Decisione del Consiglio dell'Unione Europea sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale

CONSIGLIO DELL'UNIONE EUROPEA

ATTI ADOTTATI A NORMA DEL TITOLO VI DEL TRATTATO UE
DECISIONE QUADRO 2008/977/GAI DEL CONSIGLIO del 27 novembre 2008

sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale

IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato sull’Unione europea, in particolare l’articolo 30, l’articolo 31 e l’articolo 34, paragrafo 2, lettera b), vista la proposta della Commissione, visto il parere del Parlamento europeo ⁽¹⁾, considerando quanto segue:

(1) L’Unione europea si è prefissa l’obiettivo di far sì che l’Unione si conservi e si sviluppi come uno spazio di libertà, sicurezza e giustizia in cui un elevato livello di sicurezza sia offerto dalle azioni comuni degli Stati membri nel settore della cooperazione di polizia e giudiziaria in materia penale.

(2) Le azioni comuni nel settore della cooperazione di polizia ai sensi dell’articolo 30, paragrafo 1, lettera b), del trattato sull’Unione europea e le azioni comuni nel settore della cooperazione giudiziaria in materia penale ai sensi dell’articolo 31, paragrafo 1, lettera a), del trattato sull’Unione europea richiedono un trattamento delle informazioni pertinenti che dovrebbe essere disciplinato da adeguate disposizioni sulla protezione dei dati personali.

(3) La legislazione che rientra nell’ambito del titolo VI del trattato sull’Unione europea dovrebbe rafforzare la cooperazione giudiziaria e di polizia in materia penale per quanto riguarda l’efficacia e la legittimità e il rispetto dei diritti fondamentali, soprattutto il diritto alla riservatezza e alla protezione dei dati personali. Le norme comuni sul trattamento e la protezione dei dati personali trattati ai fini della prevenzione e della lotta contro la criminalità contribuiscono a raggiungere entrambi gli obiettivi.

(4) Il programma dell’Aia sul rafforzamento della libertà, della sicurezza e della giustizia nell’Unione europea, adottato dal Consiglio europeo il 4 novembre 2004, ha sottolineato la necessità di un approccio innovativo nei confronti dello scambio transfrontaliero di informazioni in materia di applicazione della legge nel rigoroso rispetto delle condizioni fondamentali per quanto riguarda la protezione dei dati e ha invitato la Commissione a presentare proposte in proposito entro la fine del 2005. Ciò ha trovato riscontro nel piano d’azione del Consiglio e della Commissione sull’attuazione del programma dell’Aia inteso a rafforzare la libertà, la sicurezza e la giustizia nell’Unione europea ⁽²⁾.

(5) Lo scambio dei dati personali nell’ambito della cooperazione giudiziaria e di polizia in materia penale, segnatamente in conformità del principio di disponibilità delle informazioni stabilito dal programma dell’Aia, dovrebbe essere retto da norme chiare che rafforzino la fiducia reciproca delle autorità competenti e garantiscano che le informazioni pertinenti siano protette in modo da escludere qualsiasi discriminazione riguardo a tale cooperazione tra Stati membri pur nel pieno rispetto dei diritti fondamentali dell’individuo. Gli strumenti esistenti a livello europeo non sono sufficienti; la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽³⁾, non si applica al trattamento dei dati personali nel corso di attività che esulino dall’ambito di applicazione del diritto comunitario, come quelle previste dal titolo VI del trattato sull’Unione europea né, in ogni caso, ai trattamenti relativi alla sicurezza pubblica, alla difesa, alla sicurezza dello Stato o alle attività dello Stato in materia di diritto penale.

(6) La presente decisione quadro si applica soltanto ai dati raccolti o trattati da autorità competenti ai fini della prevenzione, dell’indagine, dell’accertamento o del perseguimento dei reati o dell’esecuzione delle sanzioni penali. La presente decisione quadro dovrebbe lasciare agli Stati membri la competenza di stabilire in modo più preciso, a livello nazionale, quali altri fini siano da considerare incompatibili con la finalità per la quale i dati personali sono stati inizialmente rilevati. In generale, il trattamento successivo per scopi storici, statistici o scientifici non dovrebbe essere considerato incompatibile con la finalità iniziale del trattamento.

(7) L’ambito di applicazione della presente decisione quadro si limita al trattamento dei dati personali trasmessi o resi disponibili tra Stati membri. Non si dovrebbero trarre conclusioni da detta limitazione in merito alla competenza dell’Unione ad adottare atti connessi alla raccolta e al trattamento dei dati personali a livello nazionale o all’opportunità che l’Unione lo faccia in futuro.

(8) Al fine di facilitare gli scambi di dati nell’ambito dell’Unione europea, gli Stati membri intendono assicurare che il livello di protezione dei dati raggiunto nel trattamento dei dati a livello nazionale corrisponda a quello previsto dalla presente decisione quadro. In relazione al trattamento dei dati a livello nazionale, la presente decisione quadro non osta a che gli Stati membri prevedano, per la protezione dei dati personali, garanzie più elevate di quelle stabilite nella presente decisione quadro.

(9) La presente decisione quadro non si dovrebbe applicare ai dati personali che uno Stato membro ha ottenuto nell’ambito della presente decisione quadro e che sono originari di tale Stato membro.

(10) Il ravvicinamento delle legislazioni degli Stati membri non dovrebbe portare a una riduzione del livello di protezione dei dati ma dovrebbe, al contrario, cercare di garantire che esso sia elevato in tutta l’Unione.

(11) È necessario specificare gli obiettivi della protezione dei dati nell’ambito delle attività giudiziarie e di polizia e istituire norme sulla legalità del trattamento dei dati personali al fine di garantire che tutte le informazioni che possono essere scambiate siano state trattate in maniera legale e conformemente ai principi fondamentali in materia di qualità dei dati. Al tempo stesso, le legittime attività delle autorità giudiziarie, doganali, di polizia e delle altre autorità competenti non dovrebbero in alcun modo essere compromesse.

(12) Il principio dell’esattezza dei dati deve essere applicato tenendo conto della natura e della finalità del trattamento in questione. Ad esempio, in particolare nei procedimenti giudiziari i dati sono basati sulla percezione soggettiva delle persone e in alcuni casi non sono assolutamente verificabili. Il requisito dell’esattezza non può pertanto riferirsi all’esattezza di una dichiarazione ma semplicemente al fatto che è stata rilasciata una determinata dichiarazione.

