COMMISSIONE EUROPEA Proposta di REGOLAMENTODEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela dellepersone fisiche con riguardo al trattamento dei dati personali e la liberacircolazione di tali dati (regolamento generale sulla protezione dei dati) Bruxelles, 25.1.2012 COM(2012) 11 final (Testo rilevante ai fini del SEE) {SEC(2012) 72 final} {SEC(2012) 73final} 2012/0011 (COD)
RELAZIONE
1. CONTESTODELLA PROPOSTA La presente relazione illustra la proposta di nuovo quadrogiuridico per la protezione dei dati personali nell'Unione europea, delineatanella comunicazione COM (2012) 9 final1 – una proposta regolamento del Parlamento europeo e delConsiglio concernente la tutela delle persone fisiche con riguardo altrattamento dei dati personali e la libera circolazione di tali dati(regolamento generale sulla protezione dei dati); – una proposta didirettiva del Parlamento europeo e del Consiglio concernente la tutela dellepersone fisiche con riguardo al trattamento dei dati personali da parte delleautorità competenti a fini di prevenzione, indagine, accertamento eperseguimento di reati o esecuzione di sanzioni penali, e la liberacircolazione di tali dati2 La presente relazione riguarda la proposta di regolamento generalesulla protezione dei dati. La direttiva 95/46/CE3 Incalzanti sviluppi tecnologici hanno allontanato le frontieredella protezione dei dati personali. La portata della condivisione e dellaraccolta di dati è aumentata in modo vertiginoso: la tecnologia attualeconsente alle imprese private quanto alle autorità pubbliche di utilizzare datipersonali, come mai in precedenza, nello svolgimento delle loro attività e,sempre più spesso, gli stessi privati rendono pubbliche sulla rete mondialeinformazioni personali che li riguardano. Le nuove tecnologie non hannotrasformato solo l'economia ma anche le relazioni sociali. Instaurare un clima di fiducia negli ambienti on line è fondamentaleper lo sviluppo economico. La mancanza di fiducia frena i consumatoridall'acquistare on line e utilizzare nuovi servizi. Tale situazione rischia dirallentare lo sviluppo di applicazioni tecnologiche innovative. Per questomotivo la protezione dei dati personali riveste un'importanza fondamentale perl'Agenda digitale europea5 L'articolo 16, paragrafo 1, del trattato sul funzionamentodell'Unione europea (TFUE) introdotto dal trattato di Lisbona, stabilisce ilprincipio secondo il quale ogni persona ha diritto alla protezione dei datipersonali che la riguardano. Inoltre, all'articolo 16, paragrafo 2, del TFUE iltrattato di Lisbona ha introdotto una base giuridica specifica per l'adozionedi norme in materia di protezione dei dati personali. L'articolo 8 della Cartadei diritti fondamentali dell'Unione europea annovera la protezione dei datipersonali tra i diritti fondamentali. Il Consiglio europeo ha invitato la Commissione a valutare ilfunzionamento degli strumenti giuridici dell'Unione in materia di protezionedei dati e a presentare, se necessario, nuove iniziative legislative e nonlegislative7. Nella sua risoluzione sulprogramma di Stoccolma8 Nella comunicazione "Un approccio globale alla protezione dei datipersonali nell'Unione europea"10 Pur rimanendo valido in termini di obiettivi e principi, il quadrogiuridico attuale non ha impedito la frammentazione delle modalità diapplicazione della protezione dei dati personali nel territorio dell'Unione, néha eliminato l'incertezza giuridica e la diffusa percezione nel pubblico che leoperazioni on line comportino notevoli rischi
2. C La presente iniziativa è il risultato di estese consultazioni contutte le principali parti interessate sul riesame dell'attuale quadro normativoin materia di protezione dei dati personali, svoltesi nell'arco di oltre dueanni e comprendenti una conferenza ad alto livello nel maggio 2009 – dal 9 luglio al 31 dicembre 2009, la consultazionerelativa al quadro giuridico del diritto fondamentale alla protezione dei datipersonali, per la quale la Commissione ha ricevuto 168 risposte, 127 provenientida privati cittadini, organizzazioni e associazioni imprenditoriali e 12 dalleautorità pubbliche13 – dal 4 novembre 2010 al 15 gennaio 2011, la consultazionesulla comunicazione della Commissione "Un approccio globale alla protezione deidati personali nell'Unione europea", per la quale la Commissione ha ricevuto305 risposte, 54 da privati cittadini, 31 da autorità pubbliche e 220 daorganizzazioni private, soprattutto associazioni d'imprese e organizzazioni nongovernative14. Si sono inoltre tenute consultazioni ad hoc con i principaliportatori d'interesse; sono stati organizzati specifici incontri nei mesi digiugno e luglio 2010 con le autorità degli Stati membri e le parti interessatedel settore privato, con le organizzazioni attive nel settore della protezionedella vita privata, della protezione dei dati e le associazioni di consumatori Nel corso del 2011 si sono svolti workshop e seminari su questionispecifiche. In gennaio l'Agenzia ENISA17 Il Parlamento europeo ha approvato, con risoluzione del 6 luglio2011, una relazione a sostegno dell'impostazione adottata dalla Commissione perla riforma del quadro normativo in materia di protezione dei dati Nel corso delle consultazioni sull'impostazione generale la grandemaggioranza degli interpellati ha convenuto che i principi generali rimangonovalidi, ma che occorre adattare il quadro attuale affinché possa risponderemeglio alle sfide poste dalla rapida evoluzione delle nuove tecnologie (inparticolare on line) e dalla crescente globalizzazione, pur mantenendo laneutralità tecnologica del quadro giuridico. Aspre critiche ha suscitatol'attuale frammentazione della protezione dei dati personali nell'Unione, inparticolare degli operatori economici che hanno chiesto una maggiore certezzagiuridica e l'armonizzazione delle norme sulla protezione dei dati personali,sostenendo che la complessità delle norme sui trasferimenti internazionali deidati personali sia un notevole ostacolo alle proprie attività che spesso presuppongonoil trasferimento di dati personali dall'UE verso altre parti del mondo. In linea con l'iniziativa "Legiferare meglio", la Commissione haproceduto a una valutazione dell'impatto delle diverse opzioni strategiche. Lavalutazione d'impatto è stata incentrata su tre obiettivi: migliorare ladimensione di mercato interno della protezione dei dati; rendere più efficacel'esercizio del diritto alla protezione dei dati da parte dei privati; creareun quadro completo e coerente applicabile a tutti i settori di competenzadell'Unione, compresa la cooperazione di polizia e la cooperazione giudiziariain materia penale. Sono state prese in esame tre opzioni strategiche condiversi livelli di intervento: la prima opzione prevedeva modifiche legislativeminime e l'uso di comunicazioni interpretative e misure di sostegno, qualiprogrammi di finanziamento e strumenti tecnici; la seconda opzione comprendevauna serie di disposizioni legislative dedicate a ciascuno degli aspetti emersidall'analisi e la terza prevedeva la centralizzazione della protezione dei datia livello dell'UE attraverso norme precise e particolareggiate per tutti isettori e la creazione di un'agenzia dell'Unione per il controllo el'attuazione delle disposizioni. Conformemente ad una metodologia consolidata, la Commissione,coadiuvata da un gruppo direttivo interservizi, ha valutato ciascuna opzione infunzione delle sue effettive possibilità di conseguire gli obiettivistrategici, dell'impatto economico sulle parti interessate (compreso sul bilanciodelle istituzioni dell'Unione europea), delle ripercussioni sulla società edell'effetto sui diritti fondamentali. Non sono emersi possibili impattiambientali. L'analisi dell'impatto complessivo ha portato a individuarel'opzione prescelta, che si ispira alla seconda opzione con l'aggiunta dialcuni elementi tratti dalle altre due opzioni e inserite nella presenteproposta. Stando alla valutazione d'impatto, la sua attuazione consentirànotevoli miglioramenti, tra l'altro sotto i seguenti aspetti: la certezzagiuridica per i responsabili del trattamento dei dati e i cittadini, lariduzione degli oneri amministrativi, un'attuazione coerente della protezionedei dati nell'Unione, l'effettivo esercizio da parte dei privati del dirittoalla protezione dei dati personali nell'Unione europea e un controllo eun'applicazione efficaci della normativa in materia di protezione dei dati.L'attuazione dell'opzione prescelta contribuirà presumibilmente ancheall'obiettivo della Commissione di semplificare e ridurre i costiamministrativi e agli obiettivi dell'Agenda digitale europea, del pianod'azione di Stoccolma e della strategia Europa 2020. In data 9 settembre 2011 il comitato per la valutazione d'impattoha espresso il suo parere sul progetto di valutazione d'impatto econseguentemente la valutazione è stata così modificata: – sono stati chiariti gli obiettivi dell'attuale quadronormativo (in che misura siano stati o non siano stati realizzati), così comegli obiettivi della proposta riforma; – la sezione relativa alla definizione del problema è statacorredata di nuove prove e di spiegazioni/chiarimenti supplementari; – è stata aggiunta unasezione sulla proporzionalità; – tutti i calcoli e le stime relativi agli oneriamministrativi nello scenario di base e nell'opzione prescelta sono staticompletamente riveduti e modificati ed è stato chiarito il rapporto tra i costidelle notifiche e i costi dovuti alla frammentazione generale (compresol'allegato 10); – sono state meglio definite le ripercussioni sulle micro,piccole e medie imprese, in particolare riguardo all'obbligo di nominare unresponsabile della protezione dei dati e di realizzare valutazioni d'impattodel trattamento sulla protezione dei dati. La relazione sulla valutazione d'impatto e una relazione esplicativasono pubblicate assieme alle proposte.
3. ELEMENTIGIURIDICI DELLA PROPOSTA 3.1. Base giuridica La presente proposta si basa sull'articolo 16 del TFUE, la nuovabase giuridica per l'adozione delle norme in materia di protezione dei datiintrodotta dal trattato di Lisbona. Tale disposizione consente di stabilire lenorme relative alla protezione delle persone fisiche con riguardo altrattamento dei dati di carattere personale da parte degli Stati membrinell'esercizio di attività che rientrano nel campo di applicazione del dirittodell'Unione. Tale disposizione consente inoltre l'adozione di norme relativealla libera circolazione di dati personali, inclusi i dati personali trattatidagli Stati membri o da privati. Il regolamento è considerato lo strumento più idoneo per definireil quadro giuridico per la protezione dei dati personali nell'UE.L'applicabilità diretta di un regolamento ai sensi dell'articolo 288 del TFUEridurrà la frammentazione giuridica e offrirà maggiore certezza giuridica grazieall'introduzione di una serie di norme di base armonizzate, migliorando latutela dei diritti fondamentali delle persone fisiche e contribuendo alcorretto funzionamento del mercato interno. Il riferimento all'articolo 114, paragrafo 1, del TFUE, è necessariosoltanto in relazione alle modifiche della direttiva 2002/58/CE in quanto ladirettiva prevede anche la tutela dei legittimi interessi degli abbonati chesono persone giuridiche. 3.2. Sussidiarietà eproporzionalità In virtù del principio di sussidiarietà (articolo 5, paragrafo 3,del TUE) l'Unione interviene soltanto se e in quanto gli obiettivi dell'azioneprevista non possono essere conseguiti in misura sufficiente dagli Statimembri, ma possono, a motivo della portata o degli effetti dell'azione inquestione, essere conseguiti meglio a livello di Unione. Alla luce dei problemisopra esposti, l'analisi della sussidiarietà indica la necessità di un'azione alivello di Unione per i seguenti motivi: – il diritto alla protezione dei dati personali, sancitodall'articolo 8 della Carta dei diritti fondamentali, richiede il medesimolivello di protezione dei dati in tutta l'Unione. In mancanza di una normativadell'Unione si rischierebbe di instaurare livelli diversi di protezione negliStati membri e di creare restrizioni nei flussi transfrontalieri di datipersonali tra gli Stati membri dotati di norme differenti; – i dati personali sono trasferiti attraverso le frontierenazionali, sia interne che esterne, ad un ritmo sempre crescente. Inoltre,esistono difficoltà pratiche nell'attuare efficacemente la normativa in materiadi protezione dei dati e occorre stabilire una cooperazione tra gli Statimembri e le autorità nazionali a livello di Unione, per garantire uniformitànell'applicazione del diritto dell'UE. Infine, l'Unione si trova nellaposizione migliore per garantire in maniera efficace e coerente lo stessolivello di protezione alle persone fisiche i cui dati personali sianotrasferiti verso paesi terzi; – gli Stati membri non sono in grado da soli di risolvere iproblemi posti dalla situazione attuale, in particolare dalla frammentazionedelle legislazioni nazionali. Conseguentemente esiste la precisa esigenza diistituire un quadro armonizzato e coerente che consenta un agevoletrasferimento transfrontaliero di dati personali all'interno dell'Unioneeuropea e che garantisca nel contempo un'effettiva tutela di tutte le personefisiche nell'intero territorio dell'UE; – le proposte legislative dell'UE risulteranno più efficacirispetto ad analoghi provvedimenti adottati dai singoli Stati membri, a motivodella natura e della dimensione dei problemi che non sono confinati a uno o piùStati membri. Il principio di proporzionalità prevede che qualsiasi interventosia mirato e si limiti a quanto è necessario per conseguire gli obiettivi. Taleprincipio ha guidato l'intera elaborazione della proposta legislativa,dall'individuazione e valutazione delle opzioni strategiche alternative finoalla sua stesura. 3.3. Sintesi degli aspettiinerenti ai diritti fondamentali Il diritto alla protezione dei dati personali è sancitodall'articolo 8 della Carta, dall'articolo 16 del TFUE e dall'articolo 8 dellaconvenzione europea per la salvaguardia dei diritti dell'uomo e delle libertàfondamentali (CEDU). Come sottolinea la Corte di giustizia dell'Unione europea La Carta sancisce altri diritti fondamentali, potenzialmenteinteressati: libertà di espressione (articolo 11); libertà d'impresa (articolo16); il diritto di proprietà e, in particolare, la tutela della proprietàintellettuale (articolo 17, paragrafo 2); il divieto di qualsiasi forma didiscriminazione fondata, tra l'altro, sulla razza, l'origine etnica, lecaratteristiche genetiche, la religione o le convinzioni personali, le opinionipolitiche o di qualsiasi altra natura, la disabilità, o l'orientamento sessuale(articolo 21); i diritti del minore (articolo 24); il diritto a un elevatolivello di protezione sanitaria (articolo 35); il diritto d'accesso aidocumenti (articolo 42); il diritto a un ricorso effettivo e a un giudiceimparziale (articolo 47). 3.4. Spiegazione dettagliatadella proposta 3.4.1. CAPOI - DISPOSIZIONI GENERALI L'articolo 1 definisce l'oggetto del regolamento e, alla streguadell'articolo 1 della direttiva 95/46/CE, definisce i due obiettivi delregolamento. L'articolo 2 delimita il campo d'applicazione materiale delregolamento. L'articolo 3 precisa l'ambito di applicazione territoriale delregolamento. L'articolo 4 contiene le definizioni della terminologia utilizzatanel regolamento. Mentre alcune definizioni sono mutuate dalla direttiva95/46/CE, altre sono modificate, integrate con elementi aggiuntivi, ointrodotte ex novo ("violazione dei dati personali" basata sull'articolo2,lettera h), della direttiva 2002/58/CE relativa alla vita privata e allecomunicazioni elettroniche29 Nella definizione di consenso è aggiunta la qualifica di"esplicito" per evitare un fuorviante parallelismo con il consenso"inequivocabile" e al fine di disporre di una definizione unica e coerente diconsenso e garantire che l'interessato sia pienamente consapevole del consensoche sta esprimendo e dei tipi di trattamento dei dati personali che staaccettando. 3.4.2. CAPOII - PRINCIPI L'articolo 5 stabilisce i principi in materia di trattamento deidati personali, che corrispondono a quelli di cui all'articolo 6 delladirettiva 95/46/CE. Tra i nuovi elementi aggiunti si trovano il principio ditrasparenza, la precisazione del principio di minimizzazione dei dati el'introduzione di una responsabilità generale del responsabile del trattamento. L'articolo 6 stabilisce, in base all'articolo 7 della direttiva95/46/CE, i criteri di liceità del trattamento, ulteriormente specificati conriferimento alle circostanze relative all'equilibrio degli interessi, rispettodegli obblighi giuridici e interesse pubblico. L'articolo 7 chiarisce le condizioni alle quali il consenso èvalido come base giuridica ai fini di un trattamento lecito. L'articolo 8 stabilisce ulteriori condizioni per la liceità deltrattamento dei dati personali del minore in relazione ai servizi della societàdell'informazione diretti ai minori. L'articolo 9 stabilisce il divieto generale di trattamento dicategorie particolari di dati personali e le eccezioni a questa regolagenerale, fondata sull'articolo 8 della direttiva 95/46/CE. L'articolo 10 precisa che il responsabile del trattamento non èobbligato ad acquisire ulteriori informazioni per identificare l'interessato alsolo fine di rispettare una disposizione del presente regolamento. 3.4.3. CAPOIII - DIRITTI DELL'INTERESSATO 3.4.3.1. Sezione 1 - Trasparenza e modalità L'articolo 11, che si ispira in particolare alla risoluzione diMadrid sulle norme internazionali sulla protezione dei dati personali e dellavita privata32, introduce l'obbligo per iresponsabili del trattamento di fornire informazioni trasparenti, comprensibilie facilmente accessibili. L'articolo 12 impone al responsabile del trattamento dipredisporre le procedure e i meccanismi che permettano all'interessato diesercitare i propri diritti, compresi i mezzi per introdurre le richieste pervia elettronica/telematica, l'obbligo di rispondere entro un terminedeterminato e di motivare un eventuale rifiuto. L'articolo 13 prevede i diritti relativi ai destinatari, in baseall'articolo 12, lettera c), della direttiva 95/46/CE, e li estende a tutti idestinatari, compresi i corresponsabili e i coincaricati dei trattamenti. 3.4.3.2. Sezione 2 – Informazioni e accesso ai dati L'articolo 14 precisa gli obblighi di informazione delresponsabile del trattamento nei confronti dell'interessato e, rispetto agliarticoli 10 e 11 della direttiva 95/46/CE, prevede informazioni aggiuntive tracui il periodo di conservazione, il diritto di presentare reclamo, itrasferimenti internazionali e la fonte dei dati. Sono mantenute le deroghepreviste dalla direttiva 95/46/CE, per cui l'obbligo di informazione non siapplica se la registrazione o la divulgazione dei dati sono espressamentepreviste per legge. Ciò può avvenire, ad esempio, nei procedimenti avviatidalle autorità per la concorrenza, da un'amministrazione fiscale o doganale odai servizi di sicurezza sociale. L'articolo 15 prevede il diritto di accesso ai propri datipersonali sulla base dell'articolo 12, lettera a), della direttiva 95/46/CE,con l'aggiunta di nuovi elementi come la comunicazione all'interessato delperiodo di conservazione dei dati, dei diritti di rettifica e di cancellazionee del diritto di proporre reclamo. 3.4.3.3. Sezione 3 – Rettifica e cancellazione L'articolo 16 prevede il diritto di rettifica in base all'articolo12, lettera b), della direttiva 95/46/CE. L'articolo 17 prevede il diritto all'oblio e alla cancellazione,approfondendo e precisando il diritto alla cancellazione di cui all'articolo12, lettera b), della direttiva 95/46/CE e prevedendo le condizioni del dirittoall'oblio, compreso l'obbligo del responsabile del trattamento che abbiadivulgato dati personali di informare i terzi della richiesta dell'interessatodi cancellare tutti i link verso tali dati, le loro copie o riproduzioni. Ladisposizione prevede inoltre il diritto di limitare il trattamento indeterminati casi, evitando l'ambiguo termine di "blocco dei dati". L'articolo 18 introduce il diritto dell'interessato allaportabilità dei dati, vale a dire il diritto di trasferire i propri dati da unsistema di trattamento elettronico a un altro, senza che il responsabile deltrattamento possa impedirlo. Come presupposto e al fine di migliorare l'accessodell'interessato ai dati personali che lo riguardano, è previsto il diritto diottenere tali dati dal responsabile del trattamento in un formato elettronicostrutturato e di uso comune. 3.4.3.4. Sezione 4 - Diritto di opposizione e profilazione L'articolo 19 sancisce il diritto di opposizione dell'interessatosulla base dell'articolo 14 della direttiva 95/46/CE, al quale sono stateapportate alcune modifiche anche per quanto riguarda l'onere della prova e lasua applicazione al marketing diretto. L'articolo 20 sancisce il diritto di non essere sottoposto amisure basate sulla profilazione riprendendo, con modifiche e salvaguardiesupplementari, l'articolo 15, paragrafo 1, della direttiva 95/46/CE relativoalle decisioni individuali automatizzate, e tenendo conto della raccomandazionedel Consiglio d'Europa sulla profilazione33 3.4.3.5. Sezione 5 - Limitazioni L'articolo 21 chiarisce la facoltà dell'Unione o degli Statimembri di mantenere o introdurre limitazioni dei principi stabilitiall'articolo 5 e dei diritti dell'interessato previsti agli articoli da 11 a 20e all'articolo 32. Questa disposizione si basa sull'articolo 13 della direttiva95/46/CE e sugli obblighi discendenti dalla Carta dei diritti fondamentali e dallaconvenzione CEDU, nell'interpretazione della Corte di giustizia dell'Unioneeuropea e della Corte europea dei diritti dell'uomo. 3.4.4. CAPO IV - RESPONSABILE DEL TRATTAMENTO E INCARICATODEL TRATTAMENTO 3.4.4.1. Sezione 1 - Obblighi generali L'articolo 22, che tiene conto del dibattito sul "principio direndicontazione", descrive in modo particolareggiato l'obbligo del responsabiledel trattamento di conformarsi al regolamento e di dimostrare tale conformità,anche mediante l'adozione di politiche interne e di meccanismi atti a garantireil rispetto del regolamento. L'articolo 23 enuncia gli obblighi del responsabile deltrattamento derivanti dai principi di protezione fin dalla progettazione ("bydesign") e di default. L'articolo 24 sui corresponsabili del trattamento ne chiarisce leresponsabilità con riferimento alla relazione che intercorre tra gli stessi enei confronti dell'interessato. L'articolo 25 obbliga, a determinate condizioni, i responsabilidel trattamento non stabiliti nell'Unione a designare un rappresentantenell'Unione, nella misura in cui il regolamento si applica alla loro attivitàdi trattamento dati. L'articolo 26 chiarisce la posizione e l'obbligo degli incaricatidel trattamento, basandosi in parte sull'articolo 17, paragrafo 2, delladirettiva 95/46/CE, con l'aggiunta di nuovi elementi come il fatto che unincaricato del trattamento che non si limiti a trattare i dati in base alleistruzioni del responsabile del trattamento è considerato corresponsabile deltrattamento. L'articolo 27 sul trattamento sotto l'autorità del responsabile edell'incaricato del trattamento si basa sull'articolo 16 della direttiva95/46/CE. L'articolo 28 introduce l'obbligo per i responsabili e gliincaricati del trattamento di conservare la documentazione delle operazionieffettuate sotto la propria responsabilità, in sostituzione della notificagenerale all'autorità di controllo richiesta dall'articolo 18, paragrafo 1, edall'articolo 19 della direttiva 95/46/CE. L'articolo 29 chiarisce gli obblighi del responsabile edell'incaricato del trattamento ai fini della cooperazione con l'autorità dicontrollo. 3.4.4.2. Sezione 2 – Sicurezza dei dati L'articolo 30 impone al responsabile del trattamento eall'incaricato del trattamento di mettere in atto misure adeguate per lasicurezza dei trattamenti, ai sensi dell'articolo 17, paragrafo 1, delladirettiva 95/46/CE, estendendo l'obbligo agli incaricati del trattamento,indipendentemente dal contratto che hanno sottoscritto con il responsabile deltrattamento. Gli articoli 31 e 32 introducono l'obbligo di notificazione ecomunicazione delle violazioni di dati personali, sviluppando la notificazioneprevista all'articolo 4, paragrafo 3, della direttiva 2002/58/CE. 3.4.4.3. Sezione 3 – Valutazione d'impatto sulla protezionedei dati e autorizzazione preventiva L'articolo 33 introduce l'obbligo per responsabili e incaricatidel trattamento di effettuare una valutazione d'impatto in materia diprotezione dei dati prima di trattamenti che presentino rischi al riguardo. L'articolo 34, che sviluppa la nozione di controllo preliminare dicui all'articolo 20 della direttiva 95/46/CE, riguarda i casi in cui ilresponsabile del trattamento o l'incaricato del trattamento devono ottenerel'autorizzazione preventiva dell'autorità di controllo o consultare taleautorità prima di trattare i dati. 3.4.4.4. Sezione 4 – Responsabile della protezione dei dati L'articolo 35 introduce la figura obbligatoria del responsabiledella protezione dei dati per il settore pubblico e, nel settore privato, perle grandi imprese o allorquando le attività principali del responsabile deltrattamento e dell'incaricato del trattamento consistono in trattamenti cherichiedono il controllo regolare e sistematico degli interessati. Ladisposizione si basa sull'articolo 18, paragrafo 2, della direttiva 95/46/CEche ha permesso agli Stati membri di introdurre tale obbligo in sostituzione diun obbligo generale di notificazione. L'articolo 36 precisa la posizione del responsabile dellaprotezione dei dati. L'articolo 37 stabilisce i principali compiti delresponsabile della protezione dei dati. 3.4.4.5. Sezione 5 – Codici di condotta e certificazione L'articolo 38 riguarda i codici di condotta e precisa, sviluppandoil concetto di cui all'articolo 27, paragrafo 1, della direttiva 95/46/CE, ilcontenuto di tali codici e le procedure, conferendo alla Commissione il poteredi decidere sulla validità generale dei codici di condotta. L'articolo 39 introduce la possibilità di predisporre meccanismidi certificazione e sigilli e marchi di protezione dei dati. 3.4.5. CAPO V - TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI O ORGANIZZAZIONIINTERNAZIONALI L'articolo 40 stabilisce che, in linea di principio, la conformitàalle disposizioni del capo V è obbligatoria per i trasferimenti di datipersonali verso paesi terzi o organizzazioni internazionali, compresi itrasferimenti successivi. L'articolo 41 stabilisce, sulla base dell'articolo 25 delladirettiva 95/46/CE, i criteri, le condizioni e le procedure per l'adozione diuna decisione di adeguatezza della Commissione. I criteri di cui deve tenerconto la Commissione per valutare se il livello di protezione è o meno adeguatoincludono espressamente lo stato di diritto, il ricorso giudiziario e uncontrollo indipendente. L'articolo conferma ora esplicitamente che laCommissione può valutare il livello di protezione offerto da un territorio osettore di trattamento all'interno di un paese terzo. L'articolo 42 prevede che, in mancanza di una decisione diadeguatezza della Commissione, i trasferimenti a paesi terzi siano subordinatiad adeguate garanzie, in particolare clausole tipo di protezione dei dati,norme vincolanti d'impresa e clausole contrattuali. La possibilità di farericorso alle clausole tipo di protezione dei dati della Commissione discendedall'articolo 26, paragrafo 4, della direttiva 95/46/CE. La novità è che adessole clausole standard potranno essere ora adottate anche da un'autorità dicontrollo ed essere dichiarate generalmente valide dalla Commissione. Il testogiuridico menziona ora espressamente anche le norme vincolanti d'impresa.L'opzione delle clausole contrattuali offre una certa flessibilità alresponsabile o all'incaricato del trattamento, ma è subordinataall'autorizzazione preventiva delle autorità di controllo. L'articolo 43 descrive in modo più dettagliato le condizioni per itrasferimenti in presenza di norme vincolanti d'impresa, sulla base delleattuali pratiche e esigenze delle autorità di controllo. L'articolo 44 precisa e chiarisce le deroghe per il trasferimentodi dati, partendo dalle attuali disposizioni dell'articolo 26 della direttiva95/46/CE. Ciò vale in particolare per i trasferimenti di dati richiesti enecessari per motivi di interesse pubblico rilevante, per esempio in casi di scambiinternazionali di dati tra amministrazioni fiscali o doganali oppure traservizi competenti per la sicurezza sociale o per la gestione delle risorsealieutiche. Inoltre, una trasmissione di dati può, in circostanze limitate,essere giustificata dall'interesse legittimo del responsabile del trattamento odell'incaricato del trattamento, ma solo dopo che siano state valutate edocumentate le circostanze del trasferimento. L'articolo 45 prevede espressamente lo sviluppo di meccanismi dicooperazione internazionale per la protezione dei dati personali tra laCommissione e le autorità di controllo di paesi terzi, in particolare quelliche si ritiene offrano un adeguato livello di protezione, tenendo conto dellaraccomandazione dell'Organizzazione per la cooperazione e lo sviluppo economico(OCSE) sulla cooperazione transfrontaliera nell'applicazione delle legislazioniin materia di privacy del 12 giugno 2007. 3.4.6. CAPO VI - AUTORITà DI CONTROLLO INDIPENDENTI 3.4.6.1. Sezione 1 – Indipendenza L'articolo 46 obbliga gli Stati membri a istituire autorità dicontrollo, come già previsto dall'articolo 28, paragrafo 1, della direttiva95/46/CE, e ad ampliarne i compiti includendo la cooperazione reciproca e conla Commissione. L'articolo 47 precisa le condizioni per l'indipendenza delleautorità di controllo, ai sensi della giurisprudenza della Corte di giustiziadell'Unione europea34 L'articolo 48 dispone le condizioni generali per i membri dell'autoritàdi controllo, in applicazione della pertinente giurisprudenza L'articolo 49 contiene disposizioni relative all'istituzione delleautorità di controllo, che ogni Stato membro deve prevedere per legge. L'articolo 50, basato sull'articolo 28, paragrafo 7, delladirettiva 95/46/CE, obbliga al segreto professionale i membri e il personaledell'autorità di controllo. 3.4.6.2. Sezione 2 – Funzioni e poteri L'articolo 51 stabilisce le competenze delle autorità dicontrollo. La norma generale, prevista all'articolo 28, paragrafo 6, delladirettiva 95/46/CE (competenza nel territorio del suo Stato membro), èintegrata dalla nuova competenza di autorità capofila nel caso di unresponsabile del trattamento o incaricato del trattamento stabilito in piùStati membri, al fine di assicurare un'attuazione uniforme ("sportello unico").I tribunali, nell'esercizio della loro funzione giurisdizionale, sono esentatidal monitoraggio esercitato dall'autorità di controllo, ma nondall'applicazione delle norme sostanziali in materia di protezione dei dati. L'articolo 52 stabilisce le funzioni dell'autorità di controllo,compresa quella di ricevere ed esaminare i reclami o sensibilizzare il pubblicoai rischi, alla norme e misure di salvaguardia e ai diritti. L'articolo 53 stabilisce i poteri dell'autorità di controllo, inparte sulla base dell'articolo 28, paragrafo 3, della direttiva 95/46/CE edell'articolo 47 del regolamento (CE) n. 45/2001, e inserisce alcuni nuovielementi, tra cui il potere di sanzionare gli illeciti amministrativi. L'articolo 54 obbliga le autorità di controllo a redigererelazioni annuali di attività, com'era già previsto dall'articolo 28, paragrafo5, della direttiva 95/46/CE. 3.4.7. CAPOVII - COOPERAZIONE E COERENZA 3.4.7.1. Sezione 1 – Cooperazione L'articolo 55 introduce, sulla base dell'articolo 28, paragrafo 6,secondo comma, della direttiva 95/46/CE, norme esplicite in materia diassistenza reciproca obbligatoria, specificando le conseguenze per la mancataesecuzione della richiesta di un'altra autorità di controllo. L'articolo 56, ispirandosi all'articolo 17 della decisione2008/615/GAI37, introduce norme sulleoperazioni congiunte, compreso il diritto delle autorità di controllo dipartecipare a tali operazioni. 3.4.7.2. Sezione 2 – Coerenza L'articolo 57 introduce un meccanismo volto ad assicurarel'uniformità di applicazione in relazione alle attività di trattamento dati chepossono riguardare interessati in vari Stati membri. L'articolo 58 stabilisce le procedure e le condizioni perl'emissione di un parere del comitato europeo per la protezione dei dati. L'articolo 59 verte sui pareri della Commissione in relazione aquestioni trattate nell'ambito del meccanismo di coerenza, che possonoesprimere un accordo o un disaccordo rispetto al parere del comitato europeoper la protezione dei dati, e sul progetto di misura dell'autorità dicontrollo. Qualora il comitato europeo per la protezione dei dati sollevi unaquestione a norma dell'articolo 58, paragrafo 3, è presumibile che laCommissione eserciti il suo potere discrezionale ed esprima un parereogniqualvolta necessario. L'articolo 60 riguarda le decisioni della Commissione cheingiungono all'autorità competente di sospendere l'adozione del progetto dimisura qualora ciò sia necessario per garantire la corretta applicazione delpresente regolamento. L'articolo 61 prevede la possibilità di adottare misureprovvisorie, con procedura d'urgenza. L'articolo 62 stabilisce i requisiti per gli atti di esecuzionedella Commissione nell'ambito del meccanismo di coerenza. L'articolo 63 prevede l'obbligo di dare esecuzione alle misure diun'autorità di controllo in tutti gli Stati membri interessati e dispone l'applicazionedel meccanismo di coerenza come requisito indispensabile ai fini della validitàgiuridica e dell'esecuzione della rispettiva misura. 3.4.7.3. Sezione 3 – Comitato europeo per la protezione deidati L'articolo 64 istituisce il comitato europeo per la protezione deidati, composto dal responsabile delle autorità di controllo di ciascuno Statomembro e dal garante europeo della protezione dei dati. Il comitato europeo perla protezione dei dati sostituisce il gruppo per la tutela delle persone con riguardoal trattamento dei dati personali istituito dall'articolo 29 della direttiva95/46/CE. L'articolo precisa che la Commissione non è membro del comitatoeuropeo per la protezione dei dati, ma ha il diritto di partecipare alleattività e designa un rappresentante. L'articolo 65 sottolinea e chiarisce l'indipendenza del comitatoeuropeo per la protezione dei dati. L'articolo 66 descrive i compiti del comitato europeo per laprotezione dei dati, sulla base dell'articolo 30, paragrafo 1, della direttiva95/46/CE, e prevede ulteriori elementi, a motivo del più vasto ambito diattività del comitato all'interno dell'Unione e al di fuori. Per essere ingrado di reagire a situazioni di emergenza, la Commissione può chiedere unparere fissando un termine entro il quale il comitato deve rispondere. L'articolo 67 obbliga il comitato europeo per la protezione deidati a riferire annualmente sulle sue attività, in base all'articolo 30,paragrafo 6, della direttiva 95/46/CE. L'articolo 68 stabilisce le procedure decisionali del comitatoeuropeo per la protezione dei dati, compreso l'obbligo di adottare unregolamento interno che contempli anche le modalità del proprio funzionamento. L'articolo 69 contiene disposizioni sul presidente e ivicepresidenti del comitato europeo per la protezione dei dati. L'articolo 70 definisce i compiti della presidenza. L'articolo 71 stabilisce che la segreteria del comitato europeoper la protezione dei dati è assicurata dal garante europeo della protezionedei dati e ne specifica i compiti. L'articolo 72 dispone in materia di riservatezza. 3.4.8. CAPOIII - RICORSI GIURISDIZIONALI, RESPONSABILITà E SANZIONI L'articolo 73 riconosce a ciascuno il diritto di presentare unreclamo presso un'autorità di controllo, sulla base dell'articolo 28, paragrafo4, della direttiva 95/46/CE. L'articolo specifica anche gli organismi, leorganizzazioni o associazioni che possono presentare reclamo per contodell'interessato o, in caso di violazione di dati personali, indipendentementedal reclamo dell'interessato. L'articolo 74 riguarda il diritto di proporre un ricorsogiurisdizionale avverso un'autorità di controllo, sulla base della disposizionegenerale di cui all'articolo 28, paragrafo 3, della direttiva 95/46/CE.L'articolo prevede esplicitamente che il ricorso giurisdizionale obbligal'autorità di controllo ad agire a seguito di un reclamo, e chiarisce lacompetenza dei giudici dello Stato membro in cui è stabilita l'autorità dicontrollo. Prevede inoltre che le autorità di controllo dello Stato membro incui risiede l'interessato possano avviare un'azione legale per suo conto in unaltro Stato membro in cui sia stabilita l'autorità di controllo competente. L'articolo 75 riguarda il diritto di proporre un ricorsogiurisdizionale nei confronti di un responsabile del trattamento o di unincaricato del trattamento, sulla base dell'articolo 22 della direttiva95/46/CE, e consente la scelta tra il ricorso al giudice dello Stato membro incui è stabilito il ricorrente e quello in cui risiede l'interessato. Se piùprocedimenti riguardanti la stessa misura sono in corso nell'ambito delmeccanismo di coerenza, il giudice può sospendere il procedimento, salvo casid'urgenza. L'articolo 76 stabilisce norme comuni per i procedimentigiudiziari, compresi i diritti degli organismi, delle organizzazioni oassociazioni di rappresentare gli interessati in giudizio, il diritto delleautorità di controllo di avviare azioni legali e delle autorità giurisdizionalidi ottenere informazioni su procedimenti paralleli in un altro Stato membro,oltre alla facoltà del giudice di sospendere il procedimento in tal caso L'articolo 77 stabilisce il diritto al risarcimento del danno e laresponsabilità. Basandosi sull'articolo 23 della direttiva 95/46/CE, estendetale diritto ai danni causati dagli incaricati del trattamento e chiarisce laresponsabilità dei corresponsabili e coincaricati del trattamento. L'articolo 78 impone agli Stati membri di definire le sanzioniapplicabili alle violazioni del regolamento e di garantirne l'effettivaattuazione. L'articolo 79 fa obbligo a ciascuna autorità di controllo disanzionare gli illeciti amministrativi elencati nei cataloghi di cui allapresente disposizione, di comminare ammende entro un importo massimo, tenendodebitamente conto delle circostanze di ogni singolo caso. 3.4.9. CAPO IX - DISPOSIZIONI RELATIVE A SPECIFICHESITUAZIONI DI TRATTAMENTO DEI DATI L'articolo 80 impone agli Stati membri di adottare esenzioni ederoghe alle disposizioni specifiche del regolamento ove necessario perconciliare il diritto alla protezione dei dati personali e il diritto allalibertà d'espressione; si basa sull'articolo 9 della direttiva 95/46/CE, comeinterpretato dalla Corte di giustizia40 L'articolo 81 impone agli Stati membri, in aggiunta a quanto giàprescritto per categorie particolari di dati, di garantire specifichesalvaguardie al trattamento di dati a fini sanitari. L'articolo 82 dispone che gli Stati membri hanno facoltà diadottare norme specifiche per il trattamento dei dati personali nei rapporti dilavoro. L'articolo 83 stabilisce condizioni specifiche per il trattamentodi dati personali per finalità storiche, statistiche e di ricerca scientifica. L'articolo 84 autorizza gli Stati membri ad adottare normespecifiche per regolare l'accesso delle autorità di controllo ai dati personalie agli edifici, se i responsabili del trattamento sono tenuti all'obbligo disegretezza. L'articolo 85 autorizza chiese e comunità religiose, alla lucedell'articolo 17 del TFUE, a continuare ad applicare corpus completi di normedi protezione dei dati, purché conformi al presente regolamento. 3.4.10. CAPO X -ATTI DELEGATI E ATTI DI ESECUZIONE L'articolo 86 contiene le disposizioni standard per l'eserciziodelle deleghe a norma dell'articolo 290 del TFUE. Ciò consente al legislatoredi delegare alla Commissione il potere di adottare atti non legislativi diportata generale che integrano o modificano determinati elementi non essenzialidi un atto legislativo (atti quasi legislativi). L'articolo 87 dispone la procedura di comitato necessaria per ilconferimento delle competenze di esecuzione alla Commissione, nei casi in cui,conformemente all'articolo 291 del TFUE, sono necessarie condizioni uniformi diesecuzione degli atti giuridicamente vincolanti dell'Unione. Si applica laprocedura d'esame. 3.4.11. CAPO XI -DISPOSIZIONI FINALI L'articolo 88 abroga la direttiva 95/46/CE. L'articolo 89 chiarisce il rapporto con la direttiva 2002/58/CEsulla vita privata e le comunicazioni elettroniche, e la modifica. L'articolo 90 impone alla Commissione di valutare l'applicazionedel regolamento e presentare relazioni al riguardo. L'articolo 91 stabilisce la data di entrata in vigore delregolamento e una fase transitoria rispetto alla data di applicazione. 4. INCIDENZASUL BILANCIO Le specifiche implicazioni di bilancio della proposta riguardano icompiti assegnati al garante europeo della protezione dei dati, come indicatonella scheda finanziaria legislativa allegata alla presente proposta. Taliimplicazioni richiedono una riprogrammazione della rubrica 5 delle prospettivefinanziarie. La proposta non ha ripercussioni sulle spese operative. La scheda finanziaria legislativa che accompagna la presenteproposta di regolamento ricomprende le incidenze di bilancio del regolamentostesso e della direttiva sulla protezione dei dati in materia di polizia egiustizia penale.
