Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) /* COM/2012/011 final - 2012/0011 (COD) */
RELAZIONE
1.
CONTESTO DELLA PROPOSTA
La presente relazione illustra la proposta di
nuovo quadro giuridico per la protezione dei dati personali nell’Unione
europea, delineata nella comunicazione COM (2012) 9 final[1]. Il nuovo quadro consta di due
proposte legislative: –
una proposta regolamento del Parlamento europeo e
del Consiglio concernente la tutela delle persone fisiche con riguardo al
trattamento dei dati personali e la libera circolazione di tali dati
(regolamento generale sulla protezione dei dati); –
una proposta di direttiva del Parlamento europeo e
del Consiglio concernente la tutela delle persone fisiche con riguardo al
trattamento dei dati personali da parte delle autorità competenti a fini di
prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di
sanzioni penali, e la libera circolazione di tali dati[2]. La presente relazione riguarda la proposta di
regolamento generale sulla protezione dei dati. La direttiva 95/46/CE[3] – pietra angolare nell’impianto
della vigente normativa dell’UE in materia di protezione dei dati personali – è
stata adottata nel 1995 con due obiettivi: salvaguardare il diritto
fondamentale alla protezione dei dati e garantire la libera circolazione dei
dati personali tra gli Stati membri. Alla direttiva è stata integrata la
decisione quadro 2008/977/GAI (di seguito “decisione quadro”) che è uno
strumento generale applicabile a livello di Unione per proteggere i dati
personali nei settori della cooperazione giudiziaria e di polizia in materia
penale[4]. Incalzanti sviluppi tecnologici hanno
allontanato le frontiere della protezione dei dati personali. La portata della
condivisione e della raccolta di dati è aumentata in modo vertiginoso: la
tecnologia attuale consente alle imprese private quanto alle autorità pubbliche
di utilizzare dati personali, come mai in precedenza, nello svolgimento delle
loro attività e, sempre più spesso, gli stessi privati rendono pubbliche sulla
rete mondiale informazioni personali che li riguardano. Le nuove tecnologie non
hanno trasformato solo l’economia ma anche le relazioni sociali. Instaurare un clima di fiducia negli ambienti
on line è fondamentale per lo sviluppo economico. La mancanza di fiducia frena
i consumatori dall’acquistare on line e utilizzare nuovi servizi. Tale
situazione rischia di rallentare lo sviluppo di applicazioni tecnologiche
innovative. Per questo motivo la protezione dei dati personali riveste
un’importanza fondamentale per l’Agenda digitale europea[5] e, più in generale, per la
strategia Europa 2020[6]. L’articolo 16, paragrafo 1, del trattato sul
funzionamento dell’Unione europea (TFUE) introdotto dal trattato di Lisbona,
stabilisce il principio secondo il quale ogni persona ha diritto alla
protezione dei dati personali che la riguardano. Inoltre, all’articolo 16, paragrafo
2, del TFUE il trattato di Lisbona ha introdotto una base giuridica specifica
per l’adozione di norme in materia di protezione dei dati personali. L’articolo
8 della Carta dei diritti fondamentali dell’Unione europea annovera la
protezione dei dati personali tra i diritti fondamentali. Il Consiglio europeo ha invitato la
Commissione a valutare il funzionamento degli strumenti giuridici dell’Unione
in materia di protezione dei dati e a presentare, se necessario, nuove
iniziative legislative e non legislative[7].
Nella sua risoluzione sul programma di Stoccolma[8]
il Parlamento europeo ha accolto con favore la proposta relativa ad un quadro
giuridico completo in materia di protezione dei dati nell’UE chiedendo, tra
l’altro, la revisione della decisione quadro. Nel piano d’azione per
l’attuazione del programma di Stoccolma[9]
la Commissione ha sottolineato la necessità di assicurare l’applicazione
sistematica del diritto fondamentale alla protezione dei dati personali nel
contesto di tutte le politiche europee. Nella comunicazione “Un approccio globale alla
protezione dei dati personali nell’Unione europea”[10], la Commissione è giunta alla
conclusione che l’Unione europea ha bisogno di una politica più completa e
coerente rispetto al diritto fondamentale alla protezione dei dati personali. Pur rimanendo valido in termini di obiettivi e
principi, il quadro giuridico attuale non ha impedito la frammentazione delle
modalità di applicazione della protezione dei dati personali nel territorio
dell’Unione, né ha eliminato l’incertezza giuridica e la diffusa percezione nel
pubblico che le operazioni on line comportino notevoli rischi[11]. È giunto pertanto il momento
di instaurare un quadro giuridico più solido e coerente in materia di
protezione dei dati nell’Unione che, affiancato da efficaci misure di
attuazione, consentirà lo sviluppo dell’economia digitale nel mercato interno,
garantirà alle persone fisiche il controllo dei loro dati personali e
rafforzerà la certezza giuridica e operativa per i soggetti economici e le autorità
pubbliche.
2.
Consultazione delle parti interessate e valutazione d’impatto
La presente iniziativa è il risultato di
estese consultazioni con tutte le principali parti interessate sul riesame
dell’attuale quadro normativo in materia di protezione dei dati personali,
svoltesi nell’arco di oltre due anni e comprendenti una conferenza ad alto
livello nel maggio 2009[12]
e due fasi di consultazione pubblica: –
dal 9 luglio al 31 dicembre 2009, la consultazione
relativa al quadro giuridico del diritto fondamentale alla protezione dei dati
personali, per la quale la Commissione ha ricevuto 168 risposte, 127
provenienti da privati cittadini, organizzazioni e associazioni imprenditoriali
e 12 dalle autorità pubbliche[13];
–
dal 4 novembre 2010 al 15 gennaio 2011, la consultazione
sulla comunicazione della Commissione “Un approccio globale alla protezione dei
dati personali nell’Unione europea”, per la quale la Commissione ha ricevuto 305
risposte, 54 da privati cittadini, 31 da autorità pubbliche e 220 da
organizzazioni private, soprattutto associazioni d’imprese e organizzazioni non
governative[14].
Si sono inoltre tenute consultazioni ad hoc
con i principali portatori d’interesse; sono stati organizzati specifici
incontri nei mesi di giugno e luglio 2010 con le autorità degli Stati membri
e le parti interessate del settore privato, con le organizzazioni attive nel
settore della protezione della vita privata, della protezione dei dati e le
associazioni di consumatori[15].
Nel novembre 2010 Viviane Reding, vicepresidente della Commissione europea, ha
organizzato una tavola rotonda sulla riforma della protezione dei dati. Il 28
gennaio 2011 (giornata della protezione dei dati), la Commissione europea e il
Consiglio d’Europa hanno co-organizzato una conferenza ad alto livello per discutere
gli aspetti della riforma del quadro normativo dell’Unione così come la
necessità di standard comuni per la protezione dei dati applicabili a livello
mondiale[16].
La presidenza ungherese e la presidenza polacca del Consiglio hanno inoltre
patrocinato, rispettivamente il 16-17 giugno 2011 e il 21 settembre 2011,
due conferenze sulla protezione dei dati. Nel corso del 2011 si sono svolti workshop e
seminari su questioni specifiche. In gennaio l’Agenzia ENISA[17] ha organizzato un seminario
sulla notificazione delle violazioni dei dati in Europa[18]. Nel mese di febbraio, la
Commissione ha organizzato un seminario con le autorità degli Stati membri al
fine di discutere gli aspetti della protezione dei dati nell’ambito della
cooperazione di polizia e della cooperazione giudiziaria in materia penale,
nonché l’attuazione della decisione quadro, e l’Agenzia per i diritti
fondamentali ha tenuto una riunione consultiva con le parti interessate in tema
di “protezione dei dati e della vita privata”. Una discussione sulle tematiche
centrali della riforma si è svolta il 13 luglio 2011 con le autorità nazionali
di protezione dei dati. I cittadini europei sono stati consultati attraverso un
sondaggio Eurobarometro effettuato nel novembre-dicembre 2010[19], sono stati avviati diversi
studi in materia[20]
e il Gruppo di lavoro “Articolo 29”[21]
ha dato numerosi pareri e un utile contributo alla Commissione[22]. Il garante europeo della
protezione dei dati ha espresso un parere complessivo sulle questioni sollevate
nella comunicazione della Commissione del mese di novembre 2010[23]. Il Parlamento europeo ha approvato, con
risoluzione del 6 luglio 2011, una relazione a sostegno dell’impostazione
adottata dalla Commissione per la riforma del quadro normativo in materia di
protezione dei dati[24].
Le conclusioni adottate il 24 febbraio 2011 dal Consiglio dell’Unione europea
esprimono un consenso generale all’intento della Commissione di riformare il
quadro sulla protezione dei dati e approvano diversi elementi della strategia
della Commissione. Anche il Comitato economico e sociale europeo ha commentato
favorevolmente l’obiettivo della Commissione di garantire un’applicazione più
coerente della normativa dell’UE in materia di protezione dei dati in tutti gli
Stati membri[25]
e un’adeguata revisione della direttiva 95/46/CE[26]. Nel corso delle consultazioni
sull’impostazione generale la grande maggioranza degli interpellati ha
convenuto che i principi generali rimangono validi, ma che occorre adattare il
quadro attuale affinché possa rispondere meglio alle sfide poste dalla rapida
evoluzione delle nuove tecnologie (in particolare on line) e dalla crescente
globalizzazione, pur mantenendo la neutralità tecnologica del quadro giuridico.
Aspre critiche ha suscitato l’attuale frammentazione della protezione dei dati
personali nell’Unione, in particolare degli operatori economici che hanno
chiesto una maggiore certezza giuridica e l’armonizzazione delle norme sulla
protezione dei dati personali, sostenendo che la complessità delle norme sui
trasferimenti internazionali dei dati personali sia un notevole ostacolo alle
proprie attività che spesso presuppongono il trasferimento di dati personali
dall’UE verso altre parti del mondo. In linea con l’iniziativa “Legiferare meglio”,
la Commissione ha proceduto a una valutazione dell’impatto delle diverse
opzioni strategiche. La valutazione d’impatto è stata incentrata su tre
obiettivi: migliorare la dimensione di mercato interno della protezione dei
dati; rendere più efficace l’esercizio del diritto alla protezione dei dati da
parte dei privati; creare un quadro completo e coerente applicabile a tutti i
settori di competenza dell’Unione, compresa la cooperazione di polizia e la
cooperazione giudiziaria in materia penale. Sono state prese in esame tre
opzioni strategiche con diversi livelli di intervento: la prima opzione
prevedeva modifiche legislative minime e l’uso di comunicazioni interpretative
e misure di sostegno, quali programmi di finanziamento e strumenti tecnici; la
seconda opzione comprendeva una serie di disposizioni legislative dedicate a
ciascuno degli aspetti emersi dall’analisi e la terza prevedeva la
centralizzazione della protezione dei dati a livello dell’UE attraverso norme
precise e particolareggiate per tutti i settori e la creazione di un’agenzia dell’Unione
per il controllo e l’attuazione delle disposizioni. Conformemente ad una metodologia consolidata,
la Commissione, coadiuvata da un gruppo direttivo interservizi, ha valutato
ciascuna opzione in funzione delle sue effettive possibilità di conseguire gli
obiettivi strategici, dell’impatto economico sulle parti interessate (compreso
sul bilancio delle istituzioni dell’Unione europea), delle ripercussioni sulla
società e dell’effetto sui diritti fondamentali. Non sono emersi possibili
impatti ambientali. L’analisi dell’impatto complessivo ha portato a individuare
l’opzione prescelta, che si ispira alla seconda opzione con l’aggiunta di
alcuni elementi tratti dalle altre due opzioni e inserite nella presente
proposta. Stando alla valutazione d’impatto, la sua attuazione consentirà
notevoli miglioramenti, tra l’altro sotto i seguenti aspetti: la certezza
giuridica per i responsabili del trattamento dei dati e i cittadini, la
riduzione degli oneri amministrativi, un’attuazione coerente della protezione dei
dati nell’Unione, l’effettivo esercizio da parte dei privati del diritto alla
protezione dei dati personali nell’Unione europea e un controllo e
un’applicazione efficaci della normativa in materia di protezione dei dati.
L’attuazione dell’opzione prescelta contribuirà presumibilmente anche
all’obiettivo della Commissione di semplificare e ridurre i costi
amministrativi e agli obiettivi dell’Agenda digitale europea, del piano
d’azione di Stoccolma e della strategia Europa 2020. In data 9 settembre 2011 il comitato per la
valutazione d’impatto ha espresso il suo parere sul progetto di valutazione
d’impatto e conseguentemente la valutazione è stata così modificata: –
sono stati chiariti gli obiettivi dell’attuale
quadro normativo (in che misura siano stati o non siano stati realizzati), così
come gli obiettivi della proposta riforma; –
la sezione relativa alla definizione del problema è
stata corredata di nuove prove e di spiegazioni/chiarimenti supplementari; –
è stata aggiunta una sezione sulla proporzionalità; –
tutti i calcoli e le stime relativi agli oneri
amministrativi nello scenario di base e nell’opzione prescelta sono stati
completamente riveduti e modificati ed è stato chiarito il rapporto tra i costi
delle notifiche e i costi dovuti alla frammentazione generale (compreso
l’allegato 10); –
sono state meglio definite le ripercussioni sulle
micro, piccole e medie imprese, in particolare riguardo all’obbligo di nominare
un responsabile della protezione dei dati e di realizzare valutazioni d’impatto
del trattamento sulla protezione dei dati. La relazione sulla valutazione d’impatto e una
relazione esplicativa sono pubblicate assieme alle proposte.
3.
ELEMENTI GIURIDICI DELLA PROPOSTA
3.1.
Base giuridica
La presente proposta si basa sull’articolo 16
del TFUE, la nuova base giuridica per l’adozione delle norme in materia di
protezione dei dati introdotta dal trattato di Lisbona. Tale disposizione
consente di stabilire le norme relative alla protezione delle persone fisiche
con riguardo al trattamento dei dati di carattere personale da parte degli
Stati membri nell’esercizio di attività che rientrano nel campo di applicazione
del diritto dell’Unione. Tale disposizione consente inoltre l’adozione di norme
relative alla libera circolazione di dati personali, inclusi i dati personali
trattati dagli Stati membri o da privati. Il regolamento è considerato lo strumento più
idoneo per definire il quadro giuridico per la protezione dei dati personali
nell’UE. L’applicabilità diretta di un regolamento ai sensi dell’articolo 288
del TFUE ridurrà la frammentazione giuridica e offrirà maggiore certezza
giuridica grazie all’introduzione di una serie di norme di base armonizzate,
migliorando la tutela dei diritti fondamentali delle persone fisiche e
contribuendo al corretto funzionamento del mercato interno. Il riferimento all’articolo 114, paragrafo 1,
del TFUE, è necessario soltanto in relazione alle modifiche della direttiva 2002/58/CE
in quanto la direttiva prevede anche la tutela dei legittimi interessi degli
abbonati che sono persone giuridiche.
3.2.
Sussidiarietà e proporzionalità
In virtù del principio di sussidiarietà
(articolo 5, paragrafo 3, del TUE) l’Unione interviene soltanto se e in quanto
gli obiettivi dell’azione prevista non possono essere conseguiti in misura
sufficiente dagli Stati membri, ma possono, a motivo della portata o degli
effetti dell’azione in questione, essere conseguiti meglio a livello di Unione.
Alla luce dei problemi sopra esposti, l’analisi della sussidiarietà indica la
necessità di un’azione a livello di Unione per i seguenti motivi: –
il diritto alla protezione dei dati personali,
sancito dall’articolo 8 della Carta dei diritti fondamentali, richiede il
medesimo livello di protezione dei dati in tutta l’Unione. In mancanza di una
normativa dell’Unione si rischierebbe di instaurare livelli diversi di
protezione negli Stati membri e di creare restrizioni nei flussi
transfrontalieri di dati personali tra gli Stati membri dotati di norme
differenti; –
i dati personali sono trasferiti attraverso le
frontiere nazionali, sia interne che esterne, ad un ritmo sempre crescente.
Inoltre, esistono difficoltà pratiche nell’attuare efficacemente la normativa
in materia di protezione dei dati e occorre stabilire una cooperazione tra gli
Stati membri e le autorità nazionali a livello di Unione, per garantire
uniformità nell’applicazione del diritto dell’UE. Infine, l’Unione si trova
nella posizione migliore per garantire in maniera efficace e coerente lo stesso
livello di protezione alle persone fisiche i cui dati personali siano trasferiti
verso paesi terzi; –
gli Stati membri non sono in grado da soli di
risolvere i problemi posti dalla situazione attuale, in particolare dalla
frammentazione delle legislazioni nazionali. Conseguentemente esiste la precisa
esigenza di istituire un quadro armonizzato e coerente che consenta un agevole
trasferimento transfrontaliero di dati personali all’interno dell’Unione
europea e che garantisca nel contempo un’effettiva tutela di tutte le persone
fisiche nell’intero territorio dell’UE; –
le proposte legislative dell’UE risulteranno più
efficaci rispetto ad analoghi provvedimenti adottati dai singoli Stati membri,
a motivo della natura e della dimensione dei problemi che non sono confinati a
uno o più Stati membri. Il principio di proporzionalità prevede che
qualsiasi intervento sia mirato e si limiti a quanto è necessario per
conseguire gli obiettivi. Tale principio ha guidato l’intera elaborazione della
proposta legislativa, dall’individuazione e valutazione delle opzioni
strategiche alternative fino alla sua stesura.
3.3.
Sintesi degli aspetti inerenti ai diritti
fondamentali
Il diritto alla protezione dei dati personali
è sancito dall’articolo 8 della Carta, dall’articolo 16 del TFUE e
dall’articolo 8 della convenzione europea per la salvaguardia dei diritti
dell’uomo e delle libertà fondamentali (CEDU). Come sottolinea la Corte di
giustizia dell’Unione europea[27],
il diritto alla protezione dei dati personali non è una prerogativa assoluta,
ma va considerato alla luce della sua funzione sociale[28]. La protezione dei dati è
strettamente legata al rispetto della vita privata e familiare tutelato
dall’articolo 7 della Carta. Tale principio è riflesso nell’articolo 1,
paragrafo 1, della direttiva 95/46/CE, che prevede che gli Stati membri
proteggano i diritti e le libertà fondamentali delle persone fisiche, in
particolare il diritto alla vita privata con riguardo al trattamento dei dati
personali. La Carta sancisce altri diritti fondamentali,
potenzialmente interessati: libertà di espressione (articolo 11); libertà d’impresa
(articolo 16); il diritto di proprietà e, in particolare, la tutela della
proprietà intellettuale (articolo 17, paragrafo 2); il divieto di qualsiasi
forma di discriminazione fondata, tra l’altro, sulla razza, l’origine etnica,
le caratteristiche genetiche, la religione o le convinzioni personali, le
opinioni politiche o di qualsiasi altra natura, la disabilità, o l’orientamento
sessuale (articolo 21); i diritti del minore (articolo 24); il diritto a un
elevato livello di protezione sanitaria (articolo 35); il diritto d’accesso ai
documenti (articolo 42); il diritto a un ricorso effettivo e a un giudice
imparziale (articolo 47).
3.4.
Spiegazione dettagliata della proposta
3.4.1.
CAPO I - DISPOSIZIONI GENERALI
L’articolo 1 definisce l’oggetto del
regolamento e, alla stregua dell’articolo 1 della direttiva 95/46/CE,
definisce i due obiettivi del regolamento. L’articolo 2 delimita il campo d’applicazione
materiale del regolamento. L’articolo 3 precisa l’ambito di applicazione
territoriale del regolamento. L’articolo 4 contiene le definizioni
della terminologia utilizzata nel regolamento. Mentre alcune definizioni sono
mutuate dalla direttiva 95/46/CE, altre sono modificate, integrate con elementi
aggiuntivi, o introdotte ex novo (“violazione dei dati personali” basata
sull’articolo 2, lettera h), della direttiva 2002/58/CE relativa alla vita
privata e alle comunicazioni elettroniche[29],
quale modificata dalla direttiva 2009/136/CE[30],
“dati genetici”, “dati biometrici”, “dati relativi alla salute”, “stabilimento
principale”, “rappresentante”, “impresa”, “gruppo di imprese”, “norme
vincolanti d’impresa”, “minore”, basata sulla convenzione delle Nazioni Unite
sui diritti del fanciullo[31],
e “autorità di controllo”). Nella definizione di consenso è aggiunta la
qualifica di “esplicito” per evitare un fuorviante parallelismo con il consenso
“inequivocabile” e al fine di disporre di una definizione unica e coerente di
consenso e garantire che l’interessato sia pienamente consapevole del consenso
che sta esprimendo e dei tipi di trattamento dei dati personali che sta
accettando.
3.4.2.
CAPO II - PRINCIPI
L’articolo 5 stabilisce i principi in materia
di trattamento dei dati personali, che corrispondono a quelli di cui
all’articolo 6 della direttiva 95/46/CE. Tra i nuovi elementi aggiunti si
trovano il principio di trasparenza, la precisazione del principio di
minimizzazione dei dati e l’introduzione di una responsabilità generale del
responsabile del trattamento. L’articolo 6 stabilisce, in base all’articolo 7
della direttiva 95/46/CE, i criteri di liceità del trattamento, ulteriormente
specificati con riferimento alle circostanze relative all’equilibrio degli
interessi, rispetto degli obblighi giuridici e interesse pubblico. L’articolo 7 chiarisce le condizioni alle
quali il consenso è valido come base giuridica ai fini di un trattamento
lecito. L’articolo 8 stabilisce ulteriori condizioni
per la liceità del trattamento dei dati personali del minore in relazione ai
servizi della società dell’informazione diretti ai minori. L’articolo 9 stabilisce il divieto generale di
trattamento di categorie particolari di dati personali e le eccezioni a questa
regola generale, fondata sull’articolo 8 della direttiva 95/46/CE. L’articolo 10 precisa che il responsabile del
trattamento non è obbligato ad acquisire ulteriori informazioni per
identificare l’interessato al solo fine di rispettare una disposizione del
presente regolamento.
3.4.3.
CAPO III - DIRITTI DELL’INTERESSATO
3.4.3.1.
Sezione 1 - Trasparenza e modalità
L’articolo 11, che si ispira in particolare
alla risoluzione di Madrid sulle norme internazionali sulla protezione dei dati
personali e della vita privata[32],
introduce l’obbligo per i responsabili del trattamento di fornire informazioni
trasparenti, comprensibili e facilmente accessibili. L’articolo 12 impone al responsabile del
trattamento di predisporre le procedure e i meccanismi che permettano
all’interessato di esercitare i propri diritti, compresi i mezzi per introdurre
le richieste per via elettronica/telematica, l’obbligo di rispondere entro un
termine determinato e di motivare un eventuale rifiuto. L’articolo 13 prevede i diritti relativi ai
destinatari, in base all’articolo 12, lettera c), della direttiva 95/46/CE, e
li estende a tutti i destinatari, compresi i corresponsabili e i coincaricati
dei trattamenti.
3.4.3.2.
Sezione 2 – Informazioni e accesso ai dati
L’articolo 14 precisa gli obblighi di
informazione del responsabile del trattamento nei confronti dell’interessato e,
rispetto agli articoli 10 e 11 della direttiva 95/46/CE, prevede informazioni
aggiuntive tra cui il periodo di conservazione, il diritto di presentare
reclamo, i trasferimenti internazionali e la fonte dei dati. Sono mantenute le
deroghe previste dalla direttiva 95/46/CE, per cui l’obbligo di informazione
non si applica se la registrazione o la divulgazione dei dati sono
espressamente previste per legge. Ciò può avvenire, ad esempio, nei
procedimenti avviati dalle autorità per la concorrenza, da un’amministrazione
fiscale o doganale o dai servizi di sicurezza sociale. L’articolo 15 prevede il diritto di accesso ai
propri dati personali sulla base dell’articolo 12, lettera a), della direttiva 95/46/CE,
con l’aggiunta di nuovi elementi come la comunicazione all’interessato del
periodo di conservazione dei dati, dei diritti di rettifica e di cancellazione
e del diritto di proporre reclamo.
3.4.3.3.
Sezione 3 – Rettifica e cancellazione
L’articolo 16 prevede il diritto di rettifica
in base all’articolo 12, lettera b), della direttiva 95/46/CE. L’articolo 17 prevede il diritto all’oblio e
alla cancellazione, approfondendo e precisando il diritto alla cancellazione di
cui all’articolo 12, lettera b), della direttiva 95/46/CE e prevedendo le
condizioni del diritto all’oblio, compreso l’obbligo del responsabile del
trattamento che abbia divulgato dati personali di informare i terzi della
richiesta dell’interessato di cancellare tutti i link verso tali dati, le loro
copie o riproduzioni. La disposizione prevede inoltre il diritto di limitare il
trattamento in determinati casi, evitando l’ambiguo termine di “blocco dei
dati”. L’articolo 18 introduce il diritto
dell’interessato alla portabilità dei dati, vale a dire il diritto di
trasferire i propri dati da un sistema di trattamento elettronico a un altro,
senza che il responsabile del trattamento possa impedirlo. Come presupposto e
al fine di migliorare l’accesso dell’interessato ai dati personali che lo
riguardano, è previsto il diritto di ottenere tali dati dal responsabile del
trattamento in un formato elettronico strutturato e di uso comune.
3.4.3.4.
Sezione 4 - Diritto di opposizione e profilazione
L’articolo 19 sancisce il diritto di
opposizione dell’interessato sulla base dell’articolo 14 della direttiva 95/46/CE,
al quale sono state apportate alcune modifiche anche per quanto riguarda
l’onere della prova e la sua applicazione al marketing diretto. L’articolo 20
sancisce il diritto di non essere sottoposto a misure basate sulla profilazione
riprendendo, con modifiche e salvaguardie supplementari, l’articolo 15,
paragrafo 1, della direttiva 95/46/CE relativo alle decisioni individuali
automatizzate, e tenendo conto della raccomandazione del Consiglio d’Europa
sulla profilazione[33].
3.4.3.5.
Sezione 5 - Limitazioni
L’articolo 21
chiarisce la facoltà dell’Unione o degli Stati membri di mantenere o introdurre
limitazioni dei principi stabiliti all’articolo 5 e dei diritti
dell’interessato previsti agli articoli da 11 a 20 e all’articolo 32. Questa
disposizione si basa sull’articolo 13 della direttiva 95/46/CE e sugli
obblighi discendenti dalla Carta dei diritti fondamentali e dalla convenzione
CEDU, nell’interpretazione della Corte di giustizia dell’Unione europea e della
Corte europea dei diritti dell’uomo.
3.4.4.
CAPO IV - RESPONSABILE DEL TRATTAMENTO E INCARICATO
DEL TRATTAMENTO
3.4.4.1.
Sezione 1 - Obblighi generali
L’articolo 22, che tiene conto del dibattito
sul “principio di rendicontazione”, descrive in modo particolareggiato
l’obbligo del responsabile del trattamento di conformarsi al regolamento e di
dimostrare tale conformità, anche mediante l’adozione di politiche interne e di
meccanismi atti a garantire il rispetto del regolamento. L’articolo 23 enuncia gli obblighi del
responsabile del trattamento derivanti dai principi di protezione fin dalla
progettazione (“by design”) e di default. L’articolo 24 sui corresponsabili del trattamento
ne chiarisce le responsabilità con riferimento alla relazione che intercorre
tra gli stessi e nei confronti dell’interessato. L’articolo 25 obbliga, a determinate
condizioni, i responsabili del trattamento non stabiliti nell’Unione a
designare un rappresentante nell’Unione, nella misura in cui il regolamento si
applica alla loro attività di trattamento dati. L’articolo 26 chiarisce la posizione e
l’obbligo degli incaricati del trattamento, basandosi in parte sull’articolo 17,
paragrafo 2, della direttiva 95/46/CE, con l’aggiunta di nuovi elementi come il
fatto che un incaricato del trattamento che non si limiti a trattare i dati in
base alle istruzioni del responsabile del trattamento è considerato
corresponsabile del trattamento. L’articolo 27 sul trattamento sotto l’autorità
del responsabile e dell’incaricato del trattamento si basa sull’articolo 16
della direttiva 95/46/CE. L’articolo 28 introduce l’obbligo per i
responsabili e gli incaricati del trattamento di conservare la documentazione
delle operazioni effettuate sotto la propria responsabilità, in sostituzione
della notifica generale all’autorità di controllo richiesta dall’articolo 18,
paragrafo 1, e dall’articolo 19 della direttiva 95/46/CE. L’articolo 29 chiarisce gli obblighi del
responsabile e dell’incaricato del trattamento ai fini della cooperazione con
l’autorità di controllo.
3.4.4.2.
Sezione 2 – Sicurezza dei dati
L’articolo 30 impone al responsabile del
trattamento e all’incaricato del trattamento di mettere in atto misure adeguate
per la sicurezza dei trattamenti, ai sensi dell’articolo 17, paragrafo 1, della
direttiva 95/46/CE, estendendo l’obbligo agli incaricati del trattamento,
indipendentemente dal contratto che hanno sottoscritto con il responsabile del
trattamento. Gli articoli 31 e 32 introducono l’obbligo di
notificazione e comunicazione delle violazioni di dati personali, sviluppando
la notificazione prevista all’articolo 4, paragrafo 3, della direttiva 2002/58/CE.
3.4.4.3.
Sezione 3 – Valutazione d’impatto sulla protezione
dei dati e autorizzazione preventiva
L’articolo 33 introduce l’obbligo per
responsabili e incaricati del trattamento di effettuare una valutazione
d’impatto in materia di protezione dei dati prima di trattamenti che presentino
rischi al riguardo. L’articolo 34, che sviluppa la nozione di
controllo preliminare di cui all’articolo 20 della direttiva 95/46/CE, riguarda
i casi in cui il responsabile del trattamento o l’incaricato del trattamento
devono ottenere l’autorizzazione preventiva dell’autorità di controllo o
consultare tale autorità prima di trattare i dati.
3.4.4.4.
Sezione 4 – Responsabile della protezione dei dati
L’articolo 35 introduce la figura obbligatoria
del responsabile della protezione dei dati per il settore pubblico e, nel
settore privato, per le grandi imprese o allorquando le attività principali del
responsabile del trattamento e dell’incaricato del trattamento consistono in
trattamenti che richiedono il controllo regolare e sistematico degli
interessati. La disposizione si basa sull’articolo 18, paragrafo 2, della
direttiva 95/46/CE che ha permesso agli Stati membri di introdurre tale obbligo
in sostituzione di un obbligo generale di notificazione. L’articolo 36 precisa la posizione del
responsabile della protezione dei dati. L’articolo 37 stabilisce i principali compiti
del responsabile della protezione dei dati.
3.4.4.5.
Sezione 5 – Codici di condotta e certificazione
L’articolo 38 riguarda i codici di condotta e
precisa, sviluppando il concetto di cui all’articolo 27, paragrafo 1, della
direttiva 95/46/CE, il contenuto di tali codici e le procedure, conferendo alla
Commissione il potere di decidere sulla validità generale dei codici di
condotta. L’articolo 39
introduce la possibilità di predisporre meccanismi di certificazione e sigilli
e marchi di protezione dei dati.
3.4.5.
CAPO V - TRASFERIMENTO DI DATI PERSONALI VERSO
PAESI TERZI O ORGANIZZAZIONI INTERNAZIONALI
L’articolo 40 stabilisce che, in linea di
principio, la conformità alle disposizioni del capo V è obbligatoria per i
trasferimenti di dati personali verso paesi terzi o organizzazioni
internazionali, compresi i trasferimenti successivi. L’articolo 41 stabilisce, sulla base
dell’articolo 25 della direttiva 95/46/CE, i criteri, le condizioni e le
procedure per l’adozione di una decisione di adeguatezza della Commissione. I
criteri di cui deve tener conto la Commissione per valutare se il livello di
protezione è o meno adeguato includono espressamente lo stato di diritto, il
ricorso giudiziario e un controllo indipendente. L’articolo conferma ora
esplicitamente che la Commissione può valutare il livello di protezione offerto
da un territorio o settore di trattamento all’interno di un paese terzo. L’articolo 42 prevede che, in mancanza di una
decisione di adeguatezza della Commissione, i trasferimenti a paesi terzi siano
subordinati ad adeguate garanzie, in particolare clausole tipo di protezione
dei dati, norme vincolanti d’impresa e clausole contrattuali. La possibilità di
fare ricorso alle clausole tipo di protezione dei dati della Commissione
discende dall’articolo 26, paragrafo 4, della direttiva 95/46/CE. La novità è
che adesso le clausole standard potranno essere ora adottate anche da
un’autorità di controllo ed essere dichiarate generalmente valide dalla
Commissione. Il testo giuridico menziona ora espressamente anche le norme
vincolanti d’impresa. L’opzione delle clausole contrattuali offre una certa
flessibilità al responsabile o all’incaricato del trattamento, ma è subordinata
all’autorizzazione preventiva delle autorità di controllo. L’articolo 43 descrive in modo più dettagliato
le condizioni per i trasferimenti in presenza di norme vincolanti d’impresa,
sulla base delle attuali pratiche e esigenze delle autorità di controllo. L’articolo 44 precisa e chiarisce le deroghe
per il trasferimento di dati, partendo dalle attuali disposizioni dell’articolo
26 della direttiva 95/46/CE. Ciò vale in particolare per i trasferimenti di
dati richiesti e necessari per motivi di interesse pubblico rilevante, per
esempio in casi di scambi internazionali di dati tra amministrazioni fiscali o
doganali oppure tra servizi competenti per la sicurezza sociale o per la
gestione delle risorse alieutiche. Inoltre, una trasmissione di dati può, in
circostanze limitate, essere giustificata dall’interesse legittimo del
responsabile del trattamento o dell’incaricato del trattamento, ma solo dopo
che siano state valutate e documentate le circostanze del trasferimento. L’articolo 45 prevede espressamente lo
sviluppo di meccanismi di cooperazione internazionale per la protezione dei
dati personali tra la Commissione e le autorità di controllo di paesi terzi, in
particolare quelli che si ritiene offrano un adeguato livello di protezione,
tenendo conto della raccomandazione dell’Organizzazione per la cooperazione e
lo sviluppo economico (OCSE) sulla cooperazione transfrontaliera
nell’applicazione delle legislazioni in materia di privacy del 12 giugno 2007.
3.4.6.
CAPO VI - AUTORITÀ DI CONTROLLO INDIPENDENTI
3.4.6.1.
Sezione 1 – Indipendenza
L’articolo 46 obbliga gli Stati membri a
istituire autorità di controllo, come già previsto dall’articolo 28, paragrafo 1,
della direttiva 95/46/CE, e ad ampliarne i compiti includendo la cooperazione
reciproca e con la Commissione. L’articolo 47 precisa le condizioni per
l’indipendenza delle autorità di controllo, ai sensi della giurisprudenza della
Corte di giustizia dell’Unione europea[34],
ispirandosi anche all’articolo 44 del regolamento (CE) n. 45/2001[35]. L’articolo 48 dispone le condizioni generali
per i membri dell’autorità di controllo, in applicazione della pertinente
giurisprudenza[36],
inspirandosi anche all’articolo 42, paragrafi da 2 a 6, del regolamento (CE) n.
45/2001. L’articolo 49 contiene disposizioni relative
all’istituzione delle autorità di controllo, che ogni Stato membro deve
prevedere per legge. L’articolo 50, basato sull’articolo 28,
paragrafo 7, della direttiva 95/46/CE, obbliga al segreto professionale i
membri e il personale dell’autorità di controllo.
3.4.6.2.
Sezione 2 – Funzioni e poteri
L’articolo 51 stabilisce le competenze delle
autorità di controllo. La norma generale, prevista all’articolo 28, paragrafo 6,
della direttiva 95/46/CE (competenza nel territorio del suo Stato membro),
è integrata dalla nuova competenza di autorità capofila nel caso di un
responsabile del trattamento o incaricato del trattamento stabilito in più
Stati membri, al fine di assicurare un’attuazione uniforme (“sportello unico”).
I tribunali, nell’esercizio della loro funzione giurisdizionale, sono esentati
dal monitoraggio esercitato dall’autorità di controllo, ma non
dall’applicazione delle norme sostanziali in materia di protezione dei dati. L’articolo 52 stabilisce le funzioni
dell’autorità di controllo, compresa quella di ricevere ed esaminare i reclami
o sensibilizzare il pubblico ai rischi, alla norme e misure di salvaguardia e
ai diritti. L’articolo 53 stabilisce i poteri
dell’autorità di controllo, in parte sulla base dell’articolo 28, paragrafo 3,
della direttiva 95/46/CE e dell’articolo 47 del regolamento (CE) n. 45/2001, e
inserisce alcuni nuovi elementi, tra cui il potere di sanzionare gli illeciti
amministrativi. L’articolo 54 obbliga le autorità di controllo
a redigere relazioni annuali di attività, com’era già previsto dall’articolo 28,
paragrafo 5, della direttiva 95/46/CE.
3.4.7.
CAPO VII - COOPERAZIONE E COERENZA
3.4.7.1.
Sezione 1 – Cooperazione
L’articolo 55 introduce, sulla base
dell’articolo 28, paragrafo 6, secondo comma, della direttiva 95/46/CE, norme
esplicite in materia di assistenza reciproca obbligatoria, specificando le
conseguenze per la mancata esecuzione della richiesta di un’altra autorità di
controllo. L’articolo 56, ispirandosi all’articolo 17
della decisione 2008/615/GAI[37],
introduce norme sulle operazioni congiunte, compreso il diritto delle autorità
di controllo di partecipare a tali operazioni.
3.4.7.2.
Sezione 2 – Coerenza
L’articolo 57 introduce un meccanismo volto ad
assicurare l’uniformità di applicazione in relazione alle attività di
trattamento dati che possono riguardare interessati in vari Stati membri. L’articolo 58 stabilisce le procedure e le
condizioni per l’emissione di un parere del comitato europeo per la protezione
dei dati. L’articolo 59 verte sui pareri della
Commissione in relazione a questioni trattate nell’ambito del meccanismo di
coerenza, che possono esprimere un accordo o un disaccordo rispetto al parere
del comitato europeo per la protezione dei dati, e sul progetto di misura
dell’autorità di controllo. Qualora il comitato europeo per la protezione dei
dati sollevi una questione a norma dell’articolo 58, paragrafo 3, è presumibile
che la Commissione eserciti il suo potere discrezionale ed esprima un parere
ogniqualvolta necessario. L’articolo 60 riguarda le decisioni della
Commissione che ingiungono all’autorità competente di sospendere l’adozione del
progetto di misura qualora ciò sia necessario per garantire la corretta
applicazione del presente regolamento. L’articolo 61 prevede la possibilità di
adottare misure provvisorie, con procedura d’urgenza. L’articolo 62 stabilisce i requisiti per gli
atti di esecuzione della Commissione nell’ambito del meccanismo di coerenza. L’articolo 63
prevede l’obbligo di dare esecuzione alle misure di un’autorità di controllo in
tutti gli Stati membri interessati e dispone l’applicazione del meccanismo di
coerenza come requisito indispensabile ai fini della validità giuridica e dell’esecuzione
della rispettiva misura.
