Parere 8/2012 - WP199

che fornisce un ulteriore contributo alle discussioni sullariforma in materia di protezione dei dati

adottato il 5 ottobre 2012

Introduzione

Dall'adozione del pacchetto di riforma in materia di protezionedei dati, avvenuta il 25 gennaio 2012, il Consiglio e il Parlamento europeohanno avviato le rispettive procedure nell'ambito del processo legislativo.

Parlamento europeo

Il Parlamento europeo ha assegnato entrambe le proposte allacommissione LIBE e ha nominato Jan Albrecht e Dimitrios Droutsas come relatori.Partecipano anche le commissioni parlamentari IMCO, ITRE, ECON, JURI e EMPL.

Il pacchetto di riforma è già stato discusso varie volte in senoalla commissione LIBE e con i relatori ombra (membri di altri gruppi politiciche si occupano della riforma). Il 29 maggio 2012 i relatori hanno ancheorganizzato una riunione dei portatori d'interessi sul progetto di regolamento.La commissione LIBE sta organizzando una riunione interparlamentare da svolgereil 9 e 10 ottobre 2012 con i membri dei parlamenti nazionali per discutere ilpacchetto di riforma. La commissione LIBE intende presentare i progetti direlazione sulla riforma entro la fine del 2012, per cui anche le altrecommissioni coinvolte devono presentare i rispettivi progetti di parere entrola fine dell'anno.

In una riunione della commissione LIBE del giugno 2012, i relatorihanno presentato un primo documento di lavoro che sottolinea i principalielementi della riforma, richiede che sia adottato un approccio globale al pacchettodi misure ("per istituire due strumenti giuridici coerenti, armoniosi e dielevato livello per quanto riguarda la protezione dei dati adottando unaprocedure completa, equilibrata, coordinata e parallela per entrambi i testi")e individua vari settori in cui sono necessari ulteriori chiarimenti ediscussioni:

1. il ruolo della Commissioneattraverso atti delegati e atti di esecuzione e nell'ambito del meccanismo dicoerenza;

2. l'attuale esclusione dalla riforma delle norme di protezionedei dati per le istituzioni e le agenzie dell'Unione europea;

3. il rapporto tra il diritto generale dell'Unione e lelegislazioni nazionali specifiche;

4. l'esatta suddivisione dei ruoli e dei compiti tra le autoritàper la protezione dei dati nei casi transfrontalieri;

5. chiarimenti sulla profilazione, per quanto riguarda anchel'elemento umano e il diritto all'informazione sulla logica applicata nellatrattazione dei dati, come richiesto dal Parlamento;

6. le nozioni di "legittimo interesse", "interesse pubblico" e"sicurezza pubblica";

7. la stretta correlazione fra i due strumenti legislativi,soprattutto nei casi di accesso da parte delle autorità di contrasto ai datipersonali in possesso di soggetti privati;

8. le richieste di accesso o gli ordini di accesso a datipersonali conservati nell'Unione europea da parte di autorità pubbliche dipaesi terzi, soprattutto per i casi in cui il responsabile del trattamento èstabilito anche in tali paesi;

9. maggiori incentivi per la protezione fin dalla progettazione ela protezione di default.

Consiglio

Si sono svolte varie riunioni del gruppo di lavoro del Consiglio(DAPIX), prima sotto la presidenza danese e attualmente sotto la presidenzacipriota. Le discussioni che hanno avuto luogo in seno al DAPIX si sono concentrateprincipalmente sul progetto di regolamento di cui è stato analizzato ognisingolo articolo.

Secondo il Consiglio, le discussioni a livello di gruppo di lavorohanno dimostrato che tra gli Stati membri esiste un ampio consenso sullanecessità di riformare il quadro giuridico esistente in materia di protezionedei dati e di rafforzare il diritto alla protezione dei dati personali.Inoltre, sono emerse opinioni convergenti tra gli Stati membri sulla necessitàdi garantire una maggiore armonizzazione e coerenza nell'applicazione dellenorme dell'Unione europea sulla protezione dei dati. Tuttavia, da un documentointerno è trapelato che molte delegazioni nazionali hanno messo in discussionevarie nozioni fondamentali consolidate relative alla protezione dei dati.

In una riunione informale dei ministri della Giustizia e degliAffari interni tenutasi a Nicosia il 23 e 24 luglio 2012, i ministri hannodiscusso dell'opportunità di adeguare meglio alcuni requisiti formali (oneriamministrativi), in particolare per le micro, piccole e medie imprese, sullabase di criteri concordati, come i rischi connessi all'attività di trattamentodei dati, le dimensioni del responsabile del trattamento, la quantità di datipersonali trattati e/o il numero di persone interessate. I ministri hannoinoltre convenuto che non deve esistere alcuna differenziazione in quanto talenelle norme relative ai settori pubblico e privato, sebbene sia necessario uncerto grado di flessibilità per il settore pubblico. I ministri hanno altresì decisodi esaminare caso per caso la necessità e i termini dell'ampio numero di attidelegati e atti di esecuzione proposti e le possibili alternative. A talescopo, gli Stati membri hanno ricevuto un questionario (cui deve essere datarisposta entro il 4 ottobre) riguardo agli oneri amministrativi, agli attidelegati e agli atti di esecuzione e al grado di flessibilità delle norme sullaprotezione dei dati ritenuto necessario per il settore pubblico.

Ulteriore contributo del Gruppo di lavoro "articolo 29"

Nel suo parere del 23 marzo 2012, il Gruppo di lavoro "articolo29" ha espresso la sua prima reazione generale alle proposte della Commissione,sottolineando i settori problematici e suggerendo alcuni miglioramenti.

Il Gruppo di lavoro "articolo 29" accoglie con favore l'approccioglobale adottato dai relatori del Parlamento europeo all'intero pacchetto dimisure ed è fiducioso che tutte le commissioni parlamentari coinvoltepresteranno la debita attenzione a tutti gli elementi del pacchetto al fine dimigliorare ulteriormente entrambe le proposte della Commissione.

Il Gruppo di lavoro accoglie con favore anche gli sforzi compiutidalla presidenza cipriota del Consiglio menzionati in precedenza e tesi arilanciare le discussioni in seno al gruppo di lavoro del Consiglio che sioccupa della riforma.

Tenuto conto delle discussioni in corso al Parlamento europeo e alConsiglio, il Gruppo di lavoro ha deciso di adottare il presente parerecontenente ulteriori orientamenti, in particolare su alcuni concetti fondamentalidella protezione dei dati, e analizzando la necessità degli atti delegatiproposti e i relativi effetti e, ove necessario, suggerendo alternative piùadeguate.¹

Il Gruppo di lavoro osserva che alcuni di coloro che hannoespresso preoccupazione riguardo alle ripercussioni della proposta diregolamento concentrano la loro attenzione sui concetti fondamentali di datipersonali e di consenso. Il Gruppo di lavoro ritiene che sia un errore. Perproteggere in maniera adeguata la riservatezza delle informazioni personali eassicurare la validità del regolamento anche in futuro, è necessario adottareun'ampia definizione di dati personali e garantire che il consenso, qualora siarichiesto, risponda a standard elevati. Se l'adozione di questi concetti fondamentaliproduce effetti sproporzionati nell'applicazione delle disposizioni delregolamento per quanto riguarda la disciplina del trattamento e la definizionedi diritti individuali, l'attenzione deve essere rivolta a tali disposizioni ealle relative eccezioni anziché ai concetti fondamentali.

Sulla definizione di dati personali

Nel suo parere del 23 marzo², il Gruppo dilavoro accoglie con favore la definizione di "interessato" di cui all'articolo4, paragrafo 1, del regolamento proposto, in base al quale s'intende perinteressato "la persona fisica identificata o identificabile...".

Il Gruppo di lavoro nota che tale definizione non modificasostanzialmente la nozione di dati personali di cui alla direttiva 95/46/CE, mane riorganizza soltanto i vari elementi³. Nel suoparere sul concetto di dati personali⁴, il Gruppo dilavoro ha già osservato che l'attuale definizione offre un margine sufficientedi continuità e di flessibilità nel modo in cui si applica ai dati in varicontesti, come la ricerca farmaceutica o gli indirizzi IP.

Una delle principali conclusioni di questa analisi è che unapersona fisica può essere considerata identificabile quando, all'interno di ungruppo di persone, essa può essere distinta dagli altri membri del gruppo e diconseguenza essere trattata diversamente.

Il considerando 23 e l'articolo 4 dovrebbero pertanto esseremodificati per chiarire che la nozione di identificabilità include anche questotipo di distinzione.

Considerando 23: "» necessario applicare i principi diprotezione a tutte le informazioni relative ad una persona identificata oidentificabile e a tutte leinformazioni che consentono di distinguere e trattare diversamente una personafisica. Per stabilire l'identificabilità di una persona, è opportunoconsiderare tutti i mezzi di cui può ragionevolmente[cancellare: ragionevolmente] avvalersi il responsabile del trattamentoo un terzo per identificare detta persona. Non è necessario applicare iprincipi di protezione ai dati resi sufficientemente anonimi da impedire l'identificazionedell'interessato"5.

Articolo 4, paragrafo 1: "interessato: la persona fisicaidentificata o identificabile, direttamente o indirettamente, o distinta e trattata diversamente,con mezzi che il responsabile del trattamento o altra persona fisica ogiuridica ragionevolmente può utilizzare, con particolare riferimento a unnumero di identificazione, a dati relativi all'ubicazione, a un identificativoon line o a uno o più elementi caratteristici della sua identità genetica,fisica, fisiologica, psichica, economica, culturale o sociale".

Inoltre, il considerando 24 relativo alla definizione di datipersonali prevede che numeri di identificazione, dati relativi all'ubicazione,identificativi on line o altri fattori specifici non debbano di per sé esserenecessariamente considerati dati personali in tutte le circostanze. Nella suaformulazione attuale, l'ultima frase potrebbe indurre a un'interpretazioneeccessivamente restrittiva della nozione di dati personali in relazione, peresempio, agli indirizzi IP o ai marcatori temporanei (cookies). Il Gruppo dilavoro rammenta che i dati personali sono dati che riguardano una personaidentificabile. "i dati concernono una persona se si riferisconoall'identità, alle caratteristiche o al comportamento di questa persona, o setali informazioni vengono impiegate per stabilire o influenzare il modo in cuiquella persona viene trattata o valutata".

Il Gruppo di lavoro ha già approfondito nel suo parere 4/2007 unacasistica che spiega il motivo per cui si debba ritenere che gli indirizzi IPriguardano persone identificabili, "in particolare, nei casi in cui iltrattamento di indirizzi IP viene effettuato per identificare gli utenti di uncomputer (ad esempio, dal titolare di un diritto d'autore per perseguirel'utente di un computer per violazione di diritti di proprietà intellettuale)(...)". In questo caso, come nel caso dei cookies, il responsabile deltrattamento avverte che "mezzi che possono essere ragionevolmente utilizzati"saranno disponibili per identificare le persone e trattarle in un determinatomodo.⁶

Il Gruppo di lavoro suggerisce quindi di modificare in tal sensoil considerando 24.

Considerando 24: "Navigando on line, accade che si siaassociati a identificativi on line prodotti dai dispositivi, dalle applicazioni,dagli strumenti e protocolli utilizzati, quali gli indirizzi IP o i marcatoritemporanei (cookies). Tali identificativi possono lasciare tracce che,combinate con altri identificativi univoci e altre informazioni ricevute daiserver, possono essere utilizzate per creare profili e identificare o distinguere gli utenti. Ne consegueche numeri di identificazione, dati relativi all'ubicazione, identificativi online o altri fattori specifici debbanoessere considerati di regola [cancellare: non debbano di per sé esserenecessariamente considerati] dati personali [cancellare: in tutte lecircostanze]."

