02016L0680 — IT — 04.05.2016 — 000.001

---

Il presente testo è un semplice strumento di documentazione e non produce alcun effetto giuridico. Le istituzioni dell’Unione non assumono alcuna responsabilità per i suoi contenuti. Le versioni facenti fede degli atti pertinenti, compresi i loro preamboli, sono quelle pubblicate nella Gazzetta ufficiale dell’Unione europea e disponibili in EUR-Lex. Tali testi ufficiali sono direttamente accessibili attraverso i link inseriti nel presente documento

►B

DIRETTIVA (UE) 2016/680 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 dell'4.5.2016, pag. 89)

Rettificata da:

►C1	Rettifica, GU L 127, 23.5.2018, pag.  19 (2016/680)

---

▼B

DIRETTIVA (UE) 2016/680 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

del 27 aprile 2016

relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio

CAPO I

Disposizioni generali

Articolo 1

Oggetto e obiettivi

1.  La presente direttiva stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.

2.  Ai sensi della presente direttiva gli Stati membri:

3.  La presente direttiva non pregiudica la facoltà degli Stati membri di prevedere garanzie più elevate di quelle in essa stabilite per la tutela dei diritti e delle libertà dell'interessato con riguardo al trattamento dei dati personali da parte delle autorità competenti.

Articolo 2

Ambito di applicazione

1.  La presente direttiva si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all'articolo 1, paragrafo 1.

2.  La presente direttiva si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

3.  La presente direttiva non si applica ai trattamenti di dati personali:

Articolo 3

Definizioni

Ai fini della presente direttiva si intende per:

1)

«dati personali» : qualsiasi informazione riguardante una persona fisica identificata o identificabile, (l'«interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica;

2)

«trattamento» : qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

3)	«limitazione di trattamento» : il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro;

4)

«profilazione» : qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

5)

«pseudonimizzazione» : il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile;

6)	«archivio» : qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

7)

«autorità competente» : a) qualsiasi autorità pubblica competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; o b) qualsiasi altro organismo o entità incaricati dal diritto dello Stato membro di esercitare l'autorità pubblica e i poteri pubblici a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica;

8)

«titolare del trattamento» : l'autorità competente che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o dello Stato membro, il titolare del trattamento o i criteri specifici applicabili alla sua nomina possono essere previsti dal diritto dell'Unione o dello Stato membro;

9)	«responsabile del trattamento» : la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

10)

«destinatario» : la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o dello Stato membro non sono considerate destinatari; il trattamento di tali dati da parte di tali autorità pubbliche è conforme alle norme in materia di protezione dei dati applicabili secondo le finalità del trattamento;

11)	«violazione dei dati personali» : la violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;

12)

«dati genetici» : i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;

13)	«dati biometrici» : i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;

14)	«dati relativi alla salute» : i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

15)	«autorità di controllo» : l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 41;

16)	«organizzazione internazionale» : un'organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

CAPO II

Principi

Articolo 4

Principi applicabili al trattamento di dati personali

1.  Gli Stati membri dispongono che i dati personali siano:

2.  Il trattamento da parte dello stesso o di un altro titolare del trattamento per una qualsiasi delle finalità di cui all'articolo 1, paragrafo 1, diversa da quella per cui sono raccolti i dati personali, è consentito nella misura in cui:

3.  Il trattamento da parte dello stesso o di un altro titolare del trattamento può comprendere l'archiviazione nel pubblico interesse, l'utilizzo scientifico, storico o statistico per le finalità di cui all'articolo 1, paragrafo 1, fatte salve le garanzie adeguate per i diritti e le libertà degli interessati.

4.  Il titolare del trattamento è competente per il rispetto dei paragrafi 1, 2 e 3 e in grado di comprovarlo.

Articolo 5

Termini per conservazione ed esame

Gli Stati membri dispongono che siano fissati adeguati termini per la cancellazione dei dati personali o per un esame periodico della necessità della conservazione dei dati personali. Misure procedurali garantiscono che tali termini siano rispettati.

Articolo 6

Distinzione tra diverse categorie di interessati

Gli Stati membri dispongono che il titolare del trattamento, se del caso e nella misura del possibile, operi una chiara distinzione tra i dati personali delle diverse categorie di interessati, quali:

Articolo 7

Distinzione tra i dati personali e verifica della qualità dei dati personali

1.  Gli Stati membri dispongono che i dati personali fondati su fatti siano differenziati, nella misura del possibile, da quelli fondati su valutazioni personali.

2.  Gli Stati membri dispongono che le autorità competenti adottino tutte le misure ragionevoli per garantire che i dati personali inesatti, incompleti o non più aggiornati non siano trasmessi o resi disponibili. A tal fine, ciascuna autorità competente verifica, per quanto possibile, la qualità dei dati personali prima che questi siano trasmessi o resi disponibili. Per quanto possibile, tutte le trasmissioni di dati personali sono corredate delle informazioni necessarie che consentono all'autorità competente ricevente di valutare il grado di esattezza, completezza e affidabilità dei dati personali, e la misura in cui essi sono aggiornati.

3.  Qualora risulti che sono stati trasmessi dati personali inesatti o che sono stati trasmessi dati personali illecitamente, il destinatario deve esserne informato quanto prima. In tal caso, i dati personali devono essere rettificati o cancellati o il trattamento deve essere limitato a norma dell'articolo 16.

Articolo 8

Liceità del trattamento

1.  Gli Stati membri dispongono che il trattamento sia lecito solo se e nella misura in cui è necessario per l'esecuzione di un compito di un'autorità competente, per le finalità di cui all'articolo 1, paragrafo 1, e si basa sul diritto dell'Unione o dello Stato membro.

2.  Il diritto dello Stato membro che disciplina il trattamento nell'ambito di applicazione della presente direttiva specifica quanto meno gli obiettivi del trattamento, i dati personali da trattare e le finalità del trattamento.

Articolo 9

Condizioni di trattamento specifiche

1.  I dati personali raccolti dalle autorità competenti per le finalità di cui all'articolo 1, paragrafo 1, non possono essere trattati per finalità diverse da quelle di cui all'articolo 1, paragrafo 1, a meno che tale trattamento non sia autorizzato dal diritto dell'Unione o dello Stato membro. Qualora i dati personali siano trattati per tali finalità diverse, si applica il regolamento (UE) 2016/679, a meno che il trattamento non sia effettuato nell'ambito di un'attività che non rientra nell'ambito di applicazione del diritto dell'Unione.

