52012PC0011

Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) /* COM/2012/011 final - 2012/0011 (COD) */


RELAZIONE

1. CONTESTO DELLA PROPOSTA

La presente relazione illustra la proposta di nuovo quadro giuridico per la protezione dei dati personali nell’Unione europea, delineata nella comunicazione COM (2012) 9 final[1]. Il nuovo quadro consta di due proposte legislative:

– una proposta regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati);

– una proposta di direttiva del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati[2].

La presente relazione riguarda la proposta di regolamento generale sulla protezione dei dati.

La direttiva 95/46/CE[3] – pietra angolare nell’impianto della vigente normativa dell’UE in materia di protezione dei dati personali – è stata adottata nel 1995 con due obiettivi: salvaguardare il diritto fondamentale alla protezione dei dati e garantire la libera circolazione dei dati personali tra gli Stati membri. Alla direttiva è stata integrata la decisione quadro 2008/977/GAI (di seguito “decisione quadro”) che è uno strumento generale applicabile a livello di Unione per proteggere i dati personali nei settori della cooperazione giudiziaria e di polizia in materia penale[4].

Incalzanti sviluppi tecnologici hanno allontanato le frontiere della protezione dei dati personali. La portata della condivisione e della raccolta di dati è aumentata in modo vertiginoso: la tecnologia attuale consente alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività e, sempre più spesso, gli stessi privati rendono pubbliche sulla rete mondiale informazioni personali che li riguardano. Le nuove tecnologie non hanno trasformato solo l’economia ma anche le relazioni sociali.

Instaurare un clima di fiducia negli ambienti on line è fondamentale per lo sviluppo economico. La mancanza di fiducia frena i consumatori dall’acquistare on line e utilizzare nuovi servizi. Tale situazione rischia di rallentare lo sviluppo di applicazioni tecnologiche innovative. Per questo motivo la protezione dei dati personali riveste un’importanza fondamentale per l’Agenda digitale europea[5] e, più in generale, per la strategia Europa 2020[6].

L’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea (TFUE) introdotto dal trattato di Lisbona, stabilisce il principio secondo il quale ogni persona ha diritto alla protezione dei dati personali che la riguardano. Inoltre, all’articolo 16, paragrafo 2, del TFUE il trattato di Lisbona ha introdotto una base giuridica specifica per l’adozione di norme in materia di protezione dei dati personali. L’articolo 8 della Carta dei diritti fondamentali dell’Unione europea annovera la protezione dei dati personali tra i diritti fondamentali.

Il Consiglio europeo ha invitato la Commissione a valutare il funzionamento degli strumenti giuridici dell’Unione in materia di protezione dei dati e a presentare, se necessario, nuove iniziative legislative e non legislative[7]. Nella sua risoluzione sul programma di Stoccolma[8] il Parlamento europeo ha accolto con favore la proposta relativa ad un quadro giuridico completo in materia di protezione dei dati nell’UE chiedendo, tra l’altro, la revisione della decisione quadro. Nel piano d’azione per l’attuazione del programma di Stoccolma[9] la Commissione ha sottolineato la necessità di assicurare l’applicazione sistematica del diritto fondamentale alla protezione dei dati personali nel contesto di tutte le politiche europee.

Nella comunicazione “Un approccio globale alla protezione dei dati personali nell’Unione europea”[10], la Commissione è giunta alla conclusione che l’Unione europea ha bisogno di una politica più completa e coerente rispetto al diritto fondamentale alla protezione dei dati personali.

Pur rimanendo valido in termini di obiettivi e principi, il quadro giuridico attuale non ha impedito la frammentazione delle modalità di applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica e la diffusa percezione nel pubblico che le operazioni on line comportino notevoli rischi[11]. È giunto pertanto il momento di instaurare un quadro giuridico più solido e coerente in materia di protezione dei dati nell’Unione che, affiancato da efficaci misure di attuazione, consentirà lo sviluppo dell’economia digitale nel mercato interno, garantirà alle persone fisiche il controllo dei loro dati personali e rafforzerà la certezza giuridica e operativa per i soggetti economici e le autorità pubbliche.

2. Consultazione delle parti interessate e valutazione d’impatto

La presente iniziativa è il risultato di estese consultazioni con tutte le principali parti interessate sul riesame dell’attuale quadro normativo in materia di protezione dei dati personali, svoltesi nell’arco di oltre due anni e comprendenti una conferenza ad alto livello nel maggio 2009[12] e due fasi di consultazione pubblica:

– dal 9 luglio al 31 dicembre 2009, la consultazione relativa al quadro giuridico del diritto fondamentale alla protezione dei dati personali, per la quale la Commissione ha ricevuto 168 risposte, 127 provenienti da privati cittadini, organizzazioni e associazioni imprenditoriali e 12 dalle autorità pubbliche[13];

– dal 4 novembre 2010 al 15 gennaio 2011, la consultazione sulla comunicazione della Commissione “Un approccio globale alla protezione dei dati personali nell’Unione europea”, per la quale la Commissione ha ricevuto 305 risposte, 54 da privati cittadini, 31 da autorità pubbliche e 220 da organizzazioni private, soprattutto associazioni d’imprese e organizzazioni non governative[14].

Si sono inoltre tenute consultazioni ad hoc con i principali portatori d’interesse; sono stati organizzati specifici incontri nei mesi di giugno e luglio 2010 con le autorità degli Stati membri e le parti interessate del settore privato, con le organizzazioni attive nel settore della protezione della vita privata, della protezione dei dati e le associazioni di consumatori[15]. Nel novembre 2010 Viviane Reding, vicepresidente della Commissione europea, ha organizzato una tavola rotonda sulla riforma della protezione dei dati. Il 28 gennaio 2011 (giornata della protezione dei dati), la Commissione europea e il Consiglio d’Europa hanno co-organizzato una conferenza ad alto livello per discutere gli aspetti della riforma del quadro normativo dell’Unione così come la necessità di standard comuni per la protezione dei dati applicabili a livello mondiale[16]. La presidenza ungherese e la presidenza polacca del Consiglio hanno inoltre patrocinato, rispettivamente il 16-17 giugno 2011 e il 21 settembre 2011, due conferenze sulla protezione dei dati.

Nel corso del 2011 si sono svolti workshop e seminari su questioni specifiche. In gennaio l’Agenzia ENISA[17] ha organizzato un seminario sulla notificazione delle violazioni dei dati in Europa[18]. Nel mese di febbraio, la Commissione ha organizzato un seminario con le autorità degli Stati membri al fine di discutere gli aspetti della protezione dei dati nell’ambito della cooperazione di polizia e della cooperazione giudiziaria in materia penale, nonché l’attuazione della decisione quadro, e l’Agenzia per i diritti fondamentali ha tenuto una riunione consultiva con le parti interessate in tema di “protezione dei dati e della vita privata”. Una discussione sulle tematiche centrali della riforma si è svolta il 13 luglio 2011 con le autorità nazionali di protezione dei dati. I cittadini europei sono stati consultati attraverso un sondaggio Eurobarometro effettuato nel novembre-dicembre 2010[19], sono stati avviati diversi studi in materia[20] e il Gruppo di lavoro “Articolo 29”[21] ha dato numerosi pareri e un utile contributo alla Commissione[22]. Il garante europeo della protezione dei dati ha espresso un parere complessivo sulle questioni sollevate nella comunicazione della Commissione del mese di novembre 2010[23].

Il Parlamento europeo ha approvato, con risoluzione del 6 luglio 2011, una relazione a sostegno dell’impostazione adottata dalla Commissione per la riforma del quadro normativo in materia di protezione dei dati[24]. Le conclusioni adottate il 24 febbraio 2011 dal Consiglio dell’Unione europea esprimono un consenso generale all’intento della Commissione di riformare il quadro sulla protezione dei dati e approvano diversi elementi della strategia della Commissione. Anche il Comitato economico e sociale europeo ha commentato favorevolmente l’obiettivo della Commissione di garantire un’applicazione più coerente della normativa dell’UE in materia di protezione dei dati in tutti gli Stati membri[25] e un’adeguata revisione della direttiva 95/46/CE[26].

Nel corso delle consultazioni sull’impostazione generale la grande maggioranza degli interpellati ha convenuto che i principi generali rimangono validi, ma che occorre adattare il quadro attuale affinché possa rispondere meglio alle sfide poste dalla rapida evoluzione delle nuove tecnologie (in particolare on line) e dalla crescente globalizzazione, pur mantenendo la neutralità tecnologica del quadro giuridico. Aspre critiche ha suscitato l’attuale frammentazione della protezione dei dati personali nell’Unione, in particolare degli operatori economici che hanno chiesto una maggiore certezza giuridica e l’armonizzazione delle norme sulla protezione dei dati personali, sostenendo che la complessità delle norme sui trasferimenti internazionali dei dati personali sia un notevole ostacolo alle proprie attività che spesso presuppongono il trasferimento di dati personali dall’UE verso altre parti del mondo.

In linea con l’iniziativa “Legiferare meglio”, la Commissione ha proceduto a una valutazione dell’impatto delle diverse opzioni strategiche. La valutazione d’impatto è stata incentrata su tre obiettivi: migliorare la dimensione di mercato interno della protezione dei dati; rendere più efficace l’esercizio del diritto alla protezione dei dati da parte dei privati; creare un quadro completo e coerente applicabile a tutti i settori di competenza dell’Unione, compresa la cooperazione di polizia e la cooperazione giudiziaria in materia penale. Sono state prese in esame tre opzioni strategiche con diversi livelli di intervento: la prima opzione prevedeva modifiche legislative minime e l’uso di comunicazioni interpretative e misure di sostegno, quali programmi di finanziamento e strumenti tecnici; la seconda opzione comprendeva una serie di disposizioni legislative dedicate a ciascuno degli aspetti emersi dall’analisi e la terza prevedeva la centralizzazione della protezione dei dati a livello dell’UE attraverso norme precise e particolareggiate per tutti i settori e la creazione di un’agenzia dell’Unione per il controllo e l’attuazione delle disposizioni.

Conformemente ad una metodologia consolidata, la Commissione, coadiuvata da un gruppo direttivo interservizi, ha valutato ciascuna opzione in funzione delle sue effettive possibilità di conseguire gli obiettivi strategici, dell’impatto economico sulle parti interessate (compreso sul bilancio delle istituzioni dell’Unione europea), delle ripercussioni sulla società e dell’effetto sui diritti fondamentali. Non sono emersi possibili impatti ambientali. L’analisi dell’impatto complessivo ha portato a individuare l’opzione prescelta, che si ispira alla seconda opzione con l’aggiunta di alcuni elementi tratti dalle altre due opzioni e inserite nella presente proposta. Stando alla valutazione d’impatto, la sua attuazione consentirà notevoli miglioramenti, tra l’altro sotto i seguenti aspetti: la certezza giuridica per i responsabili del trattamento dei dati e i cittadini, la riduzione degli oneri amministrativi, un’attuazione coerente della protezione dei dati nell’Unione, l’effettivo esercizio da parte dei privati del diritto alla protezione dei dati personali nell’Unione europea e un controllo e un’applicazione efficaci della normativa in materia di protezione dei dati. L’attuazione dell’opzione prescelta contribuirà presumibilmente anche all’obiettivo della Commissione di semplificare e ridurre i costi amministrativi e agli obiettivi dell’Agenda digitale europea, del piano d’azione di Stoccolma e della strategia Europa 2020.