3.4.7.3.
Sezione 3 – Comitato europeo per la protezione dei
dati
L’articolo 64 istituisce il comitato europeo
per la protezione dei dati, composto dal responsabile delle autorità di
controllo di ciascuno Stato membro e dal garante europeo della protezione dei
dati. Il comitato europeo per la protezione dei dati sostituisce il gruppo per
la tutela delle persone con riguardo al trattamento dei dati personali
istituito dall’articolo 29 della direttiva 95/46/CE. L’articolo precisa che la
Commissione non è membro del comitato europeo per la protezione dei dati, ma ha
il diritto di partecipare alle attività e designa un rappresentante. L’articolo 65 sottolinea e chiarisce
l’indipendenza del comitato europeo per la protezione dei dati. L’articolo 66 descrive i compiti del comitato
europeo per la protezione dei dati, sulla base dell’articolo 30, paragrafo 1,
della direttiva 95/46/CE, e prevede ulteriori elementi, a motivo del più vasto
ambito di attività del comitato all’interno dell’Unione e al di fuori. Per
essere in grado di reagire a situazioni di emergenza, la Commissione può
chiedere un parere fissando un termine entro il quale il comitato deve
rispondere. L’articolo 67 obbliga il comitato europeo per
la protezione dei dati a riferire annualmente sulle sue attività, in base
all’articolo 30, paragrafo 6, della direttiva 95/46/CE. L’articolo 68 stabilisce le procedure
decisionali del comitato europeo per la protezione dei dati, compreso l’obbligo
di adottare un regolamento interno che contempli anche le modalità del proprio
funzionamento. L’articolo 69 contiene disposizioni sul
presidente e i vicepresidenti del comitato europeo per la protezione dei dati. L’articolo 70 definisce i compiti della
presidenza. L’articolo 71 stabilisce che la segreteria del
comitato europeo per la protezione dei dati è assicurata dal garante europeo
della protezione dei dati e ne specifica i compiti. L’articolo 72 dispone in materia di
riservatezza.
3.4.8.
CAPO III - RICORSI GIURISDIZIONALI, RESPONSABILITÀ
E SANZIONI
L’articolo 73 riconosce a ciascuno il diritto
di presentare un reclamo presso un’autorità di controllo, sulla base
dell’articolo 28, paragrafo 4, della direttiva 95/46/CE. L’articolo specifica
anche gli organismi, le organizzazioni o associazioni che possono presentare
reclamo per conto dell’interessato o, in caso di violazione di dati personali,
indipendentemente dal reclamo dell’interessato. L’articolo 74 riguarda il diritto di proporre
un ricorso giurisdizionale avverso un’autorità di controllo, sulla base della
disposizione generale di cui all’articolo 28, paragrafo 3, della direttiva 95/46/CE.
L’articolo prevede esplicitamente che il ricorso giurisdizionale obbliga
l’autorità di controllo ad agire a seguito di un reclamo, e chiarisce la
competenza dei giudici dello Stato membro in cui è stabilita l’autorità di
controllo. Prevede inoltre che le autorità di controllo dello Stato membro in
cui risiede l’interessato possano avviare un’azione legale per suo conto in un
altro Stato membro in cui sia stabilita l’autorità di controllo competente. L’articolo 75 riguarda il diritto di proporre
un ricorso giurisdizionale nei confronti di un responsabile del trattamento o
di un incaricato del trattamento, sulla base dell’articolo 22 della direttiva 95/46/CE,
e consente la scelta tra il ricorso al giudice dello Stato membro in cui è
stabilito il ricorrente e quello in cui risiede l’interessato. Se più
procedimenti riguardanti la stessa misura sono in corso nell’ambito del
meccanismo di coerenza, il giudice può sospendere il procedimento, salvo casi
d’urgenza. L’articolo 76 stabilisce norme comuni per i
procedimenti giudiziari, compresi i diritti degli organismi, delle
organizzazioni o associazioni di rappresentare gli interessati in giudizio, il
diritto delle autorità di controllo di avviare azioni legali e delle autorità
giurisdizionali di ottenere informazioni su procedimenti paralleli in un altro
Stato membro, oltre alla facoltà del giudice di sospendere il procedimento in
tal caso[38].
Gli Stati membri hanno l’obbligo di garantire la rapidità dei ricorsi
giurisdizionali[39]. L’articolo 77 stabilisce il diritto al
risarcimento del danno e la responsabilità. Basandosi sull’articolo 23 della
direttiva 95/46/CE, estende tale diritto ai danni causati dagli incaricati del
trattamento e chiarisce la responsabilità dei corresponsabili e coincaricati
del trattamento. L’articolo 78 impone agli Stati membri di
definire le sanzioni applicabili alle violazioni del regolamento e di
garantirne l’effettiva attuazione. L’articolo 79 fa
obbligo a ciascuna autorità di controllo di sanzionare gli illeciti
amministrativi elencati nei cataloghi di cui alla presente disposizione, di
comminare ammende entro un importo massimo, tenendo debitamente conto delle
circostanze di ogni singolo caso.
3.4.9.
CAPO IX - DISPOSIZIONI RELATIVE A SPECIFICHE
SITUAZIONI DI TRATTAMENTO DEI DATI
L’articolo 80 impone agli Stati membri di
adottare esenzioni e deroghe alle disposizioni specifiche del regolamento ove
necessario per conciliare il diritto alla protezione dei dati personali e il
diritto alla libertà d’espressione; si basa sull’articolo 9 della direttiva 95/46/CE,
come interpretato dalla Corte di giustizia[40].
L’articolo 81 impone agli Stati membri, in
aggiunta a quanto già prescritto per categorie particolari di dati, di
garantire specifiche salvaguardie al trattamento di dati a fini sanitari. L’articolo 82 dispone che gli Stati membri
hanno facoltà di adottare norme specifiche per il trattamento dei dati
personali nei rapporti di lavoro. L’articolo 83 stabilisce condizioni specifiche
per il trattamento di dati personali per finalità storiche, statistiche e di
ricerca scientifica. L’articolo 84 autorizza gli Stati membri ad
adottare norme specifiche per regolare l’accesso delle autorità di controllo ai
dati personali e agli edifici, se i responsabili del trattamento sono tenuti
all’obbligo di segretezza. L’articolo 85 autorizza chiese e comunità
religiose, alla luce dell’articolo 17 del TFUE, a continuare ad applicare
corpus completi di norme di protezione dei dati, purché conformi al presente
regolamento.
3.4.10.
CAPO X - ATTI DELEGATI E ATTI DI ESECUZIONE
L’articolo 86 contiene le disposizioni
standard per l’esercizio delle deleghe a norma dell’articolo 290 del TFUE. Ciò
consente al legislatore di delegare alla Commissione il potere di adottare atti
non legislativi di portata generale che integrano o modificano determinati
elementi non essenziali di un atto legislativo (atti quasi legislativi). L’articolo 87
dispone la procedura di comitato necessaria per il conferimento delle
competenze di esecuzione alla Commissione, nei casi in cui, conformemente
all’articolo 291 del TFUE, sono necessarie condizioni uniformi di esecuzione
degli atti giuridicamente vincolanti dell’Unione. Si applica la procedura
d’esame.
3.4.11.
CAPO XI - DISPOSIZIONI FINALI
L’articolo 88 abroga la direttiva 95/46/CE. L’articolo 89 chiarisce il rapporto con la
direttiva 2002/58/CE sulla vita privata e le comunicazioni elettroniche, e la
modifica. L’articolo 90 impone alla Commissione di
valutare l’applicazione del regolamento e presentare relazioni al riguardo. L’articolo 91 stabilisce la data di entrata in
vigore del regolamento e una fase transitoria rispetto alla data di
applicazione. 4. INCIDENZA SUL BILANCIO Le specifiche implicazioni di bilancio della proposta
riguardano i compiti assegnati al garante europeo della protezione dei dati,
come indicato nella scheda finanziaria legislativa allegata alla presente
proposta. Tali implicazioni richiedono una riprogrammazione della rubrica 5
delle prospettive finanziarie. La proposta non ha ripercussioni sulle spese
operative. La scheda finanziaria legislativa che
accompagna la presente proposta di regolamento ricomprende le incidenze di
bilancio del regolamento stesso e della direttiva sulla protezione dei dati in
materia di polizia e giustizia penale. 2012/0011 (COD) Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL
CONSIGLIO concernente la tutela delle persone fisiche
con riguardo al trattamento dei dati personali e la libera circolazione di tali
dati
(regolamento generale sulla protezione dei dati) (Testo rilevante ai fini del SEE) IL PARLAMENTO EUROPEO E IL CONSIGLIO
DELL’UNIONE EUROPEA, visto il trattato
sul funzionamento dell’Unione europea, in particolare l’articolo 16, paragrafo 2,
e l’articolo 114, paragrafo 1, vista la proposta della Commissione europea, previa trasmissione del progetto di atto
legislativo ai parlamenti nazionali, visto il parere del Comitato economico e
sociale europeo[41], sentito il garante europeo della protezione
dei dati[42],
deliberando secondo la procedura legislativa
ordinaria, considerando quanto segue: (1)
La tutela delle persone fisiche con riguardo al
trattamento dei dati personali è un diritto fondamentale. L’articolo 8,
paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea e
l’articolo 16, paragrafo 1, del trattato stabiliscono che ogni persona ha
diritto alla protezione dei dati di carattere personale che la riguardano. (2)
Il trattamento dei dati personali è al servizio
dell’uomo; i principi e le norme a tutela delle persone fisiche con riguardo al
trattamento dei dati personali devono rispettarne i diritti e le libertà
fondamentali, in particolare il diritto alla protezione dei dati personali, a
prescindere dalla nazionalità o dalla residenza dell’interessato. Il trattamento
dei dati personali dovrebbe contribuire alla realizzazione di uno spazio di
libertà, sicurezza e giustizia e di un’unione economica, al progresso economico
e sociale, al rafforzamento e alla convergenza delle economie nel mercato
interno e al benessere delle persone. (3)
Obiettivo della direttiva 95/46/CE del Parlamento europeo
e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone
fisiche con riguardo al trattamento dei dati personali, nonché alla libera
circolazione di tali dati[43]
è armonizzare la protezione dei diritti e delle libertà fondamentali delle
persone fisiche rispetto alle attività di trattamento dei dati e assicurare la
libera circolazione dei dati personali tra gli Stati membri. (4)
L’integrazione economica e sociale conseguente al
funzionamento del mercato interno ha portato a un considerevole aumento dei
flussi transfrontalieri e quindi anche dei dati scambiati, in tutta l’Unione,
tra gli operatori economici e sociali, pubblici e privati. Il diritto
dell’Unione impone alle autorità nazionali degli Stati membri di cooperare e
scambiarsi dati personali per essere in grado di svolgere le rispettive
funzioni o eseguire compiti per conto di un’autorità di un altro Stato membro. (5)
La rapidità dell’evoluzione tecnologica e la globalizzazione
comportano anche nuove sfide per la protezione dei dati personali. La portata
della condivisione e della raccolta di dati è aumentata in modo vertiginoso; la
tecnologia attuale consente alle imprese private quanto alle autorità pubbliche
di utilizzare dati personali, come mai in precedenza, nello svolgimento delle
loro attività e, sempre più spesso, gli stessi privati rendono pubbliche sulla
rete mondiale informazioni personali che li riguardano. Le nuove tecnologie
hanno trasformato non solo l’economia ma anche le relazioni sociali e impongono
che si faciliti ancora di più la libera circolazione dei dati all’interno
dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni
internazionali; al tempo stesso, però, occorre garantire un elevato livello di
protezione dei dati personali. (6)
Tale evoluzione richiede un quadro giuridico più
solido e coerente in materia di protezione dei dati nell’Unione, affiancato da
efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che
consentirà lo sviluppo dell’economia digitale in tutto il mercato interno. È
necessario che le persone fisiche abbiano il controllo dei dati personali che
li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per
i privati che per i operatori economici e le autorità pubbliche. (7)
Sebbene i suoi obiettivi e principi rimangano
tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione delle
modalità di applicazione della protezione dei dati personali nel territorio
dell’Unione, né ha eliminato l’incertezza giuridica e la percezione, largamente
diffusa nel pubblico, che soprattutto le operazioni on line comportino notevoli
rischi. La compresenza di diversi livelli di tutela dei diritti e delle libertà
delle persone fisiche, in particolare del diritto alla protezione dei dati
personali, riservata al trattamento di tali dati negli Stati membri può
ostacolare la libera circolazione dei dati personali all’interno dell’Unione.
Tali differenze possono pertanto costituire un freno all’esercizio delle
attività economiche su scala dell’Unione, falsare la concorrenza e impedire
alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto
dell’Unione. Il divario creatosi nei livelli di protezione è dovuto alle
divergenze nell’attuare e applicare la direttiva 95/46/CE. (8)
Al fine di garantire un livello coerente ed elevato
di protezione delle persone e rimuovere gli ostacoli alla circolazione dei dati
personali, il livello di tutela dei diritti e delle libertà delle persone fisiche
con riguardo al trattamento di tali dati deve essere equivalente in tutti gli
Stati membri. Occorre pertanto garantire un’applicazione coerente ed omogenea
delle norme a tutela delle libertà e dei diritti fondamentali delle persone
fisiche con riguardo al trattamento dei dati personali su tutto il territorio
dell’Unione. (9)
Ai fini di un’efficace protezione dei dati
personali in tutta l’Unione è necessario rafforzare e precisare i diritti degli
interessati e gli obblighi di coloro che effettuano e determinano il
trattamento dei dati, dotare gli Stati membri di poteri equivalenti per
monitorare e garantire il rispetto delle norme di protezione dei dati
personali, e prevedere sanzioni equivalenti per i trasgressori. (10)
L’articolo 16, paragrafo 2, del trattato conferisce
al Parlamento europeo e al Consiglio il mandato di stabilire le norme relative
alla protezione delle persone fisiche con riguardo al trattamento dei dati di
carattere personale e le norme relative alla libera circolazione di tali dati. (11)
Per garantire un livello uniforme di protezione
delle persone in tutta l’Unione e prevenire disparità che possono ostacolare la
libera circolazione dei dati nel mercato interno, è necessario un regolamento
che garantisca certezza del diritto e trasparenza agli operatori economici,
comprese le micro, piccole e medie imprese, offra alla persona in tutti gli
Stati membri il medesimo livello di diritti giuridicamente tutelati, definisca
obblighi e responsabilità dei responsabili del trattamento e degli incaricati
del trattamento e assicuri un monitoraggio costante del trattamento dei dati
personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione
efficace tra le autorità di controllo dei diversi Stati membri. Per tener conto
della specifica situazione delle micro, piccole e medie imprese, il presente
regolamento prevede una serie di deroghe. Inoltre, le istituzioni e gli organi
dell’Unione, gli Stati membri e le loro autorità di controllo sono invitati a
considerare le esigenze specifiche delle micro, piccole e medie imprese
nell’applicare il presente regolamento. Il concetto di micro, piccola e media
impresa deve ispirarsi alla raccomandazione 2003/361/CE della Commissione, del 6
maggio 2003, relativa alla definizione delle microimprese, piccole e medie
imprese. (12)
La protezione prevista dal presente regolamento si
applica alle persone fisiche, a prescindere dalla nazionalità o dal luogo di
residenza, in relazione al trattamento dei dati personali. La protezione
offerta dal presente regolamento non potrà essere invocata per il trattamento
dei dati relativi a persone giuridiche, in particolare imprese dotate di
personalità giuridica, compreso il nome, la forma giuridica e i contatti. Ciò
vale anche quando il nome della persona giuridica contiene il nome di una o più
persone fisiche. (13)
La protezione delle persone fisiche deve essere
neutrale sotto il profilo tecnologico e non dipendere dalle tecniche impiegate;
in caso contrario, si correrebbero gravi rischi di elusione. La protezione
delle persone fisiche deve applicarsi sia al trattamento automatizzato che al
trattamento manuale dei dati personali, se i dati sono contenuti o destinati ad
essere contenuti in un archivio. Non dovrebbero rientrare nel campo di
applicazione del presente regolamento i fascicoli o le serie di fascicoli, e le
rispettive copertine, non strutturati secondo criteri specifici. (14)
Il presente regolamento non si applica a questioni
di tutela dei diritti e delle libertà fondamentali o di libera circolazione dei
dati riferite ad attività che non rientrano nell’ambito di applicazione del
diritto dell’Unione europea, né si applica al trattamento dei dati personali
effettuato da istituzioni, organi, uffici e agenzie dell’Unione, che sono
soggetti al regolamento (CE) n. 45/2001[44],
e nemmeno al trattamento effettuato dagli Stati membri nell’esercizio di
attività relative alla politica estera e di sicurezza comune dell’Unione. (15)
Il presente regolamento non deve applicarsi al
trattamento di dati personali effettuato da una persona fisica nell’ambito di
attività esclusivamente personali o domestiche, quali la corrispondenza e gli
indirizzari, e senza scopo di lucro, vale a dire senza alcuna connessione con
un’attività commerciale o professionale. Tale deroga non deve valere per i
responsabili del trattamento o gli incaricati del trattamento che forniscono i
mezzi per trattare dati personali nell’ambito di tali attività personali o
domestiche. (16)
La tutela delle persone fisiche con riguardo al
trattamento dei dati personali da parte delle autorità competenti a fini di
prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di
sanzioni penali, e la libera circolazione di tali dati sono oggetto di uno
specifico strumento giuridico a livello di Unione. Il presente regolamento non
si applica pertanto ai trattamenti effettuati per queste finalità. I dati
trattati dalle autorità pubbliche in forza del presente regolamento per queste
finalità dovranno invece essere disciplinati dal più specifico strumento
giuridico a livello di Unione (direttiva XX/YYY). (17)
Il presente regolamento non deve pregiudicare
l’applicazione della direttiva 2000/31/CE, in particolare le norme
relative alla responsabilità dei prestatori intermediari di servizi di cui ai
suoi articoli da 12 a 15. (18)
Il presente regolamento ammette, nell’applicazione
delle sue disposizioni, che si tenga conto del principio del pubblico accesso
ai documenti ufficiali. (19)
Qualsiasi trattamento di dati personali effettuato
nell’ambito delle attività di uno stabilimento di un responsabile del
trattamento o incaricato del trattamento nel territorio dell’Unione deve essere
conforme al presente regolamento, che il trattamento avvenga all’interno
dell’Unione o al di fuori. Lo stabilimento implica l’effettivo e reale
svolgimento di attività nel quadro di un’organizzazione stabile. A tale
riguardo non è determinante la forma giuridica assunta, sia essa una succursale
o una filiale dotata di personalità giuridica. (20)
Onde evitare che una persona venga privata della
tutela cui ha diritto in base al presente regolamento, è necessario che questo
disciplini anche il trattamento dei dati personali di residenti nell’Unione
effettuato da un responsabile del trattamento non stabilito nell’Unione, quando
le attività di trattamento sono finalizzate all’offerta di beni o servizi a dette
persone o al controllo del loro comportamento. (21)
Per stabilire se un’attività di trattamento sia
assimilabile al “controllo del comportamento” dell’interessato, occorre
verificare se le operazioni che questi esegue su Internet sono sottoposte a
tecniche di trattamento dei dati volte alla “profilazione” dell’utente, in
particolare per prendere decisioni che li riguardano o analizzarne o prevederne
le preferenze, i comportamenti e le posizioni personali. (22)
Laddove vige la legislazione nazionale di uno Stato
membro in virtù del diritto internazionale pubblico, ad esempio nella
rappresentanza diplomatica o consolare di uno Stato membro, il presente
regolamento deve applicarsi anche a un responsabile del trattamento non
stabilito nell’Unione. (23)
È necessario applicare i principi di protezione a
tutte le informazioni relative ad una persona identificata o identificabile.
Per stabilire l’identificabilità di una persona, è opportuno considerare tutti
i mezzi di cui può ragionevolmente avvalersi il responsabile del trattamento o
un terzo per identificare detta persona. Non è necessario applicare i principi
di protezione ai dati resi sufficientemente anonimi da impedire l’identificazione
dell’interessato. (24)
Navigando on line, accade che si sia associati a
identificativi on line prodotti dai dispositivi, dalle applicazioni, dagli
strumenti e protocolli utilizzati, quali gli indirizzi IP o i marcatori
temporanei (cookies). Tali identificativi possono lasciare tracce che,
combinate con altri identificativi univoci e altre informazioni ricevute dai
server, possono essere utilizzate per creare profili e identificare gli utenti.
Ne consegue che numeri di identificazione, dati relativi all’ubicazione,
identificativi on line o altri fattori specifici non debbano di per sé essere necessariamente
considerati dati personali in tutte le circostanze. (25)
Il consenso dovrebbe essere prestato esplicitamente
con qualsiasi modalità appropriata che permetta all’interessato di manifestare
una volontà libera, specifica e informata, mediante dichiarazione o azione
positiva inequivocabile da cui si evinca che consapevolmente acconsente al
trattamento dei suoi dati personali, anche selezionando un’apposita casella in
un sito Internet o con altra dichiarazione o comportamento che indichi
chiaramente in questo contesto che accetta il trattamento proposto. Non
dovrebbe pertanto configurare consenso il consenso tacito o passivo. Il
consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per lo
stesso o gli stessi scopi. Se il consenso dell’interessato è richiesto con modalità elettronica,
la richiesta deve essere chiara, concisa e non disturbare inutilmente il
servizio per il quale è espresso. (26)
Nei dati personali relativi alla salute dovrebbero
rientrare, in particolare, tutti i dati riguardanti lo stato di salute
dell’interessato; le informazioni sulle richieste di prestazione di servizi
sanitari; le informazioni sui pagamenti o l’ammissibilità all’assistenza
sanitaria; un numero, simbolo o elemento specifico attribuito per identificare
l’interessato in modo univoco a fini sanitari; qualsiasi informazione raccolta
nel corso della prestazione di servizi sanitari; le informazioni risultanti da
esami e controlli effettuati su una parte del corpo o una sostanza organica,
compresi i campioni biologici; l’identificazione di una persona come prestatore
di assistenza sanitaria all’interessato; qualsiasi informazione riguardante, ad
esempio, una malattia, l’invalidità, il rischio di malattie, l’anamnesi medica,
i trattamenti clinici o l’effettivo stato fisiologico o biomedico
dell’interessato, indipendentemente dalla fonte, ad esempio un medico o altro
operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico
in vitro. (27)
È necessario che lo stabilimento principale di un
responsabile del trattamento dell’Unione sia determinato in base a criteri
obiettivi e implichi l’effettivo e reale svolgimento di attività di gestione
finalizzate alle principali decisioni sulle finalità, le condizioni e i mezzi
del trattamento nel quadro di un’organizzazione stabile. Tale criterio non deve
dipendere dal fatto che i dati personali siano effettivamente trattati in
quella sede; la presenza o l’uso di mezzi tecnici e tecnologie di trattamento
di dati personali o di attività di trattamento non costituiscono di per sé lo
stabilimento principale né sono quindi criteri determinanti della sua
esistenza. Per quanto riguarda l’incaricato del trattamento, per “stabilimento
principale” deve intendersi il luogo in cui ha sede la sua amministrazione
centrale nell’Unione. (28)
Un gruppo di imprese dovrebbe costituirsi di
un’impresa controllante e delle sue controllate, là dove l’impresa controllante
sarebbe quella che può esercitare un’influenza dominante sulle controllate in
forza, ad esempio, della proprietà, della partecipazione finanziaria o delle
norme societarie o del potere di fare applicare le norme di protezione dei dati
personali. (29)
I minori necessitano di una specifica protezione
dei loro dati personali, in quanto possono essere meno consapevoli dei rischi,
delle conseguenze, delle misure di protezione e dei loro diritti in relazione
al trattamento dei dati personali. Per determinare chi è minore, è opportuno
che il presente regolamento riprenda la definizione stabilita dalla convenzione
delle Nazioni Unite sui diritti del fanciullo. (30)
Qualsiasi trattamento di dati personali deve essere
lecito, equo e trasparente nei confronti dell’interessato. In particolare, le
finalità specifiche del trattamento dei dati devono essere esplicite e
legittime e precisate al momento della raccolta. I dati devono essere adeguati,
pertinenti e limitati al minimo necessario per le finalità del trattamento,
donde l’obbligo, soprattutto, di garantire che la raccolta non sia eccessiva e
che il periodo di conservazione dei dati sia limitato al minimo necessario. I
dati personali dovrebbero essere trattati solo se la finalità del trattamento
non è conseguibile con altri mezzi. Occorre prendere tutte le misure
ragionevoli affinché i dati personali inesatti siano rettificati o cancellati.
Onde garantire che i dati non siano conservati più a lungo del necessario, il
responsabile del trattamento dovrebbe fissare un termine per la cancellazione o
per la verifica periodica. (31)
Perché sia lecito il trattamento dati deve fondarsi
sul consenso dell’interessato o su altra base legittima prevista per legge, dal
presente regolamento o in altro atto legislativo dell’Unione o degli Stati
membri, come indicato nel presente regolamento. (32)
Per i trattamenti basati sul consenso
dell’interessato, dovrebbe incombere al responsabile del trattamento dimostrare
che l’interessato ha acconsentito al trattamento. In particolare, nel contesto
di una dichiarazione scritta relativa a un’altra materia, occorrono garanzie
che assicurino che l’interessato sia consapevole di esprimere un consenso e in
qual misura. (33)
Perché il consenso sia libero, occorre chiarire che
non costituisce una valida base giuridica qualora l’interessato non sia in
grado di operare una scelta autenticamente libera e non possa, pertanto,
rifiutare o ritirare il consenso senza subire pregiudizio. (34)
Il consenso non costituisce una valida base
giuridica per il trattamento dei dati personali quando esiste un evidente
squilibrio tra l’interessato e il responsabile del trattamento. Ciò avviene, in
particolare, quando l’interessato si trova in situazione di dipendenza dal
responsabile del trattamento, tra l’altro quando i dati personali di un
dipendente sono trattati dal suo datore di lavoro nel contesto dei rapporti di
lavoro. Se il responsabile del trattamento è un’autorità pubblica, vi è
squilibrio soltanto nelle specifiche operazioni di trattamento in cui
l’autorità pubblica può imporre un obbligo in forza dei suoi pubblici poteri;
in tal caso, il consenso non può essere considerato libero, tenuto conto degli
interessi dell’interessato. (35)
Il trattamento dati deve essere considerato lecito
se è necessario nell’ambito di un contratto o ai fini della conclusione di un
contratto. (36)
È opportuno che il trattamento effettuato per
adempiere un obbligo legale che incombe al responsabile del trattamento o
necessario per l’esecuzione di un compito di interesse pubblico o per
l’esercizio di pubblici poteri abbia una base giuridica tratta dal diritto
dell’Unione o di uno Stato membro che soddisfi i requisiti della Carta dei
diritti fondamentali dell’Unione europea per eventuali limitazione dei diritti
e delle libertà. Spetta altresì al diritto dell’Unione o alle legislazioni
nazionali stabilire se il responsabile del trattamento che esegue un compito di
interesse pubblico o connesso all’esercizio di pubblici poteri debba essere una
pubblica amministrazione o altra persona fisica o giuridica di diritto pubblico
o privato, quale un’associazione professionale. (37)
Il trattamento di dati personali deve essere
parimenti considerato lecito quando è necessario per tutelare un interesse
essenziale per la vita dell’interessato. (38)
I legittimi interessi di un responsabile del
trattamento possono costituire una base giuridica del trattamento, a condizione
che non prevalgano gli interessi o i diritti e le libertà fondamentali
dell’interessato. Ciò richiede un’attenta valutazione specie se l’interessato è
un minore, dato che i minori necessitano di una specifica protezione.
L’interessato deve potersi opporsi al trattamento, per motivi inerenti alla sua
situazione particolare, e gratuitamente. Per garantire la trasparenza, il
responsabile del trattamento deve essere obbligato a informare esplicitamente
l’interessato sui legittimi interessi perseguiti, che deve documentare, e sul
diritto di opporsi al trattamento dei dati. Posto che spetta al legislatore
prevedere la base giuridica che autorizza le autorità pubbliche a trattare i
dati, questo motivo non dovrebbe valere per il trattamento dati effettuato
dalle autorità pubbliche nell’esercizio delle loro funzioni. (39)
Costituisce legittimo interesse del responsabile
del trattamento trattare dati relativi al traffico, in misura strettamente
necessaria a garantire la sicurezza delle reti e dell’informazione, vale a dire
la capacità di una rete o di un sistema d’informazione di resistere, a un dato
livello di sicurezza, ad eventi imprevisti o atti illeciti o dolosi che
compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza
dei dati conservati o trasmessi e la sicurezza dei relativi servizi offerti o
resi accessibili tramite tali reti e sistemi da autorità pubbliche, organismi
di intervento in caso di emergenza informatica (CERT), gruppi di intervento per
la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e
servizi di comunicazione elettronica e fornitori di tecnologie e servizi di
sicurezza. Ciò potrebbe, ad esempio, includere misure atte a impedire l’accesso
non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici
maligni, e a porre termine agli attacchi da blocco di servizio e ai danni ai
sistemi informatici e di comunicazione elettronica. (40)
Il trattamento dei dati personali per altri fini
dovrebbe essere consentito solo se compatibile con le finalità per le quali i
dati sono stati inizialmente raccolti, in particolare se il trattamento è
necessario per finalità storiche, statistiche o di ricerca scientifica. Se
l’ulteriore finalità non è compatibile con la finalità iniziale della raccolta
dati, sarebbe opportuno che il responsabile del trattamento ottenga il consenso
specifico dell’interessato per tale finalità o basi il trattamento dati su un
altro motivo legittimo, in particolare ove previsto dal diritto dell’Unione o
dello Stato membro cui è soggetto il responsabile del trattamento. In ogni
caso, dovrebbe essere garantita l’applicazione dei principi stabiliti dal
presente regolamento, in particolare l’obbligo di informare l’interessato di
tali altre finalità. (41)
Meritano una specifica protezione i dati personali
che, per loro natura, sono particolarmente sensibili e vulnerabili sotto il
profilo dei diritti fondamentali o della vita privata. Tali dati non devono
essere oggetto di trattamento, salvo esplicito consenso dell’interessato.
Tuttavia occorre prevedere espressamente deroghe a questo divieto nei casi di
necessità specifiche, segnatamente laddove il trattamento viene eseguito nel
corso di legittime attività di talune associazioni o fondazioni il cui scopo
sia permettere l’esercizio delle libertà fondamentali. (42)
La deroga al divieto di trattare dati sensibili
deve essere consentita anche quando è prevista per legge, fatte salve adeguate
garanzie, per proteggere i dati personali e altri diritti fondamentali, quando
un interesse pubblico rilevante lo giustifichi, in particolare per finalità
inerenti alla salute, compresa la pubblica sanità, la protezione sociale e la
gestione dei servizi sanitari, soprattutto al fine di assicurare la qualità e
l’economicità delle procedure per soddisfare le richieste di prestazioni e
servizi nell’ambito del regime di assicurazione sanitaria, o per finalità
storiche, statistiche e di ricerca scientifica. (43)
Inoltre, è effettuato per motivi di interesse
pubblico il trattamento di dati personali a cura di autorità pubbliche diretto
a realizzare scopi, previsti dal diritto costituzionale o dal diritto
internazionale pubblico, di associazioni religiose ufficialmente riconosciute. (44)
Se, nel corso di attività elettorali, il
funzionamento del sistema democratico presuppone, in alcuni Stati membri, che i
partiti politici raccolgano dati sulle opinioni politiche delle persone, può
esserne consentito il trattamento per motivi di interesse pubblico, purché
siano predisposte congrue garanzie. (45)
Se i dati che tratta non gli consentono di
identificare una persona fisica, il responsabile del trattamento non deve essere
obbligato ad acquisire ulteriori informazioni per identificare l’interessato al
solo fine di rispettare una disposizione del presente regolamento. Quando
riceve una richiesta di accesso, il responsabile del trattamento deve poter
chiedere all’interessato ulteriori informazioni per poter localizzare i dati
personali richiesti. (46)
Il principio della trasparenza impone che le
informazioni destinate al pubblico o all’interessato siano facilmente
accessibili e di facile comprensione e che sia utilizzato un linguaggio
semplice e chiaro. Ciò è particolarmente utile in situazioni quali la
pubblicità on line, in cui la molteplicità degli operatori coinvolti e la
complessità tecnologica dell’operazione fanno sì che sia difficile per
l’interessato comprendere se vengono raccolti dati personali, da chi e a quale
scopo. Dato che i minori necessitano di una protezione specifica, quando il
trattamento dati li riguarda specificamente, qualsiasi informazione e
comunicazione deve utilizzare il linguaggio semplice e chiaro che un minore
possa capire facilmente. (47)
Occorre prevedere modalità volte ad agevolare
l’esercizio dei diritti di cui al presente regolamento, compresi i meccanismi
per la richiesta, gratuita, di accedere ai dati, rettificarli e cancellarli in
particolare, e per l’esercizio del diritto di opposizione. Il responsabile del
trattamento deve essere tenuto a rispondere alle richieste dell’interessato
entro un termine prestabilito e a motivare l’eventuale rifiuto. (48)
I principi di trattamento equo e trasparente
implicano che l’interessato sia informato in particolare dell’esistenza del
trattamento e delle sue finalità, del periodo di conservazione dei dati, del
diritto di accesso, rettifica o cancellazione e del diritto di proporre
reclamo. In caso di dati raccolti direttamente presso l’interessato, questi
deve inoltre essere informato dell’eventuale obbligo di fornire i propri dati e
delle conseguenze a cui va incontro se si rifiuta di fornirli. (49)
L’interessato deve ricevere le informazioni
relative al trattamento di dati personali al momento della raccolta o, se i
dati non sono raccolti direttamente presso l’interessato, entro un termine
ragionevole, in funzione delle circostanze del caso. Se i dati possono essere
legittimamente comunicati a un altro destinatario, l’interessato deve esserne
informato al momento in cui il destinatario riceve la prima comunicazione dei
dati. (50)
Per contro, non è necessario imporre tale obbligo
se l’interessato dispone già dell’informazione, se la registrazione o la
comunicazione è prevista per legge o se informare l’interessato si rivela
impossibile o richiederebbe risorse sproporzionate. Ciò potrebbe verificarsi in
particolare con i trattamenti per finalità storiche, statistiche o di ricerca
scientifica, nel qual caso si può tener conto del numero di interessati,
dell’antichità dei dati e di eventuali misure di compensazione. (51)
Ogni persona deve avere il diritto di accedere ai
dati raccolti che la riguardano e di esercitare tale diritto facilmente, per
essere consapevole del trattamento e verificarne la liceità. Occorre pertanto
che ogni interessato abbia il diritto di conoscere e ottenere comunicazioni in
particolare in relazione alla finalità del trattamento, al periodo di
conservazione, ai destinatari, alla logica che presiede al trattamento e alle
possibili conseguenze, almeno quando i dati si basato sul profilo
dell’interessato. Tale diritto non deve ledere i diritti e le libertà altrui,
compreso il segreto industriale e aziendale e la proprietà intellettuale,
segnatamente i diritti d’autore che tutelano il software. Tuttavia, queste
considerazioni non devono portare a negare all’interessato l’accesso a tutte le
informazioni. (52)
Il responsabile del trattamento deve prendere tutte
le misure ragionevoli per verificare l’identità di un interessato che chieda
l’accesso, in particolare nel contesto di servizi on line e di identificativi
on line. Il responsabile del trattamento non deve conservare dati personali al
solo scopo di poter rispondere a potenziali richieste. (53)
Ogni persona deve avere il diritto di rettificare i
dati personali che la riguardano e il “diritto all’oblio”, se la conservazione
di tali dati non è conforme al presente regolamento. In particolare,
l’interessato deve avere il diritto di chiedere che siano cancellati e non più
sottoposti a trattamento i propri dati personali che non siano più necessari
per le finalità per le quali sono stati raccolti o altrimenti trattati, quando
abbia ritirato il consenso o si sia opposto al trattamento dei dati personali
che lo riguardano o quando il trattamento dei suoi dati personali non sia
altrimenti conforme al presente regolamento. Tale diritto è particolarmente
rilevante se l’interessato ha dato il consenso quando era minore, e quindi non
pienamente consapevole dei rischi derivanti dal trattamento, e vuole
successivamente eliminare questo tipo di dati personali, in particolare da
Internet. Tuttavia, occorre consentire l’ulteriore conservazione dei dati
qualora sia necessario per finalità storiche, statistiche e di ricerca
scientifica, per motivi di interesse pubblico nel settore della sanità
pubblica, per l’esercizio del diritto alla libertà di espressione, ove
richiesto per legge o quando sia giustificata una limitazione del trattamento
dei dati anziché una loro cancellazione. (54)
Per rafforzare il “diritto all’oblio” nell’ambiente
on line, è necessario che il diritto di cancellazione sia esteso in modo da
obbligare il responsabile del trattamento che ha pubblicato dati personali a
informare i terzi che stanno trattando tali dati della richiesta dell’interessato
di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Per
garantire tale informazione, è necessario che il responsabile del trattamento
prenda tutte le misure ragionevoli, anche di natura tecnica, in relazione ai
dati della cui pubblicazione è responsabile. Se ha autorizzato un terzo a
pubblicare dati personali, il responsabile del trattamento deve essere ritenuto
responsabile di tale pubblicazione. (55)
Per rafforzare ulteriormente il controllo sui
propri dati e il diritto di accedervi, occorre che l’interessato abbia il
diritto, se i dati personali sono trattati con mezzi elettronici e in un
formato strutturato e di uso comune, di ottenere una copia dei dati che lo
riguardano ugualmente in formato elettronico di uso comune. Occorre anche che
l’interessato sia autorizzato a trasferire i dati che ha fornito da
un’applicazione automatizzata, ad esempio un social network, ad un’altra. Tale
diritto dovrebbe applicarsi quando l’interessato ha fornito i dati al sistema
di trattamento automatizzato acconsentendo al trattamento o in esecuzione di un
contratto. (56)
Anche nei casi in cui i dati personali possano
essere lecitamente trattati per proteggere interessi vitali dell’interessato,
oppure per motivi di pubblico interesse, nell’esercizio di pubblici poteri o
per il legittimo interesse di un responsabile del trattamento, l’interessato
deve comunque avere il diritto di opporsi al trattamento dei dati che lo
riguardano. È opportuno che incomba al responsabile del trattamento dimostrare
che i suoi legittimi interessi possono prevalere sull’interesse o sui diritti e
sulle libertà fondamentali dell’interessato. (57)
Qualora i dati personali siano trattati per
finalità di marketing diretto, l’interessato deve avere il diritto di opporsi a
tale trattamento, gratuitamente e con una modalità facili e effettive. (58)
Ogni persona deve avere il diritto di non essere
sottoposta a una misura basata sulla profilazione mediante trattamento
automatizzato. Tuttavia, è opportuno che tale misura sia consentita se è
espressamente prevista per legge, se è applicata nel contesto della conclusione
o dell’esecuzione di un contratto o se l’interessato ha espresso il proprio
consenso. In ogni caso, tale trattamento deve essere subordinato a garanzie
adeguate, compresa la specifica informazione dell’interessato e il diritto di
ottenere l’intervento umano, e la misura non deve riguardare un minore. (59)
Il diritto dell’Unione o di uno Stato membro può
imporre limitazioni a specifici principi e ai diritti di informazione, accesso,
rettifica e cancellazione di dati, al diritto alla portabilità dei dati, al
diritto di opporsi, alle misure basate sulla profilazione, alla comunicazione
di una violazione di dati personali all’interessato e ad alcuni obblighi
connessi in capo ai responsabili del trattamento, ove ciò sia necessario e
proporzionato in una società democratica per la salvaguardia della pubblica
sicurezza, ivi comprese la protezione della vita umana, in particolare in
risposta a catastrofi di origine naturale o umana, e le attività di prevenzione,
indagine e perseguimento di reati o di violazioni della deontologia
professionale, per la tutela di altri interessi pubblici, tra cui un interesse
economico o finanziario rilevante dell’Unione o di uno Stato membro, o per la
protezione dell’interessato o dei diritti e delle libertà altrui. Tali
limitazioni devono essere conformi alla Carta dei diritti fondamentali
dell’Unione europea e alla convenzione europea per la salvaguardia dei diritti
dell’uomo e delle libertà fondamentali. (60)
Occorre stabilire una responsabilità generale del
responsabile del trattamento per qualsiasi trattamento di dati personali che
abbia effettuato direttamente o altri abbia effettuato per suo conto. In
particolare, il responsabile del trattamento deve garantire ed essere tenuto a
dimostrare la conformità di ogni trattamento con il presente regolamento. (61)
La tutela dei diritti e delle libertà degli
interessati con riguardo al trattamento dei dati personali richiede
l’attuazione di adeguate misure tecniche e organizzative al momento sia della
progettazione che dell’esecuzione del trattamento stesso, onde garantire il
rispetto delle disposizioni del presente regolamento. Al fine di garantire e
dimostrare la conformità con il presente regolamento, il responsabile del
trattamento deve adottare politiche interne e attuare misure adeguate, che
soddisfino in particolare i principi della protezione fin dalla progettazione e
della protezione di default. (62)
La protezione dei diritti e delle libertà
dell’interessato così come le responsabilità del responsabile del trattamento e
dell’incaricato del trattamento, anche in relazione al monitoraggio e alle
misure delle autorità di controllo, esigono una chiara attribuzione delle
responsabilità ai sensi del presente regolamento, compresi i casi in cui un
responsabile del trattamento stabilisca le finalità, le condizioni e i mezzi
del trattamento congiuntamente con altri responsabili del trattamento o quando
l’operazione viene eseguita per conto del responsabile del trattamento. (63)
Quando un responsabile del trattamento non
stabilito nell’Unione tratta dati personali di residenti nell’Unione e la sua
attività di trattamento è finalizzata all’offerta di beni o alla prestazione di
servizi a tali interessati o al controllo del loro comportamento, è opportuno
che tale responsabile del trattamento designi un rappresentante, salvo che non
sia stabilito in un paese terzo che garantisce un livello di protezione
adeguato, non sia una piccola o media impresa o un’autorità o organismo
pubblico oppure non offra beni o servizi agli interessati solo occasionalmente.