Sulla nozione di consenso

Nell'articolo 6, paragrafo 1, il consenso dell'interessatocostituisce la prima base giuridica per il trattamento di dati personali purchésiano soddisfatte determinate condizioni. Tali condizioni sono specificateall'articolo 4, paragrafo 8 e all'articolo 7 del regolamento proposto.

Tuttavia, il consenso svolge un ruolo, ove pertinente, in uncontesto più ampio in cui possono essere utilizzati anche altri criteri perlegittimare il trattamento di dati personali.

Il recente parere del Gruppo di lavoro "articolo 29" sul consenso⁷ ribadisce la necessità digarantire che il consenso sia utilizzato nel contesto appropriato e che non sene abusi. Nel caso in cui lo si utilizzi, il consenso deve esseresufficientemente chiaro. Può essere espresso in vari modi, per esempio medianteuna dichiarazione o un'azione affermativa, in quanto la definizione è espressain termini sufficientemente flessibili. Il requisito essenziale è che ladichiarazione o l'azione esprima chiaramente che l'interessato accetta che idati personali che lo riguardano siano oggetto di trattamento.

Ispirandosi al parere del Gruppo di lavoro, l'articolo 7 delprogetto di regolamento introduce nuovi elementi positivi, in particolareimponendo l'onere della prova al responsabile del trattamento, introducendoalcune garanzie nel contesto di una dichiarazione scritta e escludendo lavalidità del consenso ove vi sia un notevole squilibrio tra la posizionedell'interessato e quella del responsabile del trattamento. Il Gruppo di lavoroaccoglie con estremo favore questi importanti chiarimenti e il rafforzamentodei diritti delle persone fisiche.

Al Gruppo di lavoro risulta che siano stati sollevati dubbiriguardo alla possibilità di usare la parola "esplicito" nel contesto delconsenso di cui all'articolo 4, paragrafo 8. Il Gruppo di lavoro è del parereche l'inclusione del termine "esplicito" costituisca un importante chiarimentodel testo, necessaria per consentire effettivamente agli interessati diesercitare i loro diritti, soprattutto su Internet in cui attualmente ilconsenso è troppo spesso utilizzato in maniera impropria. Sarebbe decisamenteinopportuno se questo importante chiarimento venisse cancellato dal testo.

Il Gruppo di lavoro sottolinea infine che la nozione di consensoha un significato generale in un'ampia serie di situazioni. Le condizioni dicui all'articolo 4, paragrafo 8 e all'articolo 7 sono a suo parere del tuttoadeguate per garantire un uso appropriato del consenso in tutte questesituazioni. Nel caso specifico dei cookies, di recente il Gruppo di lavoro haposto in evidenza la maggiore flessibilità offerta in tale contesto.⁸

Sugli atti delegati proposti

Nella proposta della Commissione relativa a un nuovo regolamentosulla protezione dei dati, è prevista una notevole quantità di atti delegati edi atti di esecuzione. Sebbene tali atti successivi possano in alcuni casiessere uno strumento prezioso per garantire una maggiore armonizzazione efornire un ulteriore orientamento, il Gruppo di lavoro "articolo 29" nutrealcune riserve sulla portata dei poteri che verrebbero conferiti allaCommissione per adottare atti delegati e atti di esecuzione, come ha indicatoanche nel suo parere sulle proposte di riforma in materia di protezione deidati. Come menzionato in precedenza, la commissione LIBE del Parlamento europeoe il Consiglio hanno espresso preoccupazioni simili e hanno annunciato cheesamineranno gli atti delegati e gli atti di esecuzione proposti articolo perarticolo per stabilire se sono davvero necessari.

Nel suo parere sulle proposte di riforma in materia di protezionedei dati, il Gruppo di lavoro ha sostenuto che il comitato europeo per laprotezione dei dati, che subentrerà al Gruppo di lavoro, dovrebbe in ogni casoessere consultato nel processo di redazione degli atti delegati o degli atti diesecuzione. Inoltre, uno dei principali compiti attuali del Gruppo di lavoro èfornire orientamenti interpretativi. Gli orientamenti forniti negli annipassati, principalmente sotto forma di pareri, si sono rivelati un valoreaggiunto. In futuro, è ancora più importante che il comitato europeo per laprotezione dei dati fornisca orientamenti interpretativi e, in virtù del fattoche è composto da tutte le autorità nazionali di protezione dei datidell'Unione europea, in alcune situazioni può addirittura trovarsi in unaposizione migliore per fornire orientamenti.

Differenze tra atti delegati e atti di esecuzione

Dall'entrata in vigore del trattato di Lisbona, alla Commissionepossono essere conferiti poteri per adottare atti delegati e atti diesecuzione. Gli atti delegati si fondano sull'articolo 290 del TFUE e possonoessere adottati per integrare o modificare elementi non essenziali di un attolegislativo (in questo caso il regolamento proposto). Gli atti di esecuzione sifondano sull'articolo 291 del TFUE e possono essere utilizzati qualora sianonecessarie condizioni uniformi di esecuzione degli atti giuridicamentevincolanti dell'Unione, come una direttiva o un regolamento.

Per quanto riguarda gli atti delegati, la delegazione di poteriproposta significa che una parte sostanziale delle disposizioni non saràinclusa nel regolamento proposto e non sarà adottata attraverso le normaliprocedure legislative. Ciò non significa tuttavia che il Parlamento europeo eil Consiglio non saranno coinvolti nell'adozione di una atto delegato. Gli attidelegati entrano in vigore soltanto se il Parlamento europeo e il Consiglio nonsollevano obiezioni entro il termine di due mesi dalla data in cui l'atto èstato loro notificato, come risulta anche dall'articolo 86 del regolamentoproposto.

Se il Parlamento europeo o il Consiglio solleva obiezioni, l'attodelegato non entra in vigore. La Commissione può quindi decidere di proporre unnuovo atto delegato tenendo conto delle obiezioni o può definire un nuovo attolegislativo se le obiezioni espresse riguardavano l'eccesso dei poteridelegati. Com'è ovvio, un'altra possibilità è che la Commissione decida di nonproporre altri atti o norme.

L'articolo 290 del TFUE non prevede la possibilità per ilParlamento europeo o il Consiglio di proporre modifiche, consente loro soltantodi sollevare obiezioni all'entrata in vigore di un atto delegato.

Gli articoli 290 e 291 del TFUE non prevedono chiari criteri perscegliere tra un atto delegato e un atto di esecuzione. Dal regolamentoproposto risulta con chiarezza che la Commissione prende in considerazione gliatti di esecuzione per garantire che siano uniformi le condizioni più tecnicheper l'attuazione del regolamento, come ad esempio moduli e procedure standard.

La menzione di un potere da conferire alla Commissione peradottare atti delegati e atti di esecuzione non implica necessariamentel'obbligo per quest'ultima di adottare tutti gli atti proposti nel regolamento.La maggior parte degli atti può essere adottata soltanto quando ne sorga lanecessità.

Il Gruppo di lavoro sottolinea che la possibilità di adottare attidelegati e atti di esecuzione dovrebbe essere prevista soltanto nei casi in cuila Commissione possa giustificarne l'effettiva necessità. Il fatto che talevalutazione non possa essere effettuata in tutti i casi al momentodell'adozione del regolamento non costituisce una giustificazione sufficienteper conferire alla Commissione, in via precauzionale, il potere di adottareatti delegati o di esecuzione.

Come si evince da quanto precede, esistono molti modi perdisciplinare la protezione dei dati a livello dell'Unione europea:

- nel regolamento proposto;

- in un atto delegato;

- in un atto di esecuzione;

- nei considerando del regolamento.

Tuttavia, in alcuni casi è possibile giungere in maniera piùadeguata a un approccio coerente e armonizzato a livello dell'Unione attraversoorientamenti interpretativi emanati dal comitato europeo per la protezione deidati (che possono includere l'approvazione di codici di condotta).

Poiché la Commissione sembra voler considerare gli atti diesecuzione principalmente per garantire l'uniformità delle condizioni piùtecniche per l'applicazione del regolamento, come ad esempio moduli o procedurestandard, e non per l'ulteriore attuazione e applicazione delle norme(sostanziali), per il momento tali atti sono stati esclusi dalla valutazione chesegue. Tuttavia, può essere necessario analizzarli comunque.

Valutazione degli atti delegati proposti

La Commissione ha chiarito fin dall'inizio che lo scopo dellariforma era garantire l'armonizzazione e la neutralità tecnologica dellostrumento. Pertanto, nell'analizzare gli atti delegati proposti, si è tenutoconto di tale scopo.

Un altro criterio evidente (derivante dall'articolo 290 del TFUE)è che gli elementi essenziali devono essere inseriti nell'ambito dell'atto dibase, ossia il regolamento proposto, e non in un atto delegato. Il Gruppo dilavoro "articolo 29" e il comitato europeo per la protezione dei dati hannoindicato varie disposizioni del regolamento proposto in cui sono stati delegatipoteri alla Commissione in relazione a elementi essenziali.⁹

Inoltre, in alcune situazioni è importante garantire la certezzagiuridica. Stabilire norme in strumenti vincolanti dell'Unione europeagarantisce certezza giuridica e condizioni eque all'interno dell'Unione.Esistono situazioni in cui uno strumento vincolante dell'UE che specifichi unadisposizione del regolamento costituisce la soluzione più adeguata per crearecertezza giuridica, proteggere l'interessato ed evitare disparità distorsivetra gli Stati membri.

Tuttavia, in altre situazioni potrebbe risultare più appropriatoprevedere una maggiore flessibilità e tenere conto delle differenze culturaliper garantire l'applicazione pratica delle norme. In tali casi, può essere piùopportuno fornire indicazioni attraverso orientamenti del comitato europeo perla protezione dei dati, che riconoscono la necessità di una maggioreflessibilità e sostengono l'introduzione del principio di responsabilità. Inultima istanza, la questione è lasciata alla competenza della Corte digiustizia e dei giudici nazionali.

La scelta di affrontare una questione specifica relativa allaprotezione dei dati in uno o più degli strumenti summenzionati deve essereeffettuata sulla base di chiari criteri.

I criteri utilizzati per la valutazione sono:

Ä se la questione riguarda una parte essenziale del regolamentooppure no;

Ä se la questione deve essere affrontata a livello europeo onazionale (ossia se è necessaria un'armonizzazione);

Ä se è necessario uno strumento giuridicamente vincolante o unostrumento più flessibile;

Ä se lo strumento è compatibile con la necessità di una neutralitàtecnologica;

Ä se è necessario fornire ulteriori orientamenti (ossia se debbaessere affidato al responsabile del trattamento il compito di dare un contenutoalle norme in ogni caso specifico, sempre nel rispetto delle esigenze divigilanza, applicazione e controllo giurisdizionale).

