COMMISSIONE EUROPEA
Bruxelles, 25.1.2012
COM(2012) 11 final
2012/0011 (COD)
Proposta di
REGOLAMENTO DEL PARLAMENTO EUROPEO EDEL CONSIGLIO
concernentela tutela delle persone fisiche con riguardo al trattamento dei dati personali
ela libera circolazione di tali dati
(regolamento generale sulla protezionedei dati)
(Testo rilevante ai fini del SEE)
{SEC(2012) 72 final}
{SEC(2012) 73 final}
RELAZIONE
1. CONTESTO DELLA PROPOSTA
La presente relazione illustra la proposta di nuovo quadrogiuridico per la protezione dei dati personali nell'Unione europea, delineatanella comunicazione COM (2012) 9 final1. Il nuovo quadroconsta di due proposte legislative:
– una proposta regolamento del Parlamento europeo edel Consiglio concernente la tutela delle persone fisiche con riguardo altrattamento dei dati personali e la libera circolazione di tali dati(regolamento generale sulla protezione dei dati);
– una proposta di direttiva del Parlamento europeo edel Consiglio concernente la tutela delle persone fisiche con riguardo altrattamento dei dati personali da parte delle autorità competenti a fini diprevenzione, indagine, accertamento e perseguimento di reati o esecuzione disanzioni penali, e la libera circolazione di tali dati2.
La presente relazione riguarda la proposta di regolamentogenerale sulla protezione dei dati.
La direttiva 95/46/CE3–pietra angolare nell'impianto della vigente normativa dell'UE in materia diprotezione dei dati personali – è stata adottata nel 1995 con dueobiettivi:
salvaguardare il diritto fondamentale alla protezione deidati e garantire la libera circolazione dei dati personali tra gli Statimembri. Alla direttiva è stata integrata la decisione quadro 2008/977/GAI (diseguito "decisione quadro") che è uno strumento generale applicabile a livellodi Unione per proteggere i dati personali nei settori della cooperazionegiudiziaria e di polizia in materia penale4.
Incalzanti sviluppi tecnologici hanno allontanato lefrontiere della protezione dei dati personali. La portata della condivisione edella raccolta di dati è aumentata in modo vertiginoso: la tecnologia attualeconsente alle imprese private quanto alle autorità pubbliche di utilizzare datipersonali, come mai in precedenza, nello svolgimento delle loro attività e, semprepiù spesso, gli stessi privati rendono pubbliche sulla rete mondialeinformazioni personali che li riguardano. Le nuove tecnologie non hannotrasformato solo l'economia ma anche le relazioni sociali.
Instaurare un clima di fiducia negli ambienti on line è fondamentale per lo sviluppo economico. La mancanzadi fiducia frena i consumatori dall'acquistare on linee utilizzare nuovi servizi. Tale situazione rischia di rallentare lo sviluppodi applicazioni tecnologiche innovative. Per questo motivo la protezione deidati personali riveste un'importanza fondamentale per l'Agenda digitale europea5e,più in generale, per la strategia Europa 20206.
L'articolo 16, paragrafo 1, del trattato sul funzionamentodell'Unione europea (TFUE) introdotto dal trattato di Lisbona, stabilisce ilprincipio secondo il quale ogni persona ha diritto alla protezione dei datipersonali che la riguardano. Inoltre, all'articolo 16, paragrafo 2, del TFUE iltrattato di Lisbona ha introdotto una base giuridica specifica per l'adozionedi norme in materia di protezione dei dati personali. L'articolo 8 della Cartadei diritti fondamentali dell'Unione europea annovera la protezione dei datipersonali tra i diritti fondamentali.
Il Consiglio europeo ha invitato la Commissione a valutareil funzionamento degli strumenti giuridici dell'Unione in materia di protezionedei dati e a presentare, se necessario, nuove iniziative legislative e nonlegislative7. Nella sua risoluzione sulprogramma di Stoccolma8ilParlamento europeo ha accolto con favore la proposta relativa ad un quadrogiuridico completo in materia di protezione dei dati nell'UE chiedendo, tral'altro, la revisione della decisione quadro. Nel piano d'azione perl'attuazione del programma di Stoccolma9laCommissione ha sottolineato la necessità di assicurare l'applicazionesistematica del diritto fondamentale alla protezione dei dati personali nelcontesto di tutte le politiche europee.
Nella comunicazione "Un approccio globale alla protezionedei dati personali nell'Unione europea"10, la Commissioneè giunta alla conclusione che l'Unione europea ha bisogno di una politica piùcompleta e coerente rispetto al diritto fondamentale alla protezione dei datipersonali.
Pur rimanendo valido in termini di obiettivi e principi, ilquadro giuridico attuale non ha impedito la frammentazione delle modalità diapplicazione della protezione dei dati personali nel territorio dell'Unione, néha eliminato l'incertezza giuridica e la diffusa percezione nel pubblico che leoperazioni on line comportino notevoli rischi11. È giuntopertanto il momento di instaurare un quadro giuridico più solido e coerente inmateria di protezione dei dati nell'Unione che, affiancato da efficaci misuredi attuazione, consentirà lo sviluppo dell'economia digitale nel mercatointerno, garantirà alle persone fisiche il controllo dei loro dati personali erafforzerà la certezza giuridica e operativa per i soggetti economici e le autoritàpubbliche.
2. CONSULTAZIONE DELLE PARTIINTERESSATE E VALUTAZIONE D'IMPATTO
La presente iniziativa è il risultato di esteseconsultazioni con tutte le principali parti interessate sul riesamedell'attuale quadro normativo in materia di protezione dei dati personali,svoltesi nell'arco di oltre due anni e comprendenti una conferenza ad altolivello nel maggio 200912edue fasi di consultazione pubblica:
– dal 9 luglio al 31 dicembre 2009, la consultazionerelativa al quadro giuridico del diritto fondamentale alla protezione dei datipersonali, per la quale la Commissione ha ricevuto 168 risposte, 127 provenientida privati cittadini, organizzazioni e associazioni imprenditoriali e 12 dalleautorità pubbliche13;
– dal 4 novembre 2010 al 15 gennaio 2011, laconsultazione sulla comunicazione della Commissione "Un approccio globale allaprotezione dei dati personali nell'Unione europea", per la quale la Commissioneha ricevuto 305 risposte, 54 da privati cittadini, 31 da autorità pubbliche e220 da organizzazioni private, soprattutto associazioni d'imprese e organizzazioninon governative14.
Si sono inoltre tenute consultazioni ad hoc con i principaliportatori d'interesse; sono stati organizzati specifici incontri nei mesi digiugno e luglio 2010 con le autorità degli Stati membri e le parti interessatedel settore privato, con le organizzazioni attive nel settore della protezionedella vita privata, della protezione dei dati e le associazioni di consumatori15.
Nel novembre 2010 Viviane Reding, vicepresidente della Commissione europea, ha organizzatouna tavola rotonda sulla riforma della protezione dei dati. Il 28 gennaio 2011 (giornatadella protezione dei dati), la Commissione europea e il Consiglio d'Europahanno co-organizzato una conferenza ad alto livelloper discutere gli aspetti della riforma del quadro normativo dell'Unione cosìcome la necessità di standard comuni per la protezione dei dati applicabili alivello mondiale16. Lapresidenza ungherese e la presidenza polacca del Consiglio hanno inoltrepatrocinato, rispettivamente il 16-17 giugno 2011 e il 21 settembre 2011, dueconferenze sulla protezione dei dati.
Nel corso del 2011 si sono svolti workshop e seminari suquestioni specifiche. In gennaio l'Agenzia ENISA17haorganizzato un seminario sulla notificazione delle violazioni dei dati in Europa18. Nel mese difebbraio, la Commissione ha organizzato un seminario con le autorità degliStati membri al fine di discutere gli aspetti della protezione dei datinell'ambito della cooperazione di polizia e della cooperazione giudiziaria inmateria penale, nonché l'attuazione della decisione quadro, e l'Agenzia per idiritti fondamentali ha tenuto una riunione consultiva con le parti interessatein tema di "protezione dei dati e della vita privata".
Una discussione sulle tematiche centrali della riforma si èsvolta il 13 luglio 2011 con le autorità nazionali di protezione dei dati. Icittadini europei sono stati consultati attraverso un sondaggio Eurobarometro effettuato nel novembre-dicembre 201019, sono statiavviati diversi studi in materia20eil Gruppo di lavoro "Articolo 29"21hadato numerosi pareri e un utile contributo alla Commissione22. Il garanteeuropeo della protezione dei dati ha espresso un parere complessivo sullequestioni sollevate nella comunicazione della Commissione del mese di novembre201023.
Il Parlamento europeo ha approvato, con risoluzione del 6luglio 2011, una relazione a sostegno dell'impostazione adottata dallaCommissione per la riforma del quadro normativo in materia di protezione deidati24. Le conclusioni adottate il 24febbraio 2011 dal Consiglio dell'Unione europea esprimono un consenso generaleall'intento della Commissione di riformare il quadro sulla protezione dei datie approvano diversi elementi della strategia della Commissione. Anche ilComitato economico e sociale europeo ha commentato favorevolmente l'obiettivodella Commissione di garantire un'applicazione più coerente della normativadell'UE in materia di protezione dei dati in tutti gli Stati membri25eun'adeguata revisione della direttiva 95/46/CE26.
Nel corso delle consultazioni sull'impostazione generale lagrande maggioranza degli interpellati ha convenuto che i principi generalirimangono validi, ma che occorre adattare il quadro attuale affinché possarispondere meglio alle sfide poste dalla rapida evoluzione delle nuovetecnologie (in particolare on line) e dalla crescenteglobalizzazione, pur mantenendo la neutralità tecnologica del quadro giuridico.Aspre critiche ha suscitato l'attuale frammentazione della protezione dei datipersonali nell'Unione, in particolare degli operatori economici che hannochiesto una maggiore certezza giuridica e l'armonizzazione delle norme sullaprotezione dei dati personali, sostenendo che la complessità delle norme suitrasferimenti internazionali dei dati personali sia un notevole ostacolo alleproprie attività che spesso presuppongono il trasferimento di dati personalidall'UE verso altre parti del mondo.
In linea con l'iniziativa "Legiferare meglio", laCommissione ha proceduto a una valutazione dell'impatto delle diverse opzionistrategiche. La valutazione d'impatto è stata incentrata su tre obiettivi:migliorare la dimensione di mercato interno della protezione dei dati; renderepiù efficace l'esercizio del diritto alla protezione dei dati da parte deiprivati; creare un quadro completo e coerente applicabile a tutti i settori dicompetenza dell'Unione, compresa la cooperazione di polizia e la cooperazionegiudiziaria in materia penale. Sono state prese in esame tre opzionistrategiche con diversi livelli di intervento: la prima opzione prevedeva modifichelegislative minime e l'uso di comunicazioni interpretative e misure disostegno, quali programmi di finanziamento e strumenti tecnici; la secondaopzione comprendeva una serie di disposizioni legislative dedicate a ciascunodegli aspetti emersi dall'analisi e la terza prevedeva la centralizzazionedella protezione dei dati a livello dell'UE attraverso norme precise eparticolareggiate per tutti i settori e la creazione di un'agenzia dell'Unioneper il controllo e l'attuazione delle disposizioni.
Conformemente ad una metodologia consolidata, laCommissione, coadiuvata da un gruppo direttivo interservizi, ha valutatociascuna opzione in funzione delle sue effettive possibilità di conseguire gliobiettivi strategici, dell'impatto economico sulle parti interessate (compresosul bilancio delle istituzioni dell'Unione europea), delle ripercussioni sullasocietà e dell'effetto sui diritti fondamentali.
Non sono emersipossibili impatti ambientali. L'analisi dell'impatto complessivo ha portato aindividuare l'opzione prescelta, che si ispira alla seconda opzione conl'aggiunta di alcuni elementi tratti dalle altre due opzioni e inserite nellapresente proposta. Stando alla valutazione d'impatto, la sua attuazioneconsentirà notevoli miglioramenti, tra l'altro sotto i seguenti aspetti: la certezzagiuridica per i responsabili del trattamento dei dati e i cittadini, lariduzione degli oneri amministrativi, un'attuazione coerente della protezionedei dati nell'Unione, l'effettivo esercizio da parte dei privati del dirittoalla protezione dei dati personali nell'Unione europea e un controllo eun'applicazione efficaci della normativa in materia di protezione dei dati.L'attuazione dell'opzione prescelta contribuirà presumibilmente ancheall'obiettivo della Commissione di semplificare e ridurre i costiamministrativi e agli obiettivi dell'Agenda digitale europea, del pianod'azione di Stoccolma e della strategia Europa 2020.
In data 9 settembre 2011 il comitato per la valutazioned'impatto ha espresso il suo parere sul progetto di valutazione d'impatto econseguentemente la valutazione è stata così modificata:
– sono stati chiariti gli obiettivi dell'attualequadro normativo (in che misura siano stati o non siano stati realizzati), cosìcome gli obiettivi della proposta riforma;
– la sezione relativa alla definizione del problema èstata corredata di nuove prove e di spiegazioni/chiarimenti supplementari;
– è stata aggiunta una sezione sulla proporzionalità;
– tutti i calcoli e le stime relativi agli oneriamministrativi nello scenario di base e nell'opzione prescelta sono staticompletamente riveduti e modificati ed è stato chiarito il rapporto tra i costidelle notifiche e i costi dovuti alla frammentazione generale (compreso l'allegato10);
– sono state meglio definite le ripercussioni sullemicro, piccole e medie imprese, in particolare riguardo all'obbligo di nominareun responsabile della protezione dei dati e di realizzare valutazioni d'impattodel trattamento sulla protezione dei dati.
La relazione sulla valutazione d'impatto e una relazione esplicativasono pubblicate assieme alle proposte.
3. ELEMENTI GIURIDICI DELLA PROPOSTA
3.1. Base giuridica
La presente proposta si basa sull'articolo 16 del TFUE, lanuova base giuridica per l'adozione delle norme in materia di protezione deidati introdotta dal trattato di Lisbona. Tale disposizione consente distabilire le norme relative alla protezione delle persone fisiche con riguardoal trattamento dei dati di carattere personale da parte degli Stati membri nell'eserciziodi attività che rientrano nel campo di applicazione del diritto dell'Unione.Tale disposizione consente inoltre l'adozione di norme relative alla liberacircolazione di dati personali, inclusi i dati personali trattati dagli Statimembri o da privati.
Il regolamento è considerato lo strumento più idoneo perdefinire il quadro giuridico per la protezione dei dati personali nell'UE.L'applicabilità diretta di un regolamento ai sensi dell'articolo 288 del TFUEridurrà la frammentazione giuridica e offrirà maggiore certezza giuridica grazieall'introduzione di una serie di norme di base armonizzate, migliorando la tuteladei diritti fondamentali delle persone fisiche e contribuendo al correttofunzionamento del mercato interno.
Il riferimento all'articolo 114, paragrafo 1, del TFUE, ènecessario soltanto in relazione alle modifiche della direttiva 2002/58/CE inquanto la direttiva prevede anche la tutela dei legittimi interessi degliabbonati che sono persone giuridiche.
3.2. Sussidiarietà e proporzionalità
In virtù del principio di sussidiarietà (articolo 5,paragrafo 3, del TUE) l'Unione interviene soltanto se e in quanto gli obiettividell'azione prevista non possono essere conseguiti in misura sufficiente dagliStati membri, ma possono, a motivo della portata o degli effetti dell'azione inquestione, essere conseguiti meglio a livello di Unione. Alla luce dei problemisopra esposti, l'analisi della sussidiarietà indica la necessità di un'azione alivello di Unione per i seguenti motivi:
– il diritto alla protezione dei dati personali, sancitodall'articolo 8 della Carta dei diritti fondamentali, richiede il medesimolivello di protezione dei dati in tutta l'Unione. In mancanza di una normativadell'Unione si rischierebbe di instaurare livelli diversi di protezione negliStati membri e di creare restrizioni nei flussi transfrontalieri di dati personalitra gli Stati membri dotati di norme differenti;
– i dati personali sono trasferiti attraverso lefrontiere nazionali, sia interne che esterne, ad un ritmo sempre crescente.Inoltre, esistono difficoltà pratiche nell'attuare efficacemente la normativain materia di protezione dei dati e occorre stabilire una cooperazione tra gliStati membri e le autorità nazionali a livello di Unione, per garantireuniformità nell'applicazione del diritto dell'UE. Infine, l'Unione si trovanella posizione migliore per garantire in maniera efficace e coerente lo stessolivello di protezione alle persone fisiche i cui dati personali sianotrasferiti verso paesi terzi;
– gli Stati membri non sono in grado da soli dirisolvere i problemi posti dalla situazione attuale, in particolare dallaframmentazione delle legislazioni nazionali. Conseguentemente esiste la precisaesigenza di istituire un quadro armonizzato e coerente che consenta un agevoletrasferimento transfrontaliero di dati personali all'interno dell'Unioneeuropea e che garantisca nel contempo un'effettiva tutela di tutte le personefisiche nell'intero territorio dell'UE;
– le proposte legislative dell'UE risulteranno piùefficaci rispetto ad analoghi provvedimenti adottati dai singoli Stati membri,a motivo della natura e della dimensione dei problemi che non sono confinati auno o più Stati membri.
Il principio di proporzionalità prevede che qualsiasiintervento sia mirato e si limiti a quanto è necessario per conseguire gliobiettivi. Tale principio ha guidato l'intera elaborazione della propostalegislativa, dall'individuazione e valutazione delle opzioni strategichealternative fino alla sua stesura.
3.3. Sintesi degli aspetti inerenti ai diritti fondamentali
Il diritto alla protezione dei dati personali è sancitodall'articolo 8 della Carta, dall'articolo 16 del TFUE e dall'articolo 8 dellaconvenzione europea per la salvaguardia dei diritti dell'uomo e delle libertàfondamentali (CEDU). Come sottolinea la Corte di giustizia dell'Unione europea27, il dirittoalla protezione dei dati personali non è una prerogativa assoluta, ma vaconsiderato alla luce della sua funzione sociale28. Laprotezione dei dati è strettamente legata al rispetto della vita privata efamiliare tutelato dall'articolo 7 della Carta.
Tale principio è riflesso nell'articolo 1, paragrafo 1,della direttiva 95/46/CE, che prevede che gli Stati membri proteggano i dirittie le libertà fondamentali delle persone fisiche, in particolare il diritto allavita privata con riguardo al trattamento dei dati personali.
La Carta sancisce altri diritti fondamentali, potenzialmenteinteressati: libertà di espressione (articolo 11); libertà d'impresa (articolo16); il diritto di proprietà e, in particolare, la tutela della proprietàintellettuale (articolo 17, paragrafo 2); il divieto di qualsiasi forma di discriminazionefondata, tra l'altro, sulla razza, l'origine etnica, le caratteristichegenetiche, la religione o le convinzioni personali, le opinioni politiche o diqualsiasi altra natura, la disabilità, o l'orientamento sessuale (articolo 21);i diritti del minore (articolo 24); il diritto a un elevato livello diprotezione sanitaria (articolo 35); il diritto d'accesso ai documenti (articolo42); il diritto a un ricorso effettivo e a un giudice imparziale (articolo 47).
3.4. Spiegazione dettagliata della proposta
3.4.1. CAPO I - DISPOSIZIONI GENERALI
L'articolo 1 definisce l'oggetto del regolamento e, allastregua dell'articolo 1 della direttiva 95/46/CE, definisce i due obiettivi delregolamento.
L'articolo 2 delimita il campo d'applicazione materiale delregolamento.
L'articolo 3 precisa l'ambito di applicazione territorialedel regolamento.
L'articolo 4 contiene le definizioni della terminologia utilizzatanel regolamento. Mentre alcune definizioni sono mutuate dalla direttiva95/46/CE, altre sono modificate, integrate con elementi aggiuntivi, ointrodotte ex novo ("violazione dei dati personali" basata sull'articolo 2,lettera h), della direttiva 2002/58/CE relativa alla vita privata e alle comunicazionielettroniche29, quale modificata dalla direttiva2009/136/CE30, "dati genetici", "dati biometrici","dati relativi alla salute", "stabilimento principale", "rappresentante", "impresa","gruppo di imprese", "norme vincolanti d'impresa", "minore", basata sulla convenzionedelle Nazioni Unite sui diritti del fanciullo31, e "autoritàdi controllo").
Nella definizione di consenso è aggiunta la qualifica di"esplicito" per evitare un fuorviante parallelismo con il consenso"inequivocabile" e al fine di disporre di una definizione unica e coerente diconsenso e garantire che l'interessato sia pienamente consapevole del consenso chesta esprimendo e dei tipi di trattamento dei dati personali che sta accettando.
3.4.2. CAPO II - PRINCIPI
L'articolo 5 stabilisce i principi in materia di trattamentodei dati personali, che corrispondono a quelli di cui all'articolo 6 delladirettiva 95/46/CE. Tra i nuovi elementi aggiunti si trovano il principio ditrasparenza, la precisazione del principio di minimizzazione dei dati e l'introduzionedi una responsabilità generale del responsabile del trattamento.
L'articolo 6 stabilisce, in base all'articolo 7 delladirettiva 95/46/CE, i criteri di liceità del trattamento, ulteriormentespecificati con riferimento alle circostanze relative all'equilibrio degliinteressi, rispetto degli obblighi giuridici e interesse pubblico.
L'articolo 7 chiarisce le condizioni alle quali il consensoè valido come base giuridica ai fini di un trattamento lecito.
L'articolo 8 stabilisce ulteriori condizioni per la liceitàdel trattamento dei dati personali del minore in relazione ai servizi dellasocietà dell'informazione diretti ai minori.
L'articolo 9 stabilisce il divieto generale di trattamentodi categorie particolari di dati personali e le eccezioni a questa regolagenerale, fondata sull'articolo 8 della direttiva 95/46/CE.
L'articolo 10 precisa che il responsabile del trattamentonon è obbligato ad acquisire ulteriori informazioni per identificarel'interessato al solo fine di rispettare una disposizione del presenteregolamento.
3.4.3. CAPO III - DIRITTI DELL'INTERESSATO
3.4.3.1. Sezione 1 - Trasparenza e modalità
L'articolo 11, che si ispira in particolare alla risoluzionedi Madrid sulle norme internazionali sulla protezione dei dati personali edella vita privata32, introduce l'obbligo per iresponsabili del trattamento di fornire informazioni trasparenti, comprensibilie facilmente accessibili.
L'articolo 12 impone al responsabile del trattamento dipredisporre le procedure e i meccanismi che permettano all'interessato diesercitare i propri diritti, compresi i mezzi per introdurre le richieste pervia elettronica/telematica, l'obbligo di rispondere entro un termine determinatoe di motivare un eventuale rifiuto.
L'articolo 13 prevede i diritti relativi ai destinatari, inbase all'articolo 12, lettera c), della direttiva 95/46/CE, e li estende atutti i destinatari, compresi i corresponsabili e i coincaricatidei trattamenti.
3.4.3.2. Sezione 2 – Informazioni e accesso ai dati
L'articolo 14 precisa gli obblighi di informazione delresponsabile del trattamento nei confronti dell'interessato e, rispetto agliarticoli 10 e 11 della direttiva 95/46/CE, prevede informazioni aggiuntive tracui il periodo di conservazione, il diritto di presentare reclamo, i trasferimentiinternazionali e la fonte dei dati. Sono mantenute le deroghe previste dalla direttiva95/46/CE, per cui l'obbligo di informazione non si applica se la registrazioneo la divulgazione dei dati sono espressamente previste per legge. Ciò puòavvenire, ad esempio, nei procedimenti avviati dalle autorità per laconcorrenza, da un'amministrazione fiscale o doganale o dai servizi disicurezza sociale.
L'articolo 15 prevede il diritto di accesso ai propri datipersonali sulla base dell'articolo 12, lettera a), della direttiva 95/46/CE,con l'aggiunta di nuovi elementi come la comunicazione all'interessato delperiodo di conservazione dei dati, dei diritti di rettifica e di cancellazionee del diritto di proporre reclamo.
3.4.3.3. Sezione 3 – Rettifica e cancellazione
L'articolo 16 prevede il diritto di rettifica in baseall'articolo 12, lettera b), della direttiva 95/46/CE.
L'articolo 17 prevede il diritto all'oblio e allacancellazione, approfondendo e precisando il diritto alla cancellazione di cuiall'articolo 12, lettera b), della direttiva 95/46/CE e prevedendo lecondizioni del diritto all'oblio, compreso l'obbligo del responsabile del trattamentoche abbia divulgato dati personali di informare i terzi della richiesta dell'interessatodi cancellare tutti i link verso tali dati, le loro copie o riproduzioni. La disposizioneprevede inoltre il diritto di limitare il trattamento in determinati casi,evitando l'ambiguo termine di "blocco dei dati".
L'articolo 18 introduce il diritto dell'interessato allaportabilità dei dati, vale a dire il diritto di trasferire i propri dati da unsistema di trattamento elettronico a un altro, senza che il responsabile deltrattamento possa impedirlo. Come presupposto e al fine di migliorare l'accessodell'interessato ai dati personali che lo riguardano, è previsto il diritto diottenere tali dati dal responsabile del trattamento in un formato elettronicostrutturato e di uso comune.
3.4.3.4. Sezione 4 - Diritto di opposizione e profilazione
L'articolo 19 sancisce il diritto di opposizionedell'interessato sulla base dell'articolo 14 della direttiva 95/46/CE, al qualesono state apportate alcune modifiche anche per quanto riguarda l'onere dellaprova e la sua applicazione al marketing diretto.
L'articolo 20 sancisce il diritto di non essere sottoposto amisure basate sulla profilazione riprendendo, conmodifiche e salvaguardie supplementari, l'articolo 15, paragrafo 1, della direttiva95/46/CE relativo alle decisioni individuali automatizzate, e tenendo contodella raccomandazione del Consiglio d'Europa sulla profilazione33.
3.4.3.5. Sezione 5 - Limitazioni
L'articolo 21 chiarisce la facoltà dell'Unione o degli Statimembri di mantenere o introdurre limitazioni dei principi stabilitiall'articolo 5 e dei diritti dell'interessato previsti agli articoli da 11 a 20e all'articolo 32. Questa disposizione si basa sull'articolo 13 della direttiva95/46/CE e sugli obblighi discendenti dalla Carta dei diritti fondamentali edalla convenzione CEDU, nell'interpretazione della Corte di giustiziadell'Unione europea e della Corte europea dei diritti dell'uomo.
3.4.4. CAPO IV - RESPONSABILE DEL TRATTAMENTO E INCARICATODEL TRATTAMENTO
3.4.4.1. Sezione 1 - Obblighi generali
L'articolo 22, che tiene conto del dibattito sul "principiodi rendicontazione", descrive in modo particolareggiato l'obbligo delresponsabile del trattamento di conformarsi al regolamento e di dimostrare taleconformità, anche mediante l'adozione di politiche interne e di meccanismi attia garantire il rispetto del regolamento.
L'articolo 23 enuncia gli obblighi del responsabile deltrattamento derivanti dai principi di protezione fin dalla progettazione ("by design") e di default.
L'articolo 24 sui corresponsabili del trattamento nechiarisce le responsabilità con riferimento alla relazione che intercorre tragli stessi e nei confronti dell'interessato.
L'articolo 25 obbliga, a determinate condizioni, iresponsabili del trattamento non stabiliti nell'Unione a designare unrappresentante nell'Unione, nella misura in cui il regolamento si applica allaloro attività di trattamento dati.
L'articolo 26 chiarisce la posizione e l'obbligo degliincaricati del trattamento, basandosi in parte sull'articolo 17, paragrafo 2,della direttiva 95/46/CE, con l'aggiunta di nuovi elementi come il fatto che unincaricato del trattamento che non si limiti a trattare i dati in base alle istruzionidel responsabile del trattamento è considerato corresponsabile del trattamento.
L'articolo 27 sul trattamento sotto l'autorità delresponsabile e dell'incaricato del trattamento si basa sull'articolo 16 delladirettiva 95/46/CE.
L'articolo 28 introduce l'obbligo per i responsabili e gliincaricati del trattamento di conservare la documentazione delle operazionieffettuate sotto la propria responsabilità, in sostituzione della notificagenerale all'autorità di controllo richiesta dall'articolo 18, paragrafo 1, edall'articolo 19 della direttiva 95/46/CE.
L'articolo 29 chiarisce gli obblighi del responsabile edell'incaricato del trattamento ai fini della cooperazione con l'autorità dicontrollo.
3.4.4.2. Sezione 2 – Sicurezza dei dati
L'articolo 30 impone al responsabile del trattamento eall'incaricato del trattamento di mettere in atto misure adeguate per lasicurezza dei trattamenti, ai sensi dell'articolo 17, paragrafo 1, delladirettiva 95/46/CE, estendendo l'obbligo agli incaricati del trattamento, indipendentementedal contratto che hanno sottoscritto con il responsabile del trattamento.
Gli articoli 31 e 32 introducono l'obbligo di notificazionee comunicazione delle violazioni di dati personali, sviluppando lanotificazione prevista all'articolo 4, paragrafo 3, della direttiva 2002/58/CE.
3.4.4.3. Sezione 3 – Valutazione d'impatto sullaprotezione dei dati e autorizzazione preventiva
L'articolo 33 introduce l'obbligo per responsabili eincaricati del trattamento di effettuare una valutazione d'impatto in materiadi protezione dei dati prima di trattamenti che presentino rischi al riguardo.
L'articolo 34, che sviluppa la nozione di controllopreliminare di cui all'articolo 20 della direttiva 95/46/CE, riguarda i casi incui il responsabile del trattamento o l'incaricato del trattamento devonoottenere l'autorizzazione preventiva dell'autorità di controllo o consultare taleautorità prima di trattare i dati.
3.4.4.4. Sezione 4 – Responsabile della protezione deidati
L'articolo 35 introduce la figura obbligatoria delresponsabile della protezione dei dati per il settore pubblico e, nel settoreprivato, per le grandi imprese o allorquando le attività principali delresponsabile del trattamento e dell'incaricato del trattamento consistono intrattamenti che richiedono il controllo regolare e sistematico degliinteressati. La disposizione si basa sull'articolo 18, paragrafo 2, delladirettiva 95/46/CE che ha permesso agli Stati membri di introdurre tale obbligoin sostituzione di un obbligo generale di notificazione.
L'articolo 36 precisa la posizione del responsabile dellaprotezione dei dati.
L'articolo 37 stabilisce i principali compiti delresponsabile della protezione dei dati.
3.4.4.5. Sezione 5 – Codici di condotta ecertificazione
L'articolo 38 riguarda i codici di condotta e precisa,sviluppando il concetto di cui all'articolo 27, paragrafo 1, della direttiva95/46/CE, il contenuto di tali codici e le procedure, conferendo allaCommissione il potere di decidere sulla validità generale dei codici dicondotta.
L'articolo 39 introduce la possibilità di predisporremeccanismi di certificazione e sigilli e marchi di protezione dei dati.
3.4.5. CAPO V - TRASFERIMENTO DIDATI PERSONALI VERSO PAESI TERZI O ORGANIZZAZIONI INTERNAZIONALI
L'articolo 40 stabilisce che, in linea di principio, laconformità alle disposizioni del capo V è obbligatoria per i trasferimenti didati personali verso paesi terzi o organizzazioni internazionali, compresi itrasferimenti successivi.
L'articolo 41 stabilisce, sulla base dell'articolo 25 delladirettiva 95/46/CE, i criteri, le condizioni e le procedure per l'adozione diuna decisione di adeguatezza della Commissione.
I criteri di cui deve tener conto la Commissione pervalutare se il livello di protezione è o meno adeguato includono espressamentelo stato di diritto, il ricorso giudiziario e un controllo indipendente.L'articolo conferma ora esplicitamente che la Commissione può valutare il livellodi protezione offerto da un territorio o settore di trattamento all'interno diun paese terzo.
L'articolo 42 prevede che, in mancanza di una decisione diadeguatezza della Commissione, i trasferimenti a paesi terzi siano subordinatiad adeguate garanzie, in particolare clausole tipo di protezione dei dati,norme vincolanti d'impresa e clausole contrattuali. La possibilità di fare ricorsoalle clausole tipo di protezione dei dati della Commissione discendedall'articolo 26, paragrafo 4, della direttiva 95/46/CE. La novità è che adessole clausole standard potranno essere ora adottate anche da un'autorità dicontrollo ed essere dichiarate generalmente valide dalla Commissione. Il testogiuridico menziona ora espressamente anche le norme vincolanti d'impresa.L'opzione delle clausole contrattuali offre una certa flessibilità alresponsabile o all'incaricato del trattamento, ma è subordinataall'autorizzazione preventiva delle autorità di controllo.
L'articolo 43 descrive in modo più dettagliato le condizioniper i trasferimenti in presenza di norme vincolanti d'impresa, sulla base delleattuali pratiche e esigenze delle autorità di controllo.
L'articolo 44 precisa e chiarisce le deroghe per iltrasferimento di dati, partendo dalle attuali disposizioni dell'articolo 26della direttiva 95/46/CE. Ciò vale in particolare per i trasferimenti di datirichiesti e necessari per motivi di interesse pubblico rilevante, per esempioin casi di scambi internazionali di dati tra amministrazioni fiscali o doganalioppure tra servizi competenti per la sicurezza sociale o per la gestione dellerisorse alieutiche. Inoltre, una trasmissione di dati può, in circostanzelimitate, essere giustificata dall'interesse legittimo del responsabile deltrattamento o dell'incaricato del trattamento, ma solo dopo che siano state valutatee documentate le circostanze del trasferimento.
L'articolo 45 prevede espressamente lo sviluppo dimeccanismi di cooperazione internazionale per la protezione dei dati personalitra la Commissione e le autorità di controllo di paesi terzi, in particolarequelli che si ritiene offrano un adeguato livello di protezione, tenendo contodella raccomandazione dell'Organizzazione per la cooperazione e lo sviluppo economico(OCSE) sulla cooperazione transfrontaliera nell'applicazione delle legislazioniin materia di privacy del 12 giugno 2007.
3.4.6. CAPO VI - AUTORITà DI CONTROLLO INDIPENDENTI
3.4.6.1. Sezione 1 – Indipendenza
L'articolo 46 obbliga gli Stati membri a istituire autoritàdi controllo, come già previsto dall'articolo 28, paragrafo 1, della direttiva95/46/CE, e ad ampliarne i compiti includendo la cooperazione reciproca e conla Commissione.
L'articolo 47 precisa le condizioni per l'indipendenza delleautorità di controllo, ai sensi della giurisprudenza della Corte di giustiziadell'Unione europea34, ispirandosi anche all'articolo44 del regolamento (CE) n. 45/200135.
L'articolo 48 dispone le condizioni generali per i membridell'autorità di controllo, in applicazione della pertinente giurisprudenza36, inspirandosianche all'articolo 42, paragrafi da 2 a 6, del regolamento (CE) n. 45/2001.
L'articolo 49 contiene disposizioni relative all'istituzionedelle autorità di controllo, che ogni Stato membro deve prevedere per legge.
L'articolo 50, basato sull'articolo 28, paragrafo 7, delladirettiva 95/46/CE, obbliga al segreto professionale i membri e il personaledell'autorità di controllo.
3.4.6.2. Sezione 2 – Funzioni e poteri
L'articolo 51 stabilisce le competenze delle autorità dicontrollo. La norma generale, prevista all'articolo 28, paragrafo 6, delladirettiva 95/46/CE (competenza nel territorio del suo Stato membro), èintegrata dalla nuova competenza di autorità capofila nel caso di un responsabiledel trattamento o incaricato del trattamento stabilito in più Stati membri, alfine di assicurare un'attuazione uniforme ("sportello unico"). I tribunali,nell'esercizio della loro funzione giurisdizionale, sono esentati dal monitoraggioesercitato dall'autorità di controllo, ma non dall'applicazione delle normesostanziali in materia di protezione dei dati.
L'articolo 52 stabilisce le funzioni dell'autorità dicontrollo, compresa quella di ricevere ed esaminare i reclami o sensibilizzareil pubblico ai rischi, alla norme e misure di salvaguardia e ai diritti.
L'articolo 53 stabilisce i poteri dell'autorità dicontrollo, in parte sulla base dell'articolo 28, paragrafo 3, della direttiva95/46/CE e dell'articolo 47 del regolamento (CE) n. 45/2001, e inserisce alcuninuovi elementi, tra cui il potere di sanzionare gli illeciti amministrativi.