Il rappresentante deve agire per conto del responsabile del trattamento e può
essere interpellato da qualsiasi autorità di controllo. (64)
Per determinare se un responsabile del trattamento
offre solo occasionalmente beni e servizi agli interessati residenti
nell’Unione, occorre verificare se dalle sue attività complessive risulta che
l’offerta di beni o servizi agli interessati sia solo accessoria rispetto alle
attività principali. (65)
Per dimostrare che si conforma al presente
regolamento, il responsabile del trattamento o l’incaricato del trattamento
deve documentare ciascuna operazione di trattamento. Bisognerebbe obbligare
tutti i responsabili del trattamento e gli incaricati del trattamento a
cooperare con l’autorità di controllo e a mettere, su richiesta, detta
documentazione a sua disposizione affinché possa servire per monitorare i
trattamenti. (66)
Per mantenere la sicurezza e prevenire trattamenti
contrari al presente regolamento, il responsabile del trattamento o
l’incaricato del trattamento deve valutare i rischi inerenti al trattamento e
provvedere a limitarli. Tali provvedimenti devono assicurare un adeguato
livello di sicurezza, tenuto conto degli sviluppi tecnici e dei costi di
attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei
dati da proteggere. Nel definire le norme tecniche e le misure organizzative
atte a garantire la sicurezza del trattamento, la Commissione deve promuovere
la neutralità tecnologica, l’interoperabilità e l’innovazione e, ove opportuno,
la cooperazione con i paesi terzi. (67)
Una violazione di dati personali può, se non
affrontata in modo adeguato e tempestivo, provocare un grave danno economico e
sociale all’interessato, tra cui l’usurpazione dell’identità. Pertanto, non
appena viene a conoscenza di una violazione, il responsabile del trattamento la
deve notificare all’autorità di controllo senza ritardo e, quando possibile,
entro 24 ore. Oltre il termine di 24 ore, la notificazione deve essere
corredata di una giustificazione motivata. È opportuno che le persone i cui
dati o la cui vita privata potrebbero essere compromessi da una siffatta
violazione siano informate tempestivamente affinché possano prendere le
precauzioni del caso. Si considera che una violazione pregiudica i dati
personali o la vita privata dell’interessato quando comporta, ad esempio, il
furto o l’usurpazione d’identità, un danno fisico, un’umiliazione grave o
attenta alla sua reputazione. La notifica deve descrivere la natura della
violazione dei dati personali e formulare raccomandazioni per l’interessato
intese ad attenuare i potenziali effetti negativi. La notifica deve essere
trasmessa non appena possibile, in stretta collaborazione con l’autorità di
controllo e nel rispetto degli orientamenti impartiti da questa o da altre
autorità competenti (come le autorità incaricate dell’applicazione della
legge). Ad esempio, affinché gli interessati possano attenuare un rischio
immediato di pregiudizio è opportuno che la notifica sia tempestiva, ma la necessità
di attuare misure adeguate per contrastare violazioni ripetute o analoghe
potrebbe giustificare tempi più lunghi. (68)
Per determinare se una violazione dei dati
personali è notificata all’autorità di controllo e all’interessato senza
ingiustificato ritardo, occorre verificare se il responsabile del trattamento
ha predisposto e applicato un’adeguata protezione tecnologica e le misure
organizzative necessarie a stabilire immediatamente se c’e stata violazione di
dati personali e a informare tempestivamente l’autorità di controllo e
l’interessato, prima che ne vengano pregiudicati gli interessi personali ed
economici, tenendo conto in particolare della natura e della gravità della
violazione e delle sue conseguenze e effetti negativi per l’interessato. (69)
Nel definire modalità dettagliate relative al
formato e alle procedure applicabili alla notificazione delle violazioni di
dati personali, è opportuno tenere debitamente conto delle circostanze della
violazione, ad esempio stabilire se i dati personali fossero o meno protetti
con opportuni dispositivi tecnici atti a limitare efficacemente il rischio di
furto d’identità o altre forme di abuso. Inoltre, è opportuno che tali modalità
e procedure tengano conto dei legittimi interessi delle autorità giudiziarie e
di polizia, nei casi in cui una divulgazione prematura possa ostacolare
inutilmente l’indagine sulle circostanze di una violazione di sicurezza. (70)
La direttiva 95/46/CE ha introdotto un obbligo
generale di notificare alle autorità di controllo il trattamento dei dati
personali. Tale obbligo comporta oneri amministrativi e finanziari senza per
questo aver mai veramente contribuito a migliorare la protezione dei dati
personali. È pertanto necessario abolire tale obbligo generale e indiscriminato
di notificazione e sostituirlo con meccanismi e procedure efficaci che si
concentrino piuttosto su quelle operazioni di trattamento che potenzialmente
presentano rischi specifici per i diritti e le libertà degli interessati, per
loro natura, portata o finalità. In tali casi, è opportuno che il responsabile
del trattamento o l’incaricato del trattamento effettui una valutazione
d’impatto sulla protezione dei dati prima del trattamento, che verta in
particolare anche sulle misure, sulle garanzie e sui meccanismi previsti per assicurare
la protezione dei dati personali e per comprovare il rispetto del presente
regolamento. (71)
Ciò deve applicarsi in particolare ai nuovi sistemi
di archiviazione su larga scala, che mirano al trattamento di una notevole
quantità di dati personali a livello regionale, nazionale o sovranazionale e
che potrebbero incidere su un vasto numero di interessati. (72)
Vi sono circostanze in cui può essere ragionevole
ed economico effettuare una valutazione d’impatto sulla protezione dei dati che
verta su un oggetto più ampio di un unico progetto, per esempio quando autorità
o enti pubblici intendono istituire un’applicazione o una piattaforma di
trattamento comune o quando diversi responsabili del trattamento progettano di
introdurre un’applicazione o un ambiente di trattamento comune in un settore o
segmento industriale o per una attività trasversale ampiamente utilizzata. (73)
È necessario che un’autorità pubblica o un ente
pubblico procedano a una valutazione d’impatto sulla protezione dei dati se ciò
non è già stato fatto in vista dell’adozione della legge nazionale che
disciplina i compiti dell’autorità pubblica o dell’ente pubblico e lo specifico
trattamento o insieme di trattamenti. (74)
Se dalla valutazione d’impatto sulla protezione dei
dati risulta che operazioni di trattamento o l’uso di nuove particolari
tecnologie espongono i diritti e le libertà degli interessati a un grado
elevato di rischi specifici, privandoli ad esempio di un diritto, l’autorità di
controllo deve essere consultata prima dell’inizio delle operazioni, affinché
verifichi se un trattamento rischioso sia conforme al presente regolamento e
formuli proposte per ovviare a tale situazione. Siffatta consultazione deve
aver luogo anche durante l’elaborazione di una proposta legislativa del
parlamento nazionale o di una misura basata su quella proposta legislativa, che
definisca la natura del trattamento e precisi le garanzie appropriate. (75)
Per i trattamenti effettuati nel settore pubblico o
per i trattamenti effettuati nel settore privato da una grande impresa o da
un’impresa, a prescindere dalle sue dimensioni, le cui attività principali
implicano operazioni di trattamento che richiedono un monitoraggio regolare e
sistematico, il responsabile del trattamento o l’incaricato del trattamento
deve essere assistito da un’altra persona nel controllo del rispetto interno
del presente regolamento. Tali “responsabili della protezione dei dati”,
dipendenti o meno del responsabile del trattamento, devono essere in grado di
esercitare le loro funzioni e compiti in modo indipendente. (76)
Le associazioni o altre organizzazioni
rappresentative dei responsabili del trattamento devono essere incoraggiate ad
elaborare codici di condotta, nei limiti del presente regolamento, in modo da
facilitarne l’effettiva applicazione, tenendo conto delle caratteristiche
specifiche delle operazioni effettuate in alcuni settori. (77)
Al fine di migliorare la trasparenza e il rispetto
del presente regolamento deve essere incoraggiata l’istituzione di meccanismi
di certificazione, sigilli e marchi di protezione dei dati che consentano agli
interessati di valutare rapidamente il livello di protezione dei dati dei
relativi prodotti e servizi. (78)
I flussi transfrontalieri di dati personali sono
necessari per l’espansione del commercio internazionale e della cooperazione
internazionale. L’aumento di tali flussi ha posto nuove sfide e problemi
riguardanti la protezione dei dati personali. È importante però che quando i
dati personali sono trasferiti dall’Unione a paesi terzi o a organizzazioni
internazionali non sia compromesso il livello di protezione delle persone
garantito nell’Unione dal presente regolamento. In ogni caso, i trasferimenti
di dati verso paesi terzi possono soltanto essere effettuati nel pieno rispetto
del presente regolamento. (79)
Il presente regolamento lascia impregiudicate le
disposizioni degli accordi internazionali conclusi tra l’Unione e i paesi terzi
che disciplinano il trasferimento di dati personali, comprese adeguate garanzie
per gli interessati. (80)
La Commissione può decidere, con effetto nell’intera
Unione europea, che taluni paesi terzi, o un territorio o settore di
trattamento all’interno di un paese terzo, o un’organizzazione internazionale
offrono un livello adeguato di protezione dei dati, garantendo in tal modo la
certezza del diritto e l’uniformità in tutta l’Unione nei confronti dei paesi
terzi o delle organizzazioni internazionali che si ritiene offrano un livello
di protezione adeguato. In questi casi, i trasferimenti di dati personali
possono avere luogo senza ulteriori autorizzazioni. (81)
In linea con i valori fondamentali su cui è fondata
l’Unione, in particolare la tutela dei diritti dell’uomo, è opportuno che la
Commissione, nella sua valutazione del paese terzo, tenga conto del modo in cui
tale paese rispetta lo stato di diritto, l’accesso alla giustizia e le norme e
gli standard internazionali in materia di diritti dell’uomo. (82)
La Commissione può anche riconoscere che un paese
terzo, o un territorio o settore di trattamento all’interno del paese terzo, o
un’organizzazione internazionale non offra un adeguato livello di protezione
dei dati, nel qual caso il trasferimento di dati personali verso tale paese
terzo deve essere vietato. È altresì opportuno prevedere consultazioni tra la
Commissione e detti paesi terzi od organizzazioni internazionali. (83)
In mancanza di una decisione di adeguatezza, il
responsabile del trattamento o l’incaricato del trattamento deve provvedere a
compensare la carenza di protezione dei dati in un paese terzo con adeguate
garanzie a tutela dell’interessato. Tali adeguate garanzie possono consistere
nell’applicazione di norme vincolanti d’impresa, clausole di protezione dei
dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate
da un’autorità di controllo o clausole contrattuali autorizzate da un’autorità
di controllo, o altre opportune misure proporzionate e giustificate alla luce
di tutte le circostanze relative ad un trasferimento o ad un insieme di
trasferimenti di dati e nei casi autorizzati da un’autorità di controllo. (84)
La possibilità che il responsabile del trattamento
o l’incaricato del trattamento utilizzi clausole tipo di protezione dei dati
adottate dalla Commissione o da un’autorità di controllo non deve precludere ai
responsabili del trattamento o agli incaricati del trattamento la possibilità
di includere tali clausole tipo in un contratto più ampio né di aggiungere
altre clausole, purché non contraddicano, direttamente o indirettamente, le
clausole contrattuali tipo adottate dalla Commissione o da un’autorità di
controllo o ledano i diritti o le libertà fondamentali degli interessati. (85)
Un gruppo di imprese deve poter applicare le norme
vincolanti d’impresa approvate per i trasferimenti internazionali dall’Unione
agli organismi dello stesso gruppo di imprese, purché tali norme contemplino
principi fondamentali e diritti azionabili in giudizio che costituiscano
adeguate garanzie per i trasferimenti o categorie di trasferimenti di dati
personali. (86)
È opportuno prevedere la possibilità di trasferire
dati in alcune circostanze se l’interessato ha acconsentito, se il
trasferimento è necessario in relazione ad un contratto o un’azione legale, se
sussistono motivi di rilevante interesse pubblico previsti dalla legislazione
di uno Stato membro o dell’Unione o se i dati sono trasferiti da un registro
stabilito per legge e destinato ad essere consultato dal pubblico o dalle
persone aventi un legittimo interesse. In quest’ultimo caso, il trasferimento
non deve riguardare la totalità dei dati o delle categorie di dati contenuti
nel registro; inoltre, quando il registro è destinato ad essere consultato
dalle persone aventi un legittimo interesse, i dati possono essere trasferiti
soltanto se tali persone lo richiedono o ne sono destinatarie. (87)
Tali deroghe devono in particolare valere per i
trasferimenti di dati richiesti e necessari per la protezione di motivi di
interesse pubblico rilevante, ad esempio nel caso di trasferimenti
internazionali di dati tra autorità garanti della concorrenza, amministrazioni
fiscali o doganali, autorità di controllo finanziario, tra i servizi competenti
in materia di sicurezza sociale o verso autorità competenti a fini di
prevenzione, indagine, accertamento e perseguimento di reati. (88)
Potrebbero altresì essere autorizzati anche i
trasferimenti non qualificabili come frequenti o massicci ai fini dei legittimi
interessi del responsabile del trattamento o dell’incaricato del trattamento,
dopo che questi abbia valutato tutte le circostanze relative al trasferimento.
Ai fini del trattamento per finalità storiche, statistiche e di ricerca
scientifica, si deve tener conto delle legittime aspettative della società nei
confronti di un miglioramento delle conoscenze. (89)
In ogni caso, se la Commissione non ha preso alcuna
decisione circa il livello adeguato di protezione dei dati di un paese terzo,
il responsabile del trattamento o l’incaricato del trattamento deve ricorrere a
soluzioni che diano all’interessato la garanzia che continuerà a beneficiare
dei diritti e delle garanzie fondamentali previste dall’Unione in relazione al
trattamento dei dati personali, anche dopo il trasferimento. (90)
Alcuni paesi terzi adottano leggi, regolamenti e
altri strumenti legislativi finalizzati a disciplinare direttamente le attività
di trattamento dati di persone fisiche e giuridiche poste sotto la giurisdizione
degli Stati membri. L’applicazione extraterritoriale di tali leggi, regolamenti
e altri strumenti legislativi potrebbe essere contraria al diritto
internazionale e ostacolare il conseguimento della tutela delle persone
garantita nell’Unione con il presente regolamento. I trasferimenti dovrebbero
quindi essere consentiti solo se ricorrono le condizioni previste dal presente
regolamento per i trasferimenti a paesi terzi. Ciò vale tra l’altro quando la
divulgazione è necessaria per un motivo di interesse pubblico rilevante
riconosciuto dal diritto dell’Unione o dello Stato membro cui è soggetto il
responsabile del trattamento. Occorre che la Commissione precisi le condizioni
in cui sussiste un motivo di interesse pubblico rilevante con un atto delegato. (91)
Con il trasferimento transfrontaliero di dati
personali aumenta il rischio che l’interessato non eserciti i propri diritti
alla protezione dei dati, in particolare per tutelarsi da usi o divulgazioni
illecite di tali informazioni. Allo stesso tempo, le autorità di controllo
possono concludere di non essere in grado di dar corso alle denunce o svolgere
indagini relative ad attività condotte oltre frontiera. I loro sforzi di
collaborazione nel contesto transfrontaliero possono anche scontrarsi con
poteri insufficienti per prevenire e correggere, regimi giuridici incoerenti e
difficoltà pratiche quali la limitatezza delle risorse disponibili. Pertanto vi
è la necessità di promuovere una più stretta cooperazione tra le autorità di
controllo della protezione dei dati affinché possano scambiare informazioni e
condurre indagini di concerto con le loro controparti internazionali. (92)
La designazione di autorità di controllo che
agiscano in totale indipendenza in ciascuno Stato membro è un elemento
essenziale della protezione delle persone con riguardo al trattamento di dati
personali. Gli Stati membri possono istituire più di una autorità di controllo,
al fine di rispecchiare la loro struttura costituzionale, organizzativa e
amministrativa. (93)
Laddove siano istituite più autorità di controllo,
lo Stato membro deve stabilire per legge meccanismi atti ad assicurare la
partecipazione effettiva di dette autorità al meccanismo di coerenza. Lo Stato
membro deve in particolare designare l’autorità di controllo che funge da punto
di contatto unico per l’effettiva partecipazione di tutte le autorità al
meccanismo, onde garantire la rapida e agevole cooperazione con altre autorità
di controllo, il comitato europeo per la protezione dei dati e la Commissione. (94)
Ciascuna autorità di controllo deve disporre di
risorse umane e finanziarie adeguate, dei locali e delle infrastrutture
necessarie per l’effettivo svolgimento dei propri compiti, compresi i compiti
di assistenza reciproca e cooperazione con altre autorità di controllo in tutta
l’Unione. (95)
Le condizioni generali applicabili ai membri
dell’autorità di controllo devono essere stabilite da ciascuno Stato membro e
devono in particolare prevedere che i membri siano nominati dal parlamento o
dal governo dello Stato membro e contenere disposizioni sulle qualifiche e
sulle funzioni di tali membri. (96)
Spetterebbe alle autorità di controllo controllare
l’applicazione delle disposizioni del presente regolamento e contribuire alla
sua coerente applicazione in tutta l’Unione, così da tutelare le persone fisiche
in relazione al trattamento dei dati personali e facilitare la libera
circolazione di tali dati nel mercato interno. A tal fine le autorità di
controllo cooperano tra loro e con la Commissione. (97)
Qualora il trattamento dei dati personali
nell’ambito delle attività di uno stabilimento di un responsabile del
trattamento o incaricato del trattamento nell’Unione abbia luogo in più di uno
Stato membro, è opportuno che un’unica autorità di controllo sia competente a
controllare le attività del responsabile del trattamento o dell’incaricato del
trattamento in tutta l’Unione e ad prendere le relative decisioni, in modo da
aumentare la coerenza nell’applicazione, garantire la certezza giuridica e
ridurre gli oneri amministrativi per tali responsabili del trattamento e
incaricati del trattamento. (98)
È necessario che l’autorità competente, che funge
da “sportello unico”, sia l’autorità di controllo dello Stato membro in cui il
responsabile del trattamento o l’incaricato del trattamento ha lo stabilimento
principale. (99)
Sebbene il presente regolamento si applichi anche
alle attività dei giudici nazionali, non è opportuno che rientri nella
competenza delle autorità di controllo il trattamento di dati personali
effettuato dalle autorità giurisdizionali nell’esercizio delle loro funzioni
giurisdizionali, al fine di salvaguardarne l’indipendenza. Tuttavia, tale
esenzione deve essere rigorosamente limitata all’attività autenticamente
giurisdizionale e non applicarsi ad altre attività a cui i giudici potrebbero
partecipare in forza del diritto nazionale. (100)
Al fine di garantire un monitoraggio e
un’applicazione coerenti del presente regolamento in tutta l’Unione, le
autorità di controllo devono godere in ciascuno Stato membro degli stessi
diritti e poteri effettivi, fra cui poteri di indagine e d’intervento
giuridicamente vincolanti, di decisione e sanzione, segnatamente in caso di
reclamo, così come di agire in giudizio. I poteri d’indagine delle autorità di
controllo con riferimento all’accesso ai locali devono essere esercitati nel
rispetto del diritto dell’Unione e della legislazione nazionale. Ciò riguarda
in particolare l’obbligo di ottenere una preventiva autorizzazione giudiziaria. (101)
È necessario che ciascuna autorità di controllo
tratti i reclami proposti da qualsiasi interessato e svolga le relative
indagini; che a seguito di reclamo vada condotta un’indagine, soggetta a
controllo giurisdizionale, nella misura in cui ciò sia opportuno nella
fattispecie; che l’autorità di controllo informi gli interessati dei progressi
e dei risultati del ricorso entro un termine ragionevole. Se il caso richiede
un’ulteriore indagine o il coordinamento con un’altra autorità di controllo,
l’interessato deve ricevere informazioni interlocutorie. (102)
Le attività di sensibilizzazione delle autorità di
controllo nei confronti del pubblico devono comprendere misure specifiche per i
responsabili del trattamento e gli incaricati del trattamento, comprese le
micro, piccole e medie imprese, e per gli interessati. (103)
Le autorità di controllo devono prestarsi reciproca
assistenza nell’esercizio delle loro funzioni, in modo da garantire la coerente
applicazione e attuazione del presente regolamento nel mercato interno. (104)
Ciascuna autorità di controllo deve avere il
diritto di partecipare alle operazioni congiunte tra autorità di controllo.
L’autorità di controllo che riceve una richiesta dovrebbe darvi seguito entro
un termine definito. (105)
È necessario istituire un meccanismo di coerenza
per la cooperazione tra le autorità di controllo e con la Commissione, al fine
di assicurare un’applicazione coerente del presente regolamento in tutta
l’Unione. Tale meccanismo deve applicarsi in particolare quando un’autorità di
controllo intenda adottare una misura relativa ad attività di trattamento
finalizzate all’offerta di beni o servizi agli interessati in vari Stati membri
o al controllo degli stessi, o che possono incidere significativamente sulla
libera circolazione dei dati personali. È opportuno che il meccanismo si attivi
anche quando un’autorità di controllo o la Commissione chiede che una questione
sia trattata nell’ambito del meccanismo di coerenza. Tale meccanismo non deve
pregiudicare le misure che la Commissione può adottare nell’esercizio dei suoi
poteri a norma dei trattati. (106)
In applicazione del meccanismo di coerenza il
comitato europeo per la protezione dei dati deve emettere un parere entro un
termine determinato, se i suoi membri lo decidono a maggioranza semplice o se a
richiederlo sono un’autorità di controllo o la Commissione. (107)
Al fine di garantire il rispetto del presente
regolamento, la Commissione può adottare un parere sulla questione, o una
decisione volta a ingiungere all’autorità di controllo di sospendere il
progetto di misura. (108)
Potrebbe essere necessario intervenire urgentemente
per tutelare gli interessi degli interessati, in particolare quando sussiste il
pericolo che l’esercizio di un diritto possa essere gravemente ostacolato.
Pertanto, un’autorità di controllo deve essere in grado di prendere misure
provvisorie con un periodo di validità determinato quando applica il meccanismo
di coerenza. (109)
L’applicazione di tale meccanismo deve essere un
requisito indispensabile ai fini della validità giuridica e dell’esecuzione
della rispettiva decisione a cura dell’autorità di controllo. In altri casi di
rilevanza transfrontaliera, le autorità di controllo possono prestarsi
reciproca assistenza ed effettuare indagini congiunte, su base bilaterale o
multilaterale, senza attivare il meccanismo di coerenza. (110)
Occorre istituire a livello di Unione un comitato
europeo per la protezione dei dati che sostituisca il gruppo per la tutela
delle persone con riguardo al trattamento dei dati personali istituito con
direttiva 95/46/CE. Il comitato deve essere composto dal responsabile
dell’autorità di controllo di ciascuno Stato membro e dal garante europeo della
protezione dei dati. È necessario che la Commissione partecipi alle attività
del comitato. Il comitato europeo per la protezione dei dati deve contribuire
all’applicazione uniforme del presente regolamento in tutta l’Unione, in
particolare dando consulenza alla Commissione e promuovendo la cooperazione
delle autorità di controllo in tutta l’Unione. Esso deve svolgere le sue funzioni
in piena indipendenza. (111)
Ciascun interessato deve avere il diritto di
proporre reclamo a un’autorità di controllo di qualunque Stato membro e il
diritto di proporre ricorso giurisdizionale qualora ritenga che siano stati
violati i diritti di cui gode a norma del presente regolamento o se l’autorità
di controllo non dà seguito a un reclamo o non agisce quando è necessario
intervenire per proteggere i suoi diritti di interessato. (112)
L’organismo, l’organizzazione o associazione che
intenda tutelare i diritti e gli interessi degli interessati in relazione alla
protezione dei dati personali e sia istituito o istituita a norma della
legislazione di uno Stato membro deve avere il diritto di proporre reclamo a
un’autorità di controllo di qualunque Stato membro o esercitare il diritto a un
ricorso giurisdizionale per conto degli interessati, o di proporre un proprio
reclamo indipendente dall’azione dell’interessato, se ritiene che sussista
violazione dei dati personali. (113)
Ogni persona fisica o giuridica deve avere il
diritto di proporre ricorso giurisdizionale avverso la decisione dell’autorità
di controllo che la riguarda. Le azioni contro l’autorità di controllo devono
essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui
l’autorità di controllo è stabilita. (114)
Al fine di potenziare la tutela giurisdizionale
dell’interessato nei casi in cui l’autorità di controllo competente è stabilita
in uno Stato membro diverso da quello in cui risiede l’interessato, questi può
chiedere a qualsiasi organismo, organizzazione o associazione mirante a
tutelare i diritti e gli interessi degli interessati in relazione alla
protezione dei dati personali di proporre un ricorso giurisdizionale per suo
conto contro tale autorità di controllo davanti all’autorità giurisdizionale
competente nell’altro Stato membro. (115)
Nei casi in cui l’autorità di controllo competente
stabilita in un altro Stato membro non agisca o abbia adottato misure
insufficienti a seguito di un reclamo, l’interessato può chiedere all’autorità
di controllo dello Stato membro in cui ha la residenza abituale di proporre un
ricorso giurisdizionale contro tale autorità di controllo davanti all’autorità
giurisdizionale competente nell’altro Stato membro. L’autorità di controllo
richiesta può decidere, con atto impugnabile in via giurisdizionale, se sia
opportuno dare seguire alla richiesta. (116)
Nei ricorsi contro un responsabile del trattamento
o incaricato del trattamento, il ricorrente deve poter avviare un’azione legale
dinanzi al giudice dello Stato membro in cui il responsabile del trattamento o
l’incaricato del trattamento ha uno stabilimento o in cui risiede l’interessato,
salvo che il responsabile del trattamento sia un ente pubblico che agisce
nell’esercizio dei suoi poteri pubblici. (117)
Qualora vi siano fondati motivi di ritenere che in
un altro Stato membro sia in corso un procedimento parallelo, le autorità giurisdizionali
interessate devono prendere contatti. L’autorità giurisdizionale deve poter
sospendere un procedimento quando sia in corso un procedimento parallelo in un
altro Stato membro. Gli Stati membri devono assicurare che i ricorsi
giurisdizionali, per essere efficaci, consentano di adottare rapidamente
provvedimenti per porre fine alla violazione del presente regolamento o per
prevenirla. (118)
Il responsabile del trattamento o l’incaricato del
trattamento deve risarcire i danni cagionati da un trattamento illecito ma può
essere esonerato da tale responsabilità se prova che l’evento dannoso non gli è
imputabile, segnatamente se dimostra che a causare l’errore è stato
l’interessato o in caso di forza maggiore. (119)
Dovrebbe essere punibile chiunque, persona di diritto
pubblico o di diritto privato, non ottemperi alle disposizioni del presente
regolamento. Gli Stati membri devono garantire sanzioni efficaci, proporzionate
e dissuasive e adottare tutte le misure necessarie per la loro applicazione. (120)
Al fine di rafforzare e armonizzare le sanzioni
amministrative applicabili per violazione del presente regolamento, ogni
autorità di controllo deve poter sanzionare gli illeciti amministrativi. Il
presente regolamento deve specificare detti illeciti e indicare il limite massimo
della relativa sanzione amministrativa, che va stabilita in misura
proporzionata alla situazione specifica, tenuto conto in particolare della
natura, gravità e durata dell’infrazione. Il meccanismo di coerenza può essere
utilizzato anche per colmare divergenze nell’applicazione delle sanzioni
amministrative. (121)
Il trattamento di dati personali effettuato
esclusivamente a scopi giornalistici o di espressione artistica o letteraria
dovrebbe poter derogare ad alcune disposizioni del presente regolamento per
conciliare il diritto alla protezione dei dati personali con il diritto alla
libertà d’espressione, in particolare la libertà di ricevere e comunicare
informazioni garantita in particolare dall’articolo 11 della Carta dei diritti
fondamentali dell’Unione europea. Ciò dovrebbe applicarsi in particolare al
trattamento dei dati personali nel settore audiovisivo, negli archivi stampa e
nelle emeroteche. È necessario pertanto che gli Stati adottino misure
legislative che prevedano le deroghe e le esenzioni necessarie ai fini di un
equilibrio tra questi diritti fondamentali. Gli Stati membri dovrebbero
adottare tali esenzioni e deroghe con riferimento alle disposizioni concernenti
i principi generali, i diritti dell’interessato, il responsabile del
trattamento e l’incaricato del trattamento, il trasferimento di dati a paesi
terzi o a organizzazioni internazionali, le autorità di controllo indipendenti,
la cooperazione e la coerenza. Tuttavia ciò non deve indurre gli Stati membri a
prevedere deroghe alle altre disposizioni del presente regolamento. Per tenere
conto dell’importanza del diritto alla libertà di espressione in tutte le
società democratiche è necessario interpretare in modo esteso i concetti
relativi a detta libertà, quali la nozione di giornalismo. Pertanto, ai fini
delle esenzioni e deroghe da stabilire nel presente regolamento, gli Stati
membri dovrebbero classificare come “giornalistiche” le attività finalizzate
alla diffusione al pubblico di informazioni, pareri o idee, indipendentemente
dal canale utilizzato per la loro trasmissione, senza limitarle alle imprese
operanti nel settore dei media ma includendovi le attività intraprese con o
senza scopo di lucro. (122)
Il trattamento dei dati personali relativi alla
salute, particolare categoria di dati che necessita di una maggiore protezione,
può spesso essere giustificato da diversi motivi legittimi a beneficio delle
persone e dell’intera società, in particolare se l’obiettivo è garantire la
continuità dell’assistenza sanitaria transfrontaliera. Pertanto il presente
regolamento deve prevedere condizioni armonizzate per il trattamento dei dati
relativi alla salute, fatte salve garanzie appropriate e specifiche a tutela
dei diritti fondamentali e dei dati personali delle persone fisiche. Ciò
include il diritto di accedere ai propri dati personali relativi alla salute,
ad esempio le cartelle mediche contenenti informazioni quali diagnosi,
risultati di esami, parere di medici curanti o eventuali terapie o interventi
praticati. (123)
Il trattamento dei dati relativi alla salute può
essere necessario per motivi di interesse pubblico nei settori della sanità
pubblica, senza il consenso dell’interessato. In questo contesto, il concetto
di “sanità pubblica” va interpretato secondo la definizione del regolamento
(CE) n. 1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008,
relativo alle statistiche comunitarie in materia di sanità pubblica e di salute
e sicurezza sul luogo di lavoro: tutti gli elementi relativi alla salute, ossia
lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un
effetto su tale stato di salute, le necessità in materia di assistenza
sanitaria, le risorse destinate all’assistenza sanitaria, la prestazione di
assistenza sanitaria e l’accesso universale ad essa, la spesa sanitaria e il
relativo finanziamento e le cause di mortalità. Il trattamento dei dati
personali relativi alla salute effettuato per motivi di interesse pubblico non
deve comportare il trattamento dei dati per altre finalità da parte di terzi,
quali datori di lavoro, compagnie di assicurazione e istituti di credito. (124) I principi generali della protezione delle persone fisiche con riguardo
al trattamento dei dati personali devono trovare applicazione anche nei
rapporti di lavoro. Pertanto, al fine di disciplinare il trattamento dei dati
personali dei lavoratori in tale ambito, gli Stati membri devono avere facoltà,
nei limiti del presente regolamento, di emanare specifiche disposizioni
applicabili al trattamento dei dati personali nel settore del lavoro. (125)
Il trattamento dei dati personali per finalità
storiche, statistiche o di ricerca scientifica deve, per essere lecito,
rispettare anche altre normative pertinenti, ad esempio quelle sulle
sperimentazioni cliniche. (126)
La ricerca scientifica nell’ambito del presente
regolamento deve includere la ricerca fondamentale, la ricerca applicata e la
ricerca finanziata da privati e deve, inoltre, tenere conto dell’obiettivo
dell’Unione di istituire uno spazio europeo della ricerca ai sensi
dell’articolo 179, paragrafo 1, del trattato sul funzionamento dell’Unione
europea. (127)
Per quanto riguarda il potere delle autorità di
controllo di ottenere, dal responsabile del trattamento o dall’incaricato del
trattamento, accesso ai dati personali e accesso ai locali, gli Stati membri possono
stabilire per legge, nei limiti del presente regolamento, norme specifiche per
tutelare il segreto professionale o altri obblighi equivalenti di segretezza,
qualora si rendano necessarie per conciliare il diritto alla protezione dei
dati personali con l’obbligo di segretezza. (128)
Il presente regolamento rispetta e non pregiudica
lo status di cui godono le chiese e le associazioni o comunità religiose negli
Stati membri in virtù del diritto nazionale, in conformità dell’articolo 17 del
trattato sul funzionamento dell’Unione europea. Di conseguenza, se in uno Stato
membro una chiesa applica, al momento dell’entrata in vigore del presente
regolamento, un corpus completo di norme a tutela delle persone fisiche con
riguardo al trattamento dei dati personali, è opportuno che tali norme
continuino ad applicarsi purché siano conformi alle disposizioni del presente
regolamento. Dette chiese e associazioni religiose dovrebbero essere tenute a
istituire un’autorità di controllo pienamente indipendente. (129)
Al fine di conseguire gli obiettivi del
regolamento, segnatamente tutelare i diritti e le libertà fondamentali delle
persone fisiche, in particolare il diritto alla protezione dei dati personali,
e garantire la libera circolazione di tali dati nell’Unione, occorre conferire
alla Commissione il potere di adottare atti a norma dell’articolo 290 del
trattato sul funzionamento dell’Unione europea. In particolare, dovrebbero
essere adottati atti delegati riguardanti la liceità del trattamento; i criteri
e le condizioni relativi al consenso dei minori; il trattamento di categorie
particolari di dati; i criteri e le condizioni per le richieste manifestamente
eccessive e il contributo spese per l’esercizio dei diritti dell’interessato; i
criteri e i requisiti applicabili all’informazione dell’interessato e al
diritto di accesso; il diritto all’oblio e alla cancellazione; le misure basate
sulla profilazione; i criteri e i requisiti relativi alla responsabilità del
responsabile del trattamento e alla protezione sin dalla progettazione e alla
protezione di default; l’incaricato del trattamento; i criteri e i requisiti
per la documentazione e la sicurezza dei trattamenti; i criteri e requisiti per
accertare una violazione dei dati personali e notificarla all’autorità di
controllo e per stabilire le circostanze in cui una violazione di dati
personali rischia di danneggiare l’interessato; i criteri e le condizioni
perché le operazioni di trattamento richiedano una valutazione d’impatto sulla
protezione dei dati; i criteri e i requisiti per determinare se sussistano
rischi specifici tali da giustificare una consultazione preliminare; la
designazione e il mandato del responsabile della protezione dei dati; i codici
di condotta; i criteri e i requisiti dei meccanismi di certificazione; i criteri
e requisiti per i trasferimenti in presenza di norme vincolanti d’impresa; le
deroghe al trasferimento; le sanzioni amministrative; il trattamento a fini
sanitari; il trattamento nel contesto del rapporto di lavoro e il trattamento
per finalità storiche, statistiche e di ricerca scientifica. È di particolare
importanza che durante i lavori preparatori la Commissione svolga adeguate
consultazioni, anche a livello di esperti. Nel contesto della preparazione e
della stesura degli atti delegati, occorre che la Commissione garantisca
contemporaneamente una trasmissione corretta e tempestiva dei documenti
pertinenti al Parlamento europeo e al Consiglio. (130)
Al fine di garantire condizioni uniformi per
l’attuazione del presente regolamento, è necessario attribuire alla Commissione
competenze di esecuzione affinché definisca moduli standard in relazione al
trattamento dei dati personali di un minore; procedure e moduli standard per
l’esercizio dei diritti dell’interessato; moduli standard per l’informazione
dell’interessato; moduli standard e procedure in relazione al diritto di
accesso e il diritto alla portabilità dei dati; moduli standard relativi alla
responsabilità del responsabile del trattamento in relazione alla protezione
sin dalla progettazione e alla protezione di default e alla documentazione;
requisiti specifici per la sicurezza dei trattamenti; il formato standard e le
procedure per la notificazione di una violazione dei dati personali
all’autorità di controllo e la comunicazione di tale violazione all’interessato;
norme e procedure per la valutazione d’impatto sulla protezione dei dati;
moduli e procedure di autorizzazione preventiva e di consultazione preventiva;
norme tecniche e meccanismi di certificazione; l’adeguatezza della protezione
offerta da un paese terzo, o da un territorio o settore di trattamento dati
all’interno del paese terzo, o da un’organizzazione internazionale; la
divulgazione non autorizzata dal diritto dell’Unione; l’assistenza reciproca;
le operazioni congiunte; le decisioni nel quadro del meccanismo di coerenza.
