CONSIGLIO DELL'UNIONE EUROPEA

 

ATTI ADOTTATI A NORMA DEL TITOLO VI DEL TRATTATO UE
DECISIONE QUADRO 2008/977/GAI DEL CONSIGLIO del 27 novembre 2008

sulla protezione dei dati personali trattati nellĠambito della cooperazione giudiziaria e di polizia in materia penale

 

IL CONSIGLIO DELLĠUNIONE EUROPEA,

visto il trattato sullĠUnione europea, in particolare lĠarticolo 30, lĠarticolo 31 e lĠarticolo 34, paragrafo 2, lettera b), vista la proposta della Commissione, visto il parere del Parlamento europeo (1), considerando quanto segue:

(1) LĠUnione europea si  prefissa lĠobiettivo di far s“ che lĠUnione si conservi e si sviluppi come uno spazio di libertˆ, sicurezza e giustizia in cui un elevato livello di sicurezza sia offerto dalle azioni comuni degli Stati membri nel settore della cooperazione di polizia e giudiziaria in materia penale.

(2) Le azioni comuni nel settore della cooperazione di polizia ai sensi dellĠarticolo 30, paragrafo 1, lettera b), del trattato sullĠUnione europea e le azioni comuni nel settore della cooperazione giudiziaria in materia penale ai sensi dellĠarticolo 31, paragrafo 1, lettera a), del trattato sullĠUnione europea richiedono un trattamento delle informazioni pertinenti che dovrebbe essere disciplinato da adeguate disposizioni sulla protezione dei dati personali.

(3) La legislazione che rientra nellĠambito del titolo VI del trattato sullĠUnione europea dovrebbe rafforzare la cooperazione giudiziaria e di polizia in materia penale per quanto riguarda lĠefficacia e la legittimitˆ e il rispetto dei diritti fondamentali, soprattutto il diritto alla riservatezza e alla protezione dei dati personali. Le norme comuni sul trattamento e la protezione dei dati personali trattati ai fini della prevenzione e della lotta contro la criminalitˆ contribuiscono a raggiungere entrambi gli obiettivi.

(4) Il programma dellĠAia sul rafforzamento della libertˆ, della sicurezza e della giustizia nellĠUnione europea, adottato dal Consiglio europeo il 4 novembre 2004, ha sottolineato la necessitˆ di un approccio innovativo nei confronti dello scambio transfrontaliero di informazioni in materia di applicazione della legge nel rigoroso rispetto delle condizioni fondamentali per quanto riguarda la protezione dei dati e ha invitato la Commissione a presentare proposte in proposito entro la fine del 2005. Ci˜ ha trovato riscontro nel piano dĠazione del Consiglio e della Commissione sullĠattuazione del programma dellĠAia inteso a rafforzare la libertˆ, la sicurezza e la giustizia nellĠUnione europea (2).

(5) Lo scambio dei dati personali nellĠambito della cooperazione giudiziaria e di polizia in materia penale, segnatamente in conformitˆ del principio di disponibilitˆ delle informazioni stabilito dal programma dellĠAia, dovrebbe essere retto da norme chiare che rafforzino la fiducia reciproca delle autoritˆ competenti e garantiscano che le informazioni pertinenti siano protette in modo da escludere qualsiasi discriminazione riguardo a tale cooperazione tra Stati membri pur nel pieno rispetto dei diritti fondamentali dellĠindividuo. Gli strumenti esistenti a livello europeo non sono sufficienti; la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonchŽ alla libera circolazione di tali dati (3), non si applica al trattamento dei dati personali nel corso di attivitˆ che esulino dallĠambito di applicazione del diritto comunitario, come quelle previste dal titolo VI del trattato sullĠUnione europea nŽ, in ogni caso, ai trattamenti relativi alla sicurezza pubblica, alla difesa, alla sicurezza dello Stato o alle attivitˆ dello Stato in materia di diritto penale.

(6) La presente decisione quadro si applica soltanto ai dati raccolti o trattati da autoritˆ competenti ai fini della prevenzione, dellĠindagine, dellĠaccertamento o del perseguimento dei reati o dellĠesecuzione delle sanzioni penali. La presente decisione quadro dovrebbe lasciare agli Stati membri la competenza di stabilire in modo pi preciso, a livello nazionale, quali altri fini siano da considerare incompatibili con la finalitˆ per la quale i dati personali sono stati inizialmente rilevati. In generale, il trattamento successivo per scopi storici, statistici o scientifici non dovrebbe essere considerato incompatibile con la finalitˆ iniziale del trattamento.

(7) LĠambito di applicazione della presente decisione quadro si limita al trattamento dei dati personali trasmessi o resi disponibili tra Stati membri. Non si dovrebbero trarre conclusioni da detta limitazione in merito alla competenza dellĠUnione ad adottare atti connessi alla raccolta e al trattamento dei dati personali a livello nazionale o allĠopportunitˆ che lĠUnione lo faccia in futuro.

(8) Al fine di facilitare gli scambi di dati nellĠambito dellĠUnione europea, gli Stati membri intendono assicurare che il livello di protezione dei dati raggiunto nel trattamento dei dati a livello nazionale corrisponda a quello previsto dalla presente decisione quadro. In relazione al trattamento dei dati a livello nazionale, la presente decisione quadro non osta a che gli Stati membri prevedano, per la protezione dei dati personali, garanzie pi elevate di quelle stabilite nella presente decisione quadro.

(9) La presente decisione quadro non si dovrebbe applicare ai dati personali che uno Stato membro ha ottenuto nellĠambito della presente decisione quadro e che sono originari di tale Stato membro.

(10) Il ravvicinamento delle legislazioni degli Stati membri non dovrebbe portare a una riduzione del livello di protezione dei dati ma dovrebbe, al contrario, cercare di garantire che esso sia elevato in tutta lĠUnione.

(11) é necessario specificare gli obiettivi della protezione dei dati nellĠambito delle attivitˆ giudiziarie e di polizia e istituire norme sulla legalitˆ del trattamento dei dati personali al fine di garantire che tutte le informazioni che possono essere scambiate siano state trattate in maniera legale e conformemente ai principi fondamentali in materia di qualitˆ dei dati. Al tempo stesso, le legittime attivitˆ delle autoritˆ giudiziarie, doganali, di polizia e delle altre autoritˆ competenti non dovrebbero in alcun modo essere compromesse.

(12) Il principio dellĠesattezza dei dati deve essere applicato tenendo conto della natura e della finalitˆ del trattamento in questione. Ad esempio, in particolare nei procedimenti giudiziari i dati sono basati sulla percezione soggettiva delle persone e in alcuni casi non sono assolutamente verificabili. Il requisito dellĠesattezza non pu˜ pertanto riferirsi allĠesattezza di una dichiarazione ma semplicemente al fatto che  stata rilasciata una determinata dichiarazione.