L'articolo 54 obbliga le autorità di controllo a redigererelazioni annuali di attività, com'era già previsto dall'articolo 28, paragrafo5, della direttiva 95/46/CE.
3.4.7. CAPO VII - COOPERAZIONE E COERENZA
3.4.7.1. Sezione 1 – Cooperazione
L'articolo 55 introduce, sulla base dell'articolo 28,paragrafo 6, secondo comma, della direttiva 95/46/CE, norme esplicite inmateria di assistenza reciproca obbligatoria, specificando le conseguenze perla mancata esecuzione della richiesta di un'altra autorità di controllo.
L'articolo 56, ispirandosi all'articolo 17 della decisione2008/615/GAI37, introduce norme sulle operazionicongiunte, compreso il diritto delle autorità di controllo di partecipare atali operazioni.
3.4.7.2. Sezione 2 – Coerenza
L'articolo 57 introduce un meccanismo volto ad assicurarel'uniformità di applicazione in relazione alle attività di trattamento dati chepossono riguardare interessati in vari Stati membri.
L'articolo 58 stabilisce le procedure e le condizioni perl'emissione di un parere del comitato europeo per la protezione dei dati.
L'articolo 59 verte sui pareri della Commissione inrelazione a questioni trattate nell'ambito del meccanismo di coerenza, chepossono esprimere un accordo o un disaccordo rispetto al parere del comitatoeuropeo per la protezione dei dati, e sul progetto di misura dell'autorità di controllo.Qualora il comitato europeo per la protezione dei dati sollevi una questione anorma dell'articolo 58, paragrafo 3, è presumibile che la Commissione esercitiil suo potere discrezionale ed esprima un parere ogniqualvolta necessario.
L'articolo 60 riguarda le decisioni della Commissione cheingiungono all'autorità competente di sospendere l'adozione del progetto dimisura qualora ciò sia necessario per garantire la corretta applicazione delpresente regolamento.
L'articolo 61 prevede la possibilità di adottare misureprovvisorie, con procedura d'urgenza.
L'articolo 62 stabilisce i requisiti per gli atti diesecuzione della Commissione nell'ambito del meccanismo di coerenza.
L'articolo 63 prevede l'obbligo di dare esecuzione allemisure di un'autorità di controllo in tutti gli Stati membri interessati edispone l'applicazione del meccanismo di coerenza come requisito indispensabileai fini della validità giuridica e dell'esecuzione della rispettiva misura.
3.4.7.3. Sezione 3 – Comitato europeo per laprotezione dei dati
L'articolo 64 istituisce il comitato europeo per laprotezione dei dati, composto dal responsabile delle autorità di controllo diciascuno Stato membro e dal garante europeo della protezione dei dati. Ilcomitato europeo per la protezione dei dati sostituisce il gruppo per la tuteladelle persone con riguardo al trattamento dei dati personali istituitodall'articolo 29 della direttiva 95/46/CE. L'articolo precisa che laCommissione non è membro del comitato europeo per la protezione dei dati, ma hail diritto di partecipare alle attività e designa un rappresentante.
L'articolo 65 sottolinea e chiarisce l'indipendenza delcomitato europeo per la protezione dei dati.
L'articolo 66 descrive i compiti del comitato europeo per laprotezione dei dati, sulla base dell'articolo 30, paragrafo 1, della direttiva95/46/CE, e prevede ulteriori elementi, a motivo del più vasto ambito diattività del comitato all'interno dell'Unione e al di fuori. Per essere in gradodi reagire a situazioni di emergenza, la Commissione può chiedere un parerefissando un termine entro il quale il comitato deve rispondere.
L'articolo 67 obbliga il comitato europeo per la protezionedei dati a riferire annualmente sulle sue attività, in base all'articolo 30,paragrafo 6, della direttiva 95/46/CE.
L'articolo 68 stabilisce le procedure decisionali delcomitato europeo per la protezione dei dati, compreso l'obbligo di adottare unregolamento interno che contempli anche le modalità del proprio funzionamento.
L'articolo 69 contiene disposizioni sul presidente e ivicepresidenti del comitato europeo per la protezione dei dati.
L'articolo 70 definisce i compiti della presidenza.
L'articolo 71 stabilisce che la segreteria del comitatoeuropeo per la protezione dei dati è assicurata dal garante europeo dellaprotezione dei dati e ne specifica i compiti.
L'articolo 72 dispone in materia di riservatezza.
3.4.8. CAPO III - RICORSI GIURISDIZIONALI, RESPONSABILITà ESANZIONI
L'articolo 73 riconosce a ciascuno il diritto di presentareun reclamo presso un'autorità di controllo, sulla base dell'articolo 28,paragrafo 4, della direttiva 95/46/CE. L'articolo specifica anche gliorganismi, le organizzazioni o associazioni che possono presentare reclamo perconto dell'interessato o, in caso di violazione di dati personali, indipendentementedal reclamo dell'interessato.
L'articolo 74 riguarda il diritto di proporre un ricorsogiurisdizionale avverso un'autorità di controllo, sulla base della disposizionegenerale di cui all'articolo 28, paragrafo 3, della direttiva 95/46/CE.L'articolo prevede esplicitamente che il ricorso giurisdizionale obbliga l'autoritàdi controllo ad agire a seguito di un reclamo, e chiarisce la competenza deigiudici dello Stato membro in cui è stabilita l'autorità di controllo. Prevedeinoltre che le autorità di controllo dello Stato membro in cui risiedel'interessato possano avviare un'azione legale per suo conto in un altro Statomembro in cui sia stabilita l'autorità di controllo competente.
L'articolo 75 riguarda il diritto di proporre un ricorsogiurisdizionale nei confronti di un responsabile del trattamento o di unincaricato del trattamento, sulla base dell'articolo 22 della direttiva95/46/CE, e consente la scelta tra il ricorso al giudice dello Stato membro incui è stabilito il ricorrente e quello in cui risiede l'interessato. Se piùprocedimenti riguardanti la stessa misura sono in corso nell'ambito delmeccanismo di coerenza, il giudice può sospendere il procedimento, salvo casid'urgenza.
L'articolo 76 stabilisce norme comuni per i procedimentigiudiziari, compresi i diritti degli organismi, delle organizzazioni oassociazioni di rappresentare gli interessati in giudizio, il diritto delleautorità di controllo di avviare azioni legali e delle autorità giurisdizionalidi ottenere informazioni su procedimenti paralleli in un altro Stato membro,oltre alla facoltà del giudice di sospendere il procedimento in tal caso38. Gli Statimembri hanno l'obbligo di garantire la rapidità dei ricorsi giurisdizionali39.
L'articolo 77 stabilisce il diritto al risarcimento deldanno e la responsabilità. Basandosi sull'articolo 23 della direttiva 95/46/CE,estende tale diritto ai danni causati dagli incaricati del trattamento echiarisce la responsabilità dei corresponsabili e coincaricatidel trattamento.
L'articolo 78 impone agli Stati membri di definire lesanzioni applicabili alle violazioni del regolamento e di garantirnel'effettiva attuazione.
L'articolo 79 fa obbligo a ciascuna autorità di controllo disanzionare gli illeciti amministrativi elencati nei cataloghi di cui allapresente disposizione, di comminare ammende entro un importo massimo, tenendodebitamente conto delle circostanze di ogni singolo caso.
3.4.9. CAPO IX - DISPOSIZIONI RELATIVE A SPECIFICHESITUAZIONI DI TRATTAMENTO DEI DATI
L'articolo 80 impone agli Stati membri di adottare esenzionie deroghe alle disposizioni specifiche del regolamento ove necessario perconciliare il diritto alla protezione dei dati personali e il diritto allalibertà d'espressione; si basa sull'articolo 9 della direttiva 95/46/CE, comeinterpretato dalla Corte di giustizia40.
L'articolo 81 impone agli Stati membri, in aggiunta a quantogià prescritto per categorie particolari di dati, di garantire specifichesalvaguardie al trattamento di dati a fini sanitari.
L'articolo 82 dispone che gli Stati membri hanno facoltà diadottare norme specifiche per il trattamento dei dati personali nei rapporti dilavoro.
L'articolo 83 stabilisce condizioni specifiche per iltrattamento di dati personali per finalità storiche, statistiche e di ricercascientifica.
L'articolo 84 autorizza gli Stati membri ad adottare normespecifiche per regolare l'accesso delle autorità di controllo ai dati personalie agli edifici, se i responsabili del trattamento sono tenuti all'obbligo disegretezza.
L'articolo 85 autorizza chiese e comunità religiose, allaluce dell'articolo 17 del TFUE, a continuare ad applicare corpus completi dinorme di protezione dei dati, purché conformi al presente regolamento.
3.4.10. CAPO X - ATTI DELEGATI E ATTI DIESECUZIONE
L'articolo 86 contiene le disposizioni standard perl'esercizio delle deleghe a norma dell'articolo 290 del TFUE. Ciò consente allegislatore di delegare alla Commissione il potere di adottare atti nonlegislativi di portata generale che integrano o modificano determinati elementinon essenziali di un atto legislativo (atti quasi legislativi).
L'articolo 87 dispone la procedura di comitato necessariaper il conferimento delle competenze di esecuzione alla Commissione, nei casiin cui, conformemente all'articolo 291 del TFUE, sono necessarie condizioniuniformi di esecuzione degli atti giuridicamente vincolanti dell'Unione. Siapplica la procedura d'esame.
3.4.11. CAPO XI - DISPOSIZIONI FINALI
L'articolo 88 abroga la direttiva 95/46/CE.
L'articolo 89 chiarisce il rapporto con la direttiva2002/58/CE sulla vita privata e le comunicazioni elettroniche, e la modifica.
L'articolo 90 impone alla Commissione di valutarel'applicazione del regolamento e presentare relazioni al riguardo.
L'articolo 91 stabilisce la data di entrata in vigore delregolamento e una fase transitoria rispetto alla data di applicazione.
4. INCIDENZA SUL BILANCIO
Le specifiche implicazioni di bilancio della propostariguardano i compiti assegnati al garante europeo della protezione dei dati,come indicato nella scheda finanziaria legislativa allegata alla presenteproposta. Tali implicazioni richiedono una riprogrammazione della rubrica 5 delleprospettive finanziarie.
La proposta non ha ripercussioni sulle spese operative.
La scheda finanziaria legislativa che accompagna la presenteproposta di regolamento ricomprende le incidenze di bilancio del regolamentostesso e della direttiva sulla protezione dei dati in materia di polizia egiustizia penale.
2012/0011 (COD)
Proposta di
REGOLAMENTO DEL PARLAMENTO EUROPEO EDEL CONSIGLIO
concernentela tutela delle persone fisiche con riguardo al trattamento dei dati personali
ela libera circolazione di tali dati
(regolamento generale sulla protezionedei dati)
(Testo rilevante ai fini del SEE)
IL PARLAMENTO EUROPEO E IL CONSIGLIODELL'UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, inparticolare l'articolo 16, paragrafo 2, e l'articolo 114, paragrafo 1,
vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo aiparlamenti nazionali,
visto il parere del Comitato economico e sociale europeo41,
sentito il garante europeo della protezione dei dati42,
deliberando secondo la procedura legislativa ordinaria,
considerando quanto segue:
(1) La tutela delle persone fisiche con riguardo altrattamento dei dati personali è un diritto fondamentale. L'articolo 8,paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea el'articolo 16, paragrafo 1, del trattato stabiliscono che ogni persona hadiritto alla protezione dei dati di carattere personale che la riguardano.
(2) Il trattamento dei dati personali è al serviziodell'uomo; i principi e le norme a tutela delle persone fisiche con riguardo altrattamento dei dati personali devono rispettarne i diritti e le libertàfondamentali, in particolare il diritto alla protezione dei dati personali, aprescindere dalla nazionalità o dalla residenza dell'interessato. Il trattamentodei dati personali dovrebbe contribuire alla realizzazione di uno spazio di libertà,sicurezza e giustizia e di un'unione economica, al progresso economico e sociale,al rafforzamento e alla convergenza delle economie nel mercato interno e al benesseredelle persone.
(3) Obiettivo della direttiva 95/46/CE del Parlamentoeuropeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela dellepersone fisiche con riguardo al trattamento dei dati personali, nonché allalibera circolazione di tali dati43èarmonizzare la protezione dei diritti e delle libertà fondamentali dellepersone fisiche rispetto alle attività di trattamento dei dati e assicurare lalibera circolazione dei dati personali tra gli Stati membri.
(4) L'integrazione economica e sociale conseguente alfunzionamento del mercato interno ha portato a un considerevole aumento deiflussi transfrontalieri e quindi anche dei dati scambiati, in tutta l'Unione,tra gli operatori economici e sociali, pubblici e privati. Il dirittodell'Unione impone alle autorità nazionali degli Stati membri di cooperare e scambiarsidati personali per essere in grado di svolgere le rispettive funzioni o eseguirecompiti per conto di un'autorità di un altro Stato membro.
(5) La rapidità dell'evoluzione tecnologica e laglobalizzazione comportano anche nuove sfide per la protezione dei datipersonali. La portata della condivisione e della raccolta di dati è aumentatain modo vertiginoso; la tecnologia attuale consente alle imprese private quantoalle autorità pubbliche di utilizzare dati personali, come mai in precedenza,nello svolgimento delle loro attività e, sempre più spesso, gli stessi privati rendonopubbliche sulla rete mondiale informazioni personali che li riguardano. Le nuovetecnologie hanno trasformato non solo l'economia ma anche le relazioni sociali eimpongono che si faciliti ancora di più la libera circolazione dei datiall'interno dell'Unione e il loro trasferimento verso paesi terzi eorganizzazioni internazionali; al tempo stesso, però, occorre garantire unelevato livello di protezione dei dati personali.
(6) Tale evoluzione richiede un quadro giuridico più solidoe coerente in materia di protezione dei dati nell'Unione, affiancato daefficaci misure di attuazione, data l'importanza di creare il clima di fiduciache consentirà lo sviluppo dell'economia digitale in tutto il mercato interno.È necessario che le persone fisiche abbiano il controllo dei dati personali cheli riguardano e che la certezza giuridica e operativa sia rafforzata tanto peri privati che per i operatori economici e le autorità pubbliche.
(7) Sebbene i suoi obiettivi e principi rimangano tuttoravalidi, la direttiva 95/46/CE non ha impedito la frammentazione delle modalitàdi applicazione della protezione dei dati personali nel territorio dell'Unione,né ha eliminato l'incertezza giuridica e la percezione, largamente diffusa nelpubblico, che soprattutto le operazioni on line comportinonotevoli rischi. La compresenza di diversi livelli di tutela dei diritti edelle libertà delle persone fisiche, in particolare del diritto alla protezionedei dati personali, riservata al trattamento di tali dati negli Stati membripuò ostacolare la libera circolazione dei dati personali all'internodell'Unione. Tali differenze possono pertanto costituire un freno all'eserciziodelle attività economiche su scala dell'Unione, falsare la concorrenza e impedirealle autorità nazionali di adempiere agli obblighi loro derivanti dal dirittodell'Unione. Il divario creatosi nei livelli di protezione è dovuto alledivergenze nell'attuare e applicare la direttiva 95/46/CE.
(8) Al fine di garantire un livello coerente ed elevato diprotezione delle persone e rimuovere gli ostacoli alla circolazione dei datipersonali, il livello di tutela dei diritti e delle libertà delle personefisiche con riguardo al trattamento di tali dati deve essere equivalente intutti gli Stati membri. Occorre pertanto garantire un'applicazione coerente edomogenea delle norme a tutela delle libertà e dei diritti fondamentali delle personefisiche con riguardo al trattamento dei dati personali su tutto il territorio dell'Unione.
(9) Ai fini di un'efficace protezione dei dati personali intutta l'Unione è necessario rafforzare e precisare i diritti degli interessatie gli obblighi di coloro che effettuano e determinano il trattamento dei dati,dotare gli Stati membri di poteri equivalenti per monitorare e garantire ilrispetto delle norme di protezione dei dati personali, e prevedere sanzioniequivalenti per i trasgressori.
(10) L'articolo 16, paragrafo 2, del trattato conferisce alParlamento europeo e al Consiglio il mandato di stabilire le norme relativealla protezione delle persone fisiche con riguardo al trattamento dei dati dicarattere personale e le norme relative alla libera circolazione di tali dati.
(11) Per garantire un livello uniforme di protezione dellepersone in tutta l'Unione e prevenire disparità che possono ostacolare lalibera circolazione dei dati nel mercato interno, è necessario un regolamentoche garantisca certezza del diritto e trasparenza agli operatori economici,comprese le micro, piccole e medie imprese, offra alla persona in tutti gliStati membri il medesimo livello di diritti giuridicamente tutelati, definiscaobblighi e responsabilità dei responsabili del trattamento e degli incaricati deltrattamento e assicuri un monitoraggio costante del trattamento dei datipersonali, sanzioni equivalenti in tutti gli Stati membri e una cooperazioneefficace tra le autorità di controllo dei diversi Stati membri. Per tener contodella specifica situazione delle micro, piccole e medie imprese, il presenteregolamento prevede una serie di deroghe.
Inoltre, le istituzioni e gli organi dell'Unione, gli Statimembri e le loro autorità di controllo sono invitati a considerare le esigenzespecifiche delle micro, piccole e medie imprese nell'applicare il presenteregolamento. Il concetto di micro, piccola e media impresa deve ispirarsi allaraccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alladefinizione delle microimprese, piccole e medie imprese.
(12) La protezione prevista dal presente regolamento si applicaalle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza,in relazione al trattamento dei dati personali. La protezione offerta dalpresente regolamento non potrà essere invocata per il trattamento dei datirelativi a persone giuridiche, in particolare imprese dotate di personalitàgiuridica, compreso il nome, la forma giuridica e i contatti. Ciò vale anchequando il nome della persona giuridica contiene il nome di una o più personefisiche.
(13) La protezione delle persone fisiche deve essereneutrale sotto il profilo tecnologico e non dipendere dalle tecniche impiegate;in caso contrario, si correrebbero gravi rischi di elusione. La protezionedelle persone fisiche deve applicarsi sia al trattamento automatizzato che altrattamento manuale dei dati personali, se i dati sono contenuti o destinati adessere contenuti in un archivio. Non dovrebbero rientrare nel campo di applicazionedel presente regolamento i fascicoli o le serie di fascicoli, e le rispettive copertine,non strutturati secondo criteri specifici.
(14) Il presente regolamento non si applica a questioni ditutela dei diritti e delle libertà fondamentali o di libera circolazione deidati riferite ad attività che non rientrano nell'ambito di applicazione deldiritto dell'Unione europea, né si applica al trattamento dei dati personalieffettuato da istituzioni, organi, uffici e agenzie dell'Unione, che sonosoggetti al regolamento (CE) n. 45/200144, e nemmeno altrattamento effettuato dagli Stati membri nell'esercizio di attività relativealla politica estera e di sicurezza comune dell'Unione.
(15) Il presente regolamento non deve applicarsi altrattamento di dati personali effettuato da una persona fisica nell'ambito diattività esclusivamente personali o domestiche, quali la corrispondenza e gliindirizzari, e senza scopo di lucro, vale a dire senza alcuna connessione conun'attività commerciale o professionale. Tale deroga non deve valere per iresponsabili del trattamento o gli incaricati del trattamento che forniscono i mezziper trattare dati personali nell'ambito di tali attività personali odomestiche.
(16) La tutela delle persone fisiche con riguardo altrattamento dei dati personali da parte delle autorità competenti a fini diprevenzione, indagine, accertamento e perseguimento di reati o esecuzione disanzioni penali, e la libera circolazione di tali dati sono oggetto di unospecifico strumento giuridico a livello di Unione. Il presente regolamento nonsi applica pertanto ai trattamenti effettuati per queste finalità. I dati trattatidalle autorità pubbliche in forza del presente regolamento per queste finalità dovrannoinvece essere disciplinati dal più specifico strumento giuridico a livello di Unione(direttiva XX/YYY).
(17) Il presente regolamento non deve pregiudicarel'applicazione della direttiva 2000/31/CE, in particolare le norme relativealla responsabilità dei prestatori intermediari di servizi di cui ai suoiarticoli da 12 a 15.
(18) Il presente regolamento ammette, nell'applicazionedelle sue disposizioni, che si tenga conto del principio del pubblico accessoai documenti ufficiali.
(19) Qualsiasi trattamento di dati personali effettuatonell'ambito delle attività di uno stabilimento di un responsabile deltrattamento o incaricato del trattamento nel territorio dell'Unione deve essereconforme al presente regolamento, che il trattamento avvenga all'internodell'Unione o al di fuori. Lo stabilimento implica l'effettivo e realesvolgimento di attività nel quadro di un'organizzazione stabile. A taleriguardo non è determinante la forma giuridica assunta, sia essa una succursaleo una filiale dotata di personalità giuridica.
(20) Onde evitare che una persona venga privata della tutelacui ha diritto in base al presente regolamento, è necessario che questo disciplinianche il trattamento dei dati personali di residenti nell'Unione effettuato daun responsabile del trattamento non stabilito nell'Unione, quando le attivitàdi trattamento sono finalizzate all'offerta di beni o servizi a dette persone oal controllo del loro comportamento.
(21) Per stabilire se un'attività di trattamento siaassimilabile al "controllo del comportamento" dell'interessato, occorreverificare se le operazioni che questi esegue su Internet sono sottoposte atecniche di trattamento dei dati volte alla "profilazione"dell'utente, in particolare per prendere decisioni che li riguardano oanalizzarne o prevederne le preferenze, i comportamenti e le posizionipersonali.
(22) Laddove vige la legislazione nazionale di uno Statomembro in virtù del diritto internazionale pubblico, ad esempio nellarappresentanza diplomatica o consolare di uno Stato membro, il presenteregolamento deve applicarsi anche a un responsabile del trattamento nonstabilito nell'Unione.
(23) È necessario applicare i principi di protezione a tuttele informazioni relative ad una persona identificata o identificabile. Perstabilire l'identificabilità di una persona, è opportuno considerare tutti imezzi di cui può ragionevolmente avvalersi il responsabile del trattamento o unterzo per identificare detta persona. Non è necessario applicare i principi diprotezione ai dati resi sufficientemente anonimi da impedire l'identificazionedell'interessato.
(24) Navigando on line, accade chesi sia associati a identificativi on line prodottidai dispositivi, dalle applicazioni, dagli strumenti e protocolli utilizzati,quali gli indirizzi IP o i marcatori temporanei (cookies).Tali identificativi possono lasciare tracce che, combinate con altriidentificativi univoci e altre informazioni ricevute dai server, possono essereutilizzate per creare profili e identificare gli utenti. Ne consegue che numeridi identificazione, dati relativi all'ubicazione, identificativi on line o altri fattori specifici non debbano di per sé esserenecessariamente considerati dati personali in tutte le circostanze.
(25) Il consenso dovrebbe essere prestato esplicitamente conqualsiasi modalità appropriata che permetta all'interessato di manifestare unavolontà libera, specifica e informata, mediante dichiarazione o azione positivainequivocabile da cui si evinca che consapevolmente acconsente al trattamentodei suoi dati personali, anche selezionando un'apposita casella in un sitoInternet o con altra dichiarazione o comportamento che indichi chiaramente inquesto contesto che accetta il trattamento proposto. Non dovrebbe pertantoconfigurare consenso il consenso tacito o passivo. Il consenso dovrebbeapplicarsi a tutte le attività di trattamento svolte per lo stesso o gli stessiscopi. Se il consenso dell'interessato è richiesto con modalità elettronica, larichiesta deve essere chiara, concisa e non disturbare inutilmente il servizioper il quale è espresso.
(26) Nei dati personali relativi alla salute dovrebberorientrare, in particolare, tutti i dati riguardanti lo stato di salutedell'interessato; le informazioni sulle richieste di prestazione di servizisanitari; le informazioni sui pagamenti o l'ammissibilità all'assistenzasanitaria; un numero, simbolo o elemento specifico attribuito per identificarel'interessato in modo univoco a fini sanitari; qualsiasi informazione
raccolta nel corso della prestazione di servizi sanitari; leinformazioni risultanti da esami e controlli effettuati su una parte del corpoo una sostanza organica, compresi i campioni biologici; l'identificazione diuna persona come prestatore di assistenza sanitaria all'interessato; qualsiasiinformazione riguardante, ad esempio, una malattia, l'invalidità, il rischio dimalattie, l'anamnesi medica, i trattamenti clinici o l'effettivo stato fisiologicoo biomedico dell'interessato, indipendentemente dalla fonte, ad esempio unmedico o altro operatore sanitario, un ospedale, un dispositivo medico o untest diagnostico in vitro.
(27) È necessario che lo stabilimento principale di unresponsabile del trattamento dell'Unione sia determinato in base a criteriobiettivi e implichi l'effettivo e reale svolgimento di attività di gestionefinalizzate alle principali decisioni sulle finalità, le condizioni e i mezzidel trattamento nel quadro di un'organizzazione stabile. Tale criterio non devedipendere dal fatto che i dati personali siano effettivamente trattati in quellasede; la presenza o l'uso di mezzi tecnici e tecnologie di trattamento di dati personalio di attività di trattamento non costituiscono di per sé lo stabilimento principalené sono quindi criteri determinanti della sua esistenza. Per quanto riguarda l'incaricatodel trattamento, per "stabilimento principale" deve intendersi il luogo in cuiha sede la sua amministrazione centrale nell'Unione.
(28) Un gruppo di imprese dovrebbe costituirsi di un'impresacontrollante e delle sue controllate, là dove l'impresa controllante sarebbequella che può esercitare un'influenza dominante sulle controllate in forza, adesempio, della proprietà, della partecipazione finanziaria o delle normesocietarie o del potere di fare applicare le norme di protezione dei datipersonali.
(29) I minori necessitano di una specifica protezione deiloro dati personali, in quanto possono essere meno consapevoli dei rischi,delle conseguenze, delle misure di protezione e dei loro diritti in relazioneal trattamento dei dati personali. Per determinare chi è minore, è opportunoche il presente regolamento riprenda la definizione stabilita dalla convenzionedelle Nazioni Unite sui diritti del fanciullo.
(30) Qualsiasi trattamento di dati personali deve esserelecito, equo e trasparente nei confronti dell'interessato. In particolare, lefinalità specifiche del trattamento dei dati devono essere esplicite elegittime e precisate al momento della raccolta. I dati devono essere adeguati,pertinenti e limitati al minimo necessario per le finalità del trattamento,donde l'obbligo, soprattutto, di garantire che la raccolta non sia eccessiva eche il periodo di conservazione dei dati sia limitato al minimo necessario.
I dati personali dovrebbero essere trattati solo se lafinalità del trattamento non è conseguibile con altri mezzi. Occorre prenderetutte le misure ragionevoli affinché i dati personali inesatti sianorettificati o cancellati. Onde garantire che i dati non siano conservati più alungo del necessario, il responsabile del trattamento dovrebbe fissare untermine per la cancellazione o per la verifica periodica.
(31) Perché sia lecito il trattamento dati deve fondarsi sulconsenso dell'interessato o su altra base legittima prevista per legge, dalpresente regolamento o in altro atto legislativo dell'Unione o degli Statimembri, come indicato nel presente regolamento.
(32) Per i trattamenti basati sul consenso dell'interessato,dovrebbe incombere al responsabile del trattamento dimostrare che l'interessatoha acconsentito al trattamento. In particolare, nel contesto di unadichiarazione scritta relativa a un'altra materia, occorrono garanzie cheassicurino che l'interessato sia consapevole di esprimere un consenso e in qualmisura.
(33) Perché il consenso sia libero, occorre chiarire che noncostituisce una valida base giuridica qualora l'interessato non sia in grado dioperare una scelta autenticamente libera e non possa, pertanto, rifiutare oritirare il consenso senza subire pregiudizio.
(34) Il consenso non costituisce una valida base giuridicaper il trattamento dei dati personali quando esiste un evidente squilibrio tral'interessato e il responsabile del trattamento. Ciò avviene, in particolare,quando l'interessato si trova in situazione di dipendenza dal responsabile deltrattamento, tra l'altro quando i dati personali di un dipendente sono trattatidal suo datore di lavoro nel contesto dei rapporti di lavoro. Se il responsabiledel trattamento è un'autorità pubblica, vi è squilibrio soltanto nelle specificheoperazioni di trattamento in cui l'autorità pubblica può imporre un obbligo inforza dei suoi pubblici poteri; in tal caso, il consenso non può essereconsiderato libero, tenuto conto degli interessi dell'interessato.
(35) Il trattamento dati deve essere considerato lecito se ènecessario nell'ambito di un contratto o ai fini della conclusione di uncontratto.
(36) È opportuno che il trattamento effettuato per adempiereun obbligo legale che incombe al responsabile del trattamento o necessario perl'esecuzione di un compito di interesse pubblico o per l'esercizio di pubblicipoteri abbia una base giuridica tratta dal diritto dell'Unione o di uno Statomembro che soddisfi i requisiti della Carta dei diritti fondamentalidell'Unione europea per eventuali limitazione dei diritti e delle libertà.
Spetta altresì al diritto dell'Unione o alle legislazioninazionali stabilire se il responsabile del trattamento che esegue un compito diinteresse pubblico o connesso all'esercizio di pubblici poteri debba essere unapubblica amministrazione o altra persona fisica o giuridica di diritto pubblicoo privato, quale un'associazione professionale.
(37) Il trattamento di dati personali deve essere parimenticonsiderato lecito quando è necessario per tutelare un interesse essenziale perla vita dell'interessato.
(38) I legittimi interessi di un responsabile deltrattamento possono costituire una base giuridica del trattamento, a condizioneche non prevalgano gli interessi o i diritti e le libertà fondamentalidell'interessato. Ciò richiede un'attenta valutazione specie se l'interessato èun minore, dato che i minori necessitano di una specifica protezione.
L'interessato deve potersi opporsi al trattamento, permotivi inerenti alla sua situazione particolare, e gratuitamente. Per garantirela trasparenza, il responsabile del trattamento deve essere obbligato ainformare esplicitamente l'interessato sui legittimi interessi perseguiti, chedeve documentare, e sul diritto di opporsi al trattamento dei dati. Posto chespetta al legislatore prevedere la base giuridica che autorizza le autorità pubblichea trattare i dati, questo motivo non dovrebbe valere per il trattamento dati effettuatodalle autorità pubbliche nell'esercizio delle loro funzioni.
(39) Costituisce legittimo interesse del responsabile deltrattamento trattare dati relativi al traffico, in misura strettamentenecessaria a garantire la sicurezza delle reti e dell'informazione, vale a direla capacità di una rete o di un sistema d'informazione di resistere, a un datolivello di sicurezza, ad eventi imprevisti o atti illeciti o dolosi che compromettanola disponibilità, l'autenticità, l'integrità e la riservatezza dei dati conservatio trasmessi e la sicurezza dei relativi servizi offerti o resi accessibilitramite tali reti e sistemi da autorità pubbliche, organismi di intervento incaso di emergenza informatica (CERT), gruppi di intervento per la sicurezzainformatica in caso di incidente (CSIRT), fornitori di reti e servizi dicomunicazione elettronica e fornitori di tecnologie e servizi di sicurezza.
Ciò potrebbe, ad esempio, includere misure atte a impedirel'accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione dicodici maligni, e a porre termine agli attacchi da blocco di servizio e aidanni ai sistemi informatici e di comunicazione elettronica.
(40) Il trattamento dei dati personali per altri finidovrebbe essere consentito solo se compatibile con le finalità per le quali idati sono stati inizialmente raccolti, in particolare se il trattamento ènecessario per finalità storiche, statistiche o di ricerca scientifica. Sel'ulteriore finalità non è compatibile con la finalità iniziale della raccoltadati, sarebbe opportuno che il responsabile del trattamento ottenga il consensospecifico dell'interessato per tale finalità o basi il trattamento dati su unaltro motivo legittimo, in particolare ove previsto dal diritto dell'Unione odello Stato membro cui è soggetto il responsabile del trattamento. In ognicaso, dovrebbe essere garantita l'applicazione dei principi stabiliti dalpresente regolamento, in particolare l'obbligo di informare l'interessato ditali altre finalità.
(41) Meritano una specifica protezione i dati personali che,per loro natura, sono particolarmente sensibili e vulnerabili sotto il profilodei diritti fondamentali o della vita privata. Tali dati non devono essereoggetto di trattamento, salvo esplicito consenso dell'interessato. Tuttaviaoccorre prevedere espressamente deroghe a questo divieto nei casi di necessitàspecifiche, segnatamente laddove il trattamento viene eseguito nel corso dilegittime attività di talune associazioni o fondazioni il cui scopo siapermettere l'esercizio delle libertà fondamentali.
(42) La deroga al divieto di trattare dati sensibili deveessere consentita anche quando è prevista per legge, fatte salve adeguategaranzie, per proteggere i dati personali e altri diritti fondamentali, quandoun interesse pubblico rilevante lo giustifichi, in particolare per finalitàinerenti alla salute, compresa la pubblica sanità, la protezione sociale e la gestionedei servizi sanitari, soprattutto al fine di assicurare la qualità el'economicità delle procedure per soddisfare le richieste di prestazioni eservizi nell'ambito del regime di assicurazione sanitaria, o per finalitàstoriche, statistiche e di ricerca scientifica.
(43) Inoltre, è effettuato per motivi di interesse pubblicoil trattamento di dati personali a cura di autorità pubbliche diretto arealizzare scopi, previsti dal diritto costituzionale o dal dirittointernazionale pubblico, di associazioni religiose ufficialmente riconosciute.
(44) Se, nel corso di attività elettorali, il funzionamentodel sistema democratico presuppone, in alcuni Stati membri, che i partitipolitici raccolgano dati sulle opinioni politiche delle persone, può esserneconsentito il trattamento per motivi di interesse pubblico, purché sianopredisposte congrue garanzie.
(45) Se i dati che tratta non gli consentono di identificareuna persona fisica, il responsabile del trattamento non deve essere obbligatoad acquisire ulteriori informazioni per identificare l'interessato al solo finedi rispettare una disposizione del presente regolamento. Quando riceve unarichiesta di accesso, il responsabile del trattamento deve poter chiedereall'interessato ulteriori informazioni per poter localizzare i dati personalirichiesti.
(46) Il principio della trasparenza impone che leinformazioni destinate al pubblico o all'interessato siano facilmenteaccessibili e di facile comprensione e che sia utilizzato un linguaggiosemplice e chiaro. Ciò è particolarmente utile in situazioni quali la pubblicitàon line, in cui la molteplicità degli operatoricoinvolti e la complessità tecnologica dell'operazione fanno sì che siadifficile per l'interessato comprendere se vengono raccolti dati personali, dachi e a quale scopo. Dato che i minori necessitano di una protezione specifica,quando il trattamento dati li riguarda specificamente, qualsiasi informazione ecomunicazione deve utilizzare il linguaggio semplice e chiaro che un minorepossa capire facilmente.
(47) Occorreprevedere modalità volte ad agevolare l'esercizio dei diritti di cui alpresente regolamento, compresi i meccanismi per la richiesta, gratuita, diaccedere ai dati, rettificarli e cancellarli in particolare, e per l'eserciziodel diritto di opposizione. Il responsabile del trattamento deve essere tenutoa rispondere alle richieste dell'interessato entro un termine prestabilito e amotivare l'eventuale rifiuto.
(48) I principi di trattamento equo e trasparente implicanoche l'interessato sia informato in particolare dell'esistenza del trattamento edelle sue finalità, del periodo di conservazione dei dati, del diritto diaccesso, rettifica o cancellazione e del diritto di proporre reclamo. In casodi dati raccolti direttamente presso l'interessato, questi deve inoltre essereinformato dell'eventuale obbligo di fornire i propri dati e delle conseguenze acui va incontro se si rifiuta di fornirli.
(49) L'interessato deve ricevere le informazioni relative altrattamento di dati personali al momento della raccolta o, se i dati non sonoraccolti direttamente presso l'interessato, entro un termine ragionevole, infunzione delle circostanze del caso. Se i dati possono essere legittimamentecomunicati a un altro destinatario, l'interessato deve esserne informato almomento in cui il destinatario riceve la prima comunicazione dei dati.
(50) Per contro, non è necessario imporre tale obbligo sel'interessato dispone già dell'informazione, se la registrazione o lacomunicazione è prevista per legge o se informare l'interessato si rivelaimpossibile o richiederebbe risorse sproporzionate.