2.  Qualora il diritto dello Stato membro affidi alle autorità competenti l'esecuzione di compiti diversi da quelli eseguiti per le finalità di cui all'articolo 1, paragrafo 1, il regolamento (UE) 2016/679 si applica al trattamento per tali finalità, comprese quelle di archiviazione nel pubblico interesse, di ricerca scientifica o storica o per finalità statistiche, a meno che il trattamento non sia effettuato nel contesto di un'attività che non rientra nell'ambito di applicazione del diritto dell'Unione.

3.  Gli Stati membri dispongono che, nei casi in cui il diritto dell'Unione o dello Stato membro applicabile all'autorità competente che trasmette i dati preveda condizioni specifiche per il trattamento, l'autorità competente che trasmette i dati informi il destinatario di tali dati personali di tali condizioni e dell'obbligo di rispettarle.

4.  Gli Stati membri dispongono che l'autorità competente che trasmette i dati non applichi a destinatari di altri Stati membri o a agenzie, uffici e organi istituiti a norma del titolo V, capi 4 e 5, TFUE condizioni ai sensi del paragrafo 3 diverse da quelle applicabili a trasmissioni di dati analoghe all'interno dello Stato membro dell'autorità competente che trasmette i dati.

Articolo 10

Trattamento di categorie particolari di dati personali

Il trattamento di dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, e il trattamento di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica o di dati relativi alla salute o di dati relativi alla vita sessuale della persona fisica o all'orientamento sessuale è autorizzato solo se strettamente necessario, soggetto a garanzie adeguate per i diritti e le libertà dell'interessato e soltanto:

Articolo 11

Processo decisionale automatizzato relativo alle persone fisiche

1.  Gli Stati membri dispongono che una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione, che produca effetti giuridici negativi o incida significativamente sull'interessato sia vietata salvo che sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento e che preveda garanzie adeguate per i diritti e le libertà dell'interessato, almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento.

2.  Le decisioni di cui al paragrafo 1 del presente articolo non si basano sulle categorie particolari di dati personali di cui all'articolo 10, a meno che non siano in vigore misure adeguate a salvaguardia dei diritti, delle libertà e dei legittimi interessi dell'interessato.

3.  La profilazione che porta alla discriminazione di persone fisiche sulla base di categorie particolari di dati personali di cui all'articolo 10 è vietata, conformemente al diritto dell'Unione.

CAPO III

Diritti dell'interessato

Articolo 12

Comunicazioni e modalità per l'esercizio dei diritti dell'interessato

1.  Gli Stati membri dispongono che il titolare del trattamento adotti misure ragionevoli per fornire all'interessato tutte le informazioni di cui all'articolo 13 e faccia le comunicazioni con riferimento agli articoli 11, da 14 a 18 e 31, relative al trattamento, in forma concisa, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Le informazioni sono fornite con qualsiasi mezzo adeguato, anche per via elettronica. Come regola generale il titolare del trattamento fornisce le informazioni nella stessa forma della richiesta.

2.  Gli Stati membri dispongono che il titolare del trattamento faciliti l'esercizio dei diritti di cui agli articoli 11 e da 14 a 18 da parte dell'interessato.

3.  Gli Stati membri dispongono che il titolare del trattamento informi senza ingiustificato ritardo l'interessato per iscritto del seguito alla sua richiesta.

4.  Gli Stati membri dispongono che le informazioni fornite ai sensi dell'articolo 13 ed eventuali comunicazioni effettuate o azioni intraprese ai sensi degli articoli 11, da 14 a 18 e 31 siano gratuite. Se le richieste dell'interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:

Incombe al titolare del trattamento dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

5.  Qualora il titolare del trattamento nutra ragionevoli dubbi circa l'identità della persona fisica che presenta una richiesta di cui agli articoli 14 o 16, può richiedere ulteriori informazioni necessarie per confermare l'identità dell'interessato.

Articolo 13

Informazioni da rendere disponibili o da fornire all'interessato

1.  Gli Stati membri dispongono che il titolare del trattamento metta a disposizione dell'interessato almeno le seguenti informazioni:

2.  In aggiunta alle informazioni di cui al paragrafo 1,gli Stati membri dispongono per legge che il titolare del trattamento fornisca all'interessato, in casi specifici, le seguenti ulteriori informazioni per consentire l'esercizio dei diritti dell'interessato:

3.  Gli Stati membri possono adottare misure legislative intese a ritardare, limitare o escludere la comunicazione di informazioni all'interessato ai sensi del paragrafo 2 nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata al fine di:

4.  Gli Stati membri possono adottare misure legislative al fine di determinare le categorie di trattamenti cui può applicarsi, in tutto o in parte, una delle lettere del paragrafo 3.

Articolo 14

Diritto di accesso dell'interessato

Fatto salvo l'articolo 15, gli Stati membri dispongono che l'interessato abbia il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:

Articolo 15

Limitazioni del diritto di accesso

1.  Gli Stati membri possono adottare misure legislative volte a limitare, in tutto o in parte, il diritto di accesso dell'interessato nella misura e per il tempo in cui tale limitazione totale o parziale costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata al fine di:

2.  Gli Stati membri possono adottare misure legislative al fine di determinare le categorie di trattamenti cui possono applicarsi, in tutto o in parte, le lettere da a) a e) del paragrafo 1.

3.  Nei casi di cui ai paragrafi 1 e 2, gli Stati membri dispongono che il titolare del trattamento informi l'interessato, senza ingiustificato ritardo e per iscritto, di ogni rifiuto o limitazione dell'accesso e dei motivi del rifiuto o della limitazione. Detta comunicazione può essere omessa qualora il suo rilascio rischi di compromettere una delle finalità di cui al paragrafo 1. Gli Stati membri dispongono che il titolare del trattamento informi l'interessato della possibilità di proporre reclamo dinanzi a un'autorità di controllo o di proporre ricorso giurisdizionale.

4.  Gli Stati membri dispongono che il titolare del trattamento documenti i motivi di fatto o di diritto su cui si basa la decisione. Tali informazioni sono rese disponibili alle autorità di controllo.