In data 9 settembre 2011 il comitato per la valutazione d’impatto ha espresso il suo parere sul progetto di valutazione d’impatto e conseguentemente la valutazione è stata così modificata:

– sono stati chiariti gli obiettivi dell’attuale quadro normativo (in che misura siano stati o non siano stati realizzati), così come gli obiettivi della proposta riforma;

– la sezione relativa alla definizione del problema è stata corredata di nuove prove e di spiegazioni/chiarimenti supplementari;

– è stata aggiunta una sezione sulla proporzionalità;

– tutti i calcoli e le stime relativi agli oneri amministrativi nello scenario di base e nell’opzione prescelta sono stati completamente riveduti e modificati ed è stato chiarito il rapporto tra i costi delle notifiche e i costi dovuti alla frammentazione generale (compreso l’allegato 10);

– sono state meglio definite le ripercussioni sulle micro, piccole e medie imprese, in particolare riguardo all’obbligo di nominare un responsabile della protezione dei dati e di realizzare valutazioni d’impatto del trattamento sulla protezione dei dati.

La relazione sulla valutazione d’impatto e una relazione esplicativa sono pubblicate assieme alle proposte.

3. ELEMENTI GIURIDICI DELLA PROPOSTA 3.1. Base giuridica

La presente proposta si basa sull’articolo 16 del TFUE, la nuova base giuridica per l’adozione delle norme in materia di protezione dei dati introdotta dal trattato di Lisbona. Tale disposizione consente di stabilire le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’Unione. Tale disposizione consente inoltre l’adozione di norme relative alla libera circolazione di dati personali, inclusi i dati personali trattati dagli Stati membri o da privati.

Il regolamento è considerato lo strumento più idoneo per definire il quadro giuridico per la protezione dei dati personali nell’UE. L’applicabilità diretta di un regolamento ai sensi dell’articolo 288 del TFUE ridurrà la frammentazione giuridica e offrirà maggiore certezza giuridica grazie all’introduzione di una serie di norme di base armonizzate, migliorando la tutela dei diritti fondamentali delle persone fisiche e contribuendo al corretto funzionamento del mercato interno.

Il riferimento all’articolo 114, paragrafo 1, del TFUE, è necessario soltanto in relazione alle modifiche della direttiva 2002/58/CE in quanto la direttiva prevede anche la tutela dei legittimi interessi degli abbonati che sono persone giuridiche.

3.2. Sussidiarietà e proporzionalità

In virtù del principio di sussidiarietà (articolo 5, paragrafo 3, del TUE) l’Unione interviene soltanto se e in quanto gli obiettivi dell’azione prevista non possono essere conseguiti in misura sufficiente dagli Stati membri, ma possono, a motivo della portata o degli effetti dell’azione in questione, essere conseguiti meglio a livello di Unione. Alla luce dei problemi sopra esposti, l’analisi della sussidiarietà indica la necessità di un’azione a livello di Unione per i seguenti motivi:

– il diritto alla protezione dei dati personali, sancito dall’articolo 8 della Carta dei diritti fondamentali, richiede il medesimo livello di protezione dei dati in tutta l’Unione. In mancanza di una normativa dell’Unione si rischierebbe di instaurare livelli diversi di protezione negli Stati membri e di creare restrizioni nei flussi transfrontalieri di dati personali tra gli Stati membri dotati di norme differenti;

– i dati personali sono trasferiti attraverso le frontiere nazionali, sia interne che esterne, ad un ritmo sempre crescente. Inoltre, esistono difficoltà pratiche nell’attuare efficacemente la normativa in materia di protezione dei dati e occorre stabilire una cooperazione tra gli Stati membri e le autorità nazionali a livello di Unione, per garantire uniformità nell’applicazione del diritto dell’UE. Infine, l’Unione si trova nella posizione migliore per garantire in maniera efficace e coerente lo stesso livello di protezione alle persone fisiche i cui dati personali siano trasferiti verso paesi terzi;

– gli Stati membri non sono in grado da soli di risolvere i problemi posti dalla situazione attuale, in particolare dalla frammentazione delle legislazioni nazionali. Conseguentemente esiste la precisa esigenza di istituire un quadro armonizzato e coerente che consenta un agevole trasferimento transfrontaliero di dati personali all’interno dell’Unione europea e che garantisca nel contempo un’effettiva tutela di tutte le persone fisiche nell’intero territorio dell’UE;

– le proposte legislative dell’UE risulteranno più efficaci rispetto ad analoghi provvedimenti adottati dai singoli Stati membri, a motivo della natura e della dimensione dei problemi che non sono confinati a uno o più Stati membri.

Il principio di proporzionalità prevede che qualsiasi intervento sia mirato e si limiti a quanto è necessario per conseguire gli obiettivi. Tale principio ha guidato l’intera elaborazione della proposta legislativa, dall’individuazione e valutazione delle opzioni strategiche alternative fino alla sua stesura.

3.3. Sintesi degli aspetti inerenti ai diritti fondamentali

Il diritto alla protezione dei dati personali è sancito dall’articolo 8 della Carta, dall’articolo 16 del TFUE e dall’articolo 8 della convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (CEDU). Come sottolinea la Corte di giustizia dell’Unione europea[27], il diritto alla protezione dei dati personali non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale[28]. La protezione dei dati è strettamente legata al rispetto della vita privata e familiare tutelato dall’articolo 7 della Carta. Tale principio è riflesso nell’articolo 1, paragrafo 1, della direttiva 95/46/CE, che prevede che gli Stati membri proteggano i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla vita privata con riguardo al trattamento dei dati personali.

La Carta sancisce altri diritti fondamentali, potenzialmente interessati: libertà di espressione (articolo 11); libertà d’impresa (articolo 16); il diritto di proprietà e, in particolare, la tutela della proprietà intellettuale (articolo 17, paragrafo 2); il divieto di qualsiasi forma di discriminazione fondata, tra l’altro, sulla razza, l’origine etnica, le caratteristiche genetiche, la religione o le convinzioni personali, le opinioni politiche o di qualsiasi altra natura, la disabilità, o l’orientamento sessuale (articolo 21); i diritti del minore (articolo 24); il diritto a un elevato livello di protezione sanitaria (articolo 35); il diritto d’accesso ai documenti (articolo 42); il diritto a un ricorso effettivo e a un giudice imparziale (articolo 47).

3.4. Spiegazione dettagliata della proposta 3.4.1. CAPO I - DISPOSIZIONI GENERALI

L’articolo 1 definisce l’oggetto del regolamento e, alla stregua dell’articolo 1 della direttiva 95/46/CE, definisce i due obiettivi del regolamento.

L’articolo 2 delimita il campo d’applicazione materiale del regolamento.

L’articolo 3 precisa l’ambito di applicazione territoriale del regolamento.

L’articolo 4 contiene le definizioni della terminologia utilizzata nel regolamento. Mentre alcune definizioni sono mutuate dalla direttiva 95/46/CE, altre sono modificate, integrate con elementi aggiuntivi, o introdotte ex novo (“violazione dei dati personali” basata sull’articolo 2, lettera h), della direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche[29], quale modificata dalla direttiva 2009/136/CE[30], “dati genetici”, “dati biometrici”, “dati relativi alla salute”, “stabilimento principale”, “rappresentante”, “impresa”, “gruppo di imprese”, “norme vincolanti d’impresa”, “minore”, basata sulla convenzione delle Nazioni Unite sui diritti del fanciullo[31], e “autorità di controllo”).

Nella definizione di consenso è aggiunta la qualifica di “esplicito” per evitare un fuorviante parallelismo con il consenso “inequivocabile” e al fine di disporre di una definizione unica e coerente di consenso e garantire che l’interessato sia pienamente consapevole del consenso che sta esprimendo e dei tipi di trattamento dei dati personali che sta accettando.

3.4.2. CAPO II - PRINCIPI

L’articolo 5 stabilisce i principi in materia di trattamento dei dati personali, che corrispondono a quelli di cui all’articolo 6 della direttiva 95/46/CE. Tra i nuovi elementi aggiunti si trovano il principio di trasparenza, la precisazione del principio di minimizzazione dei dati e l’introduzione di una responsabilità generale del responsabile del trattamento.

L’articolo 6 stabilisce, in base all’articolo 7 della direttiva 95/46/CE, i criteri di liceità del trattamento, ulteriormente specificati con riferimento alle circostanze relative all’equilibrio degli interessi, rispetto degli obblighi giuridici e interesse pubblico.

L’articolo 7 chiarisce le condizioni alle quali il consenso è valido come base giuridica ai fini di un trattamento lecito.

L’articolo 8 stabilisce ulteriori condizioni per la liceità del trattamento dei dati personali del minore in relazione ai servizi della società dell’informazione diretti ai minori.

L’articolo 9 stabilisce il divieto generale di trattamento di categorie particolari di dati personali e le eccezioni a questa regola generale, fondata sull’articolo 8 della direttiva 95/46/CE.

L’articolo 10 precisa che il responsabile del trattamento non è obbligato ad acquisire ulteriori informazioni per identificare l’interessato al solo fine di rispettare una disposizione del presente regolamento.

3.4.3. CAPO III - DIRITTI DELL’INTERESSATO 3.4.3.1. Sezione 1 - Trasparenza e modalità

L’articolo 11, che si ispira in particolare alla risoluzione di Madrid sulle norme internazionali sulla protezione dei dati personali e della vita privata[32], introduce l’obbligo per i responsabili del trattamento di fornire informazioni trasparenti, comprensibili e facilmente accessibili.

L’articolo 12 impone al responsabile del trattamento di predisporre le procedure e i meccanismi che permettano all’interessato di esercitare i propri diritti, compresi i mezzi per introdurre le richieste per via elettronica/telematica, l’obbligo di rispondere entro un termine determinato e di motivare un eventuale rifiuto.

L’articolo 13 prevede i diritti relativi ai destinatari, in base all’articolo 12, lettera c), della direttiva 95/46/CE, e li estende a tutti i destinatari, compresi i corresponsabili e i coincaricati dei trattamenti.

