Contract
Consiglio dell'Unione europea |
Bruxelles, 18 maggio 2016 (OR. en) |
8557/16 |
Fascicolo interistituzionale: 2016/0127 (NLE) 2016/0126 (NLE) |
JAI 347 USA 24 DATAPROTECT 44 RELEX 343 |
ATTI LEGISLATIVI E ALTRI STRUMENTI
Oggetto: | ACCORDO tra gli Stati uniti d’America e l’Unione europea sulla protezione delle informazioni personali a fini di prevenzione, indagine, accertamento e perseguimento di reati |
8557/16
DGD 2
LA/ff
IT
ACCORDO
TRA GLI STATI UNITI D’AMERICA E L’UNIONE EUROPEA SULLA PROTEZIONE DELLE INFORMAZIONI PERSONALI A FINI DI PREVENZIONE, INDAGINE, ACCERTAMENTO
E PERSEGUIMENTO DI REATI
INDICE
Preambolo
Articolo 1 | Scopo dell’accordo |
Articolo 2 | Definizioni |
Articolo 3 | Ambito di applicazione |
Articolo 4 | Non discriminazione |
Articolo 5 | Effetti dell’accordo |
Articolo 6 | Limitazioni delle finalità e degli usi |
Articolo 7 | Trasferimento successivo |
Articolo 8 | Qualità e integrità delle informazioni |
Articolo 9 | Sicurezza delle informazioni |
Articolo 10 | Notificazione di un incidente di sicurezza delle informazioni |
Articolo 11 | Documentazione |
Articolo 12 | Periodo di conservazione |
Articolo 13 | Categorie particolari di informazioni personali |
Articolo 14 | Assunzione di responsabilità |
Articolo 15 | Decisioni automatizzate |
Articolo 16 | Accesso |
Articolo 17 | Rettifica |
Articolo 18 | Ricorso amministrativo |
Articolo 19 | Ricorso giurisdizionale |
Articolo 20 | Trasparenza |
Articolo 21 | Supervisione efficace |
Articolo 22 | Cooperazione tra le autorità di supervisione |
Articolo 23 | Verifica congiunta |
Articolo 24 | Notificazione |
Articolo 25 | Consultazione |
Articolo 26 | Sospensione |
Articolo 27 | Applicazione territoriale |
Articolo 28 | Durata dell’accordo |
Articolo 29 | Entrata in vigore e denuncia |
TENENDO PRESENTE che gli Stati Uniti e l’Unione europea si sono impegnati a garantire un livello elevato di protezione delle informazioni personali scambiate nel contesto della prevenzione, dell’indagine, dell’accertamento e del perseguimento di reati, compreso il terrorismo;
INTENZIONATI a stabilire un quadro giuridico duraturo per agevolare lo scambio di informazioni, fondamentale per prevenire, indagare, accertare e perseguire i reati, compreso il terrorismo, al fine di proteggere le rispettive società democratiche e i valori comuni;
DECISI, in particolare, a definire le norme di protezione applicabili agli scambi di informazioni personali effettuati sulla base degli accordi esistenti e futuri tra gli Stati Uniti e l’Unione europea e i suoi Stati membri in materia di prevenzione, indagine, accertamento e perseguimento di reati, compreso il terrorismo;
RICONOSCENDO che alcuni accordi in vigore tra le parti in materia di trattamento delle informazioni personali enunciano di offrire un livello adeguato di protezione delle informazioni nel loro ambito di applicazione, le parti dichiarano che il presente accordo non dovrebbe essere interpretato nel senso che modifica detti accordi, vi pone condizioni o vi deroga in altro modo; rilevando, tuttavia, che gli obblighi introdotti dall’articolo 19 del presente accordo, sul ricorso giurisdizionale, si applicherebbero in relazione a tutti i trasferimenti che rientrano nell'ambito di applicazione del presente accordo e che ciò non pregiudica alcun futuro riesame o modifica dei suddetti accordi ai sensi dei medesimi;
CONSTATANDO che entrambe le parti hanno una consolidata tradizione di rispetto della vita privata, come risulta dai principi sul rispetto della vita privata e la protezione dei dati personali a fini di contrasto elaborati dal gruppo di contatto ad alto livello UE-Stati Uniti sulla condivisione delle informazioni e sulla tutela della vita privata e la protezione dei dati di carattere personale, dalla Carta dei diritti fondamentali dell’Unione europea e dalla legislazione dell’Unione applicabile, dalla Costituzione degli Stati Uniti e dalla legislazione statunitense applicabile, e dai principi del codice di deontologia dell’Organizzazione per la cooperazione e lo sviluppo economico;
RICONOSCENDO i principi di proporzionalità, necessità, pertinenza e ragionevolezza attuati dalle parti nei rispettivi quadri giuridici,
GLI STATI UNITI D’AMERICA E L’UNIONE EUROPEA HANNO CONVENUTO QUANTO SEGUE:
ARTICOLO 1
Scopo dell’accordo
1 Scopo del presente accordo è garantire un livello elevato di protezione delle informazioni personali e migliorare la cooperazione tra gli Stati Uniti e l’Unione europea e i suoi Stati membri in materia di prevenzione, indagine, accertamento e perseguimento di reati, compreso il terrorismo.