2012/0011 (COD) Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DELCONSIGLIO concernente la tutela delle persone fisiche con riguardo altrattamento dei dati personali e la libera circolazione di tali dati(regolamento generale sulla protezione dei dati) (Testo rilevante ai fini del SEE) IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA, visto il trattato sul funzionamento dell'Unione europea, inparticolare l'articolo 16, paragrafo 2, e l'articolo 114, paragrafo 1, vista la proposta della Commissione europea, previa trasmissionedel progetto di atto legislativo ai parlamenti nazionali, visto il parere delComitato economico e sociale europeo41 (1) La tutela delle persone fisiche conriguardo al trattamento dei dati personali è un diritto fondamentale.L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unioneeuropea e l'articolo 16, paragrafo 1, del trattato stabiliscono che ognipersona ha diritto alla protezione dei dati di carattere personale che lariguardano. (2) Il trattamento dei dati personali è alservizio dell'uomo; i principi e le norme a tutela delle persone fisiche conriguardo al trattamento dei dati personali devono rispettarne i diritti e lelibertà fondamentali, in particolare il diritto alla protezione dei datipersonali, a prescindere dalla nazionalità o dalla residenza dell'interessato.Il trattamento dei dati personali dovrebbe contribuire alla realizzazione diuno spazio di libertà, sicurezza e giustizia e di un'unione economica, alprogresso economico e sociale, al rafforzamento e alla convergenza delleeconomie nel mercato interno e al benessere delle persone. (3) Obiettivo della direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati43 (4) L'integrazione economica e socialeconseguente al funzionamento del mercato interno ha portato a un considerevoleaumento dei flussi transfrontalieri e quindi anche dei dati scambiati, in tuttal'Unione, tra gli operatori economici e sociali, pubblici e privati. Il dirittodell'Unione impone alle autorità nazionali degli Stati membri di cooperare escambiarsi dati personali per essere in grado di svolgere le rispettivefunzioni o eseguire compiti per conto di un'autorità di un altro Stato membro. (5) La rapidità dell'evoluzionetecnologica e la globalizzazione comportano anche nuove sfide per la protezionedei dati personali. La portata della condivisione e della raccolta di dati èaumentata in modo vertiginoso; la tecnologia attuale consente alle impreseprivate quanto alle autorità pubbliche di utilizzare dati personali, come maiin precedenza, nello svolgimento delle loro attività e, sempre più spesso, glistessi privati rendono pubbliche sulla rete mondiale informazioni personali cheli riguardano. Le nuove tecnologie hanno trasformato non solo l'economia maanche le relazioni sociali e impongono che si faciliti ancora di più la liberacircolazione dei dati all'interno dell'Unione e il loro trasferimento versopaesi terzi e organizzazioni internazionali; al tempo stesso, però, occorregarantire un elevato livello di protezione dei dati personali. (6) Tale evoluzione richiede un quadrogiuridico più solido e coerente in materia di protezione dei dati nell'Unione,affiancato da efficaci misure di attuazione, data l'importanza di creare ilclima di fiducia che consentirà lo sviluppo dell'economia digitale in tutto ilmercato interno. È necessario che le persone fisiche abbiano il controllo deidati personali che li riguardano e che la certezza giuridica e operativa siarafforzata tanto per i privati che per i operatori economici e le autoritàpubbliche. (7) Sebbene i suoi obiettivi e principirimangano tuttora validi, la direttiva 95/46/CE non ha impedito laframmentazione delle modalità di applicazione della protezione dei datipersonali nel territorio dell'Unione, né ha eliminato l'incertezza giuridica ela percezione, largamente diffusa nel pubblico, che soprattutto le operazionion line comportino notevoli rischi. La compresenza di diversi livelli di tuteladei diritti e delle libertà delle persone fisiche, in particolare del dirittoalla protezione dei dati personali, riservata al trattamento di tali dati negliStati membri può ostacolare la libera circolazione dei dati personaliall'interno dell'Unione. Tali differenze possono pertanto costituire un frenoall'esercizio delle attività economiche su scala dell'Unione, falsare laconcorrenza e impedire alle autorità nazionali di adempiere agli obblighi loroderivanti dal diritto dell'Unione. Il divario creatosi nei livelli diprotezione è dovuto alle divergenze nell'attuare e applicare la direttiva95/46/CE. (8) Al fine di garantire un livellocoerente ed elevato di protezione delle persone e rimuovere gli ostacoli allacircolazione dei dati personali, il livello di tutela dei diritti e dellelibertà delle persone fisiche con riguardo al trattamento di tali dati deveessere equivalente in tutti gli Stati membri. Occorre pertanto garantireun'applicazione coerente ed omogenea delle norme a tutela delle libertà e deidiritti fondamentali delle persone fisiche con riguardo al trattamento dei datipersonali su tutto il territorio dell'Unione. (9) Ai fini di un'efficace protezione deidati personali in tutta l'Unione è necessario rafforzare e precisare i dirittidegli interessati e gli obblighi di coloro che effettuano e determinano iltrattamento dei dati, dotare gli Stati membri di poteri equivalenti per monitoraree garantire il rispetto delle norme di protezione dei dati personali, eprevedere sanzioni equivalenti per i trasgressori. (10) L'articolo 16, paragrafo 2, del trattatoconferisce al Parlamento europeo e al Consiglio il mandato di stabilire lenorme relative alla protezione delle persone fisiche con riguardo altrattamento dei dati di carattere personale e le norme relative alla liberacircolazione di tali dati. (11) Per garantire un livello uniforme di protezionedelle persone in tutta l'Unione e prevenire disparità che possono ostacolare lalibera circolazione dei dati nel mercato interno, è necessario un regolamentoche garantisca certezza del diritto e trasparenza agli operatori economici,comprese le micro, piccole e medie imprese, offra alla persona in tutti gliStati membri il medesimo livello di diritti giuridicamente tutelati, definiscaobblighi e responsabilità dei responsabili del trattamento e degli incaricatidel trattamento e assicuri un monitoraggio costante del trattamento dei datipersonali, sanzioni equivalenti in tutti gli Stati membri e una cooperazioneefficace tra le autorità di controllo dei diversi Stati membri. Per tener contodella specifica situazione delle micro, piccole e medie imprese, il presenteregolamento prevede una serie di deroghe. Inoltre, le istituzioni e gli organidell'Unione, gli Stati membri e le loro autorità di controllo sono invitati aconsiderare le esigenze specifiche delle micro, piccole e medie impresenell'applicare il presente regolamento. Il concetto di micro, piccola e mediaimpresa deve ispirarsi alla raccomandazione 2003/361/CE della Commissione, del6 maggio 2003, relativa alla definizione delle microimprese, piccole e medieimprese. (12) La protezione prevista dal presente regolamentosi applica alle persone fisiche, a prescindere dalla nazionalità o dal luogo diresidenza, in relazione al trattamento dei dati personali. La protezioneofferta dal presente regolamento non potrà essere invocata per il trattamentodei dati relativi a persone giuridiche, in particolare imprese dotate dipersonalità giuridica, compreso il nome, la forma giuridica e i contatti. Ciòvale anche quando il nome della persona giuridica contiene il nome di una o piùpersone fisiche. (13) La protezione delle persone fisiche deve essereneutrale sotto il profilo tecnologico e non dipendere dalle tecniche impiegate;in caso contrario, si correrebbero gravi rischi di elusione. La protezionedelle persone fisiche deve applicarsi sia al trattamento automatizzato che altrattamento manuale dei dati personali, se i dati sono contenuti o destinati adessere contenuti in un archivio. Non dovrebbero rientrare nel campo diapplicazione del presente regolamento i fascicoli o le serie di fascicoli, e lerispettive copertine, non strutturati secondo criteri specifici. (14) Il presente regolamento non si applica aquestioni di tutela dei diritti e delle libertà fondamentali o di liberacircolazione dei dati riferite ad attività che non rientrano nell'ambito diapplicazione del diritto dell'Unione europea, né si applica al trattamento deidati personali effettuato da istituzioni, organi, uffici e agenzie dell'Unione,che sono soggetti al regolamento (CE) n. 45/2001 (15) Il presente regolamento non deve applicarsi altrattamento di dati personali effettuato da una persona fisica nell'ambito diattività esclusivamente personali o domestiche, quali la corrispondenza e gliindirizzari, e senza scopo di lucro, vale a dire senza alcuna connessione conun'attività commerciale o professionale. Tale deroga non deve valere per iresponsabili del trattamento o gli incaricati del trattamento che forniscono imezzi per trattare dati personali nell'ambito di tali attività personali odomestiche. (16) La tutela delle persone fisiche con riguardo altrattamento dei dati personali da parte delle autorità competenti a fini diprevenzione, indagine, accertamento e perseguimento di reati o esecuzione disanzioni penali, e la libera circolazione di tali dati sono oggetto di unospecifico strumento giuridico a livello di Unione. Il presente regolamento nonsi applica pertanto ai trattamenti effettuati per queste finalità. I dati trattatidalle autorità pubbliche in forza del presente regolamento per queste finalitàdovranno invece essere disciplinati dal più specifico strumento giuridico alivello di Unione (direttiva XX/YYY). (17) Il presente regolamento non deve pregiudicarel'applicazione della direttiva 2000/31/CE, in particolare le norme relativealla responsabilità dei prestatori intermediari di servizi di cui ai suoiarticoli da 12 a 15. (18) Il presente regolamento ammette,nell'applicazione delle sue disposizioni, che si tenga conto del principio delpubblico accesso ai documenti ufficiali. (19) Qualsiasi trattamento di dati personalieffettuato nell'ambito delle attività di uno stabilimento di un responsabiledel trattamento o incaricato del trattamento nel territorio dell'Unione deveessere conforme al presente regolamento, che il trattamento avvenga all'internodell'Unione o al di fuori. Lo stabilimento implica l'effettivo e realesvolgimento di attività nel quadro di un'organizzazione stabile. A taleriguardo non è determinante la forma giuridica assunta, sia essa una succursaleo una filiale dotata di personalità giuridica. (20) Onde evitare che una persona venga privata dellatutela cui ha diritto in base al presente regolamento, è necessario che questodisciplini anche il trattamento dei dati personali di residenti nell'Unioneeffettuato da un responsabile del trattamento non stabilito nell'Unione, quandole attività di trattamento sono finalizzate all'offerta di beni o servizi adette persone o al controllo del loro comportamento. (21) Per stabilire se un'attività di trattamento sia assimilabileal "controllo del comportamento" dell'interessato, occorre verificare se leoperazioni che questi esegue su Internet sono sottoposte a tecniche ditrattamento dei dati volte alla "profilazione" dell'utente, in particolare perprendere decisioni che li riguardano o analizzarne o prevederne le preferenze,i comportamenti e le posizioni personali. (22) Laddove vige la legislazione nazionale di unoStato membro in virtù del diritto internazionale pubblico, ad esempio nellarappresentanza diplomatica o consolare di uno Stato membro, il presenteregolamento deve applicarsi anche a un responsabile del trattamento nonstabilito nell'Unione. (23) È necessario applicare i principi di protezione atutte le informazioni relative ad una persona identificata o identificabile.Per stabilire l'identificabilità di una persona, è opportuno considerare tuttii mezzi di cui può ragionevolmente avvalersi il responsabile del trattamento oun terzo per identificare detta persona. Non è necessario applicare i principidi protezione ai dati resi sufficientemente anonimi da impedirel'identificazione dell'interessato. (24) Navigando on line, accade che si sia associati aidentificativi on line prodotti dai dispositivi, dalle applicazioni, daglistrumenti e protocolli utilizzati, quali gli indirizzi IP o i marcatoritemporanei (cookies). Tali identificativi possono lasciare tracce che,combinate con altri identificativi univoci e altre informazioni ricevute daiserver, possono essere utilizzate per creare profili e identificare gli utenti.Ne consegue che numeri di identificazione, dati relativi all'ubicazione,identificativi on line o altri fattori specifici non debbano di per sé esserenecessariamente considerati dati personali in tutte le circostanze. (25) Il consenso dovrebbe essere prestatoesplicitamente con qualsiasi modalità appropriata che permetta all'interessatodi manifestare una volontà libera, specifica e informata, mediantedichiarazione o azione positiva inequivocabile da cui si evinca checonsapevolmente acconsente al trattamento dei suoi dati personali, ancheselezionando un'apposita casella in un sito Internet o con altra dichiarazioneo comportamento che indichi chiaramente in questo contesto che accetta iltrattamento proposto. Non dovrebbe pertanto configurare consenso il consensotacito o passivo. Il consenso dovrebbe applicarsi a tutte le attività ditrattamento svolte per lo stesso o gli stessi scopi. Se il consensodell'interessato è richiesto con modalità elettronica, la richiesta deve esserechiara, concisa e non disturbare inutilmente il servizio per il quale èespresso. (26) Nei dati personali relativi alla salutedovrebbero rientrare, in particolare, tutti i dati riguardanti lo stato disalute dell'interessato; le informazioni sulle richieste di prestazione diservizi sanitari; le informazioni sui pagamenti o l'ammissibilitàall'assistenza sanitaria; un numero, simbolo o elemento specifico attribuitoper identificare l'interessato in modo univoco a fini sanitari; qualsiasiinformazione raccolta nel corso della prestazione di servizi sanitari; leinformazioni risultanti da esami e controlli effettuati su una parte del corpoo una sostanza organica, compresi i campioni biologici; l'identificazione diuna persona come prestatore di assistenza sanitaria all'interessato; qualsiasiinformazione riguardante, ad esempio, una malattia, l'invalidità, il rischio dimalattie, l'anamnesi medica, i trattamenti clinici o l'effettivo statofisiologico o biomedico dell'interessato, indipendentemente dalla fonte, adesempio un medico o altro operatore sanitario, un ospedale, un dispositivomedico o un test diagnostico in vitro. (27) È necessario che lo stabilimento principale di unresponsabile del trattamento dell'Unione sia determinato in base a criteriobiettivi e implichi l'effettivo e reale svolgimento di attività di gestionefinalizzate alle principali decisioni sulle finalità, le condizioni e i mezzidel trattamento nel quadro di un'organizzazione stabile. Tale criterio non devedipendere dal fatto che i dati personali siano effettivamente trattati inquella sede; la presenza o l'uso di mezzi tecnici e tecnologie di trattamentodi dati personali o di attività di trattamento non costituiscono di per sé lostabilimento principale né sono quindi criteri determinanti della suaesistenza. Per quanto riguarda l'incaricato del trattamento, per "stabilimentoprincipale" deve intendersi il luogo in cui ha sede la sua amministrazionecentrale nell'Unione. (28) Un gruppo di imprese dovrebbe costituirsi diun'impresa controllante e delle sue controllate, là dove l'impresa controllantesarebbe quella che può esercitare un'influenza dominante sulle controllate inforza, ad esempio, della proprietà, della partecipazione finanziaria o dellenorme societarie o del potere di fare applicare le norme di protezione dei datipersonali. (29) I minori necessitano di una specifica protezionedei loro dati personali, in quanto possono essere meno consapevoli dei rischi,delle conseguenze, delle misure di protezione e dei loro diritti in relazioneal trattamento dei dati personali. Per determinare chi è minore, è opportunoche il presente regolamento riprenda la definizione stabilita dalla convenzionedelle Nazioni Unite sui diritti del fanciullo. (30) Qualsiasi trattamento di dati personali deveessere lecito, equo e trasparente nei confronti dell'interessato. Inparticolare, le finalità specifiche del trattamento dei dati devono essereesplicite e legittime e precisate al momento della raccolta. I dati devonoessere adeguati, pertinenti e limitati al minimo necessario per le finalità deltrattamento, donde l'obbligo, soprattutto, di garantire che la raccolta non siaeccessiva e che il periodo di conservazione dei dati sia limitato al minimonecessario. I dati personali dovrebbero essere trattati solo se la finalità deltrattamento non è conseguibile con altri mezzi. Occorre prendere tutte lemisure ragionevoli affinché i dati personali inesatti siano rettificati ocancellati. Onde garantire che i dati non siano conservati più a lungo delnecessario, il responsabile del trattamento dovrebbe fissare un termine per lacancellazione o per la verifica periodica. (31) Perché sia lecito il trattamento dati devefondarsi sul consenso dell'interessato o su altra base legittima prevista perlegge, dal presente regolamento o in altro atto legislativo dell'Unione o degliStati membri, come indicato nel presente regolamento. (32) Per i trattamenti basati sul consenso dell'interessato,dovrebbe incombere al responsabile del trattamento dimostrare che l'interessatoha acconsentito al trattamento. In particolare, nel contesto di unadichiarazione scritta relativa a un'altra materia, occorrono garanzie cheassicurino che l'interessato sia consapevole di esprimere un consenso e in qualmisura. (33) Perché il consenso sia libero, occorre chiarireche non costituisce una valida base giuridica qualora l'interessato non sia ingrado di operare una scelta autenticamente libera e non possa, pertanto,rifiutare o ritirare il consenso senza subire pregiudizio. (34) Il consenso non costituisce una valida basegiuridica per il trattamento dei dati personali quando esiste un evidentesquilibrio tra l'interessato e il responsabile del trattamento. Ciò avviene, inparticolare, quando l'interessato si trova in situazione di dipendenza dalresponsabile del trattamento, tra l'altro quando i dati personali di undipendente sono trattati dal suo datore di lavoro nel contesto dei rapporti dilavoro. Se il responsabile del trattamento è un'autorità pubblica, vi èsquilibrio soltanto nelle specifiche operazioni di trattamento in cuil'autorità pubblica può imporre un obbligo in forza dei suoi pubblici poteri;in tal caso, il consenso non può essere considerato libero, tenuto conto degliinteressi dell'interessato. (35) Il trattamento dati deve essere consideratolecito se è necessario nell'ambito di un contratto o ai fini della conclusionedi un contratto. (36) È opportuno che il trattamento effettuato peradempiere un obbligo legale che incombe al responsabile del trattamento onecessario per l'esecuzione di un compito di interesse pubblico o perl'esercizio di pubblici poteri abbia una base giuridica tratta dal dirittodell'Unione o di uno Stato membro che soddisfi i requisiti della Carta deidiritti fondamentali dell'Unione europea per eventuali limitazione dei dirittie delle libertà. Spetta altresì al diritto dell'Unione o alle legislazioninazionali stabilire se il responsabile del trattamento che esegue un compito diinteresse pubblico o connesso all'esercizio di pubblici poteri debba essere unapubblica amministrazione o altra persona fisica o giuridica di diritto pubblicoo privato, quale un'associazione professionale. (37) Il trattamento di dati personali deve essereparimenti considerato lecito quando è necessario per tutelare un interesseessenziale per la vita dell'interessato. (38) I legittimi interessi di un responsabile deltrattamento possono costituire una base giuridica del trattamento, a condizioneche non prevalgano gli interessi o i diritti e le libertà fondamentalidell'interessato. Ciò richiede un'attenta valutazione specie se l'interessato èun minore, dato che i minori necessitano di una specifica protezione.L'interessato deve potersi opporsi al trattamento, per motivi inerenti alla suasituazione particolare, e gratuitamente. Per garantire la trasparenza, ilresponsabile del trattamento deve essere obbligato a informare esplicitamentel'interessato sui legittimi interessi perseguiti, che deve documentare, e suldiritto di opporsi al trattamento dei dati. Posto che spetta al legislatoreprevedere la base giuridica che autorizza le autorità pubbliche a trattare idati, questo motivo non dovrebbe valere per il trattamento dati effettuatodalle autorità pubbliche nell'esercizio delle loro funzioni. (39) Costituisce legittimo interesse del responsabiledel trattamento trattare dati relativi al traffico, in misura strettamentenecessaria a garantire la sicurezza delle reti e dell'informazione, vale a direla capacità di una rete o di un sistema d'informazione di resistere, a un datolivello di sicurezza, ad eventi imprevisti o atti illeciti o dolosi checompromettano la disponibilità, l'autenticità, l'integrità e la riservatezzadei dati conservati o trasmessi e la sicurezza dei relativi servizi offerti oresi accessibili tramite tali reti e sistemi da autorità pubbliche, organismidi intervento in caso di emergenza informatica (CERT), gruppi di intervento perla sicurezza informatica in caso di incidente (CSIRT), fornitori di reti eservizi di comunicazione elettronica e fornitori di tecnologie e servizi disicurezza. Ciò potrebbe, ad esempio, includere misure atte a impedire l'accessonon autorizzato a reti di comunicazioni elettroniche e la diffusione di codicimaligni, e a porre termine agli attacchi da blocco di servizio e ai danni aisistemi informatici e di comunicazione elettronica. (40) Il trattamento dei dati personali per altri finidovrebbe essere consentito solo se compatibile con le finalità per le quali idati sono stati inizialmente raccolti, in particolare se il trattamento ènecessario per finalità storiche, statistiche o di ricerca scientifica. Sel'ulteriore finalità non è compatibile con la finalità iniziale della raccoltadati, sarebbe opportuno che il responsabile del trattamento ottenga il consensospecifico dell'interessato per tale finalità o basi il trattamento dati su unaltro motivo legittimo, in particolare ove previsto dal diritto dell'Unione odello Stato membro cui è soggetto il responsabile del trattamento. In ognicaso, dovrebbe essere garantita l'applicazione dei principi stabiliti dalpresente regolamento, in particolare l'obbligo di informare l'interessato ditali altre finalità. (41) Meritano una specifica protezione i dati personali che, perloro natura, sono particolarmente sensibili e vulnerabili sotto il profilo deidiritti fondamentali o della vita privata. Tali dati non devono essere oggettodi trattamento, salvo esplicito consenso dell'interessato. Tuttavia occorreprevedere espressamente deroghe a questo divieto nei casi di necessitàspecifiche, segnatamente laddove il trattamento viene eseguito nel corso dilegittime attività di talune associazioni o fondazioni il cui scopo siapermettere l'esercizio delle libertà fondamentali. (42) La deroga al divieto di trattare dati sensibilideve essere consentita anche quando è prevista per legge, fatte salve adeguategaranzie, per proteggere i dati personali e altri diritti fondamentali, quandoun interesse pubblico rilevante lo giustifichi, in particolare per finalitàinerenti alla salute, compresa la pubblica sanità, la protezione sociale e lagestione dei servizi sanitari, soprattutto al fine di assicurare la qualità el'economicità delle procedure per soddisfare le richieste di prestazioni eservizi nell'ambito del regime di assicurazione sanitaria, o per finalitàstoriche, statistiche e di ricerca scientifica. (43) Inoltre, è effettuato per motivi di interessepubblico il trattamento di dati personali a cura di autorità pubbliche direttoa realizzare scopi, previsti dal diritto costituzionale o dal dirittointernazionale pubblico, di associazioni religiose ufficialmente riconosciute. (44) Se, nel corso di attività elettorali, il funzionamento delsistema democratico presuppone, in alcuni Stati membri, che i partiti politiciraccolgano dati sulle opinioni politiche delle persone, può esserne consentitoil trattamento per motivi di interesse pubblico, purché siano predispostecongrue garanzie. (45) Se i dati che tratta non gli consentono diidentificare una persona fisica, il responsabile del trattamento non deveessere obbligato ad acquisire ulteriori informazioni per identificarel'interessato al solo fine di rispettare una disposizione del presenteregolamento. Quando riceve una richiesta di accesso, il responsabile deltrattamento deve poter chiedere all'interessato ulteriori informazioni perpoter localizzare i dati personali richiesti. (46) Il principio della trasparenza impone che leinformazioni destinate al pubblico o all'interessato siano facilmenteaccessibili e di facile comprensione e che sia utilizzato un linguaggiosemplice e chiaro. Ciò è particolarmente utile in situazioni quali lapubblicità on line, in cui la molteplicità degli operatori coinvolti e lacomplessità tecnologica dell'operazione fanno sì che sia difficile perl'interessato comprendere se vengono raccolti dati personali, da chi e a qualescopo. Dato che i minori necessitano di una protezione specifica, quando iltrattamento dati li riguarda specificamente, qualsiasi informazione ecomunicazione deve utilizzare il linguaggio semplice e chiaro che un minorepossa capire facilmente. (47) Occorre prevedere modalità volte ad agevolarel'esercizio dei diritti di cui al presente regolamento, compresi i meccanismiper la richiesta, gratuita, di accedere ai dati, rettificarli e cancellarli inparticolare, e per l'esercizio del diritto di opposizione. Il responsabile deltrattamento deve essere tenuto a rispondere alle richieste dell'interessatoentro un termine prestabilito e a motivare l'eventuale rifiuto. (48) I principi di trattamento equo e trasparenteimplicano che l'interessato sia informato in particolare dell'esistenza deltrattamento e delle sue finalità, del periodo di conservazione dei dati, deldiritto di accesso, rettifica o cancellazione e del diritto di proporrereclamo. In caso di dati raccolti direttamente presso l'interessato, questideve inoltre essere informato dell'eventuale obbligo di fornire i propri dati edelle conseguenze a cui va incontro se si rifiuta di fornirli. (49) L'interessato deve ricevere le informazionirelative al trattamento di dati personali al momento della raccolta o, se idati non sono raccolti direttamente presso l'interessato, entro un termineragionevole, in funzione delle circostanze del caso. Se i dati possono esserelegittimamente comunicati a un altro destinatario, l'interessato deve esserneinformato al momento in cui il destinatario riceve la prima comunicazione deidati. (50) Per contro, non è necessario imporre tale obbligo sel'interessato dispone già dell'informazione, se la registrazione o lacomunicazione è prevista per legge o se informare l'interessato si rivelaimpossibile o richiederebbe risorse sproporzionate. Ciò potrebbe verificarsi inparticolare con i trattamenti per finalità storiche, statistiche o di ricercascientifica, nel qual caso si può tener conto del numero di interessati,dell'antichità dei dati e di eventuali misure di compensazione. (51) Ogni persona deve avere il diritto di accedere aidati raccolti che la riguardano e di esercitare tale diritto facilmente, peressere consapevole del trattamento e verificarne la liceità. Occorre pertantoche ogni interessato abbia il diritto di conoscere e ottenere comunicazioni inparticolare in relazione alla finalità del trattamento, al periodo diconservazione, ai destinatari, alla logica che presiede al trattamento e allepossibili conseguenze, almeno quando i dati si basato sul profilodell'interessato. Tale diritto non deve ledere i diritti e le libertà altrui, compresoil segreto industriale e aziendale e la proprietà intellettuale, segnatamente idiritti d'autore che tutelano il software. Tuttavia, queste considerazioni nondevono portare a negare all'interessato l'accesso a tutte le informazioni. (52) Il responsabile del trattamento deve prenderetutte le misure ragionevoli per verificare l'identità di un interessato chechieda l'accesso, in particolare nel contesto di servizi on line e diidentificativi on line. Il responsabile del trattamento non deve conservaredati personali al solo scopo di poter rispondere a potenziali richieste. (53) Ogni persona deve avere il diritto di rettificarei dati personali che la riguardano e il "diritto all'oblio", se laconservazione di tali dati non è conforme al presente regolamento. Inparticolare, l'interessato deve avere il diritto di chiedere che sianocancellati e non più sottoposti a trattamento i propri dati personali che nonsiano più necessari per le finalità per le quali sono stati raccolti oaltrimenti trattati, quando abbia ritirato il consenso o si sia opposto altrattamento dei dati personali che lo riguardano o quando il trattamento deisuoi dati personali non sia altrimenti conforme al presente regolamento. Talediritto è particolarmente rilevante se l'interessato ha dato il consenso quandoera minore, e quindi non pienamente consapevole dei rischi derivanti daltrattamento, e vuole successivamente eliminare questo tipo di dati personali,in particolare da Internet. Tuttavia, occorre consentire l'ulteriore conservazionedei dati qualora sia necessario per finalità storiche, statistiche e di ricercascientifica, per motivi di interesse pubblico nel settore della sanitàpubblica, per l'esercizio del diritto alla libertà di espressione, overichiesto per legge o quando sia giustificata una limitazione del trattamentodei dati anziché una loro cancellazione. (54) Per rafforzare il "diritto all'oblio"nell'ambiente on line, è necessario che il diritto di cancellazione sia estesoin modo da obbligare il responsabile del trattamento che ha pubblicato datipersonali a informare i terzi che stanno trattando tali dati della richiestadell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoidati personali. Per garantire tale informazione, è necessario che ilresponsabile del trattamento prenda tutte le misure ragionevoli, anche dinatura tecnica, in relazione ai dati della cui pubblicazione è responsabile. Seha autorizzato un terzo a pubblicare dati personali, il responsabile deltrattamento deve essere ritenuto responsabile di tale pubblicazione. (55) Per rafforzare ulteriormente il controllo suipropri dati e il diritto di accedervi, occorre che l'interessato abbia ildiritto, se i dati personali sono trattati con mezzi elettronici e in unformato strutturato e di uso comune, di ottenere una copia dei dati che loriguardano ugualmente in formato elettronico di uso comune. Occorre anche chel'interessato sia autorizzato a trasferire i dati che ha fornito daun'applicazione automatizzata, ad esempio un social network, ad un'altra. Talediritto dovrebbe applicarsi quando l'interessato ha fornito i dati al sistemadi trattamento automatizzato acconsentendo al trattamento o in esecuzione di uncontratto. (56) Anche nei casi in cui i dati personali possanoessere lecitamente trattati per proteggere interessi vitali dell'interessato,oppure per motivi di pubblico interesse, nell'esercizio di pubblici poteri oper il legittimo interesse di un responsabile del trattamento, l'interessatodeve comunque avere il diritto di opporsi al trattamento dei dati che loriguardano. È opportuno che incomba al responsabile del trattamento dimostrareche i suoi legittimi interessi possono prevalere sull'interesse o sui diritti esulle libertà fondamentali dell'interessato. (57) Qualora i dati personali siano trattati perfinalità di marketing diretto, l'interessato deve avere il diritto di opporsi atale trattamento, gratuitamente e con una modalità facili e effettive. (58) Ogni persona deve avere il diritto di non esseresottoposta a una misura basata sulla profilazione mediante trattamentoautomatizzato. Tuttavia, è opportuno che tale misura sia consentita se èespressamente prevista per legge, se è applicata nel contesto della conclusioneo dell'esecuzione di un contratto o se l'interessato ha espresso il proprioconsenso. In ogni caso, tale trattamento deve essere subordinato a garanzieadeguate, compresa la specifica informazione dell'interessato e il diritto diottenere l'intervento umano, e la misura non deve riguardare un minore. (59) Il diritto dell'Unione o di uno Stato membro puòimporre limitazioni a specifici principi e ai diritti di informazione, accesso,rettifica e cancellazione di dati, al diritto alla portabilità dei dati, aldiritto di opporsi, alle misure basate sulla profilazione, alla comunicazionedi una violazione di dati personali all'interessato e ad alcuni obblighiconnessi in capo ai responsabili del trattamento, ove ciò sia necessario eproporzionato in una società democratica