3.4.3.2. Sezione 2 – Informazioni e accesso ai dati

L’articolo 14 precisa gli obblighi di informazione del responsabile del trattamento nei confronti dell’interessato e, rispetto agli articoli 10 e 11 della direttiva 95/46/CE, prevede informazioni aggiuntive tra cui il periodo di conservazione, il diritto di presentare reclamo, i trasferimenti internazionali e la fonte dei dati. Sono mantenute le deroghe previste dalla direttiva 95/46/CE, per cui l’obbligo di informazione non si applica se la registrazione o la divulgazione dei dati sono espressamente previste per legge. Ciò può avvenire, ad esempio, nei procedimenti avviati dalle autorità per la concorrenza, da un’amministrazione fiscale o doganale o dai servizi di sicurezza sociale.

L’articolo 15 prevede il diritto di accesso ai propri dati personali sulla base dell’articolo 12, lettera a), della direttiva 95/46/CE, con l’aggiunta di nuovi elementi come la comunicazione all’interessato del periodo di conservazione dei dati, dei diritti di rettifica e di cancellazione e del diritto di proporre reclamo.

3.4.3.3. Sezione 3 – Rettifica e cancellazione

L’articolo 16 prevede il diritto di rettifica in base all’articolo 12, lettera b), della direttiva 95/46/CE.

L’articolo 17 prevede il diritto all’oblio e alla cancellazione, approfondendo e precisando il diritto alla cancellazione di cui all’articolo 12, lettera b), della direttiva 95/46/CE e prevedendo le condizioni del diritto all’oblio, compreso l’obbligo del responsabile del trattamento che abbia divulgato dati personali di informare i terzi della richiesta dell’interessato di cancellare tutti i link verso tali dati, le loro copie o riproduzioni. La disposizione prevede inoltre il diritto di limitare il trattamento in determinati casi, evitando l’ambiguo termine di “blocco dei dati”.

L’articolo 18 introduce il diritto dell’interessato alla portabilità dei dati, vale a dire il diritto di trasferire i propri dati da un sistema di trattamento elettronico a un altro, senza che il responsabile del trattamento possa impedirlo. Come presupposto e al fine di migliorare l’accesso dell’interessato ai dati personali che lo riguardano, è previsto il diritto di ottenere tali dati dal responsabile del trattamento in un formato elettronico strutturato e di uso comune.

3.4.3.4. Sezione 4 - Diritto di opposizione e profilazione

L’articolo 19 sancisce il diritto di opposizione dell’interessato sulla base dell’articolo 14 della direttiva 95/46/CE, al quale sono state apportate alcune modifiche anche per quanto riguarda l’onere della prova e la sua applicazione al marketing diretto.

L’articolo 20 sancisce il diritto di non essere sottoposto a misure basate sulla profilazione riprendendo, con modifiche e salvaguardie supplementari, l’articolo 15, paragrafo 1, della direttiva 95/46/CE relativo alle decisioni individuali automatizzate, e tenendo conto della raccomandazione del Consiglio d’Europa sulla profilazione[33].

3.4.3.5. Sezione 5 - Limitazioni

L’articolo 21 chiarisce la facoltà dell’Unione o degli Stati membri di mantenere o introdurre limitazioni dei principi stabiliti all’articolo 5 e dei diritti dell’interessato previsti agli articoli da 11 a 20 e all’articolo 32. Questa disposizione si basa sull’articolo 13 della direttiva 95/46/CE e sugli obblighi discendenti dalla Carta dei diritti fondamentali e dalla convenzione CEDU, nell’interpretazione della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo.

3.4.4. CAPO IV - RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL TRATTAMENTO 3.4.4.1. Sezione 1 - Obblighi generali

L’articolo 22, che tiene conto del dibattito sul “principio di rendicontazione”, descrive in modo particolareggiato l’obbligo del responsabile del trattamento di conformarsi al regolamento e di dimostrare tale conformità, anche mediante l’adozione di politiche interne e di meccanismi atti a garantire il rispetto del regolamento.

L’articolo 23 enuncia gli obblighi del responsabile del trattamento derivanti dai principi di protezione fin dalla progettazione (“by design”) e di default.

L’articolo 24 sui corresponsabili del trattamento ne chiarisce le responsabilità con riferimento alla relazione che intercorre tra gli stessi e nei confronti dell’interessato.

L’articolo 25 obbliga, a determinate condizioni, i responsabili del trattamento non stabiliti nell’Unione a designare un rappresentante nell’Unione, nella misura in cui il regolamento si applica alla loro attività di trattamento dati.

L’articolo 26 chiarisce la posizione e l’obbligo degli incaricati del trattamento, basandosi in parte sull’articolo 17, paragrafo 2, della direttiva 95/46/CE, con l’aggiunta di nuovi elementi come il fatto che un incaricato del trattamento che non si limiti a trattare i dati in base alle istruzioni del responsabile del trattamento è considerato corresponsabile del trattamento.

L’articolo 27 sul trattamento sotto l’autorità del responsabile e dell’incaricato del trattamento si basa sull’articolo 16 della direttiva 95/46/CE.

L’articolo 28 introduce l’obbligo per i responsabili e gli incaricati del trattamento di conservare la documentazione delle operazioni effettuate sotto la propria responsabilità, in sostituzione della notifica generale all’autorità di controllo richiesta dall’articolo 18, paragrafo 1, e dall’articolo 19 della direttiva 95/46/CE.

L’articolo 29 chiarisce gli obblighi del responsabile e dell’incaricato del trattamento ai fini della cooperazione con l’autorità di controllo.

3.4.4.2. Sezione 2 – Sicurezza dei dati

L’articolo 30 impone al responsabile del trattamento e all’incaricato del trattamento di mettere in atto misure adeguate per la sicurezza dei trattamenti, ai sensi dell’articolo 17, paragrafo 1, della direttiva 95/46/CE, estendendo l’obbligo agli incaricati del trattamento, indipendentemente dal contratto che hanno sottoscritto con il responsabile del trattamento.

Gli articoli 31 e 32 introducono l’obbligo di notificazione e comunicazione delle violazioni di dati personali, sviluppando la notificazione prevista all’articolo 4, paragrafo 3, della direttiva 2002/58/CE.

3.4.4.3. Sezione 3 – Valutazione d’impatto sulla protezione dei dati e autorizzazione preventiva

L’articolo 33 introduce l’obbligo per responsabili e incaricati del trattamento di effettuare una valutazione d’impatto in materia di protezione dei dati prima di trattamenti che presentino rischi al riguardo.

L’articolo 34, che sviluppa la nozione di controllo preliminare di cui all’articolo 20 della direttiva 95/46/CE, riguarda i casi in cui il responsabile del trattamento o l’incaricato del trattamento devono ottenere l’autorizzazione preventiva dell’autorità di controllo o consultare tale autorità prima di trattare i dati.

3.4.4.4. Sezione 4 – Responsabile della protezione dei dati

L’articolo 35 introduce la figura obbligatoria del responsabile della protezione dei dati per il settore pubblico e, nel settore privato, per le grandi imprese o allorquando le attività principali del responsabile del trattamento e dell’incaricato del trattamento consistono in trattamenti che richiedono il controllo regolare e sistematico degli interessati. La disposizione si basa sull’articolo 18, paragrafo 2, della direttiva 95/46/CE che ha permesso agli Stati membri di introdurre tale obbligo in sostituzione di un obbligo generale di notificazione.

L’articolo 36 precisa la posizione del responsabile della protezione dei dati.

L’articolo 37 stabilisce i principali compiti del responsabile della protezione dei dati.

3.4.4.5. Sezione 5 – Codici di condotta e certificazione

L’articolo 38 riguarda i codici di condotta e precisa, sviluppando il concetto di cui all’articolo 27, paragrafo 1, della direttiva 95/46/CE, il contenuto di tali codici e le procedure, conferendo alla Commissione il potere di decidere sulla validità generale dei codici di condotta.

L’articolo 39 introduce la possibilità di predisporre meccanismi di certificazione e sigilli e marchi di protezione dei dati.

3.4.5. CAPO V - TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI O ORGANIZZAZIONI INTERNAZIONALI

L’articolo 40 stabilisce che, in linea di principio, la conformità alle disposizioni del capo V è obbligatoria per i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, compresi i trasferimenti successivi.

L’articolo 41 stabilisce, sulla base dell’articolo 25 della direttiva 95/46/CE, i criteri, le condizioni e le procedure per l’adozione di una decisione di adeguatezza della Commissione. I criteri di cui deve tener conto la Commissione per valutare se il livello di protezione è o meno adeguato includono espressamente lo stato di diritto, il ricorso giudiziario e un controllo indipendente. L’articolo conferma ora esplicitamente che la Commissione può valutare il livello di protezione offerto da un territorio o settore di trattamento all’interno di un paese terzo.

L’articolo 42 prevede che, in mancanza di una decisione di adeguatezza della Commissione, i trasferimenti a paesi terzi siano subordinati ad adeguate garanzie, in particolare clausole tipo di protezione dei dati, norme vincolanti d’impresa e clausole contrattuali. La possibilità di fare ricorso alle clausole tipo di protezione dei dati della Commissione discende dall’articolo 26, paragrafo 4, della direttiva 95/46/CE. La novità è che adesso le clausole standard potranno essere ora adottate anche da un’autorità di controllo ed essere dichiarate generalmente valide dalla Commissione. Il testo giuridico menziona ora espressamente anche le norme vincolanti d’impresa. L’opzione delle clausole contrattuali offre una certa flessibilità al responsabile o all’incaricato del trattamento, ma è subordinata all’autorizzazione preventiva delle autorità di controllo.

L’articolo 43 descrive in modo più dettagliato le condizioni per i trasferimenti in presenza di norme vincolanti d’impresa, sulla base delle attuali pratiche e esigenze delle autorità di controllo.

L’articolo 44 precisa e chiarisce le deroghe per il trasferimento di dati, partendo dalle attuali disposizioni dell’articolo 26 della direttiva 95/46/CE. Ciò vale in particolare per i trasferimenti di dati richiesti e necessari per motivi di interesse pubblico rilevante, per esempio in casi di scambi internazionali di dati tra amministrazioni fiscali o doganali oppure tra servizi competenti per la sicurezza sociale o per la gestione delle risorse alieutiche. Inoltre, una trasmissione di dati può, in circostanze limitate, essere giustificata dall’interesse legittimo del responsabile del trattamento o dell’incaricato del trattamento, ma solo dopo che siano state valutate e documentate le circostanze del trasferimento.

L’articolo 45 prevede espressamente lo sviluppo di meccanismi di cooperazione internazionale per la protezione dei dati personali tra la Commissione e le autorità di controllo di paesi terzi, in particolare quelli che si ritiene offrano un adeguato livello di protezione, tenendo conto della raccomandazione dell’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) sulla cooperazione transfrontaliera nell’applicazione delle legislazioni in materia di privacy del 12 giugno 2007.

