Raccomandazione R(2002)9 del Comitato dei ministri agli Stati membri
sulla protezione dei dati personali raccolti e trattati per scopi assicurativi (*)

(Traduzione non ufficiale)

CONSIGLIO D’EUROPA

Comitato dei Ministri

Preambolo

Il Comitato dei Ministri, ai sensi dell’Articolo 15.b dello Statuto del Consiglio d’Europa,

1. considerato che scopo del Consiglio d’Europa è di raggiungere un’unione più stretta fra i suoi membri,

2. richiamandosi ai principi generali relativi alla protezione dei dati contenuti nella Convenzione per la protezione delle persone fisiche rispetto al trattamento automatizzato di dati personali (ETS n. 108), ed in particolare all’Articolo 6 della stessa, il quale afferma che i dati personali classificati come sensibili non possono essere oggetto di trattamento se il diritto interno non prevede garanzie adeguate,

3. consapevole del fatto che il trattamento automatizzato di dati personali per scopi assicurativi è sempre più diffuso, non solo per la preparazione, conclusione, attuazione e cessazione di assicurazioni, ma anche per facilitare la gestione razionale ed economica delle assicurazioni, e per la lotta contro le frodi,

4. consapevole del fatto che le assicurazioni sono fornite da diversi soggetti economici, ed in particolare da compagnie assicurative,

5. convinto dell’importanza che la qualità, l’integrità e la disponibilità dei dati personali rivestono per le persone assicurate,

6. rilevando che la quasi totalità della popolazione degli Stati membri è interessata da uno o più contratti assicurativi, e che, per tale motivo, gli operatori del settore assicurativo sono in possesso di una quantità considerevole di dati personali, alcuni dei quali sono dati sensibili,

7. convinto che sia auspicabile regolamentare la raccolta ed il trattamento di dati personali per scopi assicurativi, garantirne la riservatezza e la sicurezza, e assicurare che l’utilizzo di tali dati rispetti diritti umani e libertà fondamentali, in particolare il diritto alla vita privata,

8. alla luce del fatto che la mobilità delle persone e la globalizzazione dei mercati e delle attività commerciali rendono indispensabile lo scambio transfrontaliero di informazioni anche nel settore assicurativo, e richiedono un’equivalente protezione dei dati in tutti gli Stati membri del Consiglio d’Europa,

Raccomanda che i governi degli Stati membri

1. prendano provvedimenti in modo da garantire che i principi contenuti nell’Appendice alla presente Raccomandazione si riflettano nella legislazione e nelle prassi interne,

2. assicurino un’ampia diffusione dei principi contenuti nell’Appendice alla presente Raccomandazione fra le persone, le pubbliche autorità e gli organismi pubblici o privati che raccolgono e trattano dati personali per scopi assicurativi, nonché fra gli organismi competenti in materia di protezione dati,

3. promuovano l’accoglimento e l’attuazione dei principi contenuti nell’Appendice alla presente Raccomandazione, in particolare attraverso l’adozione di norme di legge oppure stimolando la redazione di codici deontologici.

 

Appendice alla Raccomandazione R(2002)9

1. Definizioni

Ai fini della presente Raccomandazione:

a. per "dato personale" si intende ogni informazione relativa ad una persona fisica identificata o identificabile ("interessato"). Una persona fisica non dovrebbe essere ritenuta "identificabile" se l’identificazione richiede tempi e attività irragionevoli.

b. per "dato sensibile" si intende un dato personale che riveli l’origine razziale, le opinioni politiche, le convinzioni religiose o di altra natura, nonché un dato personale relativo allo stato di salute e alla vita sessuale. Anche i dati relativi a procedimenti penali e condanne, ed altri dati definiti sensibili dal diritto interno, si considerano dati sensibili.

c. l’espressione "per scopi assicurativi" si riferisce ad ogni operazione che comporti la raccolta e il trattamento di dati personali con riguardo alla copertura di un rischio, in particolare sulla base di una polizza o di un contratto assicurativo.

d. per "trattamento" si intende ogni operazione o complesso di operazioni effettuate in tutto o in parte con l’ausilio di procedure automatizzate e riguardanti dati personali, come la registrazione, la conservazione o la modifica, l’estrazione, la consultazione, l’utilizzazione, la comunicazione, l’incrocio o l’interconnessione e la cancellazione o la distruzione. e. per "comunicazione" si intende l’atto con cui dati personali sono resi accessibili a terzi, indipendentemente dallo strumento o dal supporto utilizzato.

f. per "titolare" si intende la persona fisica o giuridica, la pubblica autorità, il servizio o ogni altro organismo che, da solo o congiuntamente ad altri, definisce gli scopi e gli strumenti utilizzati nella raccolta e nel trattamento di dati personali.

g. per "responsabile" si intende la persona fisica o giuridica, la pubblica autorità, il servizio o ogni altro organismo che tratti dati personali per conto del titolare.