per la salvaguardia della pubblicasicurezza, ivi comprese la protezione della vita umana, in particolare inrisposta a catastrofi di origine naturale o umana, e le attività diprevenzione, indagine e perseguimento di reati o di violazioni delladeontologia professionale, per la tutela di altri interessi pubblici, tra cuiun interesse economico o finanziario rilevante dell'Unione o di uno Statomembro, o per la protezione dell'interessato o dei diritti e delle libertàaltrui. Tali limitazioni devono essere conformi alla Carta dei diritti fondamentalidell'Unione europea e alla convenzione europea per la salvaguardia dei dirittidell'uomo e delle libertà fondamentali. (60) Occorre stabilire una responsabilità generale delresponsabile del trattamento per qualsiasi trattamento di dati personali cheabbia effettuato direttamente o altri abbia effettuato per suo conto. Inparticolare, il responsabile del trattamento deve garantire ed essere tenuto adimostrare la conformità di ogni trattamento con il presente regolamento. (61) La tutela dei diritti e delle libertà degliinteressati con riguardo al trattamento dei dati personali richiedel'attuazione di adeguate misure tecniche e organizzative al momento sia dellaprogettazione che dell'esecuzione del trattamento stesso, onde garantire ilrispetto delle disposizioni del presente regolamento. Al fine di garantire edimostrare la conformità con il presente regolamento, il responsabile deltrattamento deve adottare politiche interne e attuare misure adeguate, chesoddisfino in particolare i principi della protezione fin dalla progettazione edella protezione di default. (62) La protezione dei diritti e delle libertàdell'interessato così come le responsabilità del responsabile del trattamento edell'incaricato del trattamento, anche in relazione al monitoraggio e allemisure delle autorità di controllo, esigono una chiara attribuzione delleresponsabilità ai sensi del presente regolamento, compresi i casi in cui unresponsabile del trattamento stabilisca le finalità, le condizioni e i mezzidel trattamento congiuntamente con altri responsabili del trattamento o quandol'operazione viene eseguita per conto del responsabile del trattamento. (63) Quando un responsabile del trattamento nonstabilito nell'Unione tratta dati personali di residenti nell'Unione e la suaattività di trattamento è finalizzata all'offerta di beni o alla prestazione diservizi a tali interessati o al controllo del loro comportamento, è opportunoche tale responsabile del trattamento designi un rappresentante, salvo che nonsia stabilito in un paese terzo che garantisce un livello di protezioneadeguato, non sia una piccola o media impresa o un'autorità o organismopubblico oppure non offra beni o servizi agli interessati solo occasionalmente.Il rappresentante deve agire per conto del responsabile del trattamento e puòessere interpellato da qualsiasi autorità di controllo. (64) Per determinare se un responsabile deltrattamento offre solo occasionalmente beni e servizi agli interessatiresidenti nell'Unione, occorre verificare se dalle sue attività complessiverisulta che l'offerta di beni o servizi agli interessati sia solo accessoriarispetto alle attività principali. (65) Per dimostrare che si conforma al presente regolamento, ilresponsabile del trattamento o l'incaricato del trattamento deve documentareciascuna operazione di trattamento. Bisognerebbe obbligare tutti i responsabilidel trattamento e gli incaricati del trattamento a cooperare con l'autorità dicontrollo e a mettere, su richiesta, detta documentazione a sua disposizioneaffinché possa servire per monitorare i trattamenti. (66) Per mantenere la sicurezza e preveniretrattamenti contrari al presente regolamento, il responsabile del trattamento ol'incaricato del trattamento deve valutare i rischi inerenti al trattamento eprovvedere a limitarli. Tali provvedimenti devono assicurare un adeguatolivello di sicurezza, tenuto conto degli sviluppi tecnici e dei costi diattuazione rispetto ai rischi che presentano i trattamenti e alla natura deidati da proteggere. Nel definire le norme tecniche e le misure organizzativeatte a garantire la sicurezza del trattamento, la Commissione deve promuoverela neutralità tecnologica, l'interoperabilità e l'innovazione e, ove opportuno,la cooperazione con i paesi terzi. (67) Una violazione di dati personali può, se nonaffrontata in modo adeguato e tempestivo, provocare un grave danno economico esociale all'interessato, tra cui l'usurpazione dell'identità. Pertanto, nonappena viene a conoscenza di una violazione, il responsabile del trattamento ladeve notificare all'autorità di controllo senza ritardo e, quando possibile,entro 24 ore. Oltre il termine di 24 ore, la notificazione deve esserecorredata di una giustificazione motivata. È opportuno che le persone i cuidati o la cui vita privata potrebbero essere compromessi da una siffattaviolazione siano informate tempestivamente affinché possano prendere leprecauzioni del caso. Si considera che una violazione pregiudica i datipersonali o la vita privata dell'interessato quando comporta, ad esempio, ilfurto o l'usurpazione d'identità, un danno fisico, un'umiliazione grave oattenta alla sua reputazione. La notifica deve descrivere la natura dellaviolazione dei dati personali e formulare raccomandazioni per l'interessatointese ad attenuare i potenziali effetti negativi. La notifica deve esseretrasmessa non appena possibile, in stretta collaborazione con l'autorità dicontrollo e nel rispetto degli orientamenti impartiti da questa o da altreautorità competenti (come le autorità incaricate dell'applicazione dellalegge). Ad esempio, affinché gli interessati possano attenuare un rischioimmediato di pregiudizio è opportuno che la notifica sia tempestiva, ma lanecessità di attuare misure adeguate per contrastare violazioni ripetute o analoghepotrebbe giustificare tempi più lunghi. (68) Per determinare se una violazione dei dati personali ènotificata all'autorità di controllo e all'interessato senza ingiustificatoritardo, occorre verificare se il responsabile del trattamento ha predisposto eapplicato un'adeguata protezione tecnologica e le misure organizzativenecessarie a stabilire immediatamente se c'e stata violazione di dati personalie a informare tempestivamente l'autorità di controllo e l'interessato, primache ne vengano pregiudicati gli interessi personali ed economici, tenendo contoin particolare della natura e della gravità della violazione e delle sueconseguenze e effetti negativi per l'interessato. (69) Nel definire modalità dettagliate relative alformato e alle procedure applicabili alla notificazione delle violazioni didati personali, è opportuno tenere debitamente conto delle circostanze dellaviolazione, ad esempio stabilire se i dati personali fossero o meno protetticon opportuni dispositivi tecnici atti a limitare efficacemente il rischio difurto d'identità o altre forme di abuso. Inoltre, è opportuno che tali modalitàe procedure tengano conto dei legittimi interessi delle autorità giudiziarie edi polizia, nei casi in cui una divulgazione prematura possa ostacolareinutilmente l'indagine sulle circostanze di una violazione di sicurezza. (70) La direttiva 95/46/CE ha introdotto un obbligogenerale di notificare alle autorità di controllo il trattamento dei datipersonali. Tale obbligo comporta oneri amministrativi e finanziari senza perquesto aver mai veramente contribuito a migliorare la protezione dei datipersonali. È pertanto necessario abolire tale obbligo generale e indiscriminatodi notificazione e sostituirlo con meccanismi e procedure efficaci che si concentrinopiuttosto su quelle operazioni di trattamento che potenzialmente presentanorischi specifici per i diritti e le libertà degli interessati, per loro natura,portata o finalità. In tali casi, è opportuno che il responsabile deltrattamento o l'incaricato del trattamento effettui una valutazione d'impattosulla protezione dei dati prima del trattamento, che verta in particolare anchesulle misure, sulle garanzie e sui meccanismi previsti per assicurare laprotezione dei dati personali e per comprovare il rispetto del presenteregolamento. (71) Ciò deve applicarsi in particolare ai nuovisistemi di archiviazione su larga scala, che mirano al trattamento di unanotevole quantità di dati personali a livello regionale, nazionale osovranazionale e che potrebbero incidere su un vasto numero di interessati. (72) Vi sono circostanze in cui può essere ragionevoleed economico effettuare una valutazione d'impatto sulla protezione dei dati cheverta su un oggetto più ampio di un unico progetto, per esempio quando autoritào enti pubblici intendono istituire un'applicazione o una piattaforma ditrattamento comune o quando diversi responsabili del trattamento progettano diintrodurre un'applicazione o un ambiente di trattamento comune in un settore osegmento industriale o per una attività trasversale ampiamente utilizzata. (73) È necessario che un'autorità pubblica o un entepubblico procedano a una valutazione d'impatto sulla protezione dei dati se ciònon è già stato fatto in vista dell'adozione della legge nazionale chedisciplina i compiti dell'autorità pubblica o dell'ente pubblico e lo specificotrattamento o insieme di trattamenti. (74) Se dalla valutazione d'impatto sulla protezionedei dati risulta che operazioni di trattamento o l'uso di nuove particolari tecnologieespongono i diritti e le libertà degli interessati a un grado elevato di rischispecifici, privandoli ad esempio di un diritto, l'autorità di controllo deveessere consultata prima dell'inizio delle operazioni, affinché verifichi se untrattamento rischioso sia conforme al presente regolamento e formuli proposteper ovviare a tale situazione. Siffatta consultazione deve aver luogo anchedurante l'elaborazione di una proposta legislativa del parlamento nazionale odi una misura basata su quella proposta legislativa, che definisca la naturadel trattamento e precisi le garanzie appropriate. (75) Per i trattamenti effettuati nel settore pubblicoo per i trattamenti effettuati nel settore privato da una grande impresa o daun'impresa, a prescindere dalle sue dimensioni, le cui attività principaliimplicano operazioni di trattamento che richiedono un monitoraggio regolare esistematico, il responsabile del trattamento o l'incaricato del trattamentodeve essere assistito da un'altra persona nel controllo del rispetto internodel presente regolamento. Tali "responsabili della protezione dei dati",dipendenti o meno del responsabile del trattamento, devono essere in grado diesercitare le loro funzioni e compiti in modo indipendente. (76) Le associazioni o altre organizzazionirappresentative dei responsabili del trattamento devono essere incoraggiate adelaborare codici di condotta, nei limiti del presente regolamento, in modo dafacilitarne l'effettiva applicazione, tenendo conto delle caratteristiche specifichedelle operazioni effettuate in alcuni settori. (77) Al fine di migliorare la trasparenza e ilrispetto del presente regolamento deve essere incoraggiata l'istituzione dimeccanismi di certificazione, sigilli e marchi di protezione dei dati che consentanoagli interessati di valutare rapidamente il livello di protezione dei dati deirelativi prodotti e servizi. (78) I flussi transfrontalieri di dati personali sononecessari per l'espansione del commercio internazionale e della cooperazioneinternazionale. L'aumento di tali flussi ha posto nuove sfide e problemiriguardanti la protezione dei dati personali. È importante però che quando idati personali sono trasferiti dall'Unione a paesi terzi o a organizzazioniinternazionali non sia compromesso il livello di protezione delle personegarantito nell'Unione dal presente regolamento. In ogni caso, i trasferimentidi dati verso paesi terzi possono soltanto essere effettuati nel pieno rispettodel presente regolamento. (79) Il presente regolamento lascia impregiudicate le disposizionidegli accordi internazionali conclusi tra l'Unione e i paesi terzi chedisciplinano il trasferimento di dati personali, comprese adeguate garanzie pergli interessati. (80) La Commissione può decidere, con effettonell'intera Unione europea, che taluni paesi terzi, o un territorio o settoredi trattamento all'interno di un paese terzo, o un'organizzazioneinternazionale offrono un livello adeguato di protezione dei dati, garantendoin tal modo la certezza del diritto e l'uniformità in tutta l'Unione neiconfronti dei paesi terzi o delle organizzazioni internazionali che si ritieneoffrano un livello di protezione adeguato. In questi casi, i trasferimenti didati personali possono avere luogo senza ulteriori autorizzazioni. (81) In linea con i valori fondamentali su cui èfondata l'Unione, in particolare la tutela dei diritti dell'uomo, è opportunoche la Commissione, nella sua valutazione del paese terzo, tenga conto del modoin cui tale paese rispetta lo stato di diritto, l'accesso alla giustizia e lenorme e gli standard internazionali in materia di diritti dell'uomo. (82) La Commissione può anche riconoscere che un paeseterzo, o un territorio o settore di trattamento all'interno del paese terzo, oun'organizzazione internazionale non offra un adeguato livello di protezionedei dati, nel qual caso il trasferimento di dati personali verso tale paeseterzo deve essere vietato. È altresì opportuno prevedere consultazioni tra laCommissione e detti paesi terzi od organizzazioni internazionali. (83) In mancanza di una decisione di adeguatezza, ilresponsabile del trattamento o l'incaricato del trattamento deve provvedere acompensare la carenza di protezione dei dati in un paese terzo con adeguategaranzie a tutela dell'interessato. Tali adeguate garanzie possono consisterenell'applicazione di norme vincolanti d'impresa, clausole di protezione deidati adottate dalla Commissione, clausole tipo di protezione dei dati adottateda un'autorità di controllo o clausole contrattuali autorizzate da un'autoritàdi controllo, o altre opportune misure proporzionate e giustificate alla lucedi tutte le circostanze relative ad un trasferimento o ad un insieme ditrasferimenti di dati e nei casi autorizzati da un'autorità di controllo. (84) La possibilità che il responsabile deltrattamento o l'incaricato del trattamento utilizzi clausole tipo di protezionedei dati adottate dalla Commissione o da un'autorità di controllo non deveprecludere ai responsabili del trattamento o agli incaricati del trattamento lapossibilità di includere tali clausole tipo in un contratto più ampio né diaggiungere altre clausole, purché non contraddicano, direttamente oindirettamente, le clausole contrattuali tipo adottate dalla Commissione o daun'autorità di controllo o ledano i diritti o le libertà fondamentali degliinteressati. (85) Un gruppo di imprese deve poter applicare lenorme vincolanti d'impresa approvate per i trasferimenti internazionalidall'Unione agli organismi dello stesso gruppo di imprese, purché tali normecontemplino principi fondamentali e diritti azionabili in giudizio checostituiscano adeguate garanzie per i trasferimenti o categorie ditrasferimenti di dati personali. (86) È opportuno prevedere la possibilità di trasferire dati inalcune circostanze se l'interessato ha acconsentito, se il trasferimento ènecessario in relazione ad un contratto o un'azione legale, se sussistonomotivi di rilevante interesse pubblico previsti dalla legislazione di uno Statomembro o dell'Unione o se i dati sono trasferiti da un registro stabilito perlegge e destinato ad essere consultato dal pubblico o dalle persone aventi unlegittimo interesse. In quest'ultimo caso, il trasferimento non deve riguardarela totalità dei dati o delle categorie di dati contenuti nel registro; inoltre,quando il registro è destinato ad essere consultato dalle persone aventi unlegittimo interesse, i dati possono essere trasferiti soltanto se tali personelo richiedono o ne sono destinatarie. (87) Tali deroghe devono in particolare valere per itrasferimenti di dati richiesti e necessari per la protezione di motivi diinteresse pubblico rilevante, ad esempio nel caso di trasferimentiinternazionali di dati tra autorità garanti della concorrenza, amministrazionifiscali o doganali, autorità di controllo finanziario, tra i servizi competentiin materia di sicurezza sociale o verso autorità competenti a fini diprevenzione, indagine, accertamento e perseguimento di reati. (88) Potrebbero altresì essere autorizzati anche itrasferimenti non qualificabili come frequenti o massicci ai fini dei legittimiinteressi del responsabile del trattamento o dell'incaricato del trattamento,dopo che questi abbia valutato tutte le circostanze relative al trasferimento.Ai fini del trattamento per finalità storiche, statistiche e di ricercascientifica, si deve tener conto delle legittime aspettative della società neiconfronti di un miglioramento delle conoscenze. (89) In ogni caso, se la Commissione non ha presoalcuna decisione circa il livello adeguato di protezione dei dati di un paeseterzo, il responsabile del trattamento o l'incaricato del trattamento devericorrere a soluzioni che diano all'interessato la garanzia che continuerà abeneficiare dei diritti e delle garanzie fondamentali previste dall'Unione inrelazione al trattamento dei dati personali, anche dopo il trasferimento. (90) Alcuni paesi terzi adottano leggi, regolamenti ealtri strumenti legislativi finalizzati a disciplinare direttamente le attivitàdi trattamento dati di persone fisiche e giuridiche poste sotto lagiurisdizione degli Stati membri. L'applicazione extraterritoriale di talileggi, regolamenti e altri strumenti legislativi potrebbe essere contraria aldiritto internazionale e ostacolare il conseguimento della tutela delle personegarantita nell'Unione con il presente regolamento. I trasferimenti dovrebberoquindi essere consentiti solo se ricorrono le condizioni previste dal presenteregolamento per i trasferimenti a paesi terzi. Ciò vale tra l'altro quando ladivulgazione è necessaria per un motivo di interesse pubblico rilevantericonosciuto dal diritto dell'Unione o dello Stato membro cui è soggetto ilresponsabile del trattamento. Occorre che la Commissione precisi le condizioniin cui sussiste un motivo di interesse pubblico rilevante con un atto delegato. (91) Con il trasferimento transfrontaliero di dati personaliaumenta il rischio che l'interessato non eserciti i propri diritti allaprotezione dei dati, in particolare per tutelarsi da usi o divulgazioniillecite di tali informazioni. Allo stesso tempo, le autorità di controllopossono concludere di non essere in grado di dar corso alle denunce o svolgereindagini relative ad attività condotte oltre frontiera. I loro sforzi dicollaborazione nel contesto transfrontaliero possono anche scontrarsi conpoteri insufficienti per prevenire e correggere, regimi giuridici incoerenti edifficoltà pratiche quali la limitatezza delle risorse disponibili. Pertanto viè la necessità di promuovere una più stretta cooperazione tra le autorità dicontrollo della protezione dei dati affinché possano scambiare informazioni econdurre indagini di concerto con le loro controparti internazionali. (92) La designazione di autorità di controllo cheagiscano in totale indipendenza in ciascuno Stato membro è un elementoessenziale della protezione delle persone con riguardo al trattamento di datipersonali. Gli Stati membri possono istituire più di una autorità di controllo,al fine di rispecchiare la loro struttura costituzionale, organizzativa e amministrativa. (93) Laddove siano istituite più autorità dicontrollo, lo Stato membro deve stabilire per legge meccanismi atti adassicurare la partecipazione effettiva di dette autorità al meccanismo dicoerenza. Lo Stato membro deve in particolare designare l'autorità di controlloche funge da punto di contatto unico per l'effettiva partecipazione di tutte leautorità al meccanismo, onde garantire la rapida e agevole cooperazione conaltre autorità di controllo, il comitato europeo per la protezione dei dati ela Commissione. (94) Ciascuna autorità di controllo deve disporre dirisorse umane e finanziarie adeguate, dei locali e delle infrastrutturenecessarie per l'effettivo svolgimento dei propri compiti, compresi i compitidi assistenza reciproca e cooperazione con altre autorità di controllo in tuttal'Unione. (95) Le condizioni generali applicabili ai membridell'autorità di controllo devono essere stabilite da ciascuno Stato membro edevono in particolare prevedere che i membri siano nominati dal parlamento odal governo dello Stato membro e contenere disposizioni sulle qualifiche esulle funzioni di tali membri. (96) Spetterebbe alle autorità di controllocontrollare l'applicazione delle disposizioni del presente regolamento econtribuire alla sua coerente applicazione in tutta l'Unione, così da tutelarele persone fisiche in relazione al trattamento dei dati personali e facilitarela libera circolazione di tali dati nel mercato interno. A tal fine le autoritàdi controllo cooperano tra loro e con la Commissione. (97) Qualora il trattamento dei dati personalinell'ambito delle attività di uno stabilimento di un responsabile deltrattamento o incaricato del trattamento nell'Unione abbia luogo in più di unoStato membro, è opportuno che un'unica autorità di controllo sia competente acontrollare le attività del responsabile del trattamento o dell'incaricato deltrattamento in tutta l'Unione e ad prendere le relative decisioni, in modo daaumentare la coerenza nell'applicazione, garantire la certezza giuridica eridurre gli oneri amministrativi per tali responsabili del trattamento eincaricati del trattamento. (98) È necessario che l'autorità competente, che fungeda "sportello unico", sia l'autorità di controllo dello Stato membro in cui ilresponsabile del trattamento o l'incaricato del trattamento ha lo stabilimentoprincipale. (99) Sebbene il presente regolamento si applichi anchealle attività dei giudici nazionali, non è opportuno che rientri nellacompetenza delle autorità di controllo il trattamento di dati personalieffettuato dalle autorità giurisdizionali nell'esercizio delle loro funzionigiurisdizionali, al fine di salvaguardarne l'indipendenza. Tuttavia, taleesenzione deve essere rigorosamente limitata all'attività autenticamentegiurisdizionale e non applicarsi ad altre attività a cui i giudici potrebberopartecipare in forza del diritto nazionale. (100) Al fine di garantire un monitoraggio e un'applicazionecoerenti del presente regolamento in tutta l'Unione, le autorità di controllodevono godere in ciascuno Stato membro degli stessi diritti e poteri effettivi,fra cui poteri di indagine e d'intervento giuridicamente vincolanti, didecisione e sanzione, segnatamente in caso di reclamo, così come di agire ingiudizio. I poteri d'indagine delle autorità di controllo con riferimentoall'accesso ai locali devono essere esercitati nel rispetto del dirittodell'Unione e della legislazione nazionale. Ciò riguarda in particolarel'obbligo di ottenere una preventiva autorizzazione giudiziaria. (101) È necessario che ciascuna autorità di controllo tratti ireclami proposti da qualsiasi interessato e svolga le relative indagini; che aseguito di reclamo vada condotta un'indagine, soggetta a controllogiurisdizionale, nella misura in cui ciò sia opportuno nella fattispecie; chel'autorità di controllo informi gli interessati dei progressi e dei risultatidel ricorso entro un termine ragionevole. Se il caso richiede un'ulterioreindagine o il coordinamento con un'altra autorità di controllo, l'interessatodeve ricevere informazioni interlocutorie. (102) Le attività di sensibilizzazione delle autorità di controllonei confronti del pubblico devono comprendere misure specifiche per iresponsabili del trattamento e gli incaricati del trattamento, comprese lemicro, piccole e medie imprese, e per gli interessati. (103) Le autorità di controllo devono prestarsi reciprocaassistenza nell'esercizio delle loro funzioni, in modo da garantire la coerenteapplicazione e attuazione del presente regolamento nel mercato interno. (104) Ciascuna autorità di controllo deve avere il diritto dipartecipare alle operazioni congiunte tra autorità di controllo. L'autorità dicontrollo che riceve una richiesta dovrebbe darvi seguito entro un terminedefinito. (105) È necessario istituire un meccanismo di coerenza per lacooperazione tra le autorità di controllo e con la Commissione, al fine diassicurare un'applicazione coerente del presente regolamento in tutta l'Unione.Tale meccanismo deve applicarsi in particolare quando un'autorità di controllointenda adottare una misura relativa ad attività di trattamento finalizzateall'offerta di beni o servizi agli interessati in vari Stati membri o alcontrollo degli stessi, o che possono incidere significativamente sulla liberacircolazione dei dati personali. È opportuno che il meccanismo si attivi anchequando un'autorità di controllo o la Commissione chiede che una questione siatrattata nell'ambito del meccanismo di coerenza. Tale meccanismo non devepregiudicare le misure che la Commissione può adottare nell'esercizio dei suoipoteri a norma dei trattati. (106) In applicazione del meccanismo di coerenza il comitatoeuropeo per la protezione dei dati deve emettere un parere entro un terminedeterminato, se i suoi membri lo decidono a maggioranza semplice o se arichiederlo sono un'autorità di controllo o la Commissione. (107) Al fine di garantire il rispetto del presente regolamento,la Commissione può adottare un parere sulla questione, o una decisione volta aingiungere all'autorità di controllo di sospendere il progetto di misura. (108) Potrebbe essere necessario intervenire urgentemente pertutelare gli interessi degli interessati, in particolare quando sussiste ilpericolo che l'esercizio di un diritto possa essere gravemente ostacolato. Pertanto,un'autorità di controllo deve essere in grado di prendere misure provvisoriecon un periodo di validità determinato quando applica il meccanismo dicoerenza. (109) L'applicazione di tale meccanismo deve essere un requisitoindispensabile ai fini della validità giuridica e dell'esecuzione dellarispettiva decisione a cura dell'autorità di controllo. In altri casi dirilevanza transfrontaliera, le autorità di controllo possono prestarsireciproca assistenza ed effettuare indagini congiunte, su base bilaterale omultilaterale, senza attivare il meccanismo di coerenza. (110) Occorre istituire a livello di Unione un comitato europeoper la protezione dei dati che sostituisca il gruppo per la tutela dellepersone con riguardo al trattamento dei dati personali istituito con direttiva95/46/CE. Il comitato deve essere composto dal responsabile dell'autorità dicontrollo di ciascuno Stato membro e dal garante europeo della protezione deidati. È necessario che la Commissione partecipi alle attività del comitato. Ilcomitato europeo per la protezione dei dati deve contribuire all'applicazioneuniforme del presente regolamento in tutta l'Unione, in particolare dandoconsulenza alla Commissione e promuovendo la cooperazione delle autorità dicontrollo in tutta l'Unione. Esso deve svolgere le sue funzioni in pienaindipendenza. (111) Ciascun interessato deve avere il diritto di proporrereclamo a un'autorità di controllo di qualunque Stato membro e il diritto diproporre ricorso giurisdizionale qualora ritenga che siano stati violati idiritti di cui gode a norma del presente regolamento o se l'autorità dicontrollo non dà seguito a un reclamo o non agisce quando è necessariointervenire per proteggere i suoi diritti di interessato. (112) L'organismo, l'organizzazione o associazione che intendatutelare i diritti e gli interessi degli interessati in relazione allaprotezione dei dati personali e sia istituito o istituita a norma dellalegislazione di uno Stato membro deve avere il diritto di proporre reclamo aun'autorità di controllo di qualunque Stato membro o esercitare il diritto a unricorso giurisdizionale per conto degli interessati, o di proporre un proprio reclamoindipendente dall'azione dell'interessato, se ritiene che sussista violazionedei dati personali. (113) Ogni persona fisica o giuridica deve avere il diritto diproporre ricorso giurisdizionale avverso la decisione dell'autorità dicontrollo che la riguarda. Le azioni contro l'autorità di controllo devonoessere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cuil'autorità di controllo è stabilita. (114) Al fine di potenziare la tutela giurisdizionaledell'interessato nei casi in cui l'autorità di controllo competente è stabilitain uno Stato membro diverso da quello in cui risiede l'interessato, questi puòchiedere a qualsiasi organismo, organizzazione o associazione mirante atutelare i diritti e gli interessi degli interessati in relazione allaprotezione dei dati personali di proporre un ricorso giurisdizionale per suoconto contro tale autorità di controllo davanti all'autorità giurisdizionalecompetente nell'altro Stato membro. (115) Nei casi in cui l'autorità di controllo competente stabilitain un altro Stato membro non agisca o abbia adottato misure insufficienti aseguito di un reclamo, l'interessato può chiedere all'autorità di controllodello Stato membro in cui ha la residenza abituale di proporre un ricorsogiurisdizionale contro tale autorità di controllo davanti all'autoritàgiurisdizionale competente nell'altro Stato membro. L'autorità di controllorichiesta può decidere, con atto impugnabile in via giurisdizionale, se siaopportuno dare seguire alla richiesta. (116) Nei ricorsi contro un responsabile del trattamento oincaricato del trattamento, il ricorrente deve poter avviare un'azione legaledinanzi al giudice dello Stato membro in cui il responsabile del trattamento ol'incaricato del trattamento ha uno stabilimento o in cui risiedel'interessato, salvo che il responsabile del trattamento sia un ente pubblicoche agisce nell'esercizio dei suoi poteri pubblici. (117) Qualora vi siano fondati motivi di ritenere che in un altroStato membro sia in corso un procedimento parallelo, le autoritàgiurisdizionali interessate devono prendere contatti. L'autorità giurisdizionaledeve poter sospendere un procedimento quando sia in corso un procedimentoparallelo in un altro Stato membro. Gli Stati membri devono assicurare che iricorsi giurisdizionali, per essere efficaci, consentano di adottarerapidamente provvedimenti per porre fine alla violazione del presenteregolamento o per prevenirla. (118) Il responsabile del trattamento o l'incaricato deltrattamento deve risarcire i danni cagionati da un trattamento illecito ma puòessere esonerato da tale responsabilità se prova che l'evento dannoso non gli èimputabile, segnatamente se dimostra che a causare l'errore è statol'interessato o in caso di forza maggiore. (119) Dovrebbe essere punibile chiunque, persona di dirittopubblico o di diritto privato, non ottemperi alle disposizioni del presenteregolamento. Gli Stati membri devono garantire sanzioni efficaci, proporzionatee dissuasive e adottare tutte le misure necessarie per la loro applicazione. (120) Al fine di rafforzare e armonizzare le sanzioniamministrative applicabili per violazione del presente regolamento, ogniautorità di controllo deve poter sanzionare gli illeciti amministrativi. Ilpresente regolamento deve specificare detti illeciti e indicare il limitemassimo della relativa sanzione amministrativa, che va stabilita in misuraproporzionata alla situazione specifica, tenuto conto in particolare dellanatura, gravità e durata dell'infrazione. Il meccanismo di coerenza può essereutilizzato anche per colmare divergenze nell'applicazione delle sanzioniamministrative. (121) Il trattamento di dati personali effettuato esclusivamente ascopi giornalistici o di espressione artistica o letteraria dovrebbe poterderogare ad alcune disposizioni del presente regolamento per conciliare ildiritto alla protezione dei dati personali con il diritto alla libertàd'espressione, in particolare la libertà di ricevere e comunicare informazionigarantita in particolare dall'articolo 11 della Carta dei diritti fondamentalidell'Unione europea. Ciò dovrebbe applicarsi in particolare al trattamento deidati personali nel settore audiovisivo, negli archivi stampa e nelleemeroteche. È necessario pertanto che gli Stati adottino misure legislative cheprevedano le deroghe e le esenzioni necessarie ai fini di un equilibrio traquesti diritti fondamentali. Gli Stati membri dovrebbero adottare taliesenzioni e deroghe con riferimento alle disposizioni concernenti i principigenerali, i diritti dell'interessato, il responsabile del trattamento el'incaricato del trattamento, il trasferimento di dati a paesi terzi o aorganizzazioni internazionali, le autorità di controllo indipendenti, lacooperazione e la coerenza. Tuttavia ciò non deve indurre gli Stati membri aprevedere deroghe alle altre disposizioni del presente regolamento. Per tenereconto dell'importanza del diritto alla libertà di espressione in tutte lesocietà democratiche è necessario interpretare in modo esteso i concettirelativi a detta libertà, quali la nozione di giornalismo. Pertanto, ai finidelle esenzioni e deroghe da stabilire nel presente regolamento, gli Statimembri dovrebbero classificare come "giornalistiche" le