenti» pubblicate dal Dipartimento del Commercio degli Stati Uniti, garantissero un livello adeguato di protezione dei dati personali trasferiti dall'Unione alle organizzazioni stabilite negli Stati Uniti d'America.
(7)Nelle comunicazioni COM(2013) 846 final (6) e COM(2013) 847 final (7) del 27 novembre 2013, la Commissione ha affermato la necessità di rivedere e rafforzare il fondamento stesso del regime dell'approdo sicuro, in considerazione di una serie di fattori che sollevavano dubbi circa il livello di tutela che il regime era in grado di garantire, tra cui l'aumento esponenziale dei flussi di dati e la relativa importanza fondamentale per l'economia transatlantica, la rapida crescita del numero di imprese statunitensi aderenti al regime dell'approdo sicuro e le nuove informazioni disponibili sull'ampiezza e la portata di alcuni programmi di intelligence statunitensi. La Commissione ha riscontrato inoltre una serie di carenze e lacune nel regime dell'approdo sicuro.
(8)Muovendo dalle prove raccolte, tra cui le informazioni emerse dai lavori del gruppo di contatto UE-Stati Uniti sulla vita privata (8) e le informazioni sui programmi di intelligence statunitensi ricevute nell'ambito del gruppo di lavoro ad hoc UE-USA (9), la Commissione ha formulato 13 raccomandazioni per una revisione del regime dell'approdo sicuro. Le raccomandazioni chiedevano di rafforzare i principi sostanziali in materia di privacy attraverso una maggiore trasparenza delle politiche della privacy applicate delle imprese statunitensi che si autocertificano come aderenti al regime, un'azione più incisiva delle autorità statunitensi in termini di verifica, vigilanza e controllo dell'osservanza di tali principi, la disponibilità di meccanismi di composizione delle controversie di costo accessibile e la necessità di limitare alla misura strettamente necessaria e proporzionata il ricorso all'eccezione per motivi di sicurezza nazionale prevista dalla decisione 2000/520/CE.
(9)Con la sentenza del 6 ottobre 2015 nella causa C-362/14 Maximillian Schrems contro Data Protection Commissioner (10), la Corte di giustizia dell'Unione europea ha dichiarato invalida la decisione 2000/520/CE. Senza esaminare i principi dell'approdo sicuro nel merito, la Corte ha rilevato che, in tale decisione, la Commissione non ha affermato che gli Stati Uniti d'America «garantiscono» effettivamente un livello di protezione adeguato in considerazione della loro legislazione nazionale o dei loro impegni internazionali (11).
(10)Al riguardo la Corte di giustizia ha chiarito che l'espressione «livello di protezione adeguato» figurante all'articolo 25, paragrafo 6, della direttiva 95/46/CE, pur non implicando un livello di protezione identico a quello garantito nell'ordinamento giuridico dell'Unione, deve essere intesa nel senso che esige che il paese terzo assicuri un livello di protezione delle libertà e dei diritti fondamentali «sostanzialmente equivalente» a quello garantito all'interno dell'Unione in forza della direttiva 95/46/CE, letta alla luce della Carta dei diritti fondamentali. Anche se gli strumenti dei quali tale paese terzo si avvale al riguardo possono essere diversi da quelli attuati all'interno dell'Unione, tali strumenti devono cionondimeno rivelarsi efficaci nella prassi (12).
Nb:Per visionare il testo integrale consultare il link sottostante.
Tratto da:
Link:
http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32016D1250