(13) LĠarchiviazione in un insieme di dati distinto dovrebbe essere autorizzata solo se i dati non sono pi necessari e utilizzati ai fini della prevenzione, dellĠindagine, dellĠaccertamento o del perseguimento dei reati o dellĠesecuzione delle sanzioni penali. LĠarchiviazione in un insieme di dati distinto dovrebbe essere altres“ autorizzata se i dati archiviati sono conservati in una banca dati con altri dati in modo che non possano pi essere utilizzati ai fini della prevenzione, dellĠindagine, dellĠaccertamento o del perseguimento dei reati o dellĠesecuzione delle sanzioni penali. La pertinenza della durata di archiviazione dovrebbe dipendere dai fini dellĠarchiviazione e dagli interessi legittimi delle persone interessate. Nel caso di archiviazione a fini storici, pu˜ essere previsto un periodo molto lungo.

(14) I dati possono anche essere cancellati mediante distruzione del supporto.

(15) La rettifica, la cancellazione o il blocco dei dati imprecisi, incompleti o non pi aggiornati trasmessi o messi a disposizione di un altro Stato membro e successivamente trattati da autoritˆ semi-giudiziarie, vale a dire autoritˆ con poteri di emettere decisioni giuridicamente vincolanti, dovrebbero avvenire in conformitˆ del diritto nazionale.

(16) Per garantire un elevato livello di protezione dei dati personali delle persone sono necessarie disposizioni comuni al fine di determinare la legalitˆ e la qualitˆ dei dati trattati dalle autoritˆ competenti in altri Stati membri.

(17) é opportuno fissare a livello europeo le condizioni alle quali le autoritˆ competenti degli Stati membri dovrebbero essere autorizzate a trasmettere e rendere disponibili i dati personali pervenuti da altri Stati membri alle autoritˆ e ai privati negli Stati membri. In molti casi la trasmissione di dati personali a privati da parte di autoritˆ giudiziarie, di polizia o doganali  necessaria per perseguire i reati o prevenire una seria e immediata minaccia alla sicurezza pubblica o un grave danno ai diritti delle persone, ad esempio segnalando falsificazioni di titoli alle banche e agli enti creditizi oppure, nel settore della criminalitˆ connessa con veicoli, comunicando dati personali alle compagnie di assicurazione per prevenire il traffico illecito di autoveicoli rubati o migliorare le condizioni per il recupero allĠestero degli autoveicoli rubati.

Ci˜ non equivale al trasferimento di compiti di polizia o giudiziari a privati.

(18) Le norme della presente decisione quadro relative alla trasmissione di dati personali da parte di autoritˆ giudiziarie, di polizia o doganali a privati non si applicano alla divulgazione di dati a privati (quali difensori e vittime) nel contesto di azioni penali.

(19) LĠulteriore trattamento dei dati personali ricevuti o resi disponibili dalle autoritˆ competenti di un altro Stato membro, in particolare lĠulteriore trasmissione o messa a disposizione di tali dati, dovrebbe essere disciplinato da norme comuni a livello europeo.

(20) Qualora i dati personali possano essere successivamente trattati previo consenso dello Stato membro presso cui sono stati ottenuti, ciascuno Stato membro dovrebbe poter stabilire le modalitˆ di tale consenso, anche ad esempio tramite un consenso generale per categorie di informazioni o di trattamento successivo.

(21) Qualora i dati personali possano essere successivamente trattati per procedimenti amministrativi, tali procedimenti includono anche attivitˆ espletate da organismi di regolamentazione o di controllo.

(22) Le attivitˆ legittime delle autoritˆ giudiziarie, doganali, di polizia e delle altre autoritˆ competenti possono richiedere lĠinvio di dati ad autoritˆ di Stati terzi o a organismi internazionali che hanno obblighi in materia di prevenzione, indagine, accertamento o perseguimento dei reati o di esecuzione delle sanzioni penali.

(23) Qualora i dati personali siano trasferiti da uno Stato membro a Stati terzi od organismi internazionali, tali dati dovrebbero, in linea di principio, godere di un adeguato livello di protezione.

(24) Qualora i dati personali siano trasferiti da uno Stato membro a Stati terzi od organismi internazionali, tale trasferimento dovrebbe avvenire, in linea di principio, unicamente dopo che lo Stato membro presso cui sono stati ottenuti i dati ha acconsentito al trasferimento. Ciascuno Stato membro dovrebbe poter stabilire le modalitˆ di tale consenso, anche ad esempio tramite un consenso generale per categorie di informazioni o per Stati terzi specifici.

(25) Ai fini di una cooperazione efficace in materia di applicazione della legge  necessario che, qualora la natura di una minaccia alla sicurezza pubblica di uno Stato membro o di un paese terzo sia tanto immediata da rendere impossibile lĠottenimento del consenso preliminare in tempo utile, lĠautoritˆ competente dovrebbe poter trasferire i dati personali pertinenti al paese terzo interessato senza tale consenso preliminare. Lo stesso potrebbe valere qualora siano in gioco altri intessi essenziali di pari importanza di uno Stato membro, ad esempio qualora le infrastrutture critiche di uno Stato membro possano essere oggetto di una seria e immediata minaccia o qualora il sistema finanziario di uno Stato membro possa essere gravemente perturbato.

(26) Al fine di garantire la possibilitˆ di unĠeffettiva tutela giuridica, potrebbe essere necessario fornire alla persona interessata le informazioni inerenti al trattamento dei suoi dati, specie in caso di lesione particolarmente grave dei suoi diritti a seguito di interventi di raccolta clandestina di dati.

(27) Gli Stati membri dovrebbero provvedere affinchŽ la persona interessata sia informata che i dati personali potrebbero essere o sono raccolti, trattati o trasmessi a un altro Stato membro a fini di prevenzione, indagine, accertamento e perseguimento dei reati o di esecuzione delle sanzioni penali. Le modalitˆ del diritto della persona interessata a essere informata e le relative eccezioni dovrebbero essere determinate dalla legislazione nazionale.

Ci˜ potrebbe avvenire in via generale, per esempio mediante la legislazione o la pubblicazione di un elenco dei trattamenti.

(28) Al fine di garantire la protezione dei dati personali senza compromettere gli interessi delle indagini penali  necessario definire i diritti della persona interessata.

(29) Alcuni Stati membri hanno previsto il diritto di accesso della persona interessata in materia penale attraverso un sistema per cui lĠautoritˆ nazionale di controllo, in luogo della persona interessata, ha accesso senza restrizioni a tutti i dati personali concernenti la persona interessata e pu˜ anche rettificare, cancellare o aggiornare dati inesatti.

In questo caso di accesso indiretto, la legislazione nazionale di tali Stati membri pu˜ prevedere che lĠautoritˆ nazionale di controllo informi la persona interessata soltanto del fatto che sono state effettuate tutte le verifiche necessarie. Tuttavia, detti Stati membri prevedono anche possibilitˆ di accesso diretto della persona interessata in casi specifici, quali lĠaccesso ai casellari giudiziari, al fine di ottenere copie del proprio certificato penale o documenti relativi ai propri interrogatori condotti dai servizi di polizia.