(13) L’archiviazione in un insieme di dati distinto dovrebbe essere autorizzata solo se i dati non sono più necessari e utilizzati ai fini della prevenzione, dell’indagine, dell’accertamento o del perseguimento dei reati o dell’esecuzione delle sanzioni penali. L’archiviazione in un insieme di dati distinto dovrebbe essere altresì autorizzata se i dati archiviati sono conservati in una banca dati con altri dati in modo che non possano più essere utilizzati ai fini della prevenzione, dell’indagine, dell’accertamento o del perseguimento dei reati o dell’esecuzione delle sanzioni penali. La pertinenza della durata di archiviazione dovrebbe dipendere dai fini dell’archiviazione e dagli interessi legittimi delle persone interessate. Nel caso di archiviazione a fini storici, può essere previsto un periodo molto lungo.

(14) I dati possono anche essere cancellati mediante distruzione del supporto.

(15) La rettifica, la cancellazione o il blocco dei dati imprecisi, incompleti o non più aggiornati trasmessi o messi a disposizione di un altro Stato membro e successivamente trattati da autorità semi-giudiziarie, vale a dire autorità con poteri di emettere decisioni giuridicamente vincolanti, dovrebbero avvenire in conformità del diritto nazionale.

(16) Per garantire un elevato livello di protezione dei dati personali delle persone sono necessarie disposizioni comuni al fine di determinare la legalità e la qualità dei dati trattati dalle autorità competenti in altri Stati membri.

(17) È opportuno fissare a livello europeo le condizioni alle quali le autorità competenti degli Stati membri dovrebbero essere autorizzate a trasmettere e rendere disponibili i dati personali pervenuti da altri Stati membri alle autorità e ai privati negli Stati membri. In molti casi la trasmissione di dati personali a privati da parte di autorità giudiziarie, di polizia o doganali è necessaria per perseguire i reati o prevenire una seria e immediata minaccia alla sicurezza pubblica o un grave danno ai diritti delle persone, ad esempio segnalando falsificazioni di titoli alle banche e agli enti creditizi oppure, nel settore della criminalità connessa con veicoli, comunicando dati personali alle compagnie di assicurazione per prevenire il traffico illecito di autoveicoli rubati o migliorare le condizioni per il recupero all’estero degli autoveicoli rubati.

Ciò non equivale al trasferimento di compiti di polizia o giudiziari a privati.

(18) Le norme della presente decisione quadro relative alla trasmissione di dati personali da parte di autorità giudiziarie, di polizia o doganali a privati non si applicano alla divulgazione di dati a privati (quali difensori e vittime) nel contesto di azioni penali.

(19) L’ulteriore trattamento dei dati personali ricevuti o resi disponibili dalle autorità competenti di un altro Stato membro, in particolare l’ulteriore trasmissione o messa a disposizione di tali dati, dovrebbe essere disciplinato da norme comuni a livello europeo.

(20) Qualora i dati personali possano essere successivamente trattati previo consenso dello Stato membro presso cui sono stati ottenuti, ciascuno Stato membro dovrebbe poter stabilire le modalità di tale consenso, anche ad esempio tramite un consenso generale per categorie di informazioni o di trattamento successivo.

(21) Qualora i dati personali possano essere successivamente trattati per procedimenti amministrativi, tali procedimenti includono anche attività espletate da organismi di regolamentazione o di controllo.

(22) Le attività legittime delle autorità giudiziarie, doganali, di polizia e delle altre autorità competenti possono richiedere l’invio di dati ad autorità di Stati terzi o a organismi internazionali che hanno obblighi in materia di prevenzione, indagine, accertamento o perseguimento dei reati o di esecuzione delle sanzioni penali.

(23) Qualora i dati personali siano trasferiti da uno Stato membro a Stati terzi od organismi internazionali, tali dati dovrebbero, in linea di principio, godere di un adeguato livello di protezione.

(24) Qualora i dati personali siano trasferiti da uno Stato membro a Stati terzi od organismi internazionali, tale trasferimento dovrebbe avvenire, in linea di principio, unicamente dopo che lo Stato membro presso cui sono stati ottenuti i dati ha acconsentito al trasferimento. Ciascuno Stato membro dovrebbe poter stabilire le modalità di tale consenso, anche ad esempio tramite un consenso generale per categorie di informazioni o per Stati terzi specifici.

(25) Ai fini di una cooperazione efficace in materia di applicazione della legge è necessario che, qualora la natura di una minaccia alla sicurezza pubblica di uno Stato membro o di un paese terzo sia tanto immediata da rendere impossibile l’ottenimento del consenso preliminare in tempo utile, l’autorità competente dovrebbe poter trasferire i dati personali pertinenti al paese terzo interessato senza tale consenso preliminare. Lo stesso potrebbe valere qualora siano in gioco altri intessi essenziali di pari importanza di uno Stato membro, ad esempio qualora le infrastrutture critiche di uno Stato membro possano essere oggetto di una seria e immediata minaccia o qualora il sistema finanziario di uno Stato membro possa essere gravemente perturbato.

(26) Al fine di garantire la possibilità di un’effettiva tutela giuridica, potrebbe essere necessario fornire alla persona interessata le informazioni inerenti al trattamento dei suoi dati, specie in caso di lesione particolarmente grave dei suoi diritti a seguito di interventi di raccolta clandestina di dati.

(27) Gli Stati membri dovrebbero provvedere affinché la persona interessata sia informata che i dati personali potrebbero essere o sono raccolti, trattati o trasmessi a un altro Stato membro a fini di prevenzione, indagine, accertamento e perseguimento dei reati o di esecuzione delle sanzioni penali. Le modalità del diritto della persona interessata a essere informata e le relative eccezioni dovrebbero essere determinate dalla legislazione nazionale.

Ciò potrebbe avvenire in via generale, per esempio mediante la legislazione o la pubblicazione di un elenco dei trattamenti.

(28) Al fine di garantire la protezione dei dati personali senza compromettere gli interessi delle indagini penali è necessario definire i diritti della persona interessata.

(29) Alcuni Stati membri hanno previsto il diritto di accesso della persona interessata in materia penale attraverso un sistema per cui l’autorità nazionale di controllo, in luogo della persona interessata, ha accesso senza restrizioni a tutti i dati personali concernenti la persona interessata e può anche rettificare, cancellare o aggiornare dati inesatti.