Ciò potrebbe verificarsi in particolare con i trattamentiper finalità storiche, statistiche o di ricerca scientifica, nel qual caso sipuò tener conto del numero di interessati, dell'antichità dei dati e dieventuali misure di compensazione.
(51) Ogni persona deve avere il diritto di accedere ai datiraccolti che la riguardano e di esercitare tale diritto facilmente, per essereconsapevole del trattamento e verificarne la liceità. Occorre pertanto che ogniinteressato abbia il diritto di conoscere e ottenere comunicazioni inparticolare in relazione alla finalità del trattamento, al periodo di conservazione,ai destinatari, alla logica che presiede al trattamento e alle possibili conseguenze,almeno quando i dati si basato sul profilo dell'interessato. Tale diritto nondeve ledere i diritti e le libertà altrui, compreso il segreto industriale eaziendale e la proprietà intellettuale, segnatamente i diritti d'autore chetutelano il software.
Tuttavia, queste considerazioni non devono portare a negareall'interessato l'accesso a tutte le informazioni.
(52) Il responsabile del trattamento deve prendere tutte lemisure ragionevoli per verificare l'identità di un interessato che chiedal'accesso, in particolare nel contesto di servizi on linee di identificativi on line. Il responsabile deltrattamento non deve conservare dati personali al solo scopo di poterrispondere a potenziali richieste.
(53) Ogni persona deve avere il diritto di rettificare idati personali che la riguardano e il "diritto all'oblio", se la conservazionedi tali dati non è conforme al presente regolamento. In particolare,l'interessato deve avere il diritto di chiedere che siano cancellati e non piùsottoposti a trattamento i propri dati personali che non siano più necessariper le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbiaritirato il consenso o si sia opposto al trattamento dei dati personali che lo riguardanoo quando il trattamento dei suoi dati personali non sia altrimenti conforme alpresente regolamento. Tale diritto è particolarmente rilevante se l'interessatoha dato il consenso quando era minore, e quindi non pienamente consapevole deirischi derivanti dal trattamento, e vuole successivamente eliminare questo tipodi dati personali, in particolare da Internet. Tuttavia, occorre consentirel'ulteriore conservazione dei dati qualora sia necessario per finalitàstoriche, statistiche e di ricerca scientifica, per motivi di interessepubblico nel settore della sanità pubblica, per l'esercizio del diritto allalibertà di espressione, ove richiesto per legge o quando sia giustificata unalimitazione del trattamento dei dati anziché una loro cancellazione.
(54) Per rafforzare il "diritto all'oblio" nell'ambiente on line, è necessario che il diritto di cancellazione siaesteso in modo da obbligare il responsabile del trattamento che ha pubblicatodati personali a informare i terzi che stanno trattando tali dati dellarichiesta dell'interessato di cancellare qualsiasi link, copia o riproduzionedei suoi dati personali. Per garantire tale informazione, è necessario che ilresponsabile del trattamento prenda tutte le misure ragionevoli, anche dinatura tecnica, in relazione ai dati della cui pubblicazione è responsabile. Seha autorizzato un terzo a pubblicare dati personali, il responsabile deltrattamento deve essere ritenuto responsabile di tale pubblicazione.
(55) Per rafforzare ulteriormente il controllo sui propridati e il diritto di accedervi, occorre che l'interessato abbia il diritto, sei dati personali sono trattati con mezzi elettronici e in un formatostrutturato e di uso comune, di ottenere una copia dei dati che lo riguardanougualmente in formato elettronico di uso comune. Occorre anche che l'interessatosia autorizzato a trasferire i dati che ha fornito da un'applicazione automatizzata,ad esempio un social network, ad un'altra. Tale diritto dovrebbe applicarsiquando l'interessato ha fornito i dati al sistema di trattamento automatizzato acconsentendoal trattamento o in esecuzione di un contratto.
(56) Anche nei casi in cui i dati personali possano esserelecitamente trattati per proteggere interessi vitali dell'interessato, oppureper motivi di pubblico interesse, nell'esercizio di pubblici poteri o per illegittimo interesse di un responsabile del trattamento, l'interessato devecomunque avere il diritto di opporsi al trattamento dei dati che lo riguardano.È opportuno che incomba al responsabile del trattamento dimostrare che i suoilegittimi interessi possono prevalere sull'interesse o sui diritti e sullelibertà fondamentali dell'interessato.
(57) Qualora i dati personali siano trattati per finalità dimarketing diretto, l'interessato deve avere il diritto di opporsi a taletrattamento, gratuitamente e con una modalità facili e effettive.
(58) Ogni persona deve avere il diritto di non esseresottoposta a una misura basata sulla profilazionemediante trattamento automatizzato. Tuttavia, è opportuno che tale misura siaconsentita se è espressamente prevista per legge, se è applicata nel contestodella conclusione o dell'esecuzione di un contratto o se l'interessato haespresso il proprio consenso. In ogni caso, tale trattamento deve esseresubordinato a garanzie adeguate, compresa la specifica informazionedell'interessato e il diritto di ottenere l'intervento umano, e la misura nondeve riguardare un minore.
(59) Il diritto dell'Unione o di uno Stato membro puòimporre limitazioni a specifici principi e ai diritti di informazione, accesso,rettifica e cancellazione di dati, al diritto alla portabilità dei dati, aldiritto di opporsi, alle misure basate sulla profilazione,alla comunicazione di una violazione di dati personali all'interessato e adalcuni obblighi connessi in capo ai responsabili del trattamento, ove ciò sianecessario e proporzionato in una società democratica per la salvaguardia dellapubblica sicurezza, ivi comprese la protezione della vita umana, in particolarein risposta a catastrofi di origine naturale o umana, e le attività diprevenzione, indagine e perseguimento di reati o di violazioni delladeontologia professionale, per la tutela di altri interessi pubblici, tra cuiun interesse economico o finanziario rilevante dell'Unione o di uno Statomembro, o per la protezione dell'interessato o dei diritti e delle libertàaltrui. Tali limitazioni devono essere conformi alla Carta dei dirittifondamentali dell'Unione europea e alla convenzione europea per la salvaguardiadei diritti dell'uomo e delle libertà fondamentali.
(60) Occorre stabilire una responsabilità generale delresponsabile del trattamento per qualsiasi trattamento di dati personali cheabbia effettuato direttamente o altri abbia effettuato per suo conto. Inparticolare, il responsabile del trattamento deve garantire ed essere tenuto adimostrare la conformità di ogni trattamento con il presente regolamento.
(61) La tutela dei diritti e delle libertà degli interessaticon riguardo al trattamento dei dati personali richiede l'attuazione diadeguate misure tecniche e organizzative al momento sia della progettazione chedell'esecuzione del trattamento stesso, onde garantire il rispetto delledisposizioni del presente regolamento. Al fine di garantire e dimostrare laconformità con il presente regolamento, il responsabile del trattamento deve adottarepolitiche interne e attuare misure adeguate, che soddisfino in particolare i principidella protezione fin dalla progettazione e della protezione di default.
(62) La protezione dei diritti e delle libertàdell'interessato così come le responsabilità del responsabile del trattamento edell'incaricato del trattamento, anche in relazione al monitoraggio e allemisure delle autorità di controllo, esigono una chiara attribuzione delleresponsabilità ai sensi del presente regolamento, compresi i casi in cui un responsabiledel trattamento stabilisca le finalità, le condizioni e i mezzi del trattamentocongiuntamente con altri responsabili del trattamento o quando l'operazioneviene eseguita per conto del responsabile del trattamento.
(63) Quando un responsabile del trattamento non stabilitonell'Unione tratta dati personali di residenti nell'Unione e la sua attività ditrattamento è finalizzata all'offerta di beni o alla prestazione di servizi atali interessati o al controllo del loro comportamento, è opportuno che taleresponsabile del trattamento designi un rappresentante, salvo che non siastabilito in un paese terzo che garantisce un livello di protezione adeguato,non sia una piccola o media impresa o un'autorità o organismo pubblico oppurenon offra beni o servizi agli interessati solo occasionalmente. Ilrappresentante deve agire per conto del responsabile del trattamento e puòessere interpellato da qualsiasi autorità di controllo.
(64) Per determinare se un responsabile del trattamentooffre solo occasionalmente beni e servizi agli interessati residentinell'Unione, occorre verificare se dalle sue attività complessive risulta chel'offerta di beni o servizi agli interessati sia solo accessoria rispetto alleattività principali.
(65) Per dimostrare che si conforma al presente regolamento,il responsabile del trattamento o l'incaricato del trattamento deve documentareciascuna operazione di trattamento. Bisognerebbe obbligare tutti i responsabilidel trattamento e gli incaricati del trattamento a cooperare con l'autorità dicontrollo e a mettere, su richiesta, detta documentazione a sua disposizioneaffinché possa servire per monitorare i trattamenti.
(66) Per mantenere la sicurezza e prevenire trattamenticontrari al presente regolamento, il responsabile del trattamento ol'incaricato del trattamento deve valutare i rischi inerenti al trattamento eprovvedere a limitarli. Tali provvedimenti devono assicurare un adeguatolivello di sicurezza, tenuto conto degli sviluppi tecnici e dei costi di attuazionerispetto ai rischi che presentano i trattamenti e alla natura dei dati da proteggere.Nel definire le norme tecniche e le misure organizzative atte a garantire la sicurezzadel trattamento, la Commissione deve promuovere la neutralità tecnologica, l'interoperabilitàe l'innovazione e, ove opportuno, la cooperazione con i paesi terzi.
(67) Una violazione di dati personali può, se non affrontatain modo adeguato e tempestivo, provocare un grave danno economico e socialeall'interessato, tra cui l'usurpazione dell'identità. Pertanto, non appenaviene a conoscenza di una violazione, il responsabile del trattamento la devenotificare all'autorità di controllo senza ritardo e, quando possibile, entro24 ore. Oltre il termine di 24 ore, la notificazione deve essere corredata diuna giustificazione motivata. È opportuno che le persone i cui dati o la cui vitaprivata potrebbero essere compromessi da una siffatta violazione sianoinformate tempestivamente affinché possano prendere le precauzioni del caso. Siconsidera che una violazione pregiudica i dati personali o la vita privatadell'interessato quando comporta, ad esempio, il furto o l'usurpazioned'identità, un danno fisico, un'umiliazione grave o attenta alla suareputazione. La notifica deve descrivere la natura della violazione dei datipersonali e formulare raccomandazioni per l'interessato intese ad attenuare ipotenziali effetti negativi. La notifica deve essere trasmessa non appenapossibile, in stretta collaborazione con l'autorità di controllo e nel rispettodegli orientamenti impartiti da questa o da altre autorità competenti (come le autoritàincaricate dell'applicazione della legge). Ad esempio, affinché gli interessatipossano attenuare un rischio immediato di pregiudizio è opportuno che la notificasia tempestiva, ma la necessità di attuare misure adeguate per contrastare violazioniripetute o analoghe potrebbe giustificare tempi più lunghi.
(68) Per determinare se una violazione dei dati personali ènotificata all'autorità di controllo e all'interessato senza ingiustificatoritardo, occorre verificare se il responsabile del trattamento ha predisposto eapplicato un'adeguata protezione tecnologica e le misure organizzativenecessarie a stabilire immediatamente se c'e stata violazione di dati personalie a informare tempestivamente l'autorità di controllo e l'interessato, primache ne vengano pregiudicati gli interessi personali ed economici, tenendo contoin particolare della natura e della gravità della violazione e delle sue conseguenzee effetti negativi per l'interessato.
(69) Nel definire modalità dettagliate relative al formato ealle procedure applicabili alla notificazione delle violazioni di datipersonali, è opportuno tenere debitamente conto delle circostanze dellaviolazione, ad esempio stabilire se i dati personali fossero o meno protetticon opportuni dispositivi tecnici atti a limitare efficacemente il rischio di furtod'identità o altre forme di abuso. Inoltre, è opportuno che tali modalità e proceduretengano conto dei legittimi interessi delle autorità giudiziarie e di polizia, neicasi in cui una divulgazione prematura possa ostacolare inutilmente l'indagine sullecircostanze di una violazione di sicurezza.
(70) La direttiva 95/46/CE ha introdotto un obbligo generaledi notificare alle autorità di controllo il trattamento dei dati personali.Tale obbligo comporta oneri amministrativi e finanziari senza per questo avermai veramente contribuito a migliorare la protezione dei dati personali. Èpertanto necessario abolire tale obbligo generale e indiscriminato dinotificazione e sostituirlo con meccanismi e procedure efficaci che siconcentrino piuttosto su quelle operazioni di trattamento che potenzialmentepresentano rischi specifici per i diritti e le libertà degli interessati, perloro natura, portata o finalità. In tali casi, è opportuno che il responsabiledel trattamento o l'incaricato del trattamento effettui una valutazioned'impatto sulla protezione dei dati prima del trattamento, che verta inparticolare anche sulle misure, sulle garanzie e sui meccanismi previsti per assicurarela protezione dei dati personali e per comprovare il rispetto del presente regolamento.
(71) Ciò deve applicarsi in particolare ai nuovi sistemi diarchiviazione su larga scala, chemirano altrattamento di una notevole quantità di dati personali a livelloregionale,nazionale o sovranazionale e che potrebbero incidere su un vastonumero di interessati.
(72) Vi sono circostanze in cui può essere ragionevole edeconomico effettuare unavalutazione d'impatto sullaprotezione dei dati che verta su un oggetto più ampio di un unico progetto, peresempio quando autorità o enti pubblici intendono istituire un'applicazione ouna piattaforma di trattamento comune o quando diversi responsabili deltrattamento progettano di introdurre un'applicazione o un ambiente di trattamentocomune in un settore o segmento industriale o per una attività trasversale ampiamenteutilizzata.
(73) È necessario che un'autorità pubblica o un entepubblico procedano a una valutazione d'impatto sulla protezione dei dati se ciònon è già stato fatto in vista dell'adozione della legge nazionale chedisciplina i compiti dell'autorità pubblica o dell'ente pubblico e lo specificotrattamento o insieme di trattamenti.
(74) Se dalla valutazione d'impatto sulla protezione deidati risulta che operazioni di trattamento o l'uso di nuove particolaritecnologie espongono i diritti e le libertà degli interessati a un gradoelevato di rischi specifici, privandoli ad esempio di un diritto, l'autorità dicontrollo deve essere consultata prima dell'inizio delle operazioni, affinchéverifichi se un trattamento rischioso sia conforme al presente regolamento e formuliproposte per ovviare a tale situazione. Siffatta consultazione deve aver luogo anchedurante l'elaborazione di una proposta legislativa del parlamento nazionale odi una misura basata su quella proposta legislativa, che definisca la naturadel trattamento e precisi le garanzie appropriate.
(75) Per i trattamenti effettuati nel settore pubblico o peri trattamenti effettuati nel settore privato da una grande impresa o daun'impresa, a prescindere dalle sue dimensioni, le cui attività principaliimplicano operazioni di trattamento che richiedono un monitoraggio regolare esistematico, il responsabile del trattamento o l'incaricato del trattamentodeve essere assistito da un'altra persona nel controllo del rispetto interno delpresente regolamento. Tali "responsabili della protezione dei dati", dipendentio meno del responsabile del trattamento, devono essere in grado di esercitarele loro funzioni e compiti in modo indipendente.
(76) Le associazionio altre organizzazioni rappresentative dei responsabili del trattamento devonoessere incoraggiate ad elaborare codici di condotta, nei limiti del presente regolamento,in modo da facilitarne l'effettiva applicazione, tenendo conto delle caratteristichespecifiche delle operazioni effettuate in alcuni settori.
(77) Al fine di migliorare la trasparenza e il rispetto delpresente regolamento deve essere incoraggiata l'istituzione di meccanismi dicertificazione, sigilli e marchi di protezione dei dati che consentano agliinteressati di valutare rapidamente il livello di protezione dei dati deirelativi prodotti e servizi.
(78) I flussi transfrontalieri di dati personali sononecessari per l'espansione del commercio internazionale e della cooperazione internazionale.L'aumento di tali flussi ha posto nuove sfide e problemi riguardanti laprotezione dei dati personali. È importante però che quando i dati personalisono trasferiti dall'Unione a paesi terzi o a organizzazioni internazionali nonsia compromesso il livello di protezione delle persone garantito nell'Unionedal presente regolamento. In ogni caso, i trasferimenti di dati verso paesi terzipossono soltanto essere effettuati nel pieno rispetto del presente regolamento.
(79) Il presente regolamento lascia impregiudicate ledisposizioni degli accordi internazionali conclusi tra l'Unione e i paesi terziche disciplinano il trasferimento di dati personali, comprese adeguate garanzieper gli interessati.
(80) La Commissione può decidere, con effetto nell'interaUnione europea, che taluni paesi terzi, o un territorio o settore ditrattamento all'interno di un paese terzo, o un'organizzazione internazionaleoffrono un livello adeguato di protezione dei dati, garantendo in tal modo lacertezza del diritto e l'uniformità in tutta l'Unione nei confronti dei paesiterzi o delle organizzazioni internazionali che si ritiene offrano un livellodi protezione adeguato. In questi casi, i trasferimenti di dati personalipossono avere luogo senza ulteriori autorizzazioni.
(81) In linea con i valori fondamentali su cui è fondatal'Unione, in particolare la tutela dei diritti dell'uomo, è opportuno che laCommissione, nella sua valutazione del paese terzo, tenga conto del modo in cuitale paese rispetta lo stato di diritto, l'accesso alla giustizia e le norme egli standard internazionali in materia di diritti dell'uomo.
(82) La Commissione può anche riconoscere che un paeseterzo, o un territorio o settore di trattamento all'interno del paese terzo, oun'organizzazione internazionale non offra un adeguato livello di protezionedei dati, nel qual caso il trasferimento di dati personali verso tale paeseterzo deve essere vietato. È altresì opportuno prevedere consultazioni tra laCommissione e detti paesi terzi od organizzazioni internazionali.
(83) In mancanza di una decisione di adeguatezza, ilresponsabile del trattamento o l'incaricato del trattamento deve provvedere acompensare la carenza di protezione dei dati in un paese terzo con adeguategaranzie a tutela dell'interessato. Tali adeguate garanzie possono consisterenell'applicazione di norme vincolanti d'impresa, clausole di protezione deidati adottate dalla Commissione, clausole tipo di protezione dei dati adottateda un'autorità di controllo o clausole contrattuali autorizzate da un'autoritàdi controllo, o altre opportune misure proporzionate e giustificate alla lucedi tutte le circostanze relative ad un trasferimento o ad un insieme ditrasferimenti di dati e nei casi autorizzati da un'autorità di controllo.
(84) Lapossibilità che il responsabile del trattamento o l'incaricato del trattamentoutilizzi clausole tipo di protezione dei dati adottate dalla Commissione o daun'autorità di controllo non deve precludere ai responsabili del trattamento oagli incaricati del trattamento la possibilità di includere tali clausole tipoin un contratto più ampio né di aggiungere altre clausole, purché noncontraddicano, direttamente o indirettamente, le clausole contrattuali tipoadottate dalla Commissione o da un'autorità di controllo o ledano i diritti ole libertà fondamentali degli interessati.
(85) Un gruppo di imprese deve poter applicare le normevincolanti d'impresa approvate per i trasferimenti internazionali dall'Unioneagli organismi dello stesso gruppo di imprese, purché tali norme contemplinoprincipi fondamentali e diritti azionabili in giudizio che costituiscanoadeguate garanzie per i trasferimenti o categorie di trasferimenti di datipersonali.
(86) È opportuno prevedere la possibilità di trasferire datiin alcune circostanze se l'interessato ha acconsentito, se il trasferimento ènecessario in relazione ad un contratto o un'azione legale, se sussistonomotivi di rilevante interesse pubblico previsti dalla legislazione di uno Statomembro o dell'Unione o se i dati sono trasferiti da un registro stabilito perlegge e destinato ad essere consultato dal pubblico o dalle persone aventi unlegittimo interesse. In quest'ultimo caso, il trasferimento non deve riguardarela totalità dei dati o delle categorie di dati contenuti nel registro; inoltre,quando il registro è destinato ad essere consultato dalle persone aventi unlegittimo interesse, i dati possono essere trasferiti soltanto se tali personelo richiedono o ne sono destinatarie.
(87) Tali deroghe devono in particolare valere per itrasferimenti di dati richiesti e necessari per la protezione di motivi diinteresse pubblico rilevante, ad esempio nel caso di trasferimentiinternazionali di dati tra autorità garanti della concorrenza, amministrazionifiscali o doganali, autorità di controllo finanziario, tra i servizi competentiin materia di sicurezza sociale o verso autorità competenti a fini di prevenzione,indagine, accertamento e perseguimento di reati.
(88) Potrebbero altresì essere autorizzati anche i trasferimentinon qualificabili come frequenti o massicci ai fini dei legittimi interessi delresponsabile del trattamento o dell'incaricato del trattamento, dopo che questiabbia valutato tutte le circostanze relative al trasferimento. Ai fini deltrattamento per finalità storiche, statistiche e di ricerca scientifica, sideve tener conto delle legittime aspettative della società nei confronti di unmiglioramento delle conoscenze.
(89) In ogni caso, se la Commissione non ha preso alcunadecisione circa il livello adeguato di protezione dei dati di un paese terzo,il responsabile del trattamento o l'incaricato del trattamento deve ricorrere asoluzioni che diano all'interessato la garanzia che continuerà a beneficiaredei diritti e delle garanzie fondamentali previste dall'Unione in relazione altrattamento dei dati personali, anche dopo il trasferimento.
(90) Alcuni paesi terzi adottano leggi, regolamenti e altristrumenti legislativi finalizzati a disciplinare direttamente le attività ditrattamento dati di persone fisiche e giuridiche poste sotto la giurisdizionedegli Stati membri. L'applicazione extraterritoriale di tali leggi, regolamentie altri strumenti legislativi potrebbe essere contraria al diritto internazionalee ostacolare il conseguimento della tutela delle persone garantita nell'Unionecon il presente regolamento. I trasferimenti dovrebbero quindi essere consentitisolo se ricorrono le condizioni previste dal presente regolamento per i trasferimentia paesi terzi. Ciò vale tra l'altro quando la divulgazione è necessaria per unmotivo di interesse pubblico rilevante riconosciuto dal diritto dell'Unione odello Stato membro cui è soggetto il responsabile del trattamento. Occorre chela Commissione precisi le condizioni in cui sussiste un motivo di interessepubblico rilevante con un atto delegato.
(91) Con il trasferimento transfrontaliero di dati personaliaumenta il rischio che l'interessato non eserciti i propri diritti allaprotezione dei dati, in particolare per tutelarsi da usi o divulgazioniillecite di tali informazioni. Allo stesso tempo, le autorità di controllopossono concludere di non essere in grado di dar corso alle denunce o svolgereindagini relative ad attività condotte oltre frontiera. I loro sforzi di collaborazionenel contesto transfrontaliero possono anche scontrarsi con poteri insufficientiper prevenire e correggere, regimi giuridici incoerenti e difficoltà pratiche qualila limitatezza delle risorse disponibili. Pertanto vi è la necessità dipromuovere una più stretta cooperazione tra le autorità di controllo dellaprotezione dei dati affinché possano scambiare informazioni e condurre indaginidi concerto con le loro controparti internazionali.
(92) La designazione di autorità di controllo che agiscanoin totale indipendenza in ciascuno Stato membro è un elemento essenziale dellaprotezione delle persone con riguardo al trattamento di dati personali. GliStati membri possono istituire più di una autorità di controllo, al fine dirispecchiare la loro struttura costituzionale, organizzativa e amministrativa.
(93) Laddove siano istituite più autorità di controllo, loStato membro deve stabilire per legge meccanismi atti ad assicurare lapartecipazione effettiva di dette autorità al meccanismo di coerenza. Lo Statomembro deve in particolare designare l'autorità di controllo che funge da puntodi contatto unico per l'effettiva partecipazione di tutte le autorità almeccanismo, onde garantire la rapida e agevole cooperazione con altre autoritàdi controllo, il comitato europeo per la protezione dei dati e la Commissione.
(94) Ciascuna autorità di controllo deve disporre di risorseumane e finanziarie adeguate, dei locali e delle infrastrutture necessarie perl'effettivo svolgimento dei propri compiti, compresi i compiti di assistenzareciproca e cooperazione con altre autorità di controllo in tutta l'Unione.
(95) Le condizioni generali applicabili ai membridell'autorità di controllo devono essere stabilite da ciascuno Stato membro edevono in particolare prevedere che i membri siano nominati dal parlamento odal governo dello Stato membro e contenere disposizioni sulle qualifiche esulle funzioni di tali membri.
(96) Spetterebbe alle autorità di controllo controllarel'applicazione delle disposizioni del presente regolamento e contribuire alla suacoerente applicazione in tutta l'Unione, così da tutelare le persone fisiche inrelazione al trattamento dei dati personali e facilitare la libera circolazionedi tali dati nel mercato interno. A tal fine le autorità di controllo cooperanotra loro e con la Commissione.
(97) Qualora il trattamento dei dati personali nell'ambitodelle attività di uno stabilimento di un responsabile del trattamento oincaricato del trattamento nell'Unione abbia luogo in più di uno Stato membro,è opportuno che un'unica autorità di controllo sia competente a controllare leattività del responsabile del trattamento o dell'incaricato del trattamento intutta l'Unione e ad prendere le relative decisioni, in modo da aumentare lacoerenza nell'applicazione, garantire la certezza giuridica e ridurre gli oneriamministrativi per tali responsabili del trattamento e incaricati deltrattamento.
(98) È necessario che l'autorità competente, che funge da"sportello unico", sia l'autorità di controllo dello Stato membro in cui ilresponsabile del trattamento o l'incaricato del trattamento ha lo stabilimentoprincipale.
(99) Sebbene il presente regolamento si applichi anche alleattività dei giudici nazionali, non è opportuno che rientri nella competenzadelle autorità di controllo il trattamento di dati personali effettuato dalleautorità giurisdizionali nell'esercizio delle loro funzioni giurisdizionali, alfine di salvaguardarne l'indipendenza. Tuttavia, tale esenzione deve essererigorosamente limitata all'attività autenticamente giurisdizionale e nonapplicarsi ad altre attività a cui i giudici potrebbero partecipare in forzadel diritto nazionale.
(100) Al fine di garantire un monitoraggio e un'applicazionecoerenti del presente regolamento in tutta l'Unione, le autorità di controllodevono godere in ciascuno Stato membro degli stessi diritti e poteri effettivi,fra cui poteri di indagine e d'intervento giuridicamente vincolanti, didecisione e sanzione, segnatamente in caso di reclamo, così come di agire ingiudizio. I poteri d'indagine delle autorità di controllo con riferimentoall'accesso ai locali devono essere esercitati nel rispetto del diritto dell'Unionee della legislazione nazionale. Ciò riguarda in particolare l'obbligo di ottenereuna preventiva autorizzazione giudiziaria.
(101) È necessario che ciascuna autorità di controllo trattii reclami proposti da qualsiasi interessato e svolga le relative indagini; chea seguito di reclamo vada condotta un'indagine, soggetta a controllogiurisdizionale, nella misura in cui ciò sia opportuno nella fattispecie; chel'autorità di controllo informi gli interessati dei progressi e dei risultatidel ricorso entro un termine ragionevole. Se il caso richiede un'ulteriore indagineo il coordinamento con un'altra autorità di controllo, l'interessato deve ricevereinformazioni interlocutorie.
(102) Le attività di sensibilizzazione delle autorità dicontrollo nei confronti del pubblico devono comprendere misure specifiche per iresponsabili del trattamento e gli incaricati del trattamento, comprese lemicro, piccole e medie imprese, e per gli interessati.
(103) Le autorità di controllo devono prestarsi reciprocaassistenza nell'esercizio delle loro funzioni, in modo da garantire la coerenteapplicazione e attuazione del presente regolamento nel mercato interno.
(104) Ciascuna autorità di controllo deve avere il dirittodi partecipare alle operazioni congiunte tra autorità di controllo. L'autoritàdi controllo che riceve una richiesta dovrebbe darvi seguito entro un terminedefinito.
(105) È necessario istituire un meccanismo di coerenza perla cooperazione tra le autorità di controllo e con la Commissione, al fine diassicurare un'applicazione coerente del presente regolamento in tutta l'Unione.Tale meccanismo deve applicarsi in particolare quando un'autorità di controllointenda adottare una misura relativa ad attività di trattamento finalizzateall'offerta di beni o servizi agli interessati in vari Stati membri o alcontrollo degli stessi, o che possono incidere significativamente sulla libera circolazionedei dati personali. È opportuno che il meccanismo si attivi anche quando un'autoritàdi controllo o la Commissione chiede che una questione sia trattata nell'ambitodel meccanismo di coerenza. Tale meccanismo non deve pregiudicare le misure chela Commissione può adottare nell'esercizio dei suoi poteri a norma dei trattati.
(106) In applicazione del meccanismo di coerenza il comitatoeuropeo per la protezione dei dati deve emettere un parere entro un terminedeterminato, se i suoi membri lo decidono a maggioranza semplice o se arichiederlo sono un'autorità di controllo o la Commissione.
(107) Al fine di garantire il rispetto del presenteregolamento, la Commissione può adottare un parere sulla questione, o unadecisione volta a ingiungere all'autorità di controllo di sospendere ilprogetto di misura.
(108) Potrebbe essere necessario intervenire urgentementeper tutelare gli interessi degli interessati, in particolare quando sussiste ilpericolo che l'esercizio di un diritto possa essere gravemente ostacolato.
Pertanto, un'autorità di controllo deve essere in grado di prenderemisure provvisorie con un periodo di validità determinato quando applica il meccanismodi coerenza.
(109) L'applicazione di tale meccanismo deve essere unrequisito indispensabile ai fini della validità giuridica e dell'esecuzionedella rispettiva decisione a cura dell'autorità di controllo. In altri casi dirilevanza transfrontaliera, le autorità di controllo possono prestarsireciproca assistenza ed effettuare indagini congiunte, su base bilaterale o multilaterale,senza attivare il meccanismo di coerenza.
(110) Occorre istituire a livello di Unione un comitatoeuropeo per la protezione dei dati che sostituisca il gruppo per la tuteladelle persone con riguardo al trattamento dei dati personali istituito condirettiva 95/46/CE. Il comitato deve essere composto dal responsabiledell'autorità di controllo di ciascuno Stato membro e dal garante europeo dellaprotezione dei dati. È necessario che la Commissione partecipi alle attività delcomitato. Il comitato europeo per la protezione dei dati deve contribuire all'applicazioneuniforme del presente regolamento in tutta l'Unione, in particolare dandoconsulenza alla Commissione e promuovendo la cooperazione delle autorità di controlloin tutta l'Unione. Esso deve svolgere le sue funzioni in piena indipendenza.
(111) Ciascun interessato deve avere il diritto di proporrereclamo a un'autorità di controllo di qualunque Stato membro e il diritto diproporre ricorso giurisdizionale qualora ritenga che siano stati violati idiritti di cui gode a norma del presente regolamento o se l'autorità dicontrollo non dà seguito a un reclamo o non agisce quando è necessario intervenireper proteggere i suoi diritti di interessato.
(112) L'organismo, l'organizzazione o associazione cheintenda tutelare i diritti e gli interessi degli interessati in relazione allaprotezione dei dati personali e sia istituito o istituita a norma dellalegislazione di uno Stato membro deve avere il diritto di proporre reclamo aun'autorità di controllo di qualunque Stato membro o esercitare il diritto a unricorso giurisdizionale per conto degli interessati, o di proporre un proprio reclamoindipendente dall'azione dell'interessato, se ritiene che sussista violazionedei dati personali.
(113) Ogni persona fisica o giuridica deve avere il dirittodi proporre ricorso giurisdizionale avverso la decisione dell'autorità dicontrollo che la riguarda. Le azioni contro l'autorità di controllo devonoessere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cuil'autorità di controllo è stabilita.
(114) Al fine di potenziare la tutela giurisdizionaledell'interessato nei casi in cui l'autorità di controllo competente è stabilitain uno Stato membro diverso da quello in cui risiede l'interessato, questi puòchiedere a qualsiasi organismo, organizzazione o associazione mirante atutelare i diritti e gli interessi degli interessati in relazione allaprotezione dei dati personali di proporre un ricorso giurisdizionale per suoconto contro tale autorità di controllo davanti all'autorità giurisdizionalecompetente nell'altro Stato membro.
(115) Nei casi in cui l'autorità di controllo competentestabilita in un altro Stato membro non agisca o abbia adottato misureinsufficienti a seguito di un reclamo, l'interessato può chiedere all'autoritàdi controllo dello Stato membro in cui ha la residenza abituale di proporre unricorso giurisdizionale contro tale autorità di controllo davanti all'autorità giurisdizionalecompetente nell'altro Stato membro. L'autorità di controllo richiesta puòdecidere, con atto impugnabile in via giurisdizionale, se sia opportuno dare seguirealla richiesta.
(116) Nei ricorsi contro un responsabile del trattamento oincaricato del trattamento, il ricorrente deve poter avviare un'azione legaledinanzi al giudice dello Stato membro in cui il responsabile del trattamento ol'incaricato del trattamento ha uno stabilimento o in cui risiedel'interessato, salvo che il responsabile del trattamento sia un ente pubblicoche agisce nell'esercizio dei suoi poteri pubblici.
(117) Qualora vi siano fondati motivi di ritenere che in unaltro Stato membro sia in corso un procedimento parallelo, le autoritàgiurisdizionali interessate devono prendere contatti.
L'autorità giurisdizionale deve poter sospendere unprocedimento quando sia in corso un procedimento parallelo in un altro Statomembro. Gli Stati membri devono assicurare che i ricorsi giurisdizionali, peressere efficaci, consentano di adottare rapidamente provvedimenti per porrefine alla violazione del presente regolamento o per prevenirla.
(118) Il responsabile del trattamento o l'incaricato deltrattamento deve risarcire i danni cagionati da un trattamento illecito ma puòessere esonerato da tale responsabilità se prova che l'evento dannoso non gli èimputabile, segnatamente se dimostra che a causare l'errore è statol'interessato o in caso di forza maggiore.
(119) Dovrebbe essere punibile chiunque, persona di dirittopubblico o di diritto privato, non ottemperi alle disposizioni del presenteregolamento. Gli Stati membri devono garantire sanzioni efficaci, proporzionatee dissuasive e adottare tutte le misure necessarie per la loro applicazione.
(120) Al fine di rafforzare e armonizzare le sanzioniamministrative applicabili per violazione del presente regolamento, ogniautorità di controllo deve poter sanzionare gli illeciti amministrativi. Ilpresente regolamento deve specificare detti illeciti e indicare il limitemassimo della relativa sanzione amministrativa, che va stabilita in misuraproporzionata alla situazione specifica, tenuto conto in particolare dellanatura, gravità e durata dell'infrazione. Il meccanismo di coerenza può essereutilizzato anche per colmare divergenze nell'applicazione delle sanzioni amministrative.
(121) Il trattamento di dati personali effettuatoesclusivamente a scopi giornalistici o di espressione artistica o letterariadovrebbe poter derogare ad alcune disposizioni del presente regolamento perconciliare il diritto alla protezione dei dati personali con il diritto allalibertà d'espressione, in particolare la libertà di ricevere e comunicare informazionigarantita in particolare dall'articolo 11 della Carta dei diritti fondamentalidell'Unione europea. Ciò dovrebbe applicarsi in particolare al trattamento deidati personali nel settore audiovisivo, negli archivi stampa e nelle emeroteche.È necessario pertanto che gli Stati adottino misure legislative che prevedanole deroghe e le esenzioni necessarie ai fini di un equilibrio tra questidiritti fondamentali. Gli Stati membri dovrebbero adottare tali esenzioni ederoghe con riferimento alle disposizioni concernenti i principi generali, idiritti dell'interessato, il responsabile del trattamento e l'incaricato deltrattamento, il trasferimento di dati a paesi terzi o a organizzazioniinternazionali, le autorità di controllo indipendenti, la cooperazione e lacoerenza. Tuttavia ciò non deve indurre gli Stati membri a prevedere deroghealle altre disposizioni del presente regolamento. Per tenere conto dell'importanzadel diritto alla libertà di espressione in tutte le società democratiche è necessariointerpretare in modo esteso i concetti relativi a detta libertà, quali la nozionedi giornalismo. Pertanto, ai fini delle esenzioni e deroghe da stabilire nel presenteregolamento, gli Stati membri dovrebbero classificare come "giornalistiche" leattività finalizzate alla diffusione al pubblico di informazioni, pareri oidee, indipendentemente dal canale utilizzato per la loro trasmissione, senzalimitarle alle imprese operanti nel settore dei media ma includendovi leattività intraprese con o senza scopo di lucro.