Articolo 16

Diritto di rettifica o cancellazione di dati personali e limitazione di trattamento

1.  Gli Stati membri dispongono che l'interessato abbia il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, gli Stati membri dispongono che l'interessato abbia il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

2.  Gli Stati membri impongono al titolare del trattamento di cancellare i dati personali senza ingiustificato ritardo e stabiliscono il diritto dell'interessato di ottenere dal titolare del trattamento la cancellazione di dati personali che lo riguardano senza ingiustificato ritardo qualora il trattamento violi le disposizioni adottate a norma degli articoli 4, 8 o 10 o qualora i dati personali debbano essere cancellati per conformarsi a un obbligo legale al quale è soggetto il titolare del trattamento.

3.  Anziché cancellare, il titolare del trattamento limita il trattamento quando:

Quando il trattamento è limitato a norma della lettera a), primo comma, il titolare del trattamento informa l'interessato prima di revocare la limitazione del trattamento.

4.  Gli Stati membri dispongono che il titolare del trattamento informi l'interessato per iscritto di ogni rifiuto di rettifica o cancellazione dei dati personali o limitazione del trattamento e dei motivi del rifiuto. Gli Stati membri possono adottare misure legislative volte a limitare, in tutto o in parte, l'obbligo di fornire tali informazioni nella misura in cui tale limitazione costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata per:

Gli Stati membri dispongono che il titolare del trattamento informi l'interessato delle possibilità di proporre reclamo dinanzi a un'autorità di controllo o di proporre ricorso giurisdizionale.

5.  Gli Stati membri dispongono che il titolare del trattamento comunichi le rettifiche dei dati personali inesatti all'autorità competente da cui i dati personali inesatti provengono.

6.  Gli Stati membri dispongono che, qualora i dati personali siano stati rettificati o cancellati o il trattamento sia stato limitato a norma dei paragrafi 1, 2 e 3, il titolare del trattamento ne informi i destinatari e che i destinatari rettifichino o cancellino i dati personali o limitino il trattamento dei dati personali sotto la propria responsabilità.

Articolo 17

Esercizio dei diritti dell'interessato e verifica da parte dell'autorità di controllo

1.  Nei casi di cui all'articolo 13, paragrafo 3, all'articolo 15, paragrafo 3, e all'articolo 16, paragrafo 4, gli Stati membri adottano misure che dispongano che i diritti dell'interessato possano essere esercitati anche tramite l'autorità di controllo competente.

2.  Gli Stati membri dispongono che il titolare del trattamento informi l'interessato della possibilità di esercitare i suoi diritti tramite l'autorità di controllo ai sensi del paragrafo 1.

3.  Qualora sia esercitato il diritto di cui al paragrafo 1, l'autorità di controllo informa l'interessato, perlomeno, di aver eseguito tutte le verifiche necessarie o un riesame. L'autorità di controllo informa inoltre l'interessato del diritto di quest'ultimo di proporre ricorso giurisdizionale.

Articolo 18

Diritti dell'interessato nel corso di indagini e procedimenti penali

Gli Stati membri possono disporre che i diritti di cui agli articoli 13, 14 e 16 siano esercitati conformemente al diritto dello Stato membro qualora i dati personali figurino in una decisione giudiziaria, in un casellario o in un fascicolo giudiziario oggetto di trattamento nel corso di un'indagine e di un procedimento penale.

CAPO IV

Titolare del trattamento e responsabile del trattamento

Sezione 1

Obblighi generali

Articolo 19

Obblighi del titolare del trattamento

1.  Gli Stati membri dispongono che il titolare del trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, metta in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato ai sensi della presente direttiva. Tali misure sono riesaminate e aggiornate qualora necessario.

2.  Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

Articolo 20

Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

1.  Gli Stati membri dispongono che il titolare del trattamento, tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso, metta in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti della presente direttiva e tutelare i diritti degli interessati.

2.  Gli Stati membri dispongono che il titolare del trattamento metta in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, tali misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.

Articolo 21

Contitolari del trattamento

1.  Gli Stati membri dispongono che, allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi siano contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza della presente direttiva, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui all'articolo 13, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo designa il punto di contatto per gli interessati. Gli Stati membri possono designare quale dei contitolari del trattamento possa fungere da punto di contatto unico ai fini dell'esercizio da parte degli interessati dei loro diritti.

2.  Indipendentemente dalle disposizioni dell'accordo di cui al paragrafo 1, gli Stati membri possono disporre che l'interessato possa esercitare i propri diritti a norma delle disposizioni adottate ai sensi della presente direttiva nei confronti di e contro ciascun titolare del trattamento.

Articolo 22

Responsabile del trattamento

1.  Gli Stati membri dispongono che, qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorra unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti della presente direttiva e garantisca la tutela dei diritti dell'interessato.

2.  Gli Stati membri dispongono che il responsabile del trattamento non ricorra a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l'opportunità di obiettare a tali modifiche.

3.  Gli Stati membri dispongono che l'esecuzione dei trattamenti da parte di un responsabile del trattamento sia disciplinata da un contratto o da altro atto giuridico a norma del diritto dell'Unione o dello Stato membro, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Tale contratto o altro atto giuridico deve prevedere in particolare che il responsabile del trattamento:

4.  Il contratto o l'altro atto giuridico di cui al paragrafo 3 è stipulato per iscritto, anche in formato elettronico.

5.  Se un responsabile del trattamento determina, in violazione della presente direttiva, le finalità e i mezzi del trattamento, è considerato un titolare del trattamento relativamente al trattamento in questione.

Articolo 23

Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento

Gli Stati membri dispongono che il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o dello Stato membro.

Articolo 24

Registri delle attività di trattamento

1.  Gli Stati membri dispongono che i titolari del trattamento tengano un registro di tutte le categorie di attività di trattamento sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:

2.  Gli Stati membri dispongono che tutti i responsabili del trattamento tengano un registro di tutte le categorie di attività di trattamento svolte per conto di un titolare del trattamento, contenente:

3.  I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.

Su richiesta, il titolare del trattamento e il responsabile del trattamento mettono tali registri a disposizione dell'autorità di controllo.