2. A tal fine, il presente accordo istituisce il quadro per la protezione delle informazioni personali trasferite tra gli Stati Uniti, da un lato, e l’Unione europea e i suoi Stati membri, dall’altro.
3. Il presente accordo di per sé non costituisce la base giuridica per il trasferimento delle informazioni personali. Per il trasferimento delle informazioni personali è sempre necessaria una base giuridica.
ARTICOLO 2
Definizioni
Ai fini del presente accordo si intende per:
1) "informazioni personali": qualsiasi informazione relativa a una persona fisica identificata o identificabile. Si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un numero di identificazione o a uno o più elementi caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;
2) "trattamento delle informazioni personali": qualsiasi operazione o insieme di operazioni implicanti la raccolta, la conservazione, l’uso, la modifica, l’organizzazione, la strutturazione, la comunicazione, la diffusione o la cessione;
3) "parti": l’Unione europea e gli Stati Uniti d’America;
4) "Stato membro": uno Stato membro dell’Unione europea;
5) "autorità competente": per gli Stati Uniti, un’autorità di contrasto statunitense responsabile per la prevenzione, l’indagine, l’accertamento e il perseguimento dei reati, compreso il terrorismo, e, per l’Unione europea, un’autorità dell’Unione europea, e un’autorità di uno Stato membro, responsabile per la prevenzione, l’indagine, l’accertamento e il perseguimento di reati, compreso il terrorismo.
ARTICOLO 3
Ambito di applicazione
1. Il presente accordo si applica alle informazioni personali trasferite tra le autorità competenti di una parte e le autorità competenti dell’altra parte, o altrimenti trasferite in forza di un accordo concluso tra gli Stati Uniti e l’Unione europea o i suoi Stati membri, a fini di prevenzione, accertamento, indagine e perseguimento di reati, compreso il terrorismo.
2. Il presente accordo non riguarda e non pregiudica i trasferimenti o altre forme di cooperazione tra le autorità degli Stati membri e degli Stati Uniti diverse da quelle di cui all’articolo 2, punto 5, responsabili per la salvaguardia della sicurezza nazionale.
ARTICOLO 4
Non discriminazione
Ciascuna parte rispetta gli obblighi derivanti dal presente accordo al fine di proteggere le informazioni personali dei propri cittadini e dei cittadini dell’altra parte indipendentemente dalla loro cittadinanza e senza alcuna discriminazione arbitraria o ingiustificata.
ARTICOLO 5
Effetti dell’accordo
1. Il presente accordo integra, senza sostituire, le disposizioni sulla protezione delle informazioni personali contemplate negli accordi internazionali conclusi tra le parti, o tra gli Stati Uniti e gli Stati membri, che disciplinano materie rientranti nel campo di applicazione del presente accordo.
2. Le parti adottano tutte le misure necessarie per attuare il presente accordo, in particolare gli obblighi ivi previsti in materia di accesso, rettifica e ricorso amministrativo e giurisdizionale per le persone fisiche. Le tutele e i rimedi previsti dal presente accordo si applicano alle persone fisiche e alle entità nel modo previsto dalla legislazione nazionale applicabile di ciascuna parte. Per quanto riguarda gli Stati Uniti, i loro obblighi si applicano in modo coerente con i principi fondamentali del federalismo statunitense.