(122) Il trattamento dei dati personali relativi allasalute, particolare categoria di dati che necessita di una maggiore protezione,può spesso essere giustificato da diversi motivi legittimi a beneficio dellepersone e dell'intera società, in particolare se l'obiettivo è garantire lacontinuità dell'assistenza sanitaria transfrontaliera. Pertanto il presente regolamentodeve prevedere condizioni armonizzate per il trattamento dei dati relativi allasalute, fatte salve garanzie appropriate e specifiche a tutela dei dirittifondamentali e dei dati personali delle persone fisiche. Ciò include il dirittodi accedere ai propri dati personali relativi alla salute, ad esempio lecartelle mediche contenenti informazioni quali diagnosi, risultati di esami,parere di medici curanti o eventuali terapie o interventi praticati.
(123) Il trattamento dei dati relativi alla salute puòessere necessario per motivi di interesse pubblico nei settori della sanitàpubblica, senza il consenso dell'interessato. In questo contesto, il concettodi "sanità pubblica" va interpretato secondo la definizione del regolamento(CE) n. 1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008,relativo alle statistiche comunitarie in materia di sanità pubblica e di salutee sicurezza sul luogo di lavoro: tutti gli elementi relativi alla salute, ossialo stato di salute, morbilità e disabilità incluse, i determinanti aventi uneffetto su tale stato di salute, le necessità in materia di assistenzasanitaria, le risorse destinate all'assistenza sanitaria, la prestazione diassistenza sanitaria e l'accesso universale ad essa, la spesa sanitaria e ilrelativo finanziamento e le cause di mortalità. Il trattamento dei datipersonali relativi alla salute effettuato per motivi di interesse pubblico non devecomportare il trattamento dei dati per altre finalità da parte di terzi, qualidatori di lavoro, compagnie di assicurazione e istituti di credito.
(124) I principi generali della protezione delle personefisiche con riguardo al trattamento dei dati personali devono trovareapplicazione anche nei rapporti di lavoro. Pertanto, al fine di disciplinare iltrattamento dei dati personali dei lavoratori in tale ambito, gli Stati membridevono avere facoltà, nei limiti del presente regolamento, di emanare specifichedisposizioni applicabili al trattamento dei dati personali nel settore del lavoro.
(125) Il trattamento dei dati personali per finalitàstoriche, statistiche o di ricerca scientifica deve, per essere lecito,rispettare anche altre normative pertinenti, ad esempio quelle sullesperimentazioni cliniche.
(126) La ricerca scientifica nell'ambito del presenteregolamento deve includere la ricerca fondamentale, la ricerca applicata e laricerca finanziata da privati e deve, inoltre, tenere conto dell'obiettivodell'Unione di istituire uno spazio europeo della ricerca ai sensidell'articolo 179, paragrafo 1, del trattato sul funzionamento dell'Unione europea.
(127) Per quanto riguarda il potere delle autorità dicontrollo di ottenere, dal responsabile del trattamento o dall'incaricato deltrattamento, accesso ai dati personali e accesso ai locali, gli Stati membripossono stabilire per legge, nei limiti del presente regolamento, normespecifiche per tutelare il segreto professionale o altri obblighi equivalentidi segretezza, qualora si rendano necessarie per conciliare il diritto alla protezionedei dati personali con l'obbligo di segretezza.
(128) Il presente regolamento rispetta e non pregiudica lostatus di cui godono le chiese e le associazioni o comunità religiose negliStati membri in virtù del diritto nazionale, in conformità dell'articolo 17 deltrattato sul funzionamento dell'Unione europea. Di conseguenza, se in uno Statomembro una chiesa applica, al momento dell'entrata in vigore del presenteregolamento, un corpus completo di norme a tutela delle persone fisiche conriguardo al trattamento dei dati personali, è opportuno che tali norme continuinoad applicarsi purché siano conformi alle disposizioni del presente
regolamento. Dette chiese e associazioni religiosedovrebbero essere tenute a istituire un'autorità di controllo pienamenteindipendente.
(129) Al fine di conseguire gli obiettivi del regolamento,segnatamente tutelare i diritti e le libertà fondamentali delle personefisiche, in particolare il diritto alla protezione dei dati personali, egarantire la libera circolazione di tali dati nell'Unione, occorre conferirealla Commissione il potere di adottare atti a norma dell'articolo 290 del trattatosul funzionamento dell'Unione europea. In particolare, dovrebbero essere adottatiatti delegati riguardanti la liceità del trattamento; i criteri e le condizionirelativi al consenso dei minori; il trattamento di categorie particolari didati; i criteri e le condizioni per le richieste manifestamente eccessive e ilcontributo spese per l'esercizio dei diritti dell'interessato; i criteri e irequisiti applicabili all'informazione dell'interessato e al diritto diaccesso; il diritto all'oblio e alla cancellazione; le misure basate sulla profilazione; i criteri e i requisiti relativi allaresponsabilità del responsabile del trattamento e alla protezione sin dallaprogettazione e alla protezione di default; l'incaricato del trattamento; icriteri e i requisiti per la documentazione e la sicurezza dei trattamenti; icriteri e requisiti per accertare una violazione dei dati personali enotificarla all'autorità di controllo e per stabilire le circostanze in cui unaviolazione di dati personali rischia di danneggiare l'interessato; i criteri ele condizioni perché le operazioni di trattamento richiedano una valutazioned'impatto sulla protezione dei dati; i criteri e i requisiti per determinare sesussistano rischi specifici tali da giustificare una consultazione preliminare;la designazione e il mandato del responsabile della protezione dei dati; icodici di condotta; i criteri e i requisiti dei meccanismi di certificazione; icriteri e requisiti per i trasferimenti in presenza di norme vincolantid'impresa; le deroghe al trasferimento; le sanzioni amministrative; il trattamentoa fini sanitari; il trattamento nel contesto del rapporto di lavoro e il trattamentoper finalità storiche, statistiche e di ricerca scientifica. È di particolare importanzache durante i lavori preparatori la Commissione svolga adeguate consultazioni,anche a livello di esperti.
Nel contesto della preparazione e della stesura degli attidelegati, occorre che la Commissione garantisca contemporaneamente una trasmissionecorretta e tempestiva dei documenti pertinenti al Parlamento europeo e al Consiglio.
(130) Al fine di garantire condizioni uniformi perl'attuazione del presente regolamento, è necessario attribuire alla Commissionecompetenze di esecuzione affinché definisca moduli standard in relazione altrattamento dei dati personali di un minore; procedure e moduli standard perl'esercizio dei diritti dell'interessato; moduli standard per l'informazionedell'interessato; moduli standard e procedure in relazione al diritto di accessoe il diritto alla portabilità dei dati; moduli standard relativi allaresponsabilità del responsabile del trattamento in relazione alla protezionesin dalla progettazione e alla protezione di default e alla documentazione;requisiti specifici per la sicurezza dei trattamenti; il formato standard e leprocedure per la notificazione di una violazione dei dati personaliall'autorità di controllo e la comunicazione di tale violazione all'interessato;norme e procedure per la valutazione d'impatto sulla protezione dei dati;moduli e procedure di autorizzazione preventiva e di consultazione preventiva; normetecniche e meccanismi di certificazione; l'adeguatezza della protezione offertada un paese terzo, o da un territorio o settore di trattamento dati all'internodel paese terzo, o da un'organizzazione internazionale; la divulgazione nonautorizzata dal diritto dell'Unione; l'assistenza reciproca; le operazionicongiunte; le decisioni nel quadro del meccanismo di coerenza. Tali competenzedevono essere esercitate in conformità del regolamento (UE) n. 182/2011 delParlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce leregole e i principi generali relativi alle modalità di controllo da parte degliStati membri dell'esercizio delle competenze di esecuzione attribuite allaCommissione45. A tal fine, la Commissionedovrebbe contemplare misure specifiche per le micro, piccole e medie imprese.
(131) La procedura d'esame dovrebbe applicarsi perl'adozione di moduli standard in relazione al consenso di un minore; diprocedure e moduli standard per l'esercizio dei diritti dell'interessato; dimoduli standard per l'informazione dell'interessato; di moduli standard eprocedure in relazione al diritto di accesso e al diritto alla portabilità deidati; di moduli standard relativi alla responsabilità del responsabile deltrattamento in relazione alla protezione sin dalla progettazione e allaprotezione di default e alla documentazione; di requisiti specifici per lasicurezza dei trattamenti; del formato standard e delle procedure per lanotificazione di una violazione dei dati personali all'autorità di controllo ela comunicazione di una violazione dei dati personali all'interessato; dellenorme e procedure per la valutazione d'impatto sulla protezione dei dati; dimoduli e procedure di autorizzazione preventiva e di consultazione preventiva;delle norme tecniche e dei meccanismi di certificazione; per l'adeguatezza dellaprotezione offerta da un paese terzo, o da un territorio o settore ditrattamento dati all'interno del paese terzo, o da un'organizzazioneinternazionale; per la divulgazione non autorizzata dal diritto dell'Unione;per l'assistenza reciproca; per le operazioni congiunte e per le decisioni nelquadro del meccanismo di coerenza, in considerazione della portata generale ditali atti.
(132) È opportuno che la Commissione adotti atti diesecuzione immediatamente applicabili quando, in casi debitamente giustificatirelativi ad un paese terzo, o a un territorio o settore di trattamento datiall'interno del paese terzo, o a un'organizzazione internazionale che nongarantisce un livello di protezione adeguato e concernenti questioni comunicatedalle autorità di controllo conformemente al meccanismo di coerenza, ciò siareso necessario da imperativi motivi di urgenza.
(133) Poiché gli obiettivi del presente regolamento, ossiagarantire un livello equivalente di tutela delle persone fisiche e la liberacircolazione dei dati nell'Unione, non possono essere conseguiti in misurasufficiente dagli Stati membri e possono dunque, a motivo della portata e deglieffetti dell'azione in questione, essere conseguiti meglio a livello di Unione,quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo5 del trattato sull'Unione europea. Il presente regolamento si limita a quantoè necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalitàenunciato nello stesso articolo.
(134) Il presente regolamento dovrebbe abrogare la direttiva95/46/CE. Ciò nondimeno, è opportuno che rimangano in vigore le decisioni dellaCommissione e le autorizzazioni delle autorità di controllo basate sulladirettiva 95/46/CE.
(135) È opportuno che il presente regolamento si applichi atutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentalicon riguardo al trattamento dei dati personali che non rientrino in obblighispecifici, aventi lo stesso obiettivo, di cui alla direttiva 2002/58/CE,compresi gli obblighi del responsabile del trattamento e i diritti dellepersone fisiche. Per chiarire il rapporto tra il presente regolamento e la direttiva2002/58/CE, occorre modificare quest'ultima di conseguenza.
(136) Per quanto riguarda l'Islanda e la Norvegia, ilpresente regolamento costituisce uno sviluppo delle disposizioni dell'acquis di Schengen, nella misura in cui si applica al trattamentodei dati personali da parte di autorità coinvolte nell'attuazione dell'acquis, ai sensi dell'accordo concluso dal Consigliodell'Unione europea con la Repubblica d'Islanda e il Regno di Norvegia sullaloro associazione all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen46..
(137) Per quanto riguarda la Svizzera, il presenteregolamento costituisce uno sviluppo delle disposizioni dell'acquis di Schengen, nella misura in cui si applica altrattamento dei dati personali da parte di autorità coinvolte nell'attuazionedell'acquis, ai sensi dell'accordo tra l'Unioneeuropea, la Comunità europea e la Confederazione svizzera riguardantel'associazione di quest'ultima all'attuazione, all'applicazione e allo sviluppodell'acquis di Schengen47.
(138) Per quanto riguarda il Liechtenstein, il presenteregolamento costituisce uno sviluppo delle disposizioni dell'acquis di Schengen, nella misura in cui si applica altrattamento dei dati personali da parte di autorità coinvolte nell'attuazionedell'acquis, ai sensi del protocollo sottoscritto tral'Unione europea, la Comunità europea, la Confederazione svizzera e ilPrincipato del Liechtenstein sull'adesione del Principato del Liechtenstein all'accordotra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardantel'associazione della Confederazione svizzera all'attuazione, all'applicazione eallo sviluppo dell'acquis di Schengen48.
(139) In considerazione del fatto che, come sottolinea laCorte di giustizia dell'Unione europea, il diritto alla protezione dei datipersonali non è una prerogativa assoluta, ma va considerato alla luce della suafunzione sociale e va contemperato con altri diritti fondamentali, inottemperanza al principio di proporzionalità, il presente regolamento rispettatutti i diritti fondamentali e osserva i principi riconosciuti dalla Carta deidiritti fondamentali dell'Unione europea e sanciti dai trattati, in particolareil diritto al rispetto della vita privata e familiare, del domicilio e dellecomunicazioni, il diritto alla protezione dei dati personali, la libertà dipensiero, di coscienza e di religione, la libertà di espressione ed'informazione, la libertà d'impresa, il diritto a un ricorso effettivo e a ungiudice imparziale, così come la diversità culturale, religiosa e linguistica,
HANNO ADOTTATOIL PRESENTE REGOLAMENTO:
CAPOI
DISPOSIZIONIGENERALI
Articolo 1
Oggetto efinalità
1. Il presenteregolamento stabilisce norme relative alla protezione delle persone fisiche conriguardo al trattamento dei dati di carattere personale e norme relative allalibera circolazione di tali dati.
2. Il presenteregolamento tutela i diritti e le libertà fondamentali delle persone fisiche, inparticolare il diritto alla protezione dei dati personali.
3. La liberacircolazione dei dati personali nell'Unione non può essere limitata né vietataper motivi attinenti alla tutela delle persone fisiche con riguardo al trattamentodei dati personali.
Articolo 2
Campo diapplicazione materiale
1. Il presenteregolamento si applica al trattamento interamente o parzialmente automatizzatodi dati personali e al trattamento non automatizzato di dati personali contenutiin un archivio o destinati a figurarvi.
2. Ledisposizioni del presente regolamento non si applicano ai trattamenti di dati personali:
a) effettuatiper attività che non rientrano nell'ambito di applicazione del diritto dell'Unione,concernenti in particolare la sicurezza nazionale;
b) effettuatida istituzioni, organi e organismi dell'Unione;
c) effettuatidagli Stati membri nell'esercizio di attività che rientrano nel campo diapplicazione del capo 2 del trattato sull'Unione europea;
d) effettuatida una persona fisica senza finalità di lucro per l'esercizio di attività esclusivamentepersonali o domestiche;
e) effettuatidalle autorità competenti a fini di prevenzione, indagine, accertamento operseguimento di reati o esecuzione di sanzioni penali.
3. Il presenteregolamento lascia impregiudicata l'applicazione della direttiva 2000/31/CE, inparticolare le norme relative alla responsabilità dei prestatori intermediaridi servizi di cui ai suoi articoli da 12 a 15.
Articolo 3
Campo diapplicazione territoriale
1. Il presenteregolamento si applica al trattamento dei dati personali effettuato nell'ambitodelle attività di uno stabilimento di un responsabile del trattamento o di unincaricato del trattamento nell'Unione.
2. Il presenteregolamento si applica al trattamento dei dati personali di residenti nell'Unioneeffettuato da un responsabile del trattamento che non è stabilito nell'Unione,quando le attività di trattamento riguardano:
a) l'offertadi beni o la prestazione di servizi ai suddetti residenti nell'Unione,
oppure
b) ilcontrollo del loro comportamento.
3. Il presenteregolamento si applica al trattamento dei dati personali effettuato da un responsabiledel trattamento che non è stabilito nell'Unione, ma in un luogo soggetto aldiritto nazionale di uno Stato membro in virtù del diritto internazionalepubblico.
Articolo 4
Definizioni
Ai fini delpresente regolamento s'intende per:
(1)"interessato": la persona fisica identificata o identificabile, direttamente o indirettamente,con mezzi che il responsabile del trattamento o altra persona fisica o giuridicaragionevolmente può utilizzare, con particolare riferimento a un numero di identificazione,a dati relativi all'ubicazione, a un identificativo on line o a uno o più elementicaratteristici della sua identità genetica, fisica, fisiologica, psichica, economica,culturale o sociale;
(2) "datipersonali": qualsiasi informazione concernente l'interessato;
(3)"trattamento": qualsiasi operazione o insieme di operazioni, compiute con osenza l'ausilio di processi automatizzati e applicate a dati personali, come laraccolta, la registrazione, l'organizzazione, la strutturazione, lamemorizzazione, l'adattamento o la modifica, l'estrazione, la consultazione,l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altraforma di messa a disposizione, il raffronto o l'interconnessione, lacancellazione o la distruzione;
(4)"archivio": qualsiasi insieme strutturato di dati personali accessibili secondocriteri determinati, indipendentemente dal fatto che tale insieme siacentralizzato, decentralizzato o ripartito in modo funzionale o geografico;
(5)"responsabile del trattamento": la persona fisica o giuridica, l'autoritàpubblica, il servizio o qualsiasi altro organismo che, singolarmente o insiemead altri, determina le finalità, le condizioni e i mezzi del trattamento didati personali; quando le finalità, le condizioni e i mezzi del trattamentosono determinati dal diritto dell'Unione o dal diritto di uno Stato membro, ilresponsabile del trattamento o i criteri specifici applicabili alla sua nominapossono essere designati dal diritto dell'Unione o dal diritto dello Statomembro;
(6)"incaricato del trattamento": la persona fisica o giuridica, l'autorità pubblica,il servizio o qualsiasi altro organismo che elabora dati personali per contodel responsabile del trattamento;
(7)"destinatario": la persona fisica o giuridica, l'autorità pubblica, il servizioo qualsiasi altro organismo che riceve comunicazione di dati personali;
(8) "consensodell'interessato": qualsiasi manifestazione di volontà libera, specifica, informataed esplicita con la quale l'interessato accetta, mediante dichiarazione o azionepositiva inequivocabile, che i dati personali che lo riguardano siano oggettodi trattamento;
(9)"violazione dei dati personali": violazione di sicurezza che comporta accidentalmenteo in modo illecito la distruzione, la perdita, la modifica, larivelazione nonautorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunqueelaborati;
(10) "datigenetici": tutti i dati, di qualsiasi natura, riguardanti le caratteristiche diuna persona fisica che siano ereditarie o acquisite in uno stadio precoce disviluppo prenatale;
(11) "datibiometrici": i dati relativi alle caratteristiche fisiche, fisiologiche o comportamentalidi una persona che ne consentono l'identificazione univoca, quali l'immaginefacciale o i rilievi dattiloscopici;
(12) "datirelativi alla salute": qualsiasi informazione attinente alla salute fisica omentale di una persona o alla prestazione di servizi sanitari a detta persona;
(13)"stabilimento principale": per quanto riguarda il responsabile del trattamento,il luogo di stabilimento nell'Unione in cui sono prese le principali decisionisulle finalità, le condizioni e i mezzi del trattamento di dati personali; senon sono prese decisioni di questo tipo nell'Unione, il luogo in cui sonocondotte le principali attività di trattamento nell'ambito delle attività diuno stabilimento di un responsabile del trattamento nell'Unione. Conriferimento all'incaricato del trattamento, per "stabilimento principale" siintende il luogo in cui ha sede la sua amministrazione centrale nell'Unione.
(14)"rappresentante": la persona fisica o giuridica stabilita nell'Unione che, espressamentedesignata dal responsabile del trattamento, agisce e può, per quanto concernegli obblighi incombenti al responsabile del trattamento a norma del presenteregolamento, essere interpellata al suo posto dalle autorità di controllo e da altriorganismi nell'Unione;
(15)"impresa": ogni entità, indipendentemente dalla forma giuridica rivestita, cheeserciti un'attività economica, comprendente pertanto, in particolare, lepersone fisiche e giuridiche, le società di persone o le associazioni cheesercitano un'attività economica;
(16) "gruppodi imprese": un gruppo costituito da un'impresa controllante e dalle imprese daquesta controllate;
(17) "normevincolanti d'impresa": le politiche in materia di protezione dei dati personaliapplicate da un responsabile del trattamento o incaricato del trattamentostabilito nel territorio di uno Stato membro dell'Unione al trasferimento o alcomplesso di trasferimenti di dati personali a un responsabile del trattamentoo incaricato del trattamento in uno o più paesi terzi, nell'ambito di un gruppodi imprese;
(18) "minore":persona di età inferiore agli anni diciotto;
(19) "autoritàdi controllo": l'autorità pubblica istituita da uno Stato membro in conformitàdell'articolo 46.
CAPOII
PRINCIPI
Articolo 5
Principiapplicabili al trattamento di dati personali
I datipersonali devono essere:
a) trattati inmodo lecito, equo e trasparente nei confronti dell'interessato;
b) raccoltiper finalità determinate, esplicite e legittime, e successivamente trattati inmodo non incompatibile con tali finalità;
c) adeguati,pertinenti e limitati al minimo necessario rispetto alle finalità perseguite; idati possono essere trattati solo se e nella misura in cui le finalità nonconseguibili attraverso il trattamento di informazioni che non contengono datipersonali;
d) esatti eaggiornati; devono essere prese tutte le misure ragionevoli per cancellare orettificare tempestivamente i dati inesatti rispetto alle finalità per le qualisono trattati;
e) conservatiin una forma che consenta l'identificazione degli interessati per un arco ditempo non superiore al conseguimento delle finalità per le quali sono trattati;i dati personali possono essere conservati per periodi più lunghi a condizioneche siano trattati per finalità storiche, statistiche o di ricerca scientifica,nel rispetto delle norme e delle condizioni di cui all'articolo 83 e se periodicamenteè effettuato un riesame volto a valutare la necessità di conservarli;
f) trattatisotto la responsabilità del responsabile del trattamento, che assicura e comprova,per ciascuna operazione, la conformità alle disposizioni del presente regolamento.
Articolo 6
Liceità deltrattamento
1. Iltrattamento dei dati personali è lecito solo se e nella misura in cui ricorre almenouna delle seguenti condizioni:
a)l'interessato ha manifestato il consenso al trattamento dei propri datipersonali per una o più specifiche finalità;
b) iltrattamento è necessario all'esecuzione di un contratto di cui l'interessato è parteo all'esecuzione di misure precontrattuali prese su richiesta dello stesso;
c) iltrattamento è necessario per adempiere un obbligo legale al quale è soggetto ilresponsabile del trattamento;
d) iltrattamento è necessario per la salvaguardia degli interessi vitali dell'interessato;
e) iltrattamento è necessario per l'esecuzione di un compito di interesse pubblico oconnesso all'esercizio di pubblici poteri di cui è investito il responsabiledel trattamento;
f) iltrattamento è necessario per il perseguimento del legittimo interesse del responsabiledel trattamento, a condizione che non prevalgano gli interessi o i diritti e lelibertà fondamentali dell'interessato che richiedono la protezione dei datipersonali, in particolare se l'interessato è un minore. Ciò non si applica al trattamentodi dati effettuato dalle autorità pubbliche nell'esercizio dei lorocompiti.
2. Iltrattamento dei dati personali relativi alla salute che risulti necessario perfinalità storiche, statistiche o di ricerca scientifica è lecito, fatte salvele condizioni e le garanzie di cui all'articolo 83.
3. La base sucui si fonda il trattamento dati di cui al paragrafo 1, lettere c) ed e), deve essereprevista:
a) dal dirittodell'Unione, o
b) dallalegislazione dello Stato membro cui è soggetto il responsabile del trattamento.
Il dirittodello Stato membro deve perseguire un obiettivo di interesse pubblico o esserenecessario per proteggere i diritti e le libertà altrui, rispettare ilcontenuto essenziale del diritto alla protezione dei dati personali ed essereproporzionato all'obiettivo legittimo.
4. Se lo scopodell'ulteriore trattamento non è compatibile con quello per il quale i dati personalisono stati raccolti, il trattamento deve avere come base giuridica almeno unodei motivi di cui al paragrafo 1, lettere da a) ad e). Ciò si applica inparticolare ad eventuali cambiamenti dei termini e delle condizioni generalidel contratto.
5. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare le condizioni di cui al paragrafo 1, lettera f), per varisettori e situazioni di trattamento dei dati, anche con riferimento altrattamento dei dati personali concernenti un minore.
Articolo 7
Condizioni peril consenso
1. L'onere didimostrare che l'interessato ha espresso il consenso al trattamento dei suoi datipersonali per scopi specifici incombe sul responsabile del trattamento.
2. Se ilconsenso dell'interessato deve essere fornito nel contesto di una dichiarazionescritta che riguarda anche altre materie, l'obbligo di prestare il consensodeve essere presentato in forma distinguibile dalle altre materie.
3.L'interessato ha il diritto di revocare il proprio consenso in qualsiasimomento. La revoca del consenso non pregiudica la liceità del trattamentobasata sul consenso prima della revoca.
4. Il consensonon costituisce una base giuridica per il trattamento ove vi sia un notevolesquilibrio tra la posizione dell'interessato e del responsabile deltrattamento.
Articolo 8
Trattamentodei dati personali dei minori
1. Ai fini delpresente regolamento, per quanto riguarda l'offerta diretta di servizi della societàdell'informazione ai minori, il trattamento di dati personali di minori di età inferioreai tredici anni è lecito se e nella misura in cui il consenso è espresso o autorizzatodal genitore o dal tutore del minore. Il responsabile del trattamento si adoperain ogni modo ragionevole per ottenere un consenso verificabile, in considerazionedelle tecnologie disponibili.
2. Ilparagrafo 1 non pregiudica le disposizioni generali del diritto dei contrattidegli Stati membri, quali le norme sulla validità, la formazione o l'efficaciadi un contratto rispetto a un minore.
3. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri e i requisiti concernenti le modalità per ottenereil consenso verificabile di cui al paragrafo 1. A tal fine, la Commissione contemplamisure specifiche per le micro, piccole e medie imprese.
4. La Commissionepuò stabilire moduli standard per specifiche modalità di ottenimento delconsenso verificabile di cui al paragrafo 1. Tali atti di esecuzione sonoadottati secondo la procedura d'esame di cui all'articolo 87, paragrafo 2.
Articolo 9
Trattamento dicategorie particolari di dati personali
1. È vietatotrattare dati personali che rivelino la razza, l'origine etnica, le opinioni politiche,la religione o le convinzioni personali, l'appartenenza sindacale, come pure trattaredati genetici o dati relativi alla salute e alla vita sessuale o a condannepenali o a connesse misure di sicurezza.
2. Ilparagrafo 1 non si applica quando:
a)l'interessato ha dato il proprio consenso al trattamento di tali datipersonali, alle condizioni di cui agli articoli 7 e 8, salvo i casi in cui ildiritto dell'Unione o di uno Stato membro dispone che l'interessato non puòrevocare il divieto di cui al paragrafo 1,
oppure
b) iltrattamento è necessario per assolvere gli obblighi ed esercitare i diritti specificidel responsabile del trattamento in materia di diritto del lavoro, nella misurain cui sia autorizzato dal diritto dell'Unione o di uno Stato membro inpresenza di congrue garanzie,
oppure
c) iltrattamento è necessario per salvaguardare un interesse vitale dell'interessatoo di un terzo qualora l'interessato si trovi nell'incapacità fisica o giuridicadi dare il proprio consenso,
oppure
d) iltrattamento è effettuato, nell'ambito delle sue legittime attività e con adeguategaranzie, da una fondazione, associazione o altro organismo senza scopo dilucro che persegua finalità politiche, filosofiche, religiose o sindacali, acondizione che il trattamento riguardi unicamente i membri, gli ex membri o lepersone che hanno regolari contatti con la fondazione, l'associazione o l'organismoa motivo delle sue finalità e che i dati non siano comunicati a terzi senza ilconsenso dell'interessato, oppure
e) iltrattamento riguarda dati resi manifestamente pubblici dall'interessato,
oppure
f) iltrattamento è necessario per accertare, esercitare o difendere un diritto insede giudiziaria,
oppure
g) iltrattamento è necessario per l'esecuzione di un compito di interesse pubblico sullabase del diritto dell'Unione o del diritto degli Stati membri, che deve prevederemisure appropriate per tutelare i legittimi interessi dell'interessato,
oppure
h) iltrattamento di dati relativi alla salute è necessario a fini sanitari, fattesalve le condizioni e le garanzie di cui all'articolo 81,
oppure
i) iltrattamento è necessario per finalità storiche, statistiche o di ricerca scientifica,fatte salve le condizioni e le garanzie di cui all'articolo 83,
oppure
j) iltrattamento dei dati relativi a condanne penali o a connesse misure di sicurezzaè effettuato sotto il controllo dell'autorità pubblica, oppure il trattamento ènecessario per ottemperare a un obbligo legale o regolamentare cui è soggettoil responsabile del trattamento o per l'esecuzione di un compito di interessepubblico rilevante, purché sia autorizzato dal diritto dell'Unione o di uno Statomembro, che deve prevedere garanzie adeguate. Un registro completo dellecondanne penali può essere tenuto solo sotto il controllo dell'autoritàpubblica.
3. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri, le condizioni e le garanzie adeguate per il trattamentodelle categorie particolari di dati personali di cui al paragrafo 1, e le deroghedi cui al paragrafo 2.
Articolo 10
Trattamentoche non consente identificazione
Se i datitrattati da un responsabile del trattamento non consentono di identificare unapersona fisica, il responsabile del trattamento non è obbligato ad acquisireulteriori informazioni per identificare l'interessato al solo fine dirispettare una disposizione del presente regolamento.
CAPOIII
DIRITTIDELL'INTERESSATO
SEZIONE1
TRASPARENZAE MODALITA'
Articolo 11
Informazioni ecomunicazioni trasparenti
1. Ilresponsabile del trattamento applica politiche trasparenti e facilmenteaccessibili con riguardo al trattamento dei dati personali e ai finidell'esercizio dei diritti dell'interessato.
2. Ilresponsabile del trattamento fornisce all'interessato tutte le informazioni ele comunicazioni relative al trattamento dei dati personali in formaintelligibile, con linguaggio semplice e chiaro e adeguato all'interessato, inparticolare se le informazioni sono destinate ai minori.
Articolo 12
Procedure emeccanismi per l'esercizio dei diritti dell'interessato
1. Ilresponsabile del trattamento stabilisce le procedure d'informazione di cui all'articolo14 e le procedure per l'esercizio dei diritti dell'interessato di cui all'articolo13 e agli articoli da 15 a 19. Il responsabile del trattamento predispone in particolarei meccanismi per agevolare le richieste di cui all'articolo 13 e agli articoli da15 a 19. Qualora i dati personali siano trattati con modalità automatizzate, ilresponsabile del trattamento predispone altresì i mezzi per inoltrare lerichieste per via elettronica.
2. Ilresponsabile del trattamento informa l'interessato tempestivamente e al piùtardi entro un mese dal ricevimento della richiesta, se è stata adottataun'azione ai sensi dell'articolo 13 e degli articoli da 15 a 19, e fornisce leinformazioni richieste. Tale termine può essere prorogato di un ulteriore mesese più interessati esercitano i loro diritti e la loro cooperazione ènecessaria in misura ragionevole per evitare un impiego di risorse inutile esproporzionato al responsabile del trattamento. Queste informazioni sonoconfermate per iscritto. Se l'interessato presenta la richiesta in formaelettronica, le informazioni sono fornite in formato elettronico, salvo indicazionediversa dell'interessato.
3. Se rifiutadi ottemperare alla richiesta dell'interessato, il responsabile del trattamentoinforma l'interessato dei motivi di tale rifiuto e delle possibilità diproporre reclamo all'autorità di controllo e anche ricorso giurisdizionale.
4. Leinformazioni e le azioni intraprese a seguito delle richieste di cui alparagrafo 1 sono gratuite. Se le richieste sono manifestamente eccessive, inparticolare per il loro carattere ripetitivo, il responsabile del trattamentopuò esigere un contributo spese per le informazioni o l'azione richiesta; inalternativa, può non effettuare quanto richiesto. In tale caso, incombe alresponsabile del trattamento dimostrare il carattere manifestamente eccessivodella richiesta.
5. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri e le condizioni concernenti le richieste manifestamenteeccessive, e il contributo spese di cui al paragrafo 4.
6. LaCommissione può stabilire moduli e procedure standard per la comunicazione di cuial paragrafo 2, anche in formato elettronico. A tal fine, la Commissione prendemisure adeguate per le micro, piccole e medie imprese. Tali atti di esecuzionesono adottati secondo la procedura d'esame di cui all'articolo 87, paragrafo 2.
Articolo 13
Dirittirelativi ai destinatari
Ilresponsabile del trattamento comunica a ciascuno dei destinatari cui sono statitrasmessi i dati, le eventuali rettifiche o cancellazioni effettuateconformemente alle disposizioni degli articoli 16 e 17, salvo che ciò si riveliimpossibile o implichi risorse sproporzionate.
SEZIONE2
INFORMAZIONEE ACCESSO AI DATI
Articolo 14
Informazionedell'interessato
1. In caso diraccolta di dati personali, il responsabile del trattamento fornisce all'interessatoalmeno le seguenti informazioni:
a) l'identitàe le coordinate di contatto del responsabile del trattamento e, eventualmente,del suo rappresentante e del responsabile della protezione dei dati;
b) le finalitàdel trattamento cui sono destinati i dati personali, compresi i termini contrattualie le condizioni generali nel caso di un trattamento basato sull'articolo 6,paragrafo 1, lettera b), e i legittimi interessi perseguiti dal responsabiledel trattamento qualora il trattamento si basi sull'articolo 6, paragrafo 1,lettera f);
c) il periodoper il quale i dati personali saranno conservati;
d) l'esistenzadel diritto dell'interessato di chiedere al responsabile del trattamentol'accesso ai dati e la rettifica o la cancellazione dei dati personali che loriguardano o di opporsi al loro trattamento;
e) il dirittodi proporre reclamo all'autorità di controllo e le coordinate di contatto didetta autorità;
f) idestinatari o le categorie di destinatari dei dati personali;
g) se delcaso, l'intenzione del responsabile del trattamento di trasferire dati personalia un paese terzo o a un'organizzazione internazionale e il livello di protezionegarantito dal paese terzo o organizzazione internazionale, richiamando unadecisione di adeguatezza della Commissione;
h) ogni altrainformazione necessaria per garantire un trattamento equo nei confronti dell'interessato,in considerazione delle specifiche circostanze in cui i dati personali vengonoraccolti.
2. Quando idati personali sono raccolti direttamente presso l'interessato, il responsabiledel trattamento lo informa, in aggiunta a quanto disposto al paragrafo 1, dell'obbligatorietào meno della comunicazione dei dati personali e delle possibili conseguenze diuna mancata comunicazione.
3. Quando idati personali non sono raccolti direttamente presso l'interessato, il responsabiledel controllo lo informa, in aggiunta a quanto disposto al paragrafo 1, dellafonte da cui sono tratti i dati personali.
4. Ilresponsabile del trattamento fornisce le informazioni di cui ai paragrafi 1, 2e 3:
a) al momentoin cui i dati personali sono ottenuti dall'interessato,
oppure
b) quando idati personali non sono raccolti direttamente presso l'interessato, al momentodella registrazione o entro un termine ragionevole dopo la raccolta, in considerazionedelle specifiche circostanze in cui i dati vengono raccolti o altrimentitrattati, o, se si prevede la divulgazione dei dati a un altro destinatario, alpiù tardi al momento della prima comunicazione dei medesimi.
5. I paragrafida 1 a 4 non si applicano nelle seguenti circostanze:
a)l'interessato dispone già delle informazioni di cui ai paragrafi 1, 2 e 3,
oppure
b) i dati nonsono raccolti presso l'interessato e comunicare tali informazioni risultaimpossibile o implicherebbe risorse sproporzionate,
oppure
c) i dati nonsono raccolti presso l'interessato e la registrazione o la comunicazione deidati è prevista espressamente per legge,
oppure
d) i dati nonsono raccolti presso l'interessato e la comunicazione di tali informazionipregiudicherebbe i diritti e le libertà altrui, ai sensi del diritto dell'Unioneo di uno Stato membro in conformità dell'articolo 21.