3.4.6. CAPO VI - AUTORITÀ DI CONTROLLO INDIPENDENTI 3.4.6.1. Sezione 1 – Indipendenza

L’articolo 46 obbliga gli Stati membri a istituire autorità di controllo, come già previsto dall’articolo 28, paragrafo 1, della direttiva 95/46/CE, e ad ampliarne i compiti includendo la cooperazione reciproca e con la Commissione.

L’articolo 47 precisa le condizioni per l’indipendenza delle autorità di controllo, ai sensi della giurisprudenza della Corte di giustizia dell’Unione europea[34], ispirandosi anche all’articolo 44 del regolamento (CE) n. 45/2001[35].

L’articolo 48 dispone le condizioni generali per i membri dell’autorità di controllo, in applicazione della pertinente giurisprudenza[36], inspirandosi anche all’articolo 42, paragrafi da 2 a 6, del regolamento (CE) n. 45/2001.

L’articolo 49 contiene disposizioni relative all’istituzione delle autorità di controllo, che ogni Stato membro deve prevedere per legge.

L’articolo 50, basato sull’articolo 28, paragrafo 7, della direttiva 95/46/CE, obbliga al segreto professionale i membri e il personale dell’autorità di controllo.

3.4.6.2. Sezione 2 – Funzioni e poteri

L’articolo 51 stabilisce le competenze delle autorità di controllo. La norma generale, prevista all’articolo 28, paragrafo 6, della direttiva 95/46/CE (competenza nel territorio del suo Stato membro), è integrata dalla nuova competenza di autorità capofila nel caso di un responsabile del trattamento o incaricato del trattamento stabilito in più Stati membri, al fine di assicurare un’attuazione uniforme (“sportello unico”). I tribunali, nell’esercizio della loro funzione giurisdizionale, sono esentati dal monitoraggio esercitato dall’autorità di controllo, ma non dall’applicazione delle norme sostanziali in materia di protezione dei dati.

L’articolo 52 stabilisce le funzioni dell’autorità di controllo, compresa quella di ricevere ed esaminare i reclami o sensibilizzare il pubblico ai rischi, alla norme e misure di salvaguardia e ai diritti.

L’articolo 53 stabilisce i poteri dell’autorità di controllo, in parte sulla base dell’articolo 28, paragrafo 3, della direttiva 95/46/CE e dell’articolo 47 del regolamento (CE) n. 45/2001, e inserisce alcuni nuovi elementi, tra cui il potere di sanzionare gli illeciti amministrativi.

L’articolo 54 obbliga le autorità di controllo a redigere relazioni annuali di attività, com’era già previsto dall’articolo 28, paragrafo 5, della direttiva 95/46/CE.

3.4.7. CAPO VII - COOPERAZIONE E COERENZA 3.4.7.1. Sezione 1 – Cooperazione

L’articolo 55 introduce, sulla base dell’articolo 28, paragrafo 6, secondo comma, della direttiva 95/46/CE, norme esplicite in materia di assistenza reciproca obbligatoria, specificando le conseguenze per la mancata esecuzione della richiesta di un’altra autorità di controllo.

L’articolo 56, ispirandosi all’articolo 17 della decisione 2008/615/GAI[37], introduce norme sulle operazioni congiunte, compreso il diritto delle autorità di controllo di partecipare a tali operazioni.

3.4.7.2. Sezione 2 – Coerenza

L’articolo 57 introduce un meccanismo volto ad assicurare l’uniformità di applicazione in relazione alle attività di trattamento dati che possono riguardare interessati in vari Stati membri.

L’articolo 58 stabilisce le procedure e le condizioni per l’emissione di un parere del comitato europeo per la protezione dei dati.

L’articolo 59 verte sui pareri della Commissione in relazione a questioni trattate nell’ambito del meccanismo di coerenza, che possono esprimere un accordo o un disaccordo rispetto al parere del comitato europeo per la protezione dei dati, e sul progetto di misura dell’autorità di controllo. Qualora il comitato europeo per la protezione dei dati sollevi una questione a norma dell’articolo 58, paragrafo 3, è presumibile che la Commissione eserciti il suo potere discrezionale ed esprima un parere ogniqualvolta necessario.

L’articolo 60 riguarda le decisioni della Commissione che ingiungono all’autorità competente di sospendere l’adozione del progetto di misura qualora ciò sia necessario per garantire la corretta applicazione del presente regolamento.

L’articolo 61 prevede la possibilità di adottare misure provvisorie, con procedura d’urgenza.

L’articolo 62 stabilisce i requisiti per gli atti di esecuzione della Commissione nell’ambito del meccanismo di coerenza.

L’articolo 63 prevede l’obbligo di dare esecuzione alle misure di un’autorità di controllo in tutti gli Stati membri interessati e dispone l’applicazione del meccanismo di coerenza come requisito indispensabile ai fini della validità giuridica e dell’esecuzione della rispettiva misura.

3.4.7.3. Sezione 3 – Comitato europeo per la protezione dei dati

L’articolo 64 istituisce il comitato europeo per la protezione dei dati, composto dal responsabile delle autorità di controllo di ciascuno Stato membro e dal garante europeo della protezione dei dati. Il comitato europeo per la protezione dei dati sostituisce il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall’articolo 29 della direttiva 95/46/CE. L’articolo precisa che la Commissione non è membro del comitato europeo per la protezione dei dati, ma ha il diritto di partecipare alle attività e designa un rappresentante.

L’articolo 65 sottolinea e chiarisce l’indipendenza del comitato europeo per la protezione dei dati.

L’articolo 66 descrive i compiti del comitato europeo per la protezione dei dati, sulla base dell’articolo 30, paragrafo 1, della direttiva 95/46/CE, e prevede ulteriori elementi, a motivo del più vasto ambito di attività del comitato all’interno dell’Unione e al di fuori. Per essere in grado di reagire a situazioni di emergenza, la Commissione può chiedere un parere fissando un termine entro il quale il comitato deve rispondere.

L’articolo 67 obbliga il comitato europeo per la protezione dei dati a riferire annualmente sulle sue attività, in base all’articolo 30, paragrafo 6, della direttiva 95/46/CE.

L’articolo 68 stabilisce le procedure decisionali del comitato europeo per la protezione dei dati, compreso l’obbligo di adottare un regolamento interno che contempli anche le modalità del proprio funzionamento.

L’articolo 69 contiene disposizioni sul presidente e i vicepresidenti del comitato europeo per la protezione dei dati.

L’articolo 70 definisce i compiti della presidenza.

L’articolo 71 stabilisce che la segreteria del comitato europeo per la protezione dei dati è assicurata dal garante europeo della protezione dei dati e ne specifica i compiti.

L’articolo 72 dispone in materia di riservatezza.

3.4.8. CAPO III - RICORSI GIURISDIZIONALI, RESPONSABILITÀ E SANZIONI

L’articolo 73 riconosce a ciascuno il diritto di presentare un reclamo presso un’autorità di controllo, sulla base dell’articolo 28, paragrafo 4, della direttiva 95/46/CE. L’articolo specifica anche gli organismi, le organizzazioni o associazioni che possono presentare reclamo per conto dell’interessato o, in caso di violazione di dati personali, indipendentemente dal reclamo dell’interessato.

L’articolo 74 riguarda il diritto di proporre un ricorso giurisdizionale avverso un’autorità di controllo, sulla base della disposizione generale di cui all’articolo 28, paragrafo 3, della direttiva 95/46/CE. L’articolo prevede esplicitamente che il ricorso giurisdizionale obbliga l’autorità di controllo ad agire a seguito di un reclamo, e chiarisce la competenza dei giudici dello Stato membro in cui è stabilita l’autorità di controllo. Prevede inoltre che le autorità di controllo dello Stato membro in cui risiede l’interessato possano avviare un’azione legale per suo conto in un altro Stato membro in cui sia stabilita l’autorità di controllo competente.

L’articolo 75 riguarda il diritto di proporre un ricorso giurisdizionale nei confronti di un responsabile del trattamento o di un incaricato del trattamento, sulla base dell’articolo 22 della direttiva 95/46/CE, e consente la scelta tra il ricorso al giudice dello Stato membro in cui è stabilito il ricorrente e quello in cui risiede l’interessato. Se più procedimenti riguardanti la stessa misura sono in corso nell’ambito del meccanismo di coerenza, il giudice può sospendere il procedimento, salvo casi d’urgenza.

L’articolo 76 stabilisce norme comuni per i procedimenti giudiziari, compresi i diritti degli organismi, delle organizzazioni o associazioni di rappresentare gli interessati in giudizio, il diritto delle autorità di controllo di avviare azioni legali e delle autorità giurisdizionali di ottenere informazioni su procedimenti paralleli in un altro Stato membro, oltre alla facoltà del giudice di sospendere il procedimento in tal caso[38]. Gli Stati membri hanno l’obbligo di garantire la rapidità dei ricorsi giurisdizionali[39].

L’articolo 77 stabilisce il diritto al risarcimento del danno e la responsabilità. Basandosi sull’articolo 23 della direttiva 95/46/CE, estende tale diritto ai danni causati dagli incaricati del trattamento e chiarisce la responsabilità dei corresponsabili e coincaricati del trattamento.

L’articolo 78 impone agli Stati membri di definire le sanzioni applicabili alle violazioni del regolamento e di garantirne l’effettiva attuazione.

L’articolo 79 fa obbligo a ciascuna autorità di controllo di sanzionare gli illeciti amministrativi elencati nei cataloghi di cui alla presente disposizione, di comminare ammende entro un importo massimo, tenendo debitamente conto delle circostanze di ogni singolo caso.

3.4.9. CAPO IX - DISPOSIZIONI RELATIVE A SPECIFICHE SITUAZIONI DI TRATTAMENTO DEI DATI

L’articolo 80 impone agli Stati membri di adottare esenzioni e deroghe alle disposizioni specifiche del regolamento ove necessario per conciliare il diritto alla protezione dei dati personali e il diritto alla libertà d’espressione; si basa sull’articolo 9 della direttiva 95/46/CE, come interpretato dalla Corte di giustizia[40].

L’articolo 81 impone agli Stati membri, in aggiunta a quanto già prescritto per categorie particolari di dati, di garantire specifiche salvaguardie al trattamento di dati a fini sanitari.

L’articolo 82 dispone che gli Stati membri hanno facoltà di adottare norme specifiche per il trattamento dei dati personali nei rapporti di lavoro.

L’articolo 83 stabilisce condizioni specifiche per il trattamento di dati personali per finalità storiche, statistiche e di ricerca scientifica.