In questo caso di accesso indiretto, la legislazione nazionale di tali Stati membri può prevedere che l’autorità nazionale di controllo informi la persona interessata soltanto del fatto che sono state effettuate tutte le verifiche necessarie. Tuttavia, detti Stati membri prevedono anche possibilità di accesso diretto della persona interessata in casi specifici, quali l’accesso ai casellari giudiziari, al fine di ottenere copie del proprio certificato penale o documenti relativi ai propri interrogatori condotti dai servizi di polizia.

(30) È opportuno stabilire norme comuni sulla riservatezza e la sicurezza del trattamento, sulla responsabilità e le sanzioni in caso di uso illegittimo da parte delle autorità competenti e sui ricorsi giurisdizionali che possono essere proposti dalla persona interessata. Spetta tuttavia ai singoli Stati membri determinare la natura delle proprie norme in materia di responsabilità da illecito e delle sanzioni applicabili in caso di violazione delle disposizioni nazionali sulla protezione dei dati.

(31) La presente decisione quadro consente che nell’applicazione dei principi in essa stabiliti si tenga conto del principio dell’accesso del pubblico ai documenti ufficiali.

(32) Qualora sia necessario per proteggere i dati personali in relazione a un trattamento che, per portata o per tipo, comporti rischi specifici per i diritti e le libertà fondamentali, ad esempio trattamento con tecnologie, procedure o meccanismi nuovi, è opportuno prevedere che le competenti autorità nazionali di controllo siano consultate prima della creazione di archivi destinati al trattamento di tali dati.

(33) L’istituzione negli Stati membri di autorità di controllo che esercitino le proprie funzioni in piena indipendenza è una componente essenziale della protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia tra gli Stati membri.

(34) Le autorità di controllo già istituite negli Stati membri ai sensi della direttiva 95/46/CE dovrebbero poter essere incaricate anche dei compiti che devono essere adempiuti dalle autorità di controllo nazionali da istituire a norma della presente decisione quadro.

(35) Le autorità di controllo dovrebbero disporre dei mezzi necessari all’adempimento dei loro compiti, compresi poteri investigativi o di intervento, segnatamente in caso di reclami di singoli individui, nonché poteri di avviare azioni legali. Tali autorità di controllo dovrebbero contribuire alla trasparenza dei trattamenti effettuati nello Stato membro da cui dipendono. Tuttavia, i poteri di tali autorità non dovrebbero interferire con le norme specifiche stabilite per i procedimenti penali o con l’indipendenza della magistratura.

(36) L’articolo 47 del trattato sull’Unione europea prevede che nulla deve pregiudicare i trattati che istituiscono le Comunità europee né i trattati e gli atti successivi che li hanno modificati o completati. Conformemente a ciò, la presente decisione quadro non pregiudica la protezione dei dati personali ai sensi del diritto comunitario, segnatamente a norma di quanto previsto dalla direttiva 95/46/CE, dal regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ⁽⁴⁾, e dalla direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) ⁽⁵⁾.

(37) La presente decisione quadro non pregiudica le norme relative all’accesso illecito ai dati previste dalla decisione quadro 2005/222/GAI del Consiglio, del 24 febbraio 2005, relativa agli attacchi contro i sistemi di informazione ⁽⁶⁾.

(38) La presente decisione quadro non pregiudica gli obblighi vigenti e gli impegni incombenti agli Stati membri o all’Unione in virtù di accordi bilaterali e/o multilaterali conclusi con paesi terzi. I futuri accordi dovrebbero rispettare le norme relative agli scambi con i paesi terzi.

(39) Diversi atti adottati a norma del titolo VI del trattato sull’Unione europea contengono norme specifiche riguardanti la protezione dei dati personali scambiati o altrimenti trattati conformemente a tali atti. In alcuni casi queste disposizioni costituiscono una serie completa e coerente di regole che coprono tutti gli aspetti pertinenti della protezione dei dati (principi della qualità dei dati, norme sulla sicurezza dei dati, regolamentazione dei diritti delle persone interessate e delle garanzie previste per le stesse, organizzazione del controllo e responsabilità) e disciplinano queste materie più dettagliatamente della presente decisione quadro. Questa dovrebbe lasciare impregiudicata la pertinente serie di disposizioni sulla protezione dei dati di detti atti, segnatamente quelle che disciplinano il funzionamento dell’Europol, di Eurojust, del sistema d’informazione Schengen (SIS) e del sistema informativo doganale (SID) e quelle che introducono l’accesso diretto delle autorità degli Stati membri a taluni sistemi di dati di altri Stati membri. Lo stesso vale per quanto riguarda le disposizioni di protezione dei dati che disciplinano il trasferimento automatizzato tra Stati membri di profili DNA, dati dattiloscopici e dati nazionali di immatricolazione dei veicoli a norma della decisione 2008/615/GAI del Consiglio del 23 giugno 2008 sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalità transfrontaliera ⁽⁷⁾.

(40) In altri casi, le disposizioni sulla protezione dei dati contenute in atti adottati a norma del titolo VI del trattato sull’Unione europea hanno una portata più limitata. Spesso stabiliscono condizioni specifiche, per lo Stato membro che riceve da altri Stati membri un’informazione contenente dati personali, circa le finalità per cui tali dati possono essere utilizzati, mentre per altri aspetti della protezione dei dati rinviano alla convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato dei dati di carattere personale del 28 gennaio 1981 o alla legislazione nazionale. Se le disposizioni di tali atti pongono condizioni allo Stato membro destinatario in merito all’uso o all’ulteriore trasferimento di dati personali più restrittive rispetto alle corrispondenti disposizioni della presente decisione quadro, le precedenti disposizioni dovrebbero rimanere impregiudicate.

Tuttavia, per tutti gli altri aspetti, si dovrebbero applicare le norme di cui alla presente decisione quadro.

(41) La presente decisione lascia impregiudicati la convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, il protocollo addizionale di tale convenzione dell’8 novembre 2001 o le convenzioni del Consiglio d’Europa sulla cooperazione giudiziaria in materia penale.

(42) Poiché l’obiettivo della presente azione comune, ossia la definizione di norme comuni per la protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale, non può essere realizzato in misura sufficiente dagli Stati membri, e può dunque, a causa delle dimensioni e degli effetti dell’intervento, essere realizzato meglio a livello dell’Unione, l’Unione può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato che istituisce la Comunità europea e richiamato all’articolo 2 del trattato sull’Unione europea. La presente decisione quadro si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato all’articolo 5 del trattato che istituisce la Comunità europea.