6. Nel caso dicui al paragrafo 5, lettera b), il responsabile del trattamento predispone adeguatemisure per proteggere i legittimi interessi dell'interessato.
7. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri per le categorie di destinatari di cui al paragrafo1, lettera f), l'obbligo di informare circa gli accessi potenziali di cui al paragrafo1, lettera g), i criteri per le ulteriori informazioni necessarie di cui al paragrafo1, lettera h), per settori e situazioni specifiche, e le condizioni e garanzie adeguateper le eccezioni di cui al paragrafo 5, lettera b). A tal fine, la Commissione prendemisure adeguate per le micro, piccole e medie imprese.
8. LaCommissione può predisporre moduli standard per la comunicazione delle informazionidi cui ai paragrafi da 1 a 3, tenendo conto se necessario delle caratteristichee delle esigenze specifiche dei diversi settori e situazioni di trattamento deidati. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cuiall'articolo 87, paragrafo 2.
Articolo 15
Diritto diaccesso dell'interessato
1.L'interessato che ne faccia richiesta ha il diritto di ottenere in qualsiasi momento,dal responsabile del trattamento, la conferma che sia o meno in corso untrattamento di dati personali che lo riguardano. Se è in corso un trattamento,il responsabile del trattamento fornisce le seguenti informazioni:
a) le finalitàdel trattamento;
b) lecategorie di dati personali in questione;
c) idestinatari o le categorie di destinatari a cui i dati personali sono stati o sarannocomunicati, in particolare se destinatari di paesi terzi;
d) il periodoper il quale saranno conservati i dati personali;
e) l'esistenzadel diritto dell'interessato di chiedere al responsabile del trattamento larettifica o la cancellazione dei dati personali che lo riguardano o di opporsial loro trattamento;
f) il dirittodi proporre reclamo all'autorità di controllo e le coordinate di contatto didetta autorità;
g) lacomunicazione dei dati personali oggetto del trattamento e di tutte le informazionidisponibili sulla loro origine;
h)l'importanza e le conseguenze di tale trattamento, almeno nel caso delle misuredi cui all'articolo 20.
2.L'interessato ha il diritto di ottenere dal responsabile del trattamento la comunicazionedei dati personali oggetto del trattamento. Se l'interessato presenta la richiestain forma elettronica, le informazioni sono fornite in formato elettronico, salvoindicazione diversa dell'interessato.
3. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri e i requisiti per la comunicazione all'interessatodel contenuto dei dati personali di cui al paragrafo 1, lettera g).
4. LaCommissione può predisporre moduli standard e procedure per la richiesta e la concessionedell'accesso alle informazioni di cui al paragrafo 1, anche ai fini di verificarel'identità dell'interessato e di comunicare i dati personali all'interessato, tenendoconto delle specificità e delle esigenze dei diversi settori e situazioni di trattamentodei dati. Tali atti di esecuzione sono adottati secondo la procedura d'esame dicui all'articolo 87, paragrafo 2.
SEZIONE3
RETTIFICAE CANCELLAZIONE
Articolo 16
Diritto direttifica
L'interessatoha il diritto di ottenere dal responsabile del trattamento la rettifica di datipersonali inesatti. L'interessato ha il diritto di ottenere l'integrazione didati personali incompleti, anche mediante una dichiarazione rettificativa.
Articolo 17
Dirittoall'oblio e alla cancellazione
1.L'interessato ha il diritto di ottenere dal responsabile del trattamento lacancellazione di dati personali che lo riguardano e la rinuncia a un'ulteriorediffusione di tali dati, in particolare in relazione ai dati personali resipubblici quando l'interessato era un minore, se sussiste uno dei motiviseguenti:
a) i dati nonsono più necessari rispetto alle finalità per le quali sono stati raccolti oaltrimenti trattati;
b)l'interessato revoca il consenso su cui si fonda il trattamento, di cuiall'articolo 6, paragrafo 1, lettera a), oppure il periodo di conservazione deidati autorizzato è scaduto e non sussiste altro motivo legittimo per trattare idati;
c)l'interessato si oppone al trattamento di dati personali ai sensi dell'articolo19;
d) iltrattamento dei dati non è conforme al presente regolamento per altri motivi.
2. Quando hareso pubblici dati personali, il responsabile del trattamento di cui al paragrafo1 prende tutte le misure ragionevoli, anche tecniche, in relazione ai dati dellacui pubblicazione è responsabile per informare i terzi che stanno trattandotali dati della richiesta dell'interessato di cancellare qualsiasi link, copiao riproduzione dei suoi dati personali. Se ha autorizzato un terzo a pubblicaredati personali, il responsabile del trattamento è ritenuto responsabile di talepubblicazione.
3. Ilresponsabile del trattamento provvede senza ritardo alla cancellazione, a menoche conservare i dati personali non sia necessario:
(a) perl'esercizio del diritto alla libertà di espressione in conformità dell'articolo80;
(b) per motividi interesse pubblico nel settore della sanità pubblica in conformità dell'articolo81;
(c) perfinalità storiche, statistiche e di ricerca scientifica in conformità dell'articolo83;
(d) peradempiere un obbligo legale di conservazione di dati personali previsto dal dirittodell'Unione o dello Stato membro cui è soggetto il responsabile del trattamento;il diritto dello Stato membro deve perseguire un obiettivo di interessepubblico, rispettare il contenuto essenziale del diritto alla protezione deidati personali ed essere proporzionato all'obiettivo legittimo;
(e) nei casidi cui al paragrafo 4.
4. Invece diprovvedere alla cancellazione, il responsabile del trattamento limita il trattamentodei dati personali:
a) quandol'interessato ne contesta l'esattezza, per il periodo necessario ad effettuarele opportune verifiche;
b) quando, benchénon ne abbia più bisogno per l'esercizio dei suoi compiti, i dati devono essereconservati a fini probatori;
c) quando iltrattamento è illecito e l'interessato si oppone alla loro cancellazione echiede invece che ne sia limitato l'utilizzo;
d) quandol'interessato chiede di trasmettere i dati personali a un altro sistema di trattamentoautomatizzato, in conformità dell'articolo 18, paragrafo 2.
5. I datipersonali di cui al paragrafo 4 possono essere trattati, salvo che per la conservazione,soltanto a fini probatori o con il consenso dell'interessato oppure per tutelarei diritti di un'altra persona fisica o giuridica o per un obiettivo di pubblicointeresse.
6. Quando iltrattamento dei dati personali è limitato a norma del paragrafo 4, il responsabiledel trattamento informa l'interessato prima di eliminare la limitazione al trattamento.
7. Ilresponsabile del trattamento predispone i meccanismi per assicurare il rispettodei termini fissati per la cancellazione dei dati personali e/o per un esame periodicodella necessità di conservare tali dati.
8. Quandoprovvede alla cancellazione, il responsabile del trattamento si astiene daaltri trattamenti di tali dati personali.
9. AllaCommissione è conferito il potere di adottare atti delegati in conformità all'articolo86 al fine di precisare:
a) i criteri ei requisiti per l'applicazione del paragrafo 1 per specifici settori e situazionidi trattamento dei dati;
b) lecondizioni per la cancellazione di link, copie o riproduzioni di dati personalidai servizi di comunicazione accessibili al pubblico, come previsto al paragrafo2;
c) i criteri ele condizioni per limitare il trattamento dei dati personali, di cui al paragrafo4.
Articolo 18
Diritto allaportabilità dei dati
1.L'interessato ha il diritto, ove i dati personali siano trattati con mezzielettronici e in un formato strutturato e di uso comune, di ottenere dalresponsabile del trattamento copia dei dati trattati in un formato elettronicoe strutturato che sia di uso comune e gli consenta di farne ulteriore uso.
2. Se hafornito i dati personali e il trattamento si basa sul consenso o su uncontratto, l'interessato ha il diritto di trasmettere tali dati personali eogni altra informazione fornita e conservata in un sistema di trattamentoautomatizzato a un altro sistema in un formato elettronico di uso comune, senzaimpedimenti da parte del responsabile del trattamento da cui sono richiamati idati.
3. LaCommissione può specificare il formato elettronico di cui al paragrafo 1 e le normetecniche, le modalità e le procedure di trasmissione dei dati personali a normadel paragrafo 2. Tali atti di esecuzione sono adottati secondo la procedurad'esame di cui all'articolo 87, paragrafo 2.
SEZIONE4
DIRITTODI OPPOSIZIONE E PROFILAZIONE
Articolo 19
Diritto diopposizione
1.L'interessato ha il diritto di opporsi in qualsiasi momento, per motiviconnessi alla sua situazione particolare, al trattamento dei dati personali aisensi dell'articolo 6, paragrafo 1, lettere d), e) e f), salvo che ilresponsabile del trattamento dimostri l'esistenza di motivi preminenti elegittimi per procedere al trattamento che prevalgono sugli interessi o suidiritti e sulle libertà fondamentali dell'interessato.
2. Qualora idati personali siano trattati per finalità di marketing diretto, l'interessatoha il diritto di opporsi gratuitamente al trattamento dei dati personalieffettuato per tali finalità. Tale diritto è comunicato esplicitamenteall'interessato in modo intelligibile ed è chiaramente distinguibile dallealtre informazioni.
3. Qualoral'interessato si opponga ai sensi dei paragrafi 1 e 2, il responsabile del trattamentonon può più usare né altrimenti trattare i dati personali in questione.
Articolo 20
Misure basatesulla profilazione
1. Chiunque hail diritto di non essere sottoposto a una misura che produca effetti giuridicio significativamente incida sulla sua persona, basata unicamente su un trattamentoautomatizzato destinato a valutare taluni aspetti della sua personalità o ad analizzarneo prevederne in particolare il rendimento professionale, la situazione economica,l'ubicazione, lo stato di salute, le preferenze personali, l'affidabilità o il comportamento.
2. Fatte salvele altre disposizioni del presente regolamento, chiunque può essere sottopostoa una misura di cui al paragrafo 1 soltanto se il trattamento:
a) èeffettuato nel contesto della conclusione o dell'esecuzione di un contratto, a condizioneche la domanda di concludere o eseguire il contratto, presentata dall'interessato,sia stata accolta oppure che siano state offerte misure adeguate, fra le qualiil diritto di ottenere l'intervento umano, a salvaguardia
dei suoilegittimi interessi,
oppure
b) èespressamente autorizzato da disposizioni del diritto dell'Unione o di uno Statomembro che precisi altresì misure adeguate a salvaguardia dei legittimiinteressi dell'interessato,
oppure
c) si basa sulconsenso dell'interessato, fatte salve le condizioni di cui all'articolo 7 el'esistenza di garanzie adeguate.
3. Iltrattamento automatizzato di dati personali destinato a valutare taluni aspettidella personalità dell'interessato non può basarsi unicamente sulle categorieparticolari di dati personali di cui all'articolo 9.
4. Nei casi dicui al paragrafo 2, le informazioni che il responsabile del trattamento è tenutoa fornire ai sensi dell'articolo 14 ricomprendono l'esistenza di un trattamentorelativo a una misura di cui al paragrafo 1 e gli effetti previsti di taletrattamento sull'interessato.
5. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri e le condizioni concernenti le misure adeguatea salvaguardia dei legittimi interessi dell'interessato di cui al paragrafo 2.
SEZIONE5
LIMITAZIONI
Articolo 21
Limitazioni
1. L'Unione ogli Stati membri possono limitare, mediante misure legislative, la portata degliobblighi e dei diritti di cui all'articolo 5, lettere da a) a e), agli articolida 11 a 20 e all'articolo 32, qualora tale limitazione costituisca una misuranecessaria e proporzionata in una società democratica per salvaguardare:
a) la pubblicasicurezza;
b) le attivitàvolte a prevenire, indagare, accertare e perseguire reati;
c) altriinteressi pubblici dell'Unione o di uno Stato membro, in particolare un rilevanteinteresse economico o finanziario dell'Unione o di uno Stato membro, anche inmateria monetaria, di bilancio e tributaria, e la stabilità e l'integrità delmercato;
d) le attivitàvolte a prevenire, indagare, accertare e perseguire violazioni della deontologiadelle professioni regolamentate;
e) unafunzione di controllo, d'ispezione o di regolamentazione connessa, anche occasionalmente,all'esercizio di pubblici poteri nei casi di cui alle lettere a), b), c), e d);
f) la tuteladell'interessato o dei diritti e delle libertà altrui;
2. Inparticolare, le misure legislative di cui al paragrafo 1 contengonodisposizioni specifiche riguardanti almeno gli obiettivi perseguiti daltrattamento e la determinazione del responsabile del trattamento.
CAPOIV
RESPONSABILEDEL TRATTAMENTO E INCARICATO DEL
TRATTAMENTO
SEZIONE1
OBBLIGHIGENERALI
Articolo 22
Responsabilitàdel responsabile del trattamento
1. Ilresponsabile del trattamento adotta politiche e attua misure adeguate pergarantire ed essere in grado di dimostrare che il trattamento dei datipersonali effettuato è conforme al presente regolamento.
2. Le misuredi cui al paragrafo 1 comprendono, in particolare:
(a) laconservazione della documentazione ai sensi dell'articolo 28;
(b)l'attuazione dei requisiti di sicurezza dei dati di cui all'articolo 30;
(c)l'esecuzione della valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo33;
(d) ilrispetto dei requisiti di autorizzazione preventiva o di consultazione preventivadell'autorità di controllo ai sensi dell'articolo 34, paragrafi 1 e 2;
(e) ladesignazione di un responsabile della protezione dei dati ai sensi dell'articolo35, paragrafo 1.
3. Ilresponsabile del trattamento mette in atto meccanismi per assicurare laverifica dell'efficacia delle misure di cui ai paragrafi 1 e 2. Qualora ciò siaproporzionato, la verifica è effettuata da revisori interni o esterniindipendenti.
4. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri e i requisiti concernenti le misure adeguate dicui al paragrafo 1 diverse da quelle specificate al paragrafo 2, le condizioni riguardantii meccanismi di verifica e di audit di cui al paragrafo 3 e il criterio di proporzionalitàdi cui al paragrafo 3, e al fine di contemplare misure specifiche per le micro,piccole e medie imprese.
Articolo 23
Protezione findalla progettazione e protezione di default
1. Al momentodi determinare i mezzi del trattamento e all'atto del trattamento stesso, ilresponsabile del trattamento, tenuto conto dell'evoluzione tecnica e dei costidi attuazione, mette in atto adeguate misure e procedure tecniche eorganizzative in modo tale che il trattamento sia conforme al presenteregolamento e assicuri la tutela dei diritti dell'interessato.
2. Ilresponsabile del trattamento mette in atto meccanismi per garantire che siano trattati,di default, solo i dati personali necessari per ciascuna finalità specifica deltrattamento e che, in particolare, la quantità dei dati raccolti e la duratadella loro conservazione non vadano oltre il minimo necessario per le finalitàperseguite. In particolare detti meccanismi garantiscono che, di default, nonsiano resi accessibili dati personali a un numero indefinito di persone.
3. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri e i requisiti concernenti le misure e i meccanismiadeguati di cui ai paragrafi 1 e 2, in particolare i requisiti riguardanti la protezionedei dati fin dalla progettazione applicabili in materia trasversale avarisettori, prodotti e servizi.
4. LaCommissione può stabilire norme tecniche riguardanti i requisiti di cuiaiparagrafi 1 e 2. Tali atti di esecuzione sono adottati secondo la procedurad'esame di cui all'articolo 87, paragrafo 2.
Articolo 24
Corresponsabilidel trattamento
Se ilresponsabile del trattamento determina le finalità, le condizioni e i mezzi deltrattamento dei dati personali insieme ad altri, i corresponsabili deltrattamento determinano, mediante accordi interni, le rispettive responsabilitàin merito al rispetto degli obblighi derivanti dal presente regolamento, conparticolare riguardo alle procedure e ai meccanismi per l'esercizio dei dirittidell'interessato.
Articolo 25
Rappresentantidi responsabili del trattamento non stabiliti nell'Unione
1. Nel caso dicui all'articolo 3, paragrafo 2, il responsabile del trattamento designa un rappresentantenell'Unione.
2.Quest'obbligo non si applica:
a) airesponsabili del trattamento stabiliti in un paese terzo qualora la Commissioneabbia deciso che il paese terzo garantisce un livello di protezione adeguato inconformità dell'articolo 41, oppure
b) alleimprese con meno di 250 dipendenti oppure
c) alleautorità pubbliche e agli organismi pubblici, oppure
d) airesponsabili del trattamento che offrono solo occasionalmente beni o servizi ainteressati che risiedono nell'Unione.
3. Ilrappresentante è stabilito in uno degli Stati membri in cui risiedono gliinteressati i cui dati personali sono trattati nell'ambito dell'offerta di benio servizi o il cui
comportamentoè controllato.
4. Ladesignazione di un rappresentante a cura del responsabile del trattamento fasalve le azioni legali che potrebbero essere promosse contro lo stessoresponsabile del trattamento.
Articolo 26
Incaricato deltrattamento
1. Qualora iltrattamento debba essere effettuato per conto del responsabile del trattamento,questi sceglie un incaricato del trattamento che presenti garanzie sufficientiper mettere in atto misure e procedure tecniche e organizzative adeguate in modotale che il trattamento sia conforme al presente regolamento e assicuri latutela dei diritti dell'interessato, con particolare riguardo alle misure disicurezza tecnica e organizzative in relazione ai trattamenti da effettuare, esi assicura del rispetto di tali misure.
2.L'esecuzione dei trattamenti su commissione è disciplinata da un contratto oaltro atto giuridico che vincoli l'incaricato del trattamento al responsabiledel trattamento e che preveda segnatamente che l'incaricato del trattamento:
a) agiscasoltanto su istruzione del responsabile del trattamento, in particolare qualorasia vietato il trasferimento dei dati personali usati;
b) impieghisoltanto personale che si sia impegnato alla riservatezza o abbia l'obbligolegale di riservatezza;
c) prendatutte le misure richieste ai sensi dell'articolo 30;
d) ricorra adun altro incaricato del trattamento solo previa autorizzazione del responsabiledel trattamento;
e) per quantopossibile tenuto conto della natura del trattamento, crei d'intesa con ilresponsabile del trattamento le condizioni tecniche e organizzative necessarie perl'adempimento dell'obbligo del responsabile del trattamento di dare seguito allerichieste per l'esercizio dei diritti dell'interessato di cui al capo III;
f) aiuti ilresponsabile del trattamento a garantire il rispetto degli obblighi di cui agliarticoli da 30 a 34;
g) ultimato iltrattamento, trasmetta tutti i risultati al responsabile del trattamento e siastenga dal trattare altrimenti i dati personali;
h) metta adisposizione del responsabile del trattamento e dell'autorità di controllo tuttele informazioni necessarie per controllare il rispetto degli obblighi di cui alpresente articolo.
3. Il responsabiledel trattamento e l'incaricato del trattamento documentano per iscritto leistruzioni del responsabile del trattamento e gli obblighi dell'incaricato del trattamentodi cui al paragrafo 2.
4.L'incaricato del trattamento che tratta i dati personali diversamente da quantoindicato nelle istruzioni del responsabile del trattamento è consideratoresponsabile del trattamento per tale trattamento ed è soggetto alle norme suicorresponsabili del trattamento di cui all'articolo 24.
5. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri e i requisiti concernenti le responsabilità, gliobblighi e i compiti dell'incaricato del trattamento conformemente al paragrafo1, e le condizioni che consentono di facilitare il trattamento dei datipersonali all'interno di un gruppo di imprese, in particolare ai fini delcontrollo e della rendicontazione.
Articolo 27
Trattamentosotto l'autorità del responsabile del trattamento e dell'incaricato del trattamento
L'incaricatodel trattamento, o chiunque agisca sotto la sua autorità o sotto quella del responsabiledel trattamento, che abbia accesso a dati personali non può trattare tali datise non è istruito in tal senso dal responsabile del trattamento, salvo che lorichieda il diritto dell'Unione o di uno Stato membro.
Articolo 28
Documentazione
1. Ogniresponsabile del trattamento, incaricato del trattamento ed eventuale rappresentantedel responsabile del trattamento conserva la documentazione di tutti i trattamentieffettuati sotto la propria responsabilità.
2. Ladocumentazione contiene almeno le seguenti informazioni:
a) nome ecoordinate di contatto del responsabile del trattamento, o di ogni corresponsabiledel trattamento o incaricato del trattamento, e dell'eventuale rappresentantedel responsabile del trattamento;
b) nome ecoordinate di contatto dell'eventuale responsabile della protezione dei dati;
c) finalitàdel trattamento, compresi i legittimi interessi perseguiti dal responsabile deltrattamento qualora il trattamento si basi sull'articolo 6, paragrafo 1,lettera f);
d) descrizionedelle categorie di interessati e delle pertinenti categorie di dati personali;
e) indicazionedei destinatari o delle categorie di destinatari dei dati personali, compresi iresponsabili del trattamento cui sono comunicati i dati personali ai fini delperseguimento dei loro legittimi interessi;
f) se delcaso, indicazione dei trasferimenti di dati verso un paese terzo o un'organizzazioneinternazionale, compresa l'identificazione del paese terzo o dell'organizzazioneinternazionale e, per i trasferimenti di cui all'articolo 44, paragrafo 1,lettera h), la documentazione delle garanzie adeguate;
g) indicazionegenerale dei termini ultimi per cancellare le diverse categorie di dati;
h) descrizionedei meccanismi di cui all'articolo 22, paragrafo 3.
3. Ilresponsabile del trattamento, l'incaricato del trattamento e l'eventuale rappresentantedel responsabile del trattamento mettono la documentazione a disposizione dell'autoritàdi controllo, su richiesta.
4. Gliobblighi di cui ai paragrafi 1 e 2 non si applicano ai seguenti responsabilidel trattamento e incaricati del trattamento:
a) personefisiche che trattano dati personali senza un interesse commerciale,
oppure
b) imprese oorganizzazioni con meno di 250 dipendenti che trattano dati personali soloaccessoriamente rispetto alle attività principali.
5. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri e i requisiti concernenti la documentazione dicui al paragrafo 1, per tener conto in particolare delle responsabilità del responsabiledel trattamento, dell'incaricato del trattamento e dell'eventuale rappresentantedel responsabile del trattamento.
5. LaCommissione può stabilire moduli standard per la documentazione di cui al paragrafo1. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo87, paragrafo 2.
Articolo 29
Cooperazionecon l'autorità di controllo
1. Ilresponsabile del trattamento, l'incaricato del trattamento e l'eventuale rappresentantedel responsabile del trattamento cooperano, su richiesta, con l'autorità dicontrollo nell'esercizio delle sue funzioni, fornendo in particolare leinformazioni di cui all'articolo 53, paragrafo 2, lettera a), e accordandol'accesso di cui all'articolo 52, paragrafo 2, lettera b).
2. Quandol'autorità di controllo esercita i poteri a norma dell'articolo 53, paragrafo2, il responsabile del trattamento e l'incaricato del trattamento rispondono auna sua richiesta entro un termine ragionevole da quella fissato. La rispostacomprende una descrizione delle misure prese a seguito delle osservazionidell'autorità di controllo e dei risultati raggiunti.
SEZIONE2
SICUREZZADEI DATI
Articolo 30
Sicurezza deltrattamento
1. Tenutoconto dell'evoluzione tecnica e dei costi di attuazione, il responsabile del trattamentoe l'incaricato del trattamento mettono in atto misure tecniche e organizzativeadeguate per garantire un livello di sicurezza appropriato, in relazione airischi che il trattamento comporta e alla natura dei dati personali daproteggere.
2. Previavalutazione dei rischi, il responsabile del trattamento e l'incaricato del trattamentoprendono le misure di cui al paragrafo 1 per proteggere i dati personali dalladistruzione accidentale o illegale o dalla perdita accidentale e per impedire qualsiasiforma illegittima di trattamento, in particolare la comunicazione, la divulgazioneo l'accesso non autorizzati o la modifica dei dati personali.
3. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri e le condizioni concernenti le misure tecnichee organizzative di cui ai paragrafi 1 e 2, compresa la determinazione di ciò checostituisce evoluzione tecnica, per settori specifici e in specifichesituazioni di trattamento dei dati, in particolare tenuto conto degli sviluppitecnologici e delle soluzioni per la protezione fin dalla progettazione e per laprotezione di default, salvo che si applichi il paragrafo 4.
4. Senecessario, la Commissione può adottare atti di esecuzione per precisare irequisiti di cui ai paragrafi 1 e 2 in varie situazioni, in particolare per:
a) impedirel'accesso non autorizzato ai dati personali;
b) impedirequalunque forma non autorizzata di divulgazione, lettura, copia, modifica,cancellazione o rimozione dei dati personali;
c) garantirela verifica della liceità del trattamento.
Tali atti diesecuzione sono adottati secondo la procedura d'esame di cui all'articolo 87,paragrafo 2.
Articolo 31
Notificazionedi una violazione dei dati personali all'autorità di controllo
1. In caso diviolazione dei dati personali, il responsabile del trattamento notifica la violazioneall'autorità di controllo senza ritardo, ove possibile entro 24 ore dal momentoin cui ne è venuto a conoscenza. Qualora non sia effettuata entro 24 ore, la notificazioneall'autorità di controllo è corredata di una giustificazione motivata.
2. Inconformità dell'articolo 26, paragrafo 2, lettera f), l'incaricato deltrattamento allerta e informa il responsabile del trattamento immediatamentedopo aver accertato la violazione.
3. Lanotificazione di cui al paragrafo 1 deve come minimo:
a) descriverela natura della violazione dei dati personali, compresi le categorie e ilnumero di interessati in questione e le categorie e il numero di registrazioni deidati in questione;
b) indicarel'identità e le coordinate di contatto del responsabile della protezione deidati o di altro punto di contatto presso cui ottenere più informazioni;
c) elencare lemisure raccomandate per attenuare i possibili effetti pregiudizievoli dellaviolazione dei dati personali;
d) descriverele conseguenze della violazione dei dati personali;
e) descriverele misure proposte o adottate dal responsabile del trattamento per porrerimedio alla violazione dei dati personali.
4. Ilresponsabile del trattamento documenta la violazione dei dati personali,incluse le circostanze in cui si è verificata, le sue conseguenze e iprovvedimenti adottati per porvi rimedio. La documentazione deve consentireall'autorità di controllo di verificare il rispetto del presente articolo. Inessa figurano unicamente le informazioni necessarie a tal fine.
5. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri e i requisiti concernenti l'accertamento dellaviolazione di dati personali di cui ai paragrafi 1 e 2 e le circostanzeparticolari in cui il responsabile del trattamento e l'incaricato deltrattamento sono tenuti a notificare la violazione.
6. LaCommissione può stabilire il formato standard di tale notificazioneall'autorità di controllo, le procedure applicabili all'obbligo dinotificazione e la forma e le modalità della documentazione di cui al paragrafo4, compresi i termini per la cancellazione delle informazioni ivi contenute.Tali atti di esecuzione sono adottati secondo la procedura d'esame di cuiall'articolo 87, paragrafo 2.
Articolo 32
Comunicazionedi una violazione dei dati personali all'interessato
1. Quando laviolazione dei dati personali rischia di pregiudicare i dati personali o di attentarealla vita privata dell'interessato, il responsabile del trattamento, dopo aver provvedutoalla notificazione di cui all'articolo 31, comunica la violazione all'interessatosenza ingiustificato ritardo.
2. Lacomunicazione all'interessato di cui al paragrafo 1 descrive la natura della violazionedei dati personali e contiene almeno le informazioni e le raccomandazioni dicui all'articolo 31, paragrafo 3, lettere b) e c).
3. Non èrichiesta la comunicazione di una violazione dei dati personali all'interessatose il responsabile del trattamento dimostra in modo convincente all'autorità dicontrollo che ha utilizzato le opportune misure tecnologiche di protezione eche tali misure erano state applicate ai dati violati. Tali misure tecnologichedi protezione devono rendere i dati incomprensibili a chiunque non siaautorizzato ad accedervi.
4. Fatto salvol'obbligo per il responsabile del trattamento di comunicare all'interessato laviolazione dei dati personali, se il responsabile del trattamento non haprovveduto a comunicare all'interessato la violazione dei dati personali,l'autorità di controllo, considerate le presumibili ripercussioni negativedella violazione, può obbligare il responsabile del trattamento a farlo.
5. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri e i requisiti concernenti le circostanze in cuiuna violazione di dati personali rischia di pregiudicare la protezione dei datipersonali di cui al paragrafo 1.
6. LaCommissione può stabilire il formato della comunicazione all'interessato di cuial paragrafo 1, e le procedure applicabili a tale comunicazione. Tali atti diesecuzione sono adottati secondo la procedura d'esame di cui all'articolo 87,paragrafo 2.
SEZIONE3
VALUTAZIONED'IMPATTO SULLA PROTEZIONE DEI DATI E
AUTORIZZAZIONEPREVENTIVA
Articolo 33
Valutazioned'impatto sulla protezione dei dati
1. Quando iltrattamento, per la sua natura, il suo oggetto o le sue finalità, presenta rischispecifici per i diritti e le libertà degli interessati, il responsabile deltrattamento o l'incaricato del trattamento che agisce per conto delresponsabile del trattamento effettua una valutazione dell'impatto deltrattamento previsto sulla protezione dei dati personali.
2. Presentanorischi specifici ai sensi del paragrafo 1 in particolare i seguenti trattamenti:
a) lavalutazione sistematica e globale di aspetti della personalità dell'interessatoo volta ad analizzarne o prevederne in particolare la situazione economica, l'ubicazione,lo stato di salute, le preferenze personali, l'affidabilità o il comportamento,basata su un trattamento automatizzato e da cui discendono misure che hannoeffetti giuridici o significativamente incidono sull'interessato;
b) iltrattamento di informazioni concernenti la vita sessuale, lo stato di salute,la razza e l'origine etnica oppure destinate alla prestazione di servizisanitari o a ricerche epidemiologiche o indagini su malattie mentali oinfettive qualora i dati siano trattati per prendere misure o decisioni sularga scala riguardanti persone specifiche;
c) lasorveglianza di zone accessibili al pubblico, in particolare se effettuata mediantedispositivi ottico-elettronici (videosorveglianza) su larga scala;
d) iltrattamento di dati personali in archivi su larga scala riguardanti minori,dati genetici o dati biometrici;
e) qualunquealtro trattamento che richiede la consultazione dell'autorità di controllo aisensi dell'articolo 34, paragrafo 2, lettera b).
3. Lavalutazione contiene almeno una descrizione generale del trattamento previsto, unavalutazione dei rischi per i diritti e le libertà degli interessati, le misurepreviste per affrontare i rischi, le garanzie, le misure di sicurezza e imeccanismi per garantire la protezione dei dati personali e dimostrare laconformità al presente regolamento, tenuto conto dei diritti e dei legittimiinteressi degli interessati e delle altre persone in questione.
4. Ilresponsabile del trattamento raccoglie le osservazioni degli interessati o deiloro rappresentanti sul trattamento previsto, fatta salva la tutela degliinteressi commerciali o pubblici o la sicurezza del trattamento.
5. Qualora ilresponsabile del trattamento sia un'autorità pubblica o un organismo pubblico eil trattamento sia effettuato in forza di un obbligo legale ai sensi dell'articolo6, paragrafo 1, lettera c), che prevede norme e procedure riguardanti il trattamentoe sia stabilito dal diritto dell'Unione, i paragrafi da 1 a 4 non si applicano salvoche gli Stati membri ritengano necessario effettuare tale valutazione prima di procederealle attività di trattamento.
7. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri e le condizioni concernenti i trattamenti chepossono presentare rischi specifici di cui ai paragrafi 1 e 2 e i requisitiriguardanti la valutazione di cui paragrafo 3, comprese le condizioni discalabilità, verifica e controllabilità. A tal fine, la Commissione contemplamisure specifiche per le micro, piccole e medie imprese.
8. LaCommissione può specificare norme e procedure per l'esecuzione, la verifica eil controllo della valutazione di cui al paragrafo 3. Tali atti di esecuzionesono adottati secondo la procedura d'esame di cui all'articolo 87, paragrafo 2.
Articolo 34
Autorizzazionepreventiva e consultazione preventiva
1. Ilresponsabile del trattamento o l'incaricato del trattamento, a seconda delcaso, che adotti le clausole contrattuali di cui all'articolo 42, paragrafo 2,lettera d), o non offra garanzie adeguate in uno strumento giuridicamentevincolante ai sensi dell'articolo 42, paragrafo 5, per il trasferimento di datipersonali verso un paese terzo o un'organizzazione internazionale, prima diprocedere al trattamento dei dati personali ottiene l'autorizzazionedell'autorità di controllo al fine di garantire la conformità del trattamentoprevisto al presente regolamento e, in particolare, attenuare i rischi per gliinteressati.
2. Ilresponsabile del trattamento, o l'incaricato del trattamento che agisce perconto del responsabile del trattamento, prima di procedere al trattamento deidati personali consulta l'autorità di controllo al fine di garantire laconformità del trattamento previsto al presente regolamento e, in particolare,attenuare i rischi per gli interessati qualora:
a) lavalutazione d'impatto sulla protezione dei dati di cui all'articolo 33 indichi cheil trattamento, per la sua natura, il suo oggetto o le sue finalità, può presentareun alto grado di rischi specifici, oppure
b) l'autoritàdi controllo ritenga necessario effettuare una consultazione preventiva suitrattamenti precisati conformemente al paragrafo 4 che, per la loro natura, illoro oggetto o le loro finalità, possono presentare rischi specifici per idiritti e le libertà degli interessati.
3. Se ritieneche il trattamento previsto non sia conforme al presente regolamento, in particolarequalora i rischi non siano sufficientemente identificati o attenuati, l'autoritàdi controllo vieta il trattamento previsto e presenta opportune proposte per ovviareal difetto di conformità.
4. L'autoritàdi controllo redige e rende pubblico un elenco dei trattamenti soggetti a consultazionepreventiva ai sensi del paragrafo 2, lettera b). L'autorità di controllo comunicatali elenchi al comitato europeo per la protezione dei dati.
5. Se l'elencodi cui al paragrafo 4 comprende attività di trattamento finalizzate all'offertadi beni o servizi a interessati in più Stati membri o al controllo del loro comportamento,o attività di trattamento che possono incidere significativamente sulla liberacircolazione dei dati personali all'interno dell'Unione, l'autorità di controllo;prima di adottare tale elenco, applica il meccanismo di coerenza di cui all'articolo57.
6. Ilresponsabile del trattamento o l'incaricato del trattamento trasmetteall'autorità di controllo la valutazione d'impatto sulla protezione dei dati dicui all'articolo 33 e, se richiesta, ogni altra informazione al fine diconsentire all'autorità di controllo di effettuare una valutazione dellaconformità del trattamento, in particolare dei rischi per la protezione deidati personali dell'interessato e delle relative garanzie.
7. Quandoelaborano un atto legislativo che deve essere adottato dai parlamenti nazionalio una misura basata su un atto di questo tipo, in cui venga definita la natura deltrattamento, gli Stati membri consultano l'autorità di controllo per garantirela conformità del trattamento previsto al presente regolamento e, inparticolare, attenuare i rischi per gli interessati.
8. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri e i requisiti per determinare l'alto grado dirischi specifici di cui al paragrafo 2, lettera a).
9. LaCommissione può stabilire moduli standard e procedure per l'autorizzazione preventivae la consultazione preventiva di cui ai paragrafi 1 e 2, e per l'informativa all'autoritàdi controllo ai sensi del paragrafo 6. Tali atti di esecuzione sono adottati secondola procedura d'esame di cui all'articolo 87, paragrafo 2.
SEZIONE4
RESPONSABILEDELLA PROTEZIONE DEI DATI
Articolo 35
Designazionedel responsabile della protezione dei dati
1. Ilresponsabile del trattamento e l'incaricato del trattamento designano sistematicamenteun responsabile della protezione dei dati quando:
a) iltrattamento è effettuato da un'autorità pubblica o da un organismo pubblico,
oppure
b) iltrattamento è effettuato da un'impresa con 250 o più dipendenti, oppure
c) le attivitàprincipali del responsabile del trattamento o dell'incaricato del trattamentoconsistono in trattamenti che, per la loro natura, il loro oggetto o le lorofinalità, richiedono il controllo regolare e sistematico degli interessati.
2. Nei casi dicui al paragrafo 1, lettera b), un gruppo di imprese può nominare un unico responsabiledella protezione dei dati.