Nell'allegato del presente parere, vengono individuati eanalizzati gli articoli in cui vengono proposti atti delegati, valutando se unatto delegato sia effettivamente la soluzione più adeguata per affrontare lequestioni in esame. Gli altri strumenti considerati assimilabili a un attodelegato che potrebbero fornire ulteriori orientamenti sono:

Ä affrontare la questione nel testo del regolamento;

anziché prevedere la possibilità di adottare atti delegati, alcunequestioni potrebbero, o dovrebbero, essere integrate nel testo del regolamento.Precisare alcuni aspetti nel testo del regolamento ne comporterebbel'armonizzazione in quanto il regolamento è direttamente applicabile in tuttal'Unione europea. Tuttavia, in questo modo si rischia di non disporre dellaflessibilità sufficiente per disciplinare tutte le situazioni e di nongarantire la neutralità tecnologica. Inoltre, cercare di integrare altredisposizioni nel regolamento potrebbe rischiare di rallentare il processo diriforma;

Ä affrontare la questione in un considerando del regolamento;

alcune questioni potrebbero essere affrontate in un considerandodel regolamento, anziché in un atto delegato. Un considerando può, entro certilimiti, fornire utili indicazioni generali sullo scopo e la ratio di unadeterminata disposizione. Tuttavia, cercando di integrare altri esempi neiconsiderando del regolamento si rischia di rallentare il processo di riforma odi emanare norme giuridiche inadeguate, ispirate da interessi particolari e nonda principi generali;

Ä lasciare che a disciplinare la questione sia la normativanazionale;

per tenere conto delle differenze (culturali, giuridiche estoriche) esistenti tra gli Stati membri, ulteriori precisazioni potrebberoessere fornite anche dalla normativa nazionale. In questo modo però si rischiadi mettere in discussione lo scopo dell'armonizzazione e il funzionamento delmercato interno;

Ä orientamenti del comitato europeo per la protezione dei dati;

in alcuni casi, gli orientamenti del comitato europeo per laprotezione dei dati possono essere una valida alternativa a un atto delegato.Gli orientamenti del Gruppo di lavoro "articolo 29" non sono uno strumentonuovo. Il Gruppo di lavoro "articolo 29" fornisce già pareri e raccomandazionisu tutte le questioni attinenti alla tutela delle persone relativamente altrattamento dei dati personali ai sensi dell'articolo 30 della direttiva95/46/CE. Esprimendo pareri congiunti, l'attuale Gruppo di lavoro "articolo 29"contribuisce all'applicazione armonizzata del quadro giuridico vigente. Anchese non sono di per sé giuridicamente vincolanti, tali pareri sono autorevoli ehanno dimostrato il loro valore aggiunto. Gli orientamenti del comitato europeoper la protezione dei dati sono uno strumento flessibile che può essereadattato e riveduto o aggiornato con relativa facilità, per esempio in seguitoa sviluppi tecnici;

Ä non fornire ulteriori orientamenti o norme;

in alcuni casi, potrebbe essere proposto di non fornire ulterioriorientamenti o norme, in quanto le disposizioni sono sufficientemente chiareper tutte le parti interessate e i responsabili del trattamento sono tenuti agarantire la conformità al regolamento, sempre nel rispetto delle esigenze divigilanza, applicazione e controllo giurisdizionale.

ALLEGATO

Articolo 6, paragrafo 5 –precisare le condizioni di cui all'articolo 6, paragrafo 1, lettera f), pervari settori e situazioni di trattamento dei dati, anche con riferimento al trattamentodei dati personali concernenti un minore.

L'articolo 6 riguarda la liceità del trattamento e stabilisce seibasi giuridiche alternative per i trattamenti alle lettere da a) a f), dicui almeno una deve essere applicabile in un determinato momento.

Il paragrafo 1, lettera f) stabilisce che il trattamento di datipersonali è lecito soltanto se e nella misura in cui è necessario per ilperseguimento del legittimo interesse del responsabile del trattamento, acondizione che non prevalgano gli interessi o i diritti e le libertà fondamentalidell'interessato che richiedono la protezione dei dati personali, inparticolare se l'interessato è un minore. Ciò non si applica al trattamento didati effettuato dalle autorità pubbliche nell'esercizio dei loro compiti.

Ai sensi dell'articolo 6, paragrafo 1, lettera f), il legittimointeresse può costituire una base giuridica per il trattamento dei datipersonali se e nella misura in cui siano state soddisfatte determinatecondizioni, il che richiede l'esecuzione di un test comparativo, alla lucedelle circostanze di ogni caso.

In base al principio di responsabilità (che è sancitodall'articolo 22 del regolamento proposto), spetta al responsabile deltrattamento decidere se ha un legittimo interesse che giustifichi iltrattamento di taluni dati o se rispetto a tale interesse prevalgano gliinteressi o i diritti e le libertà fondamentali dell'interessato. In questocontesto, devono essere rispettate le esigenze di vigilanza, di applicazione edi controllo giurisdizionale.

Tuttavia, poiché riguarda una delle basi giuridiche per iltrattamento dei dati, è essenziale fornire ulteriori orientamenti per avereun'interpretazione comune della disposizione. Ulteriori orientamenti su esempio criteri comuni per la definizione di legittimo interesse sarebbero utili pergarantire un'applicazione e un'attuazione coerenti.

Considerando tutte le varie situazioni (presenti e future) chepotrebbero costituire un legittimo interesse e in cui su di esso prevarrebberogli interessi e i diritti e le libertà fondamentali dell'interessato, sembrapiù appropriato uno strumento più flessibile rispetto a uno strumentovincolante.

Inoltre, non è certo che un atto delegato sia uno strumentoadeguato per questo elemento essenziale del regolamento.

Se si lascia al diritto nazionale il compito di un'ulterioreregolamentazione in materia, potrebbero determinarsi inopportune divergenze diinterpretazione e di applicazione. Ai responsabili del trattamento potrebbeessere concesso di trattare i dati su questa base in uno Stato membro eprobabilmente non in un altro. Per garantire un'interpretazione eun'applicazione coerenti di tale base giuridica per il trattamento dei dati,sarebbe pertanto necessario fornire orientamenti a livello europeo.

Per garantire la flessibilitànecessaria, anziché affrontare la questione in un atto delegato, sembra piùappropriato che sia il comitato europeo per la protezione dei dati ad emanareorientamenti riguardo ai casi in cui può essere invocato il motivo del "legittimointeresse" e al modo di valutare se su tale interesse prevalgono gli interessio i diritti e le libertà fondamentali dell'interessato, tra l'altro fornendoesempi concreti.

Articolo 8, paragrafo 3 –precisare i criteri e i requisiti concernenti le modalità per ottenere ilconsenso verificabile di cui al paragrafo 1. A tal fine, la Commissione contemplamisure specifiche per le micro, piccole e medie imprese.

L'articolo 8, paragrafo 1 stabilisce che ai fini del regolamento,per quanto riguarda l'offerta diretta di servizi della societàdell'informazione ai minori, il trattamento di dati personali di minori di etàinferiore ai tredici anni è lecito se e nella misura in cui il consenso èespresso o autorizzato dal genitore o dal tutore del minore. Il responsabiledel trattamento si adopera in ogni modo ragionevole per ottenere un consensoverificabile, in considerazione delle tecnologie disponibili.

In base al principio di responsabilità, spetterebbe alresponsabile del trattamento il compito di ottenere il consenso verificabile,in considerazione delle tecnologie disponibili.

Precisare in un documento giuridico i criteri e i requisiticoncernenti le modalità per ottenere il consenso verificabile, rischierebbeinoltre di non garantire una flessibilità sufficiente e di non soddisfare inmisura adeguata il requisito della neutralità tecnologica.

Inoltre, lasciando che la questione sia disciplinata dal dirittonazionale, si determinerebbero differenze tra gli obblighi incombenti airesponsabili del trattamento, in contrasto con l'obiettivo dell'armonizzazionee della creazione di condizioni eque, e non si garantirebbe la flessibilitànecessaria.

In conclusione, il responsabile deltrattamento ha già il chiaro obbligo di adoperarsi in ogni modo ragionevole perottenere un consenso verificabile, in considerazione delle tecnologiedisponibili. Non sembra quindi necessario fornire ulteriori orientamenti in unatto delegato.

Per quanto riguarda le micro, piccole e medie imprese, nonsembra esservi una ragione imperiosa per adottare un trattamento speciale.Soprattutto tenendo conto del fatto che il motivo dell'introduzionedell'articolo in questione è la vulnerabilità dei minori, sembrerebbe stranoescludere le micro, piccole e medie imprese dall'obbligo di ottenere un consensoverificabile nel caso in cui riguardi i dati personali dei minori. Inoltre, unatto delegato non può mai introdurre deroghe per le piccole e medie imprese chenon siano già previste nel testo del regolamento.

Articolo 9, paragrafo 3 –precisare i criteri, le condizioni e le garanzie adeguate per il trattamentodelle categorie particolari di dati personali di cui all'articolo 9, paragrafo1, e le deroghe di cui all'articolo 9, paragrafo 2.

L'articolo 9 riguarda categorie particolari di dati personali eprevede un divieto di trattare le categorie menzionate, fatta eccezione per i10 casi di deroga di cui al paragrafo 2.

L'articolo riprende il modo in cui la direttiva attuale disciplinale categorie particolari di dati, stabilendo un chiaro divieto di trattare talicategorie, ma prevedendo alcune deroghe. Per quanto riguarda i criteri e lecondizioni, non sembra che la situazione attuale comporti molti problemi,non si ritiene quindi necessario precisare i criteri e le condizioni per iltrattamento di categorie particolari di dati.

Poiché il paragrafo 1 e il paragrafo 2,lettere da a) a f), dell'articolo sono già chiari stabilendo un divietogenerale di trattare le categorie particolari di dati menzionate tranne inalcuni casi, non sembra essere necessario precisare i criteri e le condizioni.

Tuttavia, dalle esperienze passate risulta che in alcunesituazioni sarebbe utile fornire ulteriori orientamenti riguardo a ciò checostituisce una garanzia adeguata.

Poiché ciò che costituisce una garanzia adeguata può esserestabilito soltanto caso per caso, sarebbe impossibile fornire ulterioriorientamenti in un documento giuridicamente vincolante. In questo caso sarebbequindi più appropriato uno strumento più flessibile.

Pertanto, il comitato europeo per laprotezione dei dati potrebbe emanare orientamenti in materia. Ove possibile,potrebbero essere anche forniti esempi non esaustivi in un considerando delregolamento.

Riguardo al paragrafo 2, lettera g), il regolamento prevedederoghe al divieto generale per l'esecuzione di compiti di interesse pubblico.Sarebbe logico che il responsabile del trattamento valuti se la deroga possaessere utilizzata, sempre nel rispetto delle esigenze di vigilanza, diapplicazione e di controllo giurisdizionale. Tuttavia, per la deroga potrebberoessere utili ulteriori orientamenti per garantire un'applicazione armonizzata ecoerenza a livello europeo.

Tenuto conto delle situazioni molto diverse in cui può essereconsentito un trattamento di dati sulla base della deroga relativa all'esecuzionedi compiti di interesse pubblico, un atto delegato non sembra essere lostrumento appropriato. Sarebbe più utile uno strumento più flessibile perfornire orientamenti al responsabile del trattamento o quando, nonostante ildivieto generale, è possibile trattare dati personali sulla base della derogain questione.

Inoltre, e in base al parere del Gruppo di lavoro "articolo 29"sulle proposte, dovrebbe essere, per quanto possibile, individuato per ogniarticolo ciò che l'interesse pubblico specifico potrebbe essere.

Considerando quanto precede, gliinteressi pubblici specifici di cui all'articolo 9, paragrafo 2, lettera g),dovrebbero essere precisati nel testo del regolamento e se possibileulteriormente spiegati in un considerando.

Articolo 12, paragrafo 5 –precisare i criteri e le condizioni concernenti le richieste manifestamenteeccessive, e il contributo spese di cui all'articolo 12, paragrafo 4.