(43) Il Regno Unito partecipa alla presente decisione quadro a norma dell’articolo 5 del protocollo sull’integrazione dell’acquis di Schengen nell’ambito dell’Unione europea allegato al trattato sull’Unione europea e al trattato che istituisce la Comunità europea, e dell’articolo 8, paragrafo 2, della decisione 2000/365/CE del Consiglio, del 29 maggio 2000, riguardante la richiesta del Regno Unito di Gran Bretagna e Irlanda del Nord di partecipare ad alcune disposizioni dell’acquis di Schengen ⁽⁸⁾.

(44) L’Irlanda partecipa alla presente decisione quadro a norma dell’articolo 5 del protocollo sull’integrazione dell’acquis di Schengen nell’ambito dell’Unione europea allegato al trattato sull’Unione europea e al trattato che istituisce la Comunità europea, e dell’articolo 6, paragrafo 2, della decisione 2002/192/CE del Consiglio, del 28 febbraio 2002, riguardante la richiesta dell’Irlanda di partecipare ad alcune disposizioni dell’acquis di Schengen ⁽⁹⁾.

(45) Per quanto riguarda l’Islanda e la Norvegia, la presente decisione quadro costituisce uno sviluppo delle disposizioni dell’acquis di Schengen ai sensi dell’accordo concluso dal Consiglio dell’Unione europea con la Repubblica d’Islanda e il Regno di Norvegia sulla loro associazione all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen ⁽¹⁰⁾, che rientrano nel settore di cui all’articolo 1, punti H e I, della decisione 1999/437/CE del Consiglio relativa a talune modalità di applicazione di detto accordo ⁽¹¹⁾.

(46) Per quanto riguarda la Svizzera, la presente decisione quadro costituisce uno sviluppo delle disposizioni dell’acquis di Schengen ai sensi dell’accordo tra l’Unione europea, la Comunità europea e la Confederazione svizzera riguardante l’associazione di quest’ultima all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen ⁽¹²⁾, che rientrano nel settore di cui all’articolo 1, punti H e I, della decisione 1999/437/CE, in combinato disposto con l’articolo 3 della decisione 2008/149/GAI del Consiglio ⁽¹³⁾ relativa alla conclusione di tale accordo a nome dell’Unione europea.

(47) Per quanto riguarda il Liechtenstein, la presente decisione costituisce uno sviluppo delle disposizioni dell’acquis di Schengen ai sensi del protocollo tra l’Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull’adesione del Principato del Liechtenstein all’accordo tra l’Unione europea, la Comunità europea e la Confederazione svizzera riguardante l’associazione della Confederazione svizzera all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen, che rientrano nel settore di cui all’articolo 1, lettere H e I, della decisione 1999/437/CE, in combinato disposto con l’articolo 3 della decisione 2008/262/GAI del Consiglio relativa alla firma di tale protocollo a nome dell’Unione europea ⁽¹⁴⁾.

(48) La presente decisione quadro rispetta i diritti fondamentali e osserva i principi sanciti in particolare dalla Carta dei diritti fondamentali dell’Unione europea ⁽¹⁵⁾. La presente decisione quadro cerca di garantire il pieno rispetto del diritto alla tutela della vita privata e del diritto alla protezione dei dati di carattere personale di cui agli articoli 7 e 8 della Carta,

HA ADOTTATO LA PRESENTE DECISIONE QUADRO:

Articolo 1

Oggetto e ambito di applicazione

1. L’oggetto della presente decisione quadro è assicurare un elevato livello di protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del diritto alla vita privata, riguardo al trattamento dei dati personali nell’ambito della cooperazione giudiziaria e di polizia in materia penale di cui al titolo VI del trattato sull’Unione europea, garantendo nel contempo un elevato livello di sicurezza pubblica.

2. Conformemente alla presente decisione quadro, gli Stati membri proteggono i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla vita privata, quando, ai fini della prevenzione, dell’indagine, dell’accertamento e del perseguimento dei reati o dell’esecuzione delle sanzioni penali, i dati personali:

a) sono o sono stati trasmessi o resi disponibili tra Stati membri;

b) sono o sono stati trasmessi o resi disponibili dagli Stati membri ad autorità o a sistemi d’informazione istituiti in base al titolo VI del trattato sull’Unione europea; o

c) sono o sono stati trasmessi o resi disponibili alle competenti autorità degli Stati membri da autorità o sistemi d’informazione istituiti in base al trattato sull’Unione europea o al trattato che istituisce la Comunità europea.

3. La presente decisione quadro si applica al trattamento di dati personali, interamente o parzialmente automatizzato, nonché al trattamento non automatizzato di dati personali figuranti o destinati a figurare negli archivi.

4. La presente decisione quadro lascia impregiudicati gli interessi fondamentali della sicurezza nazionale e specifiche attività di informazione nel settore della sicurezza nazionale.

5. La presente decisione quadro non osta a che gli Stati membri prevedano, per la protezione dei dati personali raccolti o trattati a livello nazionale, garanzie più elevate di quelle stabilite nella presente decisione quadro.

Articolo 2

Definizioni

Ai fini della presente decisione quadro, si intende per:

a) «dati personali» qualsiasi informazione concernente una persona fisica identificata o identificabile («persona interessata»); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un numero di identificazione o a uno o più elementi caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;

b) «trattamento di dati personali» e «trattamento» qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come raccolta, registrazione, organizzazione, memorizzazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto o interconnessione, nonché blocco, cancellazione o distruzione;

c) «blocco» contrassegno dei dati personali memorizzati con l’obiettivo di limitarne il trattamento in futuro;

d) «archivio di dati personali» e «archivio» qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

e) «incaricato del trattamento» qualsiasi organismo che elabora dati personali per conto del responsabile del trattamento;

f) «destinatario» qualsiasi organismo che riceve comunicazione di dati;

g) «consenso della persona interessata» qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento;

h) «autorità competenti» agenzie o organismi istituiti mediante atti adottati dal Consiglio ai sensi del titolo VI del trattato sull’Unione europea, nonché autorità giudiziarie, doganali, di polizia e altre autorità competenti degli Stati membri autorizzate dalla legislazione nazionale a trattare dati personali nell’ambito della presente decisione quadro;

i) «responsabile del trattamento» la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali;

j) «caratterizzazione» contrassegno dei dati personali memorizzati senza l’obiettivo di limitarne il trattamento in futuro;

k) «anonimizzazione» la modificazione di dati personali in modo che i dati particolari su condizioni personali o materiali non possano più, o possano solo con eccessivo dispendio di tempo, costi e lavoro, essere attribuiti a una persona fisica determinata o determinabile.