Articolo 25

Registrazione

1.  Gli Stati membri dispongono che siano registrati in sistemi di trattamento automatizzato almeno i seguenti trattamenti: raccolta, modifica, consultazione, comunicazione, inclusi i trasferimenti, interconnessione e cancellazione. Le registrazioni delle consultazioni e delle comunicazioni consentono di stabilire la motivazione, la data e l'ora di tali operazioni e, nella misura del possibile, di identificare la persona che ha consultato o comunicato i dati personali, nonché di stabilire l'identità dei destinatari di tali dati personali.

2.  Le registrazioni sono usate ai soli fini della verifica della liceità del trattamento, dell'autocontrollo, per garantire l'integrità e la sicurezza dei dati personali e nell'ambito di procedimenti penali.

3.  Su richiesta, il titolare del trattamento e il responsabile del trattamento mettono le registrazioni a disposizione dell'autorità di controllo.

Articolo 26

Cooperazione con l'autorità di controllo

Gli Stati membri dispongono che il titolare del trattamento e il responsabile del trattamento cooperino, su richiesta, con l'autorità di controllo nell'esecuzione dei suoi compiti.

Articolo 27

Valutazione d'impatto sulla protezione dei dati

1.  Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'ambito di applicazione, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, gli Stati membri dispongono che il titolare del trattamento effettui, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali.

2.  La valutazione di cui al paragrafo 1 contiene almeno una descrizione generale dei trattamenti previsti, una valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare tali rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità alla presente direttiva, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Articolo 28

Consultazione preventiva dell'autorità di controllo

1.  Gli Stati membri dispongono che il titolare del trattamento o il responsabile del trattamento consulti l'autorità di controllo prima del trattamento di dati personali che figureranno in un nuovo archivio di prossima creazione se:

2.  Gli Stati membri dispongono che l'autorità di controllo sia consultata durante l'elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su tale atto legislativo relativamente al trattamento.

3.  Gli Stati membri dispongono che l'autorità di controllo possa stabilire un elenco di trattamenti soggetti a consultazione preventiva ai sensi del paragrafo 1.

4.  Gli Stati membri dispongono che il titolare del trattamento trasmetta all'autorità di controllo la valutazione d'impatto sulla protezione dei dati di cui all'articolo 27 e, su richiesta, ogni altra informazione, al fine di consentire all'autorità di controllo di effettuare una valutazione della conformità del trattamento, in particolare dei rischi per la protezione dei dati personali dell'interessato e delle relative garanzie.

5.  Gli Stati membri dispongono che, se ritiene che il trattamento previsto di cui al paragrafo 1 del presente articolo violi le disposizioni adottate a norma della presente direttiva, in particolare qualora il titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, l'autorità di controllo fornisca, entro un termine di sei settimane dal ricevimento della richiesta di consultazione, un parere per iscritto al titolare del trattamento e, ove applicabile, al responsabile del trattamento e possa avvalersi dei poteri di cui all'articolo 47. Tale periodo può essere prorogato di un mese, tenendo conto della complessità del trattamento previsto. L'autorità di controllo informa il titolare del trattamento e, ove applicabile, il responsabile del trattamento di tale proroga, unitamente ai motivi del ritardo, entro un mese dal ricevimento della richiesta di consultazione.

Sezione 2

Sicurezza dei dati personali

Articolo 29

Sicurezza del trattamento

1.  Gli Stati membri dispongono che il titolare del trattamento e il responsabile del trattamento, tenuto conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, mettano in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, in particolare riguardo al trattamento di categorie particolari di dati personali di cui all'articolo 10.

2.  Ciascuno Stato membro dispone che per il trattamento automatizzato il titolare del trattamento o il responsabile del trattamento, previa valutazione dei rischi, metta in atto misure volte a:

Articolo 30

Notifica di una violazione dei dati personali all'autorità di controllo

1.  Gli Stati membri dispongono che, in caso di violazione dei dati personali, il titolare del trattamento notifichi la violazione all'autorità di controllo senza ingiustificato ritardo, ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

2.  Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

3.  La notifica di cui al paragrafo 1 deve almeno:

4.  Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

5.  Gli Stati membri dispongono che il titolare del trattamento documenti qualsiasi violazione dei dati personali di cui al paragrafo 1, comprese le circostanze in cui si è verificata la violazione dei dati personali, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.

6.  Gli Stati membri dispongono che, se la violazione dei dati personali riguarda dati personali che sono stati trasmessi dal o al titolare del trattamento di un altro Stato membro, le informazioni di cui al paragrafo 3 siano comunicate al titolare del trattamento di tale Stato membro senza ingiustificato ritardo.

Articolo 31

Comunicazione di una violazione dei dati personali all'interessato

1.  Gli Stati membri dispongono che, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunichi la violazione all'interessato senza ingiustificato ritardo.

2.  La comunicazione all'interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 30, paragrafo 3, lettere b), c) e d).

3.  Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:

4.  Nel caso in cui il titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.

5.  La comunicazione all'interessato di cui al paragrafo 1 del presente articolo può essere ritardata, limitata od omessa alle condizioni e per i motivi di cui all'articolo 13, paragrafo 3.

Sezione 3

Responsabile della protezione dei dati

Articolo 32

Designazione del responsabile della protezione dei dati

1.  Gli Stati membri dispongono che il titolare del trattamento designi un responsabile della protezione dei dati. Gli Stati membri possono esentare le autorità giurisdizionali e le altre autorità giudiziarie indipendenti quando esercitano le loro funzioni giurisdizionali da tale obbligo.

2.  Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 34.

3.  Può essere designato un unico responsabile della protezione dei dati per più autorità competenti, tenuto conto della loro struttura organizzativa e dimensione.

4.  Gli Stati membri dispongono che il titolare del trattamento pubblichi i dati di contatto del responsabile della protezione dei dati e le comunichi all'autorità di controllo.

Articolo 33

Posizione del responsabile della protezione dei dati

1.  Gli Stati membri dispongono che il titolare del trattamento si assicuri che il responsabile della protezione dei dati sia coinvolto adeguatamente e tempestivamente in tutte le questioni riguardanti la protezione dei dati personali.