Tali competenze devono essere esercitate in conformità del regolamento (UE)
n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011,
che stabilisce le regole e i principi generali relativi alle modalità di controllo
da parte degli Stati membri dell’esercizio delle competenze di esecuzione
attribuite alla Commissione[45].
A tal fine, la Commissione dovrebbe contemplare misure specifiche per le micro,
piccole e medie imprese. (131)
La procedura d’esame dovrebbe applicarsi per
l’adozione di moduli standard in relazione al consenso di un minore; di
procedure e moduli standard per l’esercizio dei diritti dell’interessato; di
moduli standard per l’informazione dell’interessato; di moduli standard e
procedure in relazione al diritto di accesso e al diritto alla portabilità dei
dati; di moduli standard relativi alla responsabilità del responsabile del
trattamento in relazione alla protezione sin dalla progettazione e alla
protezione di default e alla documentazione; di requisiti specifici per la
sicurezza dei trattamenti; del formato standard e delle procedure per la
notificazione di una violazione dei dati personali all’autorità di controllo e
la comunicazione di una violazione dei dati personali all’interessato; delle
norme e procedure per la valutazione d’impatto sulla protezione dei dati; di
moduli e procedure di autorizzazione preventiva e di consultazione preventiva;
delle norme tecniche e dei meccanismi di certificazione; per l’adeguatezza
della protezione offerta da un paese terzo, o da un territorio o settore di
trattamento dati all’interno del paese terzo, o da un’organizzazione
internazionale; per la divulgazione non autorizzata dal diritto dell’Unione;
per l’assistenza reciproca; per le operazioni congiunte e per le decisioni nel
quadro del meccanismo di coerenza, in considerazione della portata generale di
tali atti. (132)
È opportuno che la Commissione adotti atti di
esecuzione immediatamente applicabili quando, in casi debitamente giustificati
relativi ad un paese terzo, o a un territorio o settore di trattamento dati
all’interno del paese terzo, o a un’organizzazione internazionale che non
garantisce un livello di protezione adeguato e concernenti questioni comunicate
dalle autorità di controllo conformemente al meccanismo di coerenza, ciò sia
reso necessario da imperativi motivi di urgenza. (133)
Poiché gli obiettivi del presente regolamento,
ossia garantire un livello equivalente di tutela delle persone fisiche e la
libera circolazione dei dati nell’Unione, non possono essere conseguiti in
misura sufficiente dagli Stati membri e possono dunque, a motivo della portata
e degli effetti dell’azione in questione, essere conseguiti meglio a livello di
Unione, quest’ultima può intervenire in base al principio di sussidiarietà
sancito dall’articolo 5 del trattato sull’Unione europea. Il presente
regolamento si limita a quanto è necessario per conseguire tale obiettivo in
ottemperanza al principio di proporzionalità enunciato nello stesso articolo. (134)
Il presente regolamento dovrebbe abrogare la
direttiva 95/46/CE. Ciò nondimeno, è opportuno che rimangano in vigore le
decisioni della Commissione e le autorizzazioni delle autorità di controllo
basate sulla direttiva 95/46/CE. (135)
È opportuno che il presente regolamento si applichi
a tutti gli aspetti relativi alla tutela dei diritti e delle libertà
fondamentali con riguardo al trattamento dei dati personali che non rientrino
in obblighi specifici, aventi lo stesso obiettivo, di cui alla direttiva 2002/58/CE,
compresi gli obblighi del responsabile del trattamento e i diritti delle
persone fisiche. Per chiarire il rapporto tra il presente regolamento e la
direttiva 2002/58/CE, occorre modificare quest’ultima di conseguenza. (136)
Per quanto riguarda l’Islanda e la Norvegia, il
presente regolamento costituisce uno sviluppo delle disposizioni dell’acquis di
Schengen, nella misura in cui si applica al trattamento dei dati personali da
parte di autorità coinvolte nell’attuazione dell’acquis, ai sensi dell’accordo
concluso dal Consiglio dell’Unione europea con la Repubblica d’Islanda e il
Regno di Norvegia sulla loro associazione all’attuazione, all’applicazione e
allo sviluppo dell’acquis di Schengen[46]..
(137)
Per quanto riguarda la Svizzera, il presente
regolamento costituisce uno sviluppo delle disposizioni dell’acquis di
Schengen, nella misura in cui si applica al trattamento dei dati personali da
parte di autorità coinvolte nell’attuazione dell’acquis, ai sensi dell’accordo
tra l’Unione europea, la Comunità europea e la Confederazione svizzera
riguardante l’associazione di quest’ultima all’attuazione, all’applicazione e
allo sviluppo dell’acquis di Schengen[47].
(138)
Per quanto riguarda il Liechtenstein, il presente
regolamento costituisce uno sviluppo delle disposizioni dell’acquis di
Schengen, nella misura in cui si applica al trattamento dei dati personali da
parte di autorità coinvolte nell’attuazione dell’acquis, ai sensi del
protocollo sottoscritto tra l’Unione europea, la Comunità europea, la
Confederazione svizzera e il Principato del Liechtenstein sull’adesione del
Principato del Liechtenstein all’accordo tra l’Unione europea, la Comunità
europea e la Confederazione svizzera riguardante l’associazione della
Confederazione svizzera all’attuazione, all’applicazione e allo sviluppo
dell’acquis di Schengen[48]. (139)
In considerazione del fatto che, come sottolinea la
Corte di giustizia dell’Unione europea, il diritto alla protezione dei dati
personali non è una prerogativa assoluta, ma va considerato alla luce della sua
funzione sociale e va contemperato con altri diritti fondamentali, in
ottemperanza al principio di proporzionalità, il presente regolamento rispetta
tutti i diritti fondamentali e osserva i principi riconosciuti dalla Carta dei
diritti fondamentali dell’Unione europea e sanciti dai trattati, in particolare
il diritto al rispetto della vita privata e familiare, del domicilio e delle
comunicazioni, il diritto alla protezione dei dati personali, la libertà di
pensiero, di coscienza e di religione, la libertà di espressione e
d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un
giudice imparziale, così come la diversità culturale, religiosa e linguistica, HANNO ADOTTATO IL PRESENTE REGOLAMENTO: CAPO I DISPOSIZIONI GENERALI Articolo 1
Oggetto e finalità 1. Il presente regolamento
stabilisce norme relative alla protezione delle persone fisiche con riguardo al
trattamento dei dati di carattere personale e norme relative alla libera
circolazione di tali dati. 2. Il presente regolamento
tutela i diritti e le libertà fondamentali delle persone fisiche, in
particolare il diritto alla protezione dei dati personali. 3. La libera circolazione dei
dati personali nell’Unione non può essere limitata né vietata per motivi
attinenti alla tutela delle persone fisiche con riguardo al trattamento dei
dati personali. Articolo 2
Campo di applicazione materiale 1. Il presente regolamento si
applica al trattamento interamente o parzialmente automatizzato di dati
personali e al trattamento non automatizzato di dati personali contenuti in un
archivio o destinati a figurarvi. 2. Le disposizioni del presente
regolamento non si applicano ai trattamenti di dati personali: a) effettuati per attività che non rientrano
nell’ambito di applicazione del diritto dell’Unione, concernenti in particolare
la sicurezza nazionale; b) effettuati da istituzioni, organi e
organismi dell’Unione; c) effettuati dagli Stati membri
nell’esercizio di attività che rientrano nel campo di applicazione del capo 2
del trattato sull’Unione europea; d) effettuati da una persona fisica senza
finalità di lucro per l’esercizio di attività esclusivamente personali o
domestiche; e) effettuati dalle autorità competenti a
fini di prevenzione, indagine, accertamento o perseguimento di reati o
esecuzione di sanzioni penali. 3. Il presente regolamento
lascia impregiudicata l’applicazione della direttiva 2000/31/CE, in
particolare le norme relative alla responsabilità dei prestatori intermediari
di servizi di cui ai suoi articoli da 12 a 15. Articolo 3
Campo di applicazione territoriale 1. Il presente regolamento si
applica al trattamento dei dati personali effettuato nell’ambito delle attività
di uno stabilimento di un responsabile del trattamento o di un incaricato del
trattamento nell’Unione. 2. Il presente regolamento si
applica al trattamento dei dati personali di residenti nell’Unione effettuato
da un responsabile del trattamento che non è stabilito nell’Unione, quando le
attività di trattamento riguardano: a) l’offerta di beni o la prestazione di
servizi ai suddetti residenti nell’Unione, oppure b) il controllo del loro comportamento. 3. Il presente regolamento si
applica al trattamento dei dati personali effettuato da un responsabile del
trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto
nazionale di uno Stato membro in virtù del diritto internazionale pubblico. Articolo 4
Definizioni Ai fini del presente regolamento s’intende
per: (1)
“interessato”: la persona fisica identificata o
identificabile, direttamente o indirettamente, con mezzi che il responsabile
del trattamento o altra persona fisica o giuridica ragionevolmente può
utilizzare, con particolare riferimento a un numero di identificazione, a dati
relativi all’ubicazione, a un identificativo on line o a uno o più elementi
caratteristici della sua identità genetica, fisica, fisiologica, psichica,
economica, culturale o sociale; (2)
“dati personali”: qualsiasi informazione
concernente l’interessato; (3)
“trattamento”: qualsiasi operazione o insieme di
operazioni, compiute con o senza l’ausilio di processi automatizzati e
applicate a dati personali, come la raccolta, la registrazione,
l’organizzazione, la strutturazione, la memorizzazione, l’adattamento o la
modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante
trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il
raffronto o l’interconnessione, la cancellazione o la distruzione; (4)
“archivio”: qualsiasi insieme strutturato di dati
personali accessibili secondo criteri determinati, indipendentemente dal fatto
che tale insieme sia centralizzato, decentralizzato o ripartito in modo
funzionale o geografico; (5)
“responsabile del trattamento”: la persona fisica o
giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che,
singolarmente o insieme ad altri, determina le finalità, le condizioni e i
mezzi del trattamento di dati personali; quando le finalità, le condizioni e i
mezzi del trattamento sono determinati dal diritto dell’Unione o dal diritto di
uno Stato membro, il responsabile del trattamento o i criteri specifici
applicabili alla sua nomina possono essere designati dal diritto dell’Unione o
dal diritto dello Stato membro; (6)
“incaricato del trattamento”: la persona fisica o
giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che
elabora dati personali per conto del responsabile del trattamento; (7)
“destinatario”: la persona fisica o giuridica,
l’autorità pubblica, il servizio o qualsiasi altro organismo che riceve
comunicazione di dati personali; (8)
“consenso dell’interessato”: qualsiasi
manifestazione di volontà libera, specifica, informata ed esplicita con la
quale l’interessato accetta, mediante dichiarazione o azione positiva
inequivocabile, che i dati personali che lo riguardano siano oggetto di
trattamento; (9)
“violazione dei dati personali”: violazione di
sicurezza che comporta accidentalmente o in modo illecito la distruzione, la
perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati
personali trasmessi, memorizzati o comunque elaborati; (10)
“dati genetici”: tutti i dati, di qualsiasi natura,
riguardanti le caratteristiche di una persona fisica che siano ereditarie o
acquisite in uno stadio precoce di sviluppo prenatale; (11)
“dati biometrici”: i dati relativi alle
caratteristiche fisiche, fisiologiche o comportamentali di una persona che ne
consentono l’identificazione univoca, quali l’immagine facciale o i rilievi
dattiloscopici; (12)
“dati relativi alla salute”: qualsiasi informazione
attinente alla salute fisica o mentale di una persona o alla prestazione di
servizi sanitari a detta persona; (13)
“stabilimento principale”: per quanto riguarda il
responsabile del trattamento, il luogo di stabilimento nell’Unione in cui sono
prese le principali decisioni sulle finalità, le condizioni e i mezzi del
trattamento di dati personali; se non sono prese decisioni di questo tipo
nell’Unione, il luogo in cui sono condotte le principali attività di
trattamento nell’ambito delle attività di uno stabilimento di un responsabile
del trattamento nell’Unione. Con riferimento all’incaricato del trattamento,
per “stabilimento principale” si intende il luogo in cui ha sede la sua
amministrazione centrale nell’Unione. (14)
“rappresentante”: la persona fisica o giuridica
stabilita nell’Unione che, espressamente designata dal responsabile del
trattamento, agisce e può, per quanto concerne gli obblighi incombenti al
responsabile del trattamento a norma del presente regolamento, essere
interpellata al suo posto dalle autorità di controllo e da altri organismi
nell’Unione; (15)
“impresa”: ogni entità, indipendentemente dalla
forma giuridica rivestita, che eserciti un’attività economica, comprendente
pertanto, in particolare, le persone fisiche e giuridiche, le società di
persone o le associazioni che esercitano un’attività economica; (16)
“gruppo di imprese”: un gruppo costituito da
un’impresa controllante e dalle imprese da questa controllate; (17)
“norme vincolanti d’impresa”: le politiche in
materia di protezione dei dati personali applicate da un responsabile del
trattamento o incaricato del trattamento stabilito nel territorio di uno Stato
membro dell’Unione al trasferimento o al complesso di trasferimenti di dati
personali a un responsabile del trattamento o incaricato del trattamento in uno
o più paesi terzi, nell’ambito di un gruppo di imprese; (18)
“minore”: persona di età inferiore agli anni
diciotto; (19)
“autorità di controllo”: l’autorità pubblica
istituita da uno Stato membro in conformità dell’articolo 46. CAPO II
PRINCIPI Articolo 5
Principi applicabili al trattamento di dati personali I dati personali devono essere: a) trattati in modo lecito, equo e
trasparente nei confronti dell’interessato; b) raccolti per finalità determinate,
esplicite e legittime, e successivamente trattati in modo non incompatibile con
tali finalità; c) adeguati, pertinenti e limitati al minimo
necessario rispetto alle finalità perseguite; i dati possono essere trattati
solo se e nella misura in cui le finalità non conseguibili attraverso il
trattamento di informazioni che non contengono dati personali; d) esatti e aggiornati; devono essere prese
tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati
inesatti rispetto alle finalità per le quali sono trattati; e) conservati in una forma che consenta
l’identificazione degli interessati per un arco di tempo non superiore al
conseguimento delle finalità per le quali sono trattati; i dati personali
possono essere conservati per periodi più lunghi a condizione che siano
trattati per finalità storiche, statistiche o di ricerca scientifica, nel
rispetto delle norme e delle condizioni di cui all’articolo 83 e se periodicamente
è effettuato un riesame volto a valutare la necessità di conservarli; f) trattati sotto la responsabilità del
responsabile del trattamento, che assicura e comprova, per ciascuna operazione,
la conformità alle disposizioni del presente regolamento. Articolo 6
Liceità del trattamento 1. Il trattamento dei dati personali è
lecito solo se e nella misura in cui ricorre almeno una delle seguenti
condizioni: a) l’interessato ha manifestato il consenso
al trattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è necessario
all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di
misure precontrattuali prese su richiesta dello stesso; c) il trattamento è necessario per adempiere
un obbligo legale al quale è soggetto il responsabile del trattamento; d) il trattamento è necessario per la
salvaguardia degli interessi vitali dell’interessato; e) il trattamento è necessario per
l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di
pubblici poteri di cui è investito il responsabile del trattamento; f) il trattamento è necessario per il
perseguimento del legittimo interesse del responsabile del trattamento, a
condizione che non prevalgano gli interessi o i diritti e le libertà
fondamentali dell’interessato che richiedono la protezione dei dati personali,
in particolare se l’interessato è un minore. Ciò non si applica al trattamento
di dati effettuato dalle autorità pubbliche nell’esercizio dei loro compiti. 2. Il trattamento dei dati
personali relativi alla salute che risulti necessario per finalità storiche,
statistiche o di ricerca scientifica è lecito, fatte salve le condizioni e le garanzie
di cui all’articolo 83. 3. La base su cui si fonda il
trattamento dati di cui al paragrafo 1, lettere c) ed e), deve essere prevista: a) dal diritto dell’Unione, o b) dalla legislazione dello Stato membro cui
è soggetto il responsabile del trattamento. Il diritto dello Stato membro deve perseguire un
obiettivo di interesse pubblico o essere necessario per proteggere i diritti e
le libertà altrui, rispettare il contenuto essenziale del diritto alla
protezione dei dati personali ed essere proporzionato all’obiettivo legittimo. 4. Se lo scopo dell’ulteriore
trattamento non è compatibile con quello per il quale i dati personali sono
stati raccolti, il trattamento deve avere come base giuridica almeno uno dei
motivi di cui al paragrafo 1, lettere da a) ad e). Ciò si applica in
particolare ad eventuali cambiamenti dei termini e delle condizioni generali
del contratto. 5. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare le condizioni di cui al paragrafo 1, lettera f), per vari settori e
situazioni di trattamento dei dati, anche con riferimento al trattamento dei
dati personali concernenti un minore. Articolo 7
Condizioni per il consenso 1. L’onere di dimostrare che
l’interessato ha espresso il consenso al trattamento dei suoi dati personali
per scopi specifici incombe sul responsabile del trattamento. 2. Se il consenso
dell’interessato deve essere fornito nel contesto di una dichiarazione scritta
che riguarda anche altre materie, l’obbligo di prestare il consenso deve essere
presentato in forma distinguibile dalle altre materie. 3. L’interessato ha il diritto
di revocare il proprio consenso in qualsiasi momento. La revoca del consenso
non pregiudica la liceità del trattamento basata sul consenso prima della
revoca. 4. Il consenso non costituisce
una base giuridica per il trattamento ove vi sia un notevole squilibrio tra la
posizione dell’interessato e del responsabile del trattamento. Articolo 8
Trattamento dei dati personali dei minori 1. Ai fini del presente
regolamento, per quanto riguarda l’offerta diretta di servizi della società
dell’informazione ai minori, il trattamento di dati personali di minori di età
inferiore ai tredici anni è lecito se e nella misura in cui il consenso è
espresso o autorizzato dal genitore o dal tutore del minore. Il responsabile
del trattamento si adopera in ogni modo ragionevole per ottenere un consenso
verificabile, in considerazione delle tecnologie disponibili. 2. Il paragrafo 1 non pregiudica
le disposizioni generali del diritto dei contratti degli Stati membri, quali le
norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un
minore. 3. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e i requisiti concernenti le modalità per ottenere il
consenso verificabile di cui al paragrafo 1. A tal fine, la Commissione
contempla misure specifiche per le micro, piccole e medie imprese. 4. La Commissione può stabilire
moduli standard per specifiche modalità di ottenimento del consenso
verificabile di cui al paragrafo 1. Tali atti di esecuzione sono adottati
secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. Articolo 9
Trattamento di categorie particolari di dati personali 1. È vietato trattare dati
personali che rivelino la razza, l’origine etnica, le opinioni politiche, la
religione o le convinzioni personali, l’appartenenza sindacale, come pure
trattare dati genetici o dati relativi alla salute e alla vita sessuale o a
condanne penali o a connesse misure di sicurezza. 2. Il paragrafo 1 non si applica
quando: a) l’interessato ha
dato il proprio consenso al trattamento di tali dati personali, alle condizioni
di cui agli articoli 7 e 8, salvo i casi in cui il diritto dell’Unione o di uno
Stato membro dispone che l’interessato non può revocare il divieto di cui al
paragrafo 1, oppure b) il trattamento è necessario per assolvere
gli obblighi ed esercitare i diritti specifici del responsabile del trattamento
in materia di diritto del lavoro, nella misura in cui sia autorizzato dal
diritto dell’Unione o di uno Stato membro in presenza di congrue garanzie, oppure c) il trattamento è necessario per
salvaguardare un interesse vitale dell’interessato o di un terzo qualora
l’interessato si trovi nell’incapacità fisica o giuridica di dare il proprio
consenso, oppure d) il trattamento è effettuato, nell’ambito
delle sue legittime attività e con adeguate garanzie, da una fondazione,
associazione o altro organismo senza scopo di lucro che persegua finalità
politiche, filosofiche, religiose o sindacali, a condizione che il trattamento
riguardi unicamente i membri, gli ex membri o le persone che hanno regolari
contatti con la fondazione, l’associazione o l’organismo a motivo delle sue
finalità e che i dati non siano comunicati a terzi senza il consenso
dell’interessato, oppure e) il trattamento riguarda dati resi
manifestamente pubblici dall’interessato, oppure f) il trattamento è necessario per
accertare, esercitare o difendere un diritto in sede giudiziaria, oppure g) il trattamento è necessario per
l’esecuzione di un compito di interesse pubblico sulla base del diritto
dell’Unione o del diritto degli Stati membri, che deve prevedere misure
appropriate per tutelare i legittimi interessi dell’interessato, oppure h) il trattamento di dati relativi alla
salute è necessario a fini sanitari, fatte salve le condizioni e le garanzie di
cui all’articolo 81, oppure i) il trattamento è necessario per finalità
storiche, statistiche o di ricerca scientifica, fatte salve le condizioni e le
garanzie di cui all’articolo 83, oppure j) il trattamento dei dati relativi a
condanne penali o a connesse misure di sicurezza è effettuato sotto il
controllo dell’autorità pubblica, oppure il trattamento è necessario per
ottemperare a un obbligo legale o regolamentare cui è soggetto il responsabile
del trattamento o per l’esecuzione di un compito di interesse pubblico
rilevante, purché sia autorizzato dal diritto dell’Unione o di uno Stato
membro, che deve prevedere garanzie adeguate. Un registro completo delle
condanne penali può essere tenuto solo sotto il controllo dell’autorità
pubblica. 3. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri, le condizioni e le garanzie adeguate per il trattamento
delle categorie particolari di dati personali di cui al paragrafo 1, e le
deroghe di cui al paragrafo 2. Articolo 10
Trattamento che non consente identificazione Se i dati trattati da un responsabile del
trattamento non consentono di identificare una persona fisica, il responsabile
del trattamento non è obbligato ad acquisire ulteriori informazioni per
identificare l’interessato al solo fine di rispettare una disposizione del
presente regolamento. CAPO III
DIRITTI DELL’INTERESSATO SEZIONE 1
TRASPARENZA E MODALITÀ Articolo 11
Informazioni e comunicazioni trasparenti 1. Il responsabile del
trattamento applica politiche trasparenti e facilmente accessibili con riguardo
al trattamento dei dati personali e ai fini dell’esercizio dei diritti
dell’interessato. 2. Il responsabile del
trattamento fornisce all’interessato tutte le informazioni e le comunicazioni
relative al trattamento dei dati personali in forma intelligibile, con
linguaggio semplice e chiaro e adeguato all’interessato, in particolare se le
informazioni sono destinate ai minori. Articolo 12
Procedure e meccanismi per l’esercizio dei diritti dell’interessato 1. Il responsabile del
trattamento stabilisce le procedure d’informazione di cui all’articolo 14 e le
procedure per l’esercizio dei diritti dell’interessato di cui all’articolo 13 e
agli articoli da 15 a 19. Il responsabile del trattamento predispone in
particolare i meccanismi per agevolare le richieste di cui all’articolo 13 e
agli articoli da 15 a 19. Qualora i dati personali siano trattati con modalità
automatizzate, il responsabile del trattamento predispone altresì i mezzi per
inoltrare le richieste per via elettronica. 2. Il responsabile del
trattamento informa l’interessato tempestivamente e al più tardi entro un mese
dal ricevimento della richiesta, se è stata adottata un’azione ai sensi
dell’articolo 13 e degli articoli da 15 a 19, e fornisce le informazioni
richieste. Tale termine può essere prorogato di un ulteriore mese se più
interessati esercitano i loro diritti e la loro cooperazione è necessaria in
misura ragionevole per evitare un impiego di risorse inutile e sproporzionato
al responsabile del trattamento. Queste informazioni sono confermate per
iscritto. Se l’interessato presenta la richiesta in forma elettronica, le
informazioni sono fornite in formato elettronico, salvo indicazione diversa
dell’interessato. 3. Se rifiuta di ottemperare
alla richiesta dell’interessato, il responsabile del trattamento informa
l’interessato dei motivi di tale rifiuto e delle possibilità di proporre
reclamo all’autorità di controllo e anche ricorso giurisdizionale. 4. Le informazioni e le azioni
intraprese a seguito delle richieste di cui al paragrafo 1 sono gratuite. Se le
richieste sono manifestamente eccessive, in particolare per il loro carattere
ripetitivo, il responsabile del trattamento può esigere un contributo spese per
le informazioni o l’azione richiesta; in alternativa, può non effettuare quanto
richiesto. In tale caso, incombe al responsabile del trattamento dimostrare il
carattere manifestamente eccessivo della richiesta. 5. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e le condizioni concernenti le richieste manifestamente
eccessive, e il contributo spese di cui al paragrafo 4. 6. La Commissione può stabilire
moduli e procedure standard per la comunicazione di cui al paragrafo 2, anche
in formato elettronico. A tal fine, la Commissione prende misure adeguate per
le micro, piccole e medie imprese. Tali atti di esecuzione sono adottati
secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. Articolo 13
Diritti relativi ai destinatari Il responsabile del trattamento comunica a
ciascuno dei destinatari cui sono stati trasmessi i dati, le eventuali
rettifiche o cancellazioni effettuate conformemente alle disposizioni degli
articoli 16 e 17, salvo che ciò si riveli impossibile o implichi risorse
sproporzionate. SEZIONE 2
INFORMAZIONE E ACCESSO AI DATI Articolo 14
Informazione dell’interessato 1. In caso di raccolta di dati
personali, il responsabile del trattamento fornisce all’interessato almeno le
seguenti informazioni: a) l’identità e le coordinate di contatto
del responsabile del trattamento e, eventualmente, del suo rappresentante e del
responsabile della protezione dei dati; b) le finalità del trattamento cui sono
destinati i dati personali, compresi i termini contrattuali e le condizioni
generali nel caso di un trattamento basato sull’articolo 6, paragrafo 1,
lettera b), e i legittimi interessi perseguiti dal responsabile del trattamento
qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f); c) il periodo per il quale i dati personali
saranno conservati; d) l’esistenza del diritto dell’interessato
di chiedere al responsabile del trattamento l’accesso ai dati e la rettifica o
la cancellazione dei dati personali che lo riguardano o di opporsi al loro
trattamento; e) il diritto di proporre reclamo
all’autorità di controllo e le coordinate di contatto di detta autorità; f) i destinatari o le categorie di
destinatari dei dati personali; g) se del caso, l’intenzione del
responsabile del trattamento di trasferire dati personali a un paese terzo o a
un’organizzazione internazionale e il livello di protezione garantito dal paese
terzo o organizzazione internazionale, richiamando una decisione di adeguatezza
della Commissione; h) ogni altra informazione necessaria per
garantire un trattamento equo nei confronti dell’interessato, in considerazione
delle specifiche circostanze in cui i dati personali vengono raccolti. 2. Quando i dati personali
sono raccolti direttamente presso l’interessato, il responsabile del
trattamento lo informa, in aggiunta a quanto disposto al paragrafo 1,
dell’obbligatorietà o meno della comunicazione dei dati personali e delle
possibili conseguenze di una mancata comunicazione. 3. Quando i dati personali
non sono raccolti direttamente presso l’interessato, il responsabile del
controllo lo informa, in aggiunta a quanto disposto al paragrafo 1, della fonte
da cui sono tratti i dati personali. 4. Il responsabile del trattamento
fornisce le informazioni di cui ai paragrafi 1, 2 e 3: a) al momento in cui i dati personali
sono ottenuti dall’interessato, oppure b) quando i dati personali non sono
raccolti direttamente presso l’interessato, al momento della registrazione o
entro un termine ragionevole dopo la raccolta, in considerazione delle
specifiche circostanze in cui i dati vengono raccolti o altrimenti trattati, o,
se si prevede la divulgazione dei dati a un altro destinatario, al più tardi al
momento della prima comunicazione dei medesimi. 5. I paragrafi da 1 a 4 non
si applicano nelle seguenti circostanze: a) l’interessato dispone già delle
informazioni di cui ai paragrafi 1, 2 e 3, oppure b) i dati non sono raccolti presso
l’interessato e comunicare tali informazioni risulta impossibile o
implicherebbe risorse sproporzionate, oppure c) i dati non sono raccolti presso
l’interessato e la registrazione o la comunicazione dei dati è prevista
espressamente per legge, oppure d) i dati non sono raccolti presso
l’interessato e la comunicazione di tali informazioni pregiudicherebbe i
diritti e le libertà altrui, ai sensi del diritto dell’Unione o di uno Stato
membro in conformità dell’articolo 21. 6. Nel caso di cui al
paragrafo 5, lettera b), il responsabile del trattamento predispone adeguate
misure per proteggere i legittimi interessi dell’interessato. 7. Alla Commissione è
conferito il potere di adottare atti delegati conformemente all’articolo 86 al
fine di precisare i criteri per le categorie di destinatari di cui al paragrafo
1, lettera f), l’obbligo di informare circa gli accessi potenziali di cui al
paragrafo 1, lettera g), i criteri per le ulteriori informazioni necessarie di
cui al paragrafo 1, lettera h), per settori e situazioni specifiche, e le
condizioni e garanzie adeguate per le eccezioni di cui al paragrafo 5, lettera
b). A tal fine, la Commissione prende misure adeguate per le micro, piccole e
medie imprese. 8. La Commissione può
predisporre moduli standard per la comunicazione delle informazioni di cui ai
paragrafi da 1 a 3, tenendo conto se necessario delle caratteristiche e delle
esigenze specifiche dei diversi settori e situazioni di trattamento dei dati.
Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui
all’articolo 87, paragrafo 2. Articolo 15
Diritto di accesso dell’interessato 1. L’interessato che ne faccia
richiesta ha il diritto di ottenere in qualsiasi momento, dal responsabile del
trattamento, la conferma che sia o meno in corso un trattamento di dati
personali che lo riguardano. Se è in corso un trattamento, il responsabile del
trattamento fornisce le seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in
questione; c) i destinatari o le categorie di
destinatari a cui i dati personali sono stati o saranno comunicati, in
particolare se destinatari di paesi terzi; d) il periodo per il quale saranno
conservati i dati personali; e) l’esistenza del diritto dell’interessato
di chiedere al responsabile del trattamento la rettifica o la cancellazione dei
dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo
all’autorità di controllo e le coordinate di contatto di detta autorità; g) la comunicazione dei dati personali
oggetto del trattamento e di tutte le informazioni disponibili sulla loro
origine; h) l’importanza e
le conseguenze di tale trattamento, almeno nel caso delle misure di cui
all’articolo 20. 2. L’interessato ha il diritto
di ottenere dal responsabile del trattamento la comunicazione dei dati personali
oggetto del trattamento. Se l’interessato presenta la richiesta in forma
elettronica, le informazioni sono fornite in formato elettronico, salvo
indicazione diversa dell’interessato. 3. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e i requisiti per la comunicazione all’interessato del
contenuto dei dati personali di cui al paragrafo 1, lettera g). 4. La Commissione può
predisporre moduli standard e procedure per la richiesta e la concessione
dell’accesso alle informazioni di cui al paragrafo 1, anche ai fini di
verificare l’identità dell’interessato e di comunicare i dati personali
all’interessato, tenendo conto delle specificità e delle esigenze dei diversi
settori e situazioni di trattamento dei dati. Tali atti di esecuzione sono
adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. SEZIONE 3 RETTIFICA E CANCELLAZIONE Articolo 16
Diritto di rettifica L’interessato ha il diritto di ottenere dal
responsabile del trattamento la rettifica di dati personali inesatti.
L’interessato ha il diritto di ottenere l’integrazione di dati personali
incompleti, anche mediante una dichiarazione rettificativa. Articolo 17
Diritto all’oblio e alla cancellazione 1.
L’interessato ha il diritto di ottenere dal
responsabile del trattamento la cancellazione di dati personali che lo
riguardano e la rinuncia a un’ulteriore diffusione di tali dati, in particolare
in relazione ai dati personali resi pubblici quando l’interessato era un
minore, se sussiste uno dei motivi seguenti: a) i dati non sono più necessari rispetto
alle finalità per le quali sono stati raccolti o altrimenti trattati; b) l’interessato revoca il consenso su cui
si fonda il trattamento, di cui all’articolo 6, paragrafo 1, lettera a), oppure
il periodo di conservazione dei dati autorizzato è scaduto e non sussiste altro
motivo legittimo per trattare i dati; c) l’interessato si oppone al trattamento di
dati personali ai sensi dell’articolo 19; d) il trattamento dei dati non è conforme al
presente regolamento per altri motivi. 2. Quando ha reso pubblici dati
personali, il responsabile del trattamento di cui al paragrafo 1 prende tutte
le misure ragionevoli, anche tecniche, in relazione ai dati della cui
pubblicazione è responsabile per informare i terzi che stanno trattando tali
dati della richiesta dell’interessato di cancellare qualsiasi link, copia o
riproduzione dei suoi dati personali. Se ha autorizzato un terzo a pubblicare
dati personali, il responsabile del trattamento è ritenuto responsabile di tale
pubblicazione. 3. Il responsabile del
trattamento provvede senza ritardo alla cancellazione, a meno che conservare i
dati personali non sia necessario: (a)
per l’esercizio del diritto alla libertà di
espressione in conformità dell’articolo 80; (b)
per motivi di interesse pubblico nel settore della
sanità pubblica in conformità dell’articolo 81; (c)
per finalità storiche, statistiche e di ricerca
scientifica in conformità dell’articolo 83; (d)
per adempiere un obbligo legale di conservazione di
dati personali previsto dal diritto dell’Unione o dello Stato membro cui è
soggetto il responsabile del trattamento; il diritto dello Stato membro deve
perseguire un obiettivo di interesse pubblico, rispettare il contenuto
essenziale del diritto alla protezione dei dati personali ed essere proporzionato
all’obiettivo legittimo; (e)
nei casi di cui al paragrafo 4. 4. Invece di provvedere alla
cancellazione, il responsabile del trattamento limita il trattamento dei dati
personali: a) quando l’interessato ne contesta
l’esattezza, per il periodo necessario ad effettuare le opportune verifiche; b) quando, benché non ne abbia più bisogno
per l’esercizio dei suoi compiti, i dati devono essere conservati a fini
probatori; c) quando il trattamento è illecito e l’interessato
si oppone alla loro cancellazione e chiede invece che ne sia limitato
l’utilizzo; d) quando l’interessato chiede di
trasmettere i dati personali a un altro sistema di trattamento automatizzato,
in conformità dell’articolo 18, paragrafo 2. 5. I dati personali di cui al
paragrafo 4 possono essere trattati, salvo che per la conservazione, soltanto a
fini probatori o con il consenso dell’interessato oppure per tutelare i diritti
di un’altra persona fisica o giuridica o per un obiettivo di pubblico
interesse. 6. Quando il trattamento dei
dati personali è limitato a norma del paragrafo 4, il responsabile del
trattamento informa l’interessato prima di eliminare la limitazione al
trattamento. 7. Il responsabile del
trattamento predispone i meccanismi per assicurare il rispetto dei termini
fissati per la cancellazione dei dati personali e/o per un esame periodico
della necessità di conservare tali dati. 8. Quando provvede alla
cancellazione, il responsabile del trattamento si astiene da altri trattamenti
di tali dati personali. 9. Alla Commissione è conferito
il potere di adottare atti delegati in conformità all’articolo 86 al fine di
precisare: a) i criteri e i requisiti per
l’applicazione del paragrafo 1 per specifici settori e situazioni di
trattamento dei dati; b) le condizioni per la cancellazione di
link, copie o riproduzioni di dati personali dai servizi di comunicazione
accessibili al pubblico, come previsto al paragrafo 2; c) i criteri e le condizioni per limitare il
trattamento dei dati personali, di cui al paragrafo 4. Articolo 18
Diritto alla portabilità dei dati 1. L’interessato
ha il diritto, ove i dati personali siano trattati con mezzi elettronici e in
un formato strutturato e di uso comune, di ottenere dal responsabile del
trattamento copia dei dati trattati in un formato elettronico e strutturato che
sia di uso comune e gli consenta di farne ulteriore uso. 2. Se
ha fornito i dati personali e il trattamento si basa sul consenso o su un
contratto, l’interessato ha il diritto di trasmettere tali dati personali e
ogni altra informazione fornita e conservata in un sistema di trattamento
automatizzato a un altro sistema in un formato elettronico di uso comune, senza
impedimenti da parte del responsabile del trattamento da cui sono richiamati i
dati. 3. La
Commissione può specificare il formato elettronico di cui al paragrafo 1 e le
norme tecniche, le modalità e le procedure di trasmissione dei dati personali a
norma del paragrafo 2. Tali atti di esecuzione sono adottati secondo la
procedura d’esame di cui all’articolo 87, paragrafo 2. SEZIONE 4 DIRITTO DI OPPOSIZIONE E
PROFILAZIONE Articolo 19
Diritto di opposizione 1. L’interessato
ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua
situazione particolare, al trattamento dei dati personali ai sensi
dell’articolo 6, paragrafo 1, lettere d), e) e f), salvo che il responsabile
del trattamento dimostri l’esistenza di motivi preminenti e legittimi per
procedere al trattamento che prevalgono sugli interessi o sui diritti e sulle
libertà fondamentali dell’interessato. 2. Qualora
i dati personali siano trattati per finalità di marketing diretto,
l’interessato ha il diritto di opporsi gratuitamente al trattamento dei dati
personali effettuato per tali finalità. Tale diritto è comunicato
esplicitamente all’interessato in modo intelligibile ed è chiaramente
distinguibile dalle altre informazioni. 3. Qualora
l’interessato si opponga ai sensi dei paragrafi 1 e 2, il responsabile del
trattamento non può più usare né altrimenti trattare i dati personali in
questione. Articolo 20
Misure basate sulla profilazione 1. Chiunque
ha il diritto di non essere sottoposto a una misura che produca effetti
giuridici o significativamente incida sulla sua persona, basata unicamente su
un trattamento automatizzato destinato a valutare taluni aspetti della sua
personalità o ad analizzarne o prevederne in particolare il rendimento
professionale, la situazione economica, l’ubicazione, lo stato di salute, le
preferenze personali, l’affidabilità o il comportamento. 2.