3. Con l’attuazione del paragrafo 2, il trattamento delle informazioni personali da parte degli Stati Uniti o dell’Unione europea e dei suoi Stati membri in relazione alle materie rientranti nell'ambito di applicazione del presente accordo è considerato conforme alle rispettive legislazioni sulla protezione dei dati che limitano o sottopongono a condizioni i trasferimenti internazionali di informazioni personali, e non è necessaria alcuna ulteriore autorizzazione ai sensi di tali legislazioni.
ARTICOLO 6
Limitazioni delle finalità e degli usi
1. Il trasferimento delle informazioni personali per finalità specifiche è autorizzato dalla base giuridica del trasferimento di cui all’articolo 1.
2. Il trattamento successivo delle informazioni personali ad opera di una parte non può essere incompatibile con le finalità per le quali le informazioni sono state trasferite. Il trattamento compatibile comprende il trattamento effettuato ai sensi degli accordi internazionali e dei quadri internazionali scritti vigenti in materia di prevenzione, indagine, accertamento e perseguimento di reati gravi. Tale trattamento delle informazioni personali ad opera di altre autorità nazionali di contrasto, regolamentari o amministrative deve rispettare le altre disposizioni del presente accordo.
3. Il presente articolo fa salva la facoltà dell’autorità competente del trasferimento di imporre in casi specifici condizioni aggiuntive, nella misura in cui il quadro giuridico applicabile al trasferimento lo consenta. Non rientrano in tali condizioni le condizioni di protezione dei dati generiche, ossia non collegate alle circostanze specifiche del caso. L’autorità competente ricevente rispetta le eventuali condizioni cui sono soggetti i dati. L’autorità competente che fornisce le informazioni può altresì imporre al destinatario di informarla sull’uso fatto dei dati trasferiti.
4. Qualsiasi accordo concluso tra gli Stati Uniti, da un lato, e l’Unione europea o uno Stato membro, dall’altro, per il trasferimento di informazioni personali non in relazione con specifici casi, indagini o azioni penali indica le finalità specifiche per le quali le informazioni sono trasferite e trattate.
5. Le partiprovvedono affinché, ai sensi delle rispettive legislazioni, le informazioni personali siano trattate in modo direttamente pertinente e non eccessivo rispetto alle finalità del trattamento.
ARTICOLO 7
Trasferimento successivo
1. Le informazioni personali relative a un caso specifico trasferite da un’autorità competente di una parte a un’autorità competente dell’altra parte possono essere trasferite a uno Stato non vincolato dal presente accordo o a un organismo internazionale solo previo consenso dell’autorità competente che ha effettuato il trasferimento originario.
2. Nel prestare il consenso al trasferimento di cui al paragrafo 1, l’autorità competente che ha effettuato il trasferimento originario tiene debitamente conto di tutti i fattori pertinenti, tra cui la gravità del reato, la finalità per la quale le informazioni sono state originariamente trasferite e il fatto che lo Stato non vincolato dal presente accordo o l’organismo internazionale in questione garantisca o meno un livello adeguato di protezione delle informazioni personali. Essa può anche sottoporre il trasferimento a condizioni specifiche.
3. Qualora gli Stati Uniti, da un lato, e l’Unione europea o uno Stato membro, dall’altro, concludano un accordo per il trasferimento di informazioni personali non in relazione con specifici casi, indagini o azioni penali, il trasferimento successivo delle informazioni personali può essere effettuato solo alle condizioni specifiche indicate nell’accordo che forniscono la debita motivazione del trasferimento successivo. L’accordo prevede inoltre opportuni meccanismi di informazione tra le autorità competenti.
4. Nessuna disposizione del presente articolo può essere interpretata nel senso di pregiudicare eventuali requisiti, obblighi o prassi secondo cui per trasferire successivamente le informazioni a uno Stato od organismo vincolato dal presente accordo è necessario il previo consenso dell’autorità competente che ha effettuato il trasferimento originario, fermo restando che il livello di protezione dei dati garantito da tale Stato od organismo non giustifica il diniego del consenso al trasferimento o l’imposizione di condizioni al medesimo.
