all’articolo 1, il paragrafo 1 è sostituito dal seguente:

«1.

La presente direttiva prevede l’armonizzazione delle disposizioni nazionali necessarie per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata e alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche e per assicurare la libera circolazione di tali dati e delle apparecchiature e dei servizi di comunicazione elettronica all’interno della Comunità.»;

l’articolo 2 è così modificato:

la lettera c) è sostituita dalla seguente:

«c)

“dati relativi all'ubicazione”: ogni dato trattato in una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indichi la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico»;

la lettera e) è soppressa;

►C1 c)

è aggiunta la seguente lettera:

«i)

“violazione dei dati personali”: ◄ violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico nella Comunità.»;

l’articolo 3 è sostituito dal seguente:

«Articolo 3

Servizi interessati

La presente direttiva si applica al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti di comunicazione pubbliche nella Comunità, comprese le reti di comunicazione pubbliche che supportano i dispositivi di raccolta e di identificazione dei dati.»;

l’articolo 4 è così modificato:

il titolo è sostituito dal seguente:

«Sicurezza del trattamento»;

è inserito il seguente paragrafo:

«1 bis

Fatta salva la direttiva 95/46/CE, le misure di cui al paragrafo 1 quanto meno:

—

garantiscono che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati,

—

tutelano i dati personali archiviati o trasmessi dalla distruzione accidentale o illecita, da perdita o alterazione accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, e

—

garantiscono l’attuazione di una politica di sicurezza in ordine al trattamento dei dati personali.

Le autorità nazionali competenti sono legittimate a verificare le misure adottate dai fornitori di servizi di comunicazione elettronica accessibili al pubblico e a emanare raccomandazioni sulle migliori prassi in materia di sicurezza che tali misure dovrebbero conseguire.»;

sono aggiunti i seguenti paragrafi:

«3.

In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione all’autorità nazionale competente.

Quando la violazione di dati personali rischia di pregiudicare i dati personali o la vita privata di un abbonato o di altra persona, il fornitore comunica l’avvenuta violazione anche all’abbonato o ad altra persona interessata.

Non è richiesta la notifica di una violazione dei dati personali a un abbonato o a una persona interessata se il fornitore ha dimostrato in modo convincente all’autorità competente di aver utilizzato le opportune misure tecnologiche di protezione e che tali misure erano state applicate ai dati interessati dalla violazione della sicurezza. Tali misure tecnologiche di protezione rendono i dati incomprensibili a chiunque non sia autorizzato ad accedervi.

Fatto salvo l’obbligo per i fornitori di informare gli abbonati e altri interessati, se il fornitore di servizi non ha provveduto a notificare all’abbonato o all’interessato la violazione dei dati personali, l’autorità nazionale competente, considerate le presumibili ripercussioni negative della violazione, può obbligare il fornitore in questione a farlo.

La comunicazione all’abbonato o ad altra persona contiene almeno una descrizione della natura della violazione di dati personali e i punti di contatto presso cui si possono ottenere maggiori informazioni ed elenca le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione di dati personali. La comunicazione all’autorità nazionale competente descrive, inoltre, le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio.

Fatte salve eventuali misure tecniche di attuazione adottate a norma del paragrafo 5, le autorità nazionali competenti possono emanare orientamenti e, ove necessario, stabilire istruzioni relative alle circostanze in cui il fornitore ha l’obbligo di comunicare le violazioni di dati personali, al formato applicabile a tale comunicazione, nonché alle relative modalità di effettuazione. Esse possono altresì verificare se i fornitori hanno adempiuto ai loro obblighi di comunicazione a norma del presente paragrafo e irrogano sanzioni appropriate in caso di omissione.

I fornitori tengono un inventario delle violazioni dei dati personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio, in misura sufficiente per consentire alle autorità nazionali competenti di verificare il rispetto delle disposizioni di cui al paragrafo 3. Nell’inventario figurano unicamente le informazioni necessarie a tal fine.

Per assicurare l’attuazione uniforme delle misure di cui ai paragrafi 2, 3 e 4, dopo aver consultato l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), il gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali, istituito dall’articolo 29 della direttiva 95/46/CE e il Garante europeo della protezione dei dati, la Commissione può adottare misure tecniche di attuazione riguardanti le circostanze, il formato e le procedure applicabili alle prescrizioni in materia di informazioni e comunicazioni di cui al presente articolo. Nell’adottare tali misure, la Commissione coinvolge tutti i soggetti interessati, in particolare al fine di ottenere informazioni sulle migliori soluzioni tecniche ed economiche disponibili ai fini dell’applicazione del presente articolo.