L'articolo 12 riguarda in modo specifico il contributo spese daesigere quando la richiesta di un interessato è manifestamente eccessiva.

L'articolo 12, paragrafo 4, stabilisce che le informazioni e leazioni intraprese a seguito delle richieste degli interessati nell'eserciziodei loro diritti sono gratuite. Se le richieste sono manifestamente eccessive,in particolare per il loro carattere ripetitivo, il responsabile del trattamentopuò esigere un contributo spese per le informazioni o l'azione richiesta; in alternativa,può non effettuare quanto richiesto. In tale caso, incombe al responsabile del trattamentodimostrare il carattere manifestamente eccessivo.

Il paragrafo 4 dell'articolo prevede che "...incombe alresponsabile del trattamento dimostrare il carattere manifestamente eccessivodella richiesta". In base al principio di responsabilità, si dovrebbe spettareal responsabile del trattamento valutare se la richiesta è manifestamenteeccessiva, sempre nel rispetto delle esigenze di vigilanza, di applicazione edi controllo giurisdizionale.

Poiché si deve sempre determinare caso per caso se una richiesta èmanifestamente eccessiva, tenendo conto di tutte le circostanze, sembra piùappropriato precisare i criteri e le condizioni in uno strumento piùflessibile.

Riguardo al contributo spese che può essere applicato in caso dirichiesta manifestamente eccessiva, sembra impossibile o inopportuno cercare diinserirlo in uno strumento giuridicamente vincolante o a livello di Unioneeuropea, che non terrebbe conto delle differenze esistenti tra gli Stati membrio tra settori.

In conclusione, non sembra esserenecessario fornire ulteriori norme né orientamenti riguardo ai criteri e allecondizioni concernenti le richieste manifestamente eccessive e il contributospese di cui all'articolo 12, paragrafo 4. Se ritenuto necessario, tuttavia,l'importo massimo che può essere applicato potrebbe essere disciplinato daldiritto nazionale.

Articolo 14, paragrafo 7 –precisare: - i criteri per le categorie di destinatari di cui all'articolo 14,paragrafo 1, lettera f), - l'obbligo di informare circa gli accessi potenzialidi cui all'articolo 14, paragrafo 1, lettera g), - i criteri per le ulterioriinformazioni necessarie di cui all'articolo 14, paragrafo 1, lettera h) persettori e situazioni specifiche, e - le condizioni e garanzie adeguate per leeccezioni di cui all'articolo 14, paragrafo 5, lettera b). A tal fine, laCommissione prende misure adeguate per le micro, piccole e medie imprese.

L'articolo 14 riguarda le informazioni da fornire all'interessato.

Il paragrafo 1, lettere da f) a h), prevede che in caso diraccolta di dati personali, il responsabile del trattamento fornisceall'interessato almeno le seguenti informazioni: i destinatari o le categoriedi destinatari dei dati personali (lettera f)); se del caso, l'intenzione delresponsabile del trattamento di trasferire dati personali a un paese terzo o aun'organizzazione internazionale e il livello di protezione garantito dal paeseterzo o organizzazione internazionale, richiamando una decisione di adeguatezzadella Commissione (lettera g)); e ogni altra informazione necessaria pergarantire un trattamento equo nei confronti dell'interessato, in considerazionedelle specifiche circostanze in cui i dati personali vengono raccolti (letterah)).

Il paragrafo 5, lettera b), prevede che i primi quattro paragrafidell'articolo 14 non si applicano qualora i dati non siano raccolti pressol'interessato e comunicare tali informazioni risulti impossibile oimplicherebbe risorse sproporzionate.

I diritti e gli obblighi previsti dall'articolo sono già moltochiari. Soprattutto rispetto alla direttiva 95/46/CE attuale, l'articologarantisce una maggiore chiarezza e fornisce indicazioni alle partiinteressate.

Inoltre, devono essere presi in considerazione i doveri delresponsabile del trattamento dei dati, soprattutto in relazione ai critericoncernenti le categorie di destinatari di cui all'articolo 14, paragrafo 1,lettera f), ai requisiti per comunicare la possibilità di accesso di cuiall'articolo 14, paragrafo 1, lettera g) e ai criteri per ogni altrainformazione necessaria di cui all'articolo 14, paragrafo 1, lettera h) persettori e situazioni specifici.

Riguardo alle condizioni e alle garanzie adeguate per le deroghestabilite dall'articolo 14, paragrafo 5, lettera b), il responsabile deltrattamento deve anche valutare e dimostrare se comunicare informazioniimplicherebbe risorse sproporzionate, nel rispetto delle esigenze di vigilanza,di applicazione e di controllo giurisdizionale.

Fornire ulteriori orientamenti su cosa debba intendersi perrisorse sproporzionate sarebbe tuttavia utile, in quanto si tratta di unaderoga a uno dei diritti fondamentali dell'interessato (diritto diinformazione). » un diritto particolarmente importante nei casi in cui ilresponsabile del trattamento non abbia raccolto i dati direttamente pressol'interessato.

Per garantire un'armonizzazione in materia, dovrebbero essereforniti ulteriori orientamenti a livello europeo. Soprattutto nel mondointerconnesso di oggi, interpretazioni divergenti di tale deroga avrebberoserie ripercussioni sugli interessati e sui responsabili del trattamento e nongarantirebbero un'armonizzazione. La soluzione migliore sarebbe che a emanaregli orientamenti sia il comitato europeo per la protezione dei dati. Per motividi certezza giuridica, potrebbe essere preso in considerazione uno strumentovincolante che fissi soltanto le condizioni e le garanzie sugli aspettiprincipali.

Le principali condizioni e le garanzieadeguate per la deroga di cui all'articolo 14, paragrafo 5, lettera b), chesolleva il responsabile del trattamento dall'obbligo di fornire informazioniall'interessato, potrebbero essere definite in un atto delegato. Tuttavia,orientamenti più dettagliati del comitato europeo per la protezione dei datipotrebbero essere utili per valutare in quali casi i responsabili deltrattamento potrebbero applicare la deroga, sulla base di un'analisi di varicontesti e situazioni pratici.

Imporre obblighi diversi (meno gravosi) ai responsabili deltrattamento in considerazione delle loro dimensioni potrebbe seriamentefrustrare lo scopo dell'articolo, ovvero obbligare il responsabile deltrattamento a essere trasparente per consentire agli interessati di compierescelte informate. Pertanto, l'obbligo di comunicare le informazioni necessarieall'interessato per compiere una scelta informata deve essere applicabile aprescindere dalle dimensioni del responsabile del trattamento. Inoltre, un attodelegato non può mai introdurre deroghe per le piccole e medie imprese che nonsiano già previste nel testo del regolamento.

Articolo 15, paragrafo 3 –precisare i criteri e i requisiti per la comunicazione all'interessato delcontenuto dei dati personali di cui all'articolo 15, paragrafo 1, lettera g).

L'articolo 15 riguarda il diritto di accesso dell'interessato el'articolo 15, paragrafo 1, lettera g) riguarda in modo specifico lacomunicazione dei dati personali oggetto del trattamento e di tutte leinformazioni disponibili sulla loro fonte.

La questione da precisare nell'atto delegato proposto riguarda gliobblighi incombenti ai responsabili del trattamento, sebbene l'articolo 15riguardi di per sé il diritto di accesso degli interessati. A questo proposito,in base al principio di responsabilità, spetta al responsabile del trattamentogarantire la conformità della comunicazione alla normativa, sempre nel rispettodelle esigenze di vigilanza, di applicazione e di controllo giurisdizionale.

Inoltre, il diritto dell'interessato è chiaro in quanto prevedeche l'interessato riceva informazioni sui dati personali oggetto del trattamentoe tutte le informazioni disponibili sulla loro fonte.

Sembra quindi che non siano necessariulteriori orientamenti o norme.

N.B. Tuttavia, ciò che sarebbe utile precisare è sel'articolo 15, paragrafo 1, lettera g), si riferisca anche al contenuto deidati personali oggetto del trattamento, come si può desumere dal paragrafo 3.

Articolo 17, paragrafo 9 –precisare:

- i criteri e i requisiti perl'applicazione dell'articolo 17, paragrafo 1 (diritto all'oblio) per specificisettori e situazioni di trattamento dei dati;

- le condizioni per la cancellazione dilink, copie o riproduzioni di dati personali dai servizi di comunicazioneaccessibili al pubblico, come previsto all'articolo 17, paragrafo 2(informazione di terzi);

- i criteri e le condizioni per limitareil trattamento dei dati personali, di cui all'articolo 17, paragrafo 4.

L'articolo 17 riguarda il diritto all'oblio.

Il paragrafo 1 stabilisce che l'interessato ha il diritto diottenere dal responsabile del trattamento la cancellazione di dati personaliche lo riguardano e la rinuncia a un'ulteriore diffusione di tali dati, inparticolare in relazione ai dati personali resi pubblici quando l'interessatoera un minore, se i dati non sono più necessari rispetto alle finalità per lequali sono stati raccolti o altrimenti trattati (lettera a)), l'interessatorevoca il consenso oppure il periodo di conservazione dei dati autorizzato èscaduto e non sussiste altro motivo legittimo per trattare i dati (lettera b)),l'interessato si oppone al trattamento di dati personali ai sensi dell'articolo19 (lettera c)) o il trattamento dei dati non è conforme al regolamento peraltri motivi (lettera d)).

Gli atti delegati proposti preciserebbero i requisiti perl'applicazione del diritto all'oblio per vari settori o trattamenti, lecondizioni per la cancellazione di link, copie o riproduzioni e le limitazionidei trattamenti di dati.

Per garantire un'interpretazione e un'applicazione armonizzatedell'articolo 17, sarebbe utile fornire ulteriori orientamenti a livelloeuropeo, in modo che gli interessati e i responsabili del trattamento sappianoquali sono i loro diritti e obblighi in tutta l'Unione europea.

Poiché il regolamento non può tenere conto in maniera adeguata ditutte le situazioni pertinenti, devono essere forniti ulteriori orientamenticon uno strumento diverso.

Per garantire la certezza giuridica agli interessati e airesponsabili del trattamento dei dati, l'applicazione del diritto all'oblio pervari settori o trattamenti, le condizioni per la cancellazione di link, copie oriproduzioni e le limitazioni dei trattamenti di dati devono essere affrontatein un documento giuridicamente vincolante.

Un atto delegato sembra quindi essere lasoluzione più adeguata, a condizione che sia adottato contemporaneamenteall'entrata in vigore del regolamento.

Articolo 20, paragrafo 5 –precisare i criteri e le condizioni concernenti le misure adeguate asalvaguardia dei legittimi interessi dell'interessato di cui all'articolo 20, paragrafo2 (deroghe al divieto relativo alla profilazione).

L'articolo 20 riguarda la profilazione e il paragrafo 2 stabilisceche, fatte salve le altre disposizioni del regolamento, chiunque può esseresottoposto a profilazione se: il trattamento è effettuato nel contesto dellaconclusione o dell'esecuzione di un contratto, a condizione che la domanda diconcludere o eseguire il contratto, presentata dall'interessato, sia stataaccolta oppure che siano state offerte misure adeguate, fra le quali il dirittodi ottenere l'intervento umano, a salvaguardia dei suoi legittimi interessi(lettera a)); il trattamento è espressamente autorizzato da disposizioni deldiritto dell'Unione o di uno Stato membro che precisi altresì misure adeguate asalvaguardia dei legittimi interessi dell'interessato (lettera b)); oppure il medesimotrattamento si basa sul consenso dell'interessato (lettera c)).