3. Qualora ilresponsabile del trattamento o l'incaricato del trattamento sia un'autorità pubblicao un organismo pubblico, il responsabile della protezione dei dati può esseredesignato per più enti, tenuto conto della struttura organizzativadell'autorità pubblica o dell'organismo pubblico.
4. Nei casidiversi da quelli di cui al paragrafo 1, il responsabile del trattamento, l'incaricatodel trattamento o le associazioni e gli altri organismi rappresentanti le categoriedi responsabili del trattamento o di incaricati del trattamento possono designareun responsabile della protezione dei dati.
5. Ilresponsabile del trattamento o l'incaricato del trattamento designa ilresponsabile della protezione dei dati in funzione delle qualità professionali,in particolare della conoscenza specialistica della normativa e delle pratichein materia di protezione dei dati, e della capacità di adempiere ai compiti dicui all'articolo 37. Il livello necessario di conoscenza specialistica èdeterminato in particolare in base al trattamento di dati effettuato e allaprotezione richiesta per i dati personali trattati dal responsabile deltrattamento o dall'incaricato del trattamento.
6. Ilresponsabile del trattamento o l'incaricato del trattamento si assicura che ognialtra funzione professionale del responsabile della protezione dei dati siacompatibile con i compiti e le funzioni dello stesso in qualità di responsabiledella protezione dei dati e non dia adito a conflitto di interessi.
7. Ilresponsabile del trattamento o l'incaricato del trattamento designa unresponsabile della protezione dei dati per un periodo di almeno due anni. Ilmandato del responsabile della protezione dei dati è rinnovabile. Durante ilmandato può essere destituito solo se non soddisfa più le condizioni richiesteper l'esercizio delle sue funzioni.
8. Ilresponsabile della protezione dei dati può essere assunto dal responsabile del trattamentoo dall'incaricato del trattamento oppure adempiere ai suoi compiti in base a uncontratto di servizi.
9. Ilresponsabile del trattamento o l'incaricato del trattamento comunica il nome ele coordinate di contatto del responsabile della protezione dei datiall'autorità di controllo e al pubblico.
10. Gliinteressati hanno il diritto di contattare il responsabile della protezione deidati per tutte le questioni relative al trattamento dei loro dati personali epresentare richieste per esercitare i diritti riconosciuti dal presenteregolamento.
11. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri e i requisiti concernenti le attivitàprincipali del responsabile del trattamento o dell'incaricato del trattamentodi cui al paragrafo 1, lettera c), e i criteri relativi alle qualità professionalidel responsabile della protezione dei dati di cui al paragrafo 5.
Articolo 36
Posizione delresponsabile della protezione dei dati
1. Ilresponsabile del trattamento o l'incaricato del trattamento si assicura che il responsabiledella protezione dei dati sia prontamente e adeguatamente coinvolto in tutte lequestioni riguardanti la protezione dei dati personali.
2. Ilresponsabile del trattamento o l'incaricato del trattamento si assicura che il responsabiledella protezione dei dati adempia alle funzioni e ai compiti in piena indipendenzae non riceva alcuna istruzione per quanto riguarda il loro esercizio. Il responsabiledella protezione dei dati riferisce direttamente ai superiori gerarchici del responsabiledel trattamento o dell'incaricato del trattamento.
3. Ilresponsabile del trattamento o l'incaricato del trattamento sostiene ilresponsabile della protezione dei dati nell'esecuzione dei suoi compiti e glifornisce personale, locali, attrezzature e ogni altra risorsa necessaria peradempiere alle funzioni e ai compiti di cui all'articolo 37.
Articolo 37
Compiti delresponsabile della protezione dei dati
1. Ilresponsabile del trattamento o l'incaricato del trattamento conferisce al responsabiledella protezione dei dati almeno i seguenti compiti:
a) informare econsigliare il responsabile del trattamento o l'incaricato del trattamento inmerito agli obblighi derivanti dal presente regolamento e conservare ladocumentazione relativa a tale attività e alle risposte ricevute;
b) sorvegliarel'attuazione e l'applicazione delle politiche del responsabile del trattamentoo dell'incaricato del trattamento in materia di protezione dei dati personali,compresi l'attribuzione delle responsabilità, la formazione del personale chepartecipa ai trattamenti e gli audit connessi;
c) sorvegliarel'attuazione e l'applicazione del presente regolamento, con particolareriguardo ai requisiti concernenti la protezione fin dalla progettazione, laprotezione di default, la sicurezza dei dati, l'informazione dell'interessato ele richieste degli interessati di esercitare i diritti riconosciuti dalpresente regolamento;
d) garantirela conservazione della documentazione di cui all'articolo 28;
e) controllareche le violazioni dei dati personali siano documentate, notificate e comunicateai sensi degli articoli 31 e 32;
f) controllareche il responsabile del trattamento o l'incaricato del trattamento effettui lavalutazione d'impatto sulla protezione dei dati e richieda l'autorizzazionepreventiva o la consultazione preventiva nei casi previsti dagli articoli 33 e34;
g) controllareche sia dato seguito alle richieste dell'autorità di controllo e, nell'ambitodelle sue competenze, cooperare con l'autorità di controllo di propriainiziativa o su sua richiesta;
h) fungere dapunto di contatto per l'autorità di controllo per questioni connesse al trattamentoe, se del caso, consultare l'autorità di controllo di propria iniziativa.
2. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri e i requisiti concernenti i compiti, la certificazione,lo status, i poteri e le risorse del responsabile della protezione dei dati dicui al paragrafo 1.
SEZIONE5
CODICIDI CONDOTTA E CERTIFICAZIONE
Articolo 38
Codici dicondotta
1. Gli Statimembri, le autorità di controllo e la Commissione incoraggiano l'elaborazionedi codici di condotta destinati a contribuire alla corretta applicazione delpresente regolamento, in funzione delle specificità settoriali, in particolareper quanto riguarda:
a) iltrattamento equo e trasparente dei dai;
b) la raccoltadei dati;
c)l'informazione del pubblico e dell'interessato;
d) lerichieste dell'interessato per l'esercizio dei suoi diritti;
e)l'informazione e la protezione del minore;
f) iltrasferimento di dati verso paesi terzi o organizzazioni internazionali;
g) imeccanismi per monitorare e garantire il rispetto del codice da parte dei responsabilidel trattamento che vi aderiscono;
h) leprocedure stragiudiziali e di altro tipo per comporre le controversie tra responsabilidel trattamento e interessati in materia di trattamento dei dati personali,fatti salvi i diritti dell'interessato ai sensi degli articoli 73 e 75.
2. Leassociazioni e gli altri organismi rappresentanti le categorie di responsabilidel trattamento o incaricati del trattamento in uno Stato membro, che intendonoelaborare i progetti di codice di condotta o modificare o prorogare i codici dicondotta esistenti, possono sottoporli all'esame dell'autorità di controllodello Stato membro interessato. L'autorità di controllo può esprimere un pareresulla conformità al presente regolamento del progetto di codice di condotta odella modifica proposta.
L'autorità dicontrollo raccoglie le osservazioni degli interessati o dei loro rappresentantisu tali progetti.
3. Leassociazioni e gli altri organismi che rappresentano le categorie diresponsabili del trattamento in più Stati membri possono sottoporre allaCommissione i progetti di codice di condotta e le modifiche o proroghe deicodici di condotta esistenti.
4. LaCommissione può decidere con atto di esecuzione che i codici di condotta e le modificheo proroghe dei codici di condotta esistenti che le sono stati sottoposti ai sensidel paragrafo 3 hanno validità generale all'interno dell'Unione. Tali atti di esecuzionesono adottati secondo la procedura d'esame di cui all'articolo 87, paragrafo 2.
5. LaCommissione provvede ad un'appropriata divulgazione dei codici per i quali è statadecisa la validità generale ai sensi del paragrafo 4.
Articolo 39
Certificazione
1. Gli Statimembri e la Commissione incoraggiano, in particolare a livello europeo, l'istituzionedi meccanismi di certificazione della protezione dei dati nonché di sigilli emarchi di protezione dei dati che consentano agli interessati di valutare rapidamenteil livello di protezione dei dati garantito dai responsabili del trattamento edagli incaricati del trattamento. I meccanismi di certificazione dellaprotezione dei dati contribuiscono alla corretta applicazione del presenteregolamento, in funzione delle specificità settoriali e dei diversitrattamenti.
2. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i criteri e i requisiti concernenti i meccanismi di certificazionedella protezione dei dati di cui al paragrafo 1, comprese le condizioni dirilascio e ritiro e i requisiti per il riconoscimento nell'Unione e in paesiterzi.
3. LaCommissione può stabilire norme tecniche riguardanti i meccanismi di certificazionee i sigilli e marchi di protezione dei dati e le modalità per promuovere ericonoscere i meccanismi di certificazione e i sigilli e marchi di protezionedei dati.
Tali atti diesecuzione sono adottati secondo la procedura d'esame di cui all'articolo 87,paragrafo 2.
CAPOV
TRASFERIMENTODI DATI PERSONALI VERSO PAESI
TERZIO ORGANIZZAZIONI INTERNAZIONALI
Articolo 40
Principiogenerale per il trasferimento
Iltrasferimento di dati personali oggetto di un trattamento o destinati a essereoggetto di un trattamento dopo il trasferimento verso un paese terzo oun'organizzazione internazionale, compreso il trasferimento successivo di datipersonali da un paese terzo o un'organizzazione internazionale verso un altropaese terzo o un'altra organizzazione internazionale, è ammesso soltanto se ilresponsabile del trattamento e l'incaricato del trattamento rispettano le condizioniindicate nel presente capo, fatte salve le altre disposizioni del presente regolamento.
Articolo 41
Trasferimentoprevia decisione di adeguatezza
1. Iltrasferimento è ammesso se la Commissione ha deciso che il paese terzo, o un territorioo settore di trattamento all'interno del paese terzo, o l'organizzazione internazionalein questione garantisce un livello di protezione adeguato. In tal caso il trasferimentonon necessita di ulteriori autorizzazioni.
2. Nelvalutare l'adeguatezza del livello di protezione la Commissione prende in considerazionei seguenti elementi:
a) lo stato didiritto, la pertinente legislazione generale e settoriale vigente, anche inmateria penale, di pubblica sicurezza, difesa e sicurezza nazionale, le regole professionalie le misure di sicurezza osservate nel paese terzo o dall'organizzazioneinternazionale in questione, nonché i diritti effettivi e azionabili, compresoil diritto degli interessati a un ricorso effettivo in sede amministrativa egiudiziaria, in particolare quelli che risiedono nell'Unione e i cui datipersonali sono oggetto di trasferimento;
b) l'esistenzae l'effettivo funzionamento di una o più autorità di controllo indipendenti nelpaese terzo o nell'organizzazione internazionale in questione, incaricate digarantire il rispetto delle norme di protezione dei dati, assistere e consigliaregli interessati in merito all'esercizio dei loro diritti e cooperare con leautorità di controllo dell'Unione e degli Stati membri, e
c) gli impegniinternazionali assunti dal paese terzo o dall'organizzazione internazionale inquestione.
3. LaCommissione può decidere che un paese terzo, o un territorio o settore di trattamentoall'interno del paese terzo, o un'organizzazione internazionale garantisce unlivello di protezione adeguato ai sensi del paragrafo 2. Tali atti diesecuzione sono adottati secondo la procedura d'esame di cui all'articolo 87,paragrafo 2.
4. L'atto diesecuzione specifica il proprio campo di applicazione geografico e settorialee, se del caso, identifica l'autorità di controllo di cui al paragrafo 2, letterab).
5. LaCommissione può decidere che un paese terzo, o un territorio o settore di trattamentoall'interno del paese terzo, o un'organizzazione internazionale non garantisceun livello di protezione adeguato ai sensi del paragrafo 2, in particolare neicasi in cui la pertinente legislazione generale e settoriale vigente nel paeseterzo o per l'organizzazione internazionale in questione non garantisce dirittieffettivi e azionabili, compreso il diritto degli interessati a un ricorsoeffettivo in sede amministrativa e giudiziaria, in particolare quelli residentinell'Unione i cui dati personali sono oggetto di trasferimento.
Tali atti diesecuzione sono adottati secondo la procedura d'esame di cui all'articolo 87,paragrafo 2, o, in casi di estrema urgenza per gli interessati relativamente alloro diritto alla protezione dei dati, secondo la procedura cui all'articolo87, paragrafo 3.
6. Quando laCommissione decide ai sensi del paragrafo 5, è vietato il trasferimento di datipersonali verso il paese terzo, o un territorio o settore di trattamentoall'interno del paese terzo, o verso l'organizzazione internazionale inquestione, fatti salvi gli articoli da 42 a 44. La Commissione avvia, almomento opportuno, consultazioni con il paese terzo o l'organizzazioneinternazionale per porre rimedio alla situazione risultante dalla decisione dicui al paragrafo 5.
7. LaCommissione pubblica nella Gazzetta ufficiale dell'Unione europea l'elenco dei paesiterzi, dei territori e settori di trattamento all'interno di un paese terzo, edelle organizzazioni internazionali per i quali ha deciso che è o non ègarantito un livello di protezione adeguato.
8. Ledecisioni adottate dalla Commissione in base all'articolo 25, paragrafo 6, o all'articolo26, paragrafo 4, della direttiva 95/46/CE restano in vigore fino a quando nonvengono modificate, sostituite o abrogate dalla Commissione.
Articolo 42
Trasferimentoin presenza di garanzie adeguate
1. Se laCommissione non ha preso alcuna decisione ai sensi dell'articolo 41, il responsabiledel trattamento o l'incaricato del trattamento può trasferire dati personaliverso un paese terzo o un'organizzazione internazionale solo se ha offerto garanzieadeguate per la protezione dei dati personali in uno strumento giuridicamentevincolante.
2.Costituiscono in particolare garanzie adeguate di cui al paragrafo 1:
a) le normevincolanti d'impresa conformi all'articolo 43,
oppure
b) le clausoletipo di protezione dei dati adottate dalla Commissione. Tali atti di esecuzionesono adottati secondo la procedura d'esame di cui all'articolo 87, paragrafo 2,
oppure
c) le clausoletipo di protezione dei dati adottate da un'autorità di controllo in conformitàdel meccanismo di coerenza di cui all'articolo 57, qualora siano dichiarategeneralmente valide dalla Commissione ai sensi dell'articolo 62, paragrafo 1,lettera b),
oppure
d) le clausolecontrattuali tra il responsabile del trattamento o l'incaricato del trattamentoe il destinatario dei dati autorizzate da un'autorità di controllo in conformitàdel paragrafo 4.
3. Iltrasferimento basato sulle clausole tipo di protezione dei dati o sulle norme vincolantid'impresa di cui al paragrafo 2, lettere a), b) o c) non necessita di ulterioriautorizzazioni.
4. Se iltrasferimento si basa sulle clausole contrattuali di cui paragrafo 2, letterad), il responsabile del trattamento o l'incaricato del trattamento deveottenere l'autorizzazione preventiva dell'autorità di controllo in relazionealle clausole contrattuali in conformità dell'articolo 34, paragrafo 1, letteraa). Se il trasferimento è connesso ad attività di trattamento riguardantiinteressati in un altro Stato membro o in altri Stati membri, o che incidonosignificativamente sulla libera circolazione dei dati personali all'internodell'Unione, l'autorità di controllo applica il meccanismo di coerenza di cuiall'articolo 57.
5. Se non sonoofferte garanzie adeguate per la protezione dei dati personali in uno strumentogiuridicamente vincolante, il responsabile del trattamento o l'incaricato deltrattamento deve ottenere l'autorizzazione preventiva al trasferimento o a un complessodi trasferimenti, o all'inserimento di disposizioni in accordi amministrativicostituenti la base del trasferimento. Tale autorizzazione dell'autorità dicontrollo è conforme all'articolo 34, paragrafo 1, lettera a). Se iltrasferimento è connesso ad attività di trattamento riguardanti interessati inun altro Stato membro o in altri Stati membri, o che incidonosignificativamente sulla libera circolazione dei dati personali all'internodell'Unione, l'autorità di controllo applica il meccanismo di coerenza di cuiall'articolo 57. Le autorizzazioni emesse dall'autorità di controllo sulla basedell'articolo 26, paragrafo 2, della direttiva 95/46/CE restano valide fino a quandonon vengono modificate, sostituite o abrogate dalla medesima autorità di controllo.
Articolo 43
Trasferimentoin presenza di norme vincolanti d'impresa
1. L'autoritàdi controllo approva, in conformità del meccanismo di coerenza di cui all'articolo58, le norme vincolanti d'impresa, a condizione che queste:
a) sianogiuridicamente vincolanti e si applichino a tutti i membri del gruppo d'impresedel responsabile del trattamento o dell'incaricato del trattamento, compresi iloro dipendenti, e siano da questi rispettate;
b)conferiscano espressamente agli interessati diritti opponibili;
c) soddisfinoi requisiti di cui al paragrafo 2.
2. Le normevincolanti d'impresa specificano almeno:
a) lastruttura e le coordinate di contatto del gruppo d'imprese e dei suoi membri;
b) itrasferimenti o l'insieme di trasferimenti di dati, in particolare le categoriedi dati personali, il tipo di trattamento e relative finalità, il tipo diinteressati cui si riferiscono i dati e l'identificazione del paese terzo o deipaesi terzi in questione;
c) la loronatura giuridicamente vincolante, a livello sia interno che esterno;
d) i principigenerali di protezione dei dati, in particolare in relazione alla finalità, allaqualità dei dati, alla base giuridica del trattamento e al trattamento di dati personalisensibili, le misure a garanzia della sicurezza dei dati e i requisiti per itrasferimenti successivi ad organizzazioni che non sono vincolate dalle politiche;
e) i dirittidell'interessato e i mezzi per esercitarli, compresi il diritto di non essere sottopostoa misure basate sulla profilazione ai sensi dell'articolo 20, il diritto diproporre reclamo all'autorità di controllo competente e di ricorrere alle autoritàgiurisdizionali competenti degli Stati membri conformemente all'articolo 75, eil diritto di ottenere riparazione e, se del caso, il risarcimento perviolazione delle norme vincolanti d'impresa;
f) il fattoche il responsabile del trattamento o l'incaricato del trattamento stabilitonel territorio di uno Stato membro si assume la responsabilità per qualunqueviolazione delle norme vincolanti d'impresa commesse da un membro del gruppo diimprese non stabilito nell'Unione; il responsabile del trattamento ol'incaricato del trattamento può essere esonerato in tutto o in parte da taleresponsabilità solo se prova che l'evento dannoso non è imputabile al membro inquestione;
g) le modalitàin base alle quali sono fornite all'interessato, in conformità dell'articolo11, le informazioni sulle norme vincolanti d'impresa, in particolare sulledisposizioni di cui alle lettere d), e) e f);
h) i compitidel responsabile della protezione dei dati designato ai sensi dell'articolo 35,compreso il controllo del rispetto delle norme vincolanti d'impresa all'internodel gruppo di imprese e il controllo della formazione e della gestione deireclami;
i) i meccanismiall'interno del gruppo di imprese diretti a garantire la verifica dellaconformità alle norme vincolanti d'impresa;
j) imeccanismi per riferire e registrare le modifiche delle politiche e comunicarleall'autorità di controllo;
k) ilmeccanismo di cooperazione con l'autorità di controllo per garantire la conformitàda parte di ogni membro del gruppo di imprese, in particolare la messa adisposizione dell'autorità di controllo dei risultati delle verifiche delle misuredi cui alla lettera i).
3. Alla Commissioneè conferito il potere di adottare atti delegati conformemente all'articolo 86al fine di precisare i criteri e i requisiti concernenti le norme vincolanti d'impresaai sensi del presente articolo, in particolare i criteri per la loro approvazione,l'applicazione del paragrafo 2, lettere b), d), e) e f) alle norme vincolantid'impresa cui gli incaricati del trattamento aderiscono e gli ulteriori requisitiper garantire la protezione dei dati personali degli interessati in questione.
4. LaCommissione può specificare il formato e le procedure per lo scambio di informazionicon mezzi elettronici tra responsabili del trattamento, incaricati del trattamentoe autorità di controllo in merito alle norme vincolanti d'impresa ai sensi delpresente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esamedi cui all'articolo 87, paragrafo 2.
Articolo 44
Deroghe
1. In mancanzadi una decisione di adeguatezza ai sensi dell'articolo 41 o di garanzie adeguateai sensi dell'articolo 42, è ammesso il trasferimento o un complesso di trasferimentidi dati personali verso un paese terzo o un'organizzazione internazionalesoltanto a condizione che:
a)l'interessato abbia acconsentito al trasferimento proposto, dopo essere stato informatodei rischi connessi a siffatti trasferimenti dovuti alla mancanza di unadecisione di adeguatezza e di garanzie adeguate,
oppure
b) iltrasferimento sia necessario all'esecuzione di un contratto concluso tra l'interessatoe il responsabile del trattamento ovvero all'esecuzione di misure precontrattualiprese su istanza dell'interessato,
oppure
c) iltrasferimento sia necessario per la conclusione o l'esecuzione di un contrattostipulato tra il responsabile del trattamento e un terzo a favoredell'interessato,
oppure
d) iltrasferimento sia necessario per motivi di interesse pubblico rilevante,
oppure
e) iltrasferimento sia necessario per accertare, esercitare o difendere un dirittoin sede giudiziaria,
oppure
f) iltrasferimento sia necessario per salvaguardare un interesse vitale dell'interessatoo di un terzo, qualora l'interessato si trovi nell'incapacità fisica o giuridicadi dare il proprio consenso,
oppure
g) iltrasferimento sia effettuato a partire da un registro che, a norma del diritto dell'Unioneo di uno Stato membro, mira a fornire informazioni al pubblico e può esserconsultato tanto dal pubblico in generale quanto da chiunque sia in grado didimostrare un legittimo interesse, purché sussistano i requisiti per la consultazioneprevisti dal diritto dell'Unione o dello Stato membro,
oppure
h) iltrasferimento sia necessario per il perseguimento dei legittimi interessi del responsabiledel trattamento o dell'incaricato del trattamento, che non possano definirsifrequenti o ingenti, e qualora il responsabile del trattamento o l'incaricatodel trattamento abbia valutato tutte le circostanze relative ad un trasferimentoo ad un complesso di trasferimenti e sulla base di tale valutazione abbiaofferto garanzie adeguate per la protezione dei dati personali, ove necessario.
2. Iltrasferimento di cui al paragrafo 1, lettera g), non può riguardare la totalitàdei dati personali o intere categorie di dati personali contenute nel registro.Se il registro è destinato ad essere consultato da persone aventi un legittimointeresse, il trasferimento è ammesso soltanto su richiesta di tali persone oqualora ne siano i destinatari.
3. Qualora iltrasferimento si basi sul paragrafo 1, lettera h), il responsabile del trattamentoo l'incaricato del trattamento prende in considerazione la natura dei dati, lafinalità e la durata del trattamento previsto, nonché la situazione nel paese d'origine,nel paese terzo e nel paese di destinazione finale, e offre garanzie adeguate perla protezione dei dati personali, ove necessario.
4. Il paragrafo1, lettere b), c) e h), non si applicano alle attività svolte dalle autorità pubblichenell'esercizio dei pubblici poteri.
5. L'interessepubblico di cui al paragrafo 1, lettera d), deve essere riconosciuto dal dirittodell'Unione o dello Stato membro cui è soggetto il responsabile del trattamento.
6. Ilresponsabile del trattamento o l'incaricato del trattamento attesta nella documentazionedi cui all'articolo 28 la valutazione e le garanzie adeguate offerte di cui alparagrafo 1, lettera d), e informa l'autorità di controllo del trasferimento.
7. AllaCommissione è conferito il potere di adottare atti delegati conformemente all'articolo86 al fine di precisare i "motivi di interesse pubblico rilevante" ai sensi delparagrafo 1, lettera d), e i criteri e i requisiti concernenti le garanzieadeguate di cui al paragrafo 1, lettera h).
Articolo 45
Cooperazioneinternazionale per la protezione dei dati personali
1. Inrelazione ai paesi terzi e alle organizzazioni internazionali, la Commissione ele autorità di controllo adottano misure appropriate per:
a) sviluppareefficaci meccanismi di cooperazione internazionale per facilitare l'applicazionedella legislazione sulla protezione dei dati personali;
b) prestareassistenza reciproca a livello internazionale nell'applicazione della legislazionesulla protezione dei dati personali, in particolare mediante notificazione,deferimento dei reclami, assistenza alle indagini e scambio di informazioni,fatte salve garanzie adeguate per la protezione dei dati personali e gli altridiritti e libertà fondamentali;
c) coinvolgerele parti interessate pertinenti in discussioni e attività dirette a promuoverela cooperazione internazionale nell'applicazione della legislazione sullaprotezione dei dati personali;
d) promuoverelo scambio e la documentazione delle legislazioni e pratiche in materia diprotezione dei dati personali.
2. Ai fini delparagrafo 1, la Commissione adotta le misure appropriate per intensificare irapporti con quei paesi terzi e quelle organizzazioni internazionali, inparticolare le loro autorità di controllo, per cui abbia deciso chegarantiscono un livello adeguato di protezione ai sensi dell'articolo 41,paragrafo 3.
CAPOVI
AUTORITA'DI CONTROLLO INDIPENDENTI
SEZIONE 1
INDIPENDENZA
Articolo 46
Autoritˆ dicontrollo
1. Ogni Statomembro dispone che una o pi autoritˆ pubbliche siano incaricate di sorvegliarelÕapplicazione del presente regolamento e di contribuire alla sua coerente applicazionein tutta lÕUnione, al fine di tutelare i diritti e le libertˆ fondamentali dellepersone fisiche con riguardo al trattamento dei dati personali e di agevolarela libera circolazione dei dati personali allÕinterno dellÕUnione. A tale scopole autoritˆ di controllo cooperano tra loro e con la Commissione.
2. Qualora inuno Stato membro siano istituite pi autoritˆ di controllo, detto Stato membrodesigna lÕautoritˆ di controllo che funge da punto di contatto unico per lÕeffettivapartecipazione di tali autoritˆ al comitato europeo per la protezione dei dati estabilisce il meccanismo in base al quale le altre autoritˆ si conformano allenorme relative al meccanismo di coerenza di cui allÕarticolo 57.
3. Ogni Stato membronotifica alla Commissione le disposizioni di legge adottate ai sensi delpresente capo entro la data di cui allÕarticolo 91, paragrafo 2, e comunica senzaritardo ogni successiva modifica.
Articolo 47
Indipendenza
1. LÕautoritˆdi controllo esercita le sue funzioni e i suoi poteri in piena indipendenza.
2.NellÕadempimento delle loro funzioni i membri dellÕautoritˆ di controllo non sollecitanonŽ accettano istruzioni da alcuno.
3. Per tuttala durata del mandato, i membri dellÕautoritˆ di controllo si astengono da qualunqueazione incompatibile con le loro funzioni e non possono esercitare alcuna altraattivitˆ professionale incompatibile, remunerata o meno.
4. Al terminedel mandato i membri dellÕautoritˆ di controllo agiscono con integritˆ e discrezionenellÕaccettazione di nomine e altri benefici.
5. Ogni Statomembro provvede affinchŽ lÕautoritˆ di controllo sia dotata di risorse umane,tecniche e finanziarie adeguate, dei locali e delle infrastrutture necessarieper lÕeffettivo esercizio delle sue funzioni e dei suoi poteri, compresi quellinellÕambito dellÕassistenza reciproca, della cooperazione e dellapartecipazione al comitato europeo per la protezione dei dati.
6. Ogni Statomembro provvede affinchŽ lÕautoritˆ di controllo abbia il proprio personale,nominato dal responsabile dellÕautoritˆ di controllo e soggetto alla direzionedi questÕultimo.
7. Gli Statimembri garantiscono che lÕautoritˆ di controllo sia soggetta a un controllo finanziarioche non ne pregiudichi lÕindipendenza. Gli Stati membri garantiscono che lÕautoritˆdi controllo disponga di bilanci annuali separati. I bilanci sono pubblicati.
Articolo 48
Condizionigenerali per i membri dellÕautoritˆ di controllo
1. Ogni Statomembro dispone che a nominare i membri dellÕautoritˆ di controllo debba essereil proprio parlamento o governo.
2. I membrisono scelti tra personalitˆ che offrono ogni garanzia di indipendenza e che possiedonounÕesperienza e competenze notorie per lÕesercizio delle loro funzioni, in particolarenel settore della protezione dei dati personali.
3. Il mandatodei membri cessa alla scadenza del termine o in caso di dimissioni o di provvedimentodÕufficio, a norma del paragrafo 5.
4. I membripossono essere rimossi o privati del diritto a pensione o di altri vantaggi sostitutividallÕautoritˆ giurisdizionale nazionale competente qualora non siano pi in possessodei requisiti necessari per lÕesercizio delle loro funzioni o abbiano commessouna colpa grave.
5. Alloscadere del mandato o qualora rassegni le sue dimissioni, il membro continua a
esercitare lesue funzioni fino alla nomina di un nuovo membro.
Articolo 49
NormesullÕistituzione dellÕautoritˆ di controllo
Ogni Statomembro prevede con legge, nei limiti del presente regolamento:
a)lÕistituzione e lo status dellÕautoritˆ di controllo;
b) lequalifiche, lÕesperienza e le competenze richieste per lÕesercizio delle funzionidi membro dellÕautoritˆ di controllo;
c) le norme ele procedure per la nomina dei membri dellÕautoritˆ di controllo, e le normesulle attivitˆ o professioni incompatibili con le loro funzioni;
d) la duratadel mandato dei membri dellÕautoritˆ di controllo, che non pu˜ essere inferiorea quattro anni, salvo per le prime nomine dopo lÕentrata in vigore del presenteregolamento, alcune delle quali possono avere una durata inferiore qualora ci˜sia necessario per tutelare lÕindipendenza dellÕautoritˆ di controllo medianteuna procedura di nomina scaglionata;
e) lÕeventualerinnovabilitˆ del mandato dei membri dellÕautoritˆ di controllo;
f) le regole ele condizioni comuni che disciplinano le funzioni dei membri e del personaledellÕautoritˆ di controllo;
g) le norme ele procedure relative alla cessazione delle funzioni dei membri dellÕautoritˆdi controllo, anche per il caso in cui non siano pi in possesso dei requisitinecessari per lÕesercizio delle loro funzioni o abbiano commesso una colpagrave.
Articolo 50
Segretoprofessionale
Durante e dopoil mandato i membri e il personale dellÕautoritˆ di controllo sono tenuti al segretoprofessionale in merito alle informazioni riservate cui hanno avuto accesso nellÕeserciziodelle loro funzioni.
SEZIONE2
FUNZIONIE POTERI
Articolo 51
Competenza
1. Ogniautoritˆ di controllo esercita, nel territorio del suo Stato membro, i poteridi cui gode a norma del presente regolamento.
2. Qualora iltrattamento dei dati personali abbia luogo nellÕambito delle attivitˆ di uno stabilimentodi un responsabile del trattamento o incaricato del trattamento nellÕUnione, eil responsabile del trattamento o lÕincaricato del trattamento sia stabilito inpi Stati membri, lÕautoritˆ competente dello stabilimento principale del responsabiledel trattamento o dellÕincaricato del trattamento competente per il controllodelle attivitˆ di trattamento del responsabile del trattamento o dellÕincaricatodel trattamento in tutti gli Stati membri, fatte salve le disposizioni di cuial capo VII del presente regolamento.
3. LÕautoritˆdi controllo non competente per il controllo dei trattamenti effettuati dalleautoritˆ giurisdizionali nellÕesercizio delle loro funzioni giurisdizionali.
Articolo 52
Funzioni
1. LÕautoritˆdi controllo:
a) sorveglia egarantisce lÕapplicazione del presente regolamento;
b) tratta ireclami proposti dagli interessati o da associazioni che li rappresentano aisensi dellÕarticolo 73, svolge le indagini opportune e informa lÕinteressato o lÕassociazionedello stato e dellÕesito del reclamo entro un termine ragionevole, inparticolare ove siano necessarie ulteriori indagini o un coordinamento con unÕaltraautoritˆ di controllo;
c) scambia leinformazioni con le altre autoritˆ di controllo, presta assistenza
reciproca egarantisce lÕapplicazione e lÕattuazione coerente del presente
regolamento;
d) svolgeindagini di propria iniziativa oppure a seguito di un reclamo o su richiesta diunÕaltra autoritˆ di controllo, ed entro un termine ragionevole ne comunicalÕesito allÕinteressato che abbia proposto reclamo alla sua autoritˆ di controllo;
e) sorvegliagli sviluppi che presentano un interesse, se ed in quanto incidenti sullaprotezione dei dati personali, in particolare lÕevoluzione delle tecnologie dellÕinformazionee della comunicazione e le pratiche commerciali;
f) consultata dalle istituzioni e dagli organismi degli Stati membri in meritoalle misure legislative e amministrative relative alla tutela dei diritti edelle libertˆ delle persone fisiche con riguardo al trattamento dei datipersonali;
g) autorizza itrattamenti di cui allÕarticolo 34 ed consultata al riguardo;
h) esprime unparere sui progetti di codici di condotta ai sensi dellÕarticolo 38, paragrafo2;
i) approva lenorme vincolanti dÕimpresa ai sensi dellÕarticolo 43;
j) partecipaalle attivitˆ del comitato europeo per la protezione dei dati.
2. Ogniautoritˆ di controllo promuove la sensibilizzazione del pubblico ai rischi,alle norme, alle garanzie e ai diritti relativi al trattamento dei datipersonali. Sono oggetto di particolare attenzione le attivitˆ destinatespecificamente ai minori.
3. LÕautoritˆdi controllo, su richiesta, consiglia lÕinteressato in merito allÕesercizio deidiritti derivanti dal presente regolamento e, se del caso, coopera a tal finecon le autoritˆ di controllo di altri Stati membri.
4. LÕautoritˆdi controllo fornisce un modulo compilabile elettronicamente per la proposizionedei reclami di cui al paragrafo 1, lettera b), senza escludere altri mezzi dicomunicazione.
5. LÕautoritˆdi controllo svolge le proprie funzioni senza spese per lÕinteressato.
6. Qualora lerichieste siano manifestamente eccessive, in particolare per il carattere ripetitivo,lÕautoritˆ di controllo pu˜ esigere un contributo spese o non effettuare quantorichiesto dallÕinteressato. Incombe allÕautoritˆ di controllo dimostrare il caratteremanifestamente eccessivo della richiesta.
Articolo 53
Poteri
1. Ogniautoritˆ di controllo ha il potere di:
a) notificareal responsabile del trattamento o allÕincaricato del trattamento le asseriteviolazioni delle disposizioni sul trattamento dei dati personali e, allÕoccorrenza,ingiungere al responsabile del trattamento o allÕincaricato del trattamento diporre rimedio alle violazioni con misure specifiche, al fine di migliorare laprotezione degli interessati;
b) ingiungereal responsabile del trattamento o allÕincaricato del trattamento di soddisfarele richieste dellÕinteressato di esercitare i diritti derivanti dal presenteregolamento;
c) ingiungereal responsabile del trattamento e allÕincaricato del trattamento e, se delcaso, al rappresentante di fornirgli ogni informazione utile per lÕesercizio dellesue funzioni;
d) assicurareil rispetto dellÕobbligo di autorizzazione preventiva e di consultazionepreventiva di cui allÕarticolo 34;
e) rivolgereavvertimenti o moniti al responsabile del trattamento o allÕincaricato deltrattamento;
f) ordinare larettifica, la cancellazione o la distruzione di tutti i dati trattati in violazionedelle disposizioni del presente regolamento e la notificazione di tali misureai terzi cui sono stati trasmessi i dati;
g) vietaretrattamenti, a titolo provvisorio o definitivo;
h) sospenderela circolazione dei dati verso un destinatario in un paese terzo o unÕorganizzazioneinternazionale;
i) esprimerepareri su questioni riguardanti la protezione dei dati personali;
j) informare iparlamenti nazionali, i governi o altre istituzioni politiche, nonchŽ ilpubblico, di qualunque questione riguardante la protezione dei dati personali.