L’articolo 84 autorizza gli Stati membri ad adottare norme specifiche per regolare l’accesso delle autorità di controllo ai dati personali e agli edifici, se i responsabili del trattamento sono tenuti all’obbligo di segretezza.

L’articolo 85 autorizza chiese e comunità religiose, alla luce dell’articolo 17 del TFUE, a continuare ad applicare corpus completi di norme di protezione dei dati, purché conformi al presente regolamento.

3.4.10. CAPO X - ATTI DELEGATI E ATTI DI ESECUZIONE

L’articolo 86 contiene le disposizioni standard per l’esercizio delle deleghe a norma dell’articolo 290 del TFUE. Ciò consente al legislatore di delegare alla Commissione il potere di adottare atti non legislativi di portata generale che integrano o modificano determinati elementi non essenziali di un atto legislativo (atti quasi legislativi).

L’articolo 87 dispone la procedura di comitato necessaria per il conferimento delle competenze di esecuzione alla Commissione, nei casi in cui, conformemente all’articolo 291 del TFUE, sono necessarie condizioni uniformi di esecuzione degli atti giuridicamente vincolanti dell’Unione. Si applica la procedura d’esame.

3.4.11. CAPO XI - DISPOSIZIONI FINALI

L’articolo 88 abroga la direttiva 95/46/CE.

L’articolo 89 chiarisce il rapporto con la direttiva 2002/58/CE sulla vita privata e le comunicazioni elettroniche, e la modifica.

L’articolo 90 impone alla Commissione di valutare l’applicazione del regolamento e presentare relazioni al riguardo.

L’articolo 91 stabilisce la data di entrata in vigore del regolamento e una fase transitoria rispetto alla data di applicazione.

4.           INCIDENZA SUL BILANCIO

Le specifiche implicazioni di bilancio della proposta riguardano i compiti assegnati al garante europeo della protezione dei dati, come indicato nella scheda finanziaria legislativa allegata alla presente proposta. Tali implicazioni richiedono una riprogrammazione della rubrica 5 delle prospettive finanziarie.

La proposta non ha ripercussioni sulle spese operative.

La scheda finanziaria legislativa che accompagna la presente proposta di regolamento ricomprende le incidenze di bilancio del regolamento stesso e della direttiva sulla protezione dei dati in materia di polizia e giustizia penale.

2012/0011 (COD)

Proposta di

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)

(Testo rilevante ai fini del SEE)

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16, paragrafo 2, e l’articolo 114, paragrafo 1,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo[41],

sentito il garante europeo della protezione dei dati[42],

deliberando secondo la procedura legislativa ordinaria,

considerando quanto segue:

(1) La tutela delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea e l’articolo 16, paragrafo 1, del trattato stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

(2) Il trattamento dei dati personali è al servizio dell’uomo; i principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali devono rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali, a prescindere dalla nazionalità o dalla residenza dell’interessato. Il trattamento dei dati personali dovrebbe contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone.

(3) Obiettivo della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati[43] è armonizzare la protezione dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati e assicurare la libera circolazione dei dati personali tra gli Stati membri.

(4) L’integrazione economica e sociale conseguente al funzionamento del mercato interno ha portato a un considerevole aumento dei flussi transfrontalieri e quindi anche dei dati scambiati, in tutta l’Unione, tra gli operatori economici e sociali, pubblici e privati. Il diritto dell’Unione impone alle autorità nazionali degli Stati membri di cooperare e scambiarsi dati personali per essere in grado di svolgere le rispettive funzioni o eseguire compiti per conto di un’autorità di un altro Stato membro.

(5) La rapidità dell’evoluzione tecnologica e la globalizzazione comportano anche nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati è aumentata in modo vertiginoso; la tecnologia attuale consente alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività e, sempre più spesso, gli stessi privati rendono pubbliche sulla rete mondiale informazioni personali che li riguardano. Le nuove tecnologie hanno trasformato non solo l’economia ma anche le relazioni sociali e impongono che si faciliti ancora di più la libera circolazione dei dati all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali; al tempo stesso, però, occorre garantire un elevato livello di protezione dei dati personali.

(6) Tale evoluzione richiede un quadro giuridico più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno. È necessario che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per i privati che per i operatori economici e le autorità pubbliche.

(7) Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione delle modalità di applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica e la percezione, largamente diffusa nel pubblico, che soprattutto le operazioni on line comportino notevoli rischi. La compresenza di diversi livelli di tutela dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, riservata al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Il divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la direttiva 95/46/CE.

(8) Al fine di garantire un livello coerente ed elevato di protezione delle persone e rimuovere gli ostacoli alla circolazione dei dati personali, il livello di tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati deve essere equivalente in tutti gli Stati membri. Occorre pertanto garantire un’applicazione coerente ed omogenea delle norme a tutela delle libertà e dei diritti fondamentali delle persone fisiche con riguardo al trattamento dei dati personali su tutto il territorio dell’Unione.

(9) Ai fini di un’efficace protezione dei dati personali in tutta l’Unione è necessario rafforzare e precisare i diritti degli interessati e gli obblighi di coloro che effettuano e determinano il trattamento dei dati, dotare gli Stati membri di poteri equivalenti per monitorare e garantire il rispetto delle norme di protezione dei dati personali, e prevedere sanzioni equivalenti per i trasgressori.

(10) L’articolo 16, paragrafo 2, del trattato conferisce al Parlamento europeo e al Consiglio il mandato di stabilire le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale e le norme relative alla libera circolazione di tali dati.

(11) Per garantire un livello uniforme di protezione delle persone in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese, offra alla persona in tutti gli Stati membri il medesimo livello di diritti giuridicamente tutelati, definisca obblighi e responsabilità dei responsabili del trattamento e degli incaricati del trattamento e assicuri un monitoraggio costante del trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri. Per tener conto della specifica situazione delle micro, piccole e medie imprese, il presente regolamento prevede una serie di deroghe. Inoltre, le istituzioni e gli organi dell’Unione, gli Stati membri e le loro autorità di controllo sono invitati a considerare le esigenze specifiche delle micro, piccole e medie imprese nell’applicare il presente regolamento. Il concetto di micro, piccola e media impresa deve ispirarsi alla raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese.

(12) La protezione prevista dal presente regolamento si applica alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei dati personali. La protezione offerta dal presente regolamento non potrà essere invocata per il trattamento dei dati relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compreso il nome, la forma giuridica e i contatti. Ciò vale anche quando il nome della persona giuridica contiene il nome di una o più persone fisiche.

(13) La protezione delle persone fisiche deve essere neutrale sotto il profilo tecnologico e non dipendere dalle tecniche impiegate; in caso contrario, si correrebbero gravi rischi di elusione. La protezione delle persone fisiche deve applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati sono contenuti o destinati ad essere contenuti in un archivio. Non dovrebbero rientrare nel campo di applicazione del presente regolamento i fascicoli o le serie di fascicoli, e le rispettive copertine, non strutturati secondo criteri specifici.

(14) Il presente regolamento non si applica a questioni di tutela dei diritti e delle libertà fondamentali o di libera circolazione dei dati riferite ad attività che non rientrano nell’ambito di applicazione del diritto dell’Unione europea, né si applica al trattamento dei dati personali effettuato da istituzioni, organi, uffici e agenzie dell’Unione, che sono soggetti al regolamento (CE) n. 45/2001[44], e nemmeno al trattamento effettuato dagli Stati membri nell’esercizio di attività relative alla politica estera e di sicurezza comune dell’Unione.

(15) Il presente regolamento non deve applicarsi al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività esclusivamente personali o domestiche, quali la corrispondenza e gli indirizzari, e senza scopo di lucro, vale a dire senza alcuna connessione con un’attività commerciale o professionale. Tale deroga non deve valere per i responsabili del trattamento o gli incaricati del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività personali o domestiche.

(16) La tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati sono oggetto di uno specifico strumento giuridico a livello di Unione. Il presente regolamento non si applica pertanto ai trattamenti effettuati per queste finalità. I dati trattati dalle autorità pubbliche in forza del presente regolamento per queste finalità dovranno invece essere disciplinati dal più specifico strumento giuridico a livello di Unione (direttiva XX/YYY).

(17) Il presente regolamento non deve pregiudicare l’applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui ai suoi articoli da 12 a 15.

(18) Il presente regolamento ammette, nell’applicazione delle sue disposizioni, che si tenga conto del principio del pubblico accesso ai documenti ufficiali.

(19) Qualsiasi trattamento di dati personali effettuato nell’ambito delle attività di uno stabilimento di un responsabile del trattamento o incaricato del trattamento nel territorio dell’Unione deve essere conforme al presente regolamento, che il trattamento avvenga all’interno dell’Unione o al di fuori. Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.

(20) Onde evitare che una persona venga privata della tutela cui ha diritto in base al presente regolamento, è necessario che questo disciplini anche il trattamento dei dati personali di residenti nell’Unione effettuato da un responsabile del trattamento non stabilito nell’Unione, quando le attività di trattamento sono finalizzate all’offerta di beni o servizi a dette persone o al controllo del loro comportamento.

(21) Per stabilire se un’attività di trattamento sia assimilabile al “controllo del comportamento” dell’interessato, occorre verificare se le operazioni che questi esegue su Internet sono sottoposte a tecniche di trattamento dei dati volte alla “profilazione” dell’utente, in particolare per prendere decisioni che li riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.

(22) Laddove vige la legislazione nazionale di uno Stato membro in virtù del diritto internazionale pubblico, ad esempio nella rappresentanza diplomatica o consolare di uno Stato membro, il presente regolamento deve applicarsi anche a un responsabile del trattamento non stabilito nell’Unione.

(23) È necessario applicare i principi di protezione a tutte le informazioni relative ad una persona identificata o identificabile. Per stabilire l’identificabilità di una persona, è opportuno considerare tutti i mezzi di cui può ragionevolmente avvalersi il responsabile del trattamento o un terzo per identificare detta persona. Non è necessario applicare i principi di protezione ai dati resi sufficientemente anonimi da impedire l’identificazione dell’interessato.

(24) Navigando on line, accade che si sia associati a identificativi on line prodotti dai dispositivi, dalle applicazioni, dagli strumenti e protocolli utilizzati, quali gli indirizzi IP o i marcatori temporanei (cookies). Tali identificativi possono lasciare tracce che, combinate con altri identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili e identificare gli utenti. Ne consegue che numeri di identificazione, dati relativi all’ubicazione, identificativi on line o altri fattori specifici non debbano di per sé essere necessariamente considerati dati personali in tutte le circostanze.