Fatte salve le altre disposizioni del presente
regolamento, chiunque può essere sottoposto a una misura di cui al paragrafo 1
soltanto se il trattamento: a) è effettuato nel contesto della
conclusione o dell’esecuzione di un contratto, a condizione che la domanda di
concludere o eseguire il contratto, presentata dall’interessato, sia stata
accolta oppure che siano state offerte misure adeguate, fra le quali il diritto
di ottenere l’intervento umano, a salvaguardia dei suoi legittimi interessi,
oppure b) è espressamente autorizzato da
disposizioni del diritto dell’Unione o di uno Stato membro che precisi altresì
misure adeguate a salvaguardia dei legittimi interessi dell’interessato, oppure c) si basa sul consenso dell’interessato,
fatte salve le condizioni di cui all’articolo 7 e l’esistenza di garanzie
adeguate. 3.
Il trattamento automatizzato di dati personali
destinato a valutare taluni aspetti della personalità dell’interessato non può
basarsi unicamente sulle categorie particolari di dati personali di cui all’articolo
9. 4. Nei casi di cui al paragrafo 2,
le informazioni che il responsabile del trattamento è tenuto a fornire ai sensi
dell’articolo 14 ricomprendono l’esistenza di un trattamento relativo a una
misura di cui al paragrafo 1 e gli effetti previsti di tale trattamento
sull’interessato. 5. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e le condizioni concernenti le misure adeguate a
salvaguardia dei legittimi interessi dell’interessato di cui al paragrafo 2. SEZIONE 5
Limitazioni Articolo 21
Limitazioni 1. L’Unione o gli Stati membri
possono limitare, mediante misure legislative, la portata degli obblighi e dei
diritti di cui all’articolo 5, lettere da a) a e), agli articoli da 11 a 20
e all’articolo 32, qualora tale limitazione costituisca una misura necessaria e
proporzionata in una società democratica per salvaguardare: a) la pubblica sicurezza; b) le attività volte a prevenire, indagare,
accertare e perseguire reati; c) altri interessi pubblici dell’Unione o di
uno Stato membro, in particolare un rilevante interesse economico o finanziario
dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e
tributaria, e la stabilità e l’integrità del mercato; d) le attività volte a prevenire, indagare,
accertare e perseguire violazioni della deontologia delle professioni
regolamentate; e) una funzione di controllo, d’ispezione o
di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici
poteri nei casi di cui alle lettere a), b), c), e d); f) la tutela dell’interessato o dei diritti
e delle libertà altrui; 2. In particolare, le misure
legislative di cui al paragrafo 1 contengono disposizioni specifiche
riguardanti almeno gli obiettivi perseguiti dal trattamento e la determinazione
del responsabile del trattamento. CAPO IV RESPONSABILE DEL
TRATTAMENTO E INCARICATO DEL TRATTAMENTO SEZIONE 1
OBBLIGHI GENERALI Articolo 22
Responsabilità del responsabile del trattamento 1. Il responsabile del trattamento
adotta politiche e attua misure adeguate per garantire ed essere in grado di
dimostrare che il trattamento dei dati personali effettuato è conforme al
presente regolamento. 2. Le misure di cui al paragrafo
1 comprendono, in particolare: (a)
la conservazione della documentazione ai sensi
dell’articolo 28; (b)
l’attuazione dei requisiti di sicurezza dei dati
di cui all’articolo 30; (c)
l’esecuzione della valutazione d’impatto sulla
protezione dei dati ai sensi dell’articolo 33; (d)
il rispetto dei requisiti di autorizzazione
preventiva o di consultazione preventiva dell’autorità di controllo ai sensi
dell’articolo 34, paragrafi 1 e 2; (e)
la designazione di un responsabile della protezione
dei dati ai sensi dell’articolo 35, paragrafo 1. 3. Il responsabile del trattamento
mette in atto meccanismi per assicurare la verifica dell’efficacia delle misure
di cui ai paragrafi 1 e 2. Qualora ciò
sia proporzionato, la verifica è effettuata da revisori interni o esterni
indipendenti. 4. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e i requisiti concernenti le misure adeguate di cui al
paragrafo 1 diverse da quelle specificate al paragrafo 2, le condizioni
riguardanti i meccanismi di verifica e di audit di cui al paragrafo 3 e il
criterio di proporzionalità di cui al paragrafo 3, e al fine di contemplare
misure specifiche per le micro, piccole e medie imprese. Articolo 23
Protezione fin dalla progettazione e protezione di default 1. Al momento di determinare i
mezzi del trattamento e all’atto del trattamento stesso, il responsabile del
trattamento, tenuto conto dell’evoluzione tecnica e dei costi di attuazione,
mette in atto adeguate misure e procedure tecniche e organizzative in modo tale
che il trattamento sia conforme al presente regolamento e assicuri la tutela
dei diritti dell’interessato. 2. Il responsabile del
trattamento mette in atto meccanismi per garantire che siano trattati, di
default, solo i dati personali necessari per ciascuna finalità specifica del
trattamento e che, in particolare, la quantità dei dati raccolti e la durata
della loro conservazione non vadano oltre il minimo necessario per le finalità
perseguite. In particolare detti meccanismi garantiscono che, di default, non
siano resi accessibili dati personali a un numero indefinito di persone. 3. Alla
Commissione è conferito il potere di adottare atti delegati conformemente
all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le
misure e i meccanismi adeguati di cui ai paragrafi 1 e 2, in particolare i
requisiti riguardanti la protezione dei dati fin dalla progettazione
applicabili in materia trasversale a vari settori, prodotti e servizi. 4. La
Commissione può stabilire norme tecniche riguardanti i requisiti di cui ai
paragrafi 1 e 2. Tali atti di esecuzione sono adottati secondo la procedura
d’esame di cui all’articolo 87, paragrafo 2. Articolo 24
Corresponsabili del trattamento Se il responsabile del trattamento determina
le finalità, le condizioni e i mezzi del trattamento dei dati personali insieme
ad altri, i corresponsabili del trattamento determinano, mediante accordi
interni, le rispettive responsabilità in merito al rispetto degli obblighi
derivanti dal presente regolamento, con particolare riguardo alle procedure e
ai meccanismi per l’esercizio dei diritti dell’interessato. Articolo 25
Rappresentanti di responsabili del trattamento non stabiliti nell’Unione 1. Nel caso di cui all’articolo 3,
paragrafo 2, il responsabile del trattamento designa un rappresentante
nell’Unione. 2. Quest’obbligo
non si applica: a) ai
responsabili del trattamento stabiliti in un paese terzo qualora la Commissione
abbia deciso che il paese terzo garantisce un livello di protezione adeguato in
conformità dell’articolo 41, oppure b) alle imprese con meno di 250 dipendenti
oppure c) alle autorità pubbliche e agli organismi
pubblici, oppure d) ai responsabili del trattamento che
offrono solo occasionalmente beni o servizi a interessati che risiedono
nell’Unione. 3. Il rappresentante è stabilito
in uno degli Stati membri in cui risiedono gli interessati i cui dati personali
sono trattati nell’ambito dell’offerta di beni o servizi o il cui comportamento
è controllato. 4. La designazione di un
rappresentante a cura del responsabile del trattamento fa salve le azioni
legali che potrebbero essere promosse contro lo stesso responsabile del
trattamento. Articolo 26
Incaricato del trattamento 1. Qualora il trattamento debba
essere effettuato per conto del responsabile del trattamento, questi sceglie un
incaricato del trattamento che presenti garanzie sufficienti per mettere in
atto misure e procedure tecniche e organizzative adeguate in modo tale che il
trattamento sia conforme al presente regolamento e assicuri la tutela dei
diritti dell’interessato, con particolare riguardo alle misure di sicurezza
tecnica e organizzative in relazione ai trattamenti da effettuare, e si
assicura del rispetto di tali misure. 2. L’esecuzione dei trattamenti
su commissione è disciplinata da un contratto o altro atto giuridico che
vincoli l’incaricato del trattamento al responsabile del trattamento e che
preveda segnatamente che l’incaricato del trattamento: a) agisca soltanto su istruzione del
responsabile del trattamento, in particolare qualora sia vietato il trasferimento
dei dati personali usati; b) impieghi soltanto personale che si sia
impegnato alla riservatezza o abbia l’obbligo legale di riservatezza; c) prenda tutte le misure richieste ai sensi
dell’articolo 30; d) ricorra ad un altro incaricato del trattamento
solo previa autorizzazione del responsabile del trattamento; e) per quanto possibile tenuto conto della
natura del trattamento, crei d’intesa con il responsabile del trattamento le
condizioni tecniche e organizzative necessarie per l’adempimento dell’obbligo
del responsabile del trattamento di dare seguito alle richieste per l’esercizio
dei diritti dell’interessato di cui al capo III; f) aiuti il
responsabile del trattamento a garantire il rispetto degli obblighi di cui agli
articoli da 30 a 34; g) ultimato il trattamento, trasmetta tutti
i risultati al responsabile del trattamento e si astenga dal trattare
altrimenti i dati personali; h) metta a disposizione del responsabile del
trattamento e dell’autorità di controllo tutte le informazioni necessarie per
controllare il rispetto degli obblighi di cui al presente articolo. 3. Il responsabile del
trattamento e l’incaricato del trattamento documentano per iscritto le
istruzioni del responsabile del trattamento e gli obblighi dell’incaricato del
trattamento di cui al paragrafo 2. 4. L’incaricato del trattamento
che tratta i dati personali diversamente da quanto indicato nelle istruzioni
del responsabile del trattamento è considerato responsabile del trattamento per
tale trattamento ed è soggetto alle norme sui corresponsabili del trattamento
di cui all’articolo 24. 5. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e i requisiti concernenti le responsabilità, gli obblighi e
i compiti dell’incaricato del trattamento conformemente al paragrafo 1, e le
condizioni che consentono di facilitare il trattamento dei dati personali
all’interno di un gruppo di imprese, in particolare ai fini del controllo e
della rendicontazione. Articolo 27
Trattamento sotto l’autorità del responsabile del trattamento e
dell’incaricato del trattamento L’incaricato del trattamento, o chiunque
agisca sotto la sua autorità o sotto quella del responsabile del trattamento,
che abbia accesso a dati personali non può trattare tali dati se non è istruito
in tal senso dal responsabile del trattamento, salvo che lo richieda il diritto
dell’Unione o di uno Stato membro. Articolo 28
Documentazione 1. Ogni responsabile del
trattamento, incaricato del trattamento ed eventuale rappresentante del
responsabile del trattamento conserva la documentazione di tutti i trattamenti
effettuati sotto la propria responsabilità. 2. La documentazione contiene
almeno le seguenti informazioni: a) nome e coordinate di contatto del responsabile
del trattamento, o di ogni corresponsabile del trattamento o incaricato del
trattamento, e dell’eventuale rappresentante del responsabile del trattamento; b) nome e coordinate di contatto
dell’eventuale responsabile della protezione dei dati; c) finalità del trattamento, compresi i
legittimi interessi perseguiti dal responsabile del trattamento qualora il
trattamento si basi sull’articolo 6, paragrafo 1, lettera f); d) descrizione delle categorie di
interessati e delle pertinenti categorie di dati personali; e) indicazione dei destinatari o delle
categorie di destinatari dei dati personali, compresi i responsabili del
trattamento cui sono comunicati i dati personali ai fini del perseguimento dei
loro legittimi interessi; f) se del caso, indicazione dei
trasferimenti di dati verso un paese terzo o un’organizzazione internazionale,
compresa l’identificazione del paese terzo o dell’organizzazione internazionale
e, per i trasferimenti di cui all’articolo 44, paragrafo 1, lettera h), la
documentazione delle garanzie adeguate; g) indicazione generale dei termini ultimi
per cancellare le diverse categorie di dati; h) descrizione dei meccanismi di cui
all’articolo 22, paragrafo 3. 3. Il responsabile del
trattamento, l’incaricato del trattamento e l’eventuale rappresentante del
responsabile del trattamento mettono la documentazione a disposizione
dell’autorità di controllo, su richiesta. 4. Gli obblighi di cui ai
paragrafi 1 e 2 non si applicano ai seguenti responsabili del trattamento e
incaricati del trattamento: a) persone fisiche che trattano dati
personali senza un interesse commerciale, oppure b) imprese o organizzazioni con meno di 250
dipendenti che trattano dati personali solo accessoriamente rispetto alle
attività principali. 5. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e i requisiti concernenti la documentazione di cui al
paragrafo 1, per tener conto in particolare delle responsabilità del
responsabile del trattamento, dell’incaricato del trattamento e dell’eventuale
rappresentante del responsabile del trattamento. 5. La Commissione può stabilire
moduli standard per la documentazione di cui al paragrafo 1. Tali atti di
esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87,
paragrafo 2. Articolo 29
Cooperazione con l’autorità di controllo 1. Il
responsabile del trattamento, l’incaricato del trattamento e l’eventuale
rappresentante del responsabile del trattamento cooperano, su richiesta, con
l’autorità di controllo nell’esercizio delle sue funzioni, fornendo in
particolare le informazioni di cui all’articolo 53, paragrafo 2, lettera a), e
accordando l’accesso di cui all’articolo 52, paragrafo 2, lettera b). 2. Quando
l’autorità di controllo esercita i poteri a norma dell’articolo 53, paragrafo 2,
il responsabile del trattamento e l’incaricato del trattamento rispondono a una
sua richiesta entro un termine ragionevole da quella fissato. La risposta
comprende una descrizione delle misure prese a seguito delle osservazioni
dell’autorità di controllo e dei risultati raggiunti. SEZIONE 2
SICUREZZA DEI DATI Articolo 30
Sicurezza del trattamento 1. Tenuto conto dell’evoluzione
tecnica e dei costi di attuazione, il responsabile del trattamento e
l’incaricato del trattamento mettono in atto misure tecniche e organizzative
adeguate per garantire un livello di sicurezza appropriato, in relazione ai
rischi che il trattamento comporta e alla natura dei dati personali da
proteggere. 2. Previa valutazione dei
rischi, il responsabile del trattamento e l’incaricato del trattamento prendono
le misure di cui al paragrafo 1 per proteggere i dati personali dalla
distruzione accidentale o illegale o dalla perdita accidentale e per impedire
qualsiasi forma illegittima di trattamento, in particolare la comunicazione, la
divulgazione o l’accesso non autorizzati o la modifica dei dati personali. 3. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e le condizioni concernenti le misure tecniche e
organizzative di cui ai paragrafi 1 e 2, compresa la determinazione di ciò che
costituisce evoluzione tecnica, per settori specifici e in specifiche
situazioni di trattamento dei dati, in particolare tenuto conto degli sviluppi
tecnologici e delle soluzioni per la protezione fin dalla progettazione e per
la protezione di default, salvo che si applichi il paragrafo 4. 4. Se necessario, la Commissione
può adottare atti di esecuzione per precisare i requisiti di cui ai paragrafi 1
e 2 in varie situazioni, in particolare per: a) impedire l’accesso non autorizzato ai
dati personali; b) impedire qualunque forma non autorizzata
di divulgazione, lettura, copia, modifica, cancellazione o rimozione dei dati
personali; c) garantire la verifica della liceità del
trattamento. Tali atti di esecuzione sono adottati secondo la
procedura d’esame di cui all’articolo 87, paragrafo 2. Articolo 31
Notificazione di una violazione dei dati
personali all’autorità di controllo 1. In caso di violazione dei
dati personali, il responsabile del trattamento notifica la violazione
all’autorità di controllo senza ritardo, ove possibile entro 24 ore dal momento
in cui ne è venuto a conoscenza. Qualora non sia effettuata entro 24 ore, la
notificazione all’autorità di controllo è corredata di una giustificazione
motivata. 2. In conformità dell’articolo 26,
paragrafo 2, lettera f), l’incaricato del trattamento allerta e informa il
responsabile del trattamento immediatamente dopo aver accertato la violazione. 3. La notificazione di cui al
paragrafo 1 deve come minimo: a) descrivere la natura della violazione dei
dati personali, compresi le categorie e il numero di interessati in questione e
le categorie e il numero di registrazioni dei dati in questione; b) indicare l’identità e le coordinate di
contatto del responsabile della protezione dei dati o di altro punto di
contatto presso cui ottenere più informazioni; c) elencare le misure raccomandate per
attenuare i possibili effetti pregiudizievoli della violazione dei dati
personali; d) descrivere le conseguenze della
violazione dei dati personali; e) descrivere le misure proposte o adottate
dal responsabile del trattamento per porre rimedio alla violazione dei dati
personali. 4. Il responsabile del
trattamento documenta la violazione dei dati personali, incluse le circostanze
in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi
rimedio. La documentazione deve consentire all’autorità di controllo di
verificare il rispetto del presente articolo. In essa figurano unicamente le
informazioni necessarie a tal fine. 5. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e i requisiti concernenti l’accertamento della violazione
di dati personali di cui ai paragrafi 1 e 2 e le circostanze particolari in cui
il responsabile del trattamento e l’incaricato del trattamento sono tenuti a
notificare la violazione. 6. La Commissione può stabilire
il formato standard di tale notificazione all’autorità di controllo, le
procedure applicabili all’obbligo di notificazione e la forma e le modalità
della documentazione di cui al paragrafo 4, compresi i termini per la
cancellazione delle informazioni ivi contenute. Tali atti di esecuzione sono
adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. Articolo 32
Comunicazione di una violazione dei dati
personali all’interessato 1. Quando la violazione dei dati
personali rischia di pregiudicare i dati personali o di attentare alla vita
privata dell’interessato, il responsabile del trattamento, dopo aver provveduto
alla notificazione di cui all’articolo 31, comunica la violazione
all’interessato senza ingiustificato ritardo. 2. La comunicazione
all’interessato di cui al paragrafo 1 descrive la natura della violazione dei
dati personali e contiene almeno le informazioni e le raccomandazioni di cui
all’articolo 31, paragrafo 3, lettere b) e c). 3. Non è
richiesta la comunicazione di una violazione dei dati personali all’interessato
se il responsabile del trattamento dimostra in modo convincente all’autorità di
controllo che ha utilizzato le opportune misure tecnologiche di protezione e
che tali misure erano state applicate ai dati violati. Tali misure tecnologiche
di protezione devono rendere i dati incomprensibili a chiunque non sia
autorizzato ad accedervi. 4. Fatto salvo l’obbligo per il
responsabile del trattamento di comunicare all’interessato la violazione dei
dati personali, se il responsabile del trattamento non ha provveduto a
comunicare all’interessato la violazione dei dati personali, l’autorità di
controllo, considerate le presumibili ripercussioni negative della violazione,
può obbligare il responsabile del trattamento a farlo. 5. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e i requisiti concernenti le circostanze in cui una
violazione di dati personali rischia di pregiudicare la protezione dei dati
personali di cui al paragrafo 1. 6. La Commissione può stabilire
il formato della comunicazione all’interessato di cui al paragrafo 1, e le
procedure applicabili a tale comunicazione. Tali atti di esecuzione sono
adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. SEZIONE 3
VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI E AUTORIZZAZIONE PREVENTIVA Articolo 33
Valutazione d’impatto sulla protezione dei dati 1. Quando il trattamento, per la
sua natura, il suo oggetto o le sue finalità, presenta rischi specifici per i
diritti e le libertà degli interessati, il responsabile del trattamento o
l’incaricato del trattamento che agisce per conto del responsabile del
trattamento effettua una valutazione dell’impatto del trattamento previsto
sulla protezione dei dati personali. 2. Presentano rischi specifici
ai sensi del paragrafo 1 in particolare i seguenti trattamenti: a) la valutazione sistematica e globale di
aspetti della personalità dell’interessato o volta ad analizzarne o prevederne
in particolare la situazione economica, l’ubicazione, lo stato di salute, le
preferenze personali, l’affidabilità o il comportamento, basata su un
trattamento automatizzato e da cui discendono misure che hanno effetti
giuridici o significativamente incidono sull’interessato; b) il trattamento di informazioni
concernenti la vita sessuale, lo stato di salute, la razza e l’origine etnica
oppure destinate alla prestazione di servizi sanitari o a ricerche
epidemiologiche o indagini su malattie mentali o infettive qualora i dati siano
trattati per prendere misure o decisioni su larga scala riguardanti persone
specifiche; c) la sorveglianza di zone accessibili al
pubblico, in particolare se effettuata mediante dispositivi ottico-elettronici
(videosorveglianza) su larga scala; d) il trattamento di dati personali in
archivi su larga scala riguardanti minori, dati genetici o dati biometrici; e) qualunque altro trattamento che richiede
la consultazione dell’autorità di controllo ai sensi dell’articolo 34,
paragrafo 2, lettera b). 3. La valutazione contiene almeno
una descrizione generale del trattamento previsto, una valutazione dei rischi
per i diritti e le libertà degli interessati, le misure previste per affrontare
i rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la
protezione dei dati personali e dimostrare la conformità al presente
regolamento, tenuto conto dei diritti e dei legittimi interessi degli
interessati e delle altre persone in questione. 4. Il responsabile del
trattamento raccoglie le osservazioni degli interessati o dei loro
rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi
commerciali o pubblici o la sicurezza del trattamento. 5. Qualora il responsabile del
trattamento sia un’autorità pubblica o un organismo pubblico e il trattamento
sia effettuato in forza di un obbligo legale ai sensi dell’articolo 6,
paragrafo 1, lettera c), che prevede norme e procedure riguardanti il
trattamento e sia stabilito dal diritto dell’Unione, i paragrafi da 1 a 4 non
si applicano salvo che gli Stati membri ritengano necessario effettuare tale
valutazione prima di procedere alle attività di trattamento. 7. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e le condizioni concernenti i trattamenti che possono
presentare rischi specifici di cui ai paragrafi 1 e 2 e i requisiti riguardanti
la valutazione di cui paragrafo 3, comprese le condizioni di scalabilità,
verifica e controllabilità. A tal fine, la Commissione contempla misure
specifiche per le micro, piccole e medie imprese. 8. La Commissione può
specificare norme e procedure per l’esecuzione, la verifica e il controllo
della valutazione di cui al paragrafo 3. Tali atti di esecuzione sono adottati
secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. Articolo 34
Autorizzazione preventiva e consultazione preventiva 1. Il responsabile del
trattamento o l’incaricato del trattamento, a seconda del caso, che adotti le
clausole contrattuali di cui all’articolo 42, paragrafo 2, lettera d), o non
offra garanzie adeguate in uno strumento giuridicamente vincolante ai sensi
dell’articolo 42, paragrafo 5, per il trasferimento di dati personali
verso un paese terzo o un’organizzazione internazionale, prima di procedere al
trattamento dei dati personali ottiene l’autorizzazione dell’autorità di
controllo al fine di garantire la conformità del trattamento previsto al
presente regolamento e, in particolare, attenuare i rischi per gli interessati. 2. Il responsabile del
trattamento, o l’incaricato del trattamento che agisce per conto del
responsabile del trattamento, prima di procedere al trattamento dei dati
personali consulta l’autorità di controllo al fine di garantire la conformità
del trattamento previsto al presente regolamento e, in particolare, attenuare i
rischi per gli interessati qualora: a) la valutazione d’impatto sulla protezione
dei dati di cui all’articolo 33 indichi che il trattamento, per la sua natura,
il suo oggetto o le sue finalità, può presentare un alto grado di rischi specifici,
oppure b) l’autorità di controllo ritenga
necessario effettuare una consultazione preventiva sui trattamenti precisati
conformemente al paragrafo 4 che, per la loro natura, il loro oggetto o le loro
finalità, possono presentare rischi specifici per i diritti e le libertà degli
interessati. 3. Se ritiene che il trattamento
previsto non sia conforme al presente regolamento, in particolare qualora i
rischi non siano sufficientemente identificati o attenuati, l’autorità di
controllo vieta il trattamento previsto e presenta opportune proposte per
ovviare al difetto di conformità. 4. L’autorità di controllo
redige e rende pubblico un elenco dei trattamenti soggetti a consultazione
preventiva ai sensi del paragrafo 2, lettera b). L’autorità di controllo comunica
tali elenchi al comitato europeo per la protezione dei dati. 5. Se l’elenco di cui al
paragrafo 4 comprende attività di trattamento finalizzate all’offerta di beni o
servizi a interessati in più Stati membri o al controllo del loro
comportamento, o attività di trattamento che possono incidere
significativamente sulla libera circolazione dei dati personali all’interno
dell’Unione, l’autorità di controllo; prima di adottare tale elenco, applica il
meccanismo di coerenza di cui all’articolo 57. 6. Il responsabile del
trattamento o l’incaricato del trattamento trasmette all’autorità di controllo
la valutazione d’impatto sulla protezione dei dati di cui all’articolo 33 e, se
richiesta, ogni altra informazione al fine di consentire all’autorità di
controllo di effettuare una valutazione della conformità del trattamento, in
particolare dei rischi per la protezione dei dati personali dell’interessato e
delle relative garanzie. 7. Quando elaborano un atto
legislativo che deve essere adottato dai parlamenti nazionali o una misura
basata su un atto di questo tipo, in cui venga definita la natura del
trattamento, gli Stati membri consultano l’autorità di controllo per garantire
la conformità del trattamento previsto al presente regolamento e, in
particolare, attenuare i rischi per gli interessati. 8. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e i requisiti per determinare l’alto grado di rischi
specifici di cui al paragrafo 2, lettera a). 9. La Commissione può stabilire
moduli standard e procedure per l’autorizzazione preventiva e la consultazione
preventiva di cui ai paragrafi 1 e 2, e per l’informativa all’autorità di
controllo ai sensi del paragrafo 6. Tali atti di esecuzione sono adottati
secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. SEZIONE
4
RESPONSABILE DELLA PROTEZIONE DEI DATI Articolo 35
Designazione del responsabile della protezione dei dati 1. Il responsabile del
trattamento e l’incaricato del trattamento designano sistematicamente un
responsabile della protezione dei dati quando: a) il trattamento è effettuato da
un’autorità pubblica o da un organismo pubblico, oppure b) il trattamento è effettuato da un’impresa
con 250 o più dipendenti, oppure c) le attività principali del responsabile
del trattamento o dell’incaricato del trattamento consistono in trattamenti
che, per la loro natura, il loro oggetto o le loro finalità, richiedono il
controllo regolare e sistematico degli interessati. 2. Nei casi di cui al paragrafo 1,
lettera b), un gruppo di imprese può nominare un unico responsabile della
protezione dei dati. 3. Qualora il responsabile del
trattamento o l’incaricato del trattamento sia un’autorità pubblica o un
organismo pubblico, il responsabile della protezione dei dati può essere
designato per più enti, tenuto conto della struttura organizzativa
dell’autorità pubblica o dell’organismo pubblico. 4. Nei casi diversi da quelli di
cui al paragrafo 1, il responsabile del trattamento, l’incaricato del trattamento
o le associazioni e gli altri organismi rappresentanti le categorie di
responsabili del trattamento o di incaricati del trattamento possono designare
un responsabile della protezione dei dati. 5. Il responsabile del
trattamento o l’incaricato del trattamento designa il responsabile della
protezione dei dati in funzione delle qualità professionali, in particolare
della conoscenza specialistica della normativa e delle pratiche in materia di
protezione dei dati, e della capacità di adempiere ai compiti di cui
all’articolo 37. Il livello necessario di conoscenza specialistica è
determinato in particolare in base al trattamento di dati effettuato e alla
protezione richiesta per i dati personali trattati dal responsabile del
trattamento o dall’incaricato del trattamento. 6. Il responsabile del
trattamento o l’incaricato del trattamento si assicura che ogni altra funzione
professionale del responsabile della protezione dei dati sia compatibile con i
compiti e le funzioni dello stesso in qualità di responsabile della protezione
dei dati e non dia adito a conflitto di interessi. 7. Il responsabile del
trattamento o l’incaricato del trattamento designa un responsabile della
protezione dei dati per un periodo di almeno due anni. Il mandato del
responsabile della protezione dei dati è rinnovabile. Durante il mandato può
essere destituito solo se non soddisfa più le condizioni richieste per
l’esercizio delle sue funzioni. 8. Il responsabile della
protezione dei dati può essere assunto dal responsabile del trattamento o
dall’incaricato del trattamento oppure adempiere ai suoi compiti in base a un
contratto di servizi. 9. Il responsabile del
trattamento o l’incaricato del trattamento comunica il nome e le coordinate di
contatto del responsabile della protezione dei dati all’autorità di controllo e
al pubblico. 10. Gli interessati hanno il
diritto di contattare il responsabile della protezione dei dati per tutte le
questioni relative al trattamento dei loro dati personali e presentare
richieste per esercitare i diritti riconosciuti dal presente regolamento. 11. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e i requisiti concernenti le attività principali del
responsabile del trattamento o dell’incaricato del trattamento di cui al
paragrafo 1, lettera c), e i criteri relativi alle qualità professionali del
responsabile della protezione dei dati di cui al paragrafo 5. Articolo 36
Posizione del responsabile della protezione dei dati 1. Il responsabile del
trattamento o l’incaricato del trattamento si assicura che il responsabile
della protezione dei dati sia prontamente e adeguatamente coinvolto in tutte le
questioni riguardanti la protezione dei dati personali. 2. Il responsabile del
trattamento o l’incaricato del trattamento si assicura che il responsabile
della protezione dei dati adempia alle funzioni e ai compiti in piena
indipendenza e non riceva alcuna istruzione per quanto riguarda il loro
esercizio. Il responsabile della protezione dei dati riferisce direttamente ai
superiori gerarchici del responsabile del trattamento o dell’incaricato del
trattamento. 3. Il responsabile del
trattamento o l’incaricato del trattamento sostiene il responsabile della
protezione dei dati nell’esecuzione dei suoi compiti e gli fornisce personale,
locali, attrezzature e ogni altra risorsa necessaria per adempiere alle
funzioni e ai compiti di cui all’articolo 37. Articolo 37
Compiti del responsabile della protezione dei dati 1. Il responsabile del
trattamento o l’incaricato del trattamento conferisce al responsabile della
protezione dei dati almeno i seguenti compiti: a) informare e consigliare il responsabile
del trattamento o l’incaricato del trattamento in merito agli obblighi
derivanti dal presente regolamento e conservare la documentazione relativa a
tale attività e alle risposte ricevute; b) sorvegliare l’attuazione e l’applicazione
delle politiche del responsabile del trattamento o dell’incaricato del
trattamento in materia di protezione dei dati personali, compresi
l’attribuzione delle responsabilità, la formazione del personale che partecipa
ai trattamenti e gli audit connessi; c) sorvegliare l’attuazione e l’applicazione
del presente regolamento, con particolare riguardo ai requisiti concernenti la
protezione fin dalla progettazione, la protezione di default, la sicurezza dei
dati, l’informazione dell’interessato e le richieste degli interessati di
esercitare i diritti riconosciuti dal presente regolamento; d) garantire la conservazione della
documentazione di cui all’articolo 28; e) controllare che le violazioni dei dati
personali siano documentate, notificate e comunicate ai sensi degli articoli 31
e 32; f) controllare che il responsabile del
trattamento o l’incaricato del trattamento effettui la valutazione d’impatto
sulla protezione dei dati e richieda l’autorizzazione preventiva o la
consultazione preventiva nei casi previsti dagli articoli 33 e 34; g) controllare che sia dato seguito alle
richieste dell’autorità di controllo e, nell’ambito delle sue competenze,
cooperare con l’autorità di controllo di propria iniziativa o su sua richiesta; h) fungere da punto di contatto per
l’autorità di controllo per questioni connesse al trattamento e, se del caso,
consultare l’autorità di controllo di propria iniziativa. 2. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e i requisiti concernenti i compiti, la certificazione, lo
status, i poteri e le risorse del responsabile della protezione dei dati di cui
al paragrafo 1. SEZIONE 5
CODICI DI CONDOTTA E CERTIFICAZIONE Articolo 38
Codici di condotta 1. Gli Stati membri, le autorità
di controllo e la Commissione incoraggiano l’elaborazione di codici di condotta
destinati a contribuire alla corretta applicazione del presente regolamento, in
funzione delle specificità settoriali, in particolare per quanto riguarda: a) il trattamento
equo e trasparente dei dai; b) la raccolta dei
dati; c) l’informazione
del pubblico e dell’interessato; d) le richieste
dell’interessato per l’esercizio dei suoi diritti; e) l’informazione e
la protezione del minore; f) il
trasferimento di dati verso paesi terzi o organizzazioni internazionali; g) i meccanismi per
monitorare e garantire il rispetto del codice da parte dei responsabili del
trattamento che vi aderiscono; h) le procedure
stragiudiziali e di altro tipo per comporre le controversie tra responsabili
del trattamento e interessati in materia di trattamento dei dati personali,
fatti salvi i diritti dell’interessato ai sensi degli articoli 73 e 75. 2. Le
associazioni e gli altri organismi rappresentanti le categorie di responsabili
del trattamento o incaricati del trattamento in uno Stato membro, che intendono
elaborare i progetti di codice di condotta o modificare o prorogare i codici di
condotta esistenti, possono sottoporli all’esame dell’autorità di controllo
dello Stato membro interessato. L’autorità di controllo può esprimere un parere
sulla conformità al presente regolamento del progetto di codice di condotta o
della modifica proposta. L’autorità di controllo raccoglie le osservazioni
degli interessati o dei loro rappresentanti su tali progetti. 3. Le associazioni e gli altri
organismi che rappresentano le categorie di responsabili del trattamento in più
Stati membri possono sottoporre alla Commissione i progetti di codice di
condotta e le modifiche o proroghe dei codici di condotta esistenti. 4. La Commissione può decidere
con atto di esecuzione che i codici di condotta e le modifiche o proroghe dei
codici di condotta esistenti che le sono stati sottoposti ai sensi del
paragrafo 3 hanno validità generale all’interno dell’Unione. Tali atti di esecuzione sono adottati secondo la
procedura d’esame di cui all’articolo 87, paragrafo 2. 5. La Commissione provvede ad un’appropriata
divulgazione dei codici per i quali è stata decisa la validità generale ai
sensi del paragrafo 4. Articolo 39
Certificazione 1. Gli Stati membri e la
Commissione incoraggiano, in particolare a livello europeo, l’istituzione di
meccanismi di certificazione della protezione dei dati nonché di sigilli e
marchi di protezione dei dati che consentano agli interessati di valutare
rapidamente il livello di protezione dei dati garantito dai responsabili del
trattamento e dagli incaricati del trattamento. I meccanismi di certificazione
della protezione dei dati contribuiscono alla corretta applicazione del
presente regolamento, in funzione delle specificità settoriali e dei diversi
trattamenti. 2. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e i requisiti concernenti i meccanismi di certificazione
della protezione dei dati di cui al paragrafo 1, comprese le condizioni di
rilascio e ritiro e i requisiti per il riconoscimento nell’Unione e in paesi
terzi. 3. La Commissione può stabilire
norme tecniche riguardanti i meccanismi di certificazione e i sigilli e marchi
di protezione dei dati e le modalità per promuovere e riconoscere i meccanismi
di certificazione e i sigilli e marchi di protezione dei dati. Tali atti di esecuzione sono adottati secondo la
procedura d’esame di cui all’articolo 87, paragrafo 2. CAPO V
TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI O ORGANIZZAZIONI
INTERNAZIONALI Articolo 40
Principio generale per il trasferimento Il trasferimento di dati personali oggetto di
un trattamento o destinati a essere oggetto di un trattamento dopo il
trasferimento verso un paese terzo o un’organizzazione internazionale, compreso
il trasferimento successivo di dati personali da un paese terzo o
un’organizzazione internazionale verso un altro paese terzo o un’altra
organizzazione internazionale, è ammesso soltanto se il responsabile del
trattamento e l’incaricato del trattamento rispettano le condizioni indicate
nel presente capo, fatte salve le altre disposizioni del presente regolamento. Articolo 41
Trasferimento previa decisione di adeguatezza 1. Il trasferimento è ammesso se
la Commissione ha deciso che il paese terzo, o un territorio o settore di
trattamento all’interno del paese terzo, o l’organizzazione internazionale in
questione garantisce un livello di protezione adeguato. In tal caso il
trasferimento non necessita di ulteriori autorizzazioni. 2. Nel valutare l’adeguatezza
del livello di protezione la Commissione prende in considerazione i seguenti
elementi: a) lo stato di diritto, la pertinente
legislazione generale e settoriale vigente, anche in materia penale, di
pubblica sicurezza, difesa e sicurezza nazionale, le regole professionali e le
misure di sicurezza osservate nel paese terzo o dall’organizzazione
internazionale in questione, nonché i diritti effettivi e azionabili, compreso
il diritto degli interessati a un ricorso effettivo in sede amministrativa e
giudiziaria, in particolare quelli che risiedono nell’Unione e i cui dati
personali sono oggetto di trasferimento; b) l’esistenza e l’effettivo funzionamento
di una o più autorità di controllo indipendenti nel paese terzo o
nell’organizzazione internazionale in questione, incaricate di garantire il
rispetto delle norme di protezione dei dati, assistere e consigliare gli
interessati in merito all’esercizio dei loro diritti e cooperare con le
autorità di controllo dell’Unione e degli Stati membri, e c) gli impegni internazionali assunti dal
paese terzo o dall’organizzazione internazionale in questione. 3. La Commissione può decidere
che un paese terzo, o un territorio o settore di trattamento all’interno del
paese terzo, o un’organizzazione internazionale garantisce un livello di
protezione adeguato ai sensi del paragrafo 2. Tali atti di esecuzione sono
adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. 4. L’atto di esecuzione
specifica il proprio campo di applicazione geografico e settoriale e, se del
caso, identifica l’autorità di controllo di cui al paragrafo 2,
lettera b). 5. La Commissione può decidere
che un paese terzo, o un territorio o settore di trattamento all’interno del
paese terzo, o un’organizzazione internazionale non garantisce un livello di
protezione adeguato ai sensi del paragrafo 2, in particolare nei casi in cui la
pertinente legislazione generale e settoriale vigente nel paese terzo o per
l’organizzazione internazionale in questione non garantisce diritti effettivi e
azionabili, compreso il diritto degli interessati a un ricorso effettivo in
sede amministrativa e giudiziaria, in particolare quelli residenti nell’Unione
i cui dati personali sono oggetto di trasferimento. Tali atti di esecuzione
sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2,
o, in casi di estrema urgenza per gli interessati relativamente al loro diritto
alla protezione dei dati, secondo la procedura cui all’articolo 87, paragrafo 3.