(30) é opportuno stabilire norme comuni sulla riservatezza e la sicurezza del trattamento, sulla responsabilitˆ e le sanzioni in caso di uso illegittimo da parte delle autoritˆ competenti e sui ricorsi giurisdizionali che possono essere proposti dalla persona interessata. Spetta tuttavia ai singoli Stati membri determinare la natura delle proprie norme in materia di responsabilitˆ da illecito e delle sanzioni applicabili in caso di violazione delle disposizioni nazionali sulla protezione dei dati.

(31) La presente decisione quadro consente che nellĠapplicazione dei principi in essa stabiliti si tenga conto del principio dellĠaccesso del pubblico ai documenti ufficiali.

(32) Qualora sia necessario per proteggere i dati personali in relazione a un trattamento che, per portata o per tipo, comporti rischi specifici per i diritti e le libertˆ fondamentali, ad esempio trattamento con tecnologie, procedure o meccanismi nuovi,  opportuno prevedere che le competenti autoritˆ nazionali di controllo siano consultate prima della creazione di archivi destinati al trattamento di tali dati.

(33) LĠistituzione negli Stati membri di autoritˆ di controllo che esercitino le proprie funzioni in piena indipendenza  una componente essenziale della protezione dei dati personali trattati nellĠambito della cooperazione giudiziaria e di polizia tra gli Stati membri.

(34) Le autoritˆ di controllo giˆ istituite negli Stati membri ai sensi della direttiva 95/46/CE dovrebbero poter essere incaricate anche dei compiti che devono essere adempiuti dalle autoritˆ di controllo nazionali da istituire a norma della presente decisione quadro.

(35) Le autoritˆ di controllo dovrebbero disporre dei mezzi necessari allĠadempimento dei loro compiti, compresi poteri investigativi o di intervento, segnatamente in caso di reclami di singoli individui, nonchŽ poteri di avviare azioni legali. Tali autoritˆ di controllo dovrebbero contribuire alla trasparenza dei trattamenti effettuati nello Stato membro da cui dipendono. Tuttavia, i poteri di tali autoritˆ non dovrebbero interferire con le norme specifiche stabilite per i procedimenti penali o con lĠindipendenza della magistratura.

(36) LĠarticolo 47 del trattato sullĠUnione europea prevede che nulla deve pregiudicare i trattati che istituiscono le Comunitˆ europee nŽ i trattati e gli atti successivi che li hanno modificati o completati. Conformemente a ci˜, la presente decisione quadro non pregiudica la protezione dei dati personali ai sensi del diritto comunitario, segnatamente a norma di quanto previsto dalla direttiva 95/46/CE, dal regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonchŽ la libera circolazione di tali dati (4), e dalla direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (5).

(37) La presente decisione quadro non pregiudica le norme relative allĠaccesso illecito ai dati previste dalla decisione quadro 2005/222/GAI del Consiglio, del 24 febbraio 2005, relativa agli attacchi contro i sistemi di informazione (6).

(38) La presente decisione quadro non pregiudica gli obblighi vigenti e gli impegni incombenti agli Stati membri o allĠUnione in virt di accordi bilaterali e/o multilaterali conclusi con paesi terzi. I futuri accordi dovrebbero rispettare le norme relative agli scambi con i paesi terzi.

(39) Diversi atti adottati a norma del titolo VI del trattato sullĠUnione europea contengono norme specifiche riguardanti la protezione dei dati personali scambiati o altrimenti trattati conformemente a tali atti. In alcuni casi queste disposizioni costituiscono una serie completa e coerente di regole che coprono tutti gli aspetti pertinenti della protezione dei dati (principi della qualitˆ dei dati, norme sulla sicurezza dei dati, regolamentazione dei diritti delle persone interessate e delle garanzie previste per le stesse, organizzazione del controllo e responsabilitˆ) e disciplinano queste materie pi dettagliatamente della presente decisione quadro. Questa dovrebbe lasciare impregiudicata la pertinente serie di disposizioni sulla protezione dei dati di detti atti, segnatamente quelle che disciplinano il funzionamento dellĠEuropol, di Eurojust, del sistema dĠinformazione Schengen (SIS) e del sistema informativo doganale (SID) e quelle che introducono lĠaccesso diretto delle autoritˆ degli Stati membri a taluni sistemi di dati di altri Stati membri. Lo stesso vale per quanto riguarda le disposizioni di protezione dei dati che disciplinano il trasferimento automatizzato tra Stati membri di profili DNA, dati dattiloscopici e dati nazionali di immatricolazione dei veicoli a norma della decisione 2008/615/GAI del Consiglio del 23 giugno 2008 sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalitˆ transfrontaliera (7).

(40) In altri casi, le disposizioni sulla protezione dei dati contenute in atti adottati a norma del titolo VI del trattato sullĠUnione europea hanno una portata pi limitata. Spesso stabiliscono condizioni specifiche, per lo Stato membro che riceve da altri Stati membri unĠinformazione contenente dati personali, circa le finalitˆ per cui tali dati possono essere utilizzati, mentre per altri aspetti della protezione dei dati rinviano alla convenzione del Consiglio dĠEuropa sulla protezione delle persone rispetto al trattamento automatizzato dei dati di carattere personale del 28 gennaio 1981 o alla legislazione nazionale. Se le disposizioni di tali atti pongono condizioni allo Stato membro destinatario in merito allĠuso o allĠulteriore trasferimento di dati personali pi restrittive rispetto alle corrispondenti disposizioni della presente decisione quadro, le precedenti disposizioni dovrebbero rimanere impregiudicate.

Tuttavia, per tutti gli altri aspetti, si dovrebbero applicare le norme di cui alla presente decisione quadro.

(41) La presente decisione lascia impregiudicati la convenzione del Consiglio dĠEuropa sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, il protocollo addizionale di tale convenzione dellĠ8 novembre 2001 o le convenzioni del Consiglio dĠEuropa sulla cooperazione giudiziaria in materia penale.

(42) PoichŽ lĠobiettivo della presente azione comune, ossia la definizione di norme comuni per la protezione dei dati personali trattati nellĠambito della cooperazione giudiziaria e di polizia in materia penale, non pu˜ essere realizzato in misura sufficiente dagli Stati membri, e pu˜ dunque, a causa delle dimensioni e degli effetti dellĠintervento, essere realizzato meglio a livello dellĠUnione, lĠUnione pu˜ intervenire in base al principio di sussidiarietˆ sancito dallĠarticolo 5 del trattato che istituisce la Comunitˆ europea e richiamato allĠarticolo 2 del trattato sullĠUnione europea. La presente decisione quadro si limita a quanto  necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalitˆ enunciato allĠarticolo 5 del trattato che istituisce la Comunitˆ europea.