L'articolo 20, paragrafo 1, prevede che "chiunque ha il diritto dinon essere sottoposto a una misura che produca effetti giuridici osignificativamente incida sulla sua persona ... destinato a valutare taluniaspetti della sua personalità o ad analizzarne o prevederne in particolare ilrendimento professionale, la situazione economica, l'ubicazione, lo stato disalute, le preferenze personali, l'affidabilità o il comportamento." Ilparagrafo 2 prevede tre deroghe a tale diritto.

La questione che gli atti delegati proposti intendono affrontaresembra riguardare l'obbligo incombente al responsabile del trattamento dideterminare se può sottoporre una persona alle misure di cui all'articolo 20,paragrafo 1, sulla base dei legittimi interessi dell'interessato, nonostantel'esistenza di un divieto generale in materia.

Poiché il responsabile del trattamento non è sempre in grado dideterminare quale tipo di misura sia adeguata per salvaguardare il legittimointeresse di un interessato e poiché la disposizione riguarda una deroga a undiritto dell'interessato al quale deve essere garantita la certezza giuridica,uno strumento giuridicamente vincolante sembra quello più appropriato. Perevitare la frammentazione e garantire lo stesso livello di protezione pertutti, devono essere fornite precisazioni a livello europeo.

Un atto delegato potrebbe quindi essereuno strumento adeguato, a condizione che sia adottato contemporaneamenteall'entrata in vigore del regolamento. Inoltre, potrebbe anche essere utile cheil comitato europeo per la protezione dei dati emani ulteriori orientamenti suicriteri e le condizioni concernenti le misure adeguate a salvaguardia deilegittimi interessi dell'interessato.

Articolo 22, paragrafo 4 –precisare:

- i criteri e i requisiti concernenti lemisure adeguate di cui all'articolo 22, paragrafo 1, diverse da quellespecificate all'articolo 22, paragrafo 2;

- le condizioni riguardanti i meccanismidi verifica e di audit di cui all'articolo 22, paragrafo 3;

- i criteri di proporzionalità di cuiall'articolo 22, paragrafo 3 e contemplare misure specifiche per le micro,piccole e medie imprese.

L'articolo 22 è il cosiddetto "articolo della responsabilitàgenerale" e il paragrafo 1 prevede che il responsabile del trattamento adottipolitiche e attui misure adeguate per garantire ed essere in grado didimostrare che il trattamento dei dati personali effettuato è conforme al regolamento.Il paragrafo 2 stabilisce ciò che tali misure devono comprendere inparticolare, mentre il paragrafo 3 prevede che il responsabile del trattamentometta in atto meccanismi per assicurare la verifica dell'efficacia dellemisure. Qualora ciò sia opportuno, la verifica è effettuata da revisori internio esterni indipendenti.

L'articolo 22 stabilisce l'obbligo per i responsabili deltrattamento di garantire la conformità ed è basato sul principio diresponsabilità. In base a detto principio, spetta al responsabile deltrattamento adottare politiche e attuare misure per garantire ed essere ingrado di dimostrare la conformità al regolamento, a condizione che sianoadeguate ed efficaci, sempre nel rispetto delle esigenze di vigilanza, diapplicazione e di controllo giurisdizionale.

Poiché il paragrafo 2 dell'articolo riporta già esempi nonesaustivi del modo in cui è possibile tradurre nella pratica l'obbligogenerale, non sembra essere necessario precisare altri criteri e requisiti.

Dovrebbe essere affidato al responsabile del trattamento anche ilcompito di mettere in atto meccanismi per assicurare la verifica dell'efficaciadelle misure adottate, in quanto la scelta del meccanismo più adeguato dipendedal settore o dal modello aziendale.

In conclusione, poiché l'articoloprecisa il contenuto del principio di responsabilità, non sembra che sianecessario precisare i criteri e i requisiti concernenti le misure adeguatediversi da quelli specificati al paragrafo 2 e le condizioni riguardanti imeccanismi di verifica e di audit.

Per quanto riguarda l'attenzione particolare rivolta allemicro, piccole e medie imprese, l'obbligo generale di essere responsabili e diadottare politiche e attuare misure adeguate per garantire ed essere in gradodi dimostrare la conformità del trattamento dei dati deve essere applicato aprescindere dalle dimensioni del responsabile del trattamento. Tuttavia, lemicro, piccole e medie imprese devono poter adottare i meccanismi e le misurein questione in maniera graduabile. Inoltre, un atto delegato non può maiintrodurre deroghe per le piccole e medie imprese che non siano già previstenel testo del regolamento.

Articolo 23, paragrafo 3 –precisare i criteri e i requisiti concernenti le misure e i meccanismi adeguatidi cui all'articolo 23, paragrafi 1 e 2, in particolare i requisiti riguardantila protezione dei dati fin dalla progettazione applicabili in materia trasversalea vari settori, prodotti e servizi.

L'articolo 23 riguarda i principi della protezione dei dati findalla progettazione ("by design") e di default.

Considerando il principio di responsabilità di cui all'articolo22, dovrebbe spettare al responsabile del trattamento il compito di determinarele misure e le procedure tecniche e organizzative adeguate da attuare pergarantire la conformità ai principi di protezione dei dati fin dallaprogettazione ("by design") e di default.

Inoltre, l'obbligo introdotto dall'articolo 23 è già molto chiaroin quanto attribuisce il dovere di attuare misure e procedure adeguate alresponsabile del trattamento.

Poiché si può valutare solo caso per caso se il responsabile deltrattamento ha adottato le misure e le procedure adeguate, tenuto contodell'evoluzione tecnica e dei costi di attuazione, sembra quasi impossibiledisciplinare tutte le situazioni nel regolamento.

In conclusione, non sembrano necessarialtri orientamenti o norme. Tuttavia, possono essere utili orientamenti emanatidal comitato europeo per la protezione dei dati.

Articolo 26, paragrafo 5 –precisare:

- i criteri e i requisiti concernenti leresponsabilità, gli obblighi e i compiti dell'incaricato del trattamentoconformemente all'articolo 26, paragrafo 1;

- le condizioni che consentono difacilitare il trattamento dei dati personali all'interno di un gruppo diimprese, in particolare ai fini del controllo e della rendicontazione.

L'articolo 26, paragrafo 1, stabilisce che qualora il trattamentodebba essere effettuato per conto del responsabile del trattamento, questisceglie un incaricato del trattamento che presenti garanzie sufficienti per metterein atto misure e procedure tecniche e organizzative adeguate in modo tale cheil trattamento sia conforme al regolamento e assicuri la tutela dei dirittidell'interessato, con particolare riguardo alle misure di sicurezza tecnica eorganizzative in relazione ai trattamenti da effettuare, e si assicura delrispetto di tali misure.

Non sembra necessario precisare i criteri e i requisiticoncernenti le responsabilità, gli obblighi e i compiti dell'incaricato deltrattamento né le condizioni che consentono di facilitare il trattamento deidati personali all'interno di un gruppo di imprese, in particolare ai fini delcontrollo e della rendicontazione, considerando i requisiti già previsti dalregolamento, soprattutto in termini di responsabilità del responsabile deltrattamento dei dati.

Il responsabile del trattamento ha l'obbligo di assicurare chel'incaricato del trattamento fornisca garanzie sufficienti in modo tale che iltrattamento sia conforme ai requisiti del regolamento. Inoltre, il secondoparagrafo dell'articolo precisa già gli aspetti da includere in un contratto oin un altro documento vincolante.

Inoltre, poiché vari fattori possono influire sui rapporti tra ilresponsabile del trattamento e l'incaricato del trattamento, è necessariovalutare caso per caso in quale modo tale obbligo può essere messo in atto.

Per quanto riguarda la precisazione delle condizioni checonsentono di facilitare il trattamento dei dati personali all'interno di ungruppo di imprese, anche tale compito deve essere affidato al responsabile deltrattamento in base al principio di responsabilità, considerando che esiste giàun obbligo di assicurare in un contratto vincolante che il trattamento siaconforme ai requisiti del regolamento.

Oltretutto, in caso di scambio di dati con parti di un'impresasituate al di fuori del SEE, la possibilità di utilizzare norme vincolantid'impresa è già prevista dal regolamento.

Tenuto conto di quanto precede, non sononecessari altri orientamenti o norme.

Articolo 28, paragrafo 5 –precisare i criteri e i requisiti concernenti la documentazione di cuiall'articolo 28, paragrafo 1, per tener conto in particolare delleresponsabilità del responsabile del trattamento, dell'incaricato deltrattamento e dell'eventuale rappresentante del responsabile del trattamento.

L'articolo 28 riguarda l'obbligo del responsabile del trattamentodi conservare la documentazione.

In base al principio di responsabilità, sembra opportuno affidareal responsabile del trattamento, all'incaricato del trattamento e al rappresentanteil compito di stabilire in quale modo garantire la conformità riguardo alladocumentazione.

Inoltre, il secondo paragrafo dell'articolo 28 prevede già unelenco non esaustivo di ciò che deve essere documentato. Non sembra essere necessario precisare icriteri e i requisiti.

Articolo 30, paragrafo 3 –precisare i criteri e le condizioni concernenti le misure tecniche eorganizzative di cui all'articolo 30, paragrafi 1 e 2, compresa la determinazionedi ciò che costituisce evoluzione tecnica, per settori specifici e in specifichesituazioni di trattamento dei dati, in particolare tenuto conto degli sviluppi tecnologicie delle soluzioni per la protezione fin dalla progettazione e per la protezionedi default, salvo che si applichi l'articolo 30, paragrafo 4 (atti diesecuzione).

L'articolo 30 riguarda la sicurezza del trattamento.

In base al principio di responsabilità, deve essere affidato alresponsabile del trattamento il compito di mettere in atto misure tecniche eorganizzative adeguate per garantire un livello di sicurezza appropriato, inrelazione ai rischi che il trattamento comporta e alla natura dei datipersonali da proteggere, tenuto conto dell'evoluzione tecnica e dei costi diattuazione.

Precisare ulteriormente i criteri e le condizioni concernenti lemisure tecniche e organizzative non consentirebbe di disciplinare tutte levarie situazioni settoriali e tutti i vari trattamenti.

Uno degli scopi della revisione del pacchetto di norme relativoalla protezione dei dati è il mantenimento della neutralità tecnologica. Gliatti delegati proposti, tuttavia, preciserebbero anche le definizioni di ciòche costituisce evoluzione tecnica. Sebbene un atto delegato non debba di persé necessariamente rispondere a criteri di neutralità tecnologica, può esserenondimeno uno strumento inopportuno, in quanto giuridicamente vincolante, perstabilire ciò che costituisce evoluzione tecnica, correndo inoltre il rischioche sia obsoleto al momento dell'adozione.

Pertanto, non sembra opportunoeffettuare una precisazione adottando un atto delegato. Se necessario,tuttavia, potrebbe essere prevista l'emanazione di orientamenti da parte delcomitato europeo per la protezione dei dati.

Articolo 31, paragrafo 5 –precisare i criteri e i requisiti concernenti l'accertamento della violazionedi dati personali di cui all'articolo 31, paragrafi 1 e 2, e le circostanze particolariin cui il responsabile del trattamento e l'incaricato del trattamento sono tenutia notificare la violazione.

L'articolo 31 riguarda l'obbligo del responsabile del trattamentodi notificare una violazione dei dati personali all'autorità di controllo.