2. Ambito di applicazione

2.1. La presente Raccomandazione si applica ai dati personali raccolti e trattati per scopi assicurativi.

Essa non si applica alla raccolta ed al trattamento di dati personali utilizzati per scopi di previdenza sociale.

2.2. Gli Stati membri sono invitati ad estendere l’applicazione della presente Raccomandazione al trattamento non automatizzato di dati personali per scopi assicurativi.

2.3. Nessun dato personale dovrebbe essere sottoposto ad un trattamento non automatizzato per evitare l’applicazione dei principi della presente Raccomandazione.

2.4. Gli Stati membri possono estendere l’applicazione dei principi fissati nella presente Raccomandazione alla raccolta ed al trattamento di dati relativi a gruppi di persone, associazioni, fondazioni, società, imprese ed ogni altro organismo costituito direttamente o indirettamente da persone fisiche, dotato o meno di personalità giuridica.

2.5. Gli Stati membri possono estendere i principi fissati nella presente Raccomandazione alla protezione di dati personali utilizzati per scopi di previdenza sociale.

3. Rispetto della vita privata

3.1. Nella raccolta e nel trattamento di dati personali per scopi assicurativi è necessario salvaguardare il rispetto di diritti e libertà fondamentali, in particolare del diritto alla vita privata.

3.2. Coloro che hanno accesso a dati personali, nel corso di un’attività assicurativa, devono essere soggetti a vincoli di riservatezza conformemente al diritto ed alle prassi interne. Inoltre, la raccolta ed il trattamento di dati sanitari devono essere effettuati esclusivamente da operatori del settore sanitario, oppure secondo vincoli di riservatezza paragonabili a quelli cui soggiacciono gli operatori del settore sanitario o nel rispetto di garanzie di pari efficacia previste dal diritto interno.

4. Raccolta e trattamento di dati personali per scopi assicurativi

Presupposti essenziali per la raccolta ed il trattamento di dati personali

4.1. La raccolta ed il trattamento (compresa la comunicazione) di dati personali dovrebbero essere effettuati in modo leale e lecito, e per scopi specifici e leciti.

I dati personali dovrebbero essere

- adeguati, pertinenti e non eccedenti in rapporto agli scopi per i quali sono raccolti o ulteriormente trattati,

  • accurati e, se necessario, aggiornati.

Fonti dei dati personali

4.2. In linea di principio, i dati personali raccolti e trattati per scopi assicurativi dovrebbero essere raccolti presso l’interessato o il suo legale rappresentante.

Liceità

4.3. La raccolta ed il trattamento di dati personali per scopi assicurativi sono consentiti

a. se previsti per legge;

b. per l’esecuzione di un contratto assicurativo concluso con l’interessato, nonché per la preparazione di un contratto di questo tipo su richiesta dell’interessato;

c. se l’interessato o il suo legale rappresentante o un’autorità od ogni altra persona o soggetto previsto per legge ha dato il proprio consenso come previsto al Capo 6, oppure

d. se i dati sono necessari per il perseguimento degli interessi legittimi del titolare, purché su questi ultimi non prevalgano gli interessi della persona interessata.

Finalità

4.4. Salvo quanto previsto dai Principi 4.6, 4.7 e 4.8, 8.1 e 13.1, la raccolta ed il trattamento di dati personali sono consentiti esclusivamente per i seguenti scopi:

a. predisposizione e fornitura di assicurazioni;

b. raccolta di premi e presentazione di altre fatturazioni;

c. risoluzione di controversie in materia di indennizzo o pagamento di altri benefici;

d. riassicurazione;

e. co-assicurazione;

f. prevenzione, individuazione e/o perseguimento di frodi assicurative;

g. riconoscimento, esercizio o difesa di un diritto in sede giudiziaria;

h. adempimento di altri specifici obblighi legali o contrattuali;

i. indagini su nuovi mercati assicurativi;

j. attività gestionali interne;

k. attività attuariali.

I dati in questione non possono essere sottoposti a trattamenti ulteriori per scopi incompatibili con quelli per cui sono stati inizialmente raccolti.