(43) Il Regno Unito partecipa alla presente decisione quadro a norma dellĠarticolo 5 del protocollo sullĠintegrazione dellĠacquis di Schengen nellĠambito dellĠUnione europea allegato al trattato sullĠUnione europea e al trattato che istituisce la Comunitˆ europea, e dellĠarticolo 8, paragrafo 2, della decisione 2000/365/CE del Consiglio, del 29 maggio 2000, riguardante la richiesta del Regno Unito di Gran Bretagna e Irlanda del Nord di partecipare ad alcune disposizioni dellĠacquis di Schengen (8).

(44) LĠIrlanda partecipa alla presente decisione quadro a norma dellĠarticolo 5 del protocollo sullĠintegrazione dellĠacquis di Schengen nellĠambito dellĠUnione europea allegato al trattato sullĠUnione europea e al trattato che istituisce la Comunitˆ europea, e dellĠarticolo 6, paragrafo 2, della decisione 2002/192/CE del Consiglio, del 28 febbraio 2002, riguardante la richiesta dellĠIrlanda di partecipare ad alcune disposizioni dellĠacquis di Schengen (9).

(45) Per quanto riguarda lĠIslanda e la Norvegia, la presente decisione quadro costituisce uno sviluppo delle disposizioni dellĠacquis di Schengen ai sensi dellĠaccordo concluso dal Consiglio dellĠUnione europea con la Repubblica dĠIslanda e il Regno di Norvegia sulla loro associazione allĠattuazione, allĠapplicazione e allo sviluppo dellĠacquis di Schengen (10), che rientrano nel settore di cui allĠarticolo 1, punti H e I, della decisione 1999/437/CE del Consiglio relativa a talune modalitˆ di applicazione di detto accordo (11).

(46) Per quanto riguarda la Svizzera, la presente decisione quadro costituisce uno sviluppo delle disposizioni dellĠacquis di Schengen ai sensi dellĠaccordo tra lĠUnione europea, la Comunitˆ europea e la Confederazione svizzera riguardante lĠassociazione di questĠultima allĠattuazione, allĠapplicazione e allo sviluppo dellĠacquis di Schengen (12), che rientrano nel settore di cui allĠarticolo 1, punti H e I, della decisione 1999/437/CE, in combinato disposto con lĠarticolo 3 della decisione 2008/149/GAI del Consiglio (13) relativa alla conclusione di tale accordo a nome dellĠUnione europea.

(47) Per quanto riguarda il Liechtenstein, la presente decisione costituisce uno sviluppo delle disposizioni dellĠacquis di Schengen ai sensi del protocollo tra lĠUnione europea, la Comunitˆ europea, la Confederazione svizzera e il Principato del Liechtenstein sullĠadesione del Principato del Liechtenstein allĠaccordo tra lĠUnione europea, la Comunitˆ europea e la Confederazione svizzera riguardante lĠassociazione della Confederazione svizzera allĠattuazione, allĠapplicazione e allo sviluppo dellĠacquis di Schengen, che rientrano nel settore di cui allĠarticolo 1, lettere H e I, della decisione 1999/437/CE, in combinato disposto con lĠarticolo 3 della decisione 2008/262/GAI del Consiglio relativa alla firma di tale protocollo a nome dellĠUnione europea (14).

(48) La presente decisione quadro rispetta i diritti fondamentali e osserva i principi sanciti in particolare dalla Carta dei diritti fondamentali dellĠUnione europea (15). La presente decisione quadro cerca di garantire il pieno rispetto del diritto alla tutela della vita privata e del diritto alla protezione dei dati di carattere personale di cui agli articoli 7 e 8 della Carta,

HA ADOTTATO LA PRESENTE DECISIONE QUADRO:

Articolo 1

Oggetto e ambito di applicazione

1. LĠoggetto della presente decisione quadro  assicurare un elevato livello di protezione dei diritti e delle libertˆ fondamentali delle persone fisiche, in particolare del diritto alla vita privata, riguardo al trattamento dei dati personali nellĠambito della cooperazione giudiziaria e di polizia in materia penale di cui al titolo VI del trattato sullĠUnione europea, garantendo nel contempo un elevato livello di sicurezza pubblica.

2. Conformemente alla presente decisione quadro, gli Stati membri proteggono i diritti e le libertˆ fondamentali delle persone fisiche, in particolare il diritto alla vita privata, quando, ai fini della prevenzione, dellĠindagine, dellĠaccertamento e del perseguimento dei reati o dellĠesecuzione delle sanzioni penali, i dati personali:

a) sono o sono stati trasmessi o resi disponibili tra Stati membri;

b) sono o sono stati trasmessi o resi disponibili dagli Stati membri ad autoritˆ o a sistemi dĠinformazione istituiti in base al titolo VI del trattato sullĠUnione europea; o

c) sono o sono stati trasmessi o resi disponibili alle competenti autoritˆ degli Stati membri da autoritˆ o sistemi dĠinformazione istituiti in base al trattato sullĠUnione europea o al trattato che istituisce la Comunitˆ europea.

3. La presente decisione quadro si applica al trattamento di dati personali, interamente o parzialmente automatizzato, nonchŽ al trattamento non automatizzato di dati personali figuranti o destinati a figurare negli archivi.

4. La presente decisione quadro lascia impregiudicati gli interessi fondamentali della sicurezza nazionale e specifiche attivitˆ di informazione nel settore della sicurezza nazionale.

5. La presente decisione quadro non osta a che gli Stati membri prevedano, per la protezione dei dati personali raccolti o trattati a livello nazionale, garanzie pi elevate di quelle stabilite nella presente decisione quadro.

Articolo 2

Definizioni

Ai fini della presente decisione quadro, si intende per:

a) Çdati personaliÈ qualsiasi informazione concernente una persona fisica identificata o identificabile (Çpersona interessataÈ); si considera identificabile la persona che pu˜ essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un numero di identificazione o a uno o pi elementi caratteristici della sua identitˆ fisica, fisiologica, psichica, economica, culturale o sociale;

b) Çtrattamento di dati personaliÈ e ÇtrattamentoÈ qualsiasi operazione o insieme di operazioni compiute con o senza lĠausilio di processi automatizzati e applicate a dati personali, come raccolta, registrazione, organizzazione, memorizzazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto o interconnessione, nonchŽ blocco, cancellazione o distruzione;

c) ÇbloccoÈ contrassegno dei dati personali memorizzati con lĠobiettivo di limitarne il trattamento in futuro;

d) Çarchivio di dati personaliÈ e ÇarchivioÈ qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

e) Çincaricato del trattamentoÈ qualsiasi organismo che elabora dati personali per conto del responsabile del trattamento;

f) ÇdestinatarioÈ qualsiasi organismo che riceve comunicazione di dati;

g) Çconsenso della persona interessataÈ qualsiasi manifestazione di volontˆ libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento;

h) Çautoritˆ competentiÈ agenzie o organismi istituiti mediante atti adottati dal Consiglio ai sensi del titolo VI del trattato sullĠUnione europea, nonchŽ autoritˆ giudiziarie, doganali, di polizia e altre autoritˆ competenti degli Stati membri autorizzate dalla legislazione nazionale a trattare dati personali nellĠambito della presente decisione quadro;

i) Çresponsabile del trattamentoÈ la persona fisica o giuridica, lĠautoritˆ pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalitˆ e gli strumenti del trattamento di dati personali;

j) ÇcaratterizzazioneÈ contrassegno dei dati personali memorizzati senza lĠobiettivo di limitarne il trattamento in futuro;

k) ÇanonimizzazioneÈ la modificazione di dati personali in modo che i dati particolari su condizioni personali o materiali non possano pi, o possano solo con eccessivo dispendio di tempo, costi e lavoro, essere attribuiti a una persona fisica determinata o determinabile.