Articolo 3

Principi di legalità, proporzionalità e finalità

1. I dati personali possono essere raccolti dalle autorità competenti soltanto per finalità specifiche, esplicite e legittime nell’ambito dei loro compiti e possono essere trattati solo per la finalità per la quale sono stati raccolti. Il trattamento dei dati deve essere legale e adeguato, pertinente e non eccessivo rispetto alle finalità per le quali sono stati raccolti.

2. L’ulteriore trattamento per un’altra finalità è ammesso a condizione che:

a) non sia incompatibile con le finalità per le quali i dati sono stati raccolti;

b) le autorità competenti siano autorizzate a trattare tali dati per dette altre finalità in conformità della normativa a esse applicabile; e

c) il trattamento sia necessario e proporzionato a tale altra finalità.Le autorità competenti possono inoltre trattare ulteriormente i dati personali trasmessi per finalità storiche, statistiche o scientifiche, a condizione che gli Stati membri forniscano adeguate garanzie, come l’anonimizzazione dei dati.

Articolo 4

Rettifica, cancellazione e blocco

1. I dati personali sono rettificati se inesatti e, laddove possibile e necessario, sono completati o aggiornati.

2. I dati personali sono cancellati o resi anonimi se non sono più necessari per le finalità per le quali sono stati legalmente raccolti o in seguito legalmente trattati. La presente disposizione non osta all’archiviazione di tali dati in un insieme di dati separato per un periodo adeguato conformemente alla legislazione nazionale.

3. I dati personali non vengono cancellati ma solo bloccati se vi sono motivi ragionevoli di ritenere che la cancellazione possa compromettere gli interessi legittimi della persona interessata. I dati bloccati sono trattati solo per lo scopo che ha impedito la loro cancellazione.

4. Qualora i dati personali figurino in una decisione giudiziaria o in un casellario giudiziario in relazione all’emissione di una decisione giudiziaria, la rettifica, la cancellazione o il blocco sono eseguiti in conformità delle norme nazionali sui procedimenti giudiziari.

Articolo 5

Fissazione di termini per la cancellazione e l’esame

Sono previsti adeguati termini per la cancellazione dei dati personali o per un esame periodico della necessità della memorizzazione dei dati. Misure procedurali garantiscono che tali termini siano rispettati.

Articolo 6

Trattamento di categorie particolari di dati

Il trattamento di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale è ammesso soltanto se strettamente necessario e se la legislazione nazionale prevede adeguate garanzie.

Articolo 7

Decisioni individuali automatizzate

Una decisione che comporti conseguenze giuridiche negative per la persona interessata o la danneggi significativamente e che sia basata unicamente su un trattamento automatizzato di dati destinati a valutare taluni aspetti della sua personalità è ammessa soltanto se autorizzata da una legge che precisi i provvedimenti atti a salvaguardare gli interessi legittimi della persona interessata.

Articolo 8

Verifica della qualità dei dati trasmessi o resi disponibili

1. Le autorità competenti prendono tutte le misure ragionevoli per disporre che i dati personali inesatti, incompleti o non più aggiornati non siano trasmessi o resi disponibili. A tal fine le autorità competenti verificano, per quanto possibile, la qualità dei dati personali prima che questi siano trasmessi o resi disponibili.

Se possibile tutte le trasmissioni di dati sono corredate delle informazioni disponibili che consentono allo Stato membro ricevente di valutare il livello di esattezza, completezza, aggiornamento e affidabilità. Se i dati personali sono stati trasmessi senza essere stati richiesti, l’autorità ricevente valuta immediatamente se tali dati siano necessari per lo scopo per il quale sono stati trasmessi.

2. Qualora risulti che sono stati trasmessi dati inesatti o che sono stati trasmessi dati illegalmente, il destinatario deve esserne informato quanto prima. I dati devono essere rettificati, cancellati o bloccati quanto prima in conformità dell’articolo 4.

Articolo 9

Termini

1. All’atto della trasmissione o della messa a disposizione dei dati, l’autorità che trasmette i dati può indicare, in conformità della legislazione nazionale e a norma degli articoli 4 e 5, i termini per la loro conservazione, alla scadenza dei quali il destinatario deve cancellare i dati, bloccarli o esaminare se siano ancora necessari. Questo obbligo non si applica se, alla scadenza dei termini, i dati sono necessari per un’indagine in corso, il perseguimento di reati o l’esecuzione di sanzioni penali.

2. Qualora l’autorità che trasmette i dati non abbia indicato termini conformemente al paragrafo 1, si applicano i termini di cui agli articoli 4 e 5 per la conservazione dei dati previsti dalla legislazione nazionale dello Stato membro ricevente.

Articolo 10

Registrazione e documentazione

1. Tutte le trasmissioni di dati personali sono registrate o documentate ai fini della verifica della legalità del trattamento dei dati, dell’autocontrollo e per garantire l’integrità e la sicurezza dei dati.

2. I registri o la documentazione preparati ai sensi del paragrafo 1 sono trasmessi, su richiesta, all’autorità di controllo competente ai fini del controllo della protezione dei dati. L’autorità di controllo competente utilizza le informazioni solo per il controllo della protezione dei dati e per garantire un trattamento corretto dei dati, nonché la loro integrità e sicurezza.

Articolo 11

Trattamento dei dati personali trasmessi o resi disponibili da un altro Stato membro

Conformemente al disposto dell’articolo 3, paragrafo 2, i dati personali trasmessi o resi disponibili dall’autorità competente di un altro Stato membro possono essere successivamente trattati solo per le seguenti finalità diverse da quelle per le quali sono stati trasmessi o resi disponibili:

a) la prevenzione, l’indagine, l’accertamento o il perseguimento dei reati o l’esecuzione delle sanzioni penali, diversi da quelli per cui i dati sono stati trasmessi o resi disponibili;

b) altre procedure giudiziarie e amministrative direttamente connesse con la prevenzione, l’indagine, l’accertamento e il perseguimento dei reati o l’esecuzione delle sanzioni penali;

c) la prevenzione di un’immediata e grave minaccia alla sicurezza pubblica; o

d) qualsiasi altra finalità, soltanto previa autorizzazione dello Stato membro che trasmette i dati o con il consenso della persona interessata espresso conformemente alla legislazione nazionale.