Tali misure, intese a modificare elementi non essenziali della presente direttiva completandola, sono adottate secondo la procedura di regolamentazione con controllo di cui all’articolo 14 bis, paragrafo 2.»;

all’articolo 5, il paragrafo 3 è sostituito dal seguente:

«3.

Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio.»;

all’articolo 6, il paragrafo 3 è sostituito dal seguente:

«3.

Ai fini della commercializzazione dei servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, il fornitore di un servizio di comunicazione elettronica accessibile al pubblico ha facoltà di sottoporre a trattamento i dati di cui al paragrafo 1 nella misura e per la durata necessaria per siffatti servizi, o per la commercializzazione, sempre che l’abbonato o l’utente a cui i dati si riferiscono abbia espresso preliminarmente il proprio consenso. Gli abbonati o utenti hanno la possibilità di ritirare il loro consenso al trattamento dei dati relativi al traffico in qualsiasi momento.»;

l’articolo 13 è sostituito dal seguente:

«Articolo 13

Comunicazioni indesiderate

L’uso di sistemi automatizzati di chiamata e di comunicazione senza intervento di un operatore (dispositivi automatici di chiamata), del telefax o della posta elettronica a fini di commercializzazione diretta è consentito soltanto nei confronti degli abbonati o degli utenti che abbiano espresso preliminarmente il loro consenso.

Fatto salvo il paragrafo 1, allorché una persona fisica o giuridica ottiene dai suoi clienti le coordinate elettroniche per la posta elettronica nel contesto della vendita di un prodotto o servizio ai sensi della direttiva 95/46/CE, la medesima persona fisica o giuridica può utilizzare tali coordinate elettroniche a scopi di commercializzazione diretta di propri analoghi prodotti o servizi, a condizione che ai clienti sia offerta in modo chiaro e distinto la possibilità di opporsi, gratuitamente e in maniera agevole, all’uso di tali coordinate elettroniche al momento della raccolta delle coordinate e in occasione di ogni messaggio, qualora il cliente non abbia rifiutato inizialmente tale uso.

Gli Stati membri adottano le misure appropriate per garantire che le comunicazioni indesiderate allo scopo di commercializzazione diretta, in casi diversi da quelli di cui ai paragrafi 1 e 2, non siano permesse se manca il consenso degli abbonati o utenti interessati oppure se gli abbonati o utenti esprimono il desiderio di non ricevere questo tipo di chiamate; la scelta tra queste due possibilità è effettuata dalla normativa nazionale, tenendo conto del fatto che entrambe le possibilità devono essere gratuite per l’abbonato o l’utente.

In ogni caso, è vietata la prassi di inviare messaggi di posta elettronica a scopi di commercializzazione diretta, camuffando o celando l’identità del mittente da parte del quale la comunicazione è effettuata, o in violazione dell’articolo 6 della direttiva 2000/31/CE, o senza fornire un indirizzo valido cui il destinatario possa inviare una richiesta di cessazione di tali comunicazioni o ancora esortando i destinatari a visitare siti web che violino il predetto articolo.

I paragrafi 1 e 3 si applicano agli abbonati che siano persone fisiche. Gli Stati membri garantiscono inoltre, nel quadro del diritto comunitario e della normativa nazionale applicabile, un’adeguata tutela degli interessi legittimi degli abbonati che non siano persone fisiche relativamente alle comunicazioni indesiderate.

►C2 Fatti salvi i ricorsi amministrativi che possono essere presentati, in particolare, a norma dell'articolo 15 bis, paragrafo 2, gli Stati membri garantiscono che ogni persona fisica o giuridica che abbia subito effetti pregiudizievoli a seguito delle violazioni delle disposizioni nazionali adottate ai sensi del presente articolo e abbia pertanto un interesse legittimo alla cessazione o al divieto di tali violazioni, ◄ in particolare un fornitore di servizi di comunicazione elettronica che intenda tutelare i propri legittimi interessi commerciali, abbia il diritto di promuovere un’azione giudiziaria contro tali violazioni. Gli Stati membri possono inoltre stabilire regole specifiche relative alle sanzioni applicabili ai fornitori di servizi di comunicazione elettronica che con la loro negligenza contribuiscono alla violazione delle disposizioni nazionali adottate ai sensi del presente articolo.»;

è inserito il seguente articolo:

«Articolo 14 bis

Procedura di comitato

La Commissione è assistita dal comitato per le comunicazioni istituito a norma dell’articolo 22 della direttiva 2002/21/CE (direttiva quadro).