Articolo 3

Principi di legalitˆ, proporzionalitˆ e finalitˆ

1. I dati personali possono essere raccolti dalle autoritˆ competenti soltanto per finalitˆ specifiche, esplicite e legittime nellĠambito dei loro compiti e possono essere trattati solo per la finalitˆ per la quale sono stati raccolti. Il trattamento dei dati deve essere legale e adeguato, pertinente e non eccessivo rispetto alle finalitˆ per le quali sono stati raccolti.

2. LĠulteriore trattamento per unĠaltra finalitˆ  ammesso a condizione che:

a) non sia incompatibile con le finalitˆ per le quali i dati sono stati raccolti;

b) le autoritˆ competenti siano autorizzate a trattare tali dati per dette altre finalitˆ in conformitˆ della normativa a esse applicabile; e

c) il trattamento sia necessario e proporzionato a tale altra finalitˆ.Le autoritˆ competenti possono inoltre trattare ulteriormente i dati personali trasmessi per finalitˆ storiche, statistiche o scientifiche, a condizione che gli Stati membri forniscano adeguate garanzie, come lĠanonimizzazione dei dati.

Articolo 4

Rettifica, cancellazione e blocco

1. I dati personali sono rettificati se inesatti e, laddove possibile e necessario, sono completati o aggiornati.

2. I dati personali sono cancellati o resi anonimi se non sono pi necessari per le finalitˆ per le quali sono stati legalmente raccolti o in seguito legalmente trattati. La presente disposizione non osta allĠarchiviazione di tali dati in un insieme di dati separato per un periodo adeguato conformemente alla legislazione nazionale.

3. I dati personali non vengono cancellati ma solo bloccati se vi sono motivi ragionevoli di ritenere che la cancellazione possa compromettere gli interessi legittimi della persona interessata. I dati bloccati sono trattati solo per lo scopo che ha impedito la loro cancellazione.

4. Qualora i dati personali figurino in una decisione giudiziaria o in un casellario giudiziario in relazione allĠemissione di una decisione giudiziaria, la rettifica, la cancellazione o il blocco sono eseguiti in conformitˆ delle norme nazionali sui procedimenti giudiziari.

Articolo 5

Fissazione di termini per la cancellazione e lĠesame

Sono previsti adeguati termini per la cancellazione dei dati personali o per un esame periodico della necessitˆ della memorizzazione dei dati. Misure procedurali garantiscono che tali termini siano rispettati.

Articolo 6

Trattamento di categorie particolari di dati

Il trattamento di dati personali che rivelano lĠorigine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, lĠappartenenza sindacale, nonchŽ il trattamento di dati relativi alla salute e alla vita sessuale  ammesso soltanto se strettamente necessario e se la legislazione nazionale prevede adeguate garanzie.

Articolo 7

Decisioni individuali automatizzate

Una decisione che comporti conseguenze giuridiche negative per la persona interessata o la danneggi significativamente e che sia basata unicamente su un trattamento automatizzato di dati destinati a valutare taluni aspetti della sua personalitˆ  ammessa soltanto se autorizzata da una legge che precisi i provvedimenti atti a salvaguardare gli interessi legittimi della persona interessata.

Articolo 8

Verifica della qualitˆ dei dati trasmessi o resi disponibili

1. Le autoritˆ competenti prendono tutte le misure ragionevoli per disporre che i dati personali inesatti, incompleti o non pi aggiornati non siano trasmessi o resi disponibili. A tal fine le autoritˆ competenti verificano, per quanto possibile, la qualitˆ dei dati personali prima che questi siano trasmessi o resi disponibili.

Se possibile tutte le trasmissioni di dati sono corredate delle informazioni disponibili che consentono allo Stato membro ricevente di valutare il livello di esattezza, completezza, aggiornamento e affidabilitˆ. Se i dati personali sono stati trasmessi senza essere stati richiesti, lĠautoritˆ ricevente valuta immediatamente se tali dati siano necessari per lo scopo per il quale sono stati trasmessi.

2. Qualora risulti che sono stati trasmessi dati inesatti o che sono stati trasmessi dati illegalmente, il destinatario deve esserne informato quanto prima. I dati devono essere rettificati, cancellati o bloccati quanto prima in conformitˆ dellĠarticolo 4.

Articolo 9

Termini

1. AllĠatto della trasmissione o della messa a disposizione dei dati, lĠautoritˆ che trasmette i dati pu˜ indicare, in conformitˆ della legislazione nazionale e a norma degli articoli 4 e 5, i termini per la loro conservazione, alla scadenza dei quali il destinatario deve cancellare i dati, bloccarli o esaminare se siano ancora necessari. Questo obbligo non si applica se, alla scadenza dei termini, i dati sono necessari per unĠindagine in corso, il perseguimento di reati o lĠesecuzione di sanzioni penali.

2. Qualora lĠautoritˆ che trasmette i dati non abbia indicato termini conformemente al paragrafo 1, si applicano i termini di cui agli articoli 4 e 5 per la conservazione dei dati previsti dalla legislazione nazionale dello Stato membro ricevente.

Articolo 10

Registrazione e documentazione

1. Tutte le trasmissioni di dati personali sono registrate o documentate ai fini della verifica della legalitˆ del trattamento dei dati, dellĠautocontrollo e per garantire lĠintegritˆ e la sicurezza dei dati.

2. I registri o la documentazione preparati ai sensi del paragrafo 1 sono trasmessi, su richiesta, allĠautoritˆ di controllo competente ai fini del controllo della protezione dei dati. LĠautoritˆ di controllo competente utilizza le informazioni solo per il controllo della protezione dei dati e per garantire un trattamento corretto dei dati, nonchŽ la loro integritˆ e sicurezza.