Il paragrafo 1 stabilisce che in caso di violazione dei datipersonali, il responsabile del trattamento notifica la violazione all'autoritàdi controllo senza ritardo, ove possibile entro 24 ore dal momento in cui ne èvenuto a conoscenza. Qualora non sia effettuata entro 24 ore, la notificazioneall'autorità di controllo è corredata di una giustificazione motivata.

Il paragrafo 2 stabilisce che in conformità dell'articolo 26,paragrafo 2, lettera f), l'incaricato del trattamento allerta e informa ilresponsabile del trattamento immediatamente dopo aver accertato la violazione.

L'atto delegato proposto riguarda i criteri e i requisiticoncernenti l'accertamento della violazione di dati personali e le circostanzeparticolari in cui il responsabile del trattamento e l'incaricato deltrattamento sono tenuti a notificare la violazione.

» importante fornire orientamenti sui criteri e i requisiticoncernenti l'accertamento della violazione di dati personali e le circostanzeparticolari in cui deve essere notificata la violazione; è quindi necessariochiarire ciò che costituisce una violazione di dati personali.

Per garantire un'attuazione e un'applicazione armonizzatedell'obbligo di notifica di una violazione di dati personali all'autorità dicontrollo, devono essere forniti ulteriori orientamenti a livello europeo.

Considerata l'importanza per tutte leparti interessate, è indispensabile fornire precisazioni in un testogiuridicamente vincolante e, poiché si tratta di una parte essenziale dellenorme e degli obblighi, la questione deve essere affrontata nel testo delregolamento.

Pertanto, anziché precisare in un attodelegato i criteri e i requisiti concernenti l'accertamento della violazione didati personali e le circostanze in cui deve essere notificata, almeno le lineeprincipali devono essere chiarite nel testo del regolamento.

Sarebbe auspicabile prevedere alcuneprecisazioni in un atto delegato, a condizione che quest'ultimo sia adottatoalmeno contemporaneamente all'entrata in vigore del regolamento.

Articolo 32, paragrafo 5 –precisare i criteri e i requisiti concernenti le circostanze in cui unaviolazione di dati personali rischia di pregiudicare la protezione dei datipersonali di cui all'articolo 32, paragrafo 1.

L'articolo 32 riguarda l'obbligo del responsabile del trattamentodi comunicare una violazione dei dati personali all'interessato.

Il paragrafo 1 stabilisce che quando la violazione dei datipersonali rischia di pregiudicare i dati personali o di attentare alla vitaprivata dell'interessato, il responsabile del trattamento, dopo aver provvedutoalla notificazione all'autorità di controllo, comunica la violazione all'interessatosenza ingiustificato ritardo.

L'atto delegato proposto riguarda i criteri e i requisiticoncernenti le circostanze in cui una violazione di dati personali rischia dipregiudicare (la protezione dei) i dati personali o di attentare alla vitaprivata dell'interessato.

» importante fornire orientamenti sui criteri e i requisiticoncernenti le circostanze in cui una violazione di dati personali rischia diavere tale effetto negativo. Vanno chiarite le condizioni che richiedono unacomunicazione all'interessato.

Per garantire un'attuazione e un'applicazione armonizzatedell'obbligo di comunicazione di una violazione dei dati personaliall'interessato, devono essere forniti ulteriori chiarimenti a livello europeo.

Considerata l'importanza per tutte leparti interessate, è indispensabile fornire precisazioni in un testogiuridicamente vincolante e, poiché si tratta di una parte essenziale dellenorme e degli obblighi, la questione deve essere affrontata nel testo delregolamento.

Pertanto, anziché precisare in un attodelegato i criteri e i requisiti concernenti le circostanze in cui unaviolazione di dati personali rischia di pregiudicare la protezione dei datipersonali e deve essere comunicata all'interessato, almeno le linee principalidevono essere chiarite nel testo del regolamento.

Sarebbe auspicabile prevedere alcuneprecisazioni in un atto delegato, a condizione che sia adottato per la primavolta prima dell'entrata in vigore del regolamento.

Articolo 33, paragrafo 6 –precisare:

- i criteri e le condizioni concernentii trattamenti che possono presentare rischi specifici di cui all'articolo 33,paragrafi 1 e 2;

- i requisiti riguardanti la valutazionedi cui all'articolo 33, paragrafo 3, comprese le condizioni di scalabilità,verifica e controllabilità.

A tal fine, la Commissione contemplamisure specifiche per le micro, piccole e medie imprese.

L'articolo 33 riguarda l'obbligo di effettuare valutazionid'impatto sulla protezione dei dati.

Il primo paragrafo stabilisce che quando il trattamento, per lasua natura, il suo oggetto o le sue finalità, presenta rischi specifici per idiritti e le libertà degli interessati, il responsabile del trattamento ol'incaricato del trattamento che agisce per conto del responsabile deltrattamento effettua una valutazione dell'impatto del trattamento previstosulla protezione dei dati personali. Il paragrafo 2 prevede cinque trattamentiche in particolare presentano rischi specifici.

Il paragrafo 3 stabilisce che la valutazione contiene almeno unadescrizione generale del trattamento previsto, una valutazione dei rischi per idiritti e le libertà degli interessati, le misure previste per affrontare irischi, le garanzie, le misure di sicurezza e i meccanismi per garantire laprotezione dei dati personali e dimostrare la conformità al regolamento, tenutoconto dei diritti e dei legittimi interessi degli interessati e delle altrepersone in questione.

I responsabili del trattamento sono tenuti ad effettuare unavalutazione d'impatto sulla protezione dei dati quando un trattamento, per la suanatura, il suo oggetto o le sue finalità, presenta rischi specifici per idiritti e le libertà degli interessati. In base al principio di responsabilità,il compito di determinare se i trattamenti presentano (realmente opotenzialmente) rischi specifici per i diritti e le libertà degli interessativa affidato al responsabile del trattamento.

Tuttavia, si tratta di una questione importante che influiscesull'obbligo del responsabile del trattamento di effettuare una valutazioned'impatto sulla protezione dei dati e di determinare se il trattamento presentarischi specifici per i diritti e le libertà degli interessati. Per garantireun'interpretazione e un'applicazione armonizzate dell'articolo è necessariacoerenza a livello europeo.

I requisiti generali concernenti lemodalità per valutare se un trattamento presenta rischi specifici possonoessere stabiliti in un atto delegato. In alternativa o in aggiunta, potrebberoessere previsti ulteriori orientamenti del comitato europeo per la protezionedei dati, a condizione che un'eventuale elenco di trattamenti di cui è statoaccertato che presentano rischi specifici non sia esaustivo.

Per quanto riguarda le micro, piccole e medie imprese,l'attenzione particolare ad esse rivolta non sembra essere un motivo valido percreare una posizione specifica per loro. Tenuto conto in particolare che loscopo dell'articolo è disporre di ulteriori garanzie quando un trattamentopresenta o può presentare rischi specifici per i diritti e le libertà degliinteressati, dall'obbligo non devono essere esclusi responsabili deltrattamento in considerazione delle loro dimensioni. Inoltre, l'articoloprevede già una soglia con la frase "(può presentare) presenta rischispecifici...", che è una deroga basata sulla natura del trattamento, piùsensata di un deroga basata sul numero di dipendenti. Oltretutto, un attodelegato non può mai introdurre deroghe per le piccole e medie imprese che nonsiano già previste nel testo del regolamento.

Articolo 34, paragrafo 8 –precisare i criteri e i requisiti per determinare l'alto grado di rischispecifici di cui all'articolo 34, paragrafo 2, lettera a) (previa consultazionedopo una valutazione d'impatto sulla protezione dei dati).

L'articolo 34 riguarda l'obbligo dei responsabili del trattamento diottenere dall'autorità di controllo un'autorizzazione preventiva o unaconsultazione preventiva. L'articolo 34, paragrafo 2, lettera a), riguarda inmodo specifico l'obbligo dei responsabili del trattamento di consultarel'autorità di controllo prima di procedere al trattamento dei dati personali alfine di garantire la conformità del trattamento previsto al regolamento e, inparticolare, attenuare i rischi per gli interessati qualora la valutazioned'impatto sulla protezione dei dati indichi che il trattamento, per la suanatura, il suo oggetto o le sue finalità, può presentare un alto grado di rischispecifici.

Gli atti delegati proposti preciserebbero i criteri e i requisitiper determinare l'alto grado di rischi specifici presentato da un trattamento deidati, in seguito a una valutazione d'impatto sulla protezione dei dati.

Sebbene appaia opportuno affidare al responsabile del trattamentoil compito di decidere se i rischi individuati dopo aver effettuato unavalutazione d'impatto sulla protezione dei dati siano di grado elevato, sitratta di rischi che riguardano i dati o la vita privata degli interessati, percui è importante fornire ulteriori orientamenti. Per garantireun'armonizzazione nell'Unione europea, i criteri e i requisiti devono essere precisatia livello europeo.

Poiché tutti i trattamenti sono diversi, l'alto grado di rischispecifici dipende dal merito del caso. Includere tutte le situazioni possibiliin un documento giuridicamente vincolante è quasi impossibile, quindi sembrapiù appropriato uno strumento più flessibile.

Inoltre, poiché le autorità di controllo devono esaminare lerichieste di autorizzazione preventiva e di consultazione preventiva, sarebbepiù appropriata l'emanazione di orientamenti da parte del comitato europeo perla protezione dei dati, a maggior ragione se si tiene conto che tale comitato ègià coinvolto in casi in cui la consultazione preventiva è ritenuta necessariadalle autorità.

In conclusione, anziché un attodelegato, sarebbero più appropriati orientamenti del comitato europeo per laprotezione dei dati per precisare i criteri e i requisiti per determinare, inseguito a una valutazione d'impatto sulla protezione dei dati, l'alto grado dirischi specifici che i trattamenti presentano o possono presentare.

Articolo 35, paragrafo 11 –precisare:

- i criteri e i requisiti concernenti leattività principali del responsabile del trattamento o dell'incaricato deltrattamento di cui al all'articolo 35, paragrafo 1, lettera c);

- i criteri relativi alle qualitàprofessionali del responsabile della protezione dei dati di cui all'articolo35, paragrafo 5.

L'articolo 35 stabilisce l'obbligo per i responsabili deltrattamento e gli incaricati del trattamento di designare un responsabile dellaprotezione dei dati quando il trattamento è effettuato da un'autorità pubblicao da un organismo pubblico (paragrafo 1, lettera a)); il trattamento èeffettuato da un'impresa con 250 o più dipendenti (paragrafo 1, lettera b)); leattività principali del responsabile del trattamento o dell'incaricato deltrattamento consistono in trattamenti che, per la loro natura, il loro oggettoo le loro finalità, richiedono il controllo regolare e sistematico degliinteressati (paragrafo 1, lettera c)).

L'articolo 35, paragrafo 5 stabilisce che il responsabile deltrattamento o l'incaricato del trattamento designa il responsabile dellaprotezione dei dati in funzione delle qualità professionali e, in particolare,della conoscenza specialistica della normativa e delle pratiche in materia diprotezione dei dati.

Uno degli atti delegati proposti preciserebbe i criteri e irequisiti per le attività principali del responsabile del trattamento odell'incaricato del trattamento che consistono in trattamenti che, per la loronatura, il loro oggetto o le loro finalità, richiedono il controllo regolare esistematico degli interessati.

Per garantire un'interpretazione e un'applicazione armonizzatedell'articolo 35, sarebbero utili altre disposizioni normative a livelloeuropeo. Stabilendo tali disposizioni in un documento giuridicamentevincolante, si potrebbero disciplinare varie situazioni almeno a grandi linee,anche se forse non tutte le situazioni.