Le autorità competenti possono inoltre trattare ulteriormente i dati personali trasmessi per finalità storiche, statistiche o scientifiche, a condizione che gli Stati membri forniscano adeguate garanzie, come ad esempio l’anonimizzazione dei dati.

Articolo 12

Rispetto delle restrizioni nazionali al trattamento

1. Qualora, in base alla legislazione dello Stato membro che trasmette i dati, si applichino particolari restrizioni di trattamento, in particolari situazioni, allo scambio di dati tra autorità competenti nell’ambito di tale Stato membro, l’autorità che trasmette i dati ne informa il destinatario. Il destinatario provvede affinché tali restrizioni di trattamento siano rispettate.

2. Qualora applichino il paragrafo 1, gli Stati membri non applicano restrizioni alle trasmissioni di dati ad altri Stati membri o ad agenzie od organismi istituiti ai sensi del titolo VI del trattato sull’Unione europea diverse da quelle applicabili alle analoghe trasmissioni nazionali di dati.

Articolo 13

Trasferimento alle autorità competenti di paesi terzi o a organismi internazionali

1. Gli Stati membri dispongono che i dati personali trasmessi o resi disponibili dall’autorità competente di un altro Stato membro possano essere trasferiti a paesi terzi o a organismi internazionali solo se:

a) sia necessario per la prevenzione, l’indagine, l’accertamento o il perseguimento dei reati o per l’esecuzione delle sanzioni penali;

b) l’autorità ricevente nel paese terzo o l’organismo internazionale ricevente sono responsabili per la prevenzione, l’indagine, l’accertamento o il perseguimento dei reati o per l’esecuzione delle sanzioni penali;

c) lo Stato membro presso cui sono stati ottenuti i dati ha acconsentito al trasferimento nel rispetto della legislazione nazionale; e

d) il paese terzo o l’organismo internazionale interessati assicurano un adeguato livello di protezione per il trattamento di dati previsto.

2. Il trasferimento senza il consenso preliminare di cui al paragrafo 1, lettera c), non è autorizzato a meno che il trasferimento dei dati sia essenziale per la prevenzione di un’immediata e grave minaccia alla sicurezza pubblica di uno Stato membro o di un paese terzo o agli interessi essenziali di uno Stato membro e se il consenso preliminare non può essere ottenuto in tempo utile. L’autorità competente a dare il consenso è informata senza indugio.

3. In deroga al paragrafo 1, lettera d), i dati personali possono essere trasferiti se:

a) la legislazione nazionale dello Stato membro che trasferisce i dati lo prevede;

i) per interessi specifici legittimi della persona interessata; o

ii) per interessi legittimi superiori, soprattutto importanti interessi pubblici; o

b) il paese terzo o l’organismo internazionale ricevente prevedono garanzie ritenute adeguate dallo Stato membro interessato conformemente alla legislazione nazionale.

4. L’adeguatezza del livello di protezione di cui al paragrafo 1, lettera d), è valutata tenendo conto di tutte le circostanze relative a un’operazione o a un insieme di operazioni di trasferimento dei dati. In particolare sono presi in considerazione la natura dei dati, la finalità e la durata del trattamento previsto, lo Stato d’origine e lo Stato o l’organismo internazionale di destinazione finale dei dati, le norme di diritto, generali o settoriali, vigenti nel paese terzo o nell’organismo internazionale in questione, nonché le regole professionali e le misure di sicurezza che si applicano.

Articolo 14

Trasmissione a privati negli Stati membri

1. Gli Stati membri dispongono che i dati personali ricevuti o resi disponibili dall’autorità competente di un altro Stato membro possano essere trasmessi a privati solo se:

a) l’autorità competente dello Stato membro presso cui i dati sono stati ottenuti ha acconsentito alla trasmissione nel rispetto della legislazione nazionale;

b) nessun interesse specifico legittimo della persona interessata impedisce la trasmissione; e

c) in casi particolari il trasferimento è essenziale per l’autorità competente che trasmette i dati a un privato per:

i) l’adempimento di un compito assegnatole legalmente;

ii) la prevenzione, l’indagine, l’accertamento o il perseguimento dei reati o per l’esecuzione delle sanzioni penali;

iii) la prevenzione di un’immediata e grave minaccia alla sicurezza pubblica; o

iv) la prevenzione di un grave danno per i diritti delle persone.

2. L’autorità competente che trasmette i dati a un privato informa quest’ultimo delle finalità esclusive per le quali i dati possono essere utilizzati.

Articolo 15

Informazioni su richiesta dell’autorità competente

Il destinatario informa, su richiesta, l’autorità competente che ha trasmesso o reso disponibile i dati personali in merito al loro trattamento.

Articolo 16

Informazione della persona interessata

1. Gli Stati membri provvedono affinché la persona interessata sia informata della raccolta o del trattamento di dati personali da parte delle rispettive autorità competenti, conformemente alla legislazione nazionale.

2. Qualora siano stati trasmessi o resi disponibili dati personali tra Stati membri, ciascuno Stato membro può chiedere, in conformità delle disposizioni della rispettiva legislazione nazionale di cui al paragrafo 1, che l’altro Stato membro non informi la persona interessata. In tal caso, quest’ultimo Stato membro non informa la persona interessata senza il consenso preliminare dell’altro Stato membro.

Articolo 17

Diritto di accesso

1. Ogni persona interessata ha il diritto di ottenere, a seguito di richieste presentate a intervalli ragionevoli, senza costrizione e senza ritardi o spese eccessivi:

a) almeno conferma del responsabile del trattamento o dell’autorità nazionale di controllo del fatto che dati che la riguardano siano stati trasmessi o resi disponibili, e informazioni sui destinatari o sulle categorie di destinatari cui sono stati comunicati i dati e comunicazione dei dati che sono oggetto di trattamento; oppure

b) almeno conferma dell’autorità nazionale di controllo che sono state effettuate tutte le verifiche necessarie.

2. Gli Stati membri possono adottare disposizioni legislative che limitano l’accesso alle informazioni di cui al paragrafo 1, lettera a), qualora tale restrizione, tenendo in debito conto gli interessi legittimi della persona interessata, costituisca una misura necessaria e proporzionata:

a) per non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;

b) per non compromettere la prevenzione, l’indagine, l’accertamento o il perseguimento dei reati o per l’esecuzione delle sanzioni penali;

c) per proteggere la sicurezza pubblica;

d) per proteggere la sicurezza dello Stato;

e) per proteggere la persona interessata o i diritti e le libertà altrui.