Articolo 11

Trattamento dei dati personali trasmessi o resi disponibili da un altro Stato membro

Conformemente al disposto dellĠarticolo 3, paragrafo 2, i dati personali trasmessi o resi disponibili dallĠautoritˆ competente di un altro Stato membro possono essere successivamente trattati solo per le seguenti finalitˆ diverse da quelle per le quali sono stati trasmessi o resi disponibili:

a) la prevenzione, lĠindagine, lĠaccertamento o il perseguimento dei reati o lĠesecuzione delle sanzioni penali, diversi da quelli per cui i dati sono stati trasmessi o resi disponibili;

b) altre procedure giudiziarie e amministrative direttamente connesse con la prevenzione, lĠindagine, lĠaccertamento e il perseguimento dei reati o lĠesecuzione delle sanzioni penali;

c) la prevenzione di unĠimmediata e grave minaccia alla sicurezza pubblica; o

d) qualsiasi altra finalitˆ, soltanto previa autorizzazione dello Stato membro che trasmette i dati o con il consenso della persona interessata espresso conformemente alla legislazione nazionale.

Le autoritˆ competenti possono inoltre trattare ulteriormente i dati personali trasmessi per finalitˆ storiche, statistiche o scientifiche, a condizione che gli Stati membri forniscano adeguate garanzie, come ad esempio lĠanonimizzazione dei dati.

Articolo 12

Rispetto delle restrizioni nazionali al trattamento

1. Qualora, in base alla legislazione dello Stato membro che trasmette i dati, si applichino particolari restrizioni di trattamento, in particolari situazioni, allo scambio di dati tra autoritˆ competenti nellĠambito di tale Stato membro, lĠautoritˆ che trasmette i dati ne informa il destinatario. Il destinatario provvede affinchŽ tali restrizioni di trattamento siano rispettate.

2. Qualora applichino il paragrafo 1, gli Stati membri non applicano restrizioni alle trasmissioni di dati ad altri Stati membri o ad agenzie od organismi istituiti ai sensi del titolo VI del trattato sullĠUnione europea diverse da quelle applicabili alle analoghe trasmissioni nazionali di dati.

Articolo 13

Trasferimento alle autoritˆ competenti di paesi terzi o a organismi internazionali

1. Gli Stati membri dispongono che i dati personali trasmessi o resi disponibili dallĠautoritˆ competente di un altro Stato membro possano essere trasferiti a paesi terzi o a organismi internazionali solo se:

a) sia necessario per la prevenzione, lĠindagine, lĠaccertamento o il perseguimento dei reati o per lĠesecuzione delle sanzioni penali;

b) lĠautoritˆ ricevente nel paese terzo o lĠorganismo internazionale ricevente sono responsabili per la prevenzione, lĠindagine, lĠaccertamento o il perseguimento dei reati o per lĠesecuzione delle sanzioni penali;

c) lo Stato membro presso cui sono stati ottenuti i dati ha acconsentito al trasferimento nel rispetto della legislazione nazionale; e

d) il paese terzo o lĠorganismo internazionale interessati assicurano un adeguato livello di protezione per il trattamento di dati previsto.

2. Il trasferimento senza il consenso preliminare di cui al paragrafo 1, lettera c), non  autorizzato a meno che il trasferimento dei dati sia essenziale per la prevenzione di unĠimmediata e grave minaccia alla sicurezza pubblica di uno Stato membro o di un paese terzo o agli interessi essenziali di uno Stato membro e se il consenso preliminare non pu˜ essere ottenuto in tempo utile. LĠautoritˆ competente a dare il consenso  informata senza indugio.

3. In deroga al paragrafo 1, lettera d), i dati personali possono essere trasferiti se:

a) la legislazione nazionale dello Stato membro che trasferisce i dati lo prevede;

i) per interessi specifici legittimi della persona interessata; o

ii) per interessi legittimi superiori, soprattutto importanti interessi pubblici; o

b) il paese terzo o lĠorganismo internazionale ricevente prevedono garanzie ritenute adeguate dallo Stato membro interessato conformemente alla legislazione nazionale.

4. LĠadeguatezza del livello di protezione di cui al paragrafo 1, lettera d),  valutata tenendo conto di tutte le circostanze relative a unĠoperazione o a un insieme di operazioni di trasferimento dei dati. In particolare sono presi in considerazione la natura dei dati, la finalitˆ e la durata del trattamento previsto, lo Stato dĠorigine e lo Stato o lĠorganismo internazionale di destinazione finale dei dati, le norme di diritto, generali o settoriali, vigenti nel paese terzo o nellĠorganismo internazionale in questione, nonchŽ le regole professionali e le misure di sicurezza che si applicano.

Articolo 14

Trasmissione a privati negli Stati membri

1. Gli Stati membri dispongono che i dati personali ricevuti o resi disponibili dallĠautoritˆ competente di un altro Stato membro possano essere trasmessi a privati solo se:

a) lĠautoritˆ competente dello Stato membro presso cui i dati sono stati ottenuti ha acconsentito alla trasmissione nel rispetto della legislazione nazionale;

b) nessun interesse specifico legittimo della persona interessata impedisce la trasmissione; e

c) in casi particolari il trasferimento  essenziale per lĠautoritˆ competente che trasmette i dati a un privato per:

i) lĠadempimento di un compito assegnatole legalmente;

ii) la prevenzione, lĠindagine, lĠaccertamento o il perseguimento dei reati o per lĠesecuzione delle sanzioni penali;

iii) la prevenzione di unĠimmediata e grave minaccia alla sicurezza pubblica; o

iv) la prevenzione di un grave danno per i diritti delle persone.

2. LĠautoritˆ competente che trasmette i dati a un privato informa questĠultimo delle finalitˆ esclusive per le quali i dati possono essere utilizzati.

Articolo 15

Informazioni su richiesta dellĠautoritˆ competente

Il destinatario informa, su richiesta, lĠautoritˆ competente che ha trasmesso o reso disponibile i dati personali in merito al loro trattamento.

Articolo 16

Informazione della persona interessata

1. Gli Stati membri provvedono affinchŽ la persona interessata sia informata della raccolta o del trattamento di dati personali da parte delle rispettive autoritˆ competenti, conformemente alla legislazione nazionale.

2. Qualora siano stati trasmessi o resi disponibili dati personali tra Stati membri, ciascuno Stato membro pu˜ chiedere, in conformitˆ delle disposizioni della rispettiva legislazione nazionale di cui al paragrafo 1, che lĠaltro Stato membro non informi la persona interessata. In tal caso, questĠultimo Stato membro non informa la persona interessata senza il consenso preliminare dellĠaltro Stato membro.

Articolo 17

Diritto di accesso

1. Ogni persona interessata ha il diritto di ottenere, a seguito di richieste presentate a intervalli ragionevoli, senza costrizione e senza ritardi o spese eccessivi:

a) almeno conferma del responsabile del trattamento o dellĠautoritˆ nazionale di controllo del fatto che dati che la riguardano siano stati trasmessi o resi disponibili, e informazioni sui destinatari o sulle categorie di destinatari cui sono stati comunicati i dati e comunicazione dei dati che sono oggetto di trattamento; oppure

b) almeno conferma dellĠautoritˆ nazionale di controllo che sono state effettuate tutte le verifiche necessarie.