(25) Il consenso dovrebbe essere prestato esplicitamente con qualsiasi modalità appropriata che permetta all’interessato di manifestare una volontà libera, specifica e informata, mediante dichiarazione o azione positiva inequivocabile da cui si evinca che consapevolmente acconsente al trattamento dei suoi dati personali, anche selezionando un’apposita casella in un sito Internet o con altra dichiarazione o comportamento che indichi chiaramente in questo contesto che accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il consenso tacito o passivo. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per lo stesso o gli stessi scopi. Se il consenso dell’interessato è richiesto con modalità elettronica, la richiesta deve essere chiara, concisa e non disturbare inutilmente il servizio per il quale è espresso.

(26) Nei dati personali relativi alla salute dovrebbero rientrare, in particolare, tutti i dati riguardanti lo stato di salute dell’interessato; le informazioni sulle richieste di prestazione di servizi sanitari; le informazioni sui pagamenti o l’ammissibilità all’assistenza sanitaria; un numero, simbolo o elemento specifico attribuito per identificare l’interessato in modo univoco a fini sanitari; qualsiasi informazione raccolta nel corso della prestazione di servizi sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i campioni biologici; l’identificazione di una persona come prestatore di assistenza sanitaria all’interessato; qualsiasi informazione riguardante, ad esempio, una malattia, l’invalidità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o l’effettivo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, ad esempio un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.

(27) È necessario che lo stabilimento principale di un responsabile del trattamento dell’Unione sia determinato in base a criteri obiettivi e implichi l’effettivo e reale svolgimento di attività di gestione finalizzate alle principali decisioni sulle finalità, le condizioni e i mezzi del trattamento nel quadro di un’organizzazione stabile. Tale criterio non deve dipendere dal fatto che i dati personali siano effettivamente trattati in quella sede; la presenza o l’uso di mezzi tecnici e tecnologie di trattamento di dati personali o di attività di trattamento non costituiscono di per sé lo stabilimento principale né sono quindi criteri determinanti della sua esistenza. Per quanto riguarda l’incaricato del trattamento, per “stabilimento principale” deve intendersi il luogo in cui ha sede la sua amministrazione centrale nell’Unione.

(28) Un gruppo di imprese dovrebbe costituirsi di un’impresa controllante e delle sue controllate, là dove l’impresa controllante sarebbe quella che può esercitare un’influenza dominante sulle controllate in forza, ad esempio, della proprietà, della partecipazione finanziaria o delle norme societarie o del potere di fare applicare le norme di protezione dei dati personali.

(29) I minori necessitano di una specifica protezione dei loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze, delle misure di protezione e dei loro diritti in relazione al trattamento dei dati personali. Per determinare chi è minore, è opportuno che il presente regolamento riprenda la definizione stabilita dalla convenzione delle Nazioni Unite sui diritti del fanciullo.

(30) Qualsiasi trattamento di dati personali deve essere lecito, equo e trasparente nei confronti dell’interessato. In particolare, le finalità specifiche del trattamento dei dati devono essere esplicite e legittime e precisate al momento della raccolta. I dati devono essere adeguati, pertinenti e limitati al minimo necessario per le finalità del trattamento, donde l’obbligo, soprattutto, di garantire che la raccolta non sia eccessiva e che il periodo di conservazione dei dati sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è conseguibile con altri mezzi. Occorre prendere tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. Onde garantire che i dati non siano conservati più a lungo del necessario, il responsabile del trattamento dovrebbe fissare un termine per la cancellazione o per la verifica periodica.

(31) Perché sia lecito il trattamento dati deve fondarsi sul consenso dell’interessato o su altra base legittima prevista per legge, dal presente regolamento o in altro atto legislativo dell’Unione o degli Stati membri, come indicato nel presente regolamento.

(32) Per i trattamenti basati sul consenso dell’interessato, dovrebbe incombere al responsabile del trattamento dimostrare che l’interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un’altra materia, occorrono garanzie che assicurino che l’interessato sia consapevole di esprimere un consenso e in qual misura.

(33) Perché il consenso sia libero, occorre chiarire che non costituisce una valida base giuridica qualora l’interessato non sia in grado di operare una scelta autenticamente libera e non possa, pertanto, rifiutare o ritirare il consenso senza subire pregiudizio.

(34) Il consenso non costituisce una valida base giuridica per il trattamento dei dati personali quando esiste un evidente squilibrio tra l’interessato e il responsabile del trattamento. Ciò avviene, in particolare, quando l’interessato si trova in situazione di dipendenza dal responsabile del trattamento, tra l’altro quando i dati personali di un dipendente sono trattati dal suo datore di lavoro nel contesto dei rapporti di lavoro. Se il responsabile del trattamento è un’autorità pubblica, vi è squilibrio soltanto nelle specifiche operazioni di trattamento in cui l’autorità pubblica può imporre un obbligo in forza dei suoi pubblici poteri; in tal caso, il consenso non può essere considerato libero, tenuto conto degli interessi dell’interessato.

(35) Il trattamento dati deve essere considerato lecito se è necessario nell’ambito di un contratto o ai fini della conclusione di un contratto.

(36) È opportuno che il trattamento effettuato per adempiere un obbligo legale che incombe al responsabile del trattamento o necessario per l’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri abbia una base giuridica tratta dal diritto dell’Unione o di uno Stato membro che soddisfi i requisiti della Carta dei diritti fondamentali dell’Unione europea per eventuali limitazione dei diritti e delle libertà. Spetta altresì al diritto dell’Unione o alle legislazioni nazionali stabilire se il responsabile del trattamento che esegue un compito di interesse pubblico o connesso all’esercizio di pubblici poteri debba essere una pubblica amministrazione o altra persona fisica o giuridica di diritto pubblico o privato, quale un’associazione professionale.

(37) Il trattamento di dati personali deve essere parimenti considerato lecito quando è necessario per tutelare un interesse essenziale per la vita dell’interessato.

(38) I legittimi interessi di un responsabile del trattamento possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato. Ciò richiede un’attenta valutazione specie se l’interessato è un minore, dato che i minori necessitano di una specifica protezione. L’interessato deve potersi opporsi al trattamento, per motivi inerenti alla sua situazione particolare, e gratuitamente. Per garantire la trasparenza, il responsabile del trattamento deve essere obbligato a informare esplicitamente l’interessato sui legittimi interessi perseguiti, che deve documentare, e sul diritto di opporsi al trattamento dei dati. Posto che spetta al legislatore prevedere la base giuridica che autorizza le autorità pubbliche a trattare i dati, questo motivo non dovrebbe valere per il trattamento dati effettuato dalle autorità pubbliche nell’esercizio delle loro funzioni.

(39) Costituisce legittimo interesse del responsabile del trattamento trattare dati relativi al traffico, in misura strettamente necessaria a garantire la sicurezza delle reti e dell’informazione, vale a dire la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, ad eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza. Ciò potrebbe, ad esempio, includere misure atte a impedire l’accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da blocco di servizio e ai danni ai sistemi informatici e di comunicazione elettronica.

(40) Il trattamento dei dati personali per altri fini dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati sono stati inizialmente raccolti, in particolare se il trattamento è necessario per finalità storiche, statistiche o di ricerca scientifica. Se l’ulteriore finalità non è compatibile con la finalità iniziale della raccolta dati, sarebbe opportuno che il responsabile del trattamento ottenga il consenso specifico dell’interessato per tale finalità o basi il trattamento dati su un altro motivo legittimo, in particolare ove previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento. In ogni caso, dovrebbe essere garantita l’applicazione dei principi stabiliti dal presente regolamento, in particolare l’obbligo di informare l’interessato di tali altre finalità.

(41) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili e vulnerabili sotto il profilo dei diritti fondamentali o della vita privata. Tali dati non devono essere oggetto di trattamento, salvo esplicito consenso dell’interessato. Tuttavia occorre prevedere espressamente deroghe a questo divieto nei casi di necessità specifiche, segnatamente laddove il trattamento viene eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l’esercizio delle libertà fondamentali.

(42) La deroga al divieto di trattare dati sensibili deve essere consentita anche quando è prevista per legge, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, quando un interesse pubblico rilevante lo giustifichi, in particolare per finalità inerenti alla salute, compresa la pubblica sanità, la protezione sociale e la gestione dei servizi sanitari, soprattutto al fine di assicurare la qualità e l’economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito del regime di assicurazione sanitaria, o per finalità storiche, statistiche e di ricerca scientifica.

(43) Inoltre, è effettuato per motivi di interesse pubblico il trattamento di dati personali a cura di autorità pubbliche diretto a realizzare scopi, previsti dal diritto costituzionale o dal diritto internazionale pubblico, di associazioni religiose ufficialmente riconosciute.

(44) Se, nel corso di attività elettorali, il funzionamento del sistema democratico presuppone, in alcuni Stati membri, che i partiti politici raccolgano dati sulle opinioni politiche delle persone, può esserne consentito il trattamento per motivi di interesse pubblico, purché siano predisposte congrue garanzie.

(45) Se i dati che tratta non gli consentono di identificare una persona fisica, il responsabile del trattamento non deve essere obbligato ad acquisire ulteriori informazioni per identificare l’interessato al solo fine di rispettare una disposizione del presente regolamento. Quando riceve una richiesta di accesso, il responsabile del trattamento deve poter chiedere all’interessato ulteriori informazioni per poter localizzare i dati personali richiesti.

(46) Il principio della trasparenza impone che le informazioni destinate al pubblico o all’interessato siano facilmente accessibili e di facile comprensione e che sia utilizzato un linguaggio semplice e chiaro. Ciò è particolarmente utile in situazioni quali la pubblicità on line, in cui la molteplicità degli operatori coinvolti e la complessità tecnologica dell’operazione fanno sì che sia difficile per l’interessato comprendere se vengono raccolti dati personali, da chi e a quale scopo. Dato che i minori necessitano di una protezione specifica, quando il trattamento dati li riguarda specificamente, qualsiasi informazione e comunicazione deve utilizzare il linguaggio semplice e chiaro che un minore possa capire facilmente.

(47) Occorre prevedere modalità volte ad agevolare l’esercizio dei diritti di cui al presente regolamento, compresi i meccanismi per la richiesta, gratuita, di accedere ai dati, rettificarli e cancellarli in particolare, e per l’esercizio del diritto di opposizione. Il responsabile del trattamento deve essere tenuto a rispondere alle richieste dell’interessato entro un termine prestabilito e a motivare l’eventuale rifiuto.

(48) I principi di trattamento equo e trasparente implicano che l’interessato sia informato in particolare dell’esistenza del trattamento e delle sue finalità, del periodo di conservazione dei dati, del diritto di accesso, rettifica o cancellazione e del diritto di proporre reclamo. In caso di dati raccolti direttamente presso l’interessato, questi deve inoltre essere informato dell’eventuale obbligo di fornire i propri dati e delle conseguenze a cui va incontro se si rifiuta di fornirli.