2.  Il titolare del trattamento sostiene il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 34 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

Articolo 34

Compiti del responsabile della protezione dei dati

Gli Stati membri dispongono che il titolare del trattamento conferisca al responsabile della protezione dei dati almeno i seguenti compiti:

CAPO V

Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali

Articolo 35

Principi generali per il trasferimento di dati personali

1.  Gli Stati membri dispongono che qualunque trasferimento, a cura delle autorità competenti, di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un'organizzazione internazionale, compresi trasferimenti successivi verso un altro paese terzo o un'altra organizzazione internazionale, abbia luogo, fatta salva la conformità alle disposizioni nazionali adottate a norma delle altre disposizioni della presente direttiva, soltanto se sono soddisfatte le condizioni di cui al presente capo, vale a dire:

2.  Gli Stati membri dispongono che i trasferimenti senza l'autorizzazione preventiva di un altro Stato membro conformemente al paragrafo 1, lettera c), siano consentiti soltanto se il trasferimento di dati personali è necessario per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo o agli interessi vitali di uno Stato membro e l'autorizzazione preliminare non può essere ottenuta tempestivamente. L'autorità competente a rilasciare l'autorizzazione preliminare è informata senza indugio.

3.  Tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche assicurato dalla presente direttiva non sia pregiudicato.

Articolo 36

Trasferimento sulla base di una decisione di adeguatezza

1.  Gli Stati membri dispongono che il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale sia ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all'interno del paese terzo, o l'organizzazione internazionale in questione garantiscano un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche.

2.  Nel valutare l'adeguatezza del livello di protezione la Commissione prende in considerazione in particolare i seguenti elementi:

3.  La Commissione, previa valutazione dell'adeguatezza del livello di protezione, può decidere, mediante un atto di esecuzione, che un paese terzo, un territorio o uno o più settori specifici all'interno di un paese terzo, o un'organizzazione internazionale garantiscono un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo. L'atto di esecuzione prevede un meccanismo di riesame periodico, almeno ogni quattro anni, che tenga conto di tutti gli sviluppi pertinenti nel paese terzo o nell'organizzazione internazionale. L'atto di esecuzione specifica il proprio ambito di applicazione geografico e settoriale e, se del caso, identifica la o le autorità di controllo di cui al paragrafo 2, lettera b), del presente articolo. L'atto di esecuzione è adottato secondo la procedura d'esame di cui all'articolo 58, paragrafo 2.

4.  La Commissione controlla su base continuativa gli sviluppi nei paesi terzi e nelle organizzazioni internazionali che potrebbero incidere sul funzionamento delle decisioni adottate a norma del paragrafo 3.

5.  Se risulta dalle informazioni disponibili, in particolare in seguito al riesame di cui al paragrafo 3 del presente articolo, che un paese terzo, un territorio o uno o più settori specifici all'interno di un paese terzo, o un'organizzazione internazionale non garantiscono più un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, la Commissione revoca, modifica o sospende nella misura necessaria la decisione di cui al paragrafo 3 del presente articolo mediante atti di esecuzione senza effetto retroattivo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 58, paragrafo 2.

Per imperativi motivi di urgenza debitamente giustificati, la Commissione adotta atti di esecuzione immediatamente applicabili secondo la procedura di cui all'articolo 58, paragrafo 3.

6.  La Commissione avvia consultazioni con il paese terzo o l'organizzazione internazionale per porre rimedio alla situazione che ha motivato la decisione di cui al paragrafo 5.

7.  Gli Stati membri dispongono che una decisione ai sensi del paragrafo 5 lasci impregiudicato il trasferimento di dati personali verso il paese terzo, il territorio o uno o più settori specifici all'interno del paese terzo, o verso l'organizzazione internazionale in questione, a norma degli articoli 37 e 38.

8.  La Commissione pubblica nella Gazzetta ufficiale dell'Unione europea e sul suo sito web l'elenco dei paesi terzi, dei territori e settori specifici all'interno di un paese terzo, e delle organizzazioni internazionali per i quali ha deciso che è o non è più garantito un livello di protezione adeguato.

Articolo 37

Trasferimenti soggetti a garanzie adeguate

1.  In mancanza di una decisione ai sensi dell'articolo 36, paragrafo 3, gli Stati membri dispongono che sia ammesso un trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale se:

2.  Il titolare del trattamento informa l'autorità di controllo in merito alle categorie di trasferimenti di cui al paragrafo 1, lettera b).

3.  Qualora sia basato sul paragrafo 1, lettera b), un tale trasferimento deve essere documentato e, su richiesta, la documentazione deve essere messa a disposizione dell'autorità di controllo con l'indicazione della data e dell'ora del trasferimento, delle informazioni sull'autorità competente ricevente, della motivazione del trasferimento e dei dati personali trasferiti.

Articolo 38

Deroghe in specifiche situazioni

1.  In mancanza di una decisione di adeguatezza ai sensi dell'articolo 36 o di garanzie adeguate ai sensi dell'articolo 37, gli Stati membri provvedono affinché un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale possano aver luogo soltanto a condizione che il trasferimento sia necessario:

2.  I dati personali non sono trasferiti se l'autorità competente che opera il trasferimento determina che i diritti e le libertà fondamentali dell'interessato prevalgono sull'interesse pubblico al trasferimento di cui al paragrafo 1, lettere d) ed e).

3.  Qualora sia basato sul paragrafo 1, un tale trasferimento deve essere documentato e, su richiesta, la documentazione deve essere messa a disposizione dell'autorità di controllo con l'indicazione della data e dell'ora del trasferimento, delle informazioni sull'autorità competente ricevente, della motivazione del trasferimento e dei dati personali trasferiti.

Articolo 39

Trasferimenti di dati personali a destinatari stabiliti in paesi terzi

1.  In deroga all'articolo 35, paragrafo 1, lettera b), e fatti salvi eventuali accordi internazionali di cui al paragrafo 2 del presente articolo, il diritto dell'Unione o dello Stato membro può disporre che le autorità competenti di cui all'articolo 3, punto 7), lettera a), possano, in casi singoli e specifici, trasferire dati personali direttamente a destinatari stabiliti in paesi terzi soltanto se le altre disposizioni della presente direttiva sono rispettate e se sono soddisfatte tutte le seguenti condizioni:

2.  Per accordo internazionale di cui al paragrafo 1 si intende qualsiasi accordo internazionale bilaterale o multilaterale in vigore tra gli Stati membri e paesi terzi nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia.

3.  L'autorità competente del trasferimento informa l'autorità di controllo in merito ai trasferimenti a norma del presente articolo.