2. Gli Stati membri possono adottare disposizioni legislative che limitano lĠaccesso alle informazioni di cui al paragrafo 1, lettera a), qualora tale restrizione, tenendo in debito conto gli interessi legittimi della persona interessata, costituisca una misura necessaria e proporzionata:

a) per non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;

b) per non compromettere la prevenzione, lĠindagine, lĠaccertamento o il perseguimento dei reati o per lĠesecuzione delle sanzioni penali;

c) per proteggere la sicurezza pubblica;

d) per proteggere la sicurezza dello Stato;

e) per proteggere la persona interessata o i diritti e le libertˆ altrui.

3. Qualsiasi rifiuto o restrizione dellĠaccesso  comunicato per iscritto alla persona interessata. Contemporaneamente le sono comunicati i motivi di fatto o di diritto sui quali la decisione si basa. QuestĠultima comunicazione pu˜ essere omessa qualora sussista uno dei motivi ai sensi del paragrafo 2, lettere da a) a e). In tutti questi casi la persona interessata  informata del fatto che pu˜ presentare ricorso presso lĠautoritˆ nazionale di controllo competente, unĠautoritˆ giudiziaria o un tribunale.

Articolo 18

Diritto di rettifica, cancellazione o blocco

1. La persona interessata ha diritto a che il responsabile del trattamento adempia i propri obblighi di cui agli articoli 4, 8 e 9 riguardanti la rettifica, la cancellazione o il blocco dei dati personali che gli incombono in virt della presente decisione quadro. Gli Stati membri stabiliscono se la persona interessata possa far valere questo diritto contro il responsabile del trattamento direttamente o tramite lĠautoritˆ nazionale di controllo competente. Se il responsabile del trattamento rifiuta la rettifica, la cancellazione o il blocco, il rifiuto devĠessere comunicato per iscritto alla persona interessata, che deve essere informata circa i mezzi previsti dalla legislazione nazionale per presentare un reclamo o un ricorso. In fase di esame del reclamo o del ricorso, la persona interessata  informata della correttezza o meno dellĠagire del responsabile del trattamento. Gli Stati membri possono inoltre disporre che la persona interessata sia informata dallĠautoritˆ nazionale di controllo competente che si  proceduto a un esame.

2. Qualora lĠesattezza di un dato personale sia contestato dalla persona interessata e lĠesattezza o lĠinesattezza non possa essere accertata, si pu˜ procedere alla caratterizzazione del dato in questione.

Articolo 19

Diritto a compensazione

1. Chiunque subisca un danno cagionato da un trattamento illegale o da qualsiasi altro atto incompatibile con le disposizioni nazionali adottate conformemente alla presente decisione quadro ha il diritto di ottenere il risarcimento del danno sub’to dal responsabile del trattamento o da altra autoritˆ competente in base alla legislazione nazionale.

2. Qualora lĠautoritˆ competente di uno Stato membro abbia trasmesso dati personali, il destinatario non pu˜, nel contesto della sua responsabilitˆ nei confronti della parte lesa conformemente alla legislazione nazionale, addurre a sua discolpa lĠinesattezza dei dati trasmessi. Se il destinatario provvede al risarcimento del danno causato dallĠuso di dati impropriamente trasmessi, lĠautoritˆ competente che trasmette i dati risarcisce il destinatario dellĠimporto pagato per tali danni, tenendo conto di eventuali errori commessi dal destinatario.

Articolo 20

Mezzi di ricorso

Fatti salvi i ricorsi amministrativi che possono essere promossi prima che sia adita lĠautoritˆ giudiziaria, la persona interessata ha il diritto di proporre un ricorso giurisdizionale in caso di violazione dei diritti garantitile dal diritto nazionale applicabile.

Articolo 21

Riservatezza del trattamento

1. Chiunque abbia accesso ai dati personali che rientrano nellĠambito di applicazione della presente decisione quadro pu˜ trattare tali dati soltanto se sia membro dellĠautoritˆ competente o agisca su istruzione di questa, a meno che non sia tenuto a farlo in virt di obblighi legali.

2. Coloro che lavorano per lĠautoritˆ competente di uno Stato membro sono vincolati da tutte le disposizioni sulla protezione dei dati che si applicano allĠautoritˆ competente in questione.

Articolo 22

Sicurezza del trattamento

1. Gli Stati membri dispongono che le autoritˆ competenti prendano misure tecniche e organizzative adeguate per proteggere i dati personali dalla distruzione accidentale o illegale, dalla perdita accidentale, alterazione, divulgazione o accesso non autorizzati, segnatamente quando il trattamento comporta la trasmissione di dati attraverso una rete o la loro messa a disposizione mediante la concessione di un accesso diretto automatizzato e da qualsiasi altra forma illegittima di trattamento di dati personali, tenendo conto in particolare dei rischi che il trattamento comporta e della natura dei dati da proteggere.

Tali misure garantiscono, tenuto conto delle attuali conoscenze tecniche e dei costi dellĠapplicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere.

2. Ciascuno Stato membro adotta, per il trattamento automatizzato dei dati, misure atte a:

a) vietare alle persone non autorizzate lĠaccesso alle attrezzature utilizzate per il trattamento di dati personali (controllo dellĠaccesso alle attrezzature);

b) impedire che supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate (controllo dei supporti di dati);

c) impedire che i dati siano inseriti senza autorizzazione e che i dati personali memorizzati siano visionati, modificati o cancellati senza autorizzazione (controllo della memorizzazione);

d) impedire che persone non autorizzate utilizzino sistemi di trattamento automatizzato di dati mediante attrezzature per la trasmissione di dati (controllo dellĠutente);

e) garantire che le persone autorizzate a usare un sistema di trattamento automatizzato di dati abbiano accesso solo ai dati cui si riferisce la loro autorizzazione dĠaccesso (controllo dellĠaccesso ai dati);

f) garantire la possibilitˆ di verificare e accertare a quali organismi siano stati o possano essere trasmessi o resi disponibili i dati personali utilizzando attrezzature per la trasmissione di dati (controllo della trasmissione);

g) garantire la possibilitˆ di verificare e accertare a posteriori quali dati personali sono stati introdotti nei sistemi di trattamento automatizzato dei dati, il momento dellĠintroduzione e la persona che lĠha effettuata (controllo dellĠintroduzione);

h) impedire che i dati personali possano essere letti, copiati, modificati o cancellati da persone non autorizzate durante i trasferimenti di dati personali o il trasporto di supporti di dati (controllo del trasporto);

i) garantire che, in caso di interruzione, i sistemi utilizzati possano essere ripristinati (recupero);

j) garantire che le funzioni del sistema siano operative, che eventuali errori di funzionamento siano segnalati (affidabilitˆ) e che i dati memorizzati non possano essere falsati da un errore di funzionamento del sistema (autenticitˆ).