Nascituri

4.5. I dati personali relativi a nascituri dovrebbero godere di una tutela paragonabile a quella riservata ai dati personali di un minore.

Salvo diversa disposizione del diritto interno, chi detiene la potestà genitoriale può agire da soggetto che ha legalmente il diritto di agire per conto del nascituro, nella misura in cui quest’ultimo sia l’interessato.

Dati sensibili

4.6. La raccolta ed il trattamento di dati sensibili dovrebbero essere proibiti salvo che, per una delle finalità di cui ai Principi 4.1, 4.8, 8.1 e 13.1,

a. l’interessato o il suo legale rappresentante o un’autorità o ogni altra persona od ente nominato per legge abbia dato il proprio consenso esplicito secondo quanto disposto al Capo 6, oppure

b. siano consentiti dalla legge e

i. salva l’esistenza di adeguate garanzie, il trattamento sia necessario per l’adempimento di altri obblighi legali o contrattuali del titolare, oppure

ii. il trattamento sia necessario per far valere, esercitare o difendere un diritto in sede giudiziaria, oppure

iii. il trattamento sia necessario per tutelare gli interessi vitali della persona interessata o di un terzo, e l’interessato non sia in grado di prestare il proprio consenso per incapacità fisica o giuridica.

c. la raccolta ed il trattamento siano consentiti, salva l’esistenza di adeguate garanzie, per motivi di interesse pubblico rilevante e sulla base di una disposizione di legge o di una decisione dell’autorità ai sensi del Principio 15.1.

Dati di natura penale

4.7. In deroga al Principio 4.6., la raccolta ed il trattamento di dati relativi a procedimenti penali e condanne possono essere effettuati per scopi assicurativi esclusivamente sulla base di adeguate e specifiche garanzie previste dal diritto interno, e purché i dati siano necessari per la lotta alle frodi assicurative, per la concessione di assicurazioni o per il pagamento di indennizzi o di altri benefici assicurativi.

Marketing diretto

4.8. Il titolare può utilizzare i dati raccolti e registrati per scopi assicurativi al fine di commercializzare e promuovere la propria offerta di servizi, purché l’interessato ne sia stato informato e non vi si sia opposto. Tuttavia, se il trattamento riguarda dati sensibili, occorre il consenso esplicito dell’interessato, salvo che ciò contrasti con il diritto interno.

L’interessato dovrebbe essere informato del fatto che la mancata prestazione del consenso o la sua opposizione rispetto all’impiego dei propri dati per scopi di marketing non influirà sulla decisione di concedergli copertura assicurativa o di consentirgli di continuare ad usufruire della copertura assicurativa già concessa.

5. In f o rmazione della persona intere s s a t a

5.1. Gli interessati dovrebbero essere informati di quanto segue:

a. la o le finalità per cui i dati sono o saranno sottoposti a trattamento;

b. l’identità del titolare del trattamento;

c. ogni altra informazione necessaria a garantire che il trattamento sia effettuato in modo leale, come ad esempio

- le categorie di dati raccolti o dei quali si prevede la raccolta;

- le categorie di individui o organismi esterni ai quali i dati possono essere comunicati, e per quali scopi;

- l’eventuale possibilità per gli interessati di rifiutare il consenso o di ritirarlo, e le conseguenze di tale ritiro;

- le condizioni per l’esercizio dei diritti di accesso e di rettifica;

- le persone o gli organismi presso i quali i dati sono o saranno raccolti;

- la natura obbligatoria o facoltativa delle risposte alle domande che costituiscono oggetto della raccolta, e le conseguenze per la persona in caso di risposta parziale.

5.2. Qualora i dati siano raccolti presso l’interessato, il titolare dovrebbe fornire a quest’ultimo le informazioni di cui al punto 5.1. al più tardi al momento della raccolta, salvo che l’interessato sia già stato informato.

5.3. Qualora i dati personali non siano raccolti presso l’interessato, il titolare dovrebbe fornire a quest’ultimo le informazioni di cui al punto 5.1. al momento in cui i dati sono registrati, oppure, se si prevede di comunicare i dati ad un soggetto terzo, al più tardi al momento della prima comunicazione di tali dati.

L’obbligo di informare l’interessato non sussiste se

a. l’ i n t e ressato ha già ricevuto le informazioni;

b. risulta impossibile fornire le informazioni, oppure se ciò comporta uno sforzo sproporzionato ;

c. il trattamento o la comunicazione dei dati per scopi assicurativi sono previsti espressamente dal diritto interno.