6. Quando la Commissione decide
ai sensi del paragrafo 5, è vietato il trasferimento di dati personali verso il
paese terzo, o un territorio o settore di trattamento all’interno del paese
terzo, o verso l’organizzazione internazionale in questione, fatti salvi gli
articoli da 42 a 44. La Commissione avvia, al momento opportuno, consultazioni
con il paese terzo o l’organizzazione internazionale per porre rimedio alla
situazione risultante dalla decisione di cui al paragrafo 5. 7. La Commissione pubblica nella
Gazzetta ufficiale dell’Unione europea l’elenco dei paesi terzi, dei
territori e settori di trattamento all’interno di un paese terzo, e delle
organizzazioni internazionali per i quali ha deciso che è o non è garantito un
livello di protezione adeguato. 8. Le decisioni adottate dalla
Commissione in base all’articolo 25, paragrafo 6, o all’articolo 26, paragrafo 4,
della direttiva 95/46/CE restano in vigore fino a quando non vengono
modificate, sostituite o abrogate dalla Commissione. Articolo 42
Trasferimento in presenza di garanzie adeguate 1. Se la Commissione non ha
preso alcuna decisione ai sensi dell’articolo 41, il responsabile del
trattamento o l’incaricato del trattamento può trasferire dati personali verso
un paese terzo o un’organizzazione internazionale solo se ha offerto garanzie
adeguate per la protezione dei dati personali in uno strumento giuridicamente
vincolante. 2. Costituiscono in particolare
garanzie adeguate di cui al paragrafo 1: a) le norme vincolanti d’impresa conformi
all’articolo 43, oppure b) le clausole tipo di protezione dei dati
adottate dalla Commissione. Tali atti di esecuzione sono adottati secondo la
procedura d’esame di cui all’articolo 87, paragrafo 2, oppure c) le clausole tipo di protezione dei dati
adottate da un’autorità di controllo in conformità del meccanismo di coerenza
di cui all’articolo 57, qualora siano dichiarate generalmente valide dalla
Commissione ai sensi dell’articolo 62, paragrafo 1, lettera b), oppure d) le clausole contrattuali tra il
responsabile del trattamento o l’incaricato del trattamento e il destinatario
dei dati autorizzate da un’autorità di controllo in conformità del paragrafo 4. 3. Il trasferimento basato sulle
clausole tipo di protezione dei dati o sulle norme vincolanti d’impresa di cui
al paragrafo 2, lettere a), b) o c) non necessita di ulteriori autorizzazioni. 4. Se il trasferimento si basa
sulle clausole contrattuali di cui paragrafo 2, lettera d), il responsabile del
trattamento o l’incaricato del trattamento deve ottenere l’autorizzazione
preventiva dell’autorità di controllo in relazione alle clausole contrattuali
in conformità dell’articolo 34, paragrafo 1, lettera a). Se il trasferimento è
connesso ad attività di trattamento riguardanti interessati in un altro Stato
membro o in altri Stati membri, o che incidono significativamente sulla libera
circolazione dei dati personali all’interno dell’Unione, l’autorità di
controllo applica il meccanismo di coerenza di cui all’articolo 57. 5. Se non sono offerte garanzie
adeguate per la protezione dei dati personali in uno strumento giuridicamente
vincolante, il responsabile del trattamento o l’incaricato del trattamento deve
ottenere l’autorizzazione preventiva al trasferimento o a un complesso di
trasferimenti, o all’inserimento di disposizioni in accordi amministrativi
costituenti la base del trasferimento. Tale autorizzazione dell’autorità di
controllo è conforme all’articolo 34, paragrafo 1, lettera a). Se il
trasferimento è connesso ad attività di trattamento riguardanti interessati in
un altro Stato membro o in altri Stati membri, o che incidono
significativamente sulla libera circolazione dei dati personali all’interno
dell’Unione, l’autorità di controllo applica il meccanismo di coerenza di cui
all’articolo 57. Le autorizzazioni emesse dall’autorità di controllo sulla base
dell’articolo 26, paragrafo 2, della direttiva 95/46/CE restano valide fino a
quando non vengono modificate, sostituite o abrogate dalla medesima autorità di
controllo. Articolo 43
Trasferimento in presenza di norme vincolanti d’impresa 1. L’autorità di controllo
approva, in conformità del meccanismo di coerenza di cui all’articolo 58, le
norme vincolanti d’impresa, a condizione che queste: a) siano giuridicamente vincolanti e si
applichino a tutti i membri del gruppo d’imprese del responsabile del
trattamento o dell’incaricato del trattamento, compresi i loro dipendenti, e
siano da questi rispettate; b) conferiscano espressamente agli
interessati diritti opponibili; c) soddisfino i requisiti di cui al
paragrafo 2. 2. Le norme vincolanti d’impresa
specificano almeno: a) la struttura e le coordinate di contatto
del gruppo d’imprese e dei suoi membri; b) i trasferimenti o l’insieme di
trasferimenti di dati, in particolare le categorie di dati personali, il tipo
di trattamento e relative finalità, il tipo di interessati cui si riferiscono i
dati e l’identificazione del paese terzo o dei paesi terzi in questione; c) la loro natura giuridicamente vincolante,
a livello sia interno che esterno; d) i principi generali di protezione dei
dati, in particolare in relazione alla finalità, alla qualità dei dati, alla
base giuridica del trattamento e al trattamento di dati personali sensibili, le
misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti
successivi ad organizzazioni che non sono vincolate dalle politiche; e) i diritti dell’interessato e i mezzi per
esercitarli, compresi il diritto di non essere sottoposto a misure basate sulla
profilazione ai sensi dell’articolo 20, il diritto di proporre reclamo
all’autorità di controllo competente e di ricorrere alle autorità
giurisdizionali competenti degli Stati membri conformemente all’articolo 75, e
il diritto di ottenere riparazione e, se del caso, il risarcimento per
violazione delle norme vincolanti d’impresa; f) il fatto che il responsabile del
trattamento o l’incaricato del trattamento stabilito nel territorio di uno
Stato membro si assume la responsabilità per qualunque violazione delle norme
vincolanti d’impresa commesse da un membro del gruppo di imprese non stabilito
nell’Unione; il responsabile del trattamento o l’incaricato del trattamento può
essere esonerato in tutto o in parte da tale responsabilità solo se prova che
l’evento dannoso non è imputabile al membro in questione; g) le modalità in base alle quali sono
fornite all’interessato, in conformità dell’articolo 11, le informazioni sulle
norme vincolanti d’impresa, in particolare sulle disposizioni di cui alle
lettere d), e) e f); h) i compiti del responsabile della protezione dei dati designato
ai sensi dell’articolo 35, compreso il controllo del rispetto delle norme
vincolanti d’impresa all’interno del gruppo di imprese e il controllo della
formazione e della gestione dei reclami; i) i meccanismi all’interno del gruppo di
imprese diretti a garantire la verifica della conformità alle norme vincolanti
d’impresa; j) i meccanismi per riferire e registrare
le modifiche delle politiche e comunicarle all’autorità di controllo; k) il meccanismo di cooperazione con
l’autorità di controllo per garantire la conformità da parte di ogni membro del
gruppo di imprese, in particolare la messa a disposizione dell’autorità di
controllo dei risultati delle verifiche delle misure di cui alla lettera i). 3. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e i requisiti concernenti le norme vincolanti d’impresa ai
sensi del presente articolo, in particolare i criteri per la loro approvazione,
l’applicazione del paragrafo 2, lettere b), d), e) e f) alle norme vincolanti
d’impresa cui gli incaricati del trattamento aderiscono e gli ulteriori
requisiti per garantire la protezione dei dati personali degli interessati in
questione. 4. La Commissione può
specificare il formato e le procedure per lo scambio di informazioni con mezzi
elettronici tra responsabili del trattamento, incaricati del trattamento e
autorità di controllo in merito alle norme vincolanti d’impresa ai sensi del
presente articolo. Tali atti di esecuzione sono adottati secondo la procedura
d’esame di cui all’articolo 87, paragrafo 2. Articolo 44
Deroghe 1. In mancanza di una decisione
di adeguatezza ai sensi dell’articolo 41 o di garanzie adeguate ai sensi
dell’articolo 42, è ammesso il trasferimento o un complesso di trasferimenti di
dati personali verso un paese terzo o un’organizzazione internazionale soltanto
a condizione che: a) l’interessato abbia acconsentito al
trasferimento proposto, dopo essere stato informato dei rischi connessi a
siffatti trasferimenti dovuti alla mancanza di una decisione di adeguatezza e
di garanzie adeguate, oppure b) il trasferimento sia necessario
all’esecuzione di un contratto concluso tra l’interessato e il responsabile del
trattamento ovvero all’esecuzione di misure precontrattuali prese su istanza
dell’interessato, oppure c) il trasferimento sia necessario per la
conclusione o l’esecuzione di un contratto stipulato tra il responsabile del
trattamento e un terzo a favore dell’interessato, oppure d) il trasferimento sia necessario per
motivi di interesse pubblico rilevante, oppure e) il trasferimento sia necessario per
accertare, esercitare o difendere un diritto in sede giudiziaria, oppure f) il trasferimento sia necessario per
salvaguardare un interesse vitale dell’interessato o di un terzo, qualora
l’interessato si trovi nell’incapacità fisica o giuridica di dare il proprio
consenso, oppure g) il trasferimento sia effettuato a partire
da un registro che, a norma del diritto dell’Unione o di uno Stato membro, mira
a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in
generale quanto da chiunque sia in grado di dimostrare un legittimo interesse,
purché sussistano i requisiti per la consultazione previsti dal diritto
dell’Unione o dello Stato membro, oppure h) il trasferimento sia necessario per il
perseguimento dei legittimi interessi del responsabile del trattamento o
dell’incaricato del trattamento, che non possano definirsi frequenti o ingenti,
e qualora il responsabile del trattamento o l’incaricato del trattamento abbia
valutato tutte le circostanze relative ad un trasferimento o ad un complesso di
trasferimenti e sulla base di tale valutazione abbia offerto garanzie adeguate
per la protezione dei dati personali, ove necessario. 2. Il trasferimento di cui al
paragrafo 1, lettera g), non può riguardare la totalità dei dati personali o
intere categorie di dati personali contenute nel registro. Se il registro è
destinato ad essere consultato da persone aventi un legittimo interesse, il
trasferimento è ammesso soltanto su richiesta di tali persone o qualora ne
siano i destinatari. 3. Qualora il trasferimento si
basi sul paragrafo 1, lettera h), il responsabile del trattamento o
l’incaricato del trattamento prende in considerazione la natura dei dati, la
finalità e la durata del trattamento previsto, nonché la situazione nel paese
d’origine, nel paese terzo e nel paese di destinazione finale, e offre garanzie
adeguate per la protezione dei dati personali, ove necessario. 4. Il paragrafo 1, lettere b),
c) e h), non si applicano alle attività svolte dalle autorità pubbliche
nell’esercizio dei pubblici poteri. 5. L’interesse pubblico di cui
al paragrafo 1, lettera d), deve essere riconosciuto dal diritto dell’Unione o
dello Stato membro cui è soggetto il responsabile del trattamento. 6. Il responsabile del
trattamento o l’incaricato del trattamento attesta nella documentazione di cui
all’articolo 28 la valutazione e le garanzie adeguate offerte di cui al
paragrafo 1, lettera d), e informa l’autorità di controllo del trasferimento. 7. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i “motivi di interesse pubblico rilevante” ai sensi del paragrafo 1,
lettera d), e i criteri e i requisiti concernenti le garanzie adeguate di cui
al paragrafo 1, lettera h). Articolo 45
Cooperazione internazionale per la protezione dei dati personali 1. In relazione ai paesi terzi e
alle organizzazioni internazionali, la Commissione e le autorità di controllo
adottano misure appropriate per: a) sviluppare efficaci meccanismi di
cooperazione internazionale per facilitare l’applicazione della legislazione
sulla protezione dei dati personali; b) prestare assistenza reciproca a livello
internazionale nell’applicazione della legislazione sulla protezione dei dati
personali, in particolare mediante notificazione, deferimento dei reclami,
assistenza alle indagini e scambio di informazioni, fatte salve garanzie
adeguate per la protezione dei dati personali e gli altri diritti e libertà
fondamentali; c) coinvolgere le parti interessate
pertinenti in discussioni e attività dirette a promuovere la cooperazione
internazionale nell’applicazione della legislazione sulla protezione dei dati
personali; d) promuovere lo scambio e la documentazione
delle legislazioni e pratiche in materia di protezione dei dati personali. 2. Ai fini del paragrafo 1, la
Commissione adotta le misure appropriate per intensificare i rapporti con quei
paesi terzi e quelle organizzazioni internazionali, in particolare le loro
autorità di controllo, per cui abbia deciso che garantiscono un livello
adeguato di protezione ai sensi dell’articolo 41, paragrafo 3. CAPO VI
AUTORITÀ DI CONTROLLO INDIPENDENTI SEZIONE 1
INDIPENDENZA Articolo 46
Autorità di controllo 1. Ogni Stato membro dispone che
una o più autorità pubbliche siano incaricate di sorvegliare l’applicazione del
presente regolamento e di contribuire alla sua coerente applicazione in tutta
l’Unione, al fine di tutelare i diritti e le libertà fondamentali delle persone
fisiche con riguardo al trattamento dei dati personali e di agevolare la libera
circolazione dei dati personali all’interno dell’Unione. A tale scopo le
autorità di controllo cooperano tra loro e con la Commissione. 2. Qualora in uno Stato membro
siano istituite più autorità di controllo, detto Stato membro designa
l’autorità di controllo che funge da punto di contatto unico per l’effettiva
partecipazione di tali autorità al comitato europeo per la protezione dei dati
e stabilisce il meccanismo in base al quale le altre autorità si conformano
alle norme relative al meccanismo di coerenza di cui all’articolo 57. 3. Ogni Stato membro notifica
alla Commissione le disposizioni di legge adottate ai sensi del presente capo
entro la data di cui all’articolo 91, paragrafo 2, e comunica senza ritardo
ogni successiva modifica. Articolo 47
Indipendenza 1. L’autorità di controllo
esercita le sue funzioni e i suoi poteri in piena indipendenza. 2. Nell’adempimento delle loro
funzioni i membri dell’autorità di controllo non sollecitano né accettano
istruzioni da alcuno. 3. Per tutta la durata del
mandato, i membri dell’autorità di controllo si astengono da qualunque azione
incompatibile con le loro funzioni e non possono esercitare alcuna altra
attività professionale incompatibile, remunerata o meno. 4. Al termine del mandato i
membri dell’autorità di controllo agiscono con integrità e discrezione
nell’accettazione di nomine e altri benefici. 5. Ogni Stato membro provvede
affinché l’autorità di controllo sia dotata di risorse umane, tecniche e
finanziarie adeguate, dei locali e delle infrastrutture necessarie per
l’effettivo esercizio delle sue funzioni e dei suoi poteri, compresi quelli
nell’ambito dell’assistenza reciproca, della cooperazione e della
partecipazione al comitato europeo per la protezione dei dati. 6. Ogni Stato membro provvede
affinché l’autorità di controllo abbia il proprio personale, nominato dal
responsabile dell’autorità di controllo e soggetto alla direzione di
quest’ultimo. 7. Gli Stati membri garantiscono
che l’autorità di controllo sia soggetta a un controllo finanziario che non ne
pregiudichi l’indipendenza. Gli Stati membri garantiscono che l’autorità di
controllo disponga di bilanci annuali separati. I bilanci sono pubblicati. Articolo 48
Condizioni generali per i membri dell’autorità di controllo 1. Ogni Stato membro dispone che
a nominare i membri dell’autorità di controllo debba essere il proprio
parlamento o governo. 2. I membri sono scelti tra
personalità che offrono ogni garanzia di indipendenza e che possiedono
un’esperienza e competenze notorie per l’esercizio delle loro funzioni, in particolare
nel settore della protezione dei dati personali. 3. Il mandato dei membri cessa
alla scadenza del termine o in caso di dimissioni o di provvedimento d’ufficio,
a norma del paragrafo 5. 4. I membri possono essere
rimossi o privati del diritto a pensione o di altri vantaggi sostitutivi
dall’autorità giurisdizionale nazionale competente qualora non siano più in
possesso dei requisiti necessari per l’esercizio delle loro funzioni o abbiano
commesso una colpa grave. 5. Allo scadere del mandato o
qualora rassegni le sue dimissioni, il membro continua a esercitare le sue
funzioni fino alla nomina di un nuovo membro. Articolo 49
Norme sull’istituzione dell’autorità di controllo Ogni Stato membro prevede con legge, nei
limiti del presente regolamento: a) l’istituzione e lo status dell’autorità
di controllo; b) le qualifiche, l’esperienza e le
competenze richieste per l’esercizio delle funzioni di membro dell’autorità di
controllo; c) le norme e le procedure per la nomina dei
membri dell’autorità di controllo, e le norme sulle attività o professioni incompatibili
con le loro funzioni; d) la durata del mandato dei membri
dell’autorità di controllo, che non può essere inferiore a quattro anni, salvo
per le prime nomine dopo l’entrata in vigore del presente regolamento, alcune
delle quali possono avere una durata inferiore qualora ciò sia necessario per
tutelare l’indipendenza dell’autorità di controllo mediante una procedura di
nomina scaglionata; e) l’eventuale rinnovabilità del mandato dei
membri dell’autorità di controllo; f) le regole e le condizioni comuni che
disciplinano le funzioni dei membri e del personale dell’autorità di controllo; g) le norme e le procedure relative alla
cessazione delle funzioni dei membri dell’autorità di controllo, anche per il
caso in cui non siano più in possesso dei requisiti necessari per l’esercizio
delle loro funzioni o abbiano commesso una colpa grave. Articolo 50
Segreto professionale Durante e dopo il mandato i membri e il
personale dell’autorità di controllo sono tenuti al segreto professionale in
merito alle informazioni riservate cui hanno avuto accesso nell’esercizio delle
loro funzioni. SEZIONE 2
FUNZIONI E POTERI Articolo 51
Competenza 1. Ogni autorità di controllo
esercita, nel territorio del suo Stato membro, i poteri di cui gode a norma del
presente regolamento. 2. Qualora il trattamento dei
dati personali abbia luogo nell’ambito delle attività di uno stabilimento di un
responsabile del trattamento o incaricato del trattamento nell’Unione, e il
responsabile del trattamento o l’incaricato del trattamento sia stabilito in
più Stati membri, l’autorità competente dello stabilimento principale del
responsabile del trattamento o dell’incaricato del trattamento è competente per
il controllo delle attività di trattamento del responsabile del trattamento o
dell’incaricato del trattamento in tutti gli Stati membri, fatte salve le
disposizioni di cui al capo VII del presente regolamento. 3. L’autorità di controllo non è
competente per il controllo dei trattamenti effettuati dalle autorità
giurisdizionali nell’esercizio delle loro funzioni giurisdizionali. Articolo 52
Funzioni 1. L’autorità di controllo: a) sorveglia e garantisce l’applicazione del
presente regolamento; b) tratta i reclami proposti dagli
interessati o da associazioni che li rappresentano ai sensi dell’articolo 73,
svolge le indagini opportune e informa l’interessato o l’associazione dello
stato e dell’esito del reclamo entro un termine ragionevole, in particolare ove
siano necessarie ulteriori indagini o un coordinamento con un’altra autorità di
controllo; c) scambia le informazioni con le altre
autorità di controllo, presta assistenza reciproca e garantisce l’applicazione
e l’attuazione coerente del presente regolamento; d) svolge indagini di propria iniziativa oppure
a seguito di un reclamo o su richiesta di un’altra autorità di controllo, ed
entro un termine ragionevole ne comunica l’esito all’interessato che abbia
proposto reclamo alla sua autorità di controllo; e) sorveglia gli sviluppi che presentano un
interesse, se ed in quanto incidenti sulla protezione dei dati personali, in
particolare l’evoluzione delle tecnologie dell’informazione e della comunicazione
e le pratiche commerciali; f) è consultata dalle istituzioni e dagli
organismi degli Stati membri in merito alle misure legislative e amministrative
relative alla tutela dei diritti e delle libertà delle persone fisiche con
riguardo al trattamento dei dati personali; g) autorizza i trattamenti di cui
all’articolo 34 ed è consultata al riguardo; h) esprime un parere sui progetti di codici
di condotta ai sensi dell’articolo 38, paragrafo 2; i) approva le norme vincolanti d’impresa ai
sensi dell’articolo 43; j) partecipa alle attività del comitato
europeo per la protezione dei dati. 2. Ogni autorità di controllo
promuove la sensibilizzazione del pubblico ai rischi, alle norme, alle garanzie
e ai diritti relativi al trattamento dei dati personali. Sono oggetto di
particolare attenzione le attività destinate specificamente ai minori. 3. L’autorità di controllo, su richiesta,
consiglia l’interessato in merito all’esercizio dei diritti derivanti dal
presente regolamento e, se del caso, coopera a tal fine con le autorità di controllo
di altri Stati membri. 4. L’autorità di controllo
fornisce un modulo compilabile elettronicamente per la proposizione dei reclami
di cui al paragrafo 1, lettera b), senza escludere altri mezzi di
comunicazione. 5. L’autorità di controllo
svolge le proprie funzioni senza spese per l’interessato. 6. Qualora le richieste siano
manifestamente eccessive, in particolare per il carattere ripetitivo,
l’autorità di controllo può esigere un contributo spese o non effettuare quanto
richiesto dall’interessato. Incombe all’autorità di controllo dimostrare il
carattere manifestamente eccessivo della richiesta. Articolo 53
Poteri 1. Ogni autorità di controllo ha
il potere di: a) notificare al responsabile del
trattamento o all’incaricato del trattamento le asserite violazioni delle
disposizioni sul trattamento dei dati personali e, all’occorrenza, ingiungere
al responsabile del trattamento o all’incaricato del trattamento di porre
rimedio alle violazioni con misure specifiche, al fine di migliorare la
protezione degli interessati; b) ingiungere al responsabile del
trattamento o all’incaricato del trattamento di soddisfare le richieste
dell’interessato di esercitare i diritti derivanti dal presente regolamento; c) ingiungere al responsabile del
trattamento e all’incaricato del trattamento e, se del caso, al rappresentante
di fornirgli ogni informazione utile per l’esercizio delle sue funzioni; d) assicurare il rispetto dell’obbligo di
autorizzazione preventiva e di consultazione preventiva di cui all’articolo 34; e) rivolgere avvertimenti o moniti al
responsabile del trattamento o all’incaricato del trattamento; f) ordinare la rettifica, la cancellazione
o la distruzione di tutti i dati trattati in violazione delle disposizioni del
presente regolamento e la notificazione di tali misure ai terzi cui sono stati
trasmessi i dati; g) vietare trattamenti, a titolo provvisorio
o definitivo; h) sospendere la circolazione dei dati verso
un destinatario in un paese terzo o un’organizzazione internazionale; i) esprimere pareri su questioni
riguardanti la protezione dei dati personali; j) informare i parlamenti nazionali, i
governi o altre istituzioni politiche, nonché il pubblico, di qualunque
questione riguardante la protezione dei dati personali. 2. Ogni autorità di controllo
dispone dei poteri investigativi necessari per ottenere dal responsabile del
trattamento o dall’incaricato del trattamento: a) l’accesso a tutti i dati personali e a
tutte le informazioni necessarie per l’esercizio delle sue funzioni; b) l’accesso a tutti i locali, compresi
tutti gli strumenti e mezzi di trattamento dei dati, se si può ragionevolmente
supporre che vi è in corso un’attività contraria al presente regolamento. I poteri di cui alla lettera b) sono esercitati
conformemente al diritto dell’Unione e degli Stati membri. 3. Ogni autorità di controllo ha
il diritto di agire in sede giudiziale o stragiudiziale in caso di violazione
del presente regolamento, in particolare ai sensi dell’articolo 74, paragrafo 4,
e dell’articolo 75, paragrafo 2. 4. Ogni autorità di controllo ha
il potere di sanzionare gli illeciti amministrativi, in particolare quelli di
cui all’articolo 79, paragrafi 4, 5 e 6. Articolo 54
Relazione di attività Ogni autorità di controllo elabora una
relazione annuale sulla propria attività. La relazione è trasmessa al
parlamento nazionale ed è messa a disposizione del pubblico, della Commissione
e del comitato europeo per la protezione dei dati. CAPO VII COOPERAZIONE E COERENZA Sezione 1
Cooperazione Articolo 55
Assistenza reciproca 1. Le autorità di controllo si
trasmettono le informazioni utili e si prestano assistenza reciproca al fine di
attuare e applicare il presente regolamento in maniera coerente, e prendono
misure per cooperare efficacemente tra loro. L’assistenza reciproca comprende,
in particolare, le richieste di informazioni e le misure di controllo, quali le
richieste di autorizzazione preventiva e di consultazione preventiva, le
ispezioni e la comunicazione rapida dell’apertura di casi e dei loro sviluppi
qualora i trattamenti possano riguardare interessati in più Stati membri. 2. Ogni
autorità di controllo prende tutte le misure opportune necessarie per dare
seguito alle richieste delle altre autorità di controllo senza ritardo, al più
tardi entro un mese dal ricevimento della richiesta. Tali misure possono
consistere, in particolare, nella trasmissione di informazioni utili
sull’andamento di un’indagine o dirette a far cessare o vietare i trattamenti
contrari al presente regolamento. 3. La richiesta di assistenza
contiene tutte le informazioni necessarie, compresi lo scopo e i motivi della
richiesta. Le informazioni scambiate sono utilizzate ai soli fini per cui sono
state richieste. 4. L’autorità di controllo cui è
presentata una richiesta di assistenza non può rifiutare di darvi seguito,
salvo che: a) non sia competente per trattarla, oppure b) l’intervento richiesto sia incompatibile
con le disposizioni del presente regolamento. 5. L’autorità di controllo
richiesta informa l’autorità di controllo richiedente dell’esito o, se del
caso, dei progressi o delle misure prese per rispondere alla sua richiesta. 6. Le autorità di controllo
forniscono al più presto e per via elettronica, con modulo standard, le
informazioni richieste da altre autorità di controllo. 7. Non è imposta alcuna spesa
per le misure prese a seguito di una richiesta di assistenza reciproca. 8. Qualora l’autorità di
controllo non dia seguito alla richiesta di un’altra autorità di controllo
entro un mese, l’autorità di controllo richiedente è competente a prendere
misure provvisorie nel territorio del suo Stato membro ai sensi dell’articolo 51,
paragrafo 1, e sottopone la questione al comitato europeo per la protezione dei
dati conformemente alla procedura di cui all’articolo 57. 9. L’autorità di controllo
specifica il periodo di validità delle misure provvisorie. Detto periodo non
può essere superiore a tre mesi. L’autorità di controllo comunica senza ritardo
tali misure, debitamente motivate, al comitato europeo per la protezione dei
dati e alla Commissione. 10. La Commissione può specificare
il formato e le procedure per l’assistenza reciproca di cui al presente
articolo e le modalità per lo scambio di informazioni per via elettronica tra
autorità di controllo e tra le autorità di controllo e il comitato europeo per
la protezione dei dati, in particolare il modulo standard di cui al paragrafo 6.
Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui
all’articolo 87, paragrafo 2. Articolo
56
Operazioni congiunte delle autorità di controllo 1. Per potenziare la
cooperazione e l’assistenza reciproca, le autorità di controllo possono svolgere
indagini congiunte, mettere in atto misure di contrasto congiunte e condurre
altre operazioni congiunte in cui sono coinvolti membri o personale designato
di autorità di controllo di altri Stati membri. 2. Nell’eventualità
che il trattamento riguardi interessati in più Stati membri, l’autorità di
controllo di ogni Stato membro in questione ha il diritto di partecipare alle
indagini congiunte o alle operazioni congiunte, a seconda del caso. L’autorità
di controllo competente invita l’autorità di controllo di ogni Stato membro in
questione a partecipare all’indagine congiunta o all’operazione congiunta, e
risponde senza ritardo alle richieste di partecipazione delle autorità di
controllo. 3. L’autorità di controllo che
ospiti un’operazione congiunta può, nel rispetto della legislazione nazionale e
con l’autorizzazione dell’autorità di controllo ospitata, conferire poteri
esecutivi, anche d’indagine, ai membri o al personale dell’autorità di
controllo ospitata che partecipano all’operazione congiunta, o consentire a
detti membri o personale, ove la propria legislazione nazionale lo consenta, di
esercitare i loro poteri esecutivi in conformità della legislazione nazionale
dell’autorità di controllo ospitata. Tali poteri esecutivi possono essere
esercitati unicamente sotto il controllo e, di norma, in presenza di membri o
personale dell’autorità di controllo ospite. I membri o il personale
dell’autorità di controllo ospitata sono soggetti alla legislazione nazionale
dell’autorità di controllo ospite. Quest’ultima risponde del loro operato. 4. Le autorità di controllo
stabiliscono gli aspetti pratici delle specifiche azioni di cooperazione. 5. Qualora un’autorità di
controllo non si conformi entro un mese all’obbligo di cui al paragrafo 2, le
altre autorità di controllo sono competenti a prendere misure provvisorie nel
territorio del loro Stato membro ai sensi dell’articolo 51, paragrafo 1. 6. L’autorità di controllo
specifica il periodo di validità delle misure provvisorie di cui al paragrafo 5.
Detto periodo non può essere superiore a tre mesi. L’autorità di controllo
comunica senza ritardo tali misure, debitamente motivate, al comitato europeo
per la protezione dei dati e alla Commissione, e sottopone la questione
nell’ambito del meccanismo di cui all’articolo 57. Sezione 2
Coerenza Articolo 57
Meccanismo di coerenza Ai fini di cui all’articolo 46, paragrafo 1,
le autorità di controllo cooperano tra loro e con la Commissione nell’ambito
del meccanismo di coerenza specificato nella presente sezione. Articolo 58
Parere del comitato europeo per la protezione dei dati 1. Prima di adottare una misura
di cui al paragrafo 2, l’autorità di controllo comunica il progetto di misura
al comitato europeo per la protezione dei dati e alla Commissione. 2. L’obbligo di cui al paragrafo
1 si applica alle misure destinate a produrre effetti giuridici e che: a) riguardano attività di trattamento
finalizzate all’offerta di beni o servizi a interessati in più Stati membri o
al controllo del loro comportamento, oppure b) possono incidere significativamente sulla
libera circolazione dei dati personali all’interno dell’Unione, oppure c) sono finalizzate a stabilire un elenco di
trattamenti soggetti a consultazione preventiva ai sensi dell’articolo 34,
paragrafo 5, oppure d) sono finalizzate a determinare clausole
tipo di protezione dei dati ai sensi dell’articolo 42, paragrafo 2, lettera c),
oppure e) sono finalizzate ad autorizzare clausole
contrattuali ai sensi dell’articolo 42, paragrafo 2, lettera d), oppure f) sono finalizzate ad approvare norme
vincolanti d’impresa ai sensi dell’articolo 43. 3. Ogni autorità di controllo o
il comitato europeo per la protezione dei dati può chiedere che una questione
sia trattata nell’ambito del meccanismo di coerenza, in particolare qualora
un’autorità di controllo non comunichi un progetto relativo a una misura di cui
al paragrafo 2 o non si conformi agli obblighi relativi all’assistenza
reciproca ai sensi dell’articolo 55 o alle operazioni congiunte ai sensi
dell’articolo 56. 4. Al fine di garantire
l’applicazione corretta e coerente del presente regolamento, la Commissione può
chiedere che una questione sia trattata nell’ambito del meccanismo di coerenza.
5. Le autorità di controllo e la
Commissione comunicano per via elettronica, con modulo standard, tutte le
informazioni utili, in particolare, a seconda del caso, una sintesi dei fatti,
il progetto di misura e i motivi che la rendono necessaria. 6. Il presidente del comitato
europeo per la protezione dei dati informa immediatamente per via elettronica,
con modulo standard, i membri del comitato europeo per la protezione dei dati e
la Commissione di tutte le informazioni utili che gli sono state comunicate. Se
necessario, fornisce una traduzione delle informazioni. 7. Se i
suoi membri lo decidono a maggioranza semplice, o su richiesta di un’autorità
di controllo, il comitato europeo per la protezione dei dati esprime un parere
sulla questione entro una settimana dalla comunicazione delle informazioni
utili ai sensi del paragrafo 5. Il parere è adottato entro un mese a
maggioranza semplice dei membri del comitato europeo per la protezione dei
dati. Il presidente del comitato europeo per la protezione dei dati informa del
parere, senza ingiustificato ritardo, l’autorità di controllo di cui al paragrafo
1 o al paragrafo 3, a seconda del caso, la Commissione e l’autorità di
controllo competente ai sensi dell’articolo 51, e lo rende pubblico. 8. L’autorità di controllo di
cui al paragrafo 1 e l’autorità di controllo competente ai sensi dell’articolo 51
tengono conto del parere del comitato europeo per la protezione dei dati e,
entro due settimane dacché il presidente del comitato europeo per la protezione
dei dati le ha informate del parere, comunicano per via elettronica, con modulo
standard, a detto presidente e alla Commissione se mantengono o se modificano
il progetto di misura e, se del caso, il progetto di misura modificato. Articolo 59
Parere della Commissione 1. Entro dieci settimane dacché
è stata sollevata una questione ai sensi dell’articolo 58, o entro sei
settimane nel caso di cui all’articolo 61, la Commissione può adottare un
parere sulla questione sollevata ai sensi degli articoli 58 o 61 al fine di
garantire l’applicazione corretta e coerente del presente regolamento. 2. Qualora la Commissione abbia
adottato un parere ai sensi del paragrafo 1, l’autorità di controllo in
questione lo tiene nella massima considerazione e informa la Commissione e il
comitato europeo per la protezione dei dati della sua intenzione di mantenere o
modificare il progetto di misura. 3. Durante il periodo di cui al
paragrafo 1, l’autorità di controllo si astiene dall’adottare il progetto di
misura. 4. Qualora non intenda
conformarsi al parere della Commissione, l’autorità di controllo ne informa la
Commissione e il comitato europeo per la protezione dei dati entro il termine
di cui al paragrafo 1, motivando la sua decisione. In tal caso il progetto di
misura non può essere adottato per un ulteriore periodo di un mese. Articolo 60
Sospensione di un progetto di misura 1. Qualora dubiti seriamente che
il progetto di misura garantisca la corretta applicazione del presente
regolamento e rischi invece di portare a una sua applicazione non coerente, la
Commissione, entro un mese dalla comunicazione di cui all’articolo 59, paragrafo
4, può adottare una decisione motivata e ingiungere all’autorità di controllo
di sospendere l’adozione del progetto di misura, tenuto conto del parere reso
dal comitato europeo per la protezione dei dati ai sensi dell’articolo 58,
paragrafo 7, o dell’articolo 61, paragrafo 2, qualora tale sospensione risulti
necessaria per: a) conciliare le posizioni divergenti
dell’autorità di controllo e del comitato europeo per la protezione dei dati,
ove tale conciliazione appaia ancora possibile, oppure b) adottare una misura ai sensi
dell’articolo 62, paragrafo 1, lettera a). 2. La Commissione specifica la
durata della sospensione, che non può essere superiore a dodici mesi. 3. Durante il periodo di cui al
paragrafo 2, l’autorità di controllo si astiene dall’adottare il progetto di
misura. Articolo 61
Procedura d’urgenza 1. In circostanze eccezionali,
qualora ritenga che urga intervenire per tutelare gli interessi degli
interessati, in particolare quando sussiste il pericolo che l’esercizio di un
diritto possa essere gravemente ostacolato da un cambiamento della situazione
esistente, oppure per evitare importanti inconvenienti o per altri motivi,
l’autorità di controllo può, in deroga alla procedura di cui all’articolo 58,
prendere misure provvisorie immediate con un periodo di validità determinato.