attività finalizzatealla diffusione al pubblico di informazioni, pareri o idee, indipendentementedal canale utilizzato per la loro trasmissione, senza limitarle alle impreseoperanti nel settore dei media ma includendovi le attività intraprese con osenza scopo di lucro. (122) Il trattamento dei dati personali relativi alla salute,particolare categoria di dati che necessita di una maggiore protezione, puòspesso essere giustificato da diversi motivi legittimi a beneficio dellepersone e dell'intera società, in particolare se l'obiettivo è garantire lacontinuità dell'assistenza sanitaria transfrontaliera. Pertanto il presenteregolamento deve prevedere condizioni armonizzate per il trattamento dei datirelativi alla salute, fatte salve garanzie appropriate e specifiche a tuteladei diritti fondamentali e dei dati personali delle persone fisiche. Ciòinclude il diritto di accedere ai propri dati personali relativi alla salute,ad esempio le cartelle mediche contenenti informazioni quali diagnosi,risultati di esami, parere di medici curanti o eventuali terapie o interventipraticati. (123) Il trattamento dei dati relativi alla salute può esserenecessario per motivi di interesse pubblico nei settori della sanità pubblica,senza il consenso dell'interessato. In questo contesto, il concetto di "sanitàpubblica" va interpretato secondo la definizione del regolamento (CE) n.1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008,relativo alle statistiche comunitarie in materia di sanità pubblica e di salutee sicurezza sul luogo di lavoro: tutti gli elementi relativi alla salute, ossialo stato di salute, morbilità e disabilità incluse, i determinanti aventi uneffetto su tale stato di salute, le necessità in materia di assistenzasanitaria, le risorse destinate all'assistenza sanitaria, la prestazione diassistenza sanitaria e l'accesso universale ad essa, la spesa sanitaria e ilrelativo finanziamento e le cause di mortalità. Il trattamento dei datipersonali relativi alla salute effettuato per motivi di interesse pubblico non devecomportare il trattamento dei dati per altre finalità da parte di terzi, qualidatori di lavoro, compagnie di assicurazione e istituti di credito. (124) I principi generali della protezione delle persone fisichecon riguardo al trattamento dei dati personali devono trovare applicazioneanche nei rapporti di lavoro. Pertanto, al fine di disciplinare il trattamentodei dati personali dei lavoratori in tale ambito, gli Stati membri devono averefacoltà, nei limiti del presente regolamento, di emanare specifichedisposizioni applicabili al trattamento dei dati personali nel settore dellavoro. (125) Il trattamento dei dati personali per finalità storiche,statistiche o di ricerca scientifica deve, per essere lecito, rispettare anchealtre normative pertinenti, ad esempio quelle sulle sperimentazioni cliniche. (126) La ricerca scientifica nell'ambito del presente regolamentodeve includere la ricerca fondamentale, la ricerca applicata e la ricercafinanziata da privati e deve, inoltre, tenere conto dell'obiettivo dell'Unionedi istituire uno spazio europeo della ricerca ai sensi dell'articolo 179,paragrafo 1, del trattato sul funzionamento dell'Unione europea. (127) Per quanto riguarda il potere delle autorità di controllo diottenere, dal responsabile del trattamento o dall'incaricato del trattamento,accesso ai dati personali e accesso ai locali, gli Stati membri possonostabilire per legge, nei limiti del presente regolamento, norme specifiche pertutelare il segreto professionale o altri obblighi equivalenti di segretezza,qualora si rendano necessarie per conciliare il diritto alla protezione deidati personali con l'obbligo di segretezza. (128) Il presente regolamento rispetta e non pregiudica lo statusdi cui godono le chiese e le associazioni o comunità religiose negli Statimembri in virtù del diritto nazionale, in conformità dell'articolo 17 deltrattato sul funzionamento dell'Unione europea. Di conseguenza, se in uno Statomembro una chiesa applica, al momento dell'entrata in vigore del presenteregolamento, un corpus completo di norme a tutela delle persone fisiche conriguardo al trattamento dei dati personali, è opportuno che tali normecontinuino ad applicarsi purché siano conformi alle disposizioni del presenteregolamento. Dette chiese e associazioni religiose dovrebbero essere tenute aistituire un'autorità di controllo pienamente indipendente. (129) Al fine di conseguire gli obiettivi del regolamento,segnatamente tutelare i diritti e le libertà fondamentali delle personefisiche, in particolare il diritto alla protezione dei dati personali, egarantire la libera circolazione di tali dati nell'Unione, occorre conferire allaCommissione il potere di adottare atti a norma dell'articolo 290 del trattatosul funzionamento dell'Unione europea. In particolare, dovrebbero essereadottati atti delegati riguardanti la liceità del trattamento; i criteri e lecondizioni relativi al consenso dei minori; il trattamento di categorieparticolari di dati; i criteri e le condizioni per le richieste manifestamenteeccessive e il contributo spese per l'esercizio dei diritti dell'interessato; icriteri e i requisiti applicabili all'informazione dell'interessato e aldiritto di accesso; il diritto all'oblio e alla cancellazione; le misure basatesulla profilazione; i criteri e i requisiti relativi alla responsabilità delresponsabile del trattamento e alla protezione sin dalla progettazione e allaprotezione di default; l'incaricato del trattamento; i criteri e i requisitiper la documentazione e la sicurezza dei trattamenti; i criteri e requisiti peraccertare una violazione dei dati personali e notificarla all'autorità dicontrollo e per stabilire le circostanze in cui una violazione di datipersonali rischia di danneggiare l'interessato; i criteri e le condizioniperché le operazioni di trattamento richiedano una valutazione d'impatto sullaprotezione dei dati; i criteri e i requisiti per determinare se sussistanorischi specifici tali da giustificare una consultazione preliminare; ladesignazione e il mandato del responsabile della protezione dei dati; i codicidi condotta; i criteri e i requisiti dei meccanismi di certificazione; icriteri e requisiti per i trasferimenti in presenza di norme vincolantid'impresa; le deroghe al trasferimento; le sanzioni amministrative; iltrattamento a fini sanitari; il trattamento nel contesto del rapporto di lavoroe il trattamento per finalità storiche, statistiche e di ricerca scientifica. Èdi particolare importanza che durante i lavori preparatori la Commissionesvolga adeguate consultazioni, anche a livello di esperti. Nel contesto dellapreparazione e della stesura degli atti delegati, occorre che la Commissionegarantisca contemporaneamente una trasmissione corretta e tempestiva deidocumenti pertinenti al Parlamento europeo e al Consiglio. (130) Al fine di garantire condizioni uniformi per l'attuazionedel presente regolamento, è necessario attribuire alla Commissione competenzedi esecuzione affinché definisca moduli standard in relazione al trattamentodei dati personali di un minore; procedure e moduli standard per l'eserciziodei diritti dell'interessato; moduli standard per l'informazione dell'interessato;moduli standard e procedure in relazione al diritto di accesso e il dirittoalla portabilità dei dati; moduli standard relativi alla responsabilità delresponsabile del trattamento in relazione alla protezione sin dallaprogettazione e alla protezione di default e alla documentazione; requisitispecifici per la sicurezza dei trattamenti; il formato standard e le procedureper la notificazione di una violazione dei dati personali all'autorità dicontrollo e la comunicazione di tale violazione all'interessato; norme eprocedure per la valutazione d'impatto sulla protezione dei dati; moduli eprocedure di autorizzazione preventiva e di consultazione preventiva; normetecniche e meccanismi di certificazione; l'adeguatezza della protezione offertada un paese terzo, o da un territorio o settore di trattamento dati all'internodel paese terzo, o da un'organizzazione internazionale; la divulgazione nonautorizzata dal diritto dell'Unione; l'assistenza reciproca; le operazionicongiunte; le decisioni nel quadro del meccanismo di coerenza. Tali competenzedevono essere esercitate in conformità del regolamento (UE) n. 182/2011 delParlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce leregole e i principi generali relativi alle modalità di controllo da parte degliStati membri dell'esercizio delle competenze di esecuzione attribuite allaCommissione45. A tal fine, la Commissionedovrebbe contemplare misure specifiche per le micro, piccole e medie imprese. (131) La procedura d'esame dovrebbe applicarsi per l'adozione dimoduli standard in relazione al consenso di un minore; di procedure e modulistandard per l'esercizio dei diritti dell'interessato; di moduli standard perl'informazione dell'interessato; di moduli standard e procedure in relazione aldiritto di accesso e al diritto alla portabilità dei dati; di moduli standardrelativi alla responsabilità del responsabile del trattamento in relazione allaprotezione sin dalla progettazione e alla protezione di default e alla documentazione;di requisiti specifici per la sicurezza dei trattamenti; del formato standard edelle procedure per la notificazione di una violazione dei dati personaliall'autorità di controllo e la comunicazione di una violazione dei datipersonali all'interessato; delle norme e procedure per la valutazione d'impattosulla protezione dei dati; di moduli e procedure di autorizzazione preventiva edi consultazione preventiva; delle norme tecniche e dei meccanismi dicertificazione; per l'adeguatezza della protezione offerta da un paese terzo, oda un territorio o settore di trattamento dati all'interno del paese terzo, oda un'organizzazione internazionale; per la divulgazione non autorizzata daldiritto dell'Unione; per l'assistenza reciproca; per le operazioni congiunte eper le decisioni nel quadro del meccanismo di coerenza, in considerazione dellaportata generale di tali atti. (132) È opportuno che la Commissione adotti atti di esecuzioneimmediatamente applicabili quando, in casi debitamente giustificati relativi adun paese terzo, o a un territorio o settore di trattamento dati all'interno delpaese terzo, o a un'organizzazione internazionale che non garantisce un livellodi protezione adeguato e concernenti questioni comunicate dalle autorità dicontrollo conformemente al meccanismo di coerenza, ciò sia reso necessario daimperativi motivi di urgenza. (133) Poiché gli obiettivi del presente regolamento, ossiagarantire un livello equivalente di tutela delle persone fisiche e la liberacircolazione dei dati nell'Unione, non possono essere conseguiti in misurasufficiente dagli Stati membri e possono dunque, a motivo della portata e deglieffetti dell'azione in questione, essere conseguiti meglio a livello di Unione,quest'ultima può intervenire in base al principio di sussidiarietà sancitodall'articolo 5 del trattato sull'Unione europea. Il presente regolamento silimita a quanto è necessario per conseguire tale obiettivo in ottemperanza alprincipio di proporzionalità enunciato nello stesso articolo. (134) Il presente regolamento dovrebbe abrogare la direttiva95/46/CE. Ciò nondimeno, è opportuno che rimangano in vigore le decisioni dellaCommissione e le autorizzazioni delle autorità di controllo basate sulladirettiva 95/46/CE. (135) È opportuno che il presente regolamento si applichi a tuttigli aspetti relativi alla tutela dei diritti e delle libertà fondamentali conriguardo al trattamento dei dati personali che non rientrino in obblighispecifici, aventi lo stesso obiettivo, di cui alla direttiva 2002/58/CE,compresi gli obblighi del responsabile del trattamento e i diritti dellepersone fisiche. Per chiarire il rapporto tra il presente regolamento e ladirettiva 2002/58/CE, occorre modificare quest'ultima di conseguenza. (136) Per quanto riguarda l'Islanda e la Norvegia, il presenteregolamento costituisce uno sviluppo delle disposizioni dell'acquis diSchengen, nella misura in cui si applica al trattamento dei dati personali daparte di autorità coinvolte nell'attuazione dell'acquis, ai sensi dell'accordoconcluso dal Consiglio dell'Unione europea con la Repubblica d'Islanda e ilRegno di Norvegia sulla loro associazione all'attuazione, all'applicazione eallo sviluppo dell'acquis di Schengen46 (137) Per quanto riguarda la Svizzera, il presente regolamentocostituisce uno sviluppo delle disposizioni dell'acquis di Schengen, nellamisura in cui si applica al trattamento dei dati personali da parte di autoritàcoinvolte nell'attuazione dell'acquis, ai sensi dell'accordo tra l'Unioneeuropea, la Comunità europea e la Confederazione svizzera riguardantel'associazione di quest'ultima all'attuazione, all'applicazione e allo sviluppodell'acquis di Schengen47 (138) Per quanto riguarda il Liechtenstein, il presenteregolamento costituisce uno sviluppo delle disposizioni dell'acquis diSchengen, nella misura in cui si applica al trattamento dei dati personali daparte di autorità coinvolte nell'attuazione dell'acquis, ai sensi delprotocollo sottoscritto tra l'Unione europea, la Comunità europea, laConfederazione svizzera e il Principato del Liechtenstein sull'adesione delPrincipato del Liechtenstein all'accordo tra l'Unione europea, la Comunitàeuropea e la Confederazione svizzera riguardante l'associazione dellaConfederazione svizzera all'attuazione, all'applicazione e allo sviluppodell'acquis di Schengen48 (139) In considerazione del fatto che, come sottolinea la Corte digiustizia dell'Unione europea, il diritto alla protezione dei dati personalinon è una prerogativa assoluta, ma va considerato alla luce della sua funzionesociale e va contemperato con altri diritti fondamentali, in ottemperanza alprincipio di proporzionalità, il presente regolamento rispetta tutti i dirittifondamentali e osserva i principi riconosciuti dalla Carta dei dirittifondamentali dell'Unione europea e sanciti dai trattati, in particolare ildiritto al rispetto della vita privata e familiare, del domicilio e dellecomunicazioni, il diritto alla protezione dei dati personali, la libertà dipensiero, di coscienza e di religione, la libertà di espressione ed'informazione, la libertà d'impresa, il diritto a un ricorso effettivo e a ungiudice imparziale, così come la diversità culturale, religiosa e linguistica, HANNO ADOTTATO IL PRESENTE REGOLAMENTO:
CAPO IDISPOSIZIONI GENERALI
Articolo 1 Oggetto e finalità 1. Il presente regolamento stabilisce normerelative alla protezione delle persone fisiche con riguardo al trattamento deidati di carattere personale e norme relative alla libera circolazione di talidati. 2. Il presente regolamento tutela i diritti e lelibertà fondamentali delle persone fisiche, in particolare il diritto allaprotezione dei dati personali. 3. La libera circolazione dei dati personalinell'Unione non può essere limitata né vietata per motivi attinenti alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali. Articolo 2 Campo di applicazione materiale 1. Il presente regolamento si applica altrattamento interamente o parzialmente automatizzato di dati personali e altrattamento non automatizzato di dati personali contenuti in un archivio odestinati a figurarvi. 2. Le disposizioni del presente regolamento nonsi applicano ai trattamenti di dati personali: a) effettuati per attività che non rientranonell'ambito di applicazione del diritto dell'Unione, concernenti in particolarela sicurezza nazionale; b) effettuati da istituzioni, organi e organismidell'Unione; c) effettuati dagli Stati membri nell'eserciziodi attività che rientrano nel campo di applicazione del capo 2 del trattatosull'Unione europea; d) effettuati da una persona fisica senzafinalità di lucro per l'esercizio di attività esclusivamente personali odomestiche; e) effettuati dalle autorità competenti a fini di prevenzione,indagine, accertamento o perseguimento di reati o esecuzione di sanzionipenali. 3. Il presente regolamento lascia impregiudicata l'applicazionedella direttiva 2000/31/CE, in particolare le norme relative allaresponsabilità dei prestatori intermediari di servizi di cui ai suoi articolida 12 a 15. Articolo 3 Campo di applicazione territoriale 1. Il presente regolamento si applica altrattamento dei dati personali effettuato nell'ambito delle attività di unostabilimento di un responsabile del trattamento o di un incaricato deltrattamento nell'Unione. 2. Il presente regolamento si applica altrattamento dei dati personali di residenti nell'Unione effettuato da unresponsabile del trattamento che non è stabilito nell'Unione, quando leattività di trattamento riguardano: a) l'offerta di beni o la prestazione di serviziai suddetti residenti nell'Unione, oppure b) il controllo del loro comportamento. 3. Il presente regolamento si applica altrattamento dei dati personali effettuato da un responsabile del trattamentoche non è stabilito nell'Unione, ma in un luogo soggetto al diritto nazionaledi uno Stato membro in virtù del diritto internazionale pubblico. Articolo 4 Definizioni Ai fini del presente regolamento s'intende per: (1) "interessato": la persona fisica identificata oidentificabile, direttamente o indirettamente, con mezzi che il responsabiledel trattamento o altra persona fisica o giuridica ragionevolmente puòutilizzare, con particolare riferimento a un numero di identificazione, a datirelativi all'ubicazione, a un identificativo on line o a uno o più elementi caratteristicidella sua identità genetica, fisica, fisiologica, psichica, economica,culturale o sociale; (2) "dati personali": qualsiasi informazione concernentel'interessato; (3) "trattamento": qualsiasi operazione o insieme dioperazioni, compiute con o senza l'ausilio di processi automatizzati eapplicate a dati personali, come la raccolta, la registrazione,l'organizzazione, la strutturazione, la memorizzazione, l'adattamento o lamodifica, l'estrazione, la consultazione, l'uso, la comunicazione mediantetrasmissione, diffusione o qualsiasi altra forma di messa a disposizione, ilraffronto o l'interconnessione, la cancellazione o la distruzione; (4) "archivio": qualsiasi insieme strutturato di datipersonali accessibili secondo criteri determinati, indipendentemente dal fattoche tale insieme sia centralizzato, decentralizzato o ripartito in modofunzionale o geografico; (5) "responsabile del trattamento": la persona fisica ogiuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che,singolarmente o insieme ad altri, determina le finalità, le condizioni e imezzi del trattamento di dati personali; quando le finalità, le condizioni e imezzi del trattamento sono determinati dal diritto dell'Unione o dal diritto diuno Stato membro, il responsabile del trattamento o i criteri specificiapplicabili alla sua nomina possono essere designati dal diritto dell'Unione odal diritto dello Stato membro; (6) "incaricato del trattamento": la persona fisica ogiuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo cheelabora dati personali per conto del responsabile del trattamento; (7) "destinatario": la persona fisica o giuridica,l'autorità pubblica, il servizio o qualsiasi altro organismo che ricevecomunicazione di dati personali; (8) "consenso dell'interessato": qualsiasi manifestazione divolontà libera, specifica, informata ed esplicita con la quale l'interessatoaccetta, mediante dichiarazione o azione positiva inequivocabile, che i datipersonali che lo riguardano siano oggetto di trattamento; (9) "violazione dei dati personali": violazione di sicurezza checomporta accidentalmente o in modo illecito la distruzione, la perdita, lamodifica, la rivelazione non autorizzata o l'accesso ai dati personalitrasmessi, memorizzati o comunque elaborati; (10) "dati genetici": tutti i dati, di qualsiasinatura, riguardanti le caratteristiche di una persona fisica che sianoereditarie o acquisite in uno stadio precoce di sviluppo prenatale; (11) "dati biometrici": i dati relativi alle caratteristichefisiche, fisiologiche o comportamentali di una persona che ne consentonol'identificazione univoca, quali l'immagine facciale o i rilievidattiloscopici; (12) "dati relativi alla salute": qualsiasiinformazione attinente alla salute fisica o mentale di una persona o allaprestazione di servizi sanitari a detta persona; (13) "stabilimento principale": per quanto riguarda ilresponsabile del trattamento, il luogo di stabilimento nell'Unione in cui sonoprese le principali decisioni sulle finalità, le condizioni e i mezzi deltrattamento di dati personali; se non sono prese decisioni di questo tiponell'Unione, il luogo in cui sono condotte le principali attività ditrattamento nell'ambito delle attività di uno stabilimento di un responsabiledel trattamento nell'Unione. Con riferimento all'incaricato del trattamento,per "stabilimento principale" si intende il luogo in cui ha sede la suaamministrazione centrale nell'Unione. (14) "rappresentante": la persona fisica o giuridica stabilitanell'Unione che, espressamente designata dal responsabile del trattamento,agisce e può, per quanto concerne gli obblighi incombenti al responsabile deltrattamento a norma del presente regolamento, essere interpellata al suo postodalle autorità di controllo e da altri organismi nell'Unione; (15) "impresa": ogni entità, indipendentemente dallaforma giuridica rivestita, che eserciti un'attività economica, comprendentepertanto, in particolare, le persone fisiche e giuridiche, le società dipersone o le associazioni che esercitano un'attività economica; (16) "gruppo di imprese": un gruppo costituito daun'impresa controllante e dalle imprese da questa controllate; (17) "norme vincolanti d'impresa": le politiche inmateria di protezione dei dati personali applicate da un responsabile deltrattamento o incaricato del trattamento stabilito nel territorio di uno Statomembro dell'Unione al trasferimento o al complesso di trasferimenti di datipersonali a un responsabile del trattamento o incaricato del trattamento in unoo più paesi terzi, nell'ambito di un gruppo di imprese; (18) "minore": persona di età inferiore agli annidiciotto; (19) "autorità di controllo": l'autorità pubblicaistituita da uno Stato membro in conformità dell'articolo 46. CAPO IIPRINCIPI
Articolo 5 Principi applicabili altrattamento di dati personali I dati personali devono essere: a) trattati in modo lecito, equo e trasparentenei confronti dell'interessato; b) raccolti per finalità determinate, esplicitee legittime, e successivamente trattati in modo non incompatibile con talifinalità; c) adeguati, pertinenti e limitati al minimonecessario rispetto alle finalità perseguite; i dati possono essere trattatisolo se e nella misura in cui le finalità non conseguibili attraverso iltrattamento di informazioni che non contengono dati personali; d) esatti e aggiornati; devono essere presetutte le misure ragionevoli per cancellare o rettificare tempestivamente i datiinesatti rispetto alle finalità per le quali sono trattati; e) conservati in una forma che consental'identificazione degli interessati per un arco di tempo non superiore alconseguimento delle finalità per le quali sono trattati; i dati personalipossono essere conservati per periodi più lunghi a condizione che sianotrattati per finalità storiche, statistiche o di ricerca scientifica, nelrispetto delle norme e delle condizioni di cui all'articolo 83 e seperiodicamente è effettuato un riesame volto a valutare la necessità diconservarli; f) trattati sotto la responsabilità delresponsabile del trattamento, che assicura e comprova, per ciascuna operazione,la conformità alle disposizioni del presente regolamento. Articolo 6 Liceità del trattamento 1. Il trattamento dei dati personali è lecitosolo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l'interessato ha manifestato il consenso altrattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è necessario all'esecuzione diun contratto di cui l'interessato è parte o all'esecuzione di misureprecontrattuali prese su richiesta dello stesso; c) il trattamento è necessario per adempiere unobbligo legale al quale è soggetto il responsabile del trattamento; d) il trattamento è necessario per la salvaguardia degli interessivitali dell'interessato; e) il trattamento è necessario per l'esecuzionedi un compito di interesse pubblico o connesso all'esercizio di pubblici poteridi cui è investito il responsabile del trattamento; f) il trattamento è necessario per ilperseguimento del legittimo interesse del responsabile del trattamento, acondizione che non prevalgano gli interessi o i diritti e le libertàfondamentali dell'interessato che richiedono la protezione dei dati personali,in particolare se l'interessato è un minore. Ciò non si applica al trattamentodi dati effettuato dalle autorità pubbliche nell'esercizio dei loro compiti. 2. Il trattamento dei dati personali relativialla salute che risulti necessario per finalità storiche, statistiche o diricerca scientifica è lecito, fatte salve le condizioni e le garanzie di cuiall'articolo 83. 3. La base su cui si fonda il trattamento datidi cui al paragrafo 1, lettere c) ed e), deve essere prevista: a) dal diritto dell'Unione, o b) dalla legislazione dello Stato membro cui èsoggetto il responsabile del trattamento. Il diritto dello Stato membro deve perseguire un obiettivo diinteresse pubblico o essere necessario per proteggere i diritti e le libertàaltrui, rispettare il contenuto essenziale del diritto alla protezione dei datipersonali ed essere proporzionato all'obiettivo legittimo. 4. Se lo scopo dell'ulteriore trattamento non ècompatibile con quello per il quale i dati personali sono stati raccolti, iltrattamento deve avere come base giuridica almeno uno dei motivi di cui alparagrafo 1, lettere da a) ad e). Ciò si applica in particolare ad eventualicambiamenti dei termini e delle condizioni generali del contratto. 5. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare lecondizioni di cui al paragrafo 1, lettera f), per vari settori e situazioni ditrattamento dei dati, anche con riferimento al trattamento dei dati personaliconcernenti un minore. Articolo 7 Condizioni per il consenso 1. L'onere di dimostrare che l'interessato haespresso il consenso al trattamento dei suoi dati personali per scopi specificiincombe sul responsabile del trattamento. 2. Se il consenso dell'interessato deve esserefornito nel contesto di una dichiarazione scritta che riguarda anche altrematerie, l'obbligo di prestare il consenso deve essere presentato in formadistinguibile dalle altre materie. 3. L'interessato ha il diritto di revocare ilproprio consenso in qualsiasi momento. La revoca del consenso non pregiudica laliceità del trattamento basata sul consenso prima della revoca. 4. Il consenso non costituisce una basegiuridica per il trattamento ove vi sia un notevole squilibrio tra la posizionedell'interessato e del responsabile del trattamento. Articolo 8 Trattamento dei dati personali deiminori 1. Ai fini del presente regolamento, per quantoriguarda l'offerta diretta di servizi della società dell'informazione aiminori, il trattamento di dati personali di minori di età inferiore ai tredicianni è lecito se e nella misura in cui il consenso è espresso o autorizzato dalgenitore o dal tutore del minore. Il responsabile del trattamento si adopera inogni modo ragionevole per ottenere un consenso verificabile, in considerazionedelle tecnologie disponibili. 2. Il paragrafo 1 non pregiudica le disposizionigenerali del diritto dei contratti degli Stati membri, quali le norme sullavalidità, la formazione o l'efficacia di un contratto rispetto a un minore. 3. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e i requisiti concernenti le modalità per ottenere il consensoverificabile di cui al paragrafo 1. A tal fine, la Commissione contempla misurespecifiche per le micro, piccole e medie imprese. 4. La Commissione può stabilire moduli standardper specifiche modalità di ottenimento del consenso verificabile di cui alparagrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d'esamedi cui all'articolo 87, paragrafo 2. Articolo 9 Trattamento di categorie particolaridi dati personali 1. È vietato trattare dati personali cherivelino la razza, l'origine etnica, le opinioni politiche, la religione o leconvinzioni personali, l'appartenenza sindacale, come pure trattare datigenetici o dati relativi alla salute e alla vita sessuale o a condanne penali oa connesse misure di sicurezza. 2. Il paragrafo 1 non si applica quando: a) l'interessato ha dato il proprio consenso al trattamentodi tali dati personali, alle condizioni di cui agli articoli 7 e 8, salvo icasi in cui il diritto dell'Unione o di uno Stato membro dispone chel'interessato non può revocare il divieto di cui al paragrafo 1, oppure b) il trattamento è necessario per assolvere gli obblighi edesercitare i diritti specifici del responsabile del trattamento in materia didiritto del lavoro, nella misura in cui sia autorizzato dal diritto dell'Unioneo di uno Stato membro in presenza di congrue garanzie, oppure c) il trattamento è necessario per salvaguardare uninteresse vitale dell'interessato o di un terzo qualora l'interessato si trovinell'incapacità fisica o giuridica di dare il proprio consenso, oppure d) il trattamento è effettuato, nell'ambito delle sue legittimeattività e con adeguate garanzie, da una fondazione, associazione o altroorganismo senza scopo di lucro che persegua finalità politiche, filosofiche,religiose o sindacali, a condizione che il trattamento riguardi unicamente imembri, gli ex membri o le persone che hanno regolari contatti con lafondazione, l'associazione o l'organismo a motivo delle sue finalità e che idati non siano comunicati a terzi senza il consenso dell'interessato, oppure e) il trattamento riguarda dati resi manifestamente pubblicidall'interessato, oppure f) il trattamento è necessario per accertare, esercitare odifendere un diritto in sede giudiziaria, oppure g) il trattamento è necessario per l'esecuzione di un compito diinteresse pubblico sulla base del diritto dell'Unione o del diritto degli Statimembri, che deve prevedere misure appropriate per tutelare i legittimiinteressi dell'interessato, oppure h) il trattamento di dati relativi alla salute è necessario a finisanitari, fatte salve le condizioni e le garanzie di cui all'articolo 81,oppure i) il trattamento è necessario per finalità storiche,statistiche o di ricerca scientifica, fatte salve le condizioni e le garanziedi cui all'articolo 83, oppure j) il trattamento dei dati relativi a condanne penali o aconnesse misure di sicurezza è effettuato sotto il controllo dell'autoritàpubblica, oppure il trattamento è necessario per ottemperare a un obbligolegale o regolamentare cui è soggetto il responsabile del trattamento o perl'esecuzione di un compito di interesse pubblico rilevante, purché siaautorizzato dal diritto dell'Unione o di uno Stato membro, che deve prevederegaranzie adeguate. Un registro completo delle condanne penali può essere tenutosolo sotto il controllo dell'autorità pubblica. 3. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri, le condizioni e le garanzie adeguate per il trattamento dellecategorie particolari di dati personali di cui al paragrafo 1, e le deroghe dicui al paragrafo 2. Articolo 10 Trattamento che non consenteidentificazione Se i dati trattati da un responsabile del trattamento nonconsentono di identificare una persona fisica, il responsabile del trattamentonon è obbligato ad acquisire ulteriori informazioni per identificare l'interessatoal solo fine di rispettare una disposizione del presente regolamento. CAPO III DIRITTIDELL'INTERESSATO
SEZIONE 1 TRASPARENZA EMODALITà