Nei casi di cui alle lettere b. e c. devono essere previste adeguate garanzie.

5.4. Le informazioni destinate all’interessato devono essere adeguate e adatte alle singole circostanze .

5.5. Qualora l’interessato versi in stato di incapacità giuridica e non sia in grado di decidere liberamente, e il diritto interno gli vieti di agire in modo autonomo, le informazioni devono essere fornite a chi ha legalmente il diritto di agire per conto dell’interessato.

5.6. Sono ammesse limitazioni alle informazioni da fornire agli interessati purché esse siano previste per legge e siano necessarie ai fini della prevenzione, delle indagini o del perseguimento di reati penali oppure allo scopo di garantire i diritti e le libertà altrui .

6. Consenso

6.1. Qualora sia richiesto il consenso degli interessati, deve trattarsi di un consenso fornito liberamente, in modo specifico e informato. Inoltre, il consenso deve essere inequivocabile e, se riguarda dati sensibili, esplicito.

Tuttavia, possono darsi situazioni nelle quali il diritto interno non ammette il consenso come fondamento sufficiente della liceità della raccolta o del trattamento.

6.2. Qualora i dati personali riguardino persone in stato di incapacità giuridica, e il diritto interno non consenta all’interessato di agire in modo autonomo, è necessario il consenso del legale rappresentante oppure di un’autorità o di un’altra persona o un altro organismo nominato per legge.

6.3. Se, ai sensi del Principio 5.5., un interessato che sia giuridicamente incapace è stato informato dell’intenzione di raccogliere e trattare dati che lo riguardano, se ne dovrebbero tenere in considerazione i desideri [le volontà espresse] purché ciò non contrasti con il diritto interno.

7. Raccolta e trattamento da parte di re s p o n s a b i l i

7.1. Ai sensi delle disposizioni del diritto interno, i titolari possono affidare ad altri la raccolta ed il trattamento di dati personali per uno scopo specifico, nella misura in cui essi siano autorizzati a raccogliere e trattare tali dati ed il responsabile si impegni ad agire esclusivamente sulla base delle indicazioni del titolare ed a rispettare le disposizioni di diritto interno che danno attuazione al Capo 11 dell’Appendice alla presente Raccomandazione.

7.2. I titolari dovrebbero scegliere come responsabili soggetti che offrano adeguate garanzie relativamente agli aspetti tecnici ed organizzativi del trattamento da effettuare. Devono accertarsi dell’osservanza di tali garanzie e, in particolare, della conformità del trattamento alle indicazioni da loro fornite .

7.3. La raccolta e il trattamento di dati personali da parte di responsabili dovrebbero avvenire sulla base di un contratto o di un atto legale che vincoli il responsabile al titolare e specifichi che il responsabile può agire esclusivamente secondo le indicazioni fornite dal titolare e le disposizioni del diritto interno relative agli obblighi dei responsabili .

8. Comunicazione di dati per altri scopi

8.1. I dati personali possono essere comunicati per scopi diversi da quelli indicati nel Principio 4.4. esclusivamente se

a. ciò è previsto dal diritto interno e costituisce una misura necessaria, in una società democratica, ai fini della prevenzione, delle indagini e del perseguimento di reati penali oppure per garantire un altro importante interesse pubblico, oppure

b. gli interessati o i loro legali rappresentanti o un’autorità o un’altra persona o ente nominati per legge hanno prestato il consenso secondo quanto previsto dal Capo 6, oppure

c. la comunicazione è effettuata per scopi di marketing diretto, purché l’interessato ne sia stato informato e non vi si opponga. Tuttavia, dovrebbe essere richiesto il consenso espresso dell’interessato qualora i dati oggetto di comunicazione siano di natura sensibile, secondo quanto indicato al Capo 6, oppure

d. i dati sono necessari per il perseguimento di interessi legittimi del titolare, purché non prevalgano gli interessi della persona interessata. Tuttavia, dovrebbe essere richiesto il consenso espresso dell’interessato qualora i dati oggetto di comunicazione siano di natura sensibile, secondo quanto indicato al Capo 6.

9. Decisioni individuali automatizzate

9.1. Non si dovrebbero prendere decisioni in materia assicurativa che abbiano effetti giuridici per gli interessati, o comunque effetti significativi, qualora esse si basino esclusivamente sul trattamento automatizzato di dati finalizzato a valutare determinati aspetti personali concernenti gli interessati secondo criteri predefiniti o risultati statistici.