L’autorità di controllo comunica senza ritardo tali misure, debitamente
motivate, al comitato europeo per la protezione dei dati e alla Commissione. 2. Qualora abbia preso una
misura ai sensi del paragrafo 1 e ritenga che sia urgente prendere misure
definitive, l’autorità di controllo può chiedere un parere d’urgenza al
comitato europeo per la protezione dei dati, motivando la richiesta, in
particolare l’urgenza di misure definitive. 3. Ogni autorità di controllo
può chiedere un parere d’urgenza qualora l’autorità di controllo competente non
abbia preso misure adeguate in una situazione in cui urge intervenire per
tutelare gli interessi degli interessati, motivando la richiesta, in
particolare l’urgenza dell’intervento. 4. In deroga all’articolo 58,
paragrafo 7, il parere d’urgenza di cui ai paragrafi 2 e 3 è adottato entro due
settimane a maggioranza semplice dei membri del comitato europeo per la
protezione dei dati. Articolo 62
Atti di esecuzione 1. La Commissione può adottare
atti di esecuzione per: a) decidere in merito alla corretta
applicazione del presente regolamento, conformemente ai suoi obiettivi e
requisiti, in relazione alle questioni sollevate dalle autorità di controllo ai
sensi dell’articolo 58 o dell’articolo 61, a una questione per la quale è stata
adottata una decisione motivata ai sensi dell’articolo 60, paragrafo 1, o a una
questione per la quale un’autorità di controllo non ha comunicato un progetto
di misura e ha indicato che non intende conformarsi al parere adottato dalla
Commissione ai sensi dell’articolo 59; b) decidere, entro il termine di cui
all’articolo 59, paragrafo 1, sulla validità generale di progetti di clausole
tipo di protezione dei dati ai sensi dell’articolo 58, paragrafo 2, lettera
d); c) specificare il formato e le procedure per
l’applicazione del meccanismo di coerenza di cui alla presente sezione; d) specificare le modalità per lo scambio di
informazioni per via elettronica tra autorità di controllo e tra le autorità di
controllo e il comitato europeo per la protezione dei dati, in particolare il
modulo standard di cui all’articolo 58, paragrafi 5, 6 e 8. Tali atti di esecuzione sono adottati secondo la
procedura d’esame di cui all’articolo 87, paragrafo 2. 2. Per motivi imperativi
d’urgenza debitamente giustificati, connessi agli interessi degli interessati
nei casi di cui al paragrafo 1, lettera a), la Commissione adotta atti di
esecuzione immediatamente applicabili conformemente alla procedura di cui
all’articolo 87, paragrafo 3. Tali atti rimangono in vigore per un periodo non
superiore a dodici mesi. 3. L’adozione o meno di una
misura ai sensi della presente sezione lascia impregiudicata la possibilità per
la Commissione di adottare altre misure in virtù dei trattati. Articolo 63
Esecuzione 1. Ai fini del presente
regolamento, le misure esecutive adottate dall’autorità di controllo di uno
Stato membro sono eseguite in tutti gli Stati membri interessati. 2. Qualora un’autorità di
controllo ometta di comunicare un progetto di misura nell’ambito del meccanismo
di coerenza in violazione dell’articolo 58, paragrafi da 1 a 5, la misura
dell’autorità di controllo è priva di validità giuridica e di carattere
esecutivo. Sezione 3
Comitato europeo per la protezione dei dati Articolo 64
Comitato europeo per la protezione dei dati 1. È istituito un comitato
europeo per la protezione dei dati. 2. Il comitato europeo per la
protezione dei dati è composto dal responsabile di un’autorità di controllo di
ciascuno Stato membro e dal garante europeo della protezione dei dati. 3. Qualora, in uno Stato membro,
più autorità di controllo siano incaricate di sorvegliare l’applicazione delle
disposizioni del presente regolamento, queste nominano a rappresentante comune
un loro responsabile. 4. La Commissione ha il diritto
di partecipare alle attività e alle riunioni del comitato europeo per la
protezione dei dati e designa un rappresentante. Il presidente del comitato
europeo per la protezione dei dati informa senza ritardo la Commissione di tutte
le attività del comitato europeo per la protezione dei dati. Articolo 65
Indipendenza 1. Nell’esercizio dei suoi
compiti ai sensi degli articoli 66 e 67, il comitato europeo per la protezione
dei dati opera con indipendenza. 2. Fatte salve le richieste
della Commissione di cui all’articolo 66, paragrafo 1, lettera b), e
all’articolo 66, paragrafo 2, nell’esercizio dei suoi compiti il comitato
europeo per la protezione dei dati non sollecita né accetta istruzioni da
alcuno. Articolo 66
Compiti del comitato europeo per la protezione dei dati 1. Il comitato europeo per la
protezione dei dati garantisce l’applicazione coerente del presente
regolamento. A tal fine, di propria iniziativa o su richiesta della
Commissione: a) consiglia la Commissione in merito a
qualsiasi questione relativa al trattamento dei dati personali nell’Unione,
comprese eventuali proposte di modifica del presente regolamento; b) esamina, di propria iniziativa o su
richiesta di uno dei suoi membri o della Commissione, qualsiasi questione
relativa all’applicazione del presente regolamento e pubblica linee direttrici,
raccomandazioni e migliori pratiche destinate alle autorità di controllo al
fine di promuovere l’applicazione coerente del presente regolamento; c) valuta l’applicazione pratica delle linee
direttrici, raccomandazioni e migliori pratiche di cui alla lettera b),
riferendo regolarmente alla Commissione; d) esprime pareri sui progetti di decisione
delle autorità di controllo conformemente al meccanismo di coerenza di cui
all’articolo 57; e) promuove la cooperazione e l’effettivo
scambio di informazioni e pratiche tra le autorità di controllo a livello
bilaterale e multilaterale; f) promuove programmi comuni di formazione
e facilita lo scambio di personale tra le autorità di controllo e, se del caso,
con le autorità di controllo di paesi terzi o di organizzazioni internazionali;
g) promuove lo scambio di conoscenze e
documentazione sulla legislazione e sulle pratiche in materia di protezione dei
dati tra autorità di controllo di tutto il mondo. 2. Qualora chieda consulenza al
comitato europeo per la protezione dei dati, la Commissione può fissare un
termine entro il quale questo deve rispondere alla richiesta, tenuto conto
dell’urgenza della questione. 3. Il comitato europeo per la
protezione dei dati trasmette pareri, linee direttrici, raccomandazioni e
migliori pratiche alla Commissione e al comitato di cui all’articolo 87, e li
pubblica. 4. La Commissione informa il
comitato europeo per la protezione dei dati del seguito dato ai suoi pareri,
linee direttrici, raccomandazioni e migliori pratiche. Articolo 67
Relazioni 1. Il comitato europeo per la
protezione dei dati informa tempestivamente e regolarmente la Commissione
dell’esito delle proprie attività. Redige una relazione annuale sullo stato
della tutela delle persone fisiche con riguardo al trattamento dei dati
personali nell’Unione e nei paesi terzi. La relazione include la valutazione
dell’applicazione pratica delle linee direttrici, raccomandazioni e migliori
pratiche di cui all’articolo 66, paragrafo 1, lettera c). 2. La relazione è pubblicata e
trasmessa al Parlamento europeo, al Consiglio e alla Commissione. Articolo 68
Procedura 1. Il comitato europeo per la
protezione dei dati decide a maggioranza semplice dei suoi membri. 2. Il comitato europeo per la
protezione dei dati adotta il proprio regolamento interno e fissa le modalità
del proprio funzionamento. In particolare, adotta disposizioni concernenti la
continuazione dell’esercizio delle funzioni in caso di scadenza del mandato di
un membro o di sue dimissioni, la creazione di sottogruppi per questioni o
settori specifici e la procedura applicabile nell’ambito del meccanismo di
coerenza di cui all’articolo 57. Articolo 69
Presidenza 1. Il comitato europeo per la
protezione dei dati elegge un presidente e due vicepresidenti tra i suoi
membri. Uno dei vicepresidenti è il garante europeo della protezione dei dati,
salvo che sia stato eletto presidente. 2. Il presidente e i
vicepresidenti hanno un mandato di cinque anni, rinnovabile. Articolo 70
Compiti del presidente 1. Il presidente ha il compito
di: a) convocare le riunioni del comitato
europeo per la protezione dei dati e stabilirne l’ordine del giorno; b) garantire l’adempimento dei compiti del
comitato europeo per la protezione dei dati, in particolare in relazione al
meccanismo di coerenza di cui all’articolo 57. 2. Il comitato europeo per la
protezione dei dati fissa nel proprio regolamento interno la ripartizione dei
compiti tra presidente e vicepresidenti. Articolo 71
Segreteria 1. Il comitato europeo per la
protezione dei dati dispone di una segreteria. Alle funzioni di segreteria
provvede il garante europeo della protezione dei dati. 2. La segreteria, sotto la
direzione del presidente, presta assistenza analitica, amministrativa e
logistica al comitato europeo per la protezione dei dati. 3. La segreteria è incaricata in
particolare: a) della gestione ordinaria del comitato
europeo per la protezione dei dati; b) della comunicazione tra i membri del
comitato europeo per la protezione dei dati, il suo presidente e la
Commissione, e della comunicazione con le altre istituzioni e il pubblico; c) dell’uso di mezzi elettronici per la
comunicazione interna ed esterna; d) della traduzione delle informazioni
rilevanti; e) della preparazione delle riunioni del
comitato europeo per la protezione dei dati e del relativo seguito; f) della preparazione, redazione e
pubblicazione dei pareri e di altri testi adottati dal comitato europeo per la
protezione dei dati. Articolo 72
Riservatezza 1. Le deliberazioni del comitato
europeo per la protezione dei dati hanno carattere riservato. 2. I documenti trasmessi ai
membri del comitato europeo per la protezione dei dati, agli esperti e ai
rappresentanti di terzi sono riservati, tranne qualora sia stato concesso
l’accesso a tali documenti a norma del regolamento (CE) n. 1049/2001 o il
comitato europeo per la protezione dei dati li abbia resi pubblici in altro
modo. 3. I membri del comitato europeo
per la protezione dei dati nonché gli esperti e i rappresentanti di terzi sono
tenuti a rispettare gli obblighi di riservatezza stabiliti al presente
articolo. Il presidente si assicura che gli esperti e i rappresentanti di terzi
siano messi a conoscenza degli obblighi di riservatezza cui sono tenuti. CAPO VIII RICORSI, RESPONSABILITÀ E SANZIONI Articolo 73
Diritto di proporre reclamo all’autorità di controllo 1. Fatto salvo ogni altro
ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il
trattamento dei suoi dati personali non sia conforme al presente regolamento ha
il diritto di proporre reclamo all’autorità di controllo di qualunque Stato
membro. 2. Ogni organismo,
organizzazione o associazione che tuteli i diritti e gli interessi degli
interessati in relazione alla protezione dei loro dati personali e che sia
debitamente costituito o costituita secondo la legislazione di uno Stato membro
ha il diritto di proporre reclamo all’autorità di controllo di qualunque Stato
membro per conto di uno o più interessati qualora ritenga che siano stati
violati diritti derivanti dal presente regolamento a seguito del trattamento di
dati personali. 3. Indipendentemente
dall’eventuale reclamo dell’interessato, ogni organismo, organizzazione o
associazione di cui al paragrafo 2 che ritenga che sussista violazione dei dati
personali ha il diritto di proporre reclamo all’autorità di controllo di
qualunque Stato membro. Articolo 74
Diritto a un ricorso giurisdizionale contro l’autorità di controllo 1. Ogni persona fisica o
giuridica ha il diritto di proporre ricorso giurisdizionale avverso le
decisioni dell’autorità di controllo che la riguardano. 2. Ogni interessato ha il
diritto di proporre ricorso giurisdizionale per obbligare l’autorità di
controllo a dare seguito a un reclamo qualora tale autorità non abbia preso una
decisione necessaria per tutelarne i diritti o non lo abbia informato entro tre
mesi dello stato o dell’esito del reclamo ai sensi dell’articolo 52, paragrafo 1,
lettera b). 3. Le azioni contro l’autorità
di controllo sono promosse dinanzi alle autorità giurisdizionali dello Stato
membro in cui l’autorità di controllo è stabilita. 4. L’interessato che abbia
formato oggetto di una decisione dell’autorità di controllo di uno Stato membro
diverso da quello in cui risiede abitualmente può chiedere all’autorità di
controllo dello Stato membro in cui risiede abitualmente di agire in giudizio
per suo conto nell’altro Stato membro nei confronti dell’autorità di controllo
competente. 5. Gli Stati membri eseguono le
decisioni definitive delle autorità giurisdizionali di cui al presente
articolo. Articolo 75
Diritto a un ricorso giurisdizionale contro il responsabile del trattamento
o l’incaricato del trattamento 1. Fatto salvo ogni altro
ricorso amministrativo disponibile, compreso il diritto di proporre reclamo a
un’autorità di controllo di cui all’articolo 73, chiunque ha il diritto di
proporre ricorso giurisdizionale qualora ritenga che siano stati violati i
diritti di cui gode a norma del presente regolamento in seguito a un
trattamento dei suoi dati personali non conforme al presente regolamento. 2. Le azioni contro il
responsabile del trattamento o l’incaricato del trattamento sono promosse
dinanzi alle autorità giurisdizionali dello Stato membro in cui il responsabile
del trattamento o l’incaricato del trattamento ha uno stabilimento. In
alternativa, tali azioni possono essere promosse dinanzi alle autorità
giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente,
salvo che il responsabile del trattamento sia un’autorità pubblica
nell’esercizio dei pubblici poteri. 3. Qualora nell’ambito del
meccanismo di coerenza di cui all’articolo 58 sia in corso un procedimento
riguardante la stessa misura, decisione o pratica, l’autorità giurisdizionale
può sospendere il procedimento di cui è stata investita, salvo qualora
l’urgenza del caso per la protezione dei diritti dell’interessato non permetta
di aspettare l’esito del procedimento nell’ambito del meccanismo di coerenza. 4. Gli Stati membri eseguono le
decisioni definitive delle autorità giurisdizionali di cui al presente
articolo. Articolo 76
Norme comuni per i procedimenti giurisdizionali 1. Ogni organismo,
organizzazione o associazione di cui all’artico 73, paragrafo 2, ha il diritto
di esercitare i diritti di cui agli articoli 74 e 75 per conto di uno o più
interessati. 2. Ogni autorità di controllo ha
il diritto di agire in sede giudiziale o stragiudiziale per far rispettare le
disposizioni del presente regolamento o garantire la coerenza della protezione
dei dati personali all’interno dell’Unione. 3. L’autorità giurisdizionale
competente di uno Stato membro che abbia fondati motivi di ritenere che in un
altro Stato membro sia in corso un procedimento parallelo contatta l’autorità
giurisdizionale competente dell’altro Stato membro per ottenere conferma
dell’esistenza del procedimento parallelo. 4. Se il procedimento parallelo
nell’altro Stato membro riguarda la stessa misura, decisione o pratica
l’autorità giurisdizionale, può sospendere il procedimento. 5. Gli Stati membri provvedono
affinché i ricorsi giurisdizionali previsti dal diritto nazionale consentano di
prendere rapidamente provvedimenti, anche provvisori, atti a porre fine alle
asserite violazioni e impedire ulteriori danni agli interessi in causa. Articolo 77
Diritto al risarcimento e responsabilità 1. Chiunque subisca un danno
cagionato da un trattamento illecito o da altro atto incompatibile con il
presente regolamento ha il diritto di ottenere il risarcimento del danno dal
responsabile del trattamento o dall’incaricato del trattamento. 2. Qualora il trattamento
coinvolga più responsabili del trattamento o incaricati del trattamento, ogni
responsabile del trattamento o incaricato del trattamento risponde in solido per
l’intero ammontare del danno. 3. Il responsabile del
trattamento o l’incaricato del trattamento può essere esonerato in tutto o in
parte da tale responsabilità se prova che l’evento dannoso non gli è
imputabile. Articolo 78
Sanzioni 1. Gli Stati membri determinano
le sanzioni per violazione delle disposizioni del presente regolamento,
compresa l’omessa designazione del rappresentante a cura del responsabile del
trattamento, e prendono tutti i provvedimenti necessari per la loro
applicazione. Le sanzioni previste devono essere efficaci, proporzionate e
dissuasive. 2. Qualora
il responsabile del trattamento abbia designato un rappresentante, le sanzioni
si applicano al rappresentante, fatte salve le sanzioni applicabili al
responsabile del trattamento. 3. Ogni Stato membro notifica
alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1
entro la data di cui all’articolo 91, paragrafo 2, e comunica senza ritardo
ogni successiva modifica. Articolo 79
Sanzioni amministrative 1. Ogni autorità di controllo è
abilitata a imporre sanzioni amministrative conformemente al presente articolo. 2. La
sanzione amministrativa deve essere efficace, proporzionata e dissuasiva.
L’ammontare è fissato tenuto debito conto della natura, della gravità e della
durata della violazione, del carattere doloso o colposo dell’illecito, del
grado di responsabilità della persona fisica o giuridica, delle precedenti
violazioni da questa commesse, delle misure e procedure tecniche e
organizzative messe in atto ai sensi dell’articolo 23 e del grado di
cooperazione con l’autorità di controllo al fine di porre rimedio alla
violazione. 3. In caso di prima inosservanza
non intenzionale del presente regolamento può essere inviato un avvertimento
scritto, senza l’imposizione di sanzioni, qualora: (a)
una persona fisica tratti dati personali senza un
interesse commerciale, oppure (b)
un’impresa o un’organizzazione con meno di 250
dipendenti tratti dati personali solo accessoriamente rispetto alle attività
principali. 4. L’autorità
di controllo irroga sanzioni amministrative pecuniarie fino a 250 000 EUR
o, per le imprese, fino allo 0,5% del fatturato mondiale annuo, a chiunque, con
dolo o colpa: (a)
non predispone i meccanismi per consentire
all’interessato di presentare richieste o non risponde all’interessato
prontamente o nella forma dovuta, in violazione dell’articolo 12, paragrafi 1 e
2; (b)
fa pagare un contributo spese per le informazioni o
le risposte alle richieste dell’interessato, in violazione dell’articolo 12,
paragrafo 4. 5. L’autorità di controllo
irroga sanzioni amministrative pecuniarie fino a 500 000 EUR o, per le
imprese, fino all’1% del fatturato mondiale annuo, a chiunque, con dolo o
colpa: (a)
non fornisce le informazioni, fornisce informazioni
incomplete o non fornisce le informazioni in modo sufficientemente trasparente
all’interessato, in violazione dell’articolo 11, dell’articolo 12, paragrafo 3,
e dell’articolo 14; (b)
non dà l’accesso all’interessato o non rettifica i
dati personali, in violazione degli articoli 15 e 16, oppure non comunica al
destinatario le informazioni pertinenti, in violazione dell’articolo 13, (c)
non rispetta il diritto all’oblio o alla
cancellazione, omette di predisporre meccanismi che garantiscano il rispetto
dei termini o non prende tutte le misure necessarie per informare i terzi della
richiesta dell’interessato di cancellare tutti i link verso i dati personali,
copiare tali dati o riprodurli, in violazione dell’articolo 17; (d)
non fornisce copia dei dati personali in formato
elettronico oppure impedisce all’interessato di trasmettere i dati personali a
un’altra applicazione, in violazione dell’articolo 18; (e)
omette di determinare o non determina in modo
sufficiente le rispettive responsabilità dei corresponsabili del trattamento,
in violazione dell’articolo 24; (f)
omette di conservare o non conserva in modo sufficiente
la documentazione di cui all’articolo 28, all’articolo 31, paragrafo 4, e
all’articolo 44, paragrafo 3; (g)
nei casi che non riguardano categorie particolari
di dati, non rispetta le norme sulla libertà di espressione o sul trattamento
dei dati nei rapporti di lavoro o le condizioni per il trattamento dei dati
personali per finalità storiche, statistiche e di ricerca scientifica, in
violazione degli articoli 80, 82 e 83. 6. L’autorità di controllo
irroga sanzioni amministrative pecuniarie fino a 1 000 000 EUR
o, per le imprese, fino al 2% del fatturato mondiale annuo, a chiunque, con
dolo o colpa: (a)
tratta dati personali senza una base giuridica o
una base giuridica sufficiente a tal fine o non rispetta le condizioni relative
al consenso, in violazione degli articoli 6, 7 e 8; (b)
tratta categorie particolari di dati, in violazione
degli articoli 9 e 81; (c)
non rispetta il diritto di opposizione o l’obbligo
di cui all’articolo 19; (d)
non rispetta le condizioni relative alle misure
basate sulla profilazione di cui all’articolo 20; (e)
non adotta politiche interne o non attua misure
adeguate per garantire e dimostrare la conformità del trattamento, in violazione
degli articoli 22, 23 e 30; (f)
non designa un rappresentante, in violazione
dell’articolo 25; (g)
tratta o dà istruzione di trattare dati personali
in violazione degli obblighi relativi al trattamento per conto di un
responsabile del trattamento di cui agli articoli 26 e 27; (h)
omette di allertare o notificare all’autorità di
controllo o all’interessato una violazione di dati personali, oppure non la
notifica tempestivamente o integralmente, in violazione degli articoli 31 e 32; (i)
non effettua una valutazione d’impatto sulla
protezione dei dati o tratta dati personali senza l’autorizzazione preventiva o
la consultazione preventiva dell’autorità di controllo, in violazione degli
articoli 33 e 34; (j)
non designa un responsabile della protezione dei
dati o non garantisce le condizioni per l’adempimento dei compiti del
responsabile della protezione dei dati, in violazione degli articoli 35, 36 e 37; (k)
fa un uso illecito di un sigillo o marchio di
protezione dei dati di cui all’articolo 39; (l)
effettua o dà istruzione di effettuare un trasferimento
di dati verso un paese terzo o un’organizzazione internazionale senza che
tale trasferimento sia stato autorizzato da una decisione di adeguatezza, senza
offrire garanzie adeguate o senza che il trasferimento sia previsto da una
deroga, in violazione degli articoli da 40 a 44; (m)
non si conforma a un ordine, a un divieto
provvisorio o definitivo di trattamento o a un ordine di sospensione dei flussi
di dati dell’autorità di controllo, di cui all’articolo 53, paragrafo 1; (n)
non si conforma all’obbligo di prestare assistenza,
rispondere o fornire informazioni utili o l’accesso ai locali all’autorità di
controllo, in violazione dell’articolo 28, paragrafo 3, dell’articolo 29,
dell’articolo 34, paragrafo 6, o dell’articolo 53, paragrafo 2; (o)
non si conforma alle norme di salvaguardia del
segreto professionale di cui all’articolo 84. 7. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
aggiornare l’importo delle sanzioni amministrative pecuniarie di cui ai
paragrafi 4, 5 e 6, tenuto conto dei criteri di cui al paragrafo 2. CAPO IX
DISPOSIZIONI RELATIVE A SPECIFICHE SITUAZIONI DI TRATTAMENTO DEI DATI Articolo 80
Trattamento di dati personali e libertà d’espressione 1. Gli
Stati membri prevedono, per il trattamento dei dati personali effettuato
esclusivamente a scopi giornalistici o di espressione artistica o letteraria,
le esenzioni o le deroghe alle disposizioni concernenti i principi generali di
cui al capo II, i diritti dell’interessato di cui al capo III, il responsabile
del trattamento e l’incaricato del trattamento di cui al capo IV, il
trasferimento di dati personali verso paesi terzi e organizzazioni
internazionali di cui al capo V, le autorità di controllo indipendenti di cui
al capo VI e la cooperazione e la coerenza di cui al capo VII, al fine di
conciliare il diritto alla protezione dei dati personali e le norme sulla
libertà d’espressione. 2. Ogni Stato membro notifica
alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1
entro la data di cui all’articolo 91, paragrafo 2, e comunica senza ritardo
ogni successiva modifica. Articolo 81
Trattamento di dati personali relativi alla salute 1. Nei limiti del presente
regolamento e in conformità dell’articolo 9, paragrafo 2, lettera h), il
trattamento di dati personali relativi alla salute deve essere effettuato sulla
base di disposizioni del diritto dell’Unione o degli Stati membri che prevedano
misure appropriate e specifiche a tutela dei legittimi interessi
dell’interessato, ed essere necessario: a) per finalità di medicina del lavoro,
prevenzione medica, diagnosi, assistenza sanitaria o terapia ovvero gestione
dei servizi sanitari, e quando il trattamento dei medesimi dati è effettuato da
un professionista della sanità vincolato da segreto professionale o altra
persona del pari soggetta a un equivalente obbligo di segretezza ai sensi della
legislazione degli Stati membri o di norme stabilite dagli organismi nazionali
competenti, oppure b) per motivi di interesse pubblico nel
settore della sanità pubblica, quali la protezione da gravi minacce per la
salute a carattere transfrontaliero o la garanzia di parametri elevati di
qualità e sicurezza, tra l’altro dei medicinali e dei dispositivi medici, oppure c) per altri motivi di interesse pubblico in
settori quali la protezione sociale, soprattutto al fine di assicurare la
qualità e l’economicità delle procedure per soddisfare le richieste di
prestazioni e servizi nell’ambito del regime di assicurazione sanitaria. 2. Il trattamento di dati
personali relativi alla salute che risulti necessario per finalità storiche,
statistiche o di ricerca scientifica, come la creazione di registri dei
pazienti per migliorare le diagnosi, distinguere tra tipi simili di malattie e
condurre studi sulle terapie, è soggetto alle condizioni e garanzie di cui
all’articolo 83. 3. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare altri motivi di interesse pubblico nel settore della sanità pubblica
di cui al paragrafo 1, lettera b), e i criteri e i requisiti concernenti le
garanzie per il trattamento dei dati personali per le finalità di cui al
paragrafo 1. Articolo 82
Trattamento dei dati nei rapporti di lavoro 1. Nei limiti del presente
regolamento, gli Stati membri possono adottare con legge norme specifiche per
il trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di
lavoro, in particolare per finalità di assunzione, esecuzione del contratto di
lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da
accordi collettivi, di gestione, pianificazione e organizzazione del lavoro,
salute e sicurezza sul lavoro, e ai fini dell’esercizio e del godimento,
individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché
per finalità di cessazione del rapporto di lavoro. 2. Ogni
Stato membro notifica alla Commissione le disposizioni di legge adottate ai
sensi del paragrafo 1 entro la data di cui all’articolo 91, paragrafo 2, e
comunica senza ritardo ogni successiva modifica. 3. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e i requisiti concernenti le garanzie per il trattamento
dei dati personali per le finalità di cui al paragrafo 1. Articolo 83
Trattamento per finalità storiche, statistiche e di ricerca scientifica 1. Nei limiti del presente
regolamento, i dati personali possono essere trattati per finalità storiche,
statistiche e di ricerca scientifica solo se: a) tali finalità non possono essere
altrimenti conseguite trattando dati che non consentono o non consentono più di
identificare l’interessato; b) i dati che permettono di associare
informazioni a un interessato identificato o identificabile sono conservati
separatamente dalle altre informazioni, nella misura in cui tali finalità
possano essere conseguite in questo modo. 2. Gli
organismi che svolgono ricerche storiche, statistiche o scientifiche possono
pubblicare o divulgare altrimenti al pubblico i dati personali solo se: a) l’interessato
ha espresso il proprio consenso, fatte salve le condizioni di cui all’articolo 7;
b) la pubblicazione dei dati personali è
necessaria per presentare i risultati della ricerca o per facilitarla, nella
misura in cui gli interessi o i diritti o le libertà fondamentali
dell’interessato non prevalgano sull’interesse della ricerca, oppure c) l’interessato ha reso pubblici i dati. 3. Alla Commissione è conferito
il potere di adottare atti delegati conformemente all’articolo 86 al fine di
precisare i criteri e i requisiti concernenti il trattamento dei dati personali
per le finalità di cui ai paragrafi 1 e 2, e ogni limitazione necessaria dei
diritti di informazione e accesso dell’interessato, e di specificare le
condizioni e le garanzie per i diritti dell’interessato in tali circostanze. Articolo 84
Obblighi di segretezza 1. Nei limiti del presente regolamento,
gli Stati membri possono adottare norme specifiche per stabilire i poteri
investigativi delle autorità di controllo di cui all’articolo 53, paragrafo 2,
in relazione ai responsabili del trattamento o agli incaricati del trattamento
che sono soggetti, ai sensi della legislazione nazionale o di norme stabilite
dagli organismi nazionali competenti, al segreto professionale o a un obbligo
di segreto equivalente, ove siano necessarie e proporzionate per conciliare il
diritto alla protezione dei dati personali e l’obbligo di segretezza. Tali
norme si applicano solo ai dati personali che il responsabile del trattamento o
l’incaricato del trattamento ha ricevuto o ha ottenuto nel corso di un’attività
protetta dal segreto professionale. 2. Ogni Stato membro notifica
alla Commissione le norme adottate ai sensi del paragrafo 1 entro la data di
cui all’articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva
modifica. Articolo 85
Norme di protezione dei dati vigenti presso chiese e associazioni religiose 1. Qualora in uno Stato membro
chiese e associazioni o comunità religiose applichino, al momento dell’entrata
in vigore del presente regolamento, corpus completi di norme a tutela delle
persone fisiche con riguardo al trattamento dei dati personali, tali corpus
possono continuare ad applicarsi purché siano conformi alle disposizioni del
presente regolamento. 2. Le chiese e le associazioni
religiose che applicano i corpus completi di norme di cui al paragrafo 1
provvedono a istituire un’autorità di controllo indipendente ai sensi del capo
VI del presente regolamento. CAPO X
ATTI DELEGATI E ATTI DI ESECUZIONE Articolo 86
Esercizio della delega 1. Il potere di adottare atti
delegati è conferito alla Commissione alle condizioni stabilite nel presente
articolo. 2. La delega di potere di cui
all’articolo 6, paragrafo 5, all’articolo 8, paragrafo 3, all’articolo 9,
paragrafo 3, all’articolo 12, paragrafo 5, all’articolo 14, paragrafo 7,
all’articolo 15, paragrafo 3, all’articolo 17, paragrafo 9, all’articolo 20,
paragrafo 6, all’articolo 22, paragrafo 4, all’articolo 23, paragrafo 3,
all’articolo 26, paragrafo 5, all’articolo 28, paragrafo 5, all’articolo 30,
paragrafo 3, all’articolo 31, paragrafo 5, all’articolo 32, paragrafo 5,
all’articolo 33, paragrafo 6, all’articolo 34, paragrafo 8, all’articolo 35,
paragrafo 11, all’articolo 37, paragrafo 2, all’articolo 39, paragrafo 2,
all’articolo 43, paragrafo 3, all’articolo 44, paragrafo 7, all’articolo 79,
paragrafo 6, all’articolo 81, paragrafo 3, all’articolo 82, paragrafo 3 e
all’articolo 83, paragrafo 3, è conferita alla Commissione per un periodo
indeterminato a decorrere dalla data di entrata in vigore del presente
regolamento. 3. La delega di potere di cui
all’articolo 6, paragrafo 5, all’articolo 8, paragrafo 3, all’articolo 9,
paragrafo 3, all’articolo 12, paragrafo 5, all’articolo 14, paragrafo 7,
all’articolo 15, paragrafo 3, all’articolo 17, paragrafo 9, all’articolo 20,
paragrafo 6, all’articolo 22, paragrafo 4, all’articolo 23, paragrafo 3,
all’articolo 26, paragrafo 5, all’articolo 28, paragrafo 5, all’articolo 30,
paragrafo 3, all’articolo 31, paragrafo 5, all’articolo 32, paragrafo 5,
all’articolo 33, paragrafo 6, all’articolo 34, paragrafo 8, all’articolo 35,
paragrafo 11, all’articolo 37, paragrafo 2, all’articolo 39, paragrafo 2,
all’articolo 43, paragrafo 3, all’articolo 44, paragrafo 7, all’articolo 79,
paragrafo 6, all’articolo 81, paragrafo 3, all’articolo 82, paragrafo 3 e
all’articolo 83, paragrafo 3, può essere revocata in qualsiasi momento dal
Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla
delega di potere ivi specificata. Gli effetti della decisione decorrono dal
giorno successivo alla pubblicazione della decisione nella Gazzetta
ufficiale dell’Unione europea o da una data successiva ivi specificata.
Essa non pregiudica la validità degli atti delegati già in vigore. 4. Non appena adotta un atto
delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e
al Consiglio. 5. L’atto delegato adottato ai
sensi dell’articolo 6, paragrafo 5, dell’articolo 8, paragrafo 3,
dell’articolo 9, paragrafo 3, dell’articolo 12, paragrafo 5,
dell’articolo 14, paragrafo 7, dell’articolo 15, paragrafo 3,
dell’articolo 17, paragrafo 9, dell’articolo 20, paragrafo 6, dell’articolo
22, paragrafo 4, dell’articolo 23, paragrafo 3, dell’articolo 26,
paragrafo 5, dell’articolo 28, paragrafo 5, dell’articolo 30, paragrafo 3,
dell’articolo 31, paragrafo 5, dell’articolo 32, paragrafo 5,
dell’articolo 33, paragrafo 6, dell’articolo 34, paragrafo 8,
dell’articolo 35, paragrafo 11, dell’articolo 37, paragrafo 2,
dell’articolo 39, paragrafo 2, dell’articolo 43, paragrafo 3,
dell’articolo 44, paragrafo 7, dell’articolo 79, paragrafo 6,
dell’articolo 81, paragrafo 3, dell’articolo 82, paragrafo 3 e
dell’articolo 83, paragrafo 3, entra in vigore solo se né il Parlamento europeo
né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla
data in cui esso è stato loro notificato o se, prima della scadenza di tale
termine, sia il Parlamento europeo che il Consiglio hanno informato la
Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di
due mesi su iniziativa del Parlamento europeo o del Consiglio. Articolo 87
Procedura di comitato 1. La Commissione è assistita da
un comitato. Tale comitato è un comitato ai sensi del regolamento (UE) n. 182/2011. 2. Nel caso in cui è fatto
riferimento al presente paragrafo, si applica l’articolo 5 del regolamento (UE)
n. 182/2011. 3. Nel caso in cui è fatto
riferimento al presente paragrafo, si applica l’articolo 8 del regolamento (UE)
n. 182/2011, in combinato disposto con l’articolo 5 del medesimo
regolamento. CAPO XI DISPOSIZIONI FINALI Articolo 88
Abrogazione della direttiva 95/46/CE 1. La direttiva 95/46/CE è abrogata.
2. I riferimenti alla direttiva
abrogata si intendono fatti al presente regolamento. I riferimenti al gruppo
per la tutela delle persone con riguardo al trattamento dei dati personali
istituito dall’articolo 29 della direttiva 95/46/CE si intendono fatti al
comitato europeo per la protezione dei dati istituito dal presente regolamento. Articolo 89
Rapporto con la direttiva 95/46/CE e sue modifiche 1. Il presente regolamento non
impone obblighi supplementari alle persone fisiche o giuridiche in relazione al
trattamento dei dati personali nel quadro della fornitura di servizi di
comunicazione elettronica accessibili al pubblico su reti pubbliche di
comunicazione nell’Unione, per quanto riguarda le materie per le quali sono
soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla
direttiva 2002/58/CE. 2 L’articolo 1, paragrafo 2,
della direttiva 2002/58/CE è soppresso. Articolo 90
Valutazione La Commissione trasmette al Parlamento europeo
e al Consiglio, a scadenze regolari, relazioni di valutazione e sul riesame del
presente regolamento. La prima relazione è trasmessa entro quattro anni
dall’entrata in vigore del presente regolamento, le successe sono trasmesse
ogni quattro anni. Se del caso, la Commissione presenta opportune proposte di modifica
del presente regolamento e per l’allineamento di altri strumenti giuridici
tenuto conto, in particolare, degli sviluppi delle tecnologie dell’informazione
e dei progressi della società dell’informazione. Le relazioni sono pubblicate. Articolo 91
Entrata in vigore e applicazione 1. Il presente regolamento entra
in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta
ufficiale dell’Unione europea. 2. Esso si applica a decorrere
da [due anni dalla data di cui al paragrafo 1]. Il presente regolamento è
obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno
degli Stati membri. Fatto a Bruxelles, il 25.1.2012 Per il Parlamento europeo Per
il Consiglio Il presidente Il
presidente SCHEDA FINANZIARIA LEGISLATIVA 1. CONTESTO DELLA PROPOSTA/INIZIATIVA 1.1. Titolo della proposta/iniziativa 1.2. Settore/settori
interessati nella struttura ABM/ABB 1.3. Natura
della proposta/iniziativa 1.4. Obiettivi 1.5. Motivazione
della proposta/iniziativa 1.6. Durata
e incidenza finanziaria 1.7. Modalità
di gestione previste 2. MISURE DI GESTIONE 2.1. Disposizioni
in materia di monitoraggio e di relazioni 2.2. Sistema
di gestione e di controllo 2.3. Misure
di prevenzione delle frodi e delle irregolarità 3. INCIDENZA FINANZIARIA PREVISTA DELLA
PROPOSTA/INIZIATIVA 3.1. Rubrica/rubriche
del quadro finanziario pluriennale e linea/linee di bilancio di spesa
interessate 3.2. Incidenza
prevista sulle spese 3.2.1. Sintesi dell’incidenza
prevista sulle spese 3.2.2. Incidenza prevista
sugli stanziamenti operativi 3.2.3. Incidenza prevista
sugli stanziamenti di natura amministrativa 3.2.4. Compatibilità con il
quadro finanziario pluriennale attuale 3.2.5. Partecipazione di
terzi al finanziamento 3.3. Incidenza prevista sulle
entrate SCHEDA
FINANZIARIA LEGISLATIVA
1.
CONTESTO DELLA PROPOSTA/INIZIATIVA
La presente scheda finanziaria presenta nel
dettaglio i requisiti in termini di spese amministrative per la realizzazione
della riforma della protezione dei dati, come esposto nella relativa
valutazione d’impatto. La riforma consta di due proposte legislative: un
regolamento generale sulla protezione dei dati e una direttiva concernente la
tutela delle persone fisiche con riguardo al trattamento dei dati personali da
parte delle autorità competenti a fini di prevenzione, indagine, accertamento e
perseguimento di reati o esecuzione di sanzioni penali. La presente scheda
finanziaria ricomprende le incidenze di bilancio di entrambi gli strumenti. Conformemente alla ripartizione dei compiti,
risorse dovranno essere fornite alla Commissione e dal garante europeo della
protezione dei dati. Per quanto riguarda la Commissione, le
risorse necessarie sono già comprese nelle prospettive finanziarie proposte per
il periodo 2014-2020. La protezione dei dati è uno degli obiettivi del
programma Diritti e cittadinanza, che sosterrà anche alcune misure per
realizzare il quadro normativo. Gli stanziamenti amministrativi, che
comprendono il fabbisogno di personale, sono inclusi nel bilancio
amministrativo della DG JUST. Per quanto concerne il garante europeo della
protezione dei dati, le risorse necessarie dovranno essere prese in
considerazione nei rispettivi bilanci annuali che lo riguardano. Le risorse
sono specificate nel dettaglio nell’allegato della presente scheda finanziaria.
Al fine di fornire le risorse necessarie per i nuovi compiti del comitato
europeo per la protezione dei dati, le cui funzioni di segreteria saranno
espletate dal garante europeo della protezione dei dati, sarà necessaria una
riprogrammazione della rubrica 5 delle prospettive finanziarie 2014-2020.
1.1.
Titolo della proposta/iniziativa
Proposta di regolamento
del Parlamento europeo e del Consiglio concernente la tutela delle persone
fisiche con riguardo al trattamento dei dati personali e la libera circolazione
di tali dati (regolamento generale sulla protezione dei dati). Proposta di direttiva
del Parlamento europeo e del Consiglio concernente la tutela delle persone
fisiche con riguardo al trattamento dei dati personali da parte delle autorità
competenti a fini di prevenzione, indagine, accertamento e perseguimento di
reati o di esecuzione di sanzioni penali, e la libera circolazione di tali
dati.
1.2.
Settore/settori interessati nella struttura ABM/ABB[49]
Giustizia – Protezione
dei dati personali Le incidenze di bilancio
riguardano la Commissione e il garante europeo della protezione dei dati.
L’incidenza sul bilancio della Commissione è specificata nel dettaglio nelle
tabelle della presente scheda finanziaria. Le spese operative rientrano nel campo
del programma Diritti e cittadinanza e sono già state prese in considerazione
nella scheda finanziaria relativa a tale programma, in quanto le spese
amministrative fanno parte della dotazione della DG Giustizia. Gli elementi
riguardanti il garante europeo della protezione dei dati sono illustrati
nell’allegato.
1.3.
Natura della proposta/iniziativa
¨ La
proposta/iniziativa riguarda una nuova azione ¨ La
proposta/iniziativa riguarda una nuova azione a seguito di un progetto
pilota/un’azione preparatoria[50] þ La proposta/iniziativa riguarda la proroga
di un’azione esistente ¨ La
proposta/iniziativa riguarda un’azione riorientata verso una nuova azione
1.4.
Obiettivi
1.4.1.