4.  Qualora sia basato sul paragrafo 1, un tale trasferimento è documentato.

Articolo 40

Cooperazione internazionale per la protezione dei dati personali

In relazione ai paesi terzi e alle organizzazioni internazionali, la Commissione e gli Stati membri adottano misure appropriate per:

CAPO VI

Autorità di controllo indipendenti

Sezione 1

Indipendenza

Articolo 41

Autorità di controllo

1.  Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l'applicazione della presente direttiva al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all'interno dell'Unione («autorità di controllo»).

2.  Ogni autorità di controllo contribuisce alla coerente applicazione della presente direttiva in tutta l'Unione. A tale scopo, le autorità di controllo cooperano tra loro e con la Commissione, a norma del capo VII.

3.  Gli Stati membri possono disporre che un'autorità di controllo istituita ai sensi del regolamento (UE) 2016/679 sia l'autorità di controllo di cui alla presente direttiva e assolva i compiti dell'autorità di controllo da istituirsi ai sensi del paragrafo 1 del presente articolo.

4.  Qualora in uno Stato membro siano istituite più autorità di controllo, tale Stato membro designa l'autorità di controllo che rappresenta tali autorità nel comitato di cui all'articolo 51.

Articolo 42

Indipendenza

1.  Ogni Stato membro dispone che ciascuna autorità di controllo agisca in piena indipendenza nell'adempimento dei propri compiti e nell'esercizio dei propri poteri previsti dalla presente direttiva.

2.  Gli Stati membri dispongono che, nell'adempimento dei rispettivi compiti e nell'esercizio dei rispettivi poteri previsti dalla presente direttiva, il membro o i membri delle rispettive autorità di controllo non subiscano pressioni esterne, né dirette, né indirette, e non sollecitino né accettino istruzioni da alcuno.

3.  I membri delle autorità di controllo degli Stati membri si astengono da qualunque azione incompatibile con le loro funzioni e per tutta la durata del mandato non possono esercitare alcuna altra attività incompatibile, remunerata o meno.

4.  Ogni Stato membro provvede affinché ciascuna autorità di controllo sia dotata delle risorse umane, tecniche e finanziarie, dei locali e delle infrastrutture necessari per l'effettivo adempimento dei propri compiti e l'esercizio dei propri poteri, compresi quelli nell'ambito dell'assistenza reciproca, della cooperazione e della partecipazione al comitato.

5.  Ogni Stato membro provvede affinché ciascuna autorità di controllo selezioni e disponga di personale proprio, soggetto alla direzione esclusiva del membro o dei membri dell'autorità di controllo in questione.

6.  Ogni Stato membro garantisce che ciascuna autorità di controllo sia soggetta a un controllo finanziario che non ne pregiudichi l'indipendenza e disponga di bilanci annuali, separati e pubblici, che possono far parte del bilancio generale statale o nazionale.

Articolo 43

Condizioni generali per i membri dell'autorità di controllo

1.  Gli Stati membri dispongono che ciascun membro delle rispettive autorità di controllo sia nominato attraverso una procedura trasparente:

2.  Ogni membro possiede le qualifiche, l'esperienza e le competenze, in particolare nel settore della protezione dei dati personali, richieste per l'esercizio delle sue funzioni e dei suoi poteri.

3.  Il mandato dei membri cessa alla scadenza del termine o in caso di dimissioni o di provvedimento d'ufficio, a norma del diritto dello Stato membro interessato.

4.  Un membro è rimosso solo in casi di colpa grave o se non soddisfa più le condizioni richieste per l'esercizio delle sue funzioni.

Articolo 44

Norme sull'istituzione dell'autorità di controllo

1.  Ogni Stato membro prevede con legge tutte le condizioni seguenti:

2.  Il membro o i membri e il personale di ogni autorità di controllo sono tenuti, in virtù del diritto dell'Unione o degli Stati membri, al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso nell'esecuzione dei loro compiti o nell'esercizio dei loro poteri, sia durante che dopo il mandato. Per tutta la durata del loro mandato, tale obbligo del segreto professionale si applica in particolare alle segnalazioni da parte di persone fisiche di violazioni della presente direttiva.

Sezione 2

Competenza, compiti e poteri

Articolo 45

Competenza

1.  Ogni Stato membro dispone che ciascuna autorità di controllo sia competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti, ai sensi della presente direttiva nel territorio del rispettivo Stato membro.

2.  Ogni Stato membro dispone che ciascuna autorità di controllo non sia preposta a controllare i trattamenti effettuati dalle autorità giurisdizionali nell'esercizio delle loro funzioni giurisdizionali. Gli Stati membri possono disporre che le rispettive autorità di controllo non siano competenti per il controllo dei trattamenti effettuati da altre autorità giurisdizionali indipendenti nell'esercizio delle loro funzioni giurisdizionali.

Articolo 46

Compiti

1.  Ogni Stato membro dispone che sul proprio territorio ciascuna autorità di controllo:

2.  Ogni autorità di controllo agevola la proposizione di reclami di cui al paragrafo 1, lettera f), tramite provvedimenti quali, ad esempio, la messa a disposizione di un modulo per la proposizione dei reclami compilabile anche elettronicamente, senza escludere altri mezzi di comunicazione.

3.  Ogni autorità di controllo svolge i propri compiti senza spese né per l'interessato né per il titolare della protezione dei dati.

4.  Qualora una richiesta sia manifestamente infondata o eccessiva, in particolare in quanto ripetitiva, l'autorità di controllo può addebitare un contributo spese ragionevole basato sui propri costi amministrativi o può rifiutare di soddisfare la richiesta. Incombe all'autorità di controllo dimostrare che la richiesta è manifestamente infondata o eccessiva.

Articolo 47

Poteri

1.  Ogni Stato membro dispone per legge che ciascuna autorità di controllo abbia poteri d'indagine effettivi. Tali poteri comprendono almeno il potere di ottenere, dal titolare del trattamento e dal responsabile del trattamento, l'accesso a tutti i dati personali oggetto del trattamento e a tutte le informazioni necessarie per l'adempimento dei suoi compiti.