(49) L’interessato deve ricevere le informazioni relative al trattamento di dati personali al momento della raccolta o, se i dati non sono raccolti direttamente presso l’interessato, entro un termine ragionevole, in funzione delle circostanze del caso. Se i dati possono essere legittimamente comunicati a un altro destinatario, l’interessato deve esserne informato al momento in cui il destinatario riceve la prima comunicazione dei dati.

(50) Per contro, non è necessario imporre tale obbligo se l’interessato dispone già dell’informazione, se la registrazione o la comunicazione è prevista per legge o se informare l’interessato si rivela impossibile o richiederebbe risorse sproporzionate. Ciò potrebbe verificarsi in particolare con i trattamenti per finalità storiche, statistiche o di ricerca scientifica, nel qual caso si può tener conto del numero di interessati, dell’antichità dei dati e di eventuali misure di compensazione.

(51) Ogni persona deve avere il diritto di accedere ai dati raccolti che la riguardano e di esercitare tale diritto facilmente, per essere consapevole del trattamento e verificarne la liceità. Occorre pertanto che ogni interessato abbia il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità del trattamento, al periodo di conservazione, ai destinatari, alla logica che presiede al trattamento e alle possibili conseguenze, almeno quando i dati si basato sul profilo dell’interessato. Tale diritto non deve ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software. Tuttavia, queste considerazioni non devono portare a negare all’interessato l’accesso a tutte le informazioni.

(52) Il responsabile del trattamento deve prendere tutte le misure ragionevoli per verificare l’identità di un interessato che chieda l’accesso, in particolare nel contesto di servizi on line e di identificativi on line. Il responsabile del trattamento non deve conservare dati personali al solo scopo di poter rispondere a potenziali richieste.

(53) Ogni persona deve avere il diritto di rettificare i dati personali che la riguardano e il “diritto all’oblio”, se la conservazione di tali dati non è conforme al presente regolamento. In particolare, l’interessato deve avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al presente regolamento. Tale diritto è particolarmente rilevante se l’interessato ha dato il consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminare questo tipo di dati personali, in particolare da Internet. Tuttavia, occorre consentire l’ulteriore conservazione dei dati qualora sia necessario per finalità storiche, statistiche e di ricerca scientifica, per motivi di interesse pubblico nel settore della sanità pubblica, per l’esercizio del diritto alla libertà di espressione, ove richiesto per legge o quando sia giustificata una limitazione del trattamento dei dati anziché una loro cancellazione.

(54) Per rafforzare il “diritto all’oblio” nell’ambiente on line, è necessario che il diritto di cancellazione sia esteso in modo da obbligare il responsabile del trattamento che ha pubblicato dati personali a informare i terzi che stanno trattando tali dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Per garantire tale informazione, è necessario che il responsabile del trattamento prenda tutte le misure ragionevoli, anche di natura tecnica, in relazione ai dati della cui pubblicazione è responsabile. Se ha autorizzato un terzo a pubblicare dati personali, il responsabile del trattamento deve essere ritenuto responsabile di tale pubblicazione.

(55) Per rafforzare ulteriormente il controllo sui propri dati e il diritto di accedervi, occorre che l’interessato abbia il diritto, se i dati personali sono trattati con mezzi elettronici e in un formato strutturato e di uso comune, di ottenere una copia dei dati che lo riguardano ugualmente in formato elettronico di uso comune. Occorre anche che l’interessato sia autorizzato a trasferire i dati che ha fornito da un’applicazione automatizzata, ad esempio un social network, ad un’altra. Tale diritto dovrebbe applicarsi quando l’interessato ha fornito i dati al sistema di trattamento automatizzato acconsentendo al trattamento o in esecuzione di un contratto.

(56) Anche nei casi in cui i dati personali possano essere lecitamente trattati per proteggere interessi vitali dell’interessato, oppure per motivi di pubblico interesse, nell’esercizio di pubblici poteri o per il legittimo interesse di un responsabile del trattamento, l’interessato deve comunque avere il diritto di opporsi al trattamento dei dati che lo riguardano. È opportuno che incomba al responsabile del trattamento dimostrare che i suoi legittimi interessi possono prevalere sull’interesse o sui diritti e sulle libertà fondamentali dell’interessato.

(57) Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato deve avere il diritto di opporsi a tale trattamento, gratuitamente e con una modalità facili e effettive.

(58) Ogni persona deve avere il diritto di non essere sottoposta a una misura basata sulla profilazione mediante trattamento automatizzato. Tuttavia, è opportuno che tale misura sia consentita se è espressamente prevista per legge, se è applicata nel contesto della conclusione o dell’esecuzione di un contratto o se l’interessato ha espresso il proprio consenso. In ogni caso, tale trattamento deve essere subordinato a garanzie adeguate, compresa la specifica informazione dell’interessato e il diritto di ottenere l’intervento umano, e la misura non deve riguardare un minore.

(59) Il diritto dell’Unione o di uno Stato membro può imporre limitazioni a specifici principi e ai diritti di informazione, accesso, rettifica e cancellazione di dati, al diritto alla portabilità dei dati, al diritto di opporsi, alle misure basate sulla profilazione, alla comunicazione di una violazione di dati personali all’interessato e ad alcuni obblighi connessi in capo ai responsabili del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della pubblica sicurezza, ivi comprese la protezione della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, e le attività di prevenzione, indagine e perseguimento di reati o di violazioni della deontologia professionale, per la tutela di altri interessi pubblici, tra cui un interesse economico o finanziario rilevante dell’Unione o di uno Stato membro, o per la protezione dell’interessato o dei diritti e delle libertà altrui. Tali limitazioni devono essere conformi alla Carta dei diritti fondamentali dell’Unione europea e alla convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.

(60) Occorre stabilire una responsabilità generale del responsabile del trattamento per qualsiasi trattamento di dati personali che abbia effettuato direttamente o altri abbia effettuato per suo conto. In particolare, il responsabile del trattamento deve garantire ed essere tenuto a dimostrare la conformità di ogni trattamento con il presente regolamento.

(61) La tutela dei diritti e delle libertà degli interessati con riguardo al trattamento dei dati personali richiede l’attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell’esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del presente regolamento. Al fine di garantire e dimostrare la conformità con il presente regolamento, il responsabile del trattamento deve adottare politiche interne e attuare misure adeguate, che soddisfino in particolare i principi della protezione fin dalla progettazione e della protezione di default.

(62) La protezione dei diritti e delle libertà dell’interessato così come le responsabilità del responsabile del trattamento e dell’incaricato del trattamento, anche in relazione al monitoraggio e alle misure delle autorità di controllo, esigono una chiara attribuzione delle responsabilità ai sensi del presente regolamento, compresi i casi in cui un responsabile del trattamento stabilisca le finalità, le condizioni e i mezzi del trattamento congiuntamente con altri responsabili del trattamento o quando l’operazione viene eseguita per conto del responsabile del trattamento.

(63) Quando un responsabile del trattamento non stabilito nell’Unione tratta dati personali di residenti nell’Unione e la sua attività di trattamento è finalizzata all’offerta di beni o alla prestazione di servizi a tali interessati o al controllo del loro comportamento, è opportuno che tale responsabile del trattamento designi un rappresentante, salvo che non sia stabilito in un paese terzo che garantisce un livello di protezione adeguato, non sia una piccola o media impresa o un’autorità o organismo pubblico oppure non offra beni o servizi agli interessati solo occasionalmente. Il rappresentante deve agire per conto del responsabile del trattamento e può essere interpellato da qualsiasi autorità di controllo.

(64) Per determinare se un responsabile del trattamento offre solo occasionalmente beni e servizi agli interessati residenti nell’Unione, occorre verificare se dalle sue attività complessive risulta che l’offerta di beni o servizi agli interessati sia solo accessoria rispetto alle attività principali.

(65) Per dimostrare che si conforma al presente regolamento, il responsabile del trattamento o l’incaricato del trattamento deve documentare ciascuna operazione di trattamento. Bisognerebbe obbligare tutti i responsabili del trattamento e gli incaricati del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detta documentazione a sua disposizione affinché possa servire per monitorare i trattamenti.

(66) Per mantenere la sicurezza e prevenire trattamenti contrari al presente regolamento, il responsabile del trattamento o l’incaricato del trattamento deve valutare i rischi inerenti al trattamento e provvedere a limitarli. Tali provvedimenti devono assicurare un adeguato livello di sicurezza, tenuto conto degli sviluppi tecnici e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati da proteggere. Nel definire le norme tecniche e le misure organizzative atte a garantire la sicurezza del trattamento, la Commissione deve promuovere la neutralità tecnologica, l’interoperabilità e l’innovazione e, ove opportuno, la cooperazione con i paesi terzi.

(67) Una violazione di dati personali può, se non affrontata in modo adeguato e tempestivo, provocare un grave danno economico e sociale all’interessato, tra cui l’usurpazione dell’identità. Pertanto, non appena viene a conoscenza di una violazione, il responsabile del trattamento la deve notificare all’autorità di controllo senza ritardo e, quando possibile, entro 24 ore. Oltre il termine di 24 ore, la notificazione deve essere corredata di una giustificazione motivata. È opportuno che le persone i cui dati o la cui vita privata potrebbero essere compromessi da una siffatta violazione siano informate tempestivamente affinché possano prendere le precauzioni del caso. Si considera che una violazione pregiudica i dati personali o la vita privata dell’interessato quando comporta, ad esempio, il furto o l’usurpazione d’identità, un danno fisico, un’umiliazione grave o attenta alla sua reputazione. La notifica deve descrivere la natura della violazione dei dati personali e formulare raccomandazioni per l’interessato intese ad attenuare i potenziali effetti negativi. La notifica deve essere trasmessa non appena possibile, in stretta collaborazione con l’autorità di controllo e nel rispetto degli orientamenti impartiti da questa o da altre autorità competenti (come le autorità incaricate dell’applicazione della legge). Ad esempio, affinché gli interessati possano attenuare un rischio immediato di pregiudizio è opportuno che la notifica sia tempestiva, ma la necessità di attuare misure adeguate per contrastare violazioni ripetute o analoghe potrebbe giustificare tempi più lunghi.

(68) Per determinare se una violazione dei dati personali è notificata all’autorità di controllo e all’interessato senza ingiustificato ritardo, occorre verificare se il responsabile del trattamento ha predisposto e applicato un’adeguata protezione tecnologica e le misure organizzative necessarie a stabilire immediatamente se c’e stata violazione di dati personali e a informare tempestivamente l’autorità di controllo e l’interessato, prima che ne vengano pregiudicati gli interessi personali ed economici, tenendo conto in particolare della natura e della gravità della violazione e delle sue conseguenze e effetti negativi per l’interessato.