3. Qualsiasi rifiuto o restrizione dell’accesso è comunicato per iscritto alla persona interessata. Contemporaneamente le sono comunicati i motivi di fatto o di diritto sui quali la decisione si basa. Quest’ultima comunicazione può essere omessa qualora sussista uno dei motivi ai sensi del paragrafo 2, lettere da a) a e). In tutti questi casi la persona interessata è informata del fatto che può presentare ricorso presso l’autorità nazionale di controllo competente, un’autorità giudiziaria o un tribunale.

Articolo 18

Diritto di rettifica, cancellazione o blocco

1. La persona interessata ha diritto a che il responsabile del trattamento adempia i propri obblighi di cui agli articoli 4, 8 e 9 riguardanti la rettifica, la cancellazione o il blocco dei dati personali che gli incombono in virtù della presente decisione quadro. Gli Stati membri stabiliscono se la persona interessata possa far valere questo diritto contro il responsabile del trattamento direttamente o tramite l’autorità nazionale di controllo competente. Se il responsabile del trattamento rifiuta la rettifica, la cancellazione o il blocco, il rifiuto dev’essere comunicato per iscritto alla persona interessata, che deve essere informata circa i mezzi previsti dalla legislazione nazionale per presentare un reclamo o un ricorso. In fase di esame del reclamo o del ricorso, la persona interessata è informata della correttezza o meno dell’agire del responsabile del trattamento. Gli Stati membri possono inoltre disporre che la persona interessata sia informata dall’autorità nazionale di controllo competente che si è proceduto a un esame.

2. Qualora l’esattezza di un dato personale sia contestato dalla persona interessata e l’esattezza o l’inesattezza non possa essere accertata, si può procedere alla caratterizzazione del dato in questione.

Articolo 19

Diritto a compensazione

1. Chiunque subisca un danno cagionato da un trattamento illegale o da qualsiasi altro atto incompatibile con le disposizioni nazionali adottate conformemente alla presente decisione quadro ha il diritto di ottenere il risarcimento del danno subíto dal responsabile del trattamento o da altra autorità competente in base alla legislazione nazionale.

2. Qualora l’autorità competente di uno Stato membro abbia trasmesso dati personali, il destinatario non può, nel contesto della sua responsabilità nei confronti della parte lesa conformemente alla legislazione nazionale, addurre a sua discolpa l’inesattezza dei dati trasmessi. Se il destinatario provvede al risarcimento del danno causato dall’uso di dati impropriamente trasmessi, l’autorità competente che trasmette i dati risarcisce il destinatario dell’importo pagato per tali danni, tenendo conto di eventuali errori commessi dal destinatario.

Articolo 20

Mezzi di ricorso

Fatti salvi i ricorsi amministrativi che possono essere promossi prima che sia adita l’autorità giudiziaria, la persona interessata ha il diritto di proporre un ricorso giurisdizionale in caso di violazione dei diritti garantitile dal diritto nazionale applicabile.

Articolo 21

Riservatezza del trattamento

1. Chiunque abbia accesso ai dati personali che rientrano nell’ambito di applicazione della presente decisione quadro può trattare tali dati soltanto se sia membro dell’autorità competente o agisca su istruzione di questa, a meno che non sia tenuto a farlo in virtù di obblighi legali.

2. Coloro che lavorano per l’autorità competente di uno Stato membro sono vincolati da tutte le disposizioni sulla protezione dei dati che si applicano all’autorità competente in questione.

Articolo 22

Sicurezza del trattamento

1. Gli Stati membri dispongono che le autorità competenti prendano misure tecniche e organizzative adeguate per proteggere i dati personali dalla distruzione accidentale o illegale, dalla perdita accidentale, alterazione, divulgazione o accesso non autorizzati, segnatamente quando il trattamento comporta la trasmissione di dati attraverso una rete o la loro messa a disposizione mediante la concessione di un accesso diretto automatizzato e da qualsiasi altra forma illegittima di trattamento di dati personali, tenendo conto in particolare dei rischi che il trattamento comporta e della natura dei dati da proteggere.

Tali misure garantiscono, tenuto conto delle attuali conoscenze tecniche e dei costi dell’applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere.

2. Ciascuno Stato membro adotta, per il trattamento automatizzato dei dati, misure atte a:

a) vietare alle persone non autorizzate l’accesso alle attrezzature utilizzate per il trattamento di dati personali (controllo dell’accesso alle attrezzature);

b) impedire che supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate (controllo dei supporti di dati);

c) impedire che i dati siano inseriti senza autorizzazione e che i dati personali memorizzati siano visionati, modificati o cancellati senza autorizzazione (controllo della memorizzazione);

d) impedire che persone non autorizzate utilizzino sistemi di trattamento automatizzato di dati mediante attrezzature per la trasmissione di dati (controllo dell’utente);

e) garantire che le persone autorizzate a usare un sistema di trattamento automatizzato di dati abbiano accesso solo ai dati cui si riferisce la loro autorizzazione d’accesso (controllo dell’accesso ai dati);

f) garantire la possibilità di verificare e accertare a quali organismi siano stati o possano essere trasmessi o resi disponibili i dati personali utilizzando attrezzature per la trasmissione di dati (controllo della trasmissione);

g) garantire la possibilità di verificare e accertare a posteriori quali dati personali sono stati introdotti nei sistemi di trattamento automatizzato dei dati, il momento dell’introduzione e la persona che l’ha effettuata (controllo dell’introduzione);

h) impedire che i dati personali possano essere letti, copiati, modificati o cancellati da persone non autorizzate durante i trasferimenti di dati personali o il trasporto di supporti di dati (controllo del trasporto);

i) garantire che, in caso di interruzione, i sistemi utilizzati possano essere ripristinati (recupero);

j) garantire che le funzioni del sistema siano operative, che eventuali errori di funzionamento siano segnalati (affidabilità) e che i dati memorizzati non possano essere falsati da un errore di funzionamento del sistema (autenticità).

3. Gli Stati membri dispongono che siano incaricati del trattamento solo organismi in grado di garantire il rispetto delle necessarie misure tecniche e organizzative di cui al paragrafo 1 nonché la conformità alle istruzioni di cui all’articolo 21. L’autorità competente controlla l’operato dell’incaricato del trattamento sotto tali aspetti.