Un atto delegato che stabilisca le lineeprincipali sarebbe uno strumento adeguato. Inoltre, alcuni orientamenti delcomitato europeo per la protezione dei dati potrebbero contribuire a precisarei criteri e i requisiti per le attività principali del responsabile deltrattamento o dell'incaricato del trattamento che richiedono il controlloregolare e sistematico degli interessati.

Si propone un atto delegato anche per precisare i criteri relativialle qualità professionali del responsabile della protezione dei dati.

In base al principio di responsabilità, al responsabile deltrattamento o all'incaricato del trattamento dovrebbe essere affidato, almenoin una certa misura, il compito di valutare le qualità di cui deve disporre unresponsabile della protezione dei dati. Queste ultime dipendono in larga misuradal settore e dal modello aziendale. Tuttavia, strategie ampiamente divergentiin materia tra i vari Stati membri, a prescindere che sia o meno a livellosettoriale,

34

recherebbero grave pregiudizio alla creazione di condizioni eque edel clima di fiducia reciproca cui mira il regolamento.

In conclusione, sarebbe opportuno che unatto delegato precisi a grandi linee i criteri relativi alle qualitàprofessionali del responsabile della protezione dei dati. Ulterioriorientamenti potrebbero essere forniti dal comitato europeo per la protezionedei dati.

Articolo 37, paragrafo 2 –precisare i criteri e i requisiti concernenti i compiti, la certificazione, lostatus, i poteri e le risorse del responsabile della protezione dei dati di cuiall'articolo 37, paragrafo 1.

L'articolo 37 riguarda i compiti del responsabile della protezionedei dati e il primo paragrafo stabilisce i compiti che il responsabile deltrattamento o l'incaricato del trattamento deve almeno conferire alresponsabile della protezione dei dati.

L'obbligo generale di cui all'articolo 37, paragrafo 1, è giàabbastanza chiaro in quanto attribuisce al responsabile del trattamento eall'incaricato del trattamento il compito di garantire che alcuni compiti sianoconferiti al responsabile della protezione dei dati. Inoltre, l'elenco di cuial paragrafo 1 precisa già i compiti che devono essere almeno conferiti alresponsabile della protezione dei dati.

In base al principio di responsabilità, al responsabile deltrattamento o all'incaricato del trattamento dovrebbe essere affidato, almenoin una certa misura, il compito di determinare le condizioni alle quali unresponsabile della protezione dei dati deve intervenire. Le condizionidipendono da vari fattori.

Tuttavia, anche in questo caso, strategie ampiamente divergenti inmateria tra i vari Stati membri, a prescindere che sia o meno a livellosettoriale, recherebbero grave pregiudizio alla creazione di condizioni eque edel clima di fiducia reciproca cui mira il regolamento. Tali condizioniavrebbero altresì un'influenza sulla posizione indipendente dei responsabilidella protezione dei dati.

In conclusione, sarebbe opportuno che unatto delegato precisi a grandi linee i compiti, la certificazione, lo status, ipoteri e le risorse del responsabile della protezione dei dati di cuiall'articolo 37, paragrafo 1. Ulteriori orientamenti potrebbero essere fornitidal comitato europeo per la protezione dei dati.

Articolo 39, paragrafo 2 –precisare:

- i criteri e i requisiti concernenti imeccanismi di certificazione della protezione dei dati

di cui all'articolo 39, paragrafo 1,comprese le condizioni di rilascio e ritiro;

- i requisiti per il riconoscimentonell'Unione e in paesi terzi.

L'articolo 39 stabilisce che gli Stati membri e la Commissioneincoraggiano, in particolare a

livello europeo, l'istituzione di meccanismi di certificazionedella protezione dei dati nonché

di sigilli e marchi di protezione dei dati che consentano agliinteressati di valutare

rapidamente il livello di protezione dei dati garantito dairesponsabili del trattamento e dagli

incaricati del trattamento.

Considerando che l'affidabilità dei meccanismi di certificazione,nonché dei sigilli e dei marchi di protezione dei dati, dipende in larga misuradai criteri e dai requisiti stabiliti per istituirli, è importante fornireulteriori orientamenti.

Poiché l'istituzione di meccanismi di certificazione vaincoraggiata in particolare a livello europeo, anche i criteri e i requisitivanno precisati a livello europeo.

Poiché sarebbe difficile precisare completamente tutti i criteri ei requisiti nel testo del regolamento, sarebbe opportuno adottare uno strumentopiù flessibile per fornire ulteriori criteri e orientamenti per i meccanismi dicertificazione della protezione dei dati, comprese le condizioni di rilascio eritiro e i requisiti per il riconoscimento nell'Unione e in paesi terzi.

Per garantire la certezza giuridica neiconfronti degli interessati che si affidano ai meccanismi di certificazione, aisigilli e ai marchi, un atto delegato sembra essere lo strumento più idoneo.

Articolo 43, paragrafo 3 –precisare:

- i criteri e i requisiti concernenti lenorme vincolanti d'impresa ai sensi del presente articolo, in particolare icriteri per la loro approvazione;

- l'applicazione dell'articolo 43,paragrafo 2, lettere b), d), e) e f), alle norme vincolanti d'impresa cui gliincaricati del trattamento aderiscono;

- gli ulteriori requisiti per garantirela protezione dei dati personali degli interessati in questione.

L'articolo 43 riguarda i trasferimenti internazionali in presenzadi norme vincolanti d'impresa. Il paragrafo 2, lettere b), d), e) e f), prevedeche le norme vincolanti d'impresa specifichino almeno i trasferimenti ol'insieme di trasferimenti di dati (lettera b)), i principi generali diprotezione dei dati, le misure a garanzia della sicurezza dei dati e irequisiti per i trasferimenti successivi ad organizzazioni che non sonovincolate dalle politiche (lettera d)), i diritti dell'interessato e i mezziper esercitarli (lettera e)) e il fatto che il responsabile del trattamento ol'incaricato del trattamento stabilito nel territorio di uno Stato membro si assumela responsabilità per qualunque violazione delle norme vincolanti d'impresa commesseda un membro del gruppo di imprese non stabilito nell'Unione (lettera f)).

In primo luogo, sono previsti atti delegati per precisare icriteri e i requisiti concernenti le norme vincolanti d'impresa ai sensidell'articolo in generale e in particolare i criteri per la loro approvazione.Il primo paragrafo, tuttavia, stabilisce già che spetta all'autorità di controlloapprovare, in conformità del meccanismo di coerenza di cui all'articolo 58, lenorme vincolanti d'impresa. Lo stesso paragrafo prevede anche alcuni requisitidi cui l'autorità di controllo deve tenere conto.

Sembra che in questo modo siano previsti già equilibri e controllisufficienti per garantire che una norma vincolante d'impresa regolamenti tuttigli aspetti necessari. Inoltre, considerando che quando si approva una normavincolante d'impresa deve essere utilizzato il meccanismo di coerenza, esistegià un coinvolgimento a livello europeo.

Peraltro, spetta alle autorità di controllo approvare le normevincolanti d'impresa. Atti delegati che precisino i criteri e i requisiti ingenerale e in particolare i criteri per la loro approvazione rischierebbero dipregiudicare l'indipendenza delle autorità di controllo e del comitato europeoper la protezione dei dati.

Non sembra pertanto necessario precisareulteriormente i criteri e i requisiti concernenti le norme vincolanti d'impresain generale e in particolare i criteri per la loro approvazione.

In secondo luogo, sono previsti atti delegati per precisarel'applicazione dell'articolo 43, paragrafo 2, lettere b), d), e) e f), allenorme vincolanti d'impresa cui gli incaricati del trattamento aderiscono.Considerando che si tratta di questioni fondamentali che devono essereaffrontate in una norma vincolante d'impresa, sarebbe utile favorireun'ulteriore armonizzazione.

Poiché una norma vincolante d'impresa sarà applicabile in tuttal'Unione europea, devono essere garantite un'applicazione e un'interpretazionearmonizzate.

Dato che ogni norma vincolante d'impresa dipende dal modelloaziendale di un'impresa e dal settore in cui è attiva, è quasi impossibiledisciplinare tutte le situazioni nel regolamento. Pertanto, potrebbe essereutilizzato uno strumento più flessibile.

Un atto delegato sarebbe uno strumentoadeguato. Inoltre, poiché il comitato europeo per la protezione dei dati saràcoinvolto nel processo in seguito all'obbligo di utilizzare il meccanismo dicoerenza per l'approvazione delle norme vincolanti d'impresa, sarebbe opportunoche tale comitato emani orientamenti sull'applicazione degli articoli allenorme vincolanti d'impresa cui gli incaricati del trattamento aderiscono.

In terzo luogo, si propongono atti delegati relativi agliulteriori requisiti necessari per garantire la protezione dei dati personalidegli interessati in questione.

In base al principio di responsabilità, al responsabile deltrattamento o all'incaricato del trattamento spetta il compito di garantire laconformità alla normativa, sempre nel rispetto delle esigenze di vigilanza, diapplicazione e di controllo giurisdizionale. Inoltre, l'articolo sembraprecisare già con chiarezza il modo in cui devono essere approvate le norme vincolantid'impresa, da chi, in base a quali criteri e la portata minima che devonoavere.

Spetta alle autorità di controllo approvare le norme vincolantid'impresa e, se necessario, attivarsi per garantirne il rispetto, quindi degliatti delegati relativi ad ulteriori requisiti necessari per garantire laprotezione dei dati personali degli interessati in questione rischierebbero dipregiudicare l'indipendenza delle autorità di controllo.

Poiché il comitato europeo per laprotezione dei dati sarà coinvolto nel processo che deriva dall'obbligo diutilizzare il meccanismo di coerenza per l'approvazione delle norme vincolantid'impresa, sarebbe opportuno che tale comitato emani orientamentisull'applicazione degli articoli alle norme vincolanti d'impresa cui gliincaricati del trattamento aderiscono.

Articolo 44, paragrafo 7 –precisare:

- 'i "motivi di interesse pubblicorilevante" ai sensi dell'articolo 44, paragrafo 1, lettera d);

- i criteri e i requisiti concernenti legaranzie adeguate di cui all'articolo 44, paragrafo 1, lettera h).

L'articolo 44 riguarda le deroghe al divieto generale ditrasferire dati personali verso paesi terzi e organizzazioni internazionali.

Il paragrafo 1, lettera d), prevede che è ammesso il trasferimentoo un complesso di trasferimenti di dati personali verso un paese terzo oun'organizzazione internazionale a condizione che il trasferimento sianecessario per motivi di interesse pubblico rilevante.

Il paragrafo 1, lettera h), prevede che è ammesso il trasferimentoo un complesso di trasferimenti di dati personali verso un paese terzo oun'organizzazione internazionale a condizione che il trasferimento sianecessario per il perseguimento dei legittimi interessi del responsabile deltrattamento o dell'incaricato del trattamento, che non possano definirsi frequentio ingenti, e qualora il responsabile del trattamento o l'incaricato deltrattamento abbia valutato tutte le circostanze relative ad un trasferimento oad un complesso di trasferimenti e sulla base di tale valutazione abbia offertogaranzie adeguate per la protezione dei dati personali, ove necessario.

Sono proposti atti delegati per precisare ciò che costituisce un"motivo di interesse pubblico rilevante" riguardo a una deroga al divietogenerale di trasferimento di dati personali verso paesi terzi o organizzazioniinternazionali. La precisazione di un "motivo di interesse pubblico rilevante"riguarda un elemento essenziale che determina la legittimità dei trasferimentidi dati e pertanto deve essere inserita nel regolamento.