Articolo 11 Informazioni e comunicazionitrasparenti 1. Il responsabile del trattamento applicapolitiche trasparenti e facilmente accessibili con riguardo al trattamento deidati personali e ai fini dell'esercizio dei diritti dell'interessato. 2. Il responsabile del trattamento fornisceall'interessato tutte le informazioni e le comunicazioni relative altrattamento dei dati personali in forma intelligibile, con linguaggio semplicee chiaro e adeguato all'interessato, in particolare se le informazioni sonodestinate ai minori. Articolo 12 Procedure e meccanismi perl'esercizio dei diritti dell'interessato 1. Il responsabile del trattamento stabilisce leprocedure d'informazione di cui all'articolo 14 e le procedure per l'eserciziodei diritti dell'interessato di cui all'articolo 13 e agli articoli da 15 a 19.Il responsabile del trattamento predispone in particolare i meccanismi peragevolare le richieste di cui all'articolo 13 e agli articoli da 15 a 19.Qualora i dati personali siano trattati con modalità automatizzate, ilresponsabile del trattamento predispone altresì i mezzi per inoltrare lerichieste per via elettronica. 2. Il responsabile del trattamento informal'interessato tempestivamente e al più tardi entro un mese dal ricevimentodella richiesta, se è stata adottata un'azione ai sensi dell'articolo 13 edegli articoli da 15 a 19, e fornisce le informazioni richieste. Tale terminepuò essere prorogato di un ulteriore mese se più interessati esercitano i lorodiritti e la loro cooperazione è necessaria in misura ragionevole per evitareun impiego di risorse inutile e sproporzionato al responsabile del trattamento.Queste informazioni sono confermate per iscritto. Se l'interessato presenta larichiesta in forma elettronica, le informazioni sono fornite in formatoelettronico, salvo indicazione diversa dell'interessato. 3. Se rifiuta di ottemperare alla richiestadell'interessato, il responsabile del trattamento informa l'interessato deimotivi di tale rifiuto e delle possibilità di proporre reclamo all'autorità dicontrollo e anche ricorso giurisdizionale. 4. Le informazioni e le azioni intraprese aseguito delle richieste di cui al paragrafo 1 sono gratuite. Se le richiestesono manifestamente eccessive, in particolare per il loro carattere ripetitivo,il responsabile del trattamento può esigere un contributo spese per leinformazioni o l'azione richiesta; in alternativa, può non effettuare quantorichiesto. In tale caso, incombe al responsabile del trattamento dimostrare ilcarattere manifestamente eccessivo della richiesta. 5. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e le condizioni concernenti le richieste manifestamente eccessive, e ilcontributo spese di cui al paragrafo 4. 6. La Commissione può stabilire moduli eprocedure standard per la comunicazione di cui al paragrafo 2, anche in formatoelettronico. A tal fine, la Commissione prende misure adeguate per le micro,piccole e medie imprese. Tali atti di esecuzione sono adottati secondo laprocedura d'esame di cui all'articolo 87, paragrafo 2. Articolo 13 Diritti relativi ai destinatari Il responsabile del trattamento comunica a ciascuno deidestinatari cui sono stati trasmessi i dati, le eventuali rettifiche ocancellazioni effettuate conformemente alle disposizioni degli articoli 16 e17, salvo che ciò si riveli impossibile o implichi risorse sproporzionate. SEZIONE 2 INFORMAZIONEE ACCESSO AI DATI
Articolo 14 Informazione dell'interessato 1. In caso di raccolta di dati personali, ilresponsabile del trattamento fornisce all'interessato almeno le seguentiinformazioni: a) l'identità e le coordinate di contatto del responsabiledel trattamento e, eventualmente, del suo rappresentante e del responsabiledella protezione dei dati; b) le finalità del trattamento cui sono destinati i datipersonali, compresi i termini contrattuali e le condizioni generali nel caso diun trattamento basato sull'articolo 6, paragrafo 1, lettera b), e i legittimiinteressi perseguiti dal responsabile del trattamento qualora il trattamento sibasi sull'articolo 6, paragrafo 1, lettera f); c) il periodo per il quale i dati personali sarannoconservati; d) l'esistenza del diritto dell'interessato di chiedere alresponsabile del trattamento l'accesso ai dati e la rettifica o lacancellazione dei dati personali che lo riguardano o di opporsi al lorotrattamento; e) il diritto di proporre reclamo all'autorità di controlloe le coordinate di contatto di detta autorità; f) i destinatari o le categorie di destinatari dei datipersonali; g) se del caso, l'intenzione del responsabile del trattamento ditrasferire dati personali a un paese terzo o a un'organizzazione internazionalee il livello di protezione garantito dal paese terzo o organizzazioneinternazionale, richiamando una decisione di adeguatezza della Commissione; h) ogni altra informazione necessaria per garantire un trattamentoequo nei confronti dell'interessato, in considerazione delle specifichecircostanze in cui i dati personali vengono raccolti. 2. Quando i dati personali sono raccoltidirettamente presso l'interessato, il responsabile del trattamento lo informa,in aggiunta a quanto disposto al paragrafo 1, dell'obbligatorietà o meno dellacomunicazione dei dati personali e delle possibili conseguenze di una mancatacomunicazione. 3. Quando i dati personali non sono raccoltidirettamente presso l'interessato, il responsabile del controllo lo informa, inaggiunta a quanto disposto al paragrafo 1, della fonte da cui sono tratti idati personali. 4. Il responsabile del trattamento fornisce leinformazioni di cui ai paragrafi 1, 2 e 3: a) al momento in cui i dati personali sonoottenuti dall'interessato, oppure b) quando i dati personali non sono raccoltidirettamente presso l'interessato, al momento della registrazione o entro untermine ragionevole dopo la raccolta, in considerazione delle specifichecircostanze in cui i dati vengono raccolti o altrimenti trattati, o, se siprevede la divulgazione dei dati a un altro destinatario, al più tardi almomento della prima comunicazione dei medesimi. 5. I paragrafi da 1 a 4 non si applicano nelleseguenti circostanze: a) l'interessato dispone già delle informazioni di cui aiparagrafi 1, 2 e 3, oppure b) i dati non sono raccolti presso l'interessato e comunicare taliinformazioni risulta impossibile o implicherebbe risorse sproporzionate, oppure c) i dati non sono raccolti presso l'interessato e laregistrazione o la comunicazione dei dati è prevista espressamente per legge,oppure d) i dati non sono raccolti presso l'interessato e lacomunicazione di tali informazioni pregiudicherebbe i diritti e le libertàaltrui, ai sensi del diritto dell'Unione o di uno Stato membro in conformitàdell'articolo 21. 6. Nel caso di cui al paragrafo 5, lettera b),il responsabile del trattamento predispone adeguate misure per proteggere ilegittimi interessi dell'interessato. 7. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri per le categorie di destinatari di cui al paragrafo 1, lettera f),l'obbligo di informare circa gli accessi potenziali di cui al paragrafo 1,lettera g), i criteri per le ulteriori informazioni necessarie di cui alparagrafo 1, lettera h), per settori e situazioni specifiche, e le condizioni egaranzie adeguate per le eccezioni di cui al paragrafo 5, lettera b). A talfine, la Commissione prende misure adeguate per le micro, piccole e medie imprese. 8. La Commissione può predisporre modulistandard per la comunicazione delle informazioni di cui ai paragrafi da 1 a 3,tenendo conto se necessario delle caratteristiche e delle esigenze specifichedei diversi settori e situazioni di trattamento dei dati. Tali atti diesecuzione sono adottati secondo la procedura d'esame di cui all'articolo 87,paragrafo 2. Articolo 15 Diritto di accessodell'interessato 1. L'interessato che ne faccia richiesta ha ildiritto di ottenere in qualsiasi momento, dal responsabile del trattamento, laconferma che sia o meno in corso un trattamento di dati personali che loriguardano. Se è in corso un trattamento, il responsabile del trattamentofornisce le seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i datipersonali sono stati o saranno comunicati, in particolare se destinatari dipaesi terzi; d) il periodo per il quale saranno conservati i dati personali; e) l'esistenza del diritto dell'interessato di chiedere alresponsabile del trattamento la rettifica o la cancellazione dei dati personaliche lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo all'autorità di controlloe le coordinate di contatto di detta autorità; g) la comunicazione dei dati personali oggetto del trattamento edi tutte le informazioni disponibili sulla loro origine; h) l'importanza e le conseguenze di tale trattamento, almeno nelcaso delle misure di cui all'articolo 20. 2. L'interessato ha il diritto di ottenere dalresponsabile del trattamento la comunicazione dei dati personali oggetto deltrattamento. Se l'interessato presenta la richiesta in forma elettronica, leinformazioni sono fornite in formato elettronico, salvo indicazione diversadell'interessato. 3. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e i requisiti per la comunicazione all'interessato del contenuto deidati personali di cui al paragrafo 1, lettera g). 4. La Commissione può predisporre modulistandard e procedure per la richiesta e la concessione dell'accesso alleinformazioni di cui al paragrafo 1, anche ai fini di verificare l'identitàdell'interessato e di comunicare i dati personali all'interessato, tenendoconto delle specificità e delle esigenze dei diversi settori e situazioni ditrattamento dei dati. Tali atti di esecuzione sono adottati secondo laprocedura d'esame di cui all'articolo 87, paragrafo 2. SEZIONE 3 RETTIFICA ECANCELLAZIONE
Articolo 16 Diritto di rettifica L'interessato ha il diritto di ottenere dal responsabile deltrattamento la rettifica di dati personali inesatti. L'interessato ha ildiritto di ottenere l'integrazione di dati personali incompleti, anche medianteuna dichiarazione rettificativa. Articolo 17 Diritto all'oblio e allacancellazione 1. L'interessato ha il diritto di ottenere dalresponsabile del trattamento la cancellazione di dati personali che loriguardano e la rinuncia a un'ulteriore diffusione di tali dati, in particolarein relazione ai dati personali resi pubblici quando l'interessato era unminore, se sussiste uno dei motivi seguenti: a) i dati non sono più necessari rispetto alle finalità perle quali sono stati raccolti o altrimenti trattati; b) l'interessato revoca il consenso su cui si fonda iltrattamento, di cui all'articolo 6, paragrafo 1, lettera a), oppure il periododi conservazione dei dati autorizzato è scaduto e non sussiste altro motivolegittimo per trattare i dati; c) l'interessato si oppone al trattamento di dati personaliai sensi dell'articolo 19; d) il trattamento dei dati non è conforme al presente regolamentoper altri motivi. 2. Quando ha reso pubblici dati personali, ilresponsabile del trattamento di cui al paragrafo 1 prende tutte le misureragionevoli, anche tecniche, in relazione ai dati della cui pubblicazione èresponsabile per informare i terzi che stanno trattando tali dati dellarichiesta dell'interessato di cancellare qualsiasi link, copia o riproduzionedei suoi dati personali. Se ha autorizzato un terzo a pubblicare datipersonali, il responsabile del trattamento è ritenuto responsabile di talepubblicazione. 3. Il responsabile del trattamento provvedesenza ritardo alla cancellazione, a meno che conservare i dati personali nonsia necessario: (a) per l'esercizio del diritto alla libertà di espressione inconformità dell'articolo 80; (b) per motivi di interesse pubblico nel settore della sanitàpubblica in conformità dell'articolo 81; (c) per finalità storiche, statistiche e di ricerca scientifica inconformità dell'articolo 83; (d) per adempiere un obbligo legale di conservazione di datipersonali previsto dal diritto dell'Unione o dello Stato membro cui è soggettoil responsabile del trattamento; il diritto dello Stato membro deve perseguireun obiettivo di interesse pubblico, rispettare il contenuto essenziale deldiritto alla protezione dei dati personali ed essere proporzionatoall'obiettivo legittimo; (e) nei casi di cui al paragrafo 4. 4. Invece di provvedere alla cancellazione, ilresponsabile del trattamento limita il trattamento dei dati personali: a) quando l'interessato ne contesta l'esattezza, per ilperiodo necessario ad effettuare le opportune verifiche; b) quando, benché non ne abbia più bisogno per l'esercizio deisuoi compiti, i dati devono essere conservati a fini probatori; c) quando il trattamento è illecito e l'interessato sioppone alla loro cancellazione e chiede invece che ne sia limitato l'utilizzo; d) quando l'interessato chiede di trasmettere i dati personali aun altro sistema di trattamento automatizzato, in conformità dell'articolo 18,paragrafo 2. 5. I dati personali di cui al paragrafo 4possono essere trattati, salvo che per la conservazione, soltanto a fini probatorio con il consenso dell'interessato oppure per tutelare i diritti di un'altrapersona fisica o giuridica o per un obiettivo di pubblico interesse. 6. Quando il trattamento dei dati personali èlimitato a norma del paragrafo 4, il responsabile del trattamento informal'interessato prima di eliminare la limitazione al trattamento. 7. Il responsabile del trattamento predispone imeccanismi per assicurare il rispetto dei termini fissati per la cancellazionedei dati personali e/o per un esame periodico della necessità di conservaretali dati. 8. Quando provvede alla cancellazione, ilresponsabile del trattamento si astiene da altri trattamenti di tali datipersonali. 9. Alla Commissione è conferito il potere diadottare atti delegati in conformità all'articolo 86 al fine di precisare: a) i criteri e i requisiti per l'applicazione del paragrafo1 per specifici settori e situazioni di trattamento dei dati; b) le condizioni per la cancellazione di link, copie oriproduzioni di dati personali dai servizi di comunicazione accessibili alpubblico, come previsto al paragrafo 2; c) i criteri e le condizioni per limitare il trattamento deidati personali, di cui al paragrafo 4. Articolo 18 Diritto alla portabilità dei dati 1. L'interessato ha il diritto, ove i dati personalisiano trattati con mezzi elettronici e in un formato strutturato e di usocomune, di ottenere dal responsabile del trattamento copia dei dati trattati inun formato elettronico e strutturato che sia di uso comune e gli consenta difarne ulteriore uso. 2. Se ha fornito i dati personali e iltrattamento si basa sul consenso o su un contratto, l'interessato ha il dirittodi trasmettere tali dati personali e ogni altra informazione fornita econservata in un sistema di trattamento automatizzato a un altro sistema in unformato elettronico di uso comune, senza impedimenti da parte del responsabiledel trattamento da cui sono richiamati i dati. 3. La Commissione può specificare il formatoelettronico di cui al paragrafo 1 e le norme tecniche, le modalità e leprocedure di trasmissione dei dati personali a norma del paragrafo 2. Tali attidi esecuzione sono adottati secondo la procedura d'esame di cui all'articolo87, paragrafo 2. SEZIONE 4 DIRITTO DIOPPOSIZIONE E PROFILAZIONE
Articolo 19 Diritto di opposizione 1. L'interessato ha il diritto di opporsi inqualsiasi momento, per motivi connessi alla sua situazione particolare, altrattamento dei dati personali ai sensi dell'articolo 6, paragrafo 1, lettered), e) e f), salvo che il responsabile del trattamento dimostri l'esistenza dimotivi preminenti e legittimi per procedere al trattamento che prevalgono sugliinteressi o sui diritti e sulle libertà fondamentali dell'interessato. 2. Qualora i dati personali siano trattati perfinalità di marketing diretto, l'interessato ha il diritto di opporsigratuitamente al trattamento dei dati personali effettuato per tali finalità.Tale diritto è comunicato esplicitamente all'interessato in modo intelligibileed è chiaramente distinguibile dalle altre informazioni. 3. Qualora l'interessato si opponga ai sensi deiparagrafi 1 e 2, il responsabile del trattamento non può più usare néaltrimenti trattare i dati personali in questione. Articolo 20 Misure basate sulla profilazione 1. Chiunque ha il diritto di non essere sottopostoa una misura che produca effetti giuridici o significativamente incida sullasua persona, basata unicamente su un trattamento automatizzato destinato avalutare taluni aspetti della sua personalità o ad analizzarne o prevederne inparticolare il rendimento professionale, la situazione economica, l'ubicazione,lo stato di salute, le preferenze personali, l'affidabilità o il comportamento. 2. Fatte salve le altre disposizioni delpresente regolamento, chiunque può essere sottoposto a una misura di cui alparagrafo 1 soltanto se il trattamento: a) è effettuato nel contesto della conclusione odell'esecuzione di un contratto, a condizione che la domanda di concludere oeseguire il contratto, presentata dall'interessato, sia stata accolta oppureche siano state offerte misure adeguate, fra le quali il diritto di ottenerel'intervento umano, a salvaguardia dei suoi legittimi interessi, oppure b) è espressamente autorizzato da disposizioni del dirittodell'Unione o di uno Stato membro che precisi altresì misure adeguate asalvaguardia dei legittimi interessi dell'interessato, oppure c) si basa sul consenso dell'interessato, fatte salve lecondizioni di cui all'articolo 7 e l'esistenza di garanzie adeguate. 3. Il trattamento automatizzato di datipersonali destinato a valutare taluni aspetti della personalitàdell'interessato non può basarsi unicamente sulle categorie particolari di datipersonali di cui all'articolo 9. 4. Nei casi di cui al paragrafo 2, leinformazioni che il responsabile del trattamento è tenuto a fornire ai sensidell'articolo 14 ricomprendono l'esistenza di un trattamento relativo a unamisura di cui al paragrafo 1 e gli effetti previsti di tale trattamentosull'interessato. 5. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e le condizioni concernenti le misure adeguate a salvaguardia deilegittimi interessi dell'interessato di cui al paragrafo 2. SEZIONE 5 L
Articolo 21 Limitazioni 1. L'Unione o gli Stati membri possono limitare,mediante misure legislative, la portata degli obblighi e dei diritti di cuiall'articolo 5, lettere da a) a e), agli articoli da 11 a 20 e all'articolo 32,qualora tale limitazione costituisca una misura necessaria e proporzionata inuna società democratica per salvaguardare: a) la pubblica sicurezza; b) le attività volte a prevenire, indagare, accertare e perseguirereati; c) altri interessi pubblici dell'Unione o di uno Statomembro, in particolare un rilevante interesse economico o finanziariodell'Unione o di uno Stato membro, anche in materia monetaria, di bilancio etributaria, e la stabilità e l'integrità del mercato; d) le attività volte a prevenire, indagare, accertare e perseguireviolazioni della deontologia delle professioni regolamentate; e) una funzione di controllo, d'ispezione o diregolamentazione connessa, anche occasionalmente, all'esercizio di pubblicipoteri nei casi di cui alle lettere a), b), c), e d); f) la tutela dell'interessato o dei diritti e delle libertàaltrui; 2. In particolare, le misure legislative di cuial paragrafo 1 contengono disposizioni specifiche riguardanti almeno gliobiettivi perseguiti dal trattamento e la determinazione del responsabile deltrattamento. CAPO IV RESPONSABILEDEL TRATTAMENTO E INCARICATO DEL TRATTAMENTO
SEZIONE 1 OBBLIGHIGENERALI
Articolo 22 Responsabilità del responsabiledel trattamento 1. Il responsabile del trattamento adottapolitiche e attua misure adeguate per garantire ed essere in grado didimostrare che il trattamento dei dati personali effettuato è conforme alpresente regolamento. 2. Le misure di cui al paragrafo 1 comprendono,in particolare: (a) la conservazione delladocumentazione ai sensi dell'articolo 28; (b) l'attuazione dei requisiti di sicurezza dei dati di cuiall'articolo 30; (c) l'esecuzione dellavalutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 33; (d) il rispetto dei requisiti di autorizzazione preventiva o diconsultazione preventiva dell'autorità di controllo ai sensi dell'articolo 34,paragrafi 1 e 2; (e) la designazione di un responsabile della protezione dei datiai sensi dell'articolo 35, paragrafo 1. 3. Il responsabile del trattamento mette in attomeccanismi per assicurare la verifica dell'efficacia delle misure di cui aiparagrafi 1 e 2. Qualora ciò sia proporzionato, la verifica è effettuata darevisori interni o esterni indipendenti. 4. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e i requisiti concernenti le misure adeguate di cui al paragrafo 1diverse da quelle specificate al paragrafo 2, le condizioni riguardanti imeccanismi di verifica e di audit di cui al paragrafo 3 e il criterio diproporzionalità di cui al paragrafo 3, e al fine di contemplare misurespecifiche per le micro, piccole e medie imprese. Articolo 23 Protezione fin dalla progettazionee protezione di default 1. Al momento di determinare i mezzi deltrattamento e all'atto del trattamento stesso, il responsabile del trattamento,tenuto conto dell'evoluzione tecnica e dei costi di attuazione, mette in attoadeguate misure e procedure tecniche e organizzative in modo tale che iltrattamento sia conforme al presente regolamento e assicuri la tutela deidiritti dell'interessato. 2. Il responsabile del trattamento mette in attomeccanismi per garantire che siano trattati, di default, solo i dati personalinecessari per ciascuna finalità specifica del trattamento e che, inparticolare, la quantità dei dati raccolti e la durata della loro conservazionenon vadano oltre il minimo necessario per le finalità perseguite. Inparticolare detti meccanismi garantiscono che, di default, non siano resiaccessibili dati personali a un numero indefinito di persone. Articolo 24 Corresponsabili del trattamento Se il responsabile del trattamento determina le finalità, lecondizioni e i mezzi del trattamento dei dati personali insieme ad altri, icorresponsabili del trattamento determinano, mediante accordi interni, lerispettive responsabilità in merito al rispetto degli obblighi derivanti dalpresente regolamento, con particolare riguardo alle procedure e ai meccanismiper l'esercizio dei diritti dell'interessato. Articolo 25 Rappresentanti di responsabili deltrattamento non stabiliti nell'Unione 1. Nel caso di cui all'articolo 3, paragrafo 2,il responsabile del trattamento designa un rappresentante nell'Unione. 2. Quest'obbligo non si applica: a) ai responsabili del trattamento stabiliti in un paese terzoqualora la Commissione abbia deciso che il paese terzo garantisce un livello diprotezione adeguato in conformità dell'articolo 41, oppure b) alle imprese con meno di 250 dipendenti oppure c) alle autorità pubbliche e agli organismi pubblici, oppure d) ai responsabili del trattamento che offrono solooccasionalmente beni o servizi a interessati che risiedono nell'Unione. 3. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e i requisiti concernenti le misure e i meccanismi adeguati di cui aiparagrafi 1 e 2, in particolare i requisiti riguardanti la protezione dei datifin dalla progettazione applicabili in materia trasversale a vari settori,prodotti e servizi. 4. La Commissione può stabilire norme tecnicheriguardanti i requisiti di cui ai paragrafi 1 e 2. Tali atti di esecuzione sonoadottati secondo la procedura d'esame di cui all'articolo 87, paragrafo 2. 3. Il rappresentante è stabilito in uno degliStati membri in cui risiedono gli interessati i cui dati personali sonotrattati nell'ambito dell'offerta di beni o servizi o il cui comportamento ècontrollato. 4. La designazione di un rappresentante a curadel responsabile del trattamento fa salve le azioni legali che potrebberoessere promosse contro lo stesso responsabile del trattamento. Articolo 26 Incaricato del trattamento 1. Qualora il trattamento debba essereeffettuato per conto del responsabile del trattamento, questi sceglie unincaricato del trattamento che presenti garanzie sufficienti per mettere inatto misure e procedure tecniche e organizzative adeguate in modo tale che iltrattamento sia conforme al presente regolamento e assicuri la tutela deidiritti dell'interessato, con particolare riguardo alle misure di sicurezzatecnica e organizzative in relazione ai trattamenti da effettuare, e siassicura del rispetto di tali misure. 2. L'esecuzione dei trattamenti su commissione èdisciplinata da un contratto o altro atto giuridico che vincoli l'incaricatodel trattamento al responsabile del trattamento e che preveda segnatamente chel'incaricato del trattamento: a) agisca soltanto su istruzione del responsabile del trattamento,in particolare qualora sia vietato il trasferimento dei dati personali usati; b) impieghi soltanto personale che si sia impegnato allariservatezza o abbia l'obbligo legale di riservatezza; c) prenda tutte le misure richieste ai sensi dell'articolo 30; d) ricorra ad un altro incaricato del trattamento solo previaautorizzazione del responsabile del trattamento; e) per quanto possibile tenuto conto della natura del trattamento,crei d'intesa con il responsabile del trattamento le condizioni tecniche eorganizzative necessarie per l'adempimento dell'obbligo del responsabile deltrattamento di dare seguito alle richieste per l'esercizio dei dirittidell'interessato di cui al capo III; f) aiuti il responsabile del trattamento a garantire il rispettodegli obblighi di cui agli articoli da 30 a 34; g) ultimato il trattamento, trasmetta tutti i risultati alresponsabile del trattamento e si astenga dal trattare altrimenti i datipersonali; h) metta a disposizione del responsabile del trattamento edell'autorità di controllo tutte le informazioni necessarie per controllare ilrispetto degli obblighi di cui al presente articolo. 3. Il responsabile del trattamento el'incaricato del trattamento documentano per iscritto le istruzioni delresponsabile del trattamento e gli obblighi dell'incaricato del trattamento dicui al paragrafo 2. 4. L'incaricato del trattamento che tratta idati personali diversamente da quanto indicato nelle istruzioni delresponsabile del trattamento è considerato responsabile del trattamento pertale trattamento ed è soggetto alle norme sui corresponsabili del trattamentodi cui all'articolo 24. 5. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e i requisiti concernenti le responsabilità, gli obblighi e i compitidell'incaricato del trattamento conformemente al paragrafo 1, e le condizioniche consentono di facilitare il trattamento dei dati personali all'interno diun gruppo di imprese, in particolare ai fini del controllo e dellarendicontazione. Articolo 27 Trattamento sotto l'autorità delresponsabile del trattamento e dell'incaricato del trattamento L'incaricato del trattamento, o chiunque agisca sotto la suaautorità o sotto quella del responsabile del trattamento, che abbia accesso adati personali non può trattare tali dati se non è istruito in tal senso dalresponsabile del trattamento, salvo che lo richieda il diritto dell'Unione o diuno Stato membro. Articolo 28 Documentazione 1. Ogni responsabile del trattamento, incaricatodel trattamento ed eventuale rappresentante del responsabile del trattamentoconserva la documentazione di tutti i trattamenti effettuati sotto la propriaresponsabilità. 2. La documentazione contiene almeno le seguentiinformazioni: a) nome e coordinate di contatto del responsabile deltrattamento, o di ogni corresponsabile del trattamento o incaricato deltrattamento, e dell'eventuale rappresentante del responsabile del trattamento; b) nome e coordinate di contatto dell'eventuale responsabile dellaprotezione dei dati; c) finalità del trattamento, compresi i legittimi interessiperseguiti dal responsabile del trattamento qualora il trattamento si basisull'articolo 6, paragrafo 1, lettera f); d) descrizione delle categorie di interessati e delle pertinenticategorie di dati personali; e) indicazione dei destinatari o delle categorie didestinatari dei dati personali, compresi i responsabili del trattamento cuisono comunicati i dati personali ai fini del perseguimento dei loro legittimiinteressi; f) se del caso, indicazione dei trasferimenti di dati versoun paese terzo o un'organizzazione internazionale, compresa l'identificazionedel paese terzo o dell'organizzazione internazionale e, per i trasferimenti dicui all'articolo 44, paragrafo 1, lettera h), la documentazione delle garanzieadeguate; g) indicazione generale dei termini ultimi per cancellare lediverse categorie di dati; h) descrizione dei meccanismi di cui all'articolo 22, paragrafo 3. 3. Il responsabile del trattamento, l'incaricatodel trattamento e l'eventuale rappresentante del responsabile del trattamentomettono la documentazione a disposizione dell'autorità di controllo, surichiesta. 4. Gli obblighi di cui ai paragrafi 1 e 2 non siapplicano ai seguenti responsabili del trattamento e incaricati deltrattamento: a) persone fisiche che trattano dati personali senza uninteresse commerciale, oppure b) imprese o organizzazioni con meno di 250 dipendenti chetrattano dati personali solo accessoriamente rispetto alle attività principali. 5. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e i requisiti concernenti la documentazione di cui al paragrafo 1, pertener conto in particolare delle responsabilità del responsabile deltrattamento, dell'incaricato del trattamento e dell'eventuale rappresentantedel responsabile del trattamento. 5. La Commissione può stabilire moduli standardper la documentazione di cui al paragrafo 1. Tali atti di esecuzione sonoadottati secondo la procedura d'esame di cui all'articolo 87, paragrafo 2. Articolo 29 Cooperazione con l'autorità dicontrollo 1. Il responsabile del trattamento, l'incaricatodel trattamento e l'eventuale rappresentante del responsabile del trattamentocooperano, su richiesta, con l'autorità di controllo nell'esercizio delle suefunzioni, fornendo in particolare le informazioni di cui all'articolo 53,paragrafo 2, lettera a), e accordando l'accesso di cui all'articolo 52,paragrafo 2, lettera b). 2. Quando l'autorità di controllo esercita ipoteri a norma dell'articolo 53, paragrafo 2, il responsabile del trattamento el'incaricato del trattamento rispondono a una sua richiesta entro un termineragionevole da quella fissato. La risposta comprende una descrizione dellemisure prese a seguito delle osservazioni dell'autorità di controllo e deirisultati raggiunti. SEZIONE 2 SICUREZZA DEIDATI
Articolo 30 Sicurezza del trattamento 1. Tenuto conto dell'evoluzione tecnica e deicosti di attuazione, il responsabile del trattamento e l'incaricato deltrattamento mettono in atto misure tecniche e organizzative adeguate pergarantire un livello di sicurezza appropriato, in relazione ai rischi che iltrattamento comporta e alla natura dei dati personali da proteggere. 2. Previa valutazione dei rischi, ilresponsabile del trattamento e l'incaricato del trattamento prendono le misuredi cui al paragrafo 1 per proteggere i dati personali dalla distruzioneaccidentale o illegale o dalla perdita accidentale e per impedire qualsiasiforma illegittima di trattamento, in particolare la comunicazione, ladivulgazione o l'accesso non autorizzati o la modifica dei dati personali. 3. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e le condizioni concernenti le misure tecniche e organizzative di cuiai paragrafi 1 e 2, compresa la determinazione di ciò che costituisceevoluzione tecnica, per settori specifici e in specifiche situazioni ditrattamento dei dati, in particolare tenuto conto degli sviluppi tecnologici edelle soluzioni per la protezione fin dalla progettazione e per la protezionedi default, salvo che si applichi il paragrafo 4. 4. Se necessario, la Commissione può adottareatti di esecuzione per precisare i requisiti di cui ai paragrafi 1 e 2 in variesituazioni, in particolare per: a) impedire l'accesso non autorizzato ai dati personali; b) impedire qualunque forma non autorizzata di divulgazione,lettura, copia, modifica, cancellazione o rimozione dei dati personali; c) garantire la verifica della liceità del trattamento. Tali atti di esecuzione sono adottati secondo la procedura d'esamedi cui all'articolo 87, paragrafo 2. Articolo 31 Notificazione di una violazionedei dati personali all'autorità di controllo 1. In caso di violazione dei dati personali, ilresponsabile del trattamento notifica la violazione all'autorità di controllosenza ritardo, ove possibile entro 24 ore dal momento in cui ne è venuto aconoscenza. Qualora non sia effettuata entro 24 ore, la notificazioneall'autorità di controllo è corredata di una giustificazione motivata. 2. In conformità dell'articolo 26, paragrafo 2,lettera f), l'incaricato del trattamento allerta e informa il responsabile deltrattamento immediatamente dopo aver accertato la violazione. 3. La notificazione di cui al paragrafo 1 devecome minimo: a) descrivere la natura della violazione dei dati personali,compresi le categorie e il numero di interessati in questione e le categorie eil numero di registrazioni dei dati in questione; b) indicare l'identità e le coordinate di contatto delresponsabile della protezione dei dati o di altro punto di contatto presso cuiottenere più informazioni; c) elencare le misure raccomandate per attenuare i possibilieffetti pregiudizievoli della violazione dei dati personali; d) descrivere le conseguenze della violazione dei dati personali; e) descrivere le misure proposte o adottate dal responsabiledel trattamento per porre rimedio alla violazione dei dati personali. 4. Il responsabile del trattamento documenta laviolazione dei dati personali, incluse le circostanze in cui si è verificata,le sue conseguenze e i provvedimenti adottati per porvi rimedio. Ladocumentazione deve consentire all'autorità di controllo di verificare ilrispetto del presente articolo. In essa figurano unicamente le informazioninecessarie a tal fine. 5. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e i requisiti concernenti l'accertamento della violazione di datipersonali di cui ai paragrafi 1 e 2 e le circostanze particolari in cui ilresponsabile del trattamento e l'incaricato del trattamento sono tenuti anotificare la violazione. 6. La Commissione può stabilire il formatostandard di tale notificazione all'autorità di controllo, le procedureapplicabili all'obbligo di notificazione e la forma e le modalità delladocumentazione di cui al paragrafo 4, compresi i termini per la cancellazionedelle informazioni ivi contenute. Tali atti di esecuzione sono adottati secondola procedura d'esame di cui all'articolo 87, paragrafo 2. Articolo 32 Comunicazione di una violazione dei dati personaliall'interessato 1. Quando la violazione dei dati personalirischia di pregiudicare i dati personali o di attentare alla vita privatadell'interessato, il responsabile del trattamento, dopo aver provveduto allanotificazione di cui all'articolo 31, comunica la violazione all'interessatosenza ingiustificato ritardo. 2. La comunicazione all'interessato di cui alparagrafo 1 descrive la natura della violazione dei dati personali e contienealmeno le informazioni e le raccomandazioni di cui all'articolo 31, paragrafo3, lettere b) e c). 3. Non è richiesta la comunicazione di unaviolazione dei dati personali all'interessato se il responsabile deltrattamento dimostra in modo convincente all'autorità di controllo che ha utilizzatole opportune misure tecnologiche di protezione e che tali misure erano stateapplicate ai dati violati. Tali misure tecnologiche di protezione devonorendere i dati incomprensibili a chiunque non sia autorizzato ad accedervi. 4. Fatto salvo l'obbligo per il responsabile deltrattamento di comunicare all'interessato la violazione dei dati personali, seil responsabile del trattamento non ha provveduto a comunicare all'interessatola violazione dei dati personali, l'autorità di controllo, considerate lepresumibili ripercussioni negative della violazione, può obbligare ilresponsabile del trattamento a farlo. 5. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e i requisiti concernenti le circostanze in cui una violazione di datipersonali rischia di pregiudicare la protezione dei dati personali di cui alparagrafo 1. 6. La Commissione può stabilire il formato dellacomunicazione all'interessato di cui al paragrafo 1, e le procedure applicabilia tale comunicazione. Tali atti di esecuzione sono adottati secondo laprocedura d'esame di cui all'articolo 87, paragrafo 2. SEZIONE 3 VALUTAZIONED'IMPATTO SULLA PROTEZIONE DEI DATI E AUTORIZZAZIONEPREVENTIVA