2.  Ogni Stato membro dispone per legge che ciascuna autorità di controllo abbia poteri correttivi effettivi, come ad esempio:

3.  Ogni Stato membro dispone per legge che ciascuna autorità di controllo abbia poteri consultivi effettivi per fornire consulenza al titolare del trattamento, secondo la procedura di consultazione preventiva di cui all'articolo 28, e per formulare, di propria iniziativa o su richiesta, pareri destinati al proprio parlamento nazionale e al proprio governo dello Stato membro, oppure, conformemente al proprio diritto nazionale, ad altri istituzioni e organismi nonché al pubblico su questioni riguardanti la protezione dei dati personali.

4.  L'esercizio da parte di un'autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie adeguate, inclusi il ricorso giurisdizionale effettivo e il giusto processo, previste dal diritto dell'Unione e dello Stato membro conformemente alla Carta.

5.  Ogni Stato membro dispone per legge che ciascuna autorità di controllo abbia il potere di sottoporre all'attenzione di autorità giudiziarie violazioni delle disposizioni adottate a norma della presente direttiva e, se del caso, di intentare un'azione o di agire in sede giudiziale, per far rispettare le disposizioni adottate a norma della presente direttiva.

Articolo 48

Segnalazione di violazioni

Gli Stati membri dispongono che le autorità competenti pongano in essere meccanismi efficaci per incoraggiare la segnalazione riservata di violazioni della presente direttiva.

Articolo 49

Relazioni di attività

Ogni autorità di controllo elabora una relazione annuale sulla propria attività, in cui può figurare un elenco delle tipologie di violazioni notificate e di sanzioni imposte. Tali relazioni sono trasmesse al parlamento nazionale, al governo e alle altre autorità designate dal diritto dello Stato membro. Esse sono messe a disposizione del pubblico, della Commissione e del comitato.

CAPO VII

Cooperazione

Articolo 50

Assistenza reciproca

1.  Ogni Stato membro dispone che le rispettive autorità di controllo si scambino le informazioni utili e si prestino assistenza reciproca al fine di attuare e applicare la presente direttiva in maniera coerente, e mettano in atto misure per cooperare efficacemente tra loro. L'assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di effettuare consultazioni, ispezioni e indagini.

2.  Ogni Stato membro dispone che ciascuna autorità di controllo adotti tutte le misure opportune necessarie per dare seguito a una richiesta di un'altra autorità di controllo senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta. Tali misure possono consistere, in particolare, nella trasmissione di informazioni utili sullo svolgimento di un'indagine.

3.  Le richieste di assistenza contengono tutte le informazioni necessarie, compresi lo scopo e i motivi della richiesta. Le informazioni scambiate sono utilizzate ai soli fini per cui sono state richieste.

4.  L'autorità di controllo cui è presentata la richiesta non deve rifiutare di darvi seguito, salvo che:

5.  L'autorità di controllo che riceve la richiesta informa l'autorità di controllo richiedente dell'esito o, se del caso, dei progressi delle misure adottate per rispondere alla richiesta. L'autorità di controllo che riceve la richiesta fornisce le motivazioni del rifiuto di darvi seguito ai sensi del paragrafo 4.

6.  Di norma, le autorità di controllo che ricevono le richieste forniscono, con mezzi elettronici, usando un modulo standard, le informazioni richieste da altre autorità di controllo.

7.  Le autorità di controllo che ricevono le richieste non addebitano un contributo spese per le misure da loro adottate a seguito di una richiesta di assistenza reciproca. Le autorità di controllo possono concordare di concedersi gli indennizzi per spese specifiche risultanti dalla prestazione di assistenza reciproca in circostanze eccezionali.

8.  La Commissione può, mediante atti di esecuzione, specificare il formato e le procedure per l'assistenza reciproca di cui al presente articolo e le modalità per lo scambio di informazioni con mezzi elettronici tra autorità di controllo e tra le autorità di controllo e il comitato. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 58, paragrafo 2.

Articolo 51

Compiti del comitato

1.  Il comitato istituito dal regolamento (UE) 2016/679 adempie tutti i seguenti compiti in relazione ai trattamenti rientranti nell'ambito di applicazione della presente direttiva:

▼C1

▼B

Con riguardo alla lettera g), primo comma, la Commissione fornisce al comitato tutta la documentazione necessaria, inclusa la corrispondenza con il governo del paese terzo, con il territorio o il settore specifico all'interno di tale paese terzo o con l'organizzazione internazionale.

2.  Qualora chieda consulenza al comitato, la Commissione può indicare un termine, tenuto conto dell'urgenza della questione.

3.  Il comitato trasmette pareri, linee guida, raccomandazioni e migliori prassi alla Commissione e al comitato di cui all'articolo 58, paragrafo 1, e li pubblica.

4.  La Commissione informa il comitato del seguito dato ai suoi pareri, linee guida, raccomandazioni e migliori prassi.

CAPO VIII

Ricorsi, responsabilità e sanzioni

Articolo 52

Diritto di proporre reclamo all'autorità di controllo

1.  Gli Stati membri dispongono che, fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento dei dati personali che lo riguardano violi le disposizioni adottate a norma della presente direttiva abbia il diritto di proporre reclamo a un'unica autorità di controllo.

2.  Gli Stati membri dispongono che l'autorità di controllo a cui è stato proposto il reclamo lo trasmetta senza ingiustificato ritardo all'autorità di controllo competente qualora il reclamo non sia proposto a quest'ultima ai sensi dell'articolo 45, paragrafo 1,. L'interessato è informato della trasmissione.

3.  Gli Stati membri dispongono che l'autorità di controllo a cui sia stato proposto il reclamo fornisca ulteriore assistenza su richiesta dell'interessato.

4.  L'autorità di controllo competente informa l'interessato dello stato o dell'esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell'articolo 53.

Articolo 53

Diritto a un ricorso giurisdizionale effettivo nei confronti dell'autorità di controllo

1.  Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, gli Stati membri prevedono il diritto di una persona fisica o giuridica a un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell'autorità di controllo che la riguarda.

2.  Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ciascun interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora l'autorità di controllo che sia competente ai sensi dell'articolo 45, paragrafo 1, non tratti un reclamo o non lo informi entro tre mesi dello stato o dell'esito del reclamo proposto ai sensi dell'articolo 52.

3.  Gli Stati membri dispongono che le azioni nei confronti dell'autorità di controllo siano promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l'autorità di controllo è stabilita.