9.2. Tuttavia, tali decisioni possono essere prese se soddisfano una richiesta formulata dagli interessati ai fini della conclusione o dell’esecuzione di un contratto assicurativo, oppure se gli interessati hanno la possibilità di far valere il proprio punto di vista al fine di garantire la tutela dei propri interessi legittimi.

Tali decisioni possono essere prese anche qualora siano autorizzate da una legge che tuteli gli interessi legittimi delle persone interessate.

10. Diritti di accesso e di rettifica

10.1. Tutti gli interessati dovrebbero avere la possibilità di ottenere, su richiesta, conferma dell’esistenza o meno di trattamenti di dati personali che li riguardano, e di ottenere, in forma intelligibile, tutti i dati che li riguardano nonché di essere informati almeno rispetto agli scopi del trattamento, alle categorie di dati oggetto di trattamento, ai destinatari o alle categorie di destinatari della comunicazione dei dati, ed all’origine dei dati. Inoltre, essi dovrebbero essere informati, su richiesta, in merito alla logica posta a fondamento del trattamento automatizzato di dati che li riguardano, almeno in caso di decisioni individuali automatizzate.

10.2. Il diritto degli interessati di ottenere i dati che li riguardano non dovrebbe trovare limitazioni, salvo che ciò sia previsto per legge e risulti necessario

a. per la prevenzione, le indagini o il perseguimento di reati penali;

b. per garantire i diritti e le libertà degli interessati o di terzi.

In tal caso, il diritto di accesso può essere limitato solo fin quando sussistano le motivazioni che ne hanno imposto la limitazione.

10.3. Gli interessati dovrebbero avere il diritto di ottenere la correzione, il blocco o la cancellazione dei propri dati, a seconda dei casi, qualora tali dati siano stati raccolti o trattati in difformità dalle disposizioni del diritto interno che danno attuazione ai principi della presente Raccomandazione e, in particolare, qualora essi risultino non accurati, non pertinenti o eccedenti, ottenere l’accesso

a, la rettifica, la cancellazione e il blocco dei propri dati, l’interessato dovrebbe essere informato del diritto di chiedere all’autorità competente di verificare la liceità del trattamento.

10.5. I terzi destinatari della comunicazione dei dati dovrebbero essere informati della rettifica, della cancellazione o del blocco effettuati a meno che ciò risulti manifestamente irragionevole o irrealizzabile.

10.6. I titolari dovrebbero comunicare a intervalli ragionevoli e senza ritardi eccessivi con le persone che esercitano il diritto di accesso ai dati personali che le riguardano, anche per quanto concerne le informazioni di cui al Principio 10.1 rispetto alle quali sia formulata una richiesta di accesso.

11. Sicurezza dei dati

11.1 Dovrebbero essere adottate opportune misure tecniche e organizzative per tutelare i dati personali, che devono essere trattati conformemente alle disposizioni di diritto interno adottate in attuazione dei principi della presente Raccomandazione, contro la distruzione accidentale o illecita, la perdita accidentale, l’accesso, l’alterazione o la comunicazione non autorizzati e contro ogni altra forma di illecito trattamento.

Tali misure dovrebbero assicurare un livello adeguato di sicurezza tenendo conto, da un lato, dei più recenti sviluppi tecnici e, d’altro lato, della natura sensibile dei dati raccolti e trattati per scopi assicurativi e per la valutazione di rischi potenziali. Le misure in questione dovrebbero essere oggetto di un riesame periodico.

11.2. Al fine di garantire, in particolare, la riservatezza, l’integrità e la disponibilità dei dati oggetto di trattamento, nonché la tutela degli interessati, il titolare dovrebbe adottare opportune misure

a. per impedire a soggetti non autorizzati di accedere alle installazioni utilizzate per il trattamento di dati personali (controllo all’ingresso delle installazioni);

b. per impedire la lettura, la copiatura, l’alterazione o l’asportazione di supporti informazionali da parte di soggetti non autorizzati (controllo dei supporti informazionali);

c. per impedire l’inserimento non autorizzato di dati nel sistema informatico, nonché ogni consultazione, modifica o cancellazione non autorizzata dei dati personali memorizzati (controllo di memoria);

d. per impedire che sistemi per il trattamento automatizzato di dati siano utilizzati da soggetti non autorizzati attraverso dispositivi di trasmissione dati (controllo di utilizzazione);

e. allo scopo di consentire, da un lato, l’accesso selettivo ai dati e, d’altro lato, la sicurezza dei dati personali, per fare in modo che il trattamento sia strutturato, in linea di principio, così da consentire la separazione fra