2. Ogniautoritˆ di controllo dispone dei poteri investigativi necessari per otteneredal responsabile del trattamento o dallÕincaricato del trattamento:
a) lÕaccesso atutti i dati personali e a tutte le informazioni necessarie per lÕeserciziodelle sue funzioni;
b) lÕaccesso atutti i locali, compresi tutti gli strumenti e mezzi di trattamento dei dati,se si pu˜ ragionevolmente supporre che vi in corso unÕattivitˆ contraria alpresente regolamento.
I poteri dicui alla lettera b) sono esercitati conformemente al diritto dellÕUnione e degliStati membri.
3. Ogniautoritˆ di controllo ha il diritto di agire in sede giudiziale o stragiudizialein caso di violazione del presente regolamento, in particolare ai sensidellÕarticolo 74, paragrafo 4, e dellÕarticolo 75, paragrafo 2.
4. Ogniautoritˆ di controllo ha il potere di sanzionare gli illeciti amministrativi,in particolare quelli di cui allÕarticolo 79, paragrafi 4, 5 e 6.
Articolo 54
Relazione diattivitˆ
Ogni autoritˆdi controllo elabora una relazione annuale sulla propria attivitˆ. La relazione trasmessa al parlamento nazionale ed messa a disposizione del pubblico,della Commissione e del comitato europeo per la protezione dei dati.
CAPOVII
COOPERAZIONEE COERENZA
SEZIONE1
COOPERAZIONE
Articolo 55
Assistenzareciproca
1. Le autoritˆdi controllo si trasmettono le informazioni utili e si prestano assistenza reciprocaal fine di attuare e applicare il presente regolamento in maniera coerente, e prendonomisure per cooperare efficacemente tra loro. LÕassistenza reciproca comprende,in particolare, le richieste di informazioni e le misure di controllo, quali lerichieste di autorizzazione preventiva e di consultazione preventiva, leispezioni e la comunicazione rapida dellÕapertura di casi e dei loro sviluppiqualora i trattamenti possano riguardare interessati in pi Stati membri.
2. Ogniautoritˆ di controllo prende tutte le misure opportune necessarie per dare seguitoalle richieste delle altre autoritˆ di controllo senza ritardo, al pi tardientro un mese dal ricevimento della richiesta. Tali misure possono consistere,in particolare, nella trasmissione di informazioni utili sullÕandamento diunÕindagine o dirette a far cessare o vietare i trattamenti contrari alpresente regolamento.
3. Larichiesta di assistenza contiene tutte le informazioni necessarie, compresi loscopo e i motivi della richiesta. Le informazioni scambiate sono utilizzate aisoli fini per cui sono state richieste.
4. LÕautoritˆdi controllo cui presentata una richiesta di assistenza non pu˜ rifiutare di darviseguito, salvo che:
a) non siacompetente per trattarla, oppure
b)lÕintervento richiesto sia incompatibile con le disposizioni del presente regolamento.
5. LÕautoritˆdi controllo richiesta informa lÕautoritˆ di controllo richiedente dellÕesito o,se del caso, dei progressi o delle misure prese per rispondere alla suarichiesta.
6. Le autoritˆdi controllo forniscono al pi presto e per via elettronica, con modulo standard,le informazioni richieste da altre autoritˆ di controllo.
7. Non imposta alcuna spesa per le misure prese a seguito di una richiesta di assistenzareciproca.
8. Qualora lÕautoritˆdi controllo non dia seguito alla richiesta di unÕaltra autoritˆ di controlloentro un mese, lÕautoritˆ di controllo richiedente competente a prendere misureprovvisorie nel territorio del suo Stato membro ai sensi dellÕarticolo 51, paragrafo1, e sottopone la questione al comitato europeo per la protezione dei dati conformementealla procedura di cui allÕarticolo 57.
9. LÕautoritˆdi controllo specifica il periodo di validitˆ delle misure provvisorie. Detto periodonon pu˜ essere superiore a tre mesi. LÕautoritˆ di controllo comunica senza ritardotali misure, debitamente motivate, al comitato europeo per la protezione dei datie alla Commissione.
10. LaCommissione pu˜ specificare il formato e le procedure per lÕassistenzareciproca di cui al presente articolo e le modalitˆ per lo scambio diinformazioni per via elettronica tra autoritˆ di controllo e tra le autoritˆ dicontrollo e il comitato europeo per la protezione dei dati, in particolare ilmodulo standard di cui al paragrafo 6. Tali atti di esecuzione sono adottatisecondo la procedura dÕesame di cui allÕarticolo 87, paragrafo 2.
Articolo 56
Operazionicongiunte delle autoritˆ di controllo
1. Perpotenziare la cooperazione e lÕassistenza reciproca, le autoritˆ di controllo possonosvolgere indagini congiunte, mettere in atto misure di contrasto congiunte e condurrealtre operazioni congiunte in cui sono coinvolti membri o personale designatodi autoritˆ di controllo di altri Stati membri.
2.NellÕeventualitˆ che il trattamento riguardi interessati in pi Stati membri,lÕautoritˆ di controllo di ogni Stato membro in questione ha il diritto dipartecipare alle indagini congiunte o alle operazioni congiunte, a seconda delcaso. LÕautoritˆ di controllo competente invita lÕautoritˆ di controllo di ogniStato membro in questione a partecipare allÕindagine congiunta o allÕoperazionecongiunta, e risponde senza ritardo alle richieste di partecipazione delleautoritˆ di controllo.
3. LÕautoritˆdi controllo che ospiti unÕoperazione congiunta pu˜, nel rispetto della legislazionenazionale e con lÕautorizzazione dellÕautoritˆ di controllo ospitata, conferirepoteri esecutivi, anche dÕindagine, ai membri o al personale dellÕautoritˆ di controlloospitata che partecipano allÕoperazione congiunta, o consentire a detti membrio personale, ove la propria legislazione nazionale lo consenta, di esercitare iloro poteri esecutivi in conformitˆ della legislazione nazionale dellÕautoritˆdi
controlloospitata. Tali poteri esecutivi possono essere esercitati unicamente sotto il controlloe, di norma, in presenza di membri o personale dellÕautoritˆ di controllo ospite.I membri o il personale dellÕautoritˆ di controllo ospitata sono soggetti alla legislazionenazionale dellÕautoritˆ di controllo ospite. QuestÕultima risponde del lorooperato.
4. Le autoritˆdi controllo stabiliscono gli aspetti pratici delle specifiche azioni di cooperazione.
5. QualoraunÕautoritˆ di controllo non si conformi entro un mese allÕobbligo di cui al paragrafo2, le altre autoritˆ di controllo sono competenti a prendere misure provvisorienel territorio del loro Stato membro ai sensi dellÕarticolo 51, paragrafo 1.
6. LÕautoritˆdi controllo specifica il periodo di validitˆ delle misure provvisorie di cui alparagrafo 5.
Detto periodonon pu˜ essere superiore a tre mesi. LÕautoritˆ di controllo comunica senzaritardo tali misure, debitamente motivate, al comitato europeo per laprotezione dei dati e alla Commissione, e sottopone la questione nellÕambitodel meccanismo di cui allÕarticolo 57.
SEZIONE2
COERENZA
Articolo 57
Meccanismo dicoerenza
Ai fini di cuiallÕarticolo 46, paragrafo 1, le autoritˆ di controllo cooperano tra loro e conla Commissione nellÕambito del meccanismo di coerenza specificato nellapresente sezione.
Articolo 58
Parere delcomitato europeo per la protezione dei dati
1. Prima diadottare una misura di cui al paragrafo 2, lÕautoritˆ di controllo comunica il progettodi misura al comitato europeo per la protezione dei dati e alla Commissione.
2. LÕobbligodi cui al paragrafo 1 si applica alle misure destinate a produrre effetti giuridicie che:
a) riguardanoattivitˆ di trattamento finalizzate allÕofferta di beni o servizi a interessatiin pi Stati membri o al controllo del loro comportamento,
oppure
b) possonoincidere significativamente sulla libera circolazione dei dati personaliallÕinterno dellÕUnione,
oppure
c) sonofinalizzate a stabilire un elenco di trattamenti soggetti a consultazione preventivaai sensi dellÕarticolo 34, paragrafo 5,
oppure
d) sonofinalizzate a determinare clausole tipo di protezione dei dati ai sensidellÕarticolo42, paragrafo 2, lettera c),
oppure
e) sonofinalizzate ad autorizzare clausole contrattuali ai sensi dellÕarticolo 42,paragrafo 2, lettera d),
oppure
f) sonofinalizzate ad approvare norme vincolanti dÕimpresa ai sensi dellÕarticolo 43.
3. Ogniautoritˆ di controllo o il comitato europeo per la protezione dei dati pu˜ chiedereche una questione sia trattata nellÕambito del meccanismo di coerenza, in particolarequalora unÕautoritˆ di controllo non comunichi un progetto relativo a una misuradi cui al paragrafo 2 o non si conformi agli obblighi relativi allÕassistenza reciprocaai sensi dellÕarticolo 55 o alle operazioni congiunte ai sensi dellÕarticolo56.
4. Al fine digarantire lÕapplicazione corretta e coerente del presente regolamento, la Commissionepu˜ chiedere che una questione sia trattata nellÕambito del meccanismo dicoerenza.
5. Le autoritˆdi controllo e la Commissione comunicano per via elettronica, con modulostandard, tutte le informazioni utili, in particolare, a seconda del caso, una sintesidei fatti, il progetto di misura e i motivi che la rendono necessaria.
6. Ilpresidente del comitato europeo per la protezione dei dati informaimmediatamente per via elettronica, con modulo standard, i membri del comitatoeuropeo per la protezione dei dati e la Commissione di tutte le informazioniutili che gli sono state comunicate. Se necessario, fornisce una traduzionedelle informazioni.
7. Se i suoimembri lo decidono a maggioranza semplice, o su richiesta di unÕautoritˆ di controllo,il comitato europeo per la protezione dei dati esprime un parere sulla questioneentro una settimana dalla comunicazione delle informazioni utili ai sensi delparagrafo 5. Il parere adottato entro un mese a maggioranza semplice dei membridel comitato europeo per la protezione dei dati. Il presidente del comitato europeoper la protezione dei dati informa del parere, senza ingiustificato ritardo, lÕautoritˆdi controllo di cui al paragrafo 1 o al paragrafo 3, a seconda del caso, la Commissionee lÕautoritˆ di controllo competente ai sensi dellÕarticolo 51, e lo rende pubblico.
8. LÕautoritˆdi controllo di cui al paragrafo 1 e lÕautoritˆ di controllo competente ai sensidellÕarticolo 51 tengono conto del parere del comitato europeo per laprotezione dei dati e, entro due settimane dacchŽ il presidente del comitatoeuropeo per la protezione dei dati le ha informate del parere, comunicano pervia elettronica, con modulo standard, a detto presidente e alla Commissione semantengono o se modificano il progetto di misura e, se del caso, il progetto dimisura modificato.
Articolo 59
Parere dellaCommissione
1. Entro diecisettimane dacchŽ stata sollevata una questione ai sensi dellÕarticolo 58, o entrosei settimane nel caso di cui allÕarticolo 61, la Commissione pu˜ adottare un pareresulla questione sollevata ai sensi degli articoli 58 o 61 al fine di garantire lÕapplicazionecorretta e coerente del presente regolamento.
2. Qualora laCommissione abbia adottato un parere ai sensi del paragrafo 1, lÕautoritˆ dicontrollo in questione lo tiene nella massima considerazione e informa la Commissionee il comitato europeo per la protezione dei dati della sua intenzione di mantenereo modificare il progetto di misura.
3. Durante ilperiodo di cui al paragrafo 1, lÕautoritˆ di controllo si astiene dallÕadottareil progetto di misura.
4. Qualora nonintenda conformarsi al parere della Commissione, lÕautoritˆ di controllo neinforma la Commissione e il comitato europeo per la protezione dei dati entroil termine di cui al paragrafo 1, motivando la sua decisione. In tal caso ilprogetto di misura non pu˜ essere adottato per un ulteriore periodo di un mese.
Articolo 60
Sospensione diun progetto di misura
1. Qualoradubiti seriamente che il progetto di misura garantisca la corretta applicazionedel presente regolamento e rischi invece di portare a una sua applicazione noncoerente, la Commissione, entro un mese dalla comunicazione di cui allÕarticolo59, paragrafo 4, pu˜ adottare una decisione motivata e ingiungere allÕautoritˆdi controllo di sospendere lÕadozione del progetto di misura, tenuto conto delparere reso dal comitato europeo per la protezione dei dati ai sensi dellÕarticolo58, paragrafo 7, o dellÕarticolo 61, paragrafo 2, qualora tale sospensione risultinecessaria per:
a) conciliarele posizioni divergenti dellÕautoritˆ di controllo e del comitato europeo perla protezione dei dati, ove tale conciliazione appaia ancora possibile,
oppure
b) adottare unamisura ai sensi dellÕarticolo 62, paragrafo 1, lettera a).
2. LaCommissione specifica la durata della sospensione, che non pu˜ essere superiorea dodici mesi.
3. Durante ilperiodo di cui al paragrafo 2, lÕautoritˆ di controllo si astiene dallÕadottareil progetto di misura.
Articolo 61
ProceduradÕurgenza
1. Incircostanze eccezionali, qualora ritenga che urga intervenire per tutelare gli interessidegli interessati, in particolare quando sussiste il pericolo che lÕeserciziodi un diritto possa essere gravemente ostacolato da un cambiamento dellasituazione esistente, oppure per evitare importanti inconvenienti o per altrimotivi, lÕautoritˆ di controllo pu˜, in deroga alla procedura di cuiallÕarticolo 58, prendere misure provvisorie immediate con un periodo divaliditˆ determinato. LÕautoritˆ di controllo comunica senza ritardo talimisure, debitamente motivate, al comitato europeo per la protezione dei dati ealla Commissione.
2. Qualoraabbia preso una misura ai sensi del paragrafo 1 e ritenga che sia urgente prenderemisure definitive, lÕautoritˆ di controllo pu˜ chiedere un parere dÕurgenza al comitatoeuropeo per la protezione dei dati, motivando la richiesta, in particolare lÕurgenzadi misure definitive.
3. Ogniautoritˆ di controllo pu˜ chiedere un parere dÕurgenza qualora lÕautoritˆ di controllocompetente non abbia preso misure adeguate in una situazione in cui urge intervenireper tutelare gli interessi degli interessati, motivando la richiesta, in particolarelÕurgenza dellÕintervento.
4. In derogaallÕarticolo 58, paragrafo 7, il parere dÕurgenza di cui ai paragrafi 2 e 3 adottatoentro due settimane a maggioranza semplice dei membri del comitato europeo perla protezione dei dati.
Articolo 62
Atti diesecuzione
1. LaCommissione pu˜ adottare atti di esecuzione per:
a) decidere inmerito alla corretta applicazione del presente regolamento, conformemente aisuoi obiettivi e requisiti, in relazione alle questioni sollevate dalleautoritˆ di controllo ai sensi dellÕarticolo 58 o dellÕarticolo 61, a una questioneper la quale stata adottata una decisione motivata ai sensi dellÕarticolo 60,paragrafo 1, o a una questione per la quale unÕautoritˆ di controllo non hacomunicato un progetto di misura e ha indicato che non intende conformarsi alparere adottato dalla Commissione ai sensi dellÕarticolo 59;
b) decidere,entro il termine di cui allÕarticolo 59, paragrafo 1, sulla validitˆ generaledi progetti di clausole tipo di protezione dei dati ai sensi dellÕarticolo 58,paragrafo 2, lettera d);
c) specificareil formato e le procedure per lÕapplicazione del meccanismo di coerenza di cuialla presente sezione;
d) specificarele modalitˆ per lo scambio di informazioni per via elettronica tra autoritˆ dicontrollo e tra le autoritˆ di controllo e il comitato europeo per la protezionedei dati, in particolare il modulo standard di cui allÕarticolo 58, paragrafi5, 6 e 8.
Tali atti diesecuzione sono adottati secondo la procedura dÕesame di cui allÕarticolo 87,paragrafo 2.
2. Per motiviimperativi dÕurgenza debitamente giustificati, connessi agli interessi degli interessatinei casi di cui al paragrafo 1, lettera a), la Commissione adotta atti di esecuzioneimmediatamente applicabili conformemente alla procedura di cui allÕarticolo 87,paragrafo 3. Tali atti rimangono in vigore per un periodo non superiore adodici mesi.
3. LÕadozioneo meno di una misura ai sensi della presente sezione lascia impregiudicata lapossibilitˆ per la Commissione di adottare altre misure in virt dei trattati.
Articolo 63
Esecuzione
1. Ai fini delpresente regolamento, le misure esecutive adottate dallÕautoritˆ di controllodi uno Stato membro sono eseguite in tutti gli Stati membri interessati.
2. QualoraunÕautoritˆ di controllo ometta di comunicare un progetto di misura nellÕambitodel meccanismo di coerenza in violazione dellÕarticolo 58, paragrafi da 1 a 5,la misura dellÕautoritˆ di controllo priva di validitˆ giuridica e dicarattere esecutivo.
SEZIONE3
COMITATOEUROPEO PER LA PROTEZIONE DEI DATI
Articolo 64
Comitatoeuropeo per la protezione dei dati
1. é istituitoun comitato europeo per la protezione dei dati.
2. Il comitatoeuropeo per la protezione dei dati composto dal responsabile di unÕautoritˆdi controllo di ciascuno Stato membro e dal garante europeo della protezionedei dati.
3. Qualora, inuno Stato membro, pi autoritˆ di controllo siano incaricate di sorvegliarelÕapplicazione delle disposizioni del presente regolamento, queste nominano arappresentante comune un loro responsabile.
4. LaCommissione ha il diritto di partecipare alle attivitˆ e alle riunioni delcomitato europeo per la protezione dei dati e designa un rappresentante. Ilpresidente del comitato europeo per la protezione dei dati informa senzaritardo la Commissione di tutte le attivitˆ del comitato europeo per laprotezione dei dati.
Articolo 65
Indipendenza
1.NellÕesercizio dei suoi compiti ai sensi degli articoli 66 e 67, il comitatoeuropeo per la protezione dei dati opera con indipendenza.
2. Fatte salvele richieste della Commissione di cui allÕarticolo 66, paragrafo 1, lettera b),e allÕarticolo 66, paragrafo 2, nellÕesercizio dei suoi compiti il comitato europeoper la protezione dei dati non sollecita nŽ accetta istruzioni da alcuno.
Articolo 66
Compiti delcomitato europeo per la protezione dei dati
1. Il comitatoeuropeo per la protezione dei dati garantisce lÕapplicazione coerente del presenteregolamento. A tal fine, di propria iniziativa o su richiesta della Commissione:
a) consigliala Commissione in merito a qualsiasi questione relativa al trattamento dei datipersonali nellÕUnione, comprese eventuali proposte di modifica del presenteregolamento;
b) esamina, dipropria iniziativa o su richiesta di uno dei suoi membri o della Commissione,qualsiasi questione relativa allÕapplicazione del presente regolamento epubblica linee direttrici, raccomandazioni e migliori pratiche destinate alleautoritˆ di controllo al fine di promuovere lÕapplicazione coerente delpresente regolamento;
c) valutalÕapplicazione pratica delle linee direttrici, raccomandazioni e migliori pratichedi cui alla lettera b), riferendo regolarmente alla Commissione;
d) esprimepareri sui progetti di decisione delle autoritˆ di controllo conformemente almeccanismo di coerenza di cui allÕarticolo 57;
e) promuove lacooperazione e lÕeffettivo scambio di informazioni e pratiche tra le autoritˆdi controllo a livello bilaterale e multilaterale;
f) promuoveprogrammi comuni di formazione e facilita lo scambio di personale tra leautoritˆ di controllo e, se del caso, con le autoritˆ di controllo di paesi terzio di organizzazioni internazionali;
g) promuove loscambio di conoscenze e documentazione sulla legislazione e sulle pratiche inmateria di protezione dei dati tra autoritˆ di controllo di tutto il mondo.
2. Qualorachieda consulenza al comitato europeo per la protezione dei dati, la Commissionepu˜ fissare un termine entro il quale questo deve rispondere alla richiesta,tenuto conto dellÕurgenza della questione.
3. Il comitatoeuropeo per la protezione dei dati trasmette pareri, linee direttrici, raccomandazionie migliori pratiche alla Commissione e al comitato di cui allÕarticolo 87, e lipubblica.
4. LaCommissione informa il comitato europeo per la protezione dei dati del seguito datoai suoi pareri, linee direttrici, raccomandazioni e migliori pratiche.
Articolo 67
Relazioni
1. Il comitatoeuropeo per la protezione dei dati informa tempestivamente e regolarmente laCommissione dellÕesito delle proprie attivitˆ. Redige una relazione annualesullo stato della tutela delle persone fisiche con riguardo al trattamento dei datipersonali nellÕUnione e nei paesi terzi.
La relazioneinclude la valutazione dellÕapplicazione pratica delle linee direttrici, raccomandazionie migliori pratiche di cui allÕarticolo 66, paragrafo 1, lettera c).
2. Larelazione pubblicata e trasmessa al Parlamento europeo, al Consiglio e alla Commissione.
Articolo 68
Procedura
1. Il comitatoeuropeo per la protezione dei dati decide a maggioranza semplice dei suoi membri.
2. Il comitatoeuropeo per la protezione dei dati adotta il proprio regolamento interno e fissale modalitˆ del proprio funzionamento. In particolare, adotta disposizioni concernentila continuazione dellÕesercizio delle funzioni in caso di scadenza del mandatodi un membro o di sue dimissioni, la creazione di sottogruppi per questioni osettori specifici e la procedura applicabile nellÕambito del meccanismo dicoerenza di cui allÕarticolo 57.
Articolo 69
Presidenza
1. Il comitatoeuropeo per la protezione dei dati elegge un presidente e due vicepresidentitra i suoi membri. Uno dei vicepresidenti il garante europeo della protezionedei dati, salvo che sia stato eletto presidente.
2. Ilpresidente e i vicepresidenti hanno un mandato di cinque anni, rinnovabile.
Articolo 70
Compiti delpresidente
1. Ilpresidente ha il compito di:
a) convocarele riunioni del comitato europeo per la protezione dei dati e stabilirnelÕordine del giorno;
b) garantirelÕadempimento dei compiti del comitato europeo per la protezione dei dati, inparticolare in relazione al meccanismo di coerenza di cui allÕarticolo 57.
2. Il comitatoeuropeo per la protezione dei dati fissa nel proprio regolamento interno la ripartizionedei compiti tra presidente e vicepresidenti.
Articolo 71
Segreteria
1. Il comitatoeuropeo per la protezione dei dati dispone di una segreteria. Alle funzioni disegreteria provvede il garante europeo della protezione dei dati.
2. Lasegreteria, sotto la direzione del presidente, presta assistenza analitica, amministrativae logistica al comitato europeo per la protezione dei dati.
3. Lasegreteria incaricata in particolare:
a) dellagestione ordinaria del comitato europeo per la protezione dei dati;
b) dellacomunicazione tra i membri del comitato europeo per la protezione dei dati, ilsuo presidente e la Commissione, e della comunicazione con le altre istituzionie il pubblico;
c) dellÕuso dimezzi elettronici per la comunicazione interna ed esterna;
d) dellatraduzione delle informazioni rilevanti;
e) dellapreparazione delle riunioni del comitato europeo per la protezione dei dati edel relativo seguito;
f) dellapreparazione, redazione e pubblicazione dei pareri e di altri testi adottati dalcomitato europeo per la protezione dei dati.
Articolo 72
Riservatezza
1. Le deliberazionidel comitato europeo per la protezione dei dati hanno carattere riservato.
2. I documentitrasmessi ai membri del comitato europeo per la protezione dei dati, agli espertie ai rappresentanti di terzi sono riservati, tranne qualora sia stato concesso lÕaccessoa tali documenti a norma del regolamento (CE) n. 1049/2001 o il comitato europeoper la protezione dei dati li abbia resi pubblici in altro modo.
3. I membridel comitato europeo per la protezione dei dati nonchŽ gli esperti e i rappresentantidi terzi sono tenuti a rispettare gli obblighi di riservatezza stabiliti al presentearticolo. Il presidente si assicura che gli esperti e i rappresentanti di terzisiano messi a conoscenza degli obblighi di riservatezza cui sono tenuti.
CAPOVIII
RICORSI,RESPONSABILITAÕ E SANZIONI
Articolo 73
Diritto diproporre reclamo allÕautoritˆ di controllo
1. Fatto salvoogni altro ricorso amministrativo o giurisdizionale, lÕinteressato che ritengache il trattamento dei suoi dati personali non sia conforme al presente regolamentoha il diritto di proporre reclamo allÕautoritˆ di controllo di qualunque Statomembro.
2. Ogniorganismo, organizzazione o associazione che tuteli i diritti e gli interessidegli interessati in relazione alla protezione dei loro dati personali e chesia debitamente costituito o costituita secondo la legislazione di uno Statomembro ha il diritto di proporre reclamo allÕautoritˆ di controllo di qualunqueStato membro per conto di uno o pi interessati qualora ritenga che siano stativiolati diritti derivanti dal presente regolamento a seguito del trattamento didati personali.
3.Indipendentemente dallÕeventuale reclamo dellÕinteressato, ogni organismo, organizzazioneo associazione di cui al paragrafo 2 che ritenga che sussista violazione deidati personali ha il diritto di proporre reclamo allÕautoritˆ di controllo diqualunque Stato membro.
Articolo 74
Diritto a unricorso giurisdizionale contro lÕautoritˆ di controllo
1. Ognipersona fisica o giuridica ha il diritto di proporre ricorso giurisdizionale avversole decisioni dellÕautoritˆ di controllo che la riguardano.
2. Ogniinteressato ha il diritto di proporre ricorso giurisdizionale per obbligare lÕautoritˆdi controllo a dare seguito a un reclamo qualora tale autoritˆ non abbia presouna decisione necessaria per tutelarne i diritti o non lo abbia informato entrotre mesi dello stato o dellÕesito del reclamo ai sensi dellÕarticolo 52,paragrafo 1, lettera b).
3. Le azionicontro lÕautoritˆ di controllo sono promosse dinanzi alle autoritˆ giurisdizionalidello Stato membro in cui lÕautoritˆ di controllo stabilita.
4.LÕinteressato che abbia formato oggetto di una decisione dellÕautoritˆ dicontrollo di uno Stato membro diverso da quello in cui risiede abitualmente pu˜chiedere allÕautoritˆ di controllo dello Stato membro in cui risiedeabitualmente di agire in giudizio per suo conto nellÕaltro Stato membro neiconfronti dellÕautoritˆ di controllo competente.
5. Gli Statimembri eseguono le decisioni definitive delle autoritˆ giurisdizionali di cui alpresente articolo.
Articolo 75
Diritto a unricorso giurisdizionale contro il responsabile del trattamento o lÕincaricatodel trattamento
1. Fatto salvoogni altro ricorso amministrativo disponibile, compreso il diritto di proporrereclamo a unÕautoritˆ di controllo di cui allÕarticolo 73, chiunque ha il dirittodi proporre ricorso giurisdizionale qualora ritenga che siano stati violati i dirittidi cui gode a norma del presente regolamento in seguito a un trattamento dei suoidati personali non conforme al presente regolamento.
2. Le azionicontro il responsabile del trattamento o lÕincaricato del trattamento sono promossedinanzi alle autoritˆ giurisdizionali dello Stato membro in cui il responsabiledel trattamento o lÕincaricato del trattamento ha uno stabilimento. In alternativa,tali azioni possono essere promosse dinanzi alle autoritˆ giurisdizionali delloStato membro in cui lÕinteressato risiede abitualmente, salvo che ilresponsabile del trattamento sia unÕautoritˆ pubblica nellÕesercizio deipubblici poteri.
3. QualoranellÕambito del meccanismo di coerenza di cui allÕarticolo 58 sia in corso un procedimentoriguardante la stessa misura, decisione o pratica, lÕautoritˆ giurisdizionalepu˜ sospendere il procedimento di cui stata investita, salvo qualora lÕurgenzadel caso per la protezione dei diritti dellÕinteressato non permetta di aspettarelÕesito del procedimento nellÕambito del meccanismo di coerenza.
4. Gli Statimembri eseguono le decisioni definitive delle autoritˆ giurisdizionali di cui alpresente articolo.
Articolo 76
Norme comuniper i procedimenti giurisdizionali
1. Ogniorganismo, organizzazione o associazione di cui allÕartico 73, paragrafo 2, hail diritto di esercitare i diritti di cui agli articoli 74 e 75 per conto diuno o pi interessati.
2. Ogniautoritˆ di controllo ha il diritto di agire in sede giudiziale ostragiudiziale per far rispettare le disposizioni del presente regolamento ogarantire la coerenza della protezione dei dati personali allÕinternodellÕUnione.
3. LÕautoritˆgiurisdizionale competente di uno Stato membro che abbia fondati motivi diritenere che in un altro Stato membro sia in corso un procedimento parallelo contattalÕautoritˆ giurisdizionale competente dellÕaltro Stato membro per ottenere confermadellÕesistenza del procedimento parallelo.
4. Se ilprocedimento parallelo nellÕaltro Stato membro riguarda la stessa misura, decisioneo pratica lÕautoritˆ giurisdizionale, pu˜ sospendere il procedimento.
5. Gli Statimembri provvedono affinchŽ i ricorsi giurisdizionali previsti dal diritto nazionaleconsentano di prendere rapidamente provvedimenti, anche provvisori, atti aporre fine alle asserite violazioni e impedire ulteriori danni agli interessiin causa.
Articolo 77
Diritto alrisarcimento e responsabilitˆ
1. Chiunquesubisca un danno cagionato da un trattamento illecito o da altro atto incompatibilecon il presente regolamento ha il diritto di ottenere il risarcimento del dannodal responsabile del trattamento o dallÕincaricato del trattamento.
2. Qualora iltrattamento coinvolga pi responsabili del trattamento o incaricati del trattamento,ogni responsabile del trattamento o incaricato del trattamento risponde insolido per lÕintero ammontare del danno.
3. Ilresponsabile del trattamento o lÕincaricato del trattamento pu˜ essereesonerato in tutto o in parte da tale responsabilitˆ se prova che lÕeventodannoso non gli imputabile.
Articolo 78
Sanzioni
1. Gli Statimembri determinano le sanzioni per violazione delle disposizioni del presenteregolamento, compresa lÕomessa designazione del rappresentante a cura del responsabiledel trattamento, e prendono tutti i provvedimenti necessari per la loro applicazione.Le sanzioni previste devono essere efficaci, proporzionate e dissuasive.
2. Qualora ilresponsabile del trattamento abbia designato un rappresentante, le sanzioni siapplicano al rappresentante, fatte salve le sanzioni applicabili alresponsabile del trattamento.
3. Ogni Statomembro notifica alla Commissione le disposizioni di legge adottate ai sensi delparagrafo 1 entro la data di cui allÕarticolo 91, paragrafo 2, e comunica senzaritardo ogni successiva modifica.
Articolo 79
Sanzioniamministrative
1. Ogniautoritˆ di controllo abilitata a imporre sanzioni amministrative conformementeal presente articolo.
2. La sanzioneamministrativa deve essere efficace, proporzionata e dissuasiva. LÕammontare fissato tenuto debito conto della natura, della gravitˆ e della durata dellaviolazione, del carattere doloso o colposo dellÕillecito, del grado di responsabilitˆdella persona fisica o giuridica, delle precedenti violazioni da questa commesse,delle misure e procedure tecniche e organizzative messe in atto ai sensi dellÕarticolo23 e del grado di cooperazione con lÕautoritˆ di controllo al fine di porre rimedioalla violazione.
3. In caso diprima inosservanza non intenzionale del presente regolamento pu˜ essere inviatoun avvertimento scritto, senza lÕimposizione di sanzioni, qualora:
(a) unapersona fisica tratti dati personali senza un interesse commerciale,
oppure
(b) unÕimpresao unÕorganizzazione con meno di 250 dipendenti tratti dati personali soloaccessoriamente rispetto alle attivitˆ principali.
4. LÕautoritˆdi controllo irroga sanzioni amministrative pecuniarie fino a 250.000 EUR o,per le imprese, fino allo 0,5% del fatturato mondiale annuo, a chiunque, condolo o colpa:
(a) nonpredispone i meccanismi per consentire allÕinteressato di presentare richiesteo non risponde allÕinteressato prontamente o nella forma dovuta, in violazionedellÕarticolo 12, paragrafi 1 e 2;
(b) fa pagareun contributo spese per le informazioni o le risposte alle richieste dellÕinteressato,in violazione dellÕarticolo 12, paragrafo 4.
5. LÕautoritˆdi controllo irroga sanzioni amministrative pecuniarie fino a 500.000 EUR o,per le imprese, fino allÕ1% del fatturato mondiale annuo, a chiunque, con doloo colpa:
(a) nonfornisce le informazioni, fornisce informazioni incomplete o non fornisce leinformazioni in modo sufficientemente trasparente allÕinteressato, in violazionedellÕarticolo 11, dellÕarticolo 12, paragrafo 3, e dellÕarticolo 14;
(b) non dˆlÕaccesso allÕinteressato o non rettifica i dati personali, in violazione degliarticoli 15 e 16, oppure non comunica al destinatario le informazioni pertinenti,in violazione dellÕarticolo 13,
(c) nonrispetta il diritto allÕoblio o alla cancellazione, omette di predisporre meccanismiche garantiscano il rispetto dei termini o non prende tutte le misure necessarieper informare i terzi della richiesta dellÕinteressato di cancellare tutti ilink verso i dati personali, copiare tali dati o riprodurli, in violazione dellÕarticolo17;
(d) nonfornisce copia dei dati personali in formato elettronico oppure impedisce allÕinteressatodi trasmettere i dati personali a unÕaltra applicazione, in violazionedellÕarticolo 18;
(e) omette dideterminare o non determina in modo sufficiente le rispettive responsabilitˆdei corresponsabili del trattamento, in violazione dellÕarticolo 24;
(f) omette diconservare o non conserva in modo sufficiente la documentazione di cuiallÕarticolo 28, allÕarticolo 31, paragrafo 4, e allÕarticolo 44, paragrafo 3;
(g) nei casiche non riguardano categorie particolari di dati, non rispetta le norme sullalibertˆ di espressione o sul trattamento dei dati nei rapporti di lavoro o le condizioniper il trattamento dei dati personali per finalitˆ storiche, statistiche e diricerca scientifica, in violazione degli articoli 80, 82 e 83.
6. LÕautoritˆdi controllo irroga sanzioni amministrative pecuniarie fino a 1.000.000 EUR o,per le imprese, fino al 2% del fatturato mondiale annuo, a chiunque, con dolo ocolpa:
(a) trattadati personali senza una base giuridica o una base giuridica sufficiente a talfine o non rispetta le condizioni relative al consenso, in violazione degli articoli6, 7 e 8;
(b) trattacategorie particolari di dati, in violazione degli articoli 9 e 81;
(c) nonrispetta il diritto di opposizione o lÕobbligo di cui allÕarticolo 19;
(d) nonrispetta le condizioni relative alle misure basate sulla profilazione di cui allÕarticolo20;
(e) non adottapolitiche interne o non attua misure adeguate per garantire e dimostrare laconformitˆ del trattamento, in violazione degli articoli 22, 23 e 30;
(f) nondesigna un rappresentante, in violazione dellÕarticolo 25;
(g) tratta odˆ istruzione di trattare dati personali in violazione degli obblighi relativial trattamento per conto di un responsabile del trattamento di cui agli articoli26 e 27;
(h) omette diallertare o notificare allÕautoritˆ di controllo o allÕinteressato una violazionedi dati personali, oppure non la notifica tempestivamente o integralmente, inviolazione degli articoli 31 e 32;
(i) noneffettua una valutazione dÕimpatto sulla protezione dei dati o tratta dati personalisenza lÕautorizzazione preventiva o la consultazione preventiva dellÕautoritˆdi controllo, in violazione degli articoli 33 e 34;
(j) nondesigna un responsabile della protezione dei dati o non garantisce le condizioniper lÕadempimento dei compiti del responsabile della protezione dei dati, inviolazione degli articoli 35, 36 e 37;
(k) fa un usoillecito di un sigillo o marchio di protezione dei dati di cui allÕarticolo 39;
(l) effettua odˆ istruzione di effettuare un trasferimento di dati verso un paese terzo ounÕorganizzazione internazionale senza che tale trasferimento sia statoautorizzato da una decisione di adeguatezza, senza offrire garanzie adeguate osenza che il trasferimento sia previsto da una deroga, in violazione degliarticoli da 40 a 44;
(m) non siconforma a un ordine, a un divieto provvisorio o definitivo di trattamento o aun ordine di sospensione dei flussi di dati dellÕautoritˆ di controllo, di cuiallÕarticolo 53, paragrafo 1;
(n) non siconforma allÕobbligo di prestare assistenza, rispondere o fornire informazioniutili o lÕaccesso ai locali allÕautoritˆ di controllo, in violazione dellÕarticolo28, paragrafo 3, dellÕarticolo 29, dellÕarticolo 34, paragrafo 6, o dellÕarticolo53, paragrafo 2;
(o) non siconforma alle norme di salvaguardia del segreto professionale di cui allÕarticolo84.