Nei casi in cui è fatto riferimento al presente paragrafo, si applicano l’articolo 5 bis, paragrafi da 1 a 4, e l’articolo 7 della decisione 1999/468/CE, tenendo conto delle disposizioni dell’articolo 8 della stessa.

Nei casi in cui è fatto riferimento al presente paragrafo, si applicano l’articolo 5 bis, paragrafi 1, 2, 4 e 6, e l’articolo 7 della decisione 1999/468/CE, tenendo conto delle disposizioni dell’articolo 8 della stessa.»;

all’articolo 15 è aggiunto il seguente paragrafo:

«1 ter.

I fornitori istituiscono procedure interne per rispondere alle richieste di accesso ai dati personali degli utenti sulla base delle disposizioni nazionali adottate a norma del paragrafo 1. Su richiesta, forniscono alla competente autorità nazionale informazioni su dette procedure, sul numero di richieste ricevute, sui motivi legali addotti e sulla loro risposta.»;

è inserito il seguente articolo:

«Articolo 15 bis

Attuazione e controllo dell’attuazione

Gli Stati membri determinano le sanzioni, incluse, se del caso, sanzioni penali, da irrogare in caso di violazione delle norme nazionali di attuazione della presente direttiva e prendono tutti i provvedimenti necessari per la loro applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive e possono essere applicate per coprire la durata della violazione, anche se a tale violazione è stato successivamente posto rimedio. Gli Stati membri notificano tali disposizioni alla Commissione entro il 25 maggio 2011, e comunicano senza indugio, alla Commissione, ogni successiva modifica a queste disposizioni.

Fatti salvi i rimedi giurisdizionali eventualmente esperibili, gli Stati membri provvedono affinché l’autorità nazionale competente e, se del caso, altri organismi nazionali, abbiano la competenza di ordinare la cessazione delle violazioni di cui al paragrafo 1.

Gli Stati membri provvedono affinché l’autorità nazionale competente e, se del caso, altri organismi nazionali, dispongano delle risorse e delle competenze necessarie, compreso il potere di ottenere ogni informazione pertinente di cui possano avere bisogno per applicare e controllare le disposizioni nazionali adottate conformemente alla presente direttiva.

Le competenti autorità nazionali di regolamentazione possono adottare misure volte ad assicurare un’efficace collaborazione transfrontaliera nell’applicazione delle norme nazionali adottate conformemente alla presente direttiva e per creare condizioni armonizzate per la fornitura di servizi che comportino flussi di dati transfrontalieri.

Le autorità nazionali di regolamentazione forniscono alla Commissione, con largo anticipo rispetto all’adozione di tali misure, una sintesi delle ragioni alla base dell'intervento, delle misure previste e dell’impostazione proposta. Dopo aver esaminato le informazioni in oggetto e previa consultazione dell’ENISA e del gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali, istituito dall’articolo 29 della direttiva 95/46/CE, la Commissione può esprimere osservazioni e formulare raccomandazioni al riguardo, in particolare allo scopo di garantire che le misure in parola non incidano negativamente sul funzionamento del mercato interno. Nel decidere sulle misure, le autorità nazionali di regolamentazione tengono nella massima considerazione le osservazioni o le raccomandazioni della Commissione.»

Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche): articolo 13 (GU L 201 del 31.7.2002, pag. 37).»

di ricomporre i segnali conformemente ad un algoritmo di scomposizione comune europeo, gestito e riconosciuto da un organismo di normalizzazione europeo (attualmente l’ETSI),

di visualizzare i segnali trasmessi in chiaro a condizione che, in caso di locazione dell’apparecchiatura, il locatario si conformi alle disposizioni del contratto di locazione.

		Gazzetta ufficiale
		n.	pag.	data
►M1	DIRETTIVA (UE) 2018/1972 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO Testo rilevante ai fini del SEE dell’11 dicembre 2018	L 321	36	17.12.2018

►C1	Rettifica, GU L 241, 10.9.2013, pag. 9 (2009/136/CE)
►C2	Rettifica, GU L 162, 23.6.2017, pag. 56 (2009/136/CE)