ARTICOLO 8
Qualità e integrità delle informazioni
Le parti adottano misure ragionevoli per garantire che le informazioni personali mantengano l’esattezza, la pertinenza, il contenuto aggiornato e la completezza necessarie e adeguate per la liceità del loro trattamento. A tal fine, le autorità competenti si dotano di procedure volte a garantire la qualità e l’integrità delle informazioni personali, tra cui:
a) le misure di cui all’articolo 17;
b) se l’autorità competente del trasferimento viene a conoscenza di seri dubbi circa la pertinenza, il contenuto aggiornato, la completezza o l’esattezza delle informazioni personali o di una valutazione che ha trasferito, ne informa, se fattibile, l’autorità competente ricevente;
c) se l’autorità competente ricevente viene a conoscenza di seri dubbi circa la pertinenza, il contenuto aggiornato, la completezza o l’accuratezza delle informazioni personali ricevute da un’autorità governativa o di una valutazione effettuata dall’autorità competente del trasferimento riguardo all’esattezza delle informazioni o all’affidabilità di una fonte, ne informa, se fattibile, l’autorità competente del trasferimento.
ARTICOLO 9
Sicurezza delle informazioni
Le parti provvedono affinché siano attuate adeguate misure tecniche, organizzative e di sicurezza per proteggere le informazioni personali da quanto segue:
a) distruzione accidentale o illecita;
b) perdita accidentale; e
c) comunicazione, alterazione, accesso o altro trattamento non autorizzati.
Tali misure comprendono garanzie adeguate per quanto riguarda l’autorizzazione necessaria per accedere alle informazioni personali.
ARTICOLO 10
Notificazione di un incidente di sicurezza delle informazioni
1. In caso di scoperta di un incidente riguardante la perdita o la distruzione accidentali di informazioni personali o l’accesso, la comunicazione o l’alterazione non autorizzati delle stesse, che presenta un rischio significativo di danni, l’autorità competente ricevente valuta prontamente la probabilità e l’entità dei danni alle persone fisiche e all’integrità del programma dell’autorità competente del trasferimento e adotta prontamente i provvedimenti opportuni per attenuare i danni.
2. I provvedimenti per attenuare i danni comprendono la notificazione all’autorità competente del trasferimento. Tuttavia la notificazione può:
a) prevedere adeguate limitazioni all’ulteriore trasmissione della notificazione;
b) essere posticipata od omessa qualora tale notificazione possa mettere a repentaglio la sicurezza nazionale;
c) essere posticipata qualora tale notificazione possa mettere a repentaglio operazioni di pubblica sicurezza.
3. I provvedimenti per attenuare i danni comprendono anche la notificazione alla persona in questione, ove opportuno in considerazione delle circostanze dell’incidente, a meno che tale notificazione possa mettere a repentaglio:
a) la sicurezza pubblica o nazionale;
b) indagini, inchieste o procedimenti ufficiali;
c) la prevenzione, l’accertamento, l’indagine o il perseguimento di reati;
d) i diritti e le libertà altrui, in particolare la protezione delle vittime e dei testimoni.
4. Le autorità competenti coinvolte nel trasferimento delle informazioni personali possono consultarsi in merito all’incidente e alla risposta da dare allo stesso.
ARTICOLO 11
Documentazione
1. Le parti pongono in essere metodi efficaci per dimostrare la liceità del trattamento delle informazioni personali, che possono includere l’uso di registrazioni o altre forme di documentazione.
2. Le autorità competenti possono usare tali registrazioni o forme di documentazione per mantenere l’ordinata gestione delle banche dati o dei fascicoli in questione, al fine di garantire l’integrità e la sicurezza dei dati e, se necessario, seguire le procedure di backup.
ARTICOLO 12
Periodo di conservazione
1. Le parti prevedono nei rispettivi quadri giuridici applicabili specifici periodi di conservazione della documentazione contenente informazioni personali, al fine di garantire che le informazioni personali non siano conservate più a lungo di quanto necessario e appropriato. Tali periodi di conservazione tengono conto della finalità del trattamento, della natura dei dati, dell’autorità che li tratta, dell’incidenza sui diritti e sugli interessi in gioco delle persone interessate e di altre considerazioni giuridiche applicabili.