7. AllaCommissione conferito il potere di adottare atti delegati conformemente allÕarticolo86 al fine di aggiornare lÕimporto delle sanzioni amministrative pecuniarie dicui ai paragrafi 4, 5 e 6, tenuto conto dei criteri di cui al paragrafo 2.
CAPOIX
DISPOSIZIONIRELATIVE A SPECIFICHE SITUAZIONI DI TRATTAMENTO DEI DATI
Articolo 80
Trattamento didati personali e libertˆ dÕespressione
1. Gli Statimembri prevedono, per il trattamento dei dati personali effettuato esclusivamentea scopi giornalistici o di espressione artistica o letteraria, le esenzioni ole deroghe alle disposizioni concernenti i principi generali di cui al capo II,i diritti dellÕinteressato di cui al capo III, il responsabile del trattamentoe lÕincaricato del trattamento di cui al capo IV, il trasferimento di datipersonali verso paesi terzi e organizzazioni internazionali di cui al capo V,le autoritˆ di controllo indipendenti di cui al capo VI e la cooperazione e lacoerenza di cui al capo VII, al fine di conciliare il diritto alla protezionedei dati personali e le norme sulla libertˆ dÕespressione.
2. Ogni Statomembro notifica alla Commissione le disposizioni di legge adottate ai sensi delparagrafo 1 entro la data di cui allÕarticolo 91, paragrafo 2, e comunica senzaritardo ogni successiva modifica.
Articolo 81
Trattamento didati personali relativi alla salute
1. Nei limitidel presente regolamento e in conformitˆ dellÕarticolo 9, paragrafo 2, letterah), il trattamento di dati personali relativi alla salute deve essereeffettuato sulla base di disposizioni del diritto dellÕUnione o degli Statimembri che prevedano misure appropriate e specifiche a tutela dei legittimiinteressi dellÕinteressato, ed essere necessario:
a) perfinalitˆ di medicina del lavoro, prevenzione medica, diagnosi, assistenza sanitariao terapia ovvero gestione dei servizi sanitari, e quando il trattamento deimedesimi dati effettuato da un professionista della sanitˆ vincolato da segretoprofessionale o altra persona del pari soggetta a un equivalente obbligo disegretezza ai sensi della legislazione degli Stati membri o di norme stabilite dagliorganismi nazionali competenti,
oppure
b) per motividi interesse pubblico nel settore della sanitˆ pubblica, quali la protezione dagravi minacce per la salute a carattere transfrontaliero o la garanzia diparametri elevati di qualitˆ e sicurezza, tra lÕaltro dei medicinali e deidispositivi medici,
oppure
c) per altrimotivi di interesse pubblico in settori quali la protezione sociale, soprattuttoal fine di assicurare la qualitˆ e lÕeconomicitˆ delle procedure per soddisfarele richieste di prestazioni e servizi nellÕambito del regime di assicurazionesanitaria.
2. Iltrattamento di dati personali relativi alla salute che risulti necessario perfinalitˆ storiche, statistiche o di ricerca scientifica, come la creazione diregistri dei pazienti per migliorare le diagnosi, distinguere tra tipi similidi malattie e condurre studi sulle terapie, soggetto alle condizioni egaranzie di cui allÕarticolo 83.
3. AllaCommissione conferito il potere di adottare atti delegati conformemente allÕarticolo86 al fine di precisare altri motivi di interesse pubblico nel settore della sanitˆpubblica di cui al paragrafo 1, lettera b), e i criteri e i requisiticoncernenti le garanzie per il trattamento dei dati personali per le finalitˆdi cui al paragrafo 1.
Articolo 82
Trattamentodei dati nei rapporti di lavoro
1. Nei limitidel presente regolamento, gli Stati membri possono adottare con legge normespecifiche per il trattamento dei dati personali dei dipendenti nellÕambito deirapporti di lavoro, in particolare per finalitˆ di assunzione, esecuzione delcontratto di lavoro, compreso lÕadempimento degli obblighi stabiliti dallalegge o da accordi collettivi, di gestione, pianificazione e organizzazione dellavoro, salute e sicurezza sul lavoro, e ai fini dellÕesercizio e delgodimento, individuale o collettivo, dei diritti
e dei vantaggiconnessi al lavoro, nonchŽ per finalitˆ di cessazione del rapporto di lavoro.
2. Ogni Statomembro notifica alla Commissione le disposizioni di legge adottate ai sensi delparagrafo 1 entro la data di cui allÕarticolo 91, paragrafo 2, e comunica senzaritardo ogni successiva modifica.
3. AllaCommissione conferito il potere di adottare atti delegati conformemente allÕarticolo86 al fine di precisare i criteri e i requisiti concernenti le garanzie per il trattamentodei dati personali per le finalitˆ di cui al paragrafo 1.
Articolo 83
Trattamentoper finalitˆ storiche, statistiche e di ricerca scientifica
1. Nei limitidel presente regolamento, i dati personali possono essere trattati per finalitˆstoriche, statistiche e di ricerca scientifica solo se:
a) talifinalitˆ non possono essere altrimenti conseguite trattando dati che non consentonoo non consentono pi di identificare lÕinteressato;
b) i dati chepermettono di associare informazioni a un interessato identificato o identificabilesono conservati separatamente dalle altre informazioni, nella misura in cuitali finalitˆ possano essere conseguite in questo modo.
2. Gliorganismi che svolgono ricerche storiche, statistiche o scientifiche possono pubblicareo divulgare altrimenti al pubblico i dati personali solo se:
a) lÕinteressatoha espresso il proprio consenso, fatte salve le condizioni di cui allÕarticolo7;
b) lapubblicazione dei dati personali necessaria per presentare i risultati della ricercao per facilitarla, nella misura in cui gli interessi o i diritti o le libertˆ fondamentalidellÕinteressato non prevalgano sullÕinteresse della ricerca,
oppure
c)lÕinteressato ha reso pubblici i dati.
3. AllaCommissione conferito il potere di adottare atti delegati conformemente allÕarticolo86 al fine di precisare i criteri e i requisiti concernenti il trattamento dei datipersonali per le finalitˆ di cui ai paragrafi 1 e 2, e ogni limitazionenecessaria dei diritti di informazione e accesso dellÕinteressato, e dispecificare le condizioni e le garanzie per i diritti dellÕinteressato in talicircostanze.
Articolo 84
Obblighi disegretezza
1. Nei limitidel presente regolamento, gli Stati membri possono adottare norme specificheper stabilire i poteri investigativi delle autoritˆ di controllo di cui allÕarticolo53, paragrafo 2, in relazione ai responsabili del trattamento o agli incaricatidel trattamento che sono soggetti, ai sensi della legislazione nazionale o di normestabilite dagli organismi nazionali competenti, al segreto professionale o a unobbligo di segreto equivalente, ove siano necessarie e proporzionate perconciliare il diritto alla protezione dei dati personali e lÕobbligo disegretezza. Tali norme si applicano solo ai dati personali che il responsabiledel trattamento o lÕincaricato del trattamento ha ricevuto o ha ottenuto nelcorso di unÕattivitˆ protetta dal segreto professionale.
2. Ogni Statomembro notifica alla Commissione le norme adottate ai sensi del paragrafo 1entro la data di cui allÕarticolo 91, paragrafo 2, e comunica senza ritardo ognisuccessiva modifica.
Articolo 85
Norme diprotezione dei dati vigenti presso chiese e associazioni religiose
1. Qualora inuno Stato membro chiese e associazioni o comunitˆ religiose applichino, almomento dellÕentrata in vigore del presente regolamento, corpus completi di normea tutela delle persone fisiche con riguardo al trattamento dei dati personali,tali corpus possono continuare ad applicarsi purchŽ siano conformi alledisposizioni del presente regolamento.
2. Le chiese ele associazioni religiose che applicano i corpus completi di norme di cui alparagrafo 1 provvedono a istituire unÕautoritˆ di controllo indipendente aisensi del capo VI del presente regolamento.
CAPOX
ATTIDELEGATI E ATTI DI ESECUZIONE
Articolo 86
Eserciziodella delega
1. Il poteredi adottare atti delegati conferito alla Commissione alle condizioni stabilitenel presente articolo.
2. La delegadi potere di cui allÕarticolo 6, paragrafo 5, allÕarticolo 8, paragrafo 3, allÕarticolo9, paragrafo 3, allÕarticolo 12, paragrafo 5, allÕarticolo 14, paragrafo 7, allÕarticolo15, paragrafo 3, allÕarticolo 17, paragrafo 9, allÕarticolo 20, paragrafo 6, allÕarticolo22, paragrafo 4, allÕarticolo 23, paragrafo 3, allÕarticolo 26, paragrafo 5, allÕarticolo28, paragrafo 5, allÕarticolo 30, paragrafo 3, allÕarticolo 31, paragrafo 5, allÕarticolo32, paragrafo 5, allÕarticolo 33, paragrafo 6, allÕarticolo 34, paragrafo 8, allÕarticolo35, paragrafo 11, allÕarticolo 37, paragrafo 2, allÕarticolo 39, paragrafo 2, allÕarticolo43, paragrafo 3, allÕarticolo 44, paragrafo 7, allÕarticolo 79, paragrafo 6, allÕarticolo81, paragrafo 3, allÕarticolo 82, paragrafo 3 e allÕarticolo 83, paragrafo 3, conferita alla Commissione per un periodo indeterminato a decorrere dalla datadi entrata in vigore del presente regolamento.
3. La delegadi potere di cui allÕarticolo 6, paragrafo 5, allÕarticolo 8, paragrafo 3, allÕarticolo9, paragrafo 3, allÕarticolo 12, paragrafo 5, allÕarticolo 14, paragrafo 7, allÕarticolo15, paragrafo 3, allÕarticolo 17, paragrafo 9, allÕarticolo 20, paragrafo 6, allÕarticolo22, paragrafo 4, allÕarticolo 23, paragrafo 3, allÕarticolo 26, paragrafo 5, allÕarticolo28, paragrafo 5, allÕarticolo 30, paragrafo 3, allÕarticolo 31, paragrafo 5, allÕarticolo32, paragrafo 5, allÕarticolo 33, paragrafo 6, allÕarticolo 34, paragrafo 8, allÕarticolo35, paragrafo 11, allÕarticolo 37, paragrafo 2, allÕarticolo 39, paragrafo 2, allÕarticolo43, paragrafo 3, allÕarticolo 44, paragrafo 7, allÕarticolo 79, paragrafo 6, allÕarticolo81, paragrafo 3, allÕarticolo 82, paragrafo 3 e allÕarticolo 83, paragrafo 3, pu˜essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio.
La decisionedi revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisionedecorrono dal giorno successivo alla pubblicazione della decisione nella Gazzettaufficiale dellÕUnione europea o da una data successiva ivi specificata. Essa nonpregiudica la validitˆ degli atti delegati giˆ in vigore.
4. Non appenaadotta un atto delegato, la Commissione ne dˆ contestualmente notifica alParlamento europeo e al Consiglio.
5. LÕattodelegato adottato ai sensi dellÕarticolo 6, paragrafo 5, dellÕarticolo 8, paragrafo3, dellÕarticolo 9, paragrafo 3, dellÕarticolo 12, paragrafo 5, dellÕarticolo14, paragrafo 7, dellÕarticolo 15, paragrafo 3, dellÕarticolo 17, paragrafo 9,dellÕarticolo 20, paragrafo 6, dellÕarticolo 22, paragrafo 4, dellÕarticolo 23,paragrafo 3, dellÕarticolo 26, paragrafo 5, dellÕarticolo 28, paragrafo 5,dellÕarticolo 30, paragrafo 3, dellÕarticolo 31, paragrafo 5, dellÕarticolo 32,paragrafo 5, dellÕarticolo 33, paragrafo 6, dellÕarticolo 34, paragrafo 8,dellÕarticolo 35, paragrafo 11, dellÕarticolo 37, paragrafo 2, dellÕarticolo39, paragrafo 2, dellÕarticolo 43, paragrafo 3, dellÕarticolo 44, paragrafo 7,dellÕarticolo 79, paragrafo 6, dellÕarticolo 81, paragrafo 3, dellÕarticolo 82,paragrafo 3 e dellÕarticolo 83, paragrafo 3, entra in vigore solo se nŽ ilParlamento europeo nŽ il Consiglio hanno sollevato obiezioni entro il termine didue mesi dalla data in cui esso stato loro notificato o se, prima dellascadenza di tale termine, sia il Parlamento europeo che il Consiglio hannoinformato la Commissione che non intendono sollevare obiezioni. Tale termine prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.
Articolo 87
Procedura dicomitato
1. LaCommissione assistita da un comitato. Tale comitato un comitato ai sensidel regolamento (UE) n. 182/2011.
2. Nel caso incui fatto riferimento al presente paragrafo, si applica lÕarticolo 5 del regolamento(UE) n. 182/2011.
3. Nel caso incui fatto riferimento al presente paragrafo, si applica lÕarticolo 8 del regolamento(UE) n. 182/2011, in combinato disposto con lÕarticolo 5 del medesimo regolamento.
CAPOXI
DISPOSIZIONIFINALI
Articolo 88
Abrogazionedella direttiva 95/46/CE
1. Ladirettiva 95/46/CE abrogata.
2. Iriferimenti alla direttiva abrogata si intendono fatti al presente regolamento.I riferimenti al gruppo per la tutela delle persone con riguardo al trattamentodei dati personali istituito dallÕarticolo 29 della direttiva 95/46/CE siintendono fatti al comitato europeo per la protezione dei dati istituito dalpresente regolamento.
Articolo 89
Rapporto conla direttiva 95/46/CE e sue modifiche
1. Il presenteregolamento non impone obblighi supplementari alle persone fisiche o giuridichein relazione al trattamento dei dati personali nel quadro della fornitura di servizidi comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazionenellÕUnione, per quanto riguarda le materie per le quali sono soggette aobblighi specifici aventi lo stesso obiettivo fissati dalla direttiva2002/58/CE.
2 LÕarticolo1, paragrafo 2, della direttiva 2002/58/CE soppresso.
Articolo 90
Valutazione
La Commissionetrasmette al Parlamento europeo e al Consiglio, a scadenze regolari, relazionidi valutazione e sul riesame del presente regolamento. La prima relazione trasmessaentro quattro anni dallÕentrata in vigore del presente regolamento, le successesono trasmesse ogni quattro anni. Se del caso, la Commissione presentaopportune proposte di modifica del presente regolamento e per lÕallineamento dialtri strumenti giuridici tenuto conto, in particolare, degli sviluppi delletecnologie dellÕinformazione e dei progressi della societˆ dellÕinformazione.Le relazioni sono pubblicate.
Articolo 91
Entrata invigore e applicazione
1. Il presenteregolamento entra in vigore il ventesimo giorno successivo alla pubblicazionenella Gazzetta ufficiale dellÕUnione europea.
2. Esso siapplica a decorrere da [due anni dalla data di cui al paragrafo 1].
Il presenteregolamento obbligatorio in tutti i suoi elementi e direttamente applicabilein ciascuno degli Stati membri.
Fatto aBruxelles, il 25.1.2012
Per ilParlamento europeo Per il Consiglio
Il presidente Il presidente
SCHEDAFINANZIARIA LEGISLATIVA
1. CONTESTO DELLA PROPOSTA/INIZIATIVA
1.1. Titolo della proposta/iniziativa
1.2. Settore/settori interessati nella struttura ABM/ABB
1.3. Natura della proposta/iniziativa
1.4. Obiettivi
1.5. Motivazione della proposta/iniziativa
1.6. Durata e incidenza finanziaria
1.7. Modalitˆ di gestione previste
2. MISURE DI GESTIONE
2.1. Disposizioni in materia di monitoraggio e di relazioni
2.2. Sistema di gestione e di controllo
2.3. Misure di prevenzione delle frodi e delle irregolaritˆ
3. INCIDENZA FINANZIARIA PREVISTA DELLA PROPOSTA/INIZIATIVA
3.1. Rubrica/rubriche del quadro finanziario pluriennale elinea/linee di bilancio di spesa interessate
3.2. Incidenza prevista sulle spese
3.2.1. Sintesi dellÕincidenza prevista sulle spese
3.2.2. Incidenza prevista sugli stanziamenti operativi
3.2.3. Incidenza prevista sugli stanziamenti di naturaamministrativa
3.2.4. Compatibilitˆ con il quadro finanziario pluriennaleattuale
3.2.5. Partecipazione di terzi al finanziamento
3.3. Incidenza prevista sulle entrate
SCHEDAFINANZIARIA LEGISLATIVA
1. CONTESTODELLA PROPOSTA/INIZIATIVA
La presentescheda finanziaria presenta nel dettaglio i requisiti in termini di spese amministrativeper la realizzazione della riforma della protezione dei dati, come espostonella relativa valutazione dÕimpatto. La riforma consta di due proposte legislative:un regolamento generale sulla protezione dei dati e una direttiva concernentela tutela delle persone fisiche con riguardo al trattamento dei dati personalida parte delle autoritˆ competenti a fini di prevenzione, indagine,accertamento e perseguimento di reati o esecuzione di sanzioni penali.
La presentescheda finanziaria ricomprende le incidenze di bilancio di entrambi glistrumenti.
Conformementealla ripartizione dei compiti, risorse dovranno essere fornite alla Commissionee dal garante europeo della protezione dei dati.
Per quantoriguarda la Commissione, le risorse necessarie sono giˆ comprese nelleprospettive finanziarie proposte per il periodo 2014-2020. La protezione deidati uno degli obiettivi del programma Diritti e cittadinanza, che sosterrˆanche alcune misure per realizzare il quadro normativo. Gli stanziamentiamministrativi, che comprendono il fabbisogno di personale, sono inclusi nelbilancio amministrativo della DG JUST.
Per quantoconcerne il garante europeo della protezione dei dati, le risorse necessarie dovrannoessere prese in considerazione nei rispettivi bilanci annuali che loriguardano. Le risorse sono specificate nel dettaglio nellÕallegato dellapresente scheda finanziaria. Al fine di fornire le risorse necessarie per inuovi compiti del comitato europeo per la protezione dei dati, le cui funzionidi segreteria saranno espletate dal garante europeo della protezione dei dati, sarˆnecessaria una riprogrammazione della rubrica 5 delle prospettive finanziarie2014-2020.
1.1. Titolodella proposta/iniziativa
Propostadi regolamento del Parlamento europeo e del Consiglio concernente la tuteladelle persone fisiche con riguardo al trattamento dei dati personali e lalibera circolazione di tali dati (regolamento generale sulla protezione deidati).
Propostadi direttiva del Parlamento europeo e del Consiglio concernente la tutela dellepersone fisiche con riguardo al trattamento dei dati personali da parte delleautoritˆ competenti a fini di prevenzione, indagine, accertamento eperseguimento di reati o di esecuzione di sanzioni penali, e la liberacircolazione di tali dati.
1.2.Settore/settori interessati nella struttura ABM/ABB49
Giustizia– Protezione dei dati personali
Leincidenze di bilancio riguardano la Commissione e il garante europeo dellaprotezione dei dati. LÕincidenza sul bilancio della Commissione specificata neldettaglio nelle tabelle della presente scheda finanziaria. Le spese operativerientrano nel campo del programma Diritti e cittadinanza e sono giˆ state presein considerazione nella scheda finanziaria relativa a tale programma, in quantole spese amministrative fanno parte della dotazione della DG Giustizia.
Glielementi riguardanti il garante europeo della protezione dei dati sonoillustrati nellÕallegato.
1.3. Naturadella proposta/iniziativa
Laproposta/iniziativa riguarda una nuova azione
Laproposta/iniziativa riguarda una nuova azione a seguito di un progettopilota/unÕazione preparatoria50
Laproposta/iniziativa riguarda la proroga di unÕazione esistente
Laproposta/iniziativa riguarda unÕazione riorientata verso una nuova azione
1.4. Obiettivi
1.4.1. Obiettivo/obiettivi strategici pluriennalidella Commissione oggetto della proposta/iniziativa
Lariforma mira a completare la realizzazione degli obiettivi iniziali, tenutoconto dei nuovi sviluppi e delle nuove sfide, ossia:
-aumentare lÕefficacia del diritto fondamentale alla protezione dei dati egarantire alle persone fisiche il controllo dei loro dati, in particolare nelcontesto dellÕevoluzione tecnologica e della crescente globalizzazione;
-rafforzare la dimensione Òmercato internoÓ della protezione dei dati riducendola frammentazione, aumentando la coerenza e semplificando il quadro normativo,in modo da eliminare i costi inutili e diminuire lÕonere amministrativo.
Inoltre,lÕentrata in vigore del trattato di Lisbona, in particolare lÕintroduzione diuna nuova base giuridica (articolo 16 del TFUE), offre la possibilitˆ diconseguire un nuovo obiettivo, ossia:
-creare un quadro globale per la protezione dei dati, che copra tutti i settori.
1.4.2. Obiettivo/obiettivi specifici e attivitˆABM/ABB interessate
Obiettivospecifico n. 1
GarantirelÕapplicazione coerente delle norme sulla protezione dei dati
Obiettivospecifico n. 2
RazionalizzarelÕattuale sistema di governance per contribuire a garantire unÕattuazione pi coerente
AttivitˆABM/ABB interessate
[é]
1.4.3. Risultati e incidenza previsti
Precisare gli effetti che laproposta/iniziativa dovrebbe avere sui beneficiari/gruppi interessati.
Perquanto riguarda i responsabili del trattamento, sia i soggetti pubblici chequelli privati trarranno beneficio dalla maggiore certezza giuridica derivantedallÕarmonizzazione e dal chiarimento delle norme e delle procedure UE sullaprotezione dei dati, che assicureranno condizioni eque, unÕapplicazionecoerente delle norme sulla protezione dei dati e una riduzione considerevoledellÕonere amministrativo.
Lepersone fisiche avranno un miglior controllo dei loro dati personali e pifiducia nellÕambiente digitale, e resteranno tutelate anche quando i loro datipersonali sono trattati allÕestero. Constateranno inoltre un rafforzamentodella responsabilitˆ di coloro che trattano i dati personali.
Ilsistema globale di protezione dei dati coprirˆ anche i settori della polizia edella giustizia, riprendendo e allargando lÕex terzo pilastro.
1.4.4. Indicatori di risultato e di incidenza
Precisare gli indicatori che permettonodi seguire la realizzazione della proposta/iniziativa.
(Siveda la valutazione dÕimpatto, sezione 8)
Gliindicatori saranno oggetto di una valutazione periodica e comprenderanno iseguenti elementi:
¥i tempi e i costi impiegati dai responsabili del trattamento per conformarsialla normativa Òin altri Stati membriÓ;
¥le risorse stanziate alle autoritˆ di protezione dei dati;
¥i responsabili della protezione dei dati istituiti nelle organizzazionipubbliche e private;
¥lÕuso delle valutazioni dÕimpatto sulla protezione dei dati;
¥il numero di reclami proposti dagli interessati e il risarcimento ottenuto;
¥il numero di casi che hanno comportato unÕazione penale nei confronti deiresponsabili del trattamento;
¥le sanzioni irrogate ai responsabili del trattamento per violazione dellaprotezione dei dati.
1.5. Motivazionedella proposta/iniziativa
1.5.1. Necessitˆ da coprire nel breve e lungotermine
Leattuali differenze nellÕattuazione, interpretazione e applicazione delladirettiva da parte degli Stati membri ostacolano il funzionamento del mercatointerno e la cooperazione tra le autoritˆ pubbliche in merito alle politichedellÕUnione. Questa situazione contraria allÕobiettivo fondamentale delladirettiva di agevolare la libera circolazione dei dati personali nel mercatointerno. La situazione ulteriormente aggravata dalla rapida evoluzione delle nuovetecnologie e dalla globalizzazione.
Lepersone fisiche non godono degli stessi diritti in materia di protezione deidati, a causa di una frammentazione e unÕattuazione e applicazione non coerentenei vari Stati membri.
Inoltre,spesso non sono consapevoli dellÕutilizzo che viene fatto dei loro datipersonali e ne perdono il controllo; di conseguenza non possono esercitare iloro diritti in modo efficace.
1.5.2. Valore aggiunto dellÕintervento dellÕUnioneeuropea
GliStati membri non sono in grado da soli di risolvere i problemi posti dallasituazione attuale, in particolare dalla frammentazione delle legislazioninazionali di attuazione del quadro normativo dellÕUnione sulla protezione deidati. é dunque pienamente giustificato istituire un quadro normativo sullaprotezione dei dati a livello di Unione. Esiste la precisa esigenza diistituire un quadro armonizzato e coerente che consenta un agevoletrasferimento transfrontaliero di dati personali allÕinterno dellÕUnioneeuropea e che garantisca nel contempo unÕeffettiva tutela di tutte le personefisiche nellÕintero territorio dellÕUE.
1.5.3. Insegnamenti tratti da esperienze analoghe
Lepresenti proposte si basano sullÕesperienza acquisita con la direttiva 95/46/CEe i problemi derivanti dal carattere frammentario del suo recepimento e dellasua attuazione, che le hanno impedito di raggiungere i due obiettiviperseguiti, ossia un elevato livello di protezione dei dati e un mercatointerno per la protezione dei dati.
1.5.4. Coerenza ed eventuale sinergia con altristrumenti pertinenti
Ilpresente pacchetto di riforma della protezione dei dati mira a realizzare unquadro solido, coerente e moderno sulla protezione dei dati a livellodellÕUnione, che sia neutro sotto il profilo tecnologico e che possadimostrarsi valido anche per i prossimi decenni. Recherˆ vantaggi alle personefisiche – rafforzandone i diritti in materia di protezione dei dati, in particolarenellÕambiente digitale – e semplificherˆ il quadro giuridico per leimprese e il settore pubblico, stimolando cos“ lo sviluppo dellÕeconomiadigitale in tutto il mercato interno e al suo esterno, in linea con gliobiettivi della strategia Europa 2020.
Ilnucleo del pacchetto di riforma della protezione dei dati composto da:
–un regolamento che sostituisce la direttiva 95/46/CE;
–una direttiva concernente la tutela delle persone fisiche con riguardo altrattamento dei dati personali da parte delle autoritˆ competenti a fini diprevenzione, indagine, accertamento e perseguimento di reati o esecuzione disanzioni penali, e la libera circolazione di tali dati.
Taliproposte legislative sono accompagnate da una relazione sullÕattuazione, daparte degli Stati membri, dellÕattuale strumento principale di protezione deidati nellÕUnione nel settore della cooperazione di polizia e della cooperazionegiudiziaria in materia penale, ossia la decisione quadro 2008/977/GAI.
1.6. Durata eincidenza finanziaria
Proposta/iniziativadi durata limitata
1. Proposta/iniziativain vigore a decorrere dal [GG/MM]AAAA fino al [GG/MM]AAAA
2. Incidenzafinanziaria dal AAAA al AAAA
Proposta/iniziativadi durata illimitata
1. Attuazionecon un periodo di avviamento dal 2014 al 2016,
2. seguito daun funzionamento a pieno ritmo.
1.7. Modalitˆdi gestione prevista51
Gestionecentralizzata diretta da parte della Commissione
Gestionecentralizzata indiretta con delega delle funzioni di esecuzione a:
3. agenzieesecutive
4. organismicreati dalle Comunitˆ52
5. organismipubblici nazionali/organismi investiti di attribuzioni di servizio pubblico
3. personeincaricate di attuare azioni specifiche di cui al titolo V del trattatosullÕUnione europea, che devono essere indicate nel pertinente atto di base aisensi dellÕarticolo 49 del regolamento finanziario
Gestioneconcorrente con gli Stati membri
Gestionedecentrata con paesi terzi
Gestionecongiunta con organizzazioni internazionali (specificare)
Se indicatapi di una modalitˆ, fornire ulteriori informazioni alla voce ÒOsservazioniÓ.
Osservazioni
2. MISURE DIGESTIONE
2.1.Disposizioni in materia di monitoraggio e di relazioni
Precisare frequenza e condizioni.
Laprima valutazione avrˆ luogo 4 anni dopo lÕentrata in vigore degli attigiuridici. Tali atti contengono unÕesplicita clausola di riesame, che imponealla Commissione di valutarne lÕattuazione.
Successivamentela Commissione riferisce al Parlamento europeo e al Consiglio in merito airisultati della valutazione. Le successive valutazioni avranno una periodicitˆdi quattro anni. Sarˆ applicata la metodologia della Commissione in materia divalutazione. Tali valutazioni saranno realizzate con lÕaiuto di studi miratirelativi allÕattuazione degli strumenti giuridici, questionari inviati alleautoritˆ nazionali di protezione dei dati, discussioni con esperti, seminari,sondaggi Eurobarometro, ecc.
2.2. Sistemadi gestione e di controllo
2.2.1. Rischi individuati
éstata effettuata una valutazione dÕimpatto per la riforma del quadro sullaprotezione dei dati nellÕUE che correda le proposte di regolamento e didirettiva.
Ilnuovo atto giuridico introdurrˆ una meccanismo per garantire la coerenza,assicurando che le indipendenti autoritˆ di controllo degli Stati membriapplichino il quadro normativo in modo uniforme e coerente. Tale meccanismofunzionerˆ nellÕambito del comitato europeo per la protezione dei dati compostodai direttori delle autoritˆ di controllo nazionali e del garante europeo dellaprotezione dei dati (GEPD), che sostituirˆ lÕattuale gruppo di lavoro Òarticolo29Ó. Il garante europeo della protezione dei dati svolge le funzioni disegreteria per il comitato.
Incaso di eventuali decisioni divergenti da parte delle autoritˆ degli Statimembri, il comitato europeo per la protezione dei dati sarˆ consultato per unparere. Se tale procedura fallisce, o se unÕautoritˆ di controllo rifiuta diconformarsi al parere, la Commissione potrebbe, al fine di garantireunÕapplicazione corretta e coerente del presente regolamento, emettere unparere o, se necessario, adottare una decisione qualora dubiti seriamente cheil progetto di misura garantisca la corretta applicazione del presenteregolamento e rischi invece di portare a una sua applicazione non coerente,
Ilmeccanismo di coerenza richiede risorse supplementari per il GEPD, (12 ETP eadeguati stanziamenti amministrativi e operativi, ad esempio, per i sistemi ele operazioni IT) per espletare i compiti di segreteria e per la Commissione (5ETP e relativi stanziamenti amministrativi e operativi) per trattare i casirelativi alla coerenza.
2.2.2. Modalitˆ di controllo previste
Gliattuali metodi di controllo applicati dal GEPD e dalla Commissione sarannoadottati per gli altri stanziamenti.
2.3. Misure diprevenzione delle frodi e delle irregolaritˆ
Precisare le misure di prevenzione e ditutela in vigore o previste.
Leesistenti misure di prevenzione delle frodi attualmente applicate dal GEPD edalla Commissione saranno adottate per gli altri stanziamenti.
3. INCIDENZAFINANZIARIA PREVISTA DELLA PROPOSTA/INIZIATIVA
3.1.Rubrica/rubriche del quadro finanziario pluriennale e linea/linee di bilanciodi spesa interessate
1. Linee dibilancio di spesa esistenti
Secondol'ordine delle rubriche del quadro finanziario pluriennale e delle linee dibilancio.
| Rubrica del quadro finanziario pluriennale | Linea di bilancio | Natura della spesa | Partecipazione |
| Numero [DenominazioneŠŠŠŠŠŠŠŠŠ..ŠŠ.] | Diss./Non diss.(53) | di paesi EFTA54 | di paesi candidati55 | di paesi terzi | ai sensi dell'articolo 18, paragrafo 1, lettera a bis), del regolamento finanziario |
| | | | | | | |
3.2. Incidenzaprevista sulle spese
3.2.1. Sintesi dell'incidenza prevista sulle spese
MioEUR (al terzo decimale)
Rubrica del quadro finanziario pluriennale: | | |
| | | | Anno N56= 2014 | Anno N+1 | Anno N+2 | Anno N+3 | inserire gli anni necessari per evidenziare la durata dell'incidenza (cfr. punto 1.6) | TOTALE |
| Stanziamenti operativi | | | | | | | | |
| Numero della linea di bilancio | Impegni | (1) | | | | | | | | |
| Pagamenti | (2) | | | | | | | | |
| Numero della linea di bilancio | Impegni | (1a) | | | | | | | | |
| Pagamenti | (2a) | | | | | | | | |
| Stanziamenti di natura amministrativa finanziati dalla dotazione di programmi specifici57 | | | | | | | | |
| Numero della linea di bilancio | | (3) | | | | | | | | |
| TOTALE degli stanziamenti per la DG +3 | Impegni | =1+1a+3 | |
| Pagamenti | =2+2a+3 | |
| TOTALE degli stanziamenti operativi | Impegni | (4) | | | | | | | | |
| Pagamenti | (5) | | | | | | | | |
| TOTALE degli stanziamenti di natura amministrativa finanziati dalla dotazione di programmi specifici | (6) | |
| TOTALE degli stanziamenti per la RUBRICA 3 del quadro finanziario pluriennale | Impegni | =4+ 6 | | | | | | | | |
| Pagamenti | =5+ 6 | | | | | | | | |
Se laproposta/iniziativa incide su più rubriche:
| TOTALE degli stanziamenti operativi | Impegni | (4) | | | | | | | | |
| Pagamenti | (5) | | | | | | | | |
| TOTALE degli stanziamenti di natura amministrativa finanziati dalla dotazione di programmi specifici | (6) | | | | | | | | |
| TOTALE degli stanziamenti per le RUBRICHE da 1 a 4 del quadro finanziario pluriennale (importo di riferimento) | Impegni | =4+ 6 | | | | | | | | |
| Pagamenti | =5+ 6 | | | | | | | | |
Rubrica del quadro finanziario pluriennale: | | |
MioEUR (al terzo decimale)
| Anno N= 2014 | Anno 2015 | Anno 2016 | Anno 2017 | Anno 2018 | Anno 2019 | Anno 2020 | TOTALE |
| DG: JUST | | |
| Risorse umane | | 2,922 | 2,922 | 2,922 | 2,922 | 2,922 | 2,922 | 2,922 | 20,454 | |
| Altre spese amministrative | | 0,555 | 0,555 | 0,555 | 0,555 | 0,555 | 0,555 | 0,555 | 3,885 | |
| TOTALE DG JUST | | 3,477 | 3,477 | 3,477 | 3,477 | 3,477 | 3,477 | 3,477 | 24,339 | |
| TOTALE degli stanziamenti per la RUBRICA 5 del quadro finanziario pluriennale | (Totale impegni = Totale pagamenti) | 3,477 | 3,477 | 3,477 | 3,477 | 3,477 | 3,477 | 3,477 | 24,339 |
MioEUR (al terzo decimale)
| Anno N58 | Anno N+1 | Anno N+2 | Anno N+3 | inserire gli anni necessari per evidenziare la durata dell'incidenza (cfr. punto 1.6) | TOTALE | |
| TOTALE degli stanziamenti per le RUBRICHE da 1 a 5 del quadro finanziario pluriennale | Impegni | 3,477 | 3,477 | 3,477 | 3,477 | 3,477 | 3,477 | 3,477 | 24,339 |
| Pagamenti | 3,477 | 3,477 | 3,477 | 3,477 | 3,477 | 3,477 | 3,477 | 24,339 |
| | | | | | | | | | | |
3.2.2. Incidenza prevista sugli stanziamentioperativi
6.Laproposta/iniziativa non comporta l'utilizzazione di stanziamenti operativi
Un elevatolivello di protezione dei dati personali rientra anche tra gli obiettivi delprogramma "diritti e cittadinanza".
7.Laproposta/iniziativa comporta l'utilizzazione di stanziamenti operativi, comespiegato di seguito:
Stanziamenti di impegno in Mio EUR (alterzo decimale)