3. Gli Stati membri dispongono che siano incaricati del trattamento solo organismi in grado di garantire il rispetto delle necessarie misure tecniche e organizzative di cui al paragrafo 1 nonchŽ la conformitˆ alle istruzioni di cui allĠarticolo 21. LĠautoritˆ competente controlla lĠoperato dellĠincaricato del trattamento sotto tali aspetti.

4. LĠincaricato del trattamento pu˜ trattare dati personali soltanto in forza di un atto giuridico o di un contratto scritto.

Articolo 23

Consultazione preliminare

Gli Stati membri provvedono affinchŽ le competenti autoritˆ nazionali di controllo siano consultate prima di trattare dati personali che figureranno in un nuovo archivio di prossima creazione se:

a) si tratta delle categorie particolari di dati di cui allĠarticolo 6; oppure

b) il tipo di trattamento, in particolare il ricorso a tecnologie, procedure o meccanismi nuovi, comporta per altri versi rischi specifici per i diritti e le libertˆ fondamentali della persona interessata, segnatamente per quanto attiene alla tutela della vita privata.

Articolo 24

Sanzioni

Gli Stati membri adottano le misure appropriate per garantire la piena applicazione delle disposizioni della presente decisione quadro e in particolare stabiliscono sanzioni efficaci, proporzionate e dissuasive in caso di violazione delle disposizioni adottate conformemente alla presente decisione quadro.

Articolo 25

Autoritˆ nazionali di controllo

1. Ogni Stato membro dispone che una o pi autoritˆ pubbliche siano incaricate di fornirgli consulenza e sorvegliare, nel suo territorio, lĠapplicazione delle disposizioni adottate dagli Stati membri conformemente alla presente decisione quadro.

Tali autoritˆ sono pienamente indipendenti nellĠesercizio delle loro funzioni.

2. Ogni autoritˆ di controllo dispone in particolare:

a) di poteri investigativi, come la facoltˆ di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi informazione necessaria allĠesercizio della sua funzione di controllo;

b) di poteri effettivi dĠintervento, come quello di formulare pareri prima dellĠavvio di trattamenti, e di dar loro adeguata pubblicitˆ, o quello di ordinare il blocco, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un monito al responsabile del trattamento o quello di adire i parlamenti o altre istituzioni politiche nazionali;

c) del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali adottate conformemente alla presente decisione quadro ovvero di sottoporre detta violazione allĠattenzione delle autoritˆ giudiziarie. Le decisioni dellĠautoritˆ di controllo che danno luogo a reclami possono essere oggetto di ricorso.

3. Chiunque pu˜ rivolgersi alle autoritˆ di controllo con unĠistanza relativa alla tutela dei diritti e delle libertˆ personali per quanto riguarda il trattamento dei dati personali. LĠinteressato  informato dei risultati dellĠistanza.

4. Gli Stati membri dispongono che i membri e il personale dellĠautoritˆ di controllo siano vincolati alle disposizioni vigenti per lĠautoritˆ competente in merito alla protezione dei dati personali e siano soggetti, anche dopo la cessazione delle loro attivitˆ, allĠobbligo del segreto professionale in merito alle informazioni riservate cui hanno accesso.

Articolo 26

Rapporto con gli accordi conclusi con paesi terzi

La presente decisione quadro non pregiudica gli obblighi e impegni incombenti agli Stati membri o allĠUnione in virt di accordi bilaterali e/o multilaterali con paesi terzi esistenti al momento dellĠadozione della presente decisione quadro.

NellĠapplicare tali accordi, il trasferimento a un paese terzo dei dati personali ottenuti da un altro Stato membro avviene nel rispetto dellĠarticolo 13, paragrafo 1, lettera c), o paragrafo 2, a seconda dei casi.

Articolo 27

Valutazione

1. Entro il 27 novembre 2013, gli Stati membri comunicano alla Commissione le rispettive disposizioni nazionali adottate per conformarsi pienamente alla presente decisione quadro, con particolare riguardo alle disposizioni che devono essere rispettate giˆ al momento della raccolta dei dati. La Commissione valuta segnatamente le implicazioni di tali disposizioni per lĠambito di applicazione della presente decisione quadro di cui allĠarticolo 1, paragrafo 2.

2. A distanza di un anno, la Commissione riferisce al Parlamento europeo e al Consiglio in merito ai risultati della valutazione di cui al paragrafo 1, corredando la sua relazione delle opportune proposte di modifica della presente decisione quadro.

Articolo 28

Rapporto con altri atti dellĠUnione adottati in precedenza

Qualora in atti adottati conformemente al titolo VI del trattato sullĠUnione europea anteriormente alla data di entrata in vigore della presente decisione quadro e che disciplinano lo scambio di dati personali tra Stati membri o lĠaccesso delle autoritˆ designate dagli Stati membri ai sistemi dĠinformazione creati in virt del trattato che istituisce la Comunitˆ europea siano state introdotte condizioni specifiche relative allĠutilizzo di tali dati da parte dello Stato membro ricevente, queste prevalgono sulle disposizioni della presente decisione quadro relative allĠutilizzo dei dati personali trasmessi o resi disponibili da un altro Stato membro.

Articolo 29

Attuazione

1. Gli Stati membri adottano le misure necessarie per conformarsi alle disposizioni della presente decisione quadro anteriormente al 27 novembre 2010.

2. Entro tale data gli Stati membri trasmettono al segretariato generale del Consiglio e alla Commissione il testo delle disposizioni inerenti al recepimento nella legislazione nazionale degli obblighi imposti dalla presente decisione quadro e le informazioni relative allĠautoritˆ o alle autoritˆ di controllo di cui allĠarticolo 25. Sulla base di una relazione redatta a partire da tali informazioni dalla Commissione, il Consiglio esamina entro il 27 novembre 2011 in quale misura gli Stati membri si siano conformati alla presente decisione quadro.

Articolo 30

Entrata in vigore

La presente decisione quadro entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dellĠUnione europea.

Fatto a Bruxelles, add“ 27 novembre 2008.

Per il Consiglio

La presidente

M. ALLIOT-MARIE

 

 

NOTE                                               
(
1) GU C 125 E del 22.5.2008, pag. 154.

(2) GU C 198 del 12.8.2005, pag. 1.

(3) GU L 281 del 23.11.1995, pag. 31.

(4) GU L 8 del 12.1.2001, pag. 1.

(5) GU L 201 del 31.7.2002, pag. 37.

(6) GU L 69 del 16.3.2005, pag. 67.

(7) GU L 210 del 6.8.2008, pag. 1.

(8) GU L 131 dellĠ1.6.2000, pag. 43.

(9 GU L 64 del 7.3.2002, pag. 20.

(10) GU L 176 del 10.7.1999, pag. 36.

(11) GU L 176 del 10.7.1999, pag. 31.

(12) GU L 53 del 27.2.2008, pag. 52.

(13) GU L 53 del 27.2.2008, pag. 50.

(14) GU L 83 del 26.3.2008, pag. 5.

(15) GU C 303 del 14.12.2007, pag. 1.