Per garantire un'applicazionearmonizzata nell'Unione europea, tale precisazione deve essere effettuata neltesto del regolamento.

Sono previsti atti delegati anche per precisare i criteri e irequisiti concernenti le garanzie adeguate di cui all'articolo 44, paragrafo 1,lettera h).

Il Gruppo di lavoro desidera sottolineare la necessità diprecisare l'espressione "legittimo interesse" di cui all'articolo 44, paragrafo1, lettera h) nel regolamento, come menzionato anche riguardo all'atto delegatoproposto nell'articolo 6, paragrafo 5. Tale precisazione potrebbe esserefornita dai rispettivi orientamenti del comitato europeo per la protezione deidati; in alternativa o in aggiunta, un elenco non esaustivo di esempi di"legittimi interessi" potrebbe essere inserito in un considerando delregolamento.

Riguardo a ciò che può costituire una garanzia adeguata, appaionoimportanti ulteriori orientamenti; poiché si tratta di una deroga a un divietogenerale di trasferimento di dati verso paesi terzi o organizzazioniinternazionali, sulla base di un legittimo interesse e senza il coinvolgimentodi un'autorità di controllo, sembrano importanti ulteriori orientamenti.

Sarebbe tuttavia impossibile includere nel regolamento tutte levarie situazioni (attuali e future) in cui esistono garanzie adeguate.Pertanto, sarebbe più idoneo uno strumento più flessibile.

Per garantire un'interpretazione eun'applicazione armonizzate, un atto delegato dovrebbe quindi essere unostrumento adeguato. Inoltre, il comitato europeo per la protezione dei datipotrebbe emanare orientamenti per precisare ciò che costituisce una garanziaadeguata ai sensi dell'articolo 44, paragrafo 1, lettera h).

Articolo 79, paragrafo 7 –aggiornare l'importo delle sanzioni amministrative pecuniarie di cui all'articolo79, paragrafi 4, 5 e 6, tenuto conto dei criteri di cui all'articolo 79, paragrafo2.

L'articolo 79 riguarda le sanzioni amministrative. I paragrafi 4,5 e 6 determinano l'ammontare massimo delle sanzioni, mentre il paragrafo 2stabilisce che la sanzione amministrativa deve essere in ogni singolo casoefficace, proporzionata e dissuasiva e prevede ulteriori criteri perdeterminare l'ammontare della sanzione.

Considerando che il nuovo pacchetto giuridico deve essereapplicabile per almeno alcuni decenni, è importante prevedere l'indicizzazionedelle sanzioni e adeguamenti degli importi delle sanzioni in futuro.

Per evitare disparità tra gli Stati membri e per garantire unlivello massimo armonizzato nell'Unione europea, gli aggiornamenti devono essereforniti a livello di Unione europea.

Per garantire chiarezza a tutte le parti interessate deve essereutilizzato uno strumento giuridicamente vincolante.

Pertanto, appare idoneo utilizzare attidelegati per l'aggiornamento degli importi delle sanzioni amministrative di cuiall'articolo 79, paragrafi 4, 5 e 6, tenuto conto dei criteri di cuiall'articolo 79, paragrafo 2.

Articolo 81, paragrafo 3 –precisare altri motivi di interesse pubblico nel settore della sanità pubblicadi cui all'articolo 81, paragrafo 1, lettera b);

- i criteri e i requisiti concernenti legaranzie per il trattamento dei dati personali per le finalità di cuiall'articolo 81, paragrafo 1.

L'articolo 81 prevede che nei limiti del regolamento e inconformità dell'articolo 9, paragrafo 2, lettera h), il trattamento di datipersonali relativi alla salute deve essere effettuato sulla base didisposizioni del diritto dell'Unione o degli Stati membri che prevedano misure appropriatee specifiche a tutela dei legittimi interessi dell'interessato, ed esserenecessario per finalità di medicina del lavoro o prevenzione medica (letteraa)) o per motivi di interesse pubblico nel settore della sanità pubblica(lettera b)) o per altri motivi di interesse pubblico in settori quali laprotezione sociale (lettera c)).

Gli atti delegati proposti preciserebbero i motivi di interessepubblico nel settore della sanità pubblica e i criteri e i requisiticoncernenti le garanzie per il trattamento dei dati personali per le finalitàdi cui all'articolo 81, paragrafo 1.

Ciò che costituisce un motivo di interesse pubblico nel settoredella sanità pubblica e quali sono i criteri e i requisiti concernenti legaranzie devono essere indicati in un atto giuridico vincolante. Tenuto contoche è impossibile fornire tali precisazioni nel testo del regolamento, sarebbepiù appropriato uno strumento diverso.

L'articolo 81, paragrafo 1, lascia però, entro certi limiti, agliStati membri il compito di garantire la legittimità del trattamento dei datinel settore sanitario in diritto nazionale.

Pertanto, gli atti delegati sembranoessere gli strumenti più appropriati, fatto salvo tuttavia l'articolo 81,paragrafo 1.

Articolo 82, paragrafo 3 –precisare i criteri e i requisiti concernenti le garanzie per il trattamentodei dati personali per le finalità di cui all'articolo 82, paragrafo 1.

L'articolo 82 riguarda il trattamento dei dati nei rapporti dilavoro.

Gli atti delegati proposti preciserebbero i criteri e i requisiticoncernenti le garanzie per il trattamento dei dati personali nei rapporti dilavoro.

Ulteriori criteri e requisiti concernenti le garanzie deltrattamento dei dati personali in questo contesto devono essere forniti in unatto giuridico vincolante. Tenuto conto che è impossibile fornire taliprecisazioni nel testo del regolamento, sarebbe più appropriato uno strumentodiverso.

Tuttavia, l'articolo 82, paragrafo 1, lascia però, entro certilimiti, agli Stati membri il compito di garantire la legittimità deltrattamento dei dati nei rapporti di lavoro in diritto nazionale.

Pertanto, gli atti delegati sembranoessere gli strumenti più appropriati, fatto salvo tuttavia l'articolo 82,paragrafo 1.

Articolo 83, paragrafo 3 –precisare:

- i criteri e i requisiti concernenti il trattamento dei datipersonali per le finalità di cui all'articolo 83, paragrafi 1 e 2;

- ogni limitazione necessaria dei diritti d'informazione e accessodell'interessato;

- specificare le condizioni e le garanzie per i dirittidell'interessato in tali circostanze.

L'articolo 83 riguarda il trattamento per finalità storiche,statistiche e di ricerca scientifica.

Il paragrafo 1 prevede che nei limiti del regolamento, i datipersonali possono essere trattati per finalità storiche, statistiche e diricerca scientifica solo se tali finalità non possono essere altrimenticonseguite trattando dati che non consentono o non consentono più diidentificare l'interessato (lettera a)) e se i dati che permettono di associareinformazioni a un interessato identificato o identificabile sono conservatiseparatamente dalle altre informazioni, nella misura in cui tali finalitàpossano essere conseguite in questo modo (lettera b)).

Il paragrafo 2 prevede che gli organismi che svolgono ricerchestoriche, statistiche o scientifiche possono pubblicare o divulgare altrimential pubblico i dati personali solo se l'interessato ha espresso il proprioconsenso (lettera a)), la pubblicazione dei dati personali è necessaria perpresentare i risultati della ricerca o per facilitarla, nella misura in cui gliinteressi o i diritti o le libertà fondamentali dell'interessato non prevalganosull'interesse della ricerca (lettera b)) o l'interessato ha reso pubblici idati (lettera c)).

Sono proposti atti delegati per precisare i criteri e i requisiticoncernenti il trattamento dei dati personali per finalità storiche,statistiche e di ricerca scientifica se sono soddisfatti i criteri e irequisiti di cui ai paragrafi 1 e 2.

I criteri stabiliti dall'articolo sono già abbastanza chiari inquanto prevedono che i dati possono essere trattati soltanto per finalitàstoriche, statistiche e di ricerca scientifica se sono soddisfatte le duecondizioni menzionate. In tutti gli altri casi è vietato trattare i dati. Talicriteri sono elementi essenziali per determinare la legittimità del trattamento.

Se devono essere soddisfatti altrirequisiti per poter trattare i dati per finalità storiche, statistiche e diricerca scientifica, tali requisiti devono essere indicati nel testo delregolamento, per garantire una prassi armonizzata, chiarezza e certezza deldiritto a tutte le parti interessate.

Per quanto riguarda gli atti delegati proposti per precisare ognilimitazione necessaria dei diritti d'informazione e accesso dell'interessato equelli proposti per specificare le condizioni e le garanzie per i dirittidell'interessato in tali circostanze, non è chiaro dove sia prevista lapossibilità di limitare tali diritti (neppure negli articoli 14 e 15). In ognicaso, poiché si tratta di un elemento essenziale, deve essere incluso nelregolamento.

Se esiste la possibilità per gliorganismi che svolgono ricerche storiche, statistiche o scientifiche, dilimitare i diritti degli interessati, questo aspetto deve essere affrontato inun documento giuridicamente vincolante per garantire chiarezza e certezza agliinteressati.

Pertanto, dovrebbe essere affrontato neltesto del regolamento o essere precisato in un atto delegato che venga adottatocontemporaneamente all'entrata in vigore del regolamento.

Ulteriori orientamenti, se necessari,potrebbero essere forniti dal comitato europeo per la protezione dei dati, oessere stabiliti in un codice di condotta a livello di Unione europea.

NOTE

1 Inoltre, ilGruppo di lavoro sta esaminando la nozione di limitazione dello scopo e intendeadottare un parere sulla questione agli inizi del prossimo anno. Il Gruppo dilavoro contribuirà anche alle discussioni in corso sul campo di applicazionedel regolamento, in particolare per quanto riguarda la deroga per l'usodomestico e personale.

2 Parere 1/2012sulle proposte di riforma in materia di protezione dei dati (WP 191).

3 Attualmente, l'articolo 1, letteraa), della direttiva 95/46/CE stabilisce che per "dati personali" si intende"qualsiasi informazione concernente una persona fisica identificata oidentificabile ("persona interessata"); si considera identificabile la personache può essere identificata, direttamente o indirettamente, in particolaremediante riferimento a un numero di identificazione o a uno o più elementispecifici caratteristici della sua identità fisica, fisiologica, psichica,economica, culturale o sociale". Il considerando 26 attualmente stabilisce che"per determinare se una persona è identificabile, è opportuno prendere inconsiderazione l'insieme dei mezzi che possono essere ragionevolmente utilizzatidal responsabile del trattamento o da altri per identificare detta persona". Ilregolamento proposto, quindi, introduce soltanto una definizione di"interessato" sulla base di elementi esistenti. 4 Parere 4/2007 sul concetto didati personali (WP 136).

5 Le parole in grassetto sono aggiunte al testo, mentre di quelle tra [....] sipropone la cancellazione.

6 Cfr. anche larelazione preliminare dei servizi dell'FTC "Protecting Consumer Privacy inan Era of Rapid Change", dicembre 2010 e la relazione dell'FTC "ProtectingConsumer Privacy in an Era of Rapid Change", marzo 2012.

7 Parere 15/2011sulla definizione di consenso (WP187).

8 Parere 4/2012sulla deroga al consenso per i cookies (WP 194).

9 Parere 1/2012(WP191), pag. 7 e parere del comitato europeo per la protezione dei dati, punto74.