Articolo 33 Valutazione d'impatto sullaprotezione dei dati 1. Quando il trattamento, per la sua natura, ilsuo oggetto o le sue finalità, presenta rischi specifici per i diritti e lelibertà degli interessati, il responsabile del trattamento o l'incaricato deltrattamento che agisce per conto del responsabile del trattamento effettua unavalutazione dell'impatto del trattamento previsto sulla protezione dei datipersonali. 2. Presentano rischi specifici ai sensi delparagrafo 1 in particolare i seguenti trattamenti: a) la valutazione sistematica e globale di aspetti dellapersonalità dell'interessato o volta ad analizzarne o prevederne in particolarela situazione economica, l'ubicazione, lo stato di salute, le preferenzepersonali, l'affidabilità o il comportamento, basata su un trattamentoautomatizzato e da cui discendono misure che hanno effetti giuridici osignificativamente incidono sull'interessato; b) il trattamento di informazioni concernenti la vita sessuale, lostato di salute, la razza e l'origine etnica oppure destinate alla prestazionedi servizi sanitari o a ricerche epidemiologiche o indagini su malattie mentalio infettive qualora i dati siano trattati per prendere misure o decisioni sularga scala riguardanti persone specifiche; c) la sorveglianza di zone accessibili al pubblico, inparticolare se effettuata mediante dispositivi ottico-elettronici(videosorveglianza) su larga scala; d) il trattamento di dati personali in archivi su larga scalariguardanti minori, dati genetici o dati biometrici; e) qualunque altro trattamento che richiede la consultazionedell'autorità di controllo ai sensi dell'articolo 34, paragrafo 2, lettera b). 3. La valutazione contiene almeno unadescrizione generale del trattamento previsto, una valutazione dei rischi per idiritti e le libertà degli interessati, le misure previste per affrontare irischi, le garanzie, le misure di sicurezza e i meccanismi per garantire laprotezione dei dati personali e dimostrare la conformità al presenteregolamento, tenuto conto dei diritti e dei legittimi interessi degliinteressati e delle altre persone in questione. 4. Il responsabile del trattamento raccoglie leosservazioni degli interessati o dei loro rappresentanti sul trattamentoprevisto, fatta salva la tutela degli interessi commerciali o pubblici o lasicurezza del trattamento. 5. Qualora il responsabile del trattamento siaun'autorità pubblica o un organismo pubblico e il trattamento sia effettuato inforza di un obbligo legale ai sensi dell'articolo 6, paragrafo 1, lettera c),che prevede norme e procedure riguardanti il trattamento e sia stabilito daldiritto dell'Unione, i paragrafi da 1 a 4 non si applicano salvo che gli Statimembri ritengano necessario effettuare tale valutazione prima di procedere alleattività di trattamento. 6. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e le condizioni concernenti i trattamenti che possono presentare rischispecifici di cui ai paragrafi 1 e 2 e i requisiti riguardanti la valutazione dicui paragrafo 3, comprese le condizioni di scalabilità, verifica econtrollabilità. A tal fine, la Commissione contempla misure specifiche per lemicro, piccole e medie imprese. 7. La Commissione può specificare norme eprocedure per l'esecuzione, la verifica e il controllo della valutazione di cuial paragrafo 3. Tali atti di esecuzione sono adottati secondo la procedurad'esame di cui all'articolo 87, paragrafo 2. Articolo 34 Autorizzazione preventiva econsultazione preventiva 1. Il responsabile del trattamento ol'incaricato del trattamento, a seconda del caso, che adotti le clausolecontrattuali di cui all'articolo 42, paragrafo 2, lettera d), o non offragaranzie adeguate in uno strumento giuridicamente vincolante ai sensidell'articolo 42, paragrafo 5, per il trasferimento di dati personali verso unpaese terzo o un'organizzazione internazionale, prima di procedere altrattamento dei dati personali ottiene l'autorizzazione dell'autorità dicontrollo al fine di garantire la conformità del trattamento previsto alpresente regolamento e, in particolare, attenuare i rischi per gli interessati. 2. Il responsabile del trattamento, ol'incaricato del trattamento che agisce per conto del responsabile deltrattamento, prima di procedere al trattamento dei dati personali consultal'autorità di controllo al fine di garantire la conformità del trattamentoprevisto al presente regolamento e, in particolare, attenuare i rischi per gliinteressati qualora: a) la valutazione d'impatto sulla protezione dei dati di cuiall'articolo 33 indichi che il trattamento, per la sua natura, il suo oggetto ole sue finalità, può presentare un alto grado di rischi specifici, oppure b) l'autorità di controllo ritenga necessario effettuare unaconsultazione preventiva sui trattamenti precisati conformemente al paragrafo 4che, per la loro natura, il loro oggetto o le loro finalità, possono presentarerischi specifici per i diritti e le libertà degli interessati. 3. Se ritiene che il trattamento previsto nonsia conforme al presente regolamento, in particolare qualora i rischi non sianosufficientemente identificati o attenuati, l'autorità di controllo vieta iltrattamento previsto e presenta opportune proposte per ovviare al difetto diconformità. 4. L'autorità di controllo redige e rendepubblico un elenco dei trattamenti soggetti a consultazione preventiva ai sensidel paragrafo 2, lettera b). L'autorità di controllo comunica tali elenchi alcomitato europeo per la protezione dei dati. 5. Se l'elenco di cui al paragrafo 4 comprendeattività di trattamento finalizzate all'offerta di beni o servizi a interessatiin più Stati membri o al controllo del loro comportamento, o attività ditrattamento che possono incidere significativamente sulla libera circolazionedei dati personali all'interno dell'Unione, l'autorità di controllo; prima diadottare tale elenco, applica il meccanismo di coerenza di cui all'articolo 57. 6. Il responsabile del trattamento ol'incaricato del trattamento trasmette all'autorità di controllo la valutazioned'impatto sulla protezione dei dati di cui all'articolo 33 e, se richiesta,ogni altra informazione al fine di consentire all'autorità di controllo dieffettuare una valutazione della conformità del trattamento, in particolare deirischi per la protezione dei dati personali dell'interessato e delle relativegaranzie. 7. Quando elaborano un atto legislativo che deveessere adottato dai parlamenti nazionali o una misura basata su un atto diquesto tipo, in cui venga definita la natura del trattamento, gli Stati membriconsultano l'autorità di controllo per garantire la conformità del trattamentoprevisto al presente regolamento e, in particolare, attenuare i rischi per gliinteressati. 8. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e i requisiti per determinare l'alto grado di rischi specifici di cuial paragrafo 2, lettera a). 9. La Commissione può stabilire moduli standarde procedure per l'autorizzazione preventiva e la consultazione preventiva dicui ai paragrafi 1 e 2, e per l'informativa all'autorità di controllo ai sensidel paragrafo 6. Tali atti di esecuzione sono adottati secondo la procedurad'esame di cui all'articolo 87, paragrafo 2. SEZIONE 4 RESPONSABILEDELLA PROTEZIONE DEI DATI
Articolo 35 Designazione del responsabiledella protezione dei dati 1. Il responsabile del trattamento el'incaricato del trattamento designano sistematicamente un responsabile dellaprotezione dei dati quando: a) il trattamento è effettuato da un'autorità pubblica o daun organismo pubblico, oppure b) il trattamento è effettuato da un'impresa con 250 o piùdipendenti, oppure c) le attività principali del responsabile del trattamento odell'incaricato del trattamento consistono in trattamenti che, per la loronatura, il loro oggetto o le loro finalità, richiedono il controllo regolare esistematico degli interessati. 2. Nei casi di cui al paragrafo 1, lettera b),un gruppo di imprese può nominare un unico responsabile della protezione dei dati. 3. Qualora il responsabile del trattamento ol'incaricato del trattamento sia un'autorità pubblica o un organismo pubblico,il responsabile della protezione dei dati può essere designato per più enti,tenuto conto della struttura organizzativa dell'autorità pubblica odell'organismo pubblico. 4. Nei casi diversi da quelli di cui alparagrafo 1, il responsabile del trattamento, l'incaricato del trattamento o leassociazioni e gli altri organismi rappresentanti le categorie di responsabilidel trattamento o di incaricati del trattamento possono designare unresponsabile della protezione dei dati. 5. Il responsabile del trattamento ol'incaricato del trattamento designa il responsabile della protezione dei datiin funzione delle qualità professionali, in particolare della conoscenzaspecialistica della normativa e delle pratiche in materia di protezione deidati, e della capacità di adempiere ai compiti di cui all'articolo 37. Illivello necessario di conoscenza specialistica è determinato in particolare in baseal trattamento di dati effettuato e alla protezione richiesta per i datipersonali trattati dal responsabile del trattamento o dall'incaricato deltrattamento. 6. Il responsabile del trattamento ol'incaricato del trattamento si assicura che ogni altra funzione professionaledel responsabile della protezione dei dati sia compatibile con i compiti e lefunzioni dello stesso in qualità di responsabile della protezione dei dati enon dia adito a conflitto di interessi. 7. Il responsabile del trattamento ol'incaricato del trattamento designa un responsabile della protezione dei datiper un periodo di almeno due anni. Il mandato del responsabile della protezionedei dati è rinnovabile. Durante il mandato può essere destituito solo se nonsoddisfa più le condizioni richieste per l'esercizio delle sue funzioni. 8. Il responsabile della protezione dei dati puòessere assunto dal responsabile del trattamento o dall'incaricato deltrattamento oppure adempiere ai suoi compiti in base a un contratto di servizi. 9. Il responsabile del trattamento ol'incaricato del trattamento comunica il nome e le coordinate di contatto delresponsabile della protezione dei dati all'autorità di controllo e al pubblico. 10. Gli interessati hanno il diritto di contattare ilresponsabile della protezione dei dati per tutte le questioni relative altrattamento dei loro dati personali e presentare richieste per esercitare idiritti riconosciuti dal presente regolamento. 11. Alla Commissione è conferito il potere di adottare attidelegati conformemente all'articolo 86 al fine di precisare i criteri e irequisiti concernenti le attività principali del responsabile del trattamento odell'incaricato del trattamento di cui al paragrafo 1, lettera c), e i criterirelativi alle qualità professionali del responsabile della protezione dei datidi cui al paragrafo 5. Articolo 36 Posizione del responsabile dellaprotezione dei dati 1. Il responsabile del trattamento ol'incaricato del trattamento si assicura che il responsabile della protezionedei dati sia prontamente e adeguatamente coinvolto in tutte le questioniriguardanti la protezione dei dati personali. 2. Il responsabile del trattamento ol'incaricato del trattamento si assicura che il responsabile della protezionedei dati adempia alle funzioni e ai compiti in piena indipendenza e non ricevaalcuna istruzione per quanto riguarda il loro esercizio. Il responsabile dellaprotezione dei dati riferisce direttamente ai superiori gerarchici delresponsabile del trattamento o dell'incaricato del trattamento. 3. Il responsabile del trattamento ol'incaricato del trattamento sostiene il responsabile della protezione dei datinell'esecuzione dei suoi compiti e gli fornisce personale, locali, attrezzaturee ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cuiall'articolo 37. Articolo 37 Compiti del responsabile dellaprotezione dei dati 1. Il responsabile del trattamento ol'incaricato del trattamento conferisce al responsabile della protezione deidati almeno i seguenti compiti: a) informare e consigliare il responsabile del trattamento ol'incaricato del trattamento in merito agli obblighi derivanti dal presenteregolamento e conservare la documentazione relativa a tale attività e allerisposte ricevute; b) sorvegliare l'attuazione e l'applicazione delle politiche delresponsabile del trattamento o dell'incaricato del trattamento in materia diprotezione dei dati personali, compresi l'attribuzione delle responsabilità, laformazione del personale che partecipa ai trattamenti e gli audit connessi; c) sorvegliare l'attuazione e l'applicazione del presenteregolamento, con particolare riguardo ai requisiti concernenti la protezionefin dalla progettazione, la protezione di default, la sicurezza dei dati,l'informazione dell'interessato e le richieste degli interessati di esercitarei diritti riconosciuti dal presente regolamento; d) garantire la conservazione della documentazione di cuiall'articolo 28; e) controllare che le violazioni dei dati personali sianodocumentate, notificate e comunicate ai sensi degli articoli 31 e 32; f) controllare che il responsabile del trattamento ol'incaricato del trattamento effettui la valutazione d'impatto sulla protezionedei dati e richieda l'autorizzazione preventiva o la consultazione preventiva neicasi previsti dagli articoli 33 e 34; g) controllare che sia dato seguito alle richieste dell'autoritàdi controllo e, nell'ambito delle sue competenze, cooperare con l'autorità dicontrollo di propria iniziativa o su sua richiesta; h) fungere da punto di contatto per l'autorità di controllo perquestioni connesse al trattamento e, se del caso, consultare l'autorità dicontrollo di propria iniziativa. 2. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e i requisiti concernenti i compiti, la certificazione, lo status, ipoteri e le risorse del responsabile della protezione dei dati di cui alparagrafo 1. SEZIONE 5 CODICI DICONDOTTA E CERTIFICAZIONE
Articolo 38 Codici di condotta 1. Gli Stati membri, le autorità di controllo ela Commissione incoraggiano l'elaborazione di codici di condotta destinati acontribuire alla corretta applicazione del presente regolamento, in funzionedelle specificità settoriali, in particolare per quanto riguarda: a) il trattamento equo e trasparente dei dai; b) la raccolta dei dati; c) l'informazione del pubblico e dell'interessato; d) le richieste dell'interessato per l'esercizio dei suoi diritti; e) l'informazione e la protezione del minore; f) il trasferimento di dati verso paesi terzi oorganizzazioni internazionali; g) i meccanismi per monitorare e garantire il rispetto del codiceda parte dei responsabili del trattamento che vi aderiscono; h) le procedure stragiudiziali e di altro tipo per comporre lecontroversie tra responsabili del trattamento e interessati in materia ditrattamento dei dati personali, fatti salvi i diritti dell'interessato ai sensidegli articoli 73 e 75. 2. Le associazioni e gli altri organismirappresentanti le categorie di responsabili del trattamento o incaricati deltrattamento in uno Stato membro, che intendono elaborare i progetti di codicedi condotta o modificare o prorogare i codici di condotta esistenti, possonosottoporli all'esame dell'autorità di controllo dello Stato membro interessato.L'autorità di controllo può esprimere un parere sulla conformità al presenteregolamento del progetto di codice di condotta o della modifica proposta.L'autorità di controllo raccoglie le osservazioni degli interessati o dei loro rappresentantisu tali progetti. 3. Le associazioni e gli altri organismi cherappresentano le categorie di responsabili del trattamento in più Stati membripossono sottoporre alla Commissione i progetti di codice di condotta e lemodifiche o proroghe dei codici di condotta esistenti. 4. La Commissione può decidere con atto diesecuzione che i codici di condotta e le modifiche o proroghe dei codici dicondotta esistenti che le sono stati sottoposti ai sensi del paragrafo 3 hannovalidità generale all'interno dell'Unione. Tali atti di esecuzione sonoadottati secondo la procedura d'esame di cui all'articolo 87, paragrafo 2. 5. La Commissione provvede ad un'appropriatadivulgazione dei codici per i quali è stata decisa la validità generale aisensi del paragrafo 4. Articolo 39 Certificazione 1. Gli Stati membri e la Commissioneincoraggiano, in particolare a livello europeo, l'istituzione di meccanismi dicertificazione della protezione dei dati nonché di sigilli e marchi diprotezione dei dati che consentano agli interessati di valutare rapidamente illivello di protezione dei dati garantito dai responsabili del trattamento edagli incaricati del trattamento. I meccanismi di certificazione dellaprotezione dei dati contribuiscono alla corretta applicazione del presenteregolamento, in funzione delle specificità settoriali e dei diversitrattamenti. 2. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e i requisiti concernenti i meccanismi di certificazione dellaprotezione dei dati di cui al paragrafo 1, comprese le condizioni di rilascio eritiro e i requisiti per il riconoscimento nell'Unione e in paesi terzi. 3. La Commissione può stabilire norme tecnicheriguardanti i meccanismi di certificazione e i sigilli e marchi di protezionedei dati e le modalità per promuovere e riconoscere i meccanismi dicertificazione e i sigilli e marchi di protezione dei dati. Tali atti diesecuzione sono adottati secondo la procedura d'esame di cui all'articolo 87,paragrafo 2. CAPO V TRASFERIMENTODI DATI PERSONALI VERSO PAESI TERZI O ORGANIZZAZIONI INTERNAZIONALI Articolo 40 Principio generale per iltrasferimento Il trasferimento di dati personali oggetto di un trattamento odestinati a essere oggetto di un trattamento dopo il trasferimento verso unpaese terzo o un'organizzazione internazionale, compreso il trasferimentosuccessivo di dati personali da un paese terzo o un'organizzazioneinternazionale verso un altro paese terzo o un'altra organizzazioneinternazionale, è ammesso soltanto se il responsabile del trattamento el'incaricato del trattamento rispettano le condizioni indicate nel presentecapo, fatte salve le altre disposizioni del presente regolamento. Articolo 41 Trasferimento previa decisione diadeguatezza 1. Il trasferimento è ammesso se la Commissioneha deciso che il paese terzo, o un territorio o settore di trattamentoall'interno del paese terzo, o l'organizzazione internazionale in questionegarantisce un livello di protezione adeguato. In tal caso il trasferimento nonnecessita di ulteriori autorizzazioni. 2. Nel valutare l'adeguatezza del livello diprotezione la Commissione prende in considerazione i seguenti elementi: a) lo stato di diritto, la pertinente legislazione generalee settoriale vigente, anche in materia penale, di pubblica sicurezza, difesa esicurezza nazionale, le regole professionali e le misure di sicurezza osservatenel paese terzo o dall'organizzazione internazionale in questione, nonché idiritti effettivi e azionabili, compreso il diritto degli interessati a unricorso effettivo in sede amministrativa e giudiziaria, in particolare quelliche risiedono nell'Unione e i cui dati personali sono oggetto di trasferimento; b) l'esistenza e l'effettivo funzionamento di una o più autoritàdi controllo indipendenti nel paese terzo o nell'organizzazione internazionalein questione, incaricate di garantire il rispetto delle norme di protezione deidati, assistere e consigliare gli interessati in merito all'esercizio dei loro dirittie cooperare con le autorità di controllo dell'Unione e degli Stati membri, e c) gli impegni internazionali assunti dal paese terzo odall'organizzazione internazionale in questione. 3. La Commissione può decidere che un paeseterzo, o un territorio o settore di trattamento all'interno del paese terzo, oun'organizzazione internazionale garantisce un livello di protezione adeguatoai sensi del paragrafo 2. Tali atti di esecuzione sono adottati secondo laprocedura d'esame di cui all'articolo 87, paragrafo 2. 4. L'atto di esecuzione specifica il propriocampo di applicazione geografico e settoriale e, se del caso, identifical'autorità di controllo di cui al paragrafo 2, lettera b). 5. La Commissione può decidere che un paeseterzo, o un territorio o settore di trattamento all'interno del paese terzo, oun'organizzazione internazionale non garantisce un livello di protezioneadeguato ai sensi del paragrafo 2, in particolare nei casi in cui la pertinentelegislazione generale e settoriale vigente nel paese terzo o perl'organizzazione internazionale in questione non garantisce diritti effettivi eazionabili, compreso il diritto degli interessati a un ricorso effettivo insede amministrativa e giudiziaria, in particolare quelli residenti nell'Unionei cui dati personali sono oggetto di trasferimento. Tali atti di esecuzionesono adottati secondo la procedura d'esame di cui all'articolo 87, paragrafo 2,o, in casi di estrema urgenza per gli interessati relativamente al loro dirittoalla protezione dei dati, secondo la procedura cui all'articolo 87, paragrafo3. 6. Quando la Commissione decide ai sensi delparagrafo 5, è vietato il trasferimento di dati personali verso il paese terzo,o un territorio o settore di trattamento all'interno del paese terzo, o verso l'organizzazioneinternazionale in questione, fatti salvi gli articoli da 42 a 44. LaCommissione avvia, al momento opportuno, consultazioni con il paese terzo ol'organizzazione internazionale per porre rimedio alla situazione risultantedalla decisione di cui al paragrafo 5. 7. La Commissione pubblica nella Gazzettaufficiale dell'Unione europea l'elenco dei paesi terzi, dei territori esettori di trattamento all'interno di un paese terzo, e delle organizzazioniinternazionali per i quali ha deciso che è o non è garantito un livello diprotezione adeguato. 8. Le decisioni adottate dalla Commissione inbase all'articolo 25, paragrafo 6, o all'articolo 26, paragrafo 4, delladirettiva 95/46/CE restano in vigore fino a quando non vengono modificate,sostituite o abrogate dalla Commissione. Articolo 42 Trasferimento in presenza digaranzie adeguate 1. Se la Commissione non ha preso alcunadecisione ai sensi dell'articolo 41, il responsabile del trattamento ol'incaricato del trattamento può trasferire dati personali verso un paese terzoo un'organizzazione internazionale solo se ha offerto garanzie adeguate per laprotezione dei dati personali in uno strumento giuridicamente vincolante. 2. Costituiscono in particolare garanzieadeguate di cui al paragrafo 1: a) le norme vincolanti d'impresa conformi all'articolo 43,oppure b) le clausole tipo di protezione dei dati adottate dallaCommissione. Tali atti di esecuzione sono adottati secondo la procedura d'esamedi cui all'articolo 87, paragrafo 2, oppure c) le clausole tipo di protezione dei dati adottate daun'autorità di controllo in conformità del meccanismo di coerenza di cuiall'articolo 57, qualora siano dichiarate generalmente valide dalla Commissioneai sensi dell'articolo 62, paragrafo 1, lettera b), oppure d) le clausole contrattuali tra il responsabile del trattamento ol'incaricato del trattamento e il destinatario dei dati autorizzate daun'autorità di controllo in conformità del paragrafo 4. 3. Il trasferimento basato sulle clausole tipodi protezione dei dati o sulle norme vincolanti d'impresa di cui al paragrafo2, lettere a), b) o c) non necessita di ulteriori autorizzazioni. 4. Se il trasferimento si basa sulle clausolecontrattuali di cui paragrafo 2, lettera d), il responsabile del trattamento ol'incaricato del trattamento deve ottenere l'autorizzazione preventivadell'autorità di controllo in relazione alle clausole contrattuali inconformità dell'articolo 34, paragrafo 1, lettera a). Se il trasferimento èconnesso ad attività di trattamento riguardanti interessati in un altro Statomembro o in altri Stati membri, o che incidono significativamente sulla liberacircolazione dei dati personali all'interno dell'Unione, l'autorità dicontrollo applica il meccanismo di coerenza di cui all'articolo 57. 5. Se non sono offerte garanzie adeguate per laprotezione dei dati personali in uno strumento giuridicamente vincolante, ilresponsabile del trattamento o l'incaricato del trattamento deve ottenerel'autorizzazione preventiva al trasferimento o a un complesso di trasferimenti,o all'inserimento di disposizioni in accordi amministrativi costituenti la basedel trasferimento. Tale autorizzazione dell'autorità di controllo è conformeall'articolo 34, paragrafo 1, lettera a). Se il trasferimento è connesso ad attivitàdi trattamento riguardanti interessati in un altro Stato membro o in altriStati membri, o che incidono significativamente sulla libera circolazione deidati personali all'interno dell'Unione, l'autorità di controllo applica ilmeccanismo di coerenza di cui all'articolo 57. Le autorizzazioni emessedall'autorità di controllo sulla base dell'articolo 26, paragrafo 2, delladirettiva 95/46/CE restano valide fino a quando non vengono modificate,sostituite o abrogate dalla medesima autorità di controllo. Articolo 43 Trasferimento in presenza di normevincolanti d'impresa 1. L'autorità di controllo approva, inconformità del meccanismo di coerenza di cui all'articolo 58, le normevincolanti d'impresa, a condizione che queste: a) siano giuridicamente vincolanti e si applichino a tutti imembri del gruppo d'imprese del responsabile del trattamento o dell'incaricatodel trattamento, compresi i loro dipendenti, e siano da questi rispettate; b) conferiscano espressamente agli interessati diritti opponibili; c) soddisfino i requisiti di cui al paragrafo 2. 2. Le norme vincolanti d'impresa specificanoalmeno: a) la struttura e le coordinate di contatto del gruppod'imprese e dei suoi membri; b) i trasferimenti o l'insieme di trasferimenti di dati, inparticolare le categorie di dati personali, il tipo di trattamento e relativefinalità, il tipo di interessati cui si riferiscono i dati e l'identificazionedel paese terzo o dei paesi terzi in questione; c) la loro natura giuridicamente vincolante, a livello siainterno che esterno; d) i principi generali di protezione dei dati, in particolare inrelazione alla finalità, alla qualità dei dati, alla base giuridica deltrattamento e al trattamento di dati personali sensibili, le misure a garanziadella sicurezza dei dati e i requisiti per i trasferimenti successivi adorganizzazioni che non sono vincolate dalle politiche; e) i diritti dell'interessato e i mezzi per esercitarli,compresi il diritto di non essere sottoposto a misure basate sulla profilazioneai sensi dell'articolo 20, il diritto di proporre reclamo all'autorità dicontrollo competente e di ricorrere alle autorità giurisdizionali competentidegli Stati membri conformemente all'articolo 75, e il diritto di ottenereriparazione e, se del caso, il risarcimento per violazione delle normevincolanti d'impresa; f) il fatto che il responsabile del trattamento ol'incaricato del trattamento stabilito nel territorio di uno Stato membro siassume la responsabilità per qualunque violazione delle norme vincolantid'impresa commesse da un membro del gruppo di imprese non stabilitonell'Unione; il responsabile del trattamento o l'incaricato del trattamento puòessere esonerato in tutto o in parte da tale responsabilità solo se prova chel'evento dannoso non è imputabile al membro in questione; g) le modalità in base alle quali sono fornite all'interessato, inconformità dell'articolo 11, le informazioni sulle norme vincolanti d'impresa,in particolare sulle disposizioni di cui alle lettere d), e) e f); h) i compiti del responsabile della protezione dei dati designatoai sensi dell'articolo 35, compreso il controllo del rispetto delle normevincolanti d'impresa all'interno del gruppo di imprese e il controllo dellaformazione e della gestione dei reclami; i) i meccanismi all'interno del gruppo di imprese diretti agarantire la verifica della conformità alle norme vincolanti d'impresa; j) i meccanismi per riferire e registrare le modifiche dellepolitiche e comunicarle all'autorità di controllo; k) il meccanismo di cooperazione con l'autorità di controllo pergarantire la conformità da parte di ogni membro del gruppo di imprese, inparticolare la messa a disposizione dell'autorità di controllo dei risultatidelle verifiche delle misure di cui alla lettera i). 3. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e i requisiti concernenti le norme vincolanti d'impresa ai sensi delpresente articolo, in particolare i criteri per la loro approvazione, l'applicazionedel paragrafo 2, lettere b), d), e) e f) alle norme vincolanti d'impresa cuigli incaricati del trattamento aderiscono e gli ulteriori requisiti pergarantire la protezione dei dati personali degli interessati in questione. 4. La Commissione può specificare il formato ele procedure per lo scambio di informazioni con mezzi elettronici traresponsabili del trattamento, incaricati del trattamento e autorità dicontrollo in merito alle norme vincolanti d'impresa ai sensi del presentearticolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame dicui all'articolo 87, paragrafo 2. Articolo 44 Deroghe 1. In mancanza di una decisione di adeguatezzaai sensi dell'articolo 41 o di garanzie adeguate ai sensi dell'articolo 42, èammesso il trasferimento o un complesso di trasferimenti di dati personaliverso un paese terzo o un'organizzazione internazionale soltanto a condizioneche: a) l'interessato abbia acconsentito al trasferimentoproposto, dopo essere stato informato dei rischi connessi a siffattitrasferimenti dovuti alla mancanza di una decisione di adeguatezza e digaranzie adeguate, oppure b) il trasferimento sia necessario all'esecuzione di un contrattoconcluso tra l'interessato e il responsabile del trattamento ovveroall'esecuzione di misure precontrattuali prese su istanza dell'interessato,oppure c) il trasferimento sia necessario per la conclusione ol'esecuzione di un contratto stipulato tra il responsabile del trattamento e unterzo a favore dell'interessato, oppure d) il trasferimento sia necessario per motivi di interessepubblico rilevante, oppure e) il trasferimento sia necessario per accertare, esercitareo difendere un diritto in sede giudiziaria, oppure f) il trasferimento sia necessario per salvaguardare un interessevitale dell'interessato o di un terzo, qualora l'interessato si trovinell'incapacità fisica o giuridica di dare il proprio consenso, oppure g) il trasferimento sia effettuato a partire da un registro che, anorma del diritto dell'Unione o di uno Stato membro, mira a fornireinformazioni al pubblico e può esser consultato tanto dal pubblico in generalequanto da chiunque sia in grado di dimostrare un legittimo interesse, purchésussistano i requisiti per la consultazione previsti dal diritto dell'Unione odello Stato membro, oppure h) il trasferimento sia necessario per il perseguimento deilegittimi interessi del responsabile del trattamento o dell'incaricato deltrattamento, che non possano definirsi frequenti o ingenti, e qualora ilresponsabile del trattamento o l'incaricato del trattamento abbia valutatotutte le circostanze relative ad un trasferimento o ad un complesso ditrasferimenti e sulla base di tale valutazione abbia offerto garanzie adeguateper la protezione dei dati personali, ove necessario. 2. Il trasferimento di cui al paragrafo 1,lettera g), non può riguardare la totalità dei dati personali o interecategorie di dati personali contenute nel registro. Se il registro è destinatoad essere consultato da persone aventi un legittimo interesse, il trasferimentoè ammesso soltanto su richiesta di tali persone o qualora ne siano idestinatari. 3. Qualora il trasferimento si basi sulparagrafo 1, lettera h), il responsabile del trattamento o l'incaricato deltrattamento prende in considerazione la natura dei dati, la finalità e ladurata del trattamento previsto, nonché la situazione nel paese d'origine, nelpaese terzo e nel paese di destinazione finale, e offre garanzie adeguate perla protezione dei dati personali, ove necessario. 4. Il paragrafo 1, lettere b), c) e h), non siapplicano alle attività svolte dalle autorità pubbliche nell'esercizio deipubblici poteri. 5. L'interesse pubblico di cui al paragrafo 1,lettera d), deve essere riconosciuto dal diritto dell'Unione o dello Statomembro cui è soggetto il responsabile del trattamento. 6. Il responsabile del trattamento ol'incaricato del trattamento attesta nella documentazione di cui all'articolo28 la valutazione e le garanzie adeguate offerte di cui al paragrafo 1, letterad), e informa l'autorità di controllo del trasferimento. 7. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare i"motivi di interesse pubblico rilevante" ai sensi del paragrafo 1, lettera d),e i criteri e i requisiti concernenti le garanzie adeguate di cui al paragrafo1, lettera h). Articolo 45 Cooperazione internazionale per laprotezione dei dati personali 1. In relazione ai paesi terzi e alleorganizzazioni internazionali, la Commissione e le autorità di controlloadottano misure appropriate per: a) sviluppare efficaci meccanismi di cooperazioneinternazionale per facilitare l'applicazione della legislazione sullaprotezione dei dati personali; b) prestare assistenza reciproca a livello internazionale nell'applicazionedella legislazione sulla protezione dei dati personali, in particolare mediantenotificazione, deferimento dei reclami, assistenza alle indagini e scambio diinformazioni, fatte salve garanzie adeguate per la protezione dei datipersonali e gli altri diritti e libertà fondamentali; c) coinvolgere le parti interessate pertinenti indiscussioni e attività dirette a promuovere la cooperazione internazionalenell'applicazione della legislazione sulla protezione dei dati personali; d) promuovere lo scambio e la documentazione delle legislazioni epratiche in materia di protezione dei dati personali. 2. Ai fini del paragrafo 1, la Commissioneadotta le misure appropriate per intensificare i rapporti con quei paesi terzie quelle organizzazioni internazionali, in particolare le loro autorità dicontrollo, per cui abbia deciso che garantiscono un livello adeguato diprotezione ai sensi dell'articolo 41, paragrafo 3. CAPO VI AUTORITà DICONTROLLO INDIPENDENTI