2. Qualsiasi accordo concluso tra gli Stati Uniti, da un lato, e l’Unione europea o uno Stato membro, dall’altro, per il trasferimento di informazioni personali non in relazione con specifici casi, indagini o azioni penali conterrà una disposizione specifica, stabilita di comune accordo, sui periodi di conservazione.
3. Le parti prevedono procedure di riesame periodico del periodo di conservazione, al fine di determinare se questo debba essere modificato a seguito di un mutamento delle circostanze.
4. Le parti pubblicano o rendono altrimenti conoscibili al pubblico i periodi di conservazione.
ARTICOLO 13
Categorie particolari di informazioni personali
1. Il trattamento di informazioni personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o di altro tipo o l’appartenenza sindacale, o di informazioni relative alla salute o alla vita sessuale, è possibile solo in presenza di garanzie adeguate ai sensi di legge. Tali garanzie adeguate possono comprendere: la limitazione delle finalità per le quali le informazioni possono essere trattate, ad esempio consentendo il trattamento solo caso per caso; il mascheramento, la cancellazione o il blocco delle informazioni dopo il conseguimento delle finalità per le quali sono state trattate; la limitazione del personale autorizzato ad accedere alle informazioni; l’obbligo di formazione specialistica per il personale che ha accesso alle informazioni; l’obbligo di ottenere l’approvazione dell’autorità di controllo per accedere alle informazioni; o altre misure di protezione. Tali garanzie tengono debitamente conto della natura delle informazioni, del loro carattere particolarmente sensibile e delle finalità per le quali sono trattate.
2. Qualsiasi accordo concluso tra gli Stati Uniti, da un lato, e l’Unione europea o uno Stato membro, dall’altro, per il trasferimento di informazioni personali non in relazione con specifici casi, indagini o azioni penali preciserà ulteriormente le norme e le condizioni alle quali le informazioni possono essere trattate, tenendo debitamente conto della loro natura e delle finalità per le quali sono usate.
ARTICOLO 14
Assunzione di responsabilità
1. Le parti pongono in essere misure volte a promuovere l’assunzione di responsabilità per il trattamento di informazioni personali nell’ambito del presente accordo da parte delle rispettive autorità competenti e di ogni altra loro autorità a cui le informazioni personali siano state trasferite. Tali misure comprendono la notificazione delle garanzie applicabili ai trasferimenti di informazioni personali ai sensi del presente accordo e delle eventuali condizioni imposte dall’autorità competente del trasferimento ai sensi dell’articolo 6, paragrafo 3. Sono previste sanzioni penali, civili o amministrative adeguate e dissuasive in caso di colpa grave.
2. Le misure di cui al paragrafo 1 comprendono, se del caso, l’interruzione del trasferimento delle informazioni personali ad autorità di enti territoriali costitutivi delle parti non rientranti nell'ambito di applicazione del presente accordo che non hanno protetto in modo efficace le informazioni personali, tenuto conto dello scopo del presente accordo e, in particolare, delle sue disposizioni sulle limitazioni delle finalità e degli usi e sul trasferimento successivo.
3. Nel caso in cui sia addotta lascorretta attuazione del presente articolo, una parte può chiedere all’altra parte di fornire informazioni pertinenti, tra cui, se del caso, informazioni in merito alle misure adottate a norma del presente articolo.
ARTICOLO 15
Decisioni automatizzate
Le decisioni che comportano azioni significativamente negative per gli interessi pertinenti della persona fisica non possono basarsi unicamente su un trattamento automatizzato di informazioni personali senza partecipazione umana, a meno che ciò non sia autorizzato da disposizioni di legge nazionali e purché sussistano garanzie adeguate che includano la possibilità di ottenere l’intervento umano.
ARTICOLO 16
Accesso
1. Le parti provvedono affinché chiunque abbia il diritto di chiedere accesso alle proprie informazioni personali e, fatte salve le limitazioni di cui al paragrafo 2, di ottenerlo. L’accesso è chiesto e ottenuto da un’autorità competente conformemente al quadro giuridico applicabile dello Stato in cui è chiesto il rimedio.
2. In singoli casi l’ottenimento delle proprie informazioni personali può essere soggetto a limitazioni ragionevoli previste dalla legislazione nazionale, tenuto conto dei legittimi interessi della persona in questione, al fine di:
a) proteggere i diritti e le libertà altrui, compresa la loro vita privata;
b) salvaguardare la sicurezza pubblica e nazionale;
c) proteggere informazioni sensibili relative al contrasto;
d) non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;
e) non compromettere la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali;
f) proteggere in altro modo gli interessi riconosciuti dalla legislazione in materia di libertà di informazione e accesso del pubblico ai documenti.