- identificatori e dati relativi all’identità delle persone,

- dati amministrativi,

- dati sensibili (controllo degli accessi);

f. per garantire la possibilità di verificare e accertare a quali persone o enti sia consentita la comunicazione di dati personali attraverso dispositivi per la trasmissione dei dati (controllo delle comunicazioni);

g. per garantire la possibilità di verificare e stabilire, a posteriori, chi abbia avuto accesso al sistema e quali dati personali siano stati inseriti nel sistema informativo, quando e da chi (controllo dell’inserimento dati);

h. per impedire la lettura, la copiatura, l’alterazione o la cancellazione non autorizzate di dati personali durante la comunicazione di tali dati ed il trasporto di supporti informazionali (controllo del trasporto);

i. per salvaguardare i dati attraverso la realizzazione di copie di sicurezza (controllo della disponibilità).

11.3. I titolari dovrebbero redigere gli opportuni regolamenti interni, ai sensi del diritto nazionale, onde rispettare i principi pertinenti di cui alla presente Raccomandazione.

11.4. Se necessario, i titolari dovrebbero nominare un soggetto indipendente quale responsabile della sicurezza dei sistemi informatici e della protezione dati, con competenze estese alla consulenza in materia.

12. Flussi transfrontalieri di dati

12.1. I principi della presente Raccomandazione si applicano al flusso transfrontaliero di dati personali raccolti e trattati per scopi assicurativi.

12.2. Il flusso transfrontaliero di dati personali verso uno Stato che ha ratificato la Convenzione per la protezione delle persone fisiche rispetto al trattamento automatizzato di dati personali (ETS N. 108), e che dispone di norme di legge tali da garantire quantomeno un’equivalente protezione dei dati, non dovrebbe essere soggetto a condizioni speciali riferite alla tutela della privacy.

12.3. Non dovrebbero essere previste limitazioni al flusso transfrontaliero di dati verso uno Stato che non ha ratificato la Convenzione ma garantisce un livello adeguato di tutela.

12.4. Salvo diversa disposizione del diritto interno, il flusso transfrontaliero di dati verso uno Stato che non garantisce un livello adeguato di tutela non dovrebbe avere luogo, a meno che

a. l’interessato vi abbia acconsentito ai sensi del Capo 6, oppure

b. siano state adottate misure, anche di natura contrattuale, necessarie a rispettare le disposizioni del diritto interno che danno attuazione ai principi della Convenzione e della presente Raccomandazione, e l’interessato abbia la possibilità di opporsi al trasferimento.

13. Conservazione dei dati

13.1. Qualora i dati personali cessino di essere necessari per la realizzazione delle finalità per cui sono stati raccolti e trattati dal titolare, dovrebbero essere cancellati. Tale principio vale anche qualora si decida di rifiutare la copertura assicurativa. Tuttavia, se i dati devono essere conservati per scopi di ricerca scientifica o di statistica, o per altri scopi previsti dalla legge, dovrebbero essere conservati in forma separata ed essere accessibili esclusivamente per tali scopi, salva l’esistenza di opportune garanzie.

13.2. Nello stabilire il periodo di conservazione dei dati, si dovrebbe tenere conto, in particolare, della necessità di conservare i dati per il periodo necessario alla difesa di un diritto in sede giudiziaria, oppure per comprovare transazioni avvenute, o per giustificare la decisione di rifiutare la copertura assicurativa.

14. Rimedi giuridici

Il diritto interno dovrebbe prevedere opportune sanzioni e rimedi giuridici in caso di violazione delle disposizioni di diritto interno che danno attuazione ai principi fissati nella presente Raccomandazione.

15. Garantire il rispetto dei principi

15.1. Gli Stati membri dovrebbero incaricare una o più autorità di garantire, in piena indipendenza, l’applicazione delle disposizioni di diritto interno che danno attuazione ai principi fissati nella presente Raccomandazione.

15.2. Le informazioni di seguito indicate dovrebbero essere pubblicizzate nei modi opportuni e rese facilmente accessibili a chiunque:

a. nominativo e indirizzo del titolare e dell’eventuale rappresentante;

b. la o le finalità del trattamento;

c. la categoria o le categorie di interessati e dei dati;

d. il destinatario o le categorie di destinatari della comunicazione dei dati;

e. i trasferimenti di dati previsti verso Paesi terzi.

 

 

NOTE

(*) http://cm.coe.int/stat/E/Public/2002/adopted_texts/recommendations/2002r9.htm