in vigore nel paese terzo. Il paese terzo dovrebbe offrire garanzie di un adeguato livello di protezione sostan
zialmente equivalente a quello assicurato all'interno dell'Unione, segnatamente quando i dati personali sono
trattati in uno o più settori specifici. In particolare, il paese terzo dovrebbe assicurare un effettivo controllo
indipendente della protezione dei dati e dovrebbe prevedere meccanismi di cooperazione con autorità di
protezione dei dati degli Stati membri e agli interessati dovrebbero essere riconosciuti diritti effettivi e azionabili e
un mezzo di ricorso effettivo in sede amministrativa e giudiziale.
(105) Al di là degli impegni internazionali che il paese terzo o l'organizzazione internazionale hanno assunto, la
Commissione dovrebbe tenere in considerazione gli obblighi derivanti dalla partecipazione del paese terzo o
dell'organizzazione internazionale a sistemi multilaterali o regionali, soprattutto in relazione alla protezione dei
dati personali, nonché all'attuazione di tali obblighi. In particolare si dovrebbe tenere in considerazione l'adesione
dei paesi terzi alla convenzione del Consiglio d'Europa, del 28 gennaio 1981, sulla protezione delle persone
rispetto al trattamento automatizzato di dati di carattere personale e relativo protocollo addizionale. La
Commissione, nel valutare l'adeguatezza del livello di protezione nei paesi terzi o nelle organizzazioni interna
zionali, dovrebbe consultare il comitato.
(106) È opportuno che la Commissione controlli il funzionamento delle decisioni sul livello di protezione in un paese
terzo, in un territorio o settore specifico all'interno di un paese terzo, o un'organizzazione internazionale, e
monitorare il funzionamento delle decisioni adottate sulla base dell'articolo 25, paragrafo 6, o dell'articolo 26,
paragrafo 4, della direttiva 95/46/CE. Nella sua decisione di adeguatezza, la Commissione dovrebbe prevedere un
meccanismo di riesame periodico del loro funzionamento. Tale riesame periodico dovrebbe essere effettuato in
consultazione con il paese terzo o l'organizzazione internazionale in questione e tenere conto di tutti gli sviluppi
pertinenti nel paese terzo o nell'organizzazione internazionale. Ai fini del controllo e dello svolgimento dei
riesami periodici, la Commissione dovrebbe tener conto delle posizioni e delle conclusioni del Parlamento
europeo e del Consiglio, nonché di altri organismi e fonti pertinenti. La Commissione dovrebbe valutare, entro un
termine ragionevole, il funzionamento di tali ultime decisioni e riferire eventuali riscontri pertinenti al comitato
ai sensi del regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (
1
), come stabilito a norma del
presente regolamento, al Parlamento europeo e al Consiglio.
(107) La Commissione può riconoscere che un paese terzo, un territorio o un settore specifico all'interno di un paese
terzo, o un'organizzazione internazionale non garantiscono più un livello adeguato di protezione dei dati. Di
conseguenza il trasferimento di dati personali verso tale paese terzo od organizzazione internazionale dovrebbe
essere vietato, a meno che non siano soddisfatti i requisiti di cui al presente regolamento relativamente ai trasfe
rimenti sottoposti a garanzie adeguate, comprese norme vincolanti d'impresa, e a deroghe per situazioni
particolari. In tal caso è opportuno prevedere consultazioni tra la Commissione e detti paesi terzi o organiz
zazioni internazionali. La Commissione dovrebbe informare tempestivamente il paese terzo o l'organizzazione
internazionale dei motivi e avviare consultazioni con questi al fine di risolvere la situazione.
(108) In mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento
dovrebbe provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a
tutela dell'interessato. Tali adeguate garanzie possono consistere nell'applicazione di norme vincolanti d'impresa,
clausole tipo di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate da
un'autorità di controllo o clausole contrattuali autorizzate da un'autorità di controllo. Tali garanzie dovrebbero
assicurare un rispetto dei requisiti in materia di protezione dei dati e dei diritti degli interessati adeguato ai
trattamenti all'interno dell'Unione, compresa la disponibilità di diritti azionabili degli interessati e di mezzi di
ricorso effettivi, fra cui il ricorso effettivo in sede amministrativa o giudiziale e la richiesta di risarcimento,
nell'Unione o in un paese terzo. Esse dovrebbero riguardare, in particolare, la conformità rispetto ai principi
generali in materia di trattamento dei dati personali e ai principi di protezione dei dati fin dalla progettazione e di
protezione dei dati di default. I trasferimenti possono essere effettuati anche da autorità pubbliche o organismi
pubblici ad autorità pubbliche o organismi pubblici di paesi terzi, o organizzazioni internazionali con analoghi
compiti o funzioni, anche sulla base di disposizioni da inserire in accordi amministrativi, quali un memorandum
d'intesa, che prevedano per gli interessati diritti effettivi e azionabili. L'autorizzazione dell'autorità di controllo
competente dovrebbe essere ottenuta quando le garanzie sono offerte nell'ambito di accordi amministrativi
giuridicamente non vincolanti.
(109) La possibilità che il titolare del trattamento o il responsabile del trattamento utilizzi clausole tipo di protezione
dei dati adottate dalla Commissione o da un'autorità di controllo non dovrebbe precludere ai titolari del
trattamento o ai responsabili del trattamento la possibilità di includere tali clausole tipo in un contratto più
4.5.2016
L 119/20
Gazzetta ufficiale dell'Unione europea
IT
(
1
) Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali
relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione
(GU L 55 del 28.2.2011, pag. 13).