4. L’incaricato del trattamento può trattare dati personali soltanto in forza di un atto giuridico o di un contratto scritto.

Articolo 23

Consultazione preliminare

Gli Stati membri provvedono affinché le competenti autorità nazionali di controllo siano consultate prima di trattare dati personali che figureranno in un nuovo archivio di prossima creazione se:

a) si tratta delle categorie particolari di dati di cui all’articolo 6; oppure

b) il tipo di trattamento, in particolare il ricorso a tecnologie, procedure o meccanismi nuovi, comporta per altri versi rischi specifici per i diritti e le libertà fondamentali della persona interessata, segnatamente per quanto attiene alla tutela della vita privata.

Articolo 24

Sanzioni

Gli Stati membri adottano le misure appropriate per garantire la piena applicazione delle disposizioni della presente decisione quadro e in particolare stabiliscono sanzioni efficaci, proporzionate e dissuasive in caso di violazione delle disposizioni adottate conformemente alla presente decisione quadro.

Articolo 25

Autorità nazionali di controllo

1. Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di fornirgli consulenza e sorvegliare, nel suo territorio, l’applicazione delle disposizioni adottate dagli Stati membri conformemente alla presente decisione quadro.

Tali autorità sono pienamente indipendenti nell’esercizio delle loro funzioni.

2. Ogni autorità di controllo dispone in particolare:

a) di poteri investigativi, come la facoltà di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi informazione necessaria all’esercizio della sua funzione di controllo;

b) di poteri effettivi d’intervento, come quello di formulare pareri prima dell’avvio di trattamenti, e di dar loro adeguata pubblicità, o quello di ordinare il blocco, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un monito al responsabile del trattamento o quello di adire i parlamenti o altre istituzioni politiche nazionali;

c) del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali adottate conformemente alla presente decisione quadro ovvero di sottoporre detta violazione all’attenzione delle autorità giudiziarie. Le decisioni dell’autorità di controllo che danno luogo a reclami possono essere oggetto di ricorso.

3. Chiunque può rivolgersi alle autorità di controllo con un’istanza relativa alla tutela dei diritti e delle libertà personali per quanto riguarda il trattamento dei dati personali. L’interessato è informato dei risultati dell’istanza.

4. Gli Stati membri dispongono che i membri e il personale dell’autorità di controllo siano vincolati alle disposizioni vigenti per l’autorità competente in merito alla protezione dei dati personali e siano soggetti, anche dopo la cessazione delle loro attività, all’obbligo del segreto professionale in merito alle informazioni riservate cui hanno accesso.

Articolo 26

Rapporto con gli accordi conclusi con paesi terzi

La presente decisione quadro non pregiudica gli obblighi e impegni incombenti agli Stati membri o all’Unione in virtù di accordi bilaterali e/o multilaterali con paesi terzi esistenti al momento dell’adozione della presente decisione quadro.

Nell’applicare tali accordi, il trasferimento a un paese terzo dei dati personali ottenuti da un altro Stato membro avviene nel rispetto dell’articolo 13, paragrafo 1, lettera c), o paragrafo 2, a seconda dei casi.

Articolo 27

Valutazione

1. Entro il 27 novembre 2013, gli Stati membri comunicano alla Commissione le rispettive disposizioni nazionali adottate per conformarsi pienamente alla presente decisione quadro, con particolare riguardo alle disposizioni che devono essere rispettate già al momento della raccolta dei dati. La Commissione valuta segnatamente le implicazioni di tali disposizioni per l’ambito di applicazione della presente decisione quadro di cui all’articolo 1, paragrafo 2.

2. A distanza di un anno, la Commissione riferisce al Parlamento europeo e al Consiglio in merito ai risultati della valutazione di cui al paragrafo 1, corredando la sua relazione delle opportune proposte di modifica della presente decisione quadro.

Articolo 28

Rapporto con altri atti dell’Unione adottati in precedenza

Qualora in atti adottati conformemente al titolo VI del trattato sull’Unione europea anteriormente alla data di entrata in vigore della presente decisione quadro e che disciplinano lo scambio di dati personali tra Stati membri o l’accesso delle autorità designate dagli Stati membri ai sistemi d’informazione creati in virtù del trattato che istituisce la Comunità europea siano state introdotte condizioni specifiche relative all’utilizzo di tali dati da parte dello Stato membro ricevente, queste prevalgono sulle disposizioni della presente decisione quadro relative all’utilizzo dei dati personali trasmessi o resi disponibili da un altro Stato membro.

Articolo 29

Attuazione

1. Gli Stati membri adottano le misure necessarie per conformarsi alle disposizioni della presente decisione quadro anteriormente al 27 novembre 2010.

2. Entro tale data gli Stati membri trasmettono al segretariato generale del Consiglio e alla Commissione il testo delle disposizioni inerenti al recepimento nella legislazione nazionale degli obblighi imposti dalla presente decisione quadro e le informazioni relative all’autorità o alle autorità di controllo di cui all’articolo 25. Sulla base di una relazione redatta a partire da tali informazioni dalla Commissione, il Consiglio esamina entro il 27 novembre 2011 in quale misura gli Stati membri si siano conformati alla presente decisione quadro.

Articolo 30

Entrata in vigore

La presente decisione quadro entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Fatto a Bruxelles, addì 27 novembre 2008.

Per il Consiglio

La presidente

M. ALLIOT-MARIE

NOTE
(1) GU C 125 E del 22.5.2008, pag. 154.

(2) GU C 198 del 12.8.2005, pag. 1.

(3) GU L 281 del 23.11.1995, pag. 31.

(4) GU L 8 del 12.1.2001, pag. 1.

(5) GU L 201 del 31.7.2002, pag. 37.

(6) GU L 69 del 16.3.2005, pag. 67.

(7) GU L 210 del 6.8.2008, pag. 1.

(8) GU L 131 dell’1.6.2000, pag. 43.

(9 GU L 64 del 7.3.2002, pag. 20.

(10) GU L 176 del 10.7.1999, pag. 36.

(11) GU L 176 del 10.7.1999, pag. 31.

(12) GU L 53 del 27.2.2008, pag. 52.

(13) GU L 53 del 27.2.2008, pag. 50.

(14) GU L 83 del 26.3.2008, pag. 5.

(15) GU C 303 del 14.12.2007, pag. 1.