SEZIONE 1 INDIPENDENZA
Articolo 46 Autorità di controllo 1. Ogni Stato membro dispone che una o piùautorità pubbliche siano incaricate di sorvegliare l'applicazione del presenteregolamento e di contribuire alla sua coerente applicazione in tutta l'Unione,al fine di tutelare i diritti e le libertà fondamentali delle persone fisichecon riguardo al trattamento dei dati personali e di agevolare la liberacircolazione dei dati personali all'interno dell'Unione. A tale scopo leautorità di controllo cooperano tra loro e con la Commissione. 2. Qualora in uno Stato membro siano istituitepiù autorità di controllo, detto Stato membro designa l'autorità di controlloche funge da punto di contatto unico per l'effettiva partecipazione di taliautorità al comitato europeo per la protezione dei dati e stabilisce ilmeccanismo in base al quale le altre autorità si conformano alle norme relativeal meccanismo di coerenza di cui all'articolo 57. 3. Ogni Stato membro notifica alla Commissionele disposizioni di legge adottate ai sensi del presente capo entro la data dicui all'articolo 91, paragrafo 2, e comunica senza ritardo ogni successivamodifica. Articolo 47 Indipendenza 1. L'autorità di controllo esercita le suefunzioni e i suoi poteri in piena indipendenza. 2. Nell'adempimento delle loro funzioni i membridell'autorità di controllo non sollecitano né accettano istruzioni da alcuno. 3. Per tutta la durata del mandato, i membridell'autorità di controllo si astengono da qualunque azione incompatibile conle loro funzioni e non possono esercitare alcuna altra attività professionaleincompatibile, remunerata o meno. 4. Al termine del mandato i membri dell'autoritàdi controllo agiscono con integrità e discrezione nell'accettazione di nomine ealtri benefici. 5. Ogni Stato membro provvede affinchél'autorità di controllo sia dotata di risorse umane, tecniche e finanziarieadeguate, dei locali e delle infrastrutture necessarie per l'effettivoesercizio delle sue funzioni e dei suoi poteri, compresi quelli nell'ambitodell'assistenza reciproca, della cooperazione e della partecipazione alcomitato europeo per la protezione dei dati. 6. Ogni Stato membro provvede affinchél'autorità di controllo abbia il proprio personale, nominato dal responsabiledell'autorità di controllo e soggetto alla direzione di quest'ultimo. 7. Gli Stati membri garantiscono che l'autoritàdi controllo sia soggetta a un controllo finanziario che non ne pregiudichil'indipendenza. Gli Stati membri garantiscono che l'autorità di controllodisponga di bilanci annuali separati. I bilanci sono pubblicati. Articolo 48 Condizioni generali per i membridell'autorità di controllo 1. Ogni Stato membro dispone che a nominare imembri dell'autorità di controllo debba essere il proprio parlamento o governo. 2. I membri sono scelti tra personalità cheoffrono ogni garanzia di indipendenza e che possiedono un'esperienza ecompetenze notorie per l'esercizio delle loro funzioni, in particolare nelsettore della protezione dei dati personali. 3. Il mandato dei membri cessa alla scadenza deltermine o in caso di dimissioni o di provvedimento d'ufficio, a norma delparagrafo 5. 4. I membri possono essere rimossi o privati deldiritto a pensione o di altri vantaggi sostitutivi dall'autoritàgiurisdizionale nazionale competente qualora non siano più in possesso deirequisiti necessari per l'esercizio delle loro funzioni o abbiano commesso unacolpa grave. 5. Allo scadere del mandato o qualora rassegnile sue dimissioni, il membro continua a esercitare le sue funzioni fino allanomina di un nuovo membro. Articolo 49 Norme sull'istituzionedell'autorità di controllo Ogni Stato membro prevede con legge, nei limiti del presenteregolamento: a) l'istituzione e lo status dell'autorità di controllo; b) le qualifiche, l'esperienza e le competenze richieste perl'esercizio delle funzioni di membro dell'autorità di controllo; c) le norme e le procedure per la nomina dei membri dell'autoritàdi controllo, e le norme sulle attività o professioni incompatibili con le lorofunzioni; d) la durata del mandato dei membri dell'autorità di controllo,che non può essere inferiore a quattro anni, salvo per le prime nomine dopol'entrata in vigore del presente regolamento, alcune delle quali possono avereuna durata inferiore qualora ciò sia necessario per tutelare l'indipendenzadell'autorità di controllo mediante una procedura di nomina scaglionata; e) l'eventuale rinnovabilità del mandato dei membri dell'autoritàdi controllo; f) le regole e le condizioni comuni che disciplinano le funzionidei membri e del personale dell'autorità di controllo; g) le norme e le procedure relative alla cessazione delle funzionidei membri dell'autorità di controllo, anche per il caso in cui non siano piùin possesso dei requisiti necessari per l'esercizio delle loro funzioni oabbiano commesso una colpa grave. Articolo 50 Segreto professionale Durante e dopo il mandato i membri e il personale dell'autorità dicontrollo sono tenuti al segreto professionale in merito alle informazioniriservate cui hanno avuto accesso nell'esercizio delle loro funzioni. SEZIONE 2 FUNZIONI EPOTERI
Articolo 51 Competenza 1. Ogni autorità di controllo esercita, nelterritorio del suo Stato membro, i poteri di cui gode a norma del presenteregolamento. 2. Qualora il trattamento dei dati personaliabbia luogo nell'ambito delle attività di uno stabilimento di un responsabiledel trattamento o incaricato del trattamento nell'Unione, e il responsabile deltrattamento o l'incaricato del trattamento sia stabilito in più Stati membri,l'autorità competente dello stabilimento principale del responsabile deltrattamento o dell'incaricato del trattamento è competente per il controllodelle attività di trattamento del responsabile del trattamento odell'incaricato del trattamento in tutti gli Stati membri, fatte salve ledisposizioni di cui al capo VII del presente regolamento. 3. L'autorità di controllo non è competente peril controllo dei trattamenti effettuati dalle autorità giurisdizionalinell'esercizio delle loro funzioni giurisdizionali. Articolo 52 Funzioni 1. L'autorità di controllo: a) sorveglia e garantisce l'applicazione del presenteregolamento; b) tratta i reclami proposti dagli interessati o da associazioniche li rappresentano ai sensi dell'articolo 73, svolge le indagini opportune einforma l'interessato o l'associazione dello stato e dell'esito del reclamoentro un termine ragionevole, in particolare ove siano necessarie ulterioriindagini o un coordinamento con un'altra autorità di controllo; c) scambia le informazioni con le altre autorità dicontrollo, presta assistenza reciproca e garantisce l'applicazione el'attuazione coerente del presente regolamento; d) svolge indagini di propria iniziativa oppure a seguito di unreclamo o su richiesta di un'altra autorità di controllo, ed entro un termineragionevole ne comunica l'esito all'interessato che abbia proposto reclamo allasua autorità di controllo; e) sorveglia gli sviluppi che presentano un interesse, se edin quanto incidenti sulla protezione dei dati personali, in particolarel'evoluzione delle tecnologie dell'informazione e della comunicazione e lepratiche commerciali; f) è consultata dalle istituzioni e dagli organismi degliStati membri in merito alle misure legislative e amministrative relative allatutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamentodei dati personali; g) autorizza i trattamenti di cui all'articolo 34 ed è consultataal riguardo; h) esprime un parere sui progetti di codici di condotta ai sensidell'articolo 38, paragrafo 2; i) approva le norme vincolanti d'impresa ai sensi dell'articolo43; j) partecipa alle attività del comitato europeo per laprotezione dei dati. 2. Ogni autorità di controllo promuove lasensibilizzazione del pubblico ai rischi, alle norme, alle garanzie e aidiritti relativi al trattamento dei dati personali. Sono oggetto di particolareattenzione le attività destinate specificamente ai minori. 3. L'autorità di controllo, su richiesta,consiglia l'interessato in merito all'esercizio dei diritti derivanti dalpresente regolamento e, se del caso, coopera a tal fine con le autorità dicontrollo di altri Stati membri. 4. L'autorità di controllo fornisce un modulocompilabile elettronicamente per la proposizione dei reclami di cui alparagrafo 1, lettera b), senza escludere altri mezzi di comunicazione. 5. L'autorità di controllo svolge le propriefunzioni senza spese per l'interessato. 6. Qualora le richieste siano manifestamenteeccessive, in particolare per il carattere ripetitivo, l'autorità di controllopuò esigere un contributo spese o non effettuare quanto richiestodall'interessato. Incombe all'autorità di controllo dimostrare il caratteremanifestamente eccessivo della richiesta. Articolo 53 Poteri 1. Ogni autorità di controllo ha il potere di: a) notificare al responsabile del trattamento oall'incaricato del trattamento le asserite violazioni delle disposizioni sultrattamento dei dati personali e, all'occorrenza, ingiungere al responsabiledel trattamento o all'incaricato del trattamento di porre rimedio alleviolazioni con misure specifiche, al fine di migliorare la protezione degliinteressati; b) ingiungere al responsabile del trattamento o all'incaricato deltrattamento di soddisfare le richieste dell'interessato di esercitare i dirittiderivanti dal presente regolamento; c) ingiungere al responsabile del trattamento eall'incaricato del trattamento e, se del caso, al rappresentante di fornirgliogni informazione utile per l'esercizio delle sue funzioni; d) assicurare il rispetto dell'obbligo di autorizzazionepreventiva e di consultazione preventiva di cui all'articolo 34; e) rivolgere avvertimenti o moniti al responsabile deltrattamento o all'incaricato del trattamento; f) ordinare la rettifica, la cancellazione o la distruzionedi tutti i dati trattati in violazione delle disposizioni del presente regolamentoe la notificazione di tali misure ai terzi cui sono stati trasmessi i dati; g) vietare trattamenti, a titolo provvisorio o definitivo; h) sospendere la circolazione dei dati verso un destinatario in unpaese terzo o un'organizzazione internazionale; i) esprimere pareri su questioni riguardanti la protezionedei dati personali; j) informare i parlamenti nazionali, i governi o altreistituzioni politiche, nonché il pubblico, di qualunque questione riguardantela protezione dei dati personali. 2. Ogni autorità di controllo dispone dei poteriinvestigativi necessari per ottenere dal responsabile del trattamento odall'incaricato del trattamento: a) l'accesso a tutti i dati personali e a tutte leinformazioni necessarie per l'esercizio delle sue funzioni; b) l'accesso a tutti i locali, compresi tutti gli strumenti emezzi di trattamento dei dati, se si può ragionevolmente supporre che vi è incorso un'attività contraria al presente regolamento. I poteri di cui alla lettera b) sono esercitati conformemente aldiritto dell'Unione e degli Stati membri. 3. Ogni autorità di controllo ha il diritto diagire in sede giudiziale o stragiudiziale in caso di violazione del presenteregolamento, in particolare ai sensi dell'articolo 74, paragrafo 4, edell'articolo 75, paragrafo 2. 4. Ogni autorità di controllo ha il potere disanzionare gli illeciti amministrativi, in particolare quelli di cuiall'articolo 79, paragrafi 4, 5 e 6. Articolo 54 Relazione di attività Ogni autorità di controllo elabora una relazione annuale sullapropria attività. La relazione è trasmessa al parlamento nazionale ed è messa adisposizione del pubblico, della Commissione e del comitato europeo per laprotezione dei dati. CAPO VII COOPERAZIONEE COERENZA
S C
Articolo 55 Assistenza reciproca 1. Le autorità di controllo si trasmettono leinformazioni utili e si prestano assistenza reciproca al fine di attuare eapplicare il presente regolamento in maniera coerente, e prendono misure percooperare efficacemente tra loro. L'assistenza reciproca comprende, inparticolare, le richieste di informazioni e le misure di controllo, quali lerichieste di autorizzazione preventiva e di consultazione preventiva, leispezioni e la comunicazione rapida dell'apertura di casi e dei loro sviluppiqualora i trattamenti possano riguardare interessati in più Stati membri. 2. Ogni autorità di controllo prende tutte lemisure opportune necessarie per dare seguito alle richieste delle altreautorità di controllo senza ritardo, al più tardi entro un mese dal ricevimentodella richiesta. Tali misure possono consistere, in particolare, nellatrasmissione di informazioni utili sull'andamento di un'indagine o dirette afar cessare o vietare i trattamenti contrari al presente regolamento. 3. La richiesta di assistenza contiene tutte leinformazioni necessarie, compresi lo scopo e i motivi della richiesta. Leinformazioni scambiate sono utilizzate ai soli fini per cui sono staterichieste. 4. L'autorità di controllo cui è presentata unarichiesta di assistenza non può rifiutare di darvi seguito, salvo che: a) non sia competente per trattarla, oppure b) l'intervento richiesto sia incompatibile con le disposizionidel presente regolamento. 5. L'autorità di controllo richiesta informal'autorità di controllo richiedente dell'esito o, se del caso, dei progressi odelle misure prese per rispondere alla sua richiesta. 6. Le autorità di controllo forniscono al piùpresto e per via elettronica, con modulo standard, le informazioni richieste daaltre autorità di controllo. 7. Non è imposta alcuna spesa per le misureprese a seguito di una richiesta di assistenza reciproca. 8. Qualora l'autorità di controllo non diaseguito alla richiesta di un'altra autorità di controllo entro un mese,l'autorità di controllo richiedente è competente a prendere misure provvisorienel territorio del suo Stato membro ai sensi dell'articolo 51, paragrafo 1, esottopone la questione al comitato europeo per la protezione dei daticonformemente alla procedura di cui all'articolo 57. 9. L'autorità di controllo specifica il periododi validità delle misure provvisorie. Detto periodo non può essere superiore atre mesi. L'autorità di controllo comunica senza ritardo tali misure,debitamente motivate, al comitato europeo per la protezione dei dati e allaCommissione. 10. La Commissione può specificare il formato e le procedureper l'assistenza reciproca di cui al presente articolo e le modalità per loscambio di informazioni per via elettronica tra autorità di controllo e tra leautorità di controllo e il comitato europeo per la protezione dei dati, inparticolare il modulo standard di cui al paragrafo 6. Tali atti di esecuzionesono adottati secondo la procedura d'esame di cui all'articolo 87, paragrafo 2. Articolo 56 Operazioni congiunte delle autoritàdi controllo 1. Per potenziare la cooperazione e l'assistenzareciproca, le autorità di controllo possono svolgere indagini congiunte,mettere in atto misure di contrasto congiunte e condurre altre operazionicongiunte in cui sono coinvolti membri o personale designato di autorità dicontrollo di altri Stati membri. 2. Nell'eventualità che il trattamento riguardiinteressati in più Stati membri, l'autorità di controllo di ogni Stato membroin questione ha il diritto di partecipare alle indagini congiunte o alleoperazioni congiunte, a seconda del caso. L'autorità di controllo competenteinvita l'autorità di controllo di ogni Stato membro in questione a partecipareall'indagine congiunta o all'operazione congiunta, e risponde senza ritardoalle richieste di partecipazione delle autorità di controllo. 3. L'autorità di controllo che ospitiun'operazione congiunta può, nel rispetto della legislazione nazionale e conl'autorizzazione dell'autorità di controllo ospitata, conferire poteriesecutivi, anche d'indagine, ai membri o al personale dell'autorità dicontrollo ospitata che partecipano all'operazione congiunta, o consentire adetti membri o personale, ove la propria legislazione nazionale lo consenta, diesercitare i loro poteri esecutivi in conformità della legislazione nazionaledell'autorità di controllo ospitata. Tali poteri esecutivi possono essereesercitati unicamente sotto il controllo e, di norma, in presenza di membri opersonale dell'autorità di controllo ospite. I membri o il personale dell'autoritàdi controllo ospitata sono soggetti alla legislazione nazionale dell'autoritàdi controllo ospite. Quest'ultima risponde del loro operato. 4. Le autorità di controllo stabiliscono gliaspetti pratici delle specifiche azioni di cooperazione. 5. Qualora un'autorità di controllo non siconformi entro un mese all'obbligo di cui al paragrafo 2, le altre autorità dicontrollo sono competenti a prendere misure provvisorie nel territorio del loroStato membro ai sensi dell'articolo 51, paragrafo 1. 6. L'autorità di controllo specifica il periododi validità delle misure provvisorie di cui al paragrafo 5. Detto periodo nonpuò essere superiore a tre mesi. L'autorità di controllo comunica senza ritardotali misure, debitamente motivate, al comitato europeo per la protezione deidati e alla Commissione, e sottopone la questione nell'ambito del meccanismo dicui all'articolo 57. S C
Articolo 57 Meccanismo di coerenza Ai fini di cui all'articolo 46, paragrafo 1, le autorità dicontrollo cooperano tra loro e con la Commissione nell'ambito del meccanismo dicoerenza specificato nella presente sezione. Articolo 58 Parere del comitato europeo per laprotezione dei dati 1. Prima di adottare una misura di cui alparagrafo 2, l'autorità di controllo comunica il progetto di misura al comitatoeuropeo per la protezione dei dati e alla Commissione. 2. L'obbligo di cui al paragrafo 1 si applicaalle misure destinate a produrre effetti giuridici e che: a) riguardano attività di trattamento finalizzateall'offerta di beni o servizi a interessati in più Stati membri o al controllodel loro comportamento, oppure b) possono incidere significativamente sulla libera circolazionedei dati personali all'interno dell'Unione, oppure c) sono finalizzate a stabilire un elenco di trattamentisoggetti a consultazione preventiva ai sensi dell'articolo 34, paragrafo 5,oppure d) sono finalizzate a determinare clausole tipo di protezione deidati ai sensi dell'articolo 42, paragrafo 2, lettera c), oppure e) sono finalizzate ad autorizzare clausole contrattuali aisensi dell'articolo 42, paragrafo 2, lettera d), oppure f) sono finalizzate ad approvare norme vincolanti d'impresa aisensi dell'articolo 43. 3. Ogni autorità di controllo o il comitatoeuropeo per la protezione dei dati può chiedere che una questione sia trattatanell'ambito del meccanismo di coerenza, in particolare qualora un'autorità dicontrollo non comunichi un progetto relativo a una misura di cui al paragrafo 2o non si conformi agli obblighi relativi all'assistenza reciproca ai sensidell'articolo 55 o alle operazioni congiunte ai sensi dell'articolo 56. 4. Al fine di garantire l'applicazione correttae coerente del presente regolamento, la Commissione può chiedere che unaquestione sia trattata nell'ambito del meccanismo di coerenza. 5. Le autorità di controllo e la Commissionecomunicano per via elettronica, con modulo standard, tutte le informazioniutili, in particolare, a seconda del caso, una sintesi dei fatti, il progettodi misura e i motivi che la rendono necessaria. 6. Il presidente del comitato europeo per laprotezione dei dati informa immediatamente per via elettronica, con modulostandard, i membri del comitato europeo per la protezione dei dati e laCommissione di tutte le informazioni utili che gli sono state comunicate. Senecessario, fornisce una traduzione delle informazioni. 7. Se i suoi membri lo decidono a maggioranzasemplice, o su richiesta di un'autorità di controllo, il comitato europeo perla protezione dei dati esprime un parere sulla questione entro una settimanadalla comunicazione delle informazioni utili ai sensi del paragrafo 5. Ilparere è adottato entro un mese a maggioranza semplice dei membri del comitatoeuropeo per la protezione dei dati. Il presidente del comitato europeo per la protezionedei dati informa del parere, senza ingiustificato ritardo, l'autorità dicontrollo di cui al paragrafo 1 o al paragrafo 3, a seconda del caso, laCommissione e l'autorità di controllo competente ai sensi dell'articolo 51, elo rende pubblico. 8. L'autorità di controllo di cui al paragrafo 1e l'autorità di controllo competente ai sensi dell'articolo 51 tengono contodel parere del comitato europeo per la protezione dei dati e, entro duesettimane dacché il presidente del comitato europeo per la protezione dei datile ha informate del parere, comunicano per via elettronica, con modulostandard, a detto presidente e alla Commissione se mantengono o se modificanoil progetto di misura e, se del caso, il progetto di misura modificato. Articolo 59 Parere della Commissione 1. Entro dieci settimane dacché è statasollevata una questione ai sensi dell'articolo 58, o entro sei settimane nelcaso di cui all'articolo 61, la Commissione può adottare un parere sullaquestione sollevata ai sensi degli articoli 58 o 61 al fine di garantirel'applicazione corretta e coerente del presente regolamento. 2. Qualora la Commissione abbia adottato unparere ai sensi del paragrafo 1, l'autorità di controllo in questione lo tienenella massima considerazione e informa la Commissione e il comitato europeo perla protezione dei dati della sua intenzione di mantenere o modificare ilprogetto di misura. 3. Durante il periodo di cui al paragrafo 1,l'autorità di controllo si astiene dall'adottare il progetto di misura. 4. Qualora non intenda conformarsi al pareredella Commissione, l'autorità di controllo ne informa la Commissione e ilcomitato europeo per la protezione dei dati entro il termine di cui alparagrafo 1, motivando la sua decisione. In tal caso il progetto di misura nonpuò essere adottato per un ulteriore periodo di un mese. Articolo 60 Sospensione di un progetto dimisura 1. Qualora dubiti seriamente che il progetto dimisura garantisca la corretta applicazione del presente regolamento e rischiinvece di portare a una sua applicazione non coerente, la Commissione, entro unmese dalla comunicazione di cui all'articolo 59, paragrafo 4, può adottare unadecisione motivata e ingiungere all'autorità di controllo di sospenderel'adozione del progetto di misura, tenuto conto del parere reso dal comitatoeuropeo per la protezione dei dati ai sensi dell'articolo 58, paragrafo 7, odell'articolo 61, paragrafo 2, qualora tale sospensione risulti necessaria per: a) conciliare le posizioni divergenti dell'autorità dicontrollo e del comitato europeo per la protezione dei dati, ove taleconciliazione appaia ancora possibile, oppure b) adottare una misura ai sensi dell'articolo 62, paragrafo 1,lettera a). 2. La Commissione specifica la durata dellasospensione, che non può essere superiore a dodici mesi. 3. Durante il periodo di cui al paragrafo 2,l'autorità di controllo si astiene dall'adottare il progetto di misura. Articolo 61 Procedura d'urgenza 1. In circostanze eccezionali, qualora ritengache urga intervenire per tutelare gli interessi degli interessati, inparticolare quando sussiste il pericolo che l'esercizio di un diritto possaessere gravemente ostacolato da un cambiamento della situazione esistente,oppure per evitare importanti inconvenienti o per altri motivi, l'autorità dicontrollo può, in deroga alla procedura di cui all'articolo 58, prendere misureprovvisorie immediate con un periodo di validità determinato. L'autorità dicontrollo comunica senza ritardo tali misure, debitamente motivate, al comitatoeuropeo per la protezione dei dati e alla Commissione. 2. Qualora abbia preso una misura ai sensi delparagrafo 1 e ritenga che sia urgente prendere misure definitive, l'autorità dicontrollo può chiedere un parere d'urgenza al comitato europeo per laprotezione dei dati, motivando la richiesta, in particolare l'urgenza di misuredefinitive. 3. Ogni autorità di controllo può chiedere unparere d'urgenza qualora l'autorità di controllo competente non abbia presomisure adeguate in una situazione in cui urge intervenire per tutelare gliinteressi degli interessati, motivando la richiesta, in particolare l'urgenzadell'intervento. 4. In deroga all'articolo 58, paragrafo 7, ilparere d'urgenza di cui ai paragrafi 2 e 3 è adottato entro due settimane amaggioranza semplice dei membri del comitato europeo per la protezione deidati. Articolo 62 Atti di esecuzione 1. La Commissione può adottare atti diesecuzione per: a) decidere in merito alla corretta applicazione delpresente regolamento, conformemente ai suoi obiettivi e requisiti, in relazionealle questioni sollevate dalle autorità di controllo ai sensi dell'articolo 58o dell'articolo 61, a una questione per la quale è stata adottata una decisionemotivata ai sensi dell'articolo 60, paragrafo 1, o a una questione per la qualeun'autorità di controllo non ha comunicato un progetto di misura e ha indicatoche non intende conformarsi al parere adottato dalla Commissione ai sensidell'articolo 59; b) decidere, entro il termine di cui all'articolo 59, paragrafo 1,sulla validità generale di progetti di clausole tipo di protezione dei dati aisensi dell'articolo 58, paragrafo 2, lettera d); c) specificare il formato e le procedure per l'applicazionedel meccanismo di coerenza di cui alla presente sezione; d) specificare le modalità per lo scambio di informazioni per viaelettronica tra autorità di controllo e tra le autorità di controllo e ilcomitato europeo per la protezione dei dati, in particolare il modulo standarddi cui all'articolo 58, paragrafi 5, 6 e 8. Tali atti di esecuzione sono adottati secondo la procedura d'esamedi cui all'articolo 87, paragrafo 2. 2. Per motivi imperativi d'urgenza debitamentegiustificati, connessi agli interessi degli interessati nei casi di cui alparagrafo 1, lettera a), la Commissione adotta atti di esecuzioneimmediatamente applicabili conformemente alla procedura di cui all'articolo 87,paragrafo 3. Tali atti rimangono in vigore per un periodo non superiore adodici mesi. 3. L'adozione o meno di una misura ai sensidella presente sezione lascia impregiudicata la possibilità per la Commissionedi adottare altre misure in virtù dei trattati. Articolo 63 Esecuzione 1. Ai fini del presente regolamento, le misureesecutive adottate dall'autorità di controllo di uno Stato membro sono eseguitein tutti gli Stati membri interessati. 2. Qualora un'autorità di controllo ometta dicomunicare un progetto di misura nell'ambito del meccanismo di coerenza inviolazione dell'articolo 58, paragrafi da 1 a 5, la misura dell'autorità dicontrollo è priva di validità giuridica e di carattere esecutivo. S C
Articolo 64 Comitato europeo per la protezionedei dati 1. È istituito un comitato europeo per laprotezione dei dati. 2. Il comitato europeo per la protezione deidati è composto dal responsabile di un'autorità di controllo di ciascuno Statomembro e dal garante europeo della protezione dei dati. 3. Qualora, in uno Stato membro, più autorità dicontrollo siano incaricate di sorvegliare l'applicazione delle disposizioni delpresente regolamento, queste nominano a rappresentante comune un lororesponsabile. 4. La Commissione ha il diritto di parteciparealle attività e alle riunioni del comitato europeo per la protezione dei dati edesigna un rappresentante. Il presidente del comitato europeo per la protezionedei dati informa senza ritardo la Commissione di tutte le attività del comitatoeuropeo per la protezione dei dati. Articolo 65 Indipendenza 1. Nell'esercizio dei suoi compiti ai sensidegli articoli 66 e 67, il comitato europeo per la protezione dei dati operacon indipendenza. 2. Fatte salve le richieste della Commissione dicui all'articolo 66, paragrafo 1, lettera b), e all'articolo 66, paragrafo 2,nell'esercizio dei suoi compiti il comitato europeo per la protezione dei datinon sollecita né accetta istruzioni da alcuno. Articolo 66 Compiti del comitato europeo perla protezione dei dati 1. Il comitato europeo per la protezione deidati garantisce l'applicazione coerente del presente regolamento. A tal fine, dipropria iniziativa o su richiesta della Commissione: a) consiglia la Commissione in merito a qualsiasi questionerelativa al trattamento dei dati personali nell'Unione, comprese eventualiproposte di modifica del presente regolamento; b) esamina, di propria iniziativa o su richiesta di uno dei suoimembri o della Commissione, qualsiasi questione relativa all'applicazione delpresente regolamento e pubblica linee direttrici, raccomandazioni e miglioripratiche destinate alle autorità di controllo al fine di promuoverel'applicazione coerente del presente regolamento; c) valuta l'applicazione pratica delle linee direttrici,raccomandazioni e migliori pratiche di cui alla lettera b), riferendoregolarmente alla Commissione; d) esprime pareri sui progetti di decisione delle autorità dicontrollo conformemente al meccanismo di coerenza di cui all'articolo 57; e) promuove la cooperazione e l'effettivo scambio diinformazioni e pratiche tra le autorità di controllo a livello bilaterale emultilaterale; f) promuove programmi comuni di formazione e facilita loscambio di personale tra le autorità di controllo e, se del caso, con leautorità di controllo di paesi terzi o di organizzazioni internazionali; g) promuove lo scambio di conoscenze e documentazione sulla legislazionee sulle pratiche in materia di protezione dei dati tra autorità di controllo ditutto il mondo. 2. Qualora chieda consulenza al comitato europeoper la protezione dei dati, la Commissione può fissare un termine entro ilquale questo deve rispondere alla richiesta, tenuto conto dell'urgenza dellaquestione. 3. Il comitato europeo per la protezione deidati trasmette pareri, linee direttrici, raccomandazioni e migliori pratichealla Commissione e al comitato di cui all'articolo 87, e li pubblica. 4. La Commissione informa il comitato europeoper la protezione dei dati del seguito dato ai suoi pareri, linee direttrici,raccomandazioni e migliori pratiche. Articolo 67 Relazioni 1. Il comitato europeo per la protezione deidati informa tempestivamente e regolarmente la Commissione dell'esito delleproprie attività. Redige una relazione annuale sullo stato della tutela dellepersone fisiche con riguardo al trattamento dei dati personali nell'Unione enei paesi terzi. La relazione include la valutazione dell'applicazione praticadelle linee direttrici, raccomandazioni e migliori pratiche di cui all'articolo66, paragrafo 1, lettera c). 2. La relazione è pubblicata e trasmessa alParlamento europeo, al Consiglio e alla Commissione. Articolo 68 Procedura 1. Il comitato europeo per la protezione deidati decide a maggioranza semplice dei suoi membri. 2. Il comitato europeo per la protezione deidati adotta il proprio regolamento interno e fissa le modalità del propriofunzionamento. In particolare, adotta disposizioni concernenti la continuazionedell'esercizio delle funzioni in caso di scadenza del mandato di un membro o disue dimissioni, la creazione di sottogruppi per questioni o settori specifici ela procedura applicabile nell'ambito del meccanismo di coerenza di cuiall'articolo 57. Articolo 69 Presidenza 1. Il comitato europeo per la protezione deidati elegge un presidente e due vicepresidenti tra i suoi membri. Uno deivicepresidenti è il garante europeo della protezione dei dati, salvo che siastato eletto presidente. 2. Il presidente e i vicepresidenti hanno unmandato di cinque anni, rinnovabile. Articolo 70 Compiti del presidente 1. Il presidente ha il compito di: a) convocare le riunioni del comitato europeo per laprotezione dei dati e stabilirne l'ordine del giorno; b) garantire l'adempimento dei compiti del comitato europeo per laprotezione dei dati, in particolare in relazione al meccanismo di coerenza dicui all'articolo 57. 2. Il comitato europeo per la protezione deidati fissa nel proprio regolamento interno la ripartizione dei compiti trapresidente e vicepresidenti. Articolo 71 Segreteria 1. Il comitato europeo per la protezione deidati dispone di una segreteria. Alle funzioni di segreteria provvede il garanteeuropeo della protezione dei dati. 2. La segreteria, sotto la direzione delpresidente, presta assistenza analitica, amministrativa e logistica al comitatoeuropeo per la protezione dei dati. 3. La segreteria è incaricata in particolare: a) della gestione ordinaria del comitato europeo per laprotezione dei dati; b) della comunicazione tra i membri del comitato europeo per laprotezione dei dati, il suo presidente e la Commissione, e della comunicazionecon le altre istituzioni e il pubblico; c) dell'uso di mezzi elettronici per la comunicazioneinterna ed esterna; d) della traduzione delle informazioni rilevanti; e) della preparazione delle riunioni del comitato europeoper la protezione dei dati e del relativo seguito; f) della preparazione, redazione e pubblicazione dei parerie di altri testi adottati dal comitato europeo per la protezione dei dati. Articolo 72 Riservatezza 1. Le deliberazioni del comitato europeo per laprotezione dei dati hanno carattere riservato. 2. I documenti trasmessi ai membri del comitatoeuropeo per la protezione dei dati, agli esperti e ai rappresentanti di terzisono riservati, tranne qualora sia stato concesso l'accesso a tali documenti anorma del regolamento (CE) n. 1049/2001 o il comitato europeo per la protezionedei dati li abbia resi pubblici in altro modo. 3. I membri del comitato europeo per laprotezione dei dati nonché gli esperti e i rappresentanti di terzi sono tenutia rispettare gli obblighi di riservatezza stabiliti al presente articolo. Ilpresidente si assicura che gli esperti e i rappresentanti di terzi siano messia conoscenza degli obblighi di riservatezza cui sono tenuti. CAPO VIII RICORSI,RESPONSABILITà E SANZIONI