Articolo 54

Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento

Gli Stati membri dispongono che, fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un'autorità di controllo ai sensi dell'articolo 52, l'interessato abbia il diritto a un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode ai sensi delle disposizioni adottate a norma della presente direttiva siano stati violati a seguito del trattamento dei propri dati personali in violazione di tali disposizioni.

Articolo 55

Rappresentanza degli interessati

Gli Stati membri dispongono che, conformemente al diritto processuale dello Stato membro, l'interessato abbia il diritto di dare mandato a un organismo, un'organizzazione o un'associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto dello Stato membro, abbiano obiettivi statutari che siano di pubblico interesse e siano attivi nel settore della tutela dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 52, 53 e 54.

Articolo 56

Diritto al risarcimento

Gli Stati membri dispongono che chiunque subisca un danno materiale o immateriale cagionato da un trattamento illecito o da qualsiasi altro atto che violi le disposizioni adottate a norma della presente direttiva abbia il diritto di ottenere il risarcimento del danno dal titolare del trattamento o da altra autorità competente in base al diritto dello Stato membro.

Articolo 57

Sanzioni

Gli Stati membri stabiliscono le norme relative alle sanzioni applicabili in caso di violazione delle disposizioni adottate a norma della presente direttiva e adottano tutti i provvedimenti necessari per assicurarne l'applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive.

CAPO IX

Atti di esecuzione

Articolo 58

Procedura di comitato

1.  La Commissione è assistita dal comitato istituito dall'articolo 93 del regolamento (UE) 2016/679. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.

2.  Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011.

3.  Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 8 del regolamento (UE) n. 182/2011 in combinato disposto con il suo articolo 5.

CAPO X

Disposizioni finali

Articolo 59

Abrogazione della decisione quadro 2008/977/GAI

1.  La decisione quadro 2008/977/GAI è abrogata a decorrere dal 6 maggio 2018.

2.  I riferimenti alla decisione abrogata di cui al paragrafo 1 si intendono fatti alla presente direttiva.

Articolo 60

Atti giuridici dell'Unione già in vigore

Rimangono impregiudicate le disposizioni specifiche per la protezione dei dati personali contenute in atti giuridici dell'Unione che sono entrati in vigore il o anteriormente al 6 maggio 2016 nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia, che disciplinano il trattamento tra Stati membri e l'accesso delle autorità nazionali designate ai sistemi d'informazione istituiti ai sensi dei trattati, nell'ambito di applicazione della presente direttiva.

Articolo 61

Rapporto con gli accordi internazionali precedentemente conclusi nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia

Restano in vigore, fino alla loro modifica, sostituzione o revoca, gli accordi internazionali relativi al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali che sono stati conclusi dagli Stati membri anteriormente al 6 maggio 2016 e che sono conformi al diritto dell'Unione applicabile anteriormente a tale data.

Articolo 62

Relazioni della Commissione

1.  Entro il 6 maggio 2022 e, successivamente, ogni quattro anni, la Commissione trasmette al Parlamento europeo e al Consiglio una relazione di valutazione e sul riesame della presente direttiva. Tale relazione è pubblicata.

2.  Nel contesto delle valutazioni e dei riesami di cui al paragrafo 1 la Commissione esamina, in particolare, l'applicazione e il funzionamento del capo V sul trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, con particolare riguardo alle decisioni adottate ai sensi dell'articolo 36, paragrafo 3, e dell'articolo 39.

3.  Ai fini dei paragrafi 1 e 2 la Commissione può richiedere informazioni agli Stati membri e alle autorità di controllo.

4.  Nello svolgere le valutazioni e i riesami di cui ai paragrafi 1 e 2, la Commissione tiene conto delle posizioni e delle conclusioni del Parlamento europeo, del Consiglio, nonché di altri organismi o fonti pertinenti.

5.  Se del caso, la Commissione presenta opportune proposte di modifica della presente direttiva tenuto conto, in particolare, degli sviluppi delle tecnologie dell'informazione e dei progressi della società dell'informazione.

6.  Entro il 6 maggio 2019, la Commissione riesamina gli altri atti giuridici adottati dall'Unione che disciplinano il trattamento da parte delle autorità competenti per le finalità di cui all'articolo 1, paragrafo 1, in particolare quelli di cui all'articolo 60, al fine di valutare la necessità di allinearli alla presente direttiva e formulare, ove opportuno, le proposte necessarie per modificarli in modo da garantire un approccio coerente alla protezione dei dati personali nell'ambito della presente direttiva.

Articolo 63

Recepimento

1.  Gli Stati membri adottano e pubblicano, entro il 6 maggio 2018, le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva. Essi comunicano immediatamente alla Commissione il testo di tali disposizioni. Essi applicano tali disposizioni a decorrere dal 6 maggio 2018.

Le disposizioni adottate dagli Stati membri contengono un riferimento alla presente direttiva o sono corredate di tale riferimento all'atto della pubblicazione ufficiale. Le modalità del riferimento sono stabilite dagli Stati membri.

2.  In deroga al paragrafo 1, uno Stato membro può disporre che, in via eccezionale, qualora ciò comporti sforzi sproporzionati, i sistemi di trattamento automatizzato istituiti anteriormente al 6 maggio 2016 siano resi conformi all'articolo 25, paragrafo 1, entro il 6 maggio 2023.

3.  In deroga ai paragrafi 1 e 2 del presente articolo, uno Stato membro può, in circostanze eccezionali, rendere un sistema di trattamento automatizzato di cui al paragrafo 2 del presente articolo conforme all'articolo 25, paragrafo 1, entro un termine specificato dopo il termine di cui al paragrafo 2 del presente articolo, qualora ciò causi altrimenti gravi difficoltà per il funzionamento di tale particolare sistema di trattamento automatizzato. Lo Stato membro in questione comunica alla Commissione i motivi di tali gravi difficoltà e i motivi del termine specificato entro il quale rende tale particolare sistema di trattamento automatizzato conforme all'articolo 25, paragrafo 1. Il termine specificato non supera in ogni caso il 6 maggio 2026.

4.  Gli Stati membri comunicano alla Commissione il testo delle disposizioni fondamentali di diritto interno che adottano nel settore disciplinato dalla presente direttiva.

Articolo 64

Entrata in vigore

La presente direttiva entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Articolo 65

Destinatari

Gli Stati membri sono destinatari della presente direttiva.