3. L’accesso alle proprie informazioni personali non può essere subordinato a spese eccessive.
4. Chiunque ha il diritto di autorizzare, se consentito dalla legislazione nazionale applicabile, un’autorità di supervisione o un altro rappresentante a chiedere l’accesso per proprio conto.
5. Se l’accesso è negato o limitato, l’autorità competente richiesta procederà, senza indebito ritardo, a comunicare alla persona in questione, o al suo rappresentante debitamente autorizzato di cui al paragrafo 4, i motivi del diniego o della limitazione dell’accesso.
ARTICOLO 17
Rettifica
1. Le parti provvedono affinché chiunque abbia il diritto di chiedere la correzione o la rettifica delle proprie informazioni personali che ritiene siano inesatte o siano state trattate impropriamente. La correzione o la rettifica può includere l’integrazione, la cancellazione, il blocco o altre misure o metodi per rimediare alle inesattezze o al trattamento improprio. La correzione o la rettifica è chiesta e ottenuta da un’autorità competente conformemente al quadro giuridico applicabile dello Stato in cui è chiesto il rimedio.
2. Qualora l’autorità competente ricevente giunga alla conclusione, a seguito di:
a) una richiesta a norma del paragrafo 1;
b) una notificazione da parte del fornitore; o
c) proprie indagini o inchieste;
che le informazioni che ha ricevuto ai sensi del presente accordo sono inesatte o sono state trattate impropriamente, adotta le misure di integrazione, cancellazione, blocco o altri metodi di correzione o rettifica, a seconda del caso.
3. Chiunque ha il diritto di autorizzare, se consentito dalla legislazione nazionale applicabile, un’autorità di supervisione o un altro rappresentante a chiedere la correzione o la rettifica per proprio conto.
4. Se la correzione o la rettifica è negata o limitata, l’autorità competente richiesta procederà, senza indebito ritardo, a fornire alla persona in questione, o al suo rappresentante debitamente autorizzato di cui al paragrafo 3, una risposta illustrante i motivi del diniego o della limitazione della correzione o rettifica.
ARTICOLO 18
Ricorso amministrativo
1. Le parti provvedono affinché chiunque abbia il diritto di proporre ricorso amministrativo qualora ritenga che l’accesso ai sensi dell’articolo 16 o la rettifica delle informazioni inesatte o del trattamento improprio ai sensi dell’articolo 17 sia stato indebitamente negato. Il ricorso è proposto e il rimedio ottenuto da un’autorità competente conformemente al quadro giuridico applicabile dello Stato in cui è chiesto il rimedio.
2. Chiunque ha il diritto di autorizzare, se consentito dalla legislazione nazionale applicabile, un’autorità di supervisione o un altro rappresentante a proporre ricorso amministrativo per proprio conto.
3. L’autorità competente alla quale è chiesto il rimedio procede alle opportune inchieste e verifiche, e senza indebito ritardo ne trasmette per iscritto, anche con mezzi elettronici, i risultati, comprese le azioni migliorative o correttive adottate, se del caso. L’informativa sulla procedura per proporre eventuale ulteriore ricorso amministrativo è conforme all’articolo 20.
ARTICOLO 19
Ricorso giurisdizionale
1. Le parti dispongono nei rispettivi quadri giuridici applicabili che, fatto salvo l’eventuale requisito del previo esperimento del ricorso amministrativo, ogni cittadino di una parte ha il diritto di chiedere il controllo giurisdizionale in relazione a quanto segue:
a) diniego da parte di un’autorità competente dell’accesso alla documentazione contenente informazioni personali che lo riguardano;
b) diniego da parte di un’autorità competente della modifica della documentazione contenente informazioni personali che lo riguardano;
c) deliberata o intenzionale comunicazione illecita di informazioni personali che lo riguardano, il che include la possibilità di risarcimento dei danni.
2. Il controllo giurisdizionale è chiesto e ottenuto conformemente al quadro giuridico applicabile dello Stato in cui è chiesto il rimedio.