Obiettivo/obiettivi strategici pluriennali della
Commissione oggetto della proposta/iniziativa
La riforma mira a
completare la realizzazione degli obiettivi iniziali, tenuto conto dei nuovi
sviluppi e delle nuove sfide, ossia: - aumentare l’efficacia
del diritto fondamentale alla protezione dei dati e garantire alle persone
fisiche il controllo dei loro dati, in particolare nel contesto dell’evoluzione
tecnologica e della crescente globalizzazione; - rafforzare la dimensione “mercato interno” della protezione dei dati
riducendo la frammentazione, aumentando la coerenza e semplificando il quadro
normativo, in modo da eliminare i costi inutili e diminuire l’onere
amministrativo. Inoltre, l’entrata in
vigore del trattato di Lisbona, in particolare l’introduzione di una nuova base
giuridica (articolo 16 del TFUE), offre la possibilità di conseguire un nuovo
obiettivo, ossia: - creare un quadro
globale per la protezione dei dati, che copra tutti i settori.
1.4.2.
Obiettivo/obiettivi specifici e attività ABM/ABB
interessate
Obiettivo specifico n. 1 Garantire l’applicazione coerente delle norme
sulla protezione dei dati Obiettivo specifico n. 2 Razionalizzare l’attuale sistema di governance
per contribuire a garantire un’attuazione più coerente Attività ABM/ABB interessate […]
1.4.3.
Risultati e incidenza previsti
Precisare gli effetti
che la proposta/iniziativa dovrebbe avere sui beneficiari/gruppi interessati. Per
quanto riguarda i responsabili del trattamento, sia i soggetti pubblici che
quelli privati trarranno beneficio dalla maggiore certezza giuridica derivante
dall’armonizzazione e dal chiarimento delle norme e delle procedure UE sulla
protezione dei dati, che assicureranno condizioni eque, un’applicazione
coerente delle norme sulla protezione dei dati e una riduzione considerevole
dell’onere amministrativo. Le
persone fisiche avranno un miglior controllo dei loro dati personali e più
fiducia nell’ambiente digitale, e resteranno tutelate anche quando i loro dati
personali sono trattati all’estero. Constateranno inoltre un rafforzamento
della responsabilità di coloro che trattano i dati personali. Il
sistema globale di protezione dei dati coprirà anche i settori della polizia e
della giustizia, riprendendo e allargando l’ex terzo pilastro.
1.4.4.
Indicatori di risultato e di incidenza
Precisare gli
indicatori che permettono di seguire la realizzazione della
proposta/iniziativa. (Si veda la valutazione
d’impatto, sezione 8) Gli indicatori saranno
oggetto di una valutazione periodica e comprenderanno i seguenti elementi: • i tempi e i
costi impiegati dai responsabili del trattamento per conformarsi alla normativa
“in altri Stati membri”; • le risorse
stanziate alle autorità di protezione dei dati; • i responsabili
della protezione dei dati istituiti nelle organizzazioni pubbliche e private; • l’uso delle
valutazioni d’impatto sulla protezione dei dati; • il numero di
reclami proposti dagli interessati e il risarcimento ottenuto; • il numero di
casi che hanno comportato un’azione penale nei confronti dei responsabili del
trattamento; • le sanzioni
irrogate ai responsabili del trattamento per violazione della protezione dei
dati.
1.5.
Motivazione della proposta/iniziativa
1.5.1.
Necessità da coprire nel breve e lungo termine
Le attuali differenze nell’attuazione, interpretazione e
applicazione della direttiva da parte degli Stati membri ostacolano il
funzionamento del mercato interno e la cooperazione tra le autorità pubbliche
in merito alle politiche dell’Unione. Questa situazione è contraria
all’obiettivo fondamentale della direttiva di agevolare la libera circolazione
dei dati personali nel mercato interno. La situazione è ulteriormente aggravata
dalla rapida evoluzione delle nuove tecnologie e dalla globalizzazione. Le persone fisiche non godono degli stessi diritti in
materia di protezione dei dati, a causa di una frammentazione e un’attuazione e
applicazione non coerente nei vari Stati membri. Inoltre, spesso non sono
consapevoli dell’utilizzo che viene fatto dei loro dati personali e ne perdono
il controllo; di conseguenza non possono esercitare i loro diritti in
modo efficace.
1.5.2.
Valore aggiunto dell’intervento dell’Unione europea
Gli
Stati membri non sono in grado da soli di risolvere i problemi posti dalla
situazione attuale, in particolare dalla frammentazione delle legislazioni
nazionali di attuazione del quadro normativo dell’Unione sulla protezione dei
dati. È dunque pienamente giustificato istituire un quadro normativo sulla
protezione dei dati a livello di Unione. Esiste la precisa esigenza di
istituire un quadro armonizzato e coerente che consenta un agevole
trasferimento transfrontaliero di dati personali all’interno dell’Unione europea
e che garantisca nel contempo un’effettiva tutela di tutte le persone fisiche
nell’intero territorio dell’UE.
1.5.3.
Insegnamenti tratti da esperienze analoghe
Le
presenti proposte si basano sull’esperienza acquisita con la direttiva 95/46/CE
e i problemi derivanti dal carattere frammentario del suo recepimento e della
sua attuazione, che le hanno impedito di raggiungere i due obiettivi
perseguiti, ossia un elevato livello di protezione dei dati e un mercato
interno per la protezione dei dati.
1.5.4.
Coerenza ed eventuale sinergia con altri strumenti
pertinenti
Il presente pacchetto di
riforma della protezione dei dati mira a realizzare un quadro solido, coerente
e moderno sulla protezione dei dati a livello dell’Unione, che sia neutro sotto
il profilo tecnologico e che possa dimostrarsi valido anche per i prossimi
decenni. Recherà vantaggi alle persone fisiche – rafforzandone i diritti in
materia di protezione dei dati, in particolare nell’ambiente digitale – e
semplificherà il quadro giuridico per le imprese e il settore pubblico,
stimolando così lo sviluppo dell’economia digitale in tutto il mercato interno
e al suo esterno, in linea con gli obiettivi della strategia Europa 2020. Il nucleo del pacchetto
di riforma della protezione dei dati è composto da: – un regolamento
che sostituisce la direttiva 95/46/CE; – una direttiva
concernente la tutela delle persone fisiche con riguardo al trattamento dei
dati personali da parte delle autorità competenti a fini di prevenzione,
indagine, accertamento e perseguimento di reati o esecuzione di sanzioni
penali, e la libera circolazione di tali dati. Tali proposte
legislative sono accompagnate da una relazione sull’attuazione, da parte degli
Stati membri, dell’attuale strumento principale di protezione dei dati
nell’Unione nel settore della cooperazione di polizia e della cooperazione
giudiziaria in materia penale, ossia la decisione quadro 2008/977/GAI.
1.6.
Durata e incidenza finanziaria
¨ Proposta/iniziativa di durata limitata
1.
¨ Proposta/iniziativa in vigore a decorrere dal [GG/MM]AAAA fino al
[GG/MM]AAAA 2.
¨ Incidenza finanziaria dal AAAA al AAAA þ Proposta/iniziativa di durata
illimitata 1.
Attuazione con un periodo di avviamento dal 2014 al
2016, 2.
seguito da un funzionamento a pieno ritmo.
1.7.
Modalità di gestione prevista[51]
þ Gestione centralizzata diretta da parte della Commissione ¨ Gestione centralizzata indiretta con delega delle funzioni di esecuzione a: 3.
¨ agenzie esecutive 4.
¨ organismi creati dalle Comunità[52]
5. ¨ organismi
pubblici nazionali/organismi investiti di attribuzioni di servizio pubblico 3.
¨ persone incaricate di attuare azioni specifiche di cui al titolo V
del trattato sull’Unione europea, che devono essere indicate nel pertinente
atto di base ai sensi dell’articolo 49 del regolamento finanziario ¨ Gestione concorrente
con gli Stati membri ¨ Gestione decentrata
con paesi terzi ¨ Gestione congiunta
con organizzazioni internazionali (specificare) Se
è indicata più di una modalità, fornire ulteriori informazioni alla voce
“Osservazioni”. Osservazioni //
2.
MISURE DI GESTIONE
2.1.
Disposizioni in materia di monitoraggio e di
relazioni
Precisare frequenza e
condizioni. La
prima valutazione avrà luogo 4 anni dopo l’entrata in vigore degli atti
giuridici. Tali atti contengono un’esplicita clausola di riesame, che impone
alla Commissione di valutarne l’attuazione. Successivamente la Commissione
riferisce al Parlamento europeo e al Consiglio in merito ai risultati della
valutazione. Le successive valutazioni avranno una periodicità di quattro anni.
Sarà applicata la metodologia della Commissione in materia di valutazione. Tali
valutazioni saranno realizzate con l’aiuto di studi mirati relativi
all’attuazione degli strumenti giuridici, questionari inviati alle autorità
nazionali di protezione dei dati, discussioni con esperti, seminari, sondaggi
Eurobarometro, ecc.
2.2.
Sistema di gestione e di controllo
2.2.1.
Rischi individuati
È stata effettuata una
valutazione d’impatto per la riforma del quadro sulla protezione dei dati
nell’UE che correda le proposte di regolamento e di direttiva. Il nuovo atto giuridico
introdurrà una meccanismo per garantire la coerenza, assicurando che le
indipendenti autorità di controllo degli Stati membri applichino il quadro
normativo in modo uniforme e coerente. Tale meccanismo funzionerà nell’ambito
del comitato europeo per la protezione dei dati composto dai direttori delle
autorità di controllo nazionali e del garante europeo della protezione dei dati
(GEPD), che sostituirà l’attuale gruppo di lavoro “articolo 29”. Il
garante europeo della protezione dei dati svolge le funzioni di segreteria per
il comitato. In caso di eventuali
decisioni divergenti da parte delle autorità degli Stati membri, il comitato
europeo per la protezione dei dati sarà consultato per un parere. Se tale
procedura fallisce, o se un’autorità di controllo rifiuta di conformarsi al
parere, la Commissione potrebbe, al fine di garantire un’applicazione corretta
e coerente del presente regolamento, emettere un parere o, se necessario,
adottare una decisione qualora dubiti seriamente che il progetto di misura
garantisca la corretta applicazione del presente regolamento e rischi invece di
portare a una sua applicazione non coerente, Il meccanismo di
coerenza richiede risorse supplementari per il GEPD, (12 ETP e adeguati
stanziamenti amministrativi e operativi, ad esempio, per i sistemi e le
operazioni IT) per espletare i compiti di segreteria e per la Commissione (5
ETP e relativi stanziamenti amministrativi e operativi) per trattare i casi
relativi alla coerenza.
2.2.2.
Modalità di controllo previste
Gli
attuali metodi di controllo applicati dal GEPD e dalla Commissione saranno
adottati per gli altri stanziamenti.
2.3.
Misure di prevenzione delle frodi e delle
irregolarità
Precisare le misure di prevenzione e di tutela in vigore o previste. Le esistenti misure di prevenzione
delle frodi attualmente applicate dal GEPD e dalla Commissione saranno adottate
per gli altri stanziamenti.
3.
INCIDENZA FINANZIARIA PREVISTA DELLA PROPOSTA/INIZIATIVA
3.1.
Rubrica/rubriche del quadro finanziario pluriennale
e linea/linee di bilancio di spesa interessate
1.
Linee di bilancio di spesa esistenti Secondo l’ordine delle
rubriche del quadro finanziario pluriennale e delle linee di bilancio. Rubrica del quadro finanziario pluriennale || Linea di bilancio || Natura della spesa || Partecipazione Numero [Denominazione………………………..……….] || Diss./Non diss. ([53]) || di paesi EFTA[54] || di paesi candidati[55] || di paesi terzi || ai sensi dell’articolo 18, paragrafo 1, lettera a bis), del regolamento finanziario || || || || || ||
3.2.
Incidenza prevista sulle spese
3.2.1.
Sintesi dell’incidenza prevista sulle spese
Mio EUR (al terzo decimale) Rubrica del quadro finanziario pluriennale: || Numero || || || || Anno N[56]= 2014 || Anno N+1 || Anno N+2 || Anno N+3 || inserire gli anni necessari per evidenziare la durata dell’incidenza (cfr. punto 1.6) || TOTALE Stanziamenti operativi || || || || || || || || Numero della linea di bilancio || Impegni || (1) || || || || || || || || Pagamenti || (2) || || || || || || || || Numero della linea di bilancio || Impegni || (1a) || || || || || || || || Pagamenti || (2a) || || || || || || || || Stanziamenti di natura amministrativa finanziati dalla dotazione di programmi specifici[57] || || || || || || || || Numero della linea di bilancio || || (3) || || || || || || || || TOTALE degli stanziamenti per la DG || Impegni || =1+1a +3 || || || || || || || || Pagamenti || =2+2a+3 || || || || || || || || TOTALE degli stanziamenti operativi || Impegni || (4) || || || || || || || || Pagamenti || (5) || || || || || || || || TOTALE degli stanziamenti di natura amministrativa finanziati dalla dotazione di programmi specifici || (6) || || || || || || || || TOTALE degli stanziamenti per la RUBRICA 3 del quadro finanziario pluriennale || Impegni || =4+ 6 || || || || || || || || Pagamenti || =5+ 6 || || || || || || || || Se la proposta/iniziativa incide su più rubriche: TOTALE degli stanziamenti operativi || Impegni || (4) || || || || || || || || Pagamenti || (5) || || || || || || || || TOTALE degli stanziamenti di natura amministrativa finanziati dalla dotazione di programmi specifici || (6) || || || || || || || || TOTALE degli stanziamenti per le RUBRICHE da 1 a 4 del quadro finanziario pluriennale (importo di riferimento) || Impegni || =4+ 6 || || || || || || || || Pagamenti || =5+ 6 || || || || || || || || Rubrica del quadro finanziario pluriennale: || 5 || “Spese amministrative” Mio EUR (al terzo decimale) || || || Anno N= 2014 || Anno 2015 || Anno 2016 || Anno 2017 || Anno 2018 || Anno 2019 || Anno 2020 || TOTALE DG: JUST || Risorse umane || || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454 Altre spese amministrative || || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885 TOTALE DG JUST || || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339 TOTALE degli stanziamenti per la RUBRICA 5 del quadro finanziario pluriennale || (Totale impegni = Totale pagamenti) || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339 Mio EUR (al terzo decimale) || || || Anno N[58] || Anno N+1 || Anno N+2 || Anno N+3 || inserire gli anni necessari per evidenziare la durata dell’incidenza (cfr. punto 1.6) || TOTALE TOTALE degli stanziamenti per le RUBRICHE da 1 a 5 del quadro finanziario pluriennale || Impegni || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339 Pagamenti || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339
3.2.2.
Incidenza prevista sugli stanziamenti operativi
6.
þ La proposta/iniziativa non comporta l’utilizzazione di stanziamenti
operativi Un elevato livello di protezione dei dati
personali rientra anche tra gli obiettivi del programma “diritti e
cittadinanza”. 7. ¨ La
proposta/iniziativa comporta l’utilizzazione di stanziamenti operativi, come
spiegato di seguito: Stanziamenti di impegno in Mio EUR (al terzo decimale) Specificare gli obiettivi e i risultati ò || || || Anno N=2014 || Anno N+1 || Anno N+2 || Anno N+3 || inserire gli anni necessari per evidenziare la durata dell’incidenza (cfr. punto 1.6) || TOTALE RISULTATI Tipo di risultato[59] || Costo medio del risultato || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero totale di risultati || Costo totale OBIETTIVO SPECIFICO 1 || - Risultato || Fascicoli[60] || || || || || || || || || || || || || || || || || Totale parziale Obiettivo specifico 1 || || || || || || || || || || || || || || || || OBIETTIVO SPECIFICO 2 || - Risultato || Casi[61] || || || || || || || || || || || || || || || || || Totale parziale Obiettivo specifico 2 || || || || || || || || || || || || || || || || COSTO TOTALE || || || || || || || || || || || || || || || ||
3.2.3.
Incidenza prevista sugli stanziamenti di natura
amministrativa
3.2.3.1.
Sintesi
8.
¨ La proposta/iniziativa non comporta l’utilizzazione di stanziamenti
amministrativi 9.
þ La proposta/iniziativa comporta l’utilizzazione di stanziamenti
amministrativi, come spiegato di seguito: Mio EUR (al terzo
decimale) || Anno N[62] 2014 || Anno 2015 || Anno 2016 || Anno 2017 || Anno 2018 || Anno 2019 || Anno 2020 || TOTALE RUBRICA 5 del quadro finanziario pluriennale || || || || || || || || Risorse umane || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454 Altre spese amministrative || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885 Totale parziale RUBRICA 5 del quadro finanziario pluriennale || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339 Esclusa la RUBRICA 5[63] del quadro finanziario pluriennale || || || || || || || || Risorse umane || || || || || || || || Altre spese di natura amministrativa || || || || || || || || Totale parziale esclusa la RUBRICA 5 del quadro finanziario pluriennale || || || || || || || || TOTALE || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339
3.2.3.2.
Fabbisogno previsto di risorse umane
10.
¨ La proposta/iniziativa non comporta l’utilizzazione di risorse
umane 11.
þ La proposta/iniziativa comporta l’utilizzazione di risorse
umane, come spiegato di seguito: Stima da esprimere in equivalenti a tempo
pieno (o, al massimo, con un decimale) || Anno 2014 || Anno 2015 || Anno 2016 || Anno 2017 || Anno 2018 || Anno 2019 || Anno 2020 Posti della tabella dell’organico (posti di funzionari e di agenti temporanei) XX 01 01 01 (in sede e negli uffici di rappresentanza della Commissione) || 22 || 22 || 22 || 22 || 22 || 22 || 22 XX 01 01 02 (nelle delegazioni) || || || || || || || Personale esterno (in equivalenti a tempo pieno: ETP)[64] XX 01 02 01 (AC, END e INT della dotazione globale) || 2 || 2 || 2 || 2 || 2 || 2 || 2 XX 01 02 02 (AC, AL, END, INT e JED nelle delegazioni) || || || || || || || XX 01 04 yy[65] || - in sede[66] || || || || || || || - nelle delegazioni || || || || || || || XX 01 05 02 (AC, END e INT – Ricerca indiretta) || || || || || || || 10 01 05 02 (AC, END e INT – Ricerca diretta) || || || || || || || Altre linee di bilancio (specificare) || || || || || || || TOTALE || 24 || 24 || 24 || 24 || 24 || 24 || 24 XX è il settore
o il titolo di bilancio interessato. Con la riforma, la
Commissione dovrà svolgere nuovi compiti nel settore della tutela delle persone
fisiche con riguardo al trattamento dei dati personali, in aggiunta a quelli
attuali. Gli ulteriori compiti riguardano principalmente l’attuazione del nuovo
meccanismo di coerenza che garantirà l’applicazione uniforme della legislazione
in materia di protezione dei dati, la valutazione dell’adeguatezza dei paesi
terzi (la cui competenza esclusiva incomberà alla Commissione) e la
preparazione di misure di attuazione e gli atti delegati. La Commissione
continuerà a svolgere anche gli altri compiti di cui attualmente si occupa (ad
esempio, definizione delle politiche, sensibilizzazione, controllo
dell’attuazione, reclami, ecc.). Il fabbisogno di risorse
umane è coperto dal personale della DG già assegnato alla gestione dell’azione
e/o riassegnato all’interno della stessa DG, integrato dall’eventuale dotazione
supplementare concessa alla DG responsabile nell’ambito della procedura annuale
di assegnazione, tenendo conto dei vincoli di bilancio. Descrizione dei
compiti da svolgere: Funzionari e agenti temporanei || Funzionari incaricati del caso, che gestiscono il meccanismo di coerenza in materia di protezione dei dati per garantire l’uniformità di applicazione della normativa UE sulla protezione dei dati. I loro compiti comprendono ricerche e lo studio dei casi presentati ai fini di una decisione dalle autorità degli Stati membri, le discussioni con gli Stati membri e la preparazione delle decisioni della Commissione. In base alle recenti esperienze, si stima che 5-10 casi all’anno possono richiedere l’intervento del meccanismo di coerenza. Dare seguito alle domande di adeguatezza richiede un’interazione diretta con il paese richiedente, eventualmente la gestione di studi di esperti sulle condizioni nel paese, la valutazione delle condizioni, la preparazione delle decisioni pertinenti della Commissione e l’organizzazione del procedimento, compreso per il comitato che assiste la Commissione e gli eventuali organismi di esperti. In base all’esperienza acquisita, si possono stimare fino a 4 domande di adeguatezza all’anno. Il processo di adozione delle misure d’esecuzione comprende misure preparatorie, quali la redazione di documenti, ricerche e consultazioni pubbliche, la stesura del testo e la gestione del processo di negoziazione nell’ambito dei pertinenti comitati e di altri gruppi, così come contatti con le parti interessate in generale. Nei settori che richiedono orientamenti più precisi, possono essere trattate fino a tre misure di attuazione all’anno, mentre il procedimento può richiedere fino a 24 mesi, a seconda dell’intensità delle consultazioni. Personale esterno || Sostegno amministrativo e di segreteria
3.2.4.
Compatibilità con il quadro finanziario pluriennale
attuale
12.
¨ La proposta/iniziativa è compatibile con il prossimo
quadro finanziario pluriennale. 13.
þ La proposta/iniziativa implica una riprogrammazione della
pertinente rubrica del quadro finanziario pluriennale. La tabella seguente
indica gli importi delle risorse finanziarie necessarie ogni anno al GEPD per i
suoi nuovi compiti di segreteria a favore del comitato europeo per la
protezione dei dati e le relative procedure e strumenti per il periodo delle
prossime prospettive finanziarie, oltre a quelli già inclusi nella
pianificazione. Anno || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Totale Personale ecc. || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823 Operazioni || 0,850 || 1,500 || 1,900 || 1,900 || 1,500 || 1,200 || 1,400 || 10,250 Totale || 2,405 || 3,055 || 3,443 || 3,443 || 3,043 || 2,743 || 2,943 || 21,073 14.
¨ La proposta/iniziativa richiede l’applicazione dello strumento
di flessibilità o la revisione del quadro finanziario pluriennale[67].
3.2.5.
Partecipazione di terzi al finanziamento
15.
þLa proposta/iniziativa non prevede il cofinanziamento da parte di terzi
16.
¨La proposta/iniziativa prevede il cofinanziamento indicato di seguito: Stanziamenti in Mio EUR (al terzo decimale) || Anno N || Anno N+1 || Anno N+2 || Anno N+3 || inserire gli anni necessari per evidenziare la durata dell’incidenza (cfr. punto 1.6) || Totale Specificare l’organismo di cofinanziamento || || || || || || || || TOTALE stanziamenti cofinanziati || || || || || || || ||
3.3.
Incidenza prevista sulle entrate
17.
þ La proposta/iniziativa non ha alcuna incidenza finanziaria
sulle entrate. 18.
¨ La proposta/iniziativa ha la seguente incidenza finanziaria: ·
¨ sulle risorse proprie ·
¨ sulle entrate varie Mio EUR (al terzo decimale) Linea di bilancio delle entrate: || Stanziamenti disponibili per l’esercizio in corso || Incidenza della proposta/iniziativa[68] Anno N || Anno N+1 || Anno N+2 || Anno N+3 || inserire gli anni necessari per evidenziare la durata dell’incidenza (cfr. punto 1.6) || || || || || || || || Per
quanto riguarda le entrate varie con destinazione specifica, precisare la o le
linee di spesa interessate. Precisare
il metodo di calcolo dell’incidenza sulle entrate. ALLEGATO alla
scheda finanziaria legislativa per la proposta di regolamento del Parlamento
europeo e del Consiglio concernente la tutela delle persone fisiche con
riguardo al trattamento dei dati personali. Metodologia applicata
e principali ipotesi di base I costi di personale
connessi ai nuovi compiti del garante europeo della protezione dei dati (GEPD),
derivanti dalle due proposte sono stati stimati sulla base dei costi sostenuti
attualmente dalla Commissione per compiti analoghi. Il GEPD ospiterà la
segreteria del comitato europeo per la protezione dei dati, che sostituisce il
gruppo di lavoro “articolo 29”. Sulla base dell’attuale carico di lavoro della
Commissione per svolgere questo compito, ciò richiederà 3 ulteriori ETP oltre
alle corrispondenti spese amministrative e operative. I lavori cominceranno con
l’entrata in vigore del regolamento. Inoltre, il GEPD
contribuirà al meccanismo di coerenza che dovrebbe richiedere 5 ETP e allo
sviluppo e funzionamento di uno strumento informatico comune per le autorità
nazionali di protezione dei dati, che richiederà altri 2 membri del personale. Il calcolo dell’aumento
del fabbisogno di bilancio per il personale per i primi sette anni figura in
modo più dettagliato nella seguente tabella. Una seconda tabella indica il
fabbisogno di bilancio operativo. Tali importi si rifletteranno sul bilancio
dell’UE nella sezione IX GEPD. Tipo di costo || Calcolo || Importo (in migliaia) 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Totale Retribuzioni e indennità || || || || || || || || || - della presidenza GEPD || || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 2,100 - di cui funzionari e agenti temporanei || =7*0,127 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 6,223 - di cui END || =1*0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,511 - di cui agenti contrattuali || =2*0,064 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,896 Spese relative alle assunzioni || =10*0,005 || 0,025 || 0,025 || 0,013 || 0,013 || 0,013 || 0,013 || 0,013 || 0,113 Spese di missione || || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,630 Altre spese, formazione || =10*0,005 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,350 Totale spese amministrative || || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823 Descrizione dei compiti da svolgere: Funzionari e agenti temporanei || Funzionari responsabili della segreteria del comitato europeo per la protezione dei dati. Oltre al supporto logistico, compresi gli aspetti contrattuali e di bilancio, ciò comprende la preparazione di riunioni e la convocazione di esperti, le ricerche sui temi all’ordine del giorno del gruppo, la gestione dei documenti relativi all’attività del gruppo in materia di protezione dei dati, ivi compresi gli aspetti della riservatezza e dell’accesso al pubblico. Compresi tutti i sottogruppi e gruppi di esperti, possono essere organizzate fino a 50 riunioni e procedure decisionali ogni anno. Funzionari incaricati del caso, che gestiscono il meccanismo di coerenza in materia di protezione dei dati per garantire l’uniformità di applicazione della normativa UE sulla protezione dei dati. I loro compiti comprendono ricerche e lo studio dei casi presentati ai fini di una decisione dalle autorità degli Stati membri, le discussioni con gli Stati membri e la preparazione delle decisioni della Commissione. In base alle recenti esperienze, 5-10 casi all’anno possono richiedere l’intervento del meccanismo di coerenza. Lo strumento informatico semplificherà l’interazione operativa tra le autorità nazionali di protezione dei dati e i responsabili del trattamento obbligati a condividere le informazioni con le autorità pubbliche. Uno o più membri del personale dovranno garantire il controllo di qualità, la gestione del progetto e il controllo di bilancio dei processi informatici relativi alle specifiche tecniche, la realizzazione e il funzionamento dei sistemi. Personale esterno || Sostegno amministrativo e di segreteria Spese relative a compiti specifici del GEPD Specificare gli obiettivi e i risultati ò || || || Anno N=2014 || Anno N+1 || Anno N+2 || Anno N+3 || inserire gli anni necessari per evidenziare la durata dell’incidenza (cfr. punto 1.6) || TOTALE RISULTATI Tipo di risultato[69] || Costo medio del risultato || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero totale di risultati || COSTO TOTALE OBIETTIVO SPECIFICO 1[70] || Segreteria del Comitato europeo per la protezione dei dati - Risultato || Casi[71] || 0,010 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3,200 Totale parziale Obiettivo specifico 1 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3,200 OBIETTIVO SPECIFICO 2 || Meccanismo di coerenza - Risultato || Fascicoli[72] || 0,050 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2,950 Totale parziale Obiettivo specifico 2 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2,950 OBIETTIVO SPECIFICO 3 || Strumento informatico comune per le autorità di protezione dei dati (GEPD) - Risultato || Casi[73] || 0,100 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4,100 Totale parziale Obiettivo specifico 3 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4,100 COSTO TOTALE || 38 || 0,850 || 56 || 1,500 || 69 || 1,900 || 69 || 1,900 || 64 || 1,500 || 61 || 1,200 || 63 || 1,400 || 420 || 10,250 [1] “Salvaguardare la privacy in un mondo interconnesso- Un
quadro europeo della protezione dei dati per il XXI secolo” (COM(2012) 9
final). [2] COM(2012) 10 final. [3] Direttiva 95/46/CE del Parlamento europeo e del
Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con
riguardo al trattamento dei dati personali, nonché alla libera circolazione di
tali dati (GU L 281 del 23.11.1995, pag. 31). [4] Decisione quadro 2008/977/GAI del Consiglio, del 27
novembre 2008, sulla protezione dei dati personali trattati nell’ambito della
cooperazione giudiziaria e di polizia in materia penale (GU L 350 del 30.12.2008,
pag. 60). [5] COM(2010) 245 definitivo. [6] COM(2010) 2020 definitivo. [7] “Programma di Stoccolma — Un’Europa aperta e sicura al
servizio e a tutela dei cittadini” (GU C 115 del 4.5.2010, pag. 1). [8] Risoluzione del Parlamento europeo sulla comunicazione
della Commissione al Parlamento europeo e al Consiglio dal titolo “Uno spazio
di libertà, sicurezza e giustizia al servizio dei cittadini - Programma di
Stoccolma”, adottata il 25 novembre 2009 (P7_TA (2009) 0090). [9] COM(2010) 171 definitivo. [10] COM(2010) 609 definitivo. [11] Speciale Eurobarometro (EB) 359, Data Protection and
Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. [12] http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm. [13] I contributi che non rivestono carattere riservato sono
consultabili sul sito web della Commissione. http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm. [14] I contributi che non rivestono carattere riservato sono
consultabili sul sito web della Commissione. http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm. [15] http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm. [16] http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp. [17] Agenzia europea per la sicurezza delle reti e
dell’informazione (ENISA), che si occupa di questioni di sicurezza connesse
alle reti di comunicazione e ai sistemi di informazione. [18] Cfr. http://www.enisa.europa.eu/act/it/data-breach-notification. [19] Speciale Eurobarometro (EB) 359, Data Protection and
Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. [20] Oltre allo studio citato alla nota 2, si veda lo studio
comparativo sui diversi approcci alle nuove sfide per la privacy soprattutto
alla luce degli sviluppi tecnologici (Comparative study on different
approaches to new privacy challenges, in particular in the light of
technological developments), gennaio 2010: (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf). [21] Il Gruppo di lavoro è stato istituito nel 1996
(dall’articolo 29 della direttiva); è un organo consultivo composto dal
rappresentante dell’autorità di protezione dei dati di ciascuno Stato membro,
dal garante europeo della protezione dei dati e dalla Commissione. Per maggiori
informazioni sulle sue attività, si consulti il sito: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. [22] Si vedano in particolare i pareri sui seguenti argomenti:
il “futuro della vita privata” (2009, WP 168); i concetti di “responsabile del
trattamento” e “incaricato del trattamento” (1/2010, WP 169); la pubblicità
comportamentale on line (2/2010, WP 171); il principio di responsabilità (3/2010,
WP 173); il diritto applicabile (8/2010, WP 179); il consenso (15/2011, WP 187).
Su richiesta della Commissione, il Gruppo ha adottato anche i tre seguenti
documenti, rispettivamente sulle notificazioni, sui dati sensibili e
sull’attuazione pratica dell’articolo 28, paragrafo 6, della direttiva sulla
protezione dei dati. I documenti sono consultabili alla pagina: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm. [23] Disponibile sul sito del GEPD: http://www.edps.europa.eu/EDPSWEB. [24] Risoluzione del Parlamento europeo del 6 luglio 2011 su un
approccio globale in materia di protezione dei dati personali nell’Unione
europea (2011/2025 (INI),
http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244
(relatore: on. Axel Voss (PPE/DE). [25] SEC(2012)72. [26] CESE 999/2011. [27] Cause riunite C-92/09 e C-93/09: Sentenza della Corte di
giustizia dell’Unione europea 9 novembre 2010 - Volker und Markus
Schecke e Eifert, Racc. 2010, pag. I-0000. [28] Conformemente all’articolo 52, paragrafo 1, della Carta,
eventuali limitazioni all’esercizio del diritto alla protezione dei dati devono
essere previste dalla legge e rispettare il contenuto essenziale di detti
diritti e libertà. Nel rispetto del principio di proporzionalità, possono
essere apportate limitazioni solo laddove siano necessarie e rispondano
effettivamente a finalità di interesse generale riconosciute dall’Unione o
all’esigenza di proteggere i diritti e le libertà altrui. [29] Direttiva 2002/58/CE del Parlamento europeo e del
Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e
alla tutela della vita privata nel settore delle comunicazioni elettroniche
(direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201
del 31.7.2002, pag. 37). [30] Direttiva 2009/136/CE del Parlamento europeo e del
Consiglio, del 25 novembre 2009, recante modifica della direttiva 2002/22/CE
relativa al servizio universale e ai diritti degli utenti in materia di reti e
di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al
trattamento dei dati personali e alla tutela della vita privata nel settore
delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla
cooperazione tra le autorità nazionali responsabili dell’esecuzione della
normativa a tutela dei consumatori (GU L 337 del 18.12.2009, pag. 11). [31] Adottata e aperta alla firma, ratifica ed adesione
dall’Assemblea generale delle Nazioni Unite con la risoluzione 44/25 del 20.11.1989. [32] Adottata il 5 novembre 2009 dalla Conferenza
internazionale dei commissari in materia di protezione dei dati e della vita
privata. Cfr. anche l’articolo 13, paragrafo 3, della proposta di regolamento
relativo a un diritto comune europeo della vendita (COM(2011)635 definitivo). [33] CM/Rec (2010)13. [34] Causa C-518/07: Sentenza della Corte di giustizia
dell’Unione europea 9 marzo 2010 - Commissione / Germania, Racc. 2010,
pag. I-1885. [35] Regolamento (CE) n. 45/2001 del Parlamento europeo e del
Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in
relazione al trattamento dei dati personali da parte delle istituzioni e degli
organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001,
pag. 1). [36] Op. cit., nota 34. [37] Decisione 2008/615/GAI del Consiglio, del 23 giugno 2008,
sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta
al terrorismo e alla criminalità transfrontaliera (GU L 210 del 6.8.2008, pag. 1). [38] Sulla base dell’articolo 5, paragrafo 1, della decisione
quadro 2009/948/GAI del Consiglio, del 30 novembre 2009, sulla prevenzione
e la risoluzione dei conflitti relativi all’esercizio della giurisdizione nei
procedimenti penali (GU L 328, 15.12.2009, pag. 42), e dell’articolo 13,
paragrafo 1, del regolamento (CE) n. 1/2003, del 16 dicembre 2002, concernente
l’applicazione delle regole di concorrenza di cui agli articoli 81 e 82 del
trattato (GU L 1 del 4.1.2003, pag. 1). [39] Sulla base dell’articolo 18, paragrafo 1, della direttiva 2000/31/CE
del Parlamento europeo e del Consiglio, dell’8 giugno 2000, relativa a taluni
aspetti giuridici dei servizi della società dell’informazione, in particolare
il commercio elettronico, nel mercato interno (“direttiva sul commercio
elettronico”) (GU L 178 del 17.7.2000, pag. 1). [40] Per l’interpretazione, si veda ad esempio la causa C-73/07:
sentenza della Corte di giustizia dell’Unione europea 16 dicembre 2008 -
Tietosuojavaltuutettu/Satakunnan Markkinapörssi Oy, Satamedia Oy, Racc. 2008
pag. I-9831. [41] GU C […] del […], pag. […]. [42] GU C […] del […], pag. […]. [43] GU L 281 del 23.11.1995, pag. 31. [44] GU L 8 del 12.1.2001, pag. 1. [45] Regolamento (UE) n. 182/2011 del Parlamento europeo e del
Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali
relativi alle modalità di controllo da parte degli Stati membri dell’esercizio
delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011,
pag. 13). [46] GU L 176 del 10.7.1999, pag. 36. [47] GU L 53 del 27.2.2008, pag. 52. [48] GU L 160 del 18.6.2011, pag. 19. [49] ABM: Activity Based Management (gestione per attività) –
ABB: Activity Based Budgeting (bilancio per attività). [50] A norma dell’articolo 49, paragrafo 6, lettera a) o b),
del regolamento finanziario. [51] Le spiegazioni sulle modalità di gestione e i riferimenti
al regolamento finanziario sono disponibili sul sito BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html [52] A norma dell’articolo 185 del regolamento
finanziario. [53] Diss. = Stanziamenti dissociati / Non diss. = Stanziamenti
non dissociati. [54] EFTA: Associazione europea di libero scambio. [55] Paesi candidati e, se del caso, paesi potenziali candidati
dei Balcani occidentali. [56] L’anno N è l’anno di inizio dell’attuazione della
proposta/iniziativa. [57] Assistenza tecnica e/o amministrativa e spese di sostegno
all’attuazione di programmi e/o azioni dell’UE (ex linee “BA”), ricerca
indiretta, ricerca diretta. [58] L’anno N è l’anno di inizio dell’attuazione della
proposta/iniziativa. [59] I risultati sono i prodotti e servizi da fornire (ad
esempio: numero di scambi di studenti finanziati, numero di km di strade
costruiti ecc.). [60] Pareri, decisioni, procedure e riunioni del comitato. [61] Casi trattati nell’ambito del meccanismo di coerenza. [62] L’anno N è l’anno di inizio dell’attuazione della
proposta/iniziativa. [63] Assistenza tecnica e/o amministrativa e spese di sostegno
all’attuazione di programmi e/o azioni dell’UE (ex linee “BA”), ricerca
indiretta, ricerca diretta. [64] AL= agente contrattuale; INT = personale interinale
(intérimaire); JED = giovane esperto in delegazione (jeune expert en
délégation); AL= agente locale; END= esperto nazionale distaccato. [65] Sottomassimale per il personale esterno previsto dagli
stanziamenti operativi (ex linee “BA”). [66] Principalmente per i fondi strutturali, il Fondo europeo
agricolo per lo sviluppo rurale (FEASR) e il Fondo europeo per la pesca (FEP). [67] Cfr. punti 19 e 24 dell’Accordo interistituzionale. [68] Per quanto riguarda le risorse proprie tradizionali (dazi
doganali, contributi zucchero), gli importi indicati devono essere importi
netti, cioè importi lordi da cui viene detratto il 25% per spese di riscossione. [69] I risultati sono i prodotti e servizi da fornire (ad
esempio: numero di scambi di studenti finanziati, numero di km di strade
costruiti ecc.). [70] Quale descritto nella sezione 1.4.2. “Obiettivo/obiettivi
specifici…”. [71] Casi trattati nell’ambito del meccanismo di coerenza. [72] Pareri, decisioni, procedure e riunioni del comitato. [73] I totali per ciascun anno riportano la stima degli sforzi
per lo sviluppo e il funzionamento degli strumenti informatici.