Articolo 73 Diritto di proporre reclamoall'autorità di controllo 1. Fatto salvo ogni altro ricorso amministrativoo giurisdizionale, l'interessato che ritenga che il trattamento dei suoi datipersonali non sia conforme al presente regolamento ha il diritto di proporrereclamo all'autorità di controllo di qualunque Stato membro. 2. Ogni organismo, organizzazione o associazioneche tuteli i diritti e gli interessi degli interessati in relazione allaprotezione dei loro dati personali e che sia debitamente costituito ocostituita secondo la legislazione di uno Stato membro ha il diritto diproporre reclamo all'autorità di controllo di qualunque Stato membro per contodi uno o più interessati qualora ritenga che siano stati violati dirittiderivanti dal presente regolamento a seguito del trattamento di dati personali. 3. Indipendentemente dall'eventuale reclamodell'interessato, ogni organismo, organizzazione o associazione di cui alparagrafo 2 che ritenga che sussista violazione dei dati personali ha ildiritto di proporre reclamo all'autorità di controllo di qualunque Statomembro. Articolo 74 Diritto a un ricorso giurisdizionalecontro l'autorità di controllo 1. Ogni persona fisica o giuridica ha il dirittodi proporre ricorso giurisdizionale avverso le decisioni dell'autorità dicontrollo che la riguardano. 2. Ogni interessato ha il diritto di proporrericorso giurisdizionale per obbligare l'autorità di controllo a dare seguito aun reclamo qualora tale autorità non abbia preso una decisione necessaria pertutelarne i diritti o non lo abbia informato entro tre mesi dello stato odell'esito del reclamo ai sensi dell'articolo 52, paragrafo 1, lettera b). 3. Le azioni contro l'autorità di controllo sonopromosse dinanzi alle autorità giurisdizionali dello Stato membro in cuil'autorità di controllo è stabilita. 4. L'interessato che abbia formato oggetto diuna decisione dell'autorità di controllo di uno Stato membro diverso da quelloin cui risiede abitualmente può chiedere all'autorità di controllo dello Statomembro in cui risiede abitualmente di agire in giudizio per suo contonell'altro Stato membro nei confronti dell'autorità di controllo competente. 5. Gli Stati membri eseguono le decisionidefinitive delle autorità giurisdizionali di cui al presente articolo. Articolo 75 Diritto a un ricorsogiurisdizionale contro il responsabile del trattamento o l'incaricato deltrattamento 1. Fatto salvo ogni altro ricorso amministrativodisponibile, compreso il diritto di proporre reclamo a un'autorità di controllodi cui all'articolo 73, chiunque ha il diritto di proporre ricorsogiurisdizionale qualora ritenga che siano stati violati i diritti di cui gode anorma del presente regolamento in seguito a un trattamento dei suoi datipersonali non conforme al presente regolamento. 2. Le azioni contro il responsabile deltrattamento o l'incaricato del trattamento sono promosse dinanzi alle autoritàgiurisdizionali dello Stato membro in cui il responsabile del trattamento ol'incaricato del trattamento ha uno stabilimento. In alternativa, tali azionipossono essere promosse dinanzi alle autorità giurisdizionali dello Statomembro in cui l'interessato risiede abitualmente, salvo che il responsabile deltrattamento sia un'autorità pubblica nell'esercizio dei pubblici poteri. 3. Qualora nell'ambito del meccanismo dicoerenza di cui all'articolo 58 sia in corso un procedimento riguardante lastessa misura, decisione o pratica, l'autorità giurisdizionale può sospendereil procedimento di cui è stata investita, salvo qualora l'urgenza del caso perla protezione dei diritti dell'interessato non permetta di aspettare l'esitodel procedimento nell'ambito del meccanismo di coerenza. 4. Gli Stati membri eseguono le decisionidefinitive delle autorità giurisdizionali di cui al presente articolo. Articolo 76 Norme comuni per i procedimentigiurisdizionali 1. Ogni organismo, organizzazione o associazionedi cui all'artico 73, paragrafo 2, ha il diritto di esercitare i diritti di cuiagli articoli 74 e 75 per conto di uno o più interessati. 2. Ogni autorità di controllo ha il diritto diagire in sede giudiziale o stragiudiziale per far rispettare le disposizionidel presente regolamento o garantire la coerenza della protezione dei datipersonali all'interno dell'Unione. 3. L'autorità giurisdizionale competente di unoStato membro che abbia fondati motivi di ritenere che in un altro Stato membrosia in corso un procedimento parallelo contatta l'autorità giurisdizionalecompetente dell'altro Stato membro per ottenere conferma dell'esistenza delprocedimento parallelo. 4. Se il procedimento parallelo nell'altro Statomembro riguarda la stessa misura, decisione o pratica l'autoritàgiurisdizionale, può sospendere il procedimento. 5. Gli Stati membri provvedono affinché iricorsi giurisdizionali previsti dal diritto nazionale consentano di prendererapidamente provvedimenti, anche provvisori, atti a porre fine alle asseriteviolazioni e impedire ulteriori danni agli interessi in causa. Articolo 77 Diritto al risarcimento e responsabilità 1. Chiunque subisca un danno cagionato da untrattamento illecito o da altro atto incompatibile con il presente regolamentoha il diritto di ottenere il risarcimento del danno dal responsabile deltrattamento o dall'incaricato del trattamento. 2. Qualora il trattamento coinvolga piùresponsabili del trattamento o incaricati del trattamento, ogni responsabiledel trattamento o incaricato del trattamento risponde in solido per l'interoammontare del danno. 3. Il responsabile del trattamento ol'incaricato del trattamento può essere esonerato in tutto o in parte da taleresponsabilità se prova che l'evento dannoso non gli è imputabile. Articolo 78 Sanzioni 1. Gli Stati membri determinano le sanzioni perviolazione delle disposizioni del presente regolamento, compresa l'omessadesignazione del rappresentante a cura del responsabile del trattamento, eprendono tutti i provvedimenti necessari per la loro applicazione. Le sanzionipreviste devono essere efficaci, proporzionate e dissuasive. 2. Qualora il responsabile del trattamento abbiadesignato un rappresentante, le sanzioni si applicano al rappresentante, fattesalve le sanzioni applicabili al responsabile del trattamento. 3. Ogni Stato membro notifica alla Commissionele disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cuiall'articolo 91, paragrafo 2, e comunica senza ritardo ogni successivamodifica. Articolo 79 Sanzioni amministrative 1. Ogni autorità di controllo è abilitata aimporre sanzioni amministrative conformemente al presente articolo. 2. La sanzione amministrativa deve essereefficace, proporzionata e dissuasiva. L'ammontare è fissato tenuto debito contodella natura, della gravità e della durata della violazione, del caratteredoloso o colposo dell'illecito, del grado di responsabilità della personafisica o giuridica, delle precedenti violazioni da questa commesse, dellemisure e procedure tecniche e organizzative messe in atto ai sensi dell'articolo23 e del grado di cooperazione con l'autorità di controllo al fine di porrerimedio alla violazione. 3. In caso di prima inosservanza nonintenzionale del presente regolamento può essere inviato un avvertimento scritto,senza l'imposizione di sanzioni, qualora: (a) una persona fisicatratti dati personali senza un interesse commerciale, oppure (b) un'impresa o un'organizzazione con meno di 250 dipendentitratti dati personali solo accessoriamente rispetto alle attivitàprincipali. 4. L'autorità di controllo irroga sanzioniamministrative pecuniarie fino a 250 000 EUR o, per le imprese, fino allo 0,5%del fatturato mondiale annuo, a chiunque, con dolo o colpa: (a) non predispone i meccanismi per consentire all'interessato dipresentare richieste o non risponde all'interessato prontamente o nella formadovuta, in violazione dell'articolo 12, paragrafi 1 e 2; (b) fa pagare un contributospese per le informazioni o le risposte alle richieste dell'interessato, in violazionedell'articolo 12, paragrafo 4. 5. L'autorità di controllo irroga sanzioniamministrative pecuniarie fino a 500 000 EUR o, per le imprese, fino all'1% delfatturato mondiale annuo, a chiunque, con dolo o colpa: (a) non fornisce le informazioni, fornisceinformazioni incomplete o non fornisce le informazioni in modo sufficientementetrasparente all'interessato, in violazione dell'articolo 11, dell'articolo 12,paragrafo 3, e dell'articolo 14; (b) non dà l'accesso all'interessato o non rettifica i datipersonali, in violazione degli articoli 15 e 16, oppure non comunica aldestinatario le informazioni pertinenti, in violazione dell'articolo 13, (c) non rispetta il diritto all'oblio o alla cancellazione,omette di predisporre meccanismi che garantiscano il rispetto dei termini o nonprende tutte le misure necessarie per informare i terzi della richiestadell'interessato di cancellare tutti i link verso i dati personali, copiaretali dati o riprodurli, in violazione dell'articolo 17; (d) non fornisce copia dei dati personali in formatoelettronico oppure impedisce all'interessato di trasmettere i dati personali aun'altra applicazione, in violazione dell'articolo 18; (e) omette di determinare o non determina in modo sufficiente lerispettive responsabilità dei corresponsabili del trattamento, in violazionedell'articolo 24; (f) omette di conservare o non conserva in modosufficiente la documentazione di cui all'articolo 28, all'articolo 31,paragrafo 4, e all'articolo 44, paragrafo 3; (g) nei casi che non riguardano categorie particolari didati, non rispetta le norme sulla libertà di espressione o sul trattamento deidati nei rapporti di lavoro o le condizioni per il trattamento dei datipersonali per finalità storiche, statistiche e di ricerca scientifica, inviolazione degli articoli 80, 82 e 83. 6. L'autorità di controllo irroga sanzioniamministrative pecuniarie fino a 1000000EUR o, per le imprese, fino al 2% delfatturato mondiale annuo, a chiunque, con dolo o colpa:
7. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di aggiornarel'importo delle sanzioni amministrative pecuniarie di cui ai paragrafi 4, 5 e6, tenuto conto dei criteri di cui al paragrafo 2. CAPO IX DISPOSIZIONIRELATIVE A SPECIFICHE SITUAZIONI DI TRATTAMENTO DEI DATI
Articolo 80 Trattamento di dati personali elibertà d'espressione 1. Gli Stati membri prevedono, per iltrattamento dei dati personali effettuato esclusivamente a scopi giornalisticio di espressione artistica o letteraria, le esenzioni o le deroghe alledisposizioni concernenti i principi generali di cui al capo II, i dirittidell'interessato di cui al capo III, il responsabile del trattamento el'incaricato del trattamento di cui al capo IV, il trasferimento di datipersonali verso paesi terzi e organizzazioni internazionali di cui al capo V,le autorità di controllo indipendenti di cui al capo VI e la cooperazione e lacoerenza di cui al capo VII, al fine di conciliare il diritto alla protezionedei dati personali e le norme sulla libertà d'espressione. 2. Ogni Stato membro notifica alla Commissionele disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cuiall'articolo 91, paragrafo 2, e comunica senza ritardo ogni successivamodifica. Articolo 81 Trattamento di dati personalirelativi alla salute 1. Nei limiti del presente regolamento e inconformità dell'articolo 9, paragrafo 2, lettera h), il trattamento di datipersonali relativi alla salute deve essere effettuato sulla base didisposizioni del diritto dell'Unione o degli Stati membri che prevedano misureappropriate e specifiche a tutela dei legittimi interessi dell'interessato, edessere necessario: a) per finalità di medicina del lavoro, prevenzione medica,diagnosi, assistenza sanitaria o terapia ovvero gestione dei servizi sanitari,e quando il trattamento dei medesimi dati è effettuato da un professionistadella sanità vincolato da segreto professionale o altra persona del parisoggetta a un equivalente obbligo di segretezza ai sensi della legislazionedegli Stati membri o di norme stabilite dagli organismi nazionali competenti,oppure b) per motivi di interesse pubblico nel settore della sanitàpubblica, quali la protezione da gravi minacce per la salute a caratteretransfrontaliero o la garanzia di parametri elevati di qualità e sicurezza, tral'altro dei medicinali e dei dispositivi medici, oppure c) per altri motivi di interesse pubblico in settori qualila protezione sociale, soprattutto al fine di assicurare la qualità el'economicità delle procedure per soddisfare le richieste di prestazioni eservizi nell'ambito del regime di assicurazione sanitaria. 2. Il trattamento di dati personali relativialla salute che risulti necessario per finalità storiche, statistiche o diricerca scientifica, come la creazione di registri dei pazienti per migliorarele diagnosi, distinguere tra tipi simili di malattie e condurre studi sulleterapie, è soggetto alle condizioni e garanzie di cui all'articolo 83. 3. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare altrimotivi di interesse pubblico nel settore della sanità pubblica di cui alparagrafo 1, lettera b), e i criteri e i requisiti concernenti le garanzie peril trattamento dei dati personali per le finalità di cui al paragrafo 1. Articolo 82 Trattamento dei dati nei rapportidi lavoro 1. Nei limiti del presente regolamento, gliStati membri possono adottare con legge norme specifiche per il trattamento deidati personali dei dipendenti nell'ambito dei rapporti di lavoro, inparticolare per finalità di assunzione, esecuzione del contratto di lavoro,compreso l'adempimento degli obblighi stabiliti dalla legge o da accordicollettivi, di gestione, pianificazione e organizzazione del lavoro, salute esicurezza sul lavoro, e ai fini dell'esercizio e del godimento, individuale ocollettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalitàdi cessazione del rapporto di lavoro. 2. Ogni Stato membro notifica alla Commissionele disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cuiall'articolo 91, paragrafo 2, e comunica senza ritardo ogni successivamodifica. 3. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e i requisiti concernenti le garanzie per il trattamento dei datipersonali per le finalità di cui al paragrafo 1. Articolo 83 Trattamento per finalità storiche,statistiche e di ricerca scientifica 1. Nei limiti del presente regolamento, i datipersonali possono essere trattati per finalità storiche, statistiche e diricerca scientifica solo se: a) tali finalità non possono essere altrimenti conseguitetrattando dati che non consentono o non consentono più di identificarel'interessato; b) i dati che permettono di associare informazioni a uninteressato identificato o identificabile sono conservati separatamente dallealtre informazioni, nella misura in cui tali finalità possano essere conseguitein questo modo. 2. Gli organismi che svolgono ricerche storiche,statistiche o scientifiche possono pubblicare o divulgare altrimenti alpubblico i dati personali solo se: a) l'interessato ha espresso il proprio consenso, fattesalve le condizioni di cui all'articolo 7; b) la pubblicazione dei dati personali è necessaria per presentarei risultati della ricerca o per facilitarla, nella misura in cui gli interessio i diritti o le libertà fondamentali dell'interessato non prevalganosull'interesse della ricerca, oppure c) l'interessato ha reso pubblici i dati. 3. Alla Commissione è conferito il potere diadottare atti delegati conformemente all'articolo 86 al fine di precisare icriteri e i requisiti concernenti il trattamento dei dati personali per lefinalità di cui ai paragrafi 1 e 2, e ogni limitazione necessaria dei dirittidi informazione e accesso dell'interessato, e di specificare le condizioni e legaranzie per i diritti dell'interessato in tali circostanze. Articolo 84 Obblighi di segretezza 1. Nei limiti del presente regolamento, gliStati membri possono adottare norme specifiche per stabilire i poteriinvestigativi delle autorità di controllo di cui all'articolo 53, paragrafo 2,in relazione ai responsabili del trattamento o agli incaricati del trattamentoche sono soggetti, ai sensi della legislazione nazionale o di norme stabilitedagli organismi nazionali competenti, al segreto professionale o a un obbligodi segreto equivalente, ove siano necessarie e proporzionate per conciliare ildiritto alla protezione dei dati personali e l'obbligo di segretezza. Talinorme si applicano solo ai dati personali che il responsabile del trattamento ol'incaricato del trattamento ha ricevuto o ha ottenuto nel corso di un'attivitàprotetta dal segreto professionale. 2. Ogni Stato membro notifica alla Commissionele norme adottate ai sensi del paragrafo 1 entro la data di cui all'articolo91, paragrafo 2, e comunica senza ritardo ogni successiva modifica. Articolo 85 Norme di protezione dei dativigenti presso chiese e associazioni religiose 1. Qualora in uno Stato membro chiese eassociazioni o comunità religiose applichino, al momento dell'entrata in vigoredel presente regolamento, corpus completi di norme a tutela delle personefisiche con riguardo al trattamento dei dati personali, tali corpus possonocontinuare ad applicarsi purché siano conformi alle disposizioni del presenteregolamento. 2. Le chiese e le associazioni religiose cheapplicano i corpus completi di norme di cui al paragrafo 1 provvedono aistituire un'autorità di controllo indipendente ai sensi del capo VI delpresente regolamento. CAPO X ATTI DELEGATIE ATTI DI ESECUZIONE
Articolo 86 Esercizio della delega 1. Il potere di adottare atti delegati èconferito alla Commissione alle condizioni stabilite nel presente articolo. 2. La delega di potere di cui all'articolo 6,paragrafo 5, all'articolo 8, paragrafo 3, all'articolo 9, paragrafo 3,all'articolo 12, paragrafo 5, all'articolo 14, paragrafo 7, all'articolo 15,paragrafo 3, all'articolo 17, paragrafo 9, all'articolo 20, paragrafo 6,all'articolo 22, paragrafo 4, all'articolo 23, paragrafo 3, all'articolo 26,paragrafo 5, all'articolo 28, paragrafo 5, all'articolo 30, paragrafo 3,all'articolo 31, paragrafo 5, all'articolo 32, paragrafo 5, all'articolo 33,paragrafo 6, all'articolo 34, paragrafo 8, all'articolo 35, paragrafo 11,all'articolo 37, paragrafo 2, all'articolo 39, paragrafo 2, all'articolo 43,paragrafo 3, all'articolo 44, paragrafo 7, all'articolo 79, paragrafo 6,all'articolo 81, paragrafo 3, all'articolo 82, paragrafo 3 e all'articolo 83,paragrafo 3, è conferita alla Commissione per un periodo indeterminato adecorrere dalla data di entrata in vigore del presente regolamento. 3. La delega di potere di cui all'articolo 6,paragrafo 5, all'articolo 8, paragrafo 3, all'articolo 9, paragrafo 3,all'articolo 12, paragrafo 5, all'articolo 14, paragrafo 7, all'articolo 15,paragrafo 3, all'articolo 17, paragrafo 9, all'articolo 20, paragrafo 6,all'articolo 22, paragrafo 4, all'articolo 23, paragrafo 3, all'articolo 26,paragrafo 5, all'articolo 28, paragrafo 5, all'articolo 30, paragrafo 3,all'articolo 31, paragrafo 5, all'articolo 32, paragrafo 5, all'articolo 33,paragrafo 6, all'articolo 34, paragrafo 8, all'articolo 35, paragrafo 11,all'articolo 37, paragrafo 2, all'articolo 39, paragrafo 2, all'articolo 43,paragrafo 3, all'articolo 44, paragrafo 7, all'articolo 79, paragrafo 6,all'articolo 81, paragrafo 3, all'articolo 82, paragrafo 3 e all'articolo 83,paragrafo 3, può essere revocata in qualsiasi momento dal Parlamento europeo odal Consiglio. La decisione di revoca pone fine alla delega di potere ivispecificata. Gli effetti della decisione decorrono dal giorno successivo allapubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea oda una data successiva ivi specificata. Essa non pregiudica la validità degli attidelegati già in vigore. 4. Non appena adotta un atto delegato, laCommissione ne dà contestualmente notifica al Parlamento europeo e alConsiglio. 5. L'atto delegato adottato ai sensidell'articolo 6, paragrafo 5, dell'articolo 8, paragrafo3, dell'articolo 9,paragrafo 3, dell'articolo 12, paragrafo 5, dell'articolo14, paragrafo 7,dell'articolo 15, paragrafo 3, dell'articolo 17, paragrafo9, dell'articolo 20,paragrafo 6, dell'articolo 22, paragrafo 4, dell'articolo23, paragrafo 3,dell'articolo 26, paragrafo 5, dell'articolo 28, paragrafo5, dell'articolo 30,paragrafo 3, dell'articolo 31, paragrafo 5, dell'articolo32, paragrafo 5,dell'articolo 33, paragrafo 6, dell'articolo 34, paragrafo8, dell'articolo 35,paragrafo 11, dell'articolo 37, paragrafo 2, dell'articolo39, paragrafo 2,dell'articolo 43, paragrafo 3, dell'articolo 44, paragrafo7, dell'articolo 79,paragrafo 6, dell'articolo 81, paragrafo 3, dell'articolo 82, paragrafo 3 edell'articolo 83, paragrafo 3, entra in vigore solo se né il Parlamento europeoné il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalladata in cui esso è stato loro notificato o se, prima della scadenza di taletermine, sia il Parlamento europeo che il Consiglio hanno informato laCommissione che non intendono sollevare obiezioni. Tale termine è prorogato didue mesi su iniziativa del Parlamento europeo o del Consiglio. Articolo 87 Procedura di comitato 1. La Commissione è assistita da un comitato.Tale comitato è un comitato ai sensi del regolamento (UE) n. 182/2011. 2. Nel caso in cui è fatto riferimento alpresente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011. 3. Nel caso in cui è fatto riferimento alpresente paragrafo, si applica l'articolo 8 del regolamento (UE) n. 182/2011, incombinato disposto con l'articolo 5 del medesimo regolamento. CAPO XI DISPOSIZIONIFINALI
Articolo 88 Abrogazione della direttiva95/46/CE 1. La direttiva 95/46/CE è abrogata. 2. I riferimenti alla direttiva abrogata siintendono fatti al presente regolamento. I riferimenti al gruppo per la tuteladelle persone con riguardo al trattamento dei dati personali istituitodall'articolo 29 della direttiva 95/46/CE si intendono fatti al comitatoeuropeo per la protezione dei dati istituito dal presente regolamento. Articolo 89 Rapporto con la direttiva 95/46/CEe sue modifiche 1. Il presente regolamento non impone obblighisupplementari alle persone fisiche o giuridiche in relazione al trattamento deidati personali nel quadro della fornitura di servizi di comunicazioneelettronica accessibili al pubblico su reti pubbliche di comunicazionenell'Unione, per quanto riguarda le materie per le quali sono soggette aobblighi specifici aventi lo stesso obiettivo fissati dalla direttiva2002/58/CE. 2. L'articolo 1, paragrafo 2, della direttiva2002/58/CE è soppresso. Articolo 90 Valutazione La Commissione trasmette al Parlamento europeo e al Consiglio, ascadenze regolari, relazioni di valutazione e sul riesame del presenteregolamento. La prima relazione è trasmessa entro quattro anni dall'entrata invigore del presente regolamento, le successe sono trasmesse ogni quattro anni.Se del caso, la Commissione presenta opportune proposte di modifica delpresente regolamento e per l'allineamento di altri strumenti giuridici tenutoconto, in particolare, degli sviluppi delle tecnologie dell'informazione e deiprogressi della società dell'informazione. Le relazioni sono pubblicate. Articolo 91 Entrata in vigore e applicazione 1. Il presente regolamento entra in vigore ilventesimo giorno successivo alla pubblicazione nella Gazzetta ufficialedell'Unione europea. 2. Esso si applica a decorrere da [due annidalla data di cui al paragrafo 1]. Il presente regolamento è obbligatorioin tutti i suoi elementi e direttamente applicabile in ciascuno degli Statimembri. Fatto a Bruxelles, il 25.1.2012 Per il Parlamento europeo Il presidente Per il Consiglio Il presidente
NOTE 2. 3. 4. 5. COM(2010) 245 definitivo. 6. COM(2010) 2020 definitivo. 7. "Programma di Stoccolma —Un'Europa aperta e sicura al servizio e a tutela dei cittadini" 8. (GU C 115 del 4.5.2010, pag. 1). 9. Risoluzione del Parlamento europeosulla comunicazione della Commissione al Parlamento europeo e al Consiglio daltitolo "Uno spazio di libertà, sicurezza e giustizia al servizio dei cittadini- Programma di Stoccolma", adottata il 25 novembre 2009 (P7_TA (2009) 0090). 10. COM(2010) 171 definitivo. 11. COM(2010) 609 definitivo. SpecialeEurobarometro (EB) 359, Data Protection and Electronic Identity in the EU (2011):http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. 12. 13. I contributi che non rivestonocarattere riservato sono consultabili sul sito web della Commissione. 14. I contributi che non rivestonocarattere riservato sono consultabili sul sito web della Commissione. 15. 16. 17. 18. Agenzia europea per la sicurezzadelle reti e dell'informazione (ENISA), che si occupa di questioni di sicurezzaconnesse alle reti di comunicazione e ai sistemi di informazione. 19. Cfr.http://www.enisa.europa.eu/act/it/data-breach-notification. SpecialeEurobarometro (EB) 359, Data Protection and Electronic Identity in the EU (2011):http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. 20. Oltre allo studio citato alla nota2, si veda lo studio comparativo sui diversi approcci alle nuove sfide per laprivacy soprattutto alla luce degli sviluppi tecnologici (Comparative studyon different approaches to new privacy challenges, in particular in the lightof technological developments), gennaio 2010: ( 21. Il Gruppo di lavoro è statoistituito nel 1996 (dall'articolo 29 della direttiva); è un organo consultivocomposto dal rappresentante dell'autorità di protezione dei dati di ciascunoStato membro, dal garante europeo della protezione dei dati e dallaCommissione. Per maggiori informazioni sulle sue attività, si consulti il sito:http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. 22. Si vedano in particolare i parerisui seguenti argomenti: il "futuro della vita privata" (2009, WP 168); iconcetti di "responsabile del trattamento" e "incaricato del trattamento"(1/2010, WP 169); la pubblicità comportamentale on line (2/2010, WP 171); ilprincipio di responsabilità (3/2010, WP 173); il diritto applicabile (8/2010,WP 179); il consenso (15/2011, WP 187). 23. Su richiesta della Commissione, ilGruppo ha adottato anche i tre seguenti documenti, rispettivamente sullenotificazioni, sui dati sensibili e sull'attuazione pratica dell'articolo 28,paragrafo 6, della direttiva sulla protezione dei dati. 24. I documenti sono consultabili alla pagina: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm. 25. Disponibile sul sito del GEPD: 26. Risoluzione del Parlamento europeodel 6 luglio 2011 su un approccio globale in materia di protezione dei datipersonali nell'Unione europea (2011/2025 (INI),http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244 (relatore: on. Axel Voss (PPE/DE).SEC(2012)72. CESE 999/2011. 27. Cause riunite C-92/09 e C-93/09:Sentenza della Corte di giustizia dell'Unione europea 9 novembre 2010 - Volkerund Markus Schecke e Eifert, Racc. 2010, pag. I-0000. 28. Conformemente all'articolo 52,paragrafo 1, della Carta, eventuali limitazioni all'esercizio del diritto allaprotezione dei dati devono essere previste dalla legge e rispettare ilcontenuto essenziale di detti diritti e libertà. Nel rispetto del principio diproporzionalità, possono essere apportate limitazioni solo laddove sianonecessarie e rispondano effettivamente a finalità di interesse generalericonosciute dall'Unione o all'esigenza di proteggere i diritti e le libertàaltrui. 29. Direttiva 2002/58/CE del Parlamentoeuropeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei datipersonali e alla tutela della vita privata nel settore delle comunicazionielettroniche (direttiva relativa alla vita privata e alle comunicazionielettroniche) (GU L 201 del 31.7.2002, pag. 37). 30. Direttiva 2009/136/CE delParlamento europeo e del Consiglio, del 25 novembre 2009, recante modificadella direttiva 2002/22/CE relativa al servizio universale e ai diritti degliutenti in materia di reti e di servizi di comunicazione elettronica, delladirettiva 2002/58/CE relativa al trattamento dei dati personali e alla tuteladella vita privata nel settore delle comunicazioni elettroniche e delregolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionaliresponsabili dell'esecuzione della normativa a tutela dei consumatori (GU L 337del 18.12.2009, pag. 11). 31. Adottata e aperta alla firma,ratifica ed adesione dall'Assemblea generale delle Nazioni Unite con larisoluzione 44/25 del 20.11.1989. 32. 33. CM/Rec (2010)13. 34. Causa C-518/07: Sentenza dellaCorte di giustizia dell'Unione europea 9 marzo 2010 - Commissione / Germania,Racc. 2010, pag. I-1885. 35. Regolamento (CE) n. 45/2001 delParlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tuteladelle persone fisiche in relazione al trattamento dei dati personali da partedelle istituzioni e degli organismi comunitari, nonché la libera circolazionedi tali dati (GU L 8 del 12.1.2001, pag. 1). 36. Op. cit., nota 34. 37. 38. Sulla base dell'articolo 5,paragrafo 1, della decisione quadro 2009/948/GAI del Consiglio, del 30novembre2009, sulla prevenzione e la risoluzione dei conflitti relativi all'eserciziodella giurisdizione nei procedimenti penali (GU L 328, 15.12.2009, pag. 42), edell'articolo 13, paragrafo 1, del regolamento (CE) n. 1/2003, del 16 dicembre2002, concernente l'applicazione delle regole di concorrenza di cui agliarticoli 81 e 82 del trattato (GU L 1 del 4.1.2003, pag. 1). 39. Sulla base dell'articolo 18,paragrafo 1, della direttiva 2000/31/CE del Parlamento europeo e del Consiglio,dell'8 giugno 2000, relativa a taluni aspetti giuridici dei servizi dellasocietà dell'informazione, in particolare il commercio elettronico, nel mercatointerno ("direttiva sul commercio elettronico") (GU L 178 del 17.7.2000, pag.1). 40. Per l'interpretazione, si veda adesempio la causa C-73/07: sentenza della Corte di giustizia dell'Unione europea16 dicembre 2008 - Tietosuojavaltuutettu/Satakunnan Markkinapörssi Oy,Satamedia Oy, Racc. 2008 pag. I-9831. 41. 42. GU C [...] del [...], pag. [...]. 43. 45. 46. 47 GU L 53 del 27.2.2008, pag. 52. 48 GU L 160 del 18.6.2011, pag. 19.
|