3. I paragrafi 1 e 2 non pregiudicano qualunque altro controllo giurisdizionale disponibile in relazione al trattamento delle informazioni personali di una persona in base alla legislazione dello Stato in cui è chiesto il rimedio.
4. In caso di sospensione o denuncia dell’accordo, l’articolo 26, paragrafo 2, o l’articolo 29, paragrafo 3, non costituisce una base per proporre un ricorso giurisdizionale che non è più disponibile ai sensi della legislazione della parte in questione.
ARTICOLO 20
Trasparenza
1. Le parti forniscono alle persone fisiche, in relazione alle loro informazioni personali, informazioni, che possono essere fornite dalle autorità competenti mediante pubblicazione di avvisi generali o comunicazione individuale, nella forma e nel momento stabiliti dalla legge applicabile all’autorità che le fornisce, riguardanti:
a) le finalità del trattamento delle informazioni da parte dell’autorità in questione;
b) le finalità per le quali le informazioni possono essere condivise con altre autorità;
c) le leggi o le norme ai cui sensi ha luogo il trattamento;
d) i terzi ai quali le informazioni sono comunicate; e
e) l’accesso, la correzione o la rettifica e il ricorso disponibili.
2. Tale obbligo di informativa è soggetto alle limitazioni ragionevoli previste dalla legislazione nazionale in relazione alle finalità di cui all’articolo 16, paragrafo 2, lettere da a) a f).
ARTICOLO 21
Supervisione efficace
1. Le parti si dotano di una o più autorità di supervisione pubbliche che:
a) esercitano funzioni e poteri di supervisione indipendente, tra cui verifica, indagine e intervento, se del caso su propria iniziativa;
b) hanno il potere di ricevere e dar seguito ai reclami presentati da persone fisiche in merito alle misure di attuazione del presente accordo; e
c) hanno il potere di segnalare le violazioni di legge connesse al presente accordo ai fini di un’azione giudiziaria o disciplinare, a seconda dei casi.
2. L’Unione europea provvede alla supervisione ai sensi del presente articolo tramite le sue autorità di protezione dei dati e quelle degli Stati membri.
3. Gli Stati Uniti provvedono alla supervisione ai sensi del presente articolo cumulativamente tramite più autorità, che possono includere, tra gli altri, gli ispettori generali (inspectors general), i responsabili della protezione della vita privata (chief privacy officers), gli uffici per la responsabilità governativa (government accountability offices), le autorità per la tutela della vita privata e delle libertà civili (privacy and civil liberties oversight boards) e altre pertinenti autorità esecutive e legislative preposte alla verifica del rispetto della vita privata e delle libertà civili.
ARTICOLO 22
Cooperazione tra le autorità di supervisione
1. All’occorrenza le autorità che effettuano la supervisione ai sensi dell’articolo 21 si consultano in merito all’espletamento delle funzioni in relazione al presente accordo, al fine di garantire l’attuazione efficace delle disposizioni degli articoli 16, 17 e 18.
2. Le parti istituiscono punti di contatto nazionali che presteranno assistenza nell’identificazione dell’autorità di supervisione a cui rivolgersi nei singoli casi.
ARTICOLO 23
Verifica congiunta
1. Le parti procedono periodicamente a una verifica congiunta delle politiche e delle procedure che attuano il presente accordo e della loro efficacia. Nel corso della verifica congiunta è prestata particolare attenzione all’attuazione efficace delle tutele di cui all’articolo 14 sull’assunzione di responsabilità, all’articolo 16 sull’accesso, all’articolo 17 sulla rettifica, all’articolo 18 sul ricorso amministrativo e all’articolo 19 sul ricorso giurisdizionale.
2. La prima verifica congiunta è effettuata entro tre anni dalla data di entrata in vigore del presente accordo e quelle successive a scadenze regolari. Le parti convengono in anticipo le modalità e i termini della verifica congiunta e si comunicano la composizione delle rispettive delegazioni, che include rappresentanti delle autorità di supervisione pubbliche di cui all’articolo 21 sulla supervisione efficace, e delle autorità di contrasto e giudiziarie. I risultati della verifica congiunta sono resi pubblici.
3. Qualora le parti o gli Stati Uniti e uno Stato membro abbiano concluso un altro accordo il cui oggetto rientra nell'ambito di applicazione del presente accordo e che prevede verifiche congiunte, tali verifiche congiunte non vanno ripetute e i loro risultati, se pertinenti, sono integrati in quelli della verifica congiunta ai sensi del presente accordo.
ARTICOLO 24
Notificazione
1. Gli Stati Uniti notificano all’Unione europea ogni designazione effettuata dalle autorità statunitensi in relazione all’articolo 19 e le relative modifiche.
2. Le parti si adoperano in ogni modo ragionevole per notificarsi l’adozione di eventuali disposizioni legislative o regolamentari che possano avere ripercussioni concrete sull’attuazione del presente accordo, se fattibile prima che diventino efficaci.
ARTICOLO 25
Consultazione
In caso di controversia sull’interpretazione o sull’applicazione del presente accordo le parti si consultano al fine di giungere a una soluzione reciprocamente accettabile.
ARTICOLO 26
Sospensione
1. In caso di violazione sostanziale del presente accordo, ciascuna parte può sospenderlo, in tutto o in parte, mediante notificazione scritta per via diplomatica all’altra parte. Tale notificazione scritta può essere effettuata solo dopo che le parti si sono impegnate in un ragionevole periodo di consultazione senza giungere a una soluzione, e la sospensione ha effetto decorsi venti giorni dalla data di ricezione della notificazione. La sospensione può essere revocata dalla parte che l’ha notificata, mediante notificazione scritta all’altra parte. La sospensione è revocata non appena ricevuta tale notificazione.
2. Nonostante la sospensione del presente accordo, i dati personali che rientrano nel suo ambito di applicazione e che sono stati trasferiti prima della sua sospensione continuano ad essere trattati conformemente al presente accordo.
ARTICOLO 27
Applicazione territoriale
1. Il presente accordo si applica alla Danimarca, al Regno Unito o all’Irlanda solo se la Commissione europea notifica per iscritto agli Stati Uniti che la Danimarca, il Regno Unito o l’Irlanda hanno deciso che il presente accordo si applichi loro.
2. Se prima dell’entrata in vigore del presente accordo la Commissione europea notifica agli Stati Uniti che esso si applica alla Danimarca, al Regno Unito o all’Irlanda, il presente accordo si applica a tali Stati a decorrere dalla data di entrata in vigore del presente accordo.
3. Se dopo l’entrata in vigore del presente accordo la Commissione europea notifica agli Stati Uniti che esso si applica alla Danimarca, al Regno Unito o all’Irlanda, il presente accordo si applica a tali Stati a decorrere dal primo giorno del mese successivo alla ricezione della notificazione da parte degli Stati Uniti.
ARTICOLO 28
Durata dell’accordo
Il presente accordo è concluso per una durata illimitata.
ARTICOLO 29
Entrata in vigore e denuncia
1. Il presente accordo entra in vigore il primo giorno del mese successivo alla data in cui le parti si sono scambiate le notificazioni di avvenuto espletamento delle rispettive procedure interne a tal fine necessarie.
2. Ciascuna parte può denunciare il presente accordo mediante notificazione scritta per via diplomatica all’altra parte. La denuncia ha effetto decorsi trenta giorni dalla data di ricezione della notificazione.
3. Nonostante la denuncia del presente accordo, le informazioni personali che rientrano nel suo ambito di applicazione e che sono state trasferite prima della sua denuncia continuano ad essere trattate conformemente al presente accordo.
IN FEDE DI CHE, i plenipotenziari sottoscritti hanno apposto la propria firma in calce al presente accordo.
Fatto a …, addì … 201..., in due originali in lingua inglese. Ai sensi del diritto dell’UE, il presente accordo è redatto dall’UE in lingua xxxxxxx, xxxx, xxxxxx, xxxxxx, xxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxx, italiana, lettone, lituana, maltese, neerlandese, polacca, portoghese, rumena, slovacca, slovena, spagnola, svedese, tedesca e ungherese. Tali versioni linguistiche aggiuntive possono essere autenticate mediante scambio di note diplomatiche tra gli Stati Uniti e l’Unione europea. In caso di divergenza tra versioni linguistiche autentiche, prevale la versione in lingua inglese.
Per l'Unione europea Per gli Stati Uniti d3America