(69) Nel definire modalità dettagliate relative al formato e alle procedure applicabili alla notificazione delle violazioni di dati personali, è opportuno tenere debitamente conto delle circostanze della violazione, ad esempio stabilire se i dati personali fossero o meno protetti con opportuni dispositivi tecnici atti a limitare efficacemente il rischio di furto d’identità o altre forme di abuso. Inoltre, è opportuno che tali modalità e procedure tengano conto dei legittimi interessi delle autorità giudiziarie e di polizia, nei casi in cui una divulgazione prematura possa ostacolare inutilmente l’indagine sulle circostanze di una violazione di sicurezza.

(70) La direttiva 95/46/CE ha introdotto un obbligo generale di notificare alle autorità di controllo il trattamento dei dati personali. Tale obbligo comporta oneri amministrativi e finanziari senza per questo aver mai veramente contribuito a migliorare la protezione dei dati personali. È pertanto necessario abolire tale obbligo generale e indiscriminato di notificazione e sostituirlo con meccanismi e procedure efficaci che si concentrino piuttosto su quelle operazioni di trattamento che potenzialmente presentano rischi specifici per i diritti e le libertà degli interessati, per loro natura, portata o finalità. In tali casi, è opportuno che il responsabile del trattamento o l’incaricato del trattamento effettui una valutazione d’impatto sulla protezione dei dati prima del trattamento, che verta in particolare anche sulle misure, sulle garanzie e sui meccanismi previsti per assicurare la protezione dei dati personali e per comprovare il rispetto del presente regolamento.

(71) Ciò deve applicarsi in particolare ai nuovi sistemi di archiviazione su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati.

(72) Vi sono circostanze in cui può essere ragionevole ed economico effettuare una valutazione d’impatto sulla protezione dei dati che verta su un oggetto più ampio di un unico progetto, per esempio quando autorità o enti pubblici intendono istituire un’applicazione o una piattaforma di trattamento comune o quando diversi responsabili del trattamento progettano di introdurre un’applicazione o un ambiente di trattamento comune in un settore o segmento industriale o per una attività trasversale ampiamente utilizzata.

(73) È necessario che un’autorità pubblica o un ente pubblico procedano a una valutazione d’impatto sulla protezione dei dati se ciò non è già stato fatto in vista dell’adozione della legge nazionale che disciplina i compiti dell’autorità pubblica o dell’ente pubblico e lo specifico trattamento o insieme di trattamenti.

(74) Se dalla valutazione d’impatto sulla protezione dei dati risulta che operazioni di trattamento o l’uso di nuove particolari tecnologie espongono i diritti e le libertà degli interessati a un grado elevato di rischi specifici, privandoli ad esempio di un diritto, l’autorità di controllo deve essere consultata prima dell’inizio delle operazioni, affinché verifichi se un trattamento rischioso sia conforme al presente regolamento e formuli proposte per ovviare a tale situazione. Siffatta consultazione deve aver luogo anche durante l’elaborazione di una proposta legislativa del parlamento nazionale o di una misura basata su quella proposta legislativa, che definisca la natura del trattamento e precisi le garanzie appropriate.

(75) Per i trattamenti effettuati nel settore pubblico o per i trattamenti effettuati nel settore privato da una grande impresa o da un’impresa, a prescindere dalle sue dimensioni, le cui attività principali implicano operazioni di trattamento che richiedono un monitoraggio regolare e sistematico, il responsabile del trattamento o l’incaricato del trattamento deve essere assistito da un’altra persona nel controllo del rispetto interno del presente regolamento. Tali “responsabili della protezione dei dati”, dipendenti o meno del responsabile del trattamento, devono essere in grado di esercitare le loro funzioni e compiti in modo indipendente.

(76) Le associazioni o altre organizzazioni rappresentative dei responsabili del trattamento devono essere incoraggiate ad elaborare codici di condotta, nei limiti del presente regolamento, in modo da facilitarne l’effettiva applicazione, tenendo conto delle caratteristiche specifiche delle operazioni effettuate in alcuni settori.

(77) Al fine di migliorare la trasparenza e il rispetto del presente regolamento deve essere incoraggiata l’istituzione di meccanismi di certificazione, sigilli e marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi.

(78) I flussi transfrontalieri di dati personali sono necessari per l’espansione del commercio internazionale e della cooperazione internazionale. L’aumento di tali flussi ha posto nuove sfide e problemi riguardanti la protezione dei dati personali. È importante però che quando i dati personali sono trasferiti dall’Unione a paesi terzi o a organizzazioni internazionali non sia compromesso il livello di protezione delle persone garantito nell’Unione dal presente regolamento. In ogni caso, i trasferimenti di dati verso paesi terzi possono soltanto essere effettuati nel pieno rispetto del presente regolamento.

(79) Il presente regolamento lascia impregiudicate le disposizioni degli accordi internazionali conclusi tra l’Unione e i paesi terzi che disciplinano il trasferimento di dati personali, comprese adeguate garanzie per gli interessati.

(80) La Commissione può decidere, con effetto nell’intera Unione europea, che taluni paesi terzi, o un territorio o settore di trattamento all’interno di un paese terzo, o un’organizzazione internazionale offrono un livello adeguato di protezione dei dati, garantendo in tal modo la certezza del diritto e l’uniformità in tutta l’Unione nei confronti dei paesi terzi o delle organizzazioni internazionali che si ritiene offrano un livello di protezione adeguato. In questi casi, i trasferimenti di dati personali possono avere luogo senza ulteriori autorizzazioni.

(81) In linea con i valori fondamentali su cui è fondata l’Unione, in particolare la tutela dei diritti dell’uomo, è opportuno che la Commissione, nella sua valutazione del paese terzo, tenga conto del modo in cui tale paese rispetta lo stato di diritto, l’accesso alla giustizia e le norme e gli standard internazionali in materia di diritti dell’uomo.

(82) La Commissione può anche riconoscere che un paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o un’organizzazione internazionale non offra un adeguato livello di protezione dei dati, nel qual caso il trasferimento di dati personali verso tale paese terzo deve essere vietato. È altresì opportuno prevedere consultazioni tra la Commissione e detti paesi terzi od organizzazioni internazionali.

(83) In mancanza di una decisione di adeguatezza, il responsabile del trattamento o l’incaricato del trattamento deve provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell’interessato. Tali adeguate garanzie possono consistere nell’applicazione di norme vincolanti d’impresa, clausole di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un’autorità di controllo o clausole contrattuali autorizzate da un’autorità di controllo, o altre opportune misure proporzionate e giustificate alla luce di tutte le circostanze relative ad un trasferimento o ad un insieme di trasferimenti di dati e nei casi autorizzati da un’autorità di controllo.

(84) La possibilità che il responsabile del trattamento o l’incaricato del trattamento utilizzi clausole tipo di protezione dei dati adottate dalla Commissione o da un’autorità di controllo non deve precludere ai responsabili del trattamento o agli incaricati del trattamento la possibilità di includere tali clausole tipo in un contratto più ampio né di aggiungere altre clausole, purché non contraddicano, direttamente o indirettamente, le clausole contrattuali tipo adottate dalla Commissione o da un’autorità di controllo o ledano i diritti o le libertà fondamentali degli interessati.

(85) Un gruppo di imprese deve poter applicare le norme vincolanti d’impresa approvate per i trasferimenti internazionali dall’Unione agli organismi dello stesso gruppo di imprese, purché tali norme contemplino principi fondamentali e diritti azionabili in giudizio che costituiscano adeguate garanzie per i trasferimenti o categorie di trasferimenti di dati personali.

(86) È opportuno prevedere la possibilità di trasferire dati in alcune circostanze se l’interessato ha acconsentito, se il trasferimento è necessario in relazione ad un contratto o un’azione legale, se sussistono motivi di rilevante interesse pubblico previsti dalla legislazione di uno Stato membro o dell’Unione o se i dati sono trasferiti da un registro stabilito per legge e destinato ad essere consultato dal pubblico o dalle persone aventi un legittimo interesse. In quest’ultimo caso, il trasferimento non deve riguardare la totalità dei dati o delle categorie di dati contenuti nel registro; inoltre, quando il registro è destinato ad essere consultato dalle persone aventi un legittimo interesse, i dati possono essere trasferiti soltanto se tali persone lo richiedono o ne sono destinatarie.

(87) Tali deroghe devono in particolare valere per i trasferimenti di dati richiesti e necessari per la protezione di motivi di interesse pubblico rilevante, ad esempio nel caso di trasferimenti internazionali di dati tra autorità garanti della concorrenza, amministrazioni fiscali o doganali, autorità di controllo finanziario, tra i servizi competenti in materia di sicurezza sociale o verso autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati.

(88) Potrebbero altresì essere autorizzati anche i trasferimenti non qualificabili come frequenti o massicci ai fini dei legittimi interessi del responsabile del trattamento o dell’incaricato del trattamento, dopo che questi abbia valutato tutte le circostanze relative al trasferimento. Ai fini del trattamento per finalità storiche, statistiche e di ricerca scientifica, si deve tener conto delle legittime aspettative della società nei confronti di un miglioramento delle conoscenze.

(89) In ogni caso, se la Commissione non ha preso alcuna decisione circa il livello adeguato di protezione dei dati di un paese terzo, il responsabile del trattamento o l’incaricato del trattamento deve ricorrere a soluzioni che diano all’interessato la garanzia che continuerà a beneficiare dei diritti e delle garanzie fondamentali previste dall’Unione in relazione al trattamento dei dati personali, anche dopo il trasferimento.

(90) Alcuni paesi terzi adottano leggi, regolamenti e altri strumenti legislativi finalizzati a disciplinare direttamente le attività di trattamento dati di persone fisiche e giuridiche poste sotto la giurisdizione degli Stati membri. L’applicazione extraterritoriale di tali leggi, regolamenti e altri strumenti legislativi potrebbe essere contraria al diritto internazionale e ostacolare il conseguimento della tutela delle persone garantita nell’Unione con il presente regolamento. I trasferimenti dovrebbero quindi essere consentiti solo se ricorrono le condizioni previste dal presente regolamento per i trasferimenti a paesi terzi. Ciò vale tra l’altro quando la divulgazione è necessaria per un motivo di interesse pubblico rilevante riconosciuto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento. Occorre che la Commissione precisi le condizioni in cui sussiste un motivo di interesse pubblico rilevante con un atto delegato.

(91) Con il trasferimento transfrontaliero di dati personali aumenta il rischio che l’interessato non eserciti i propri diritti alla protezione dei dati, in particolare per tutelarsi da usi o divulgazioni illecite di tali informazioni. Allo stesso tempo, le autorità di controllo possono concludere di non essere in grado di dar corso alle denunce o svolgere indagini relative ad attività condotte oltre frontiera. I loro sforzi di collaborazione nel contesto transfrontaliero possono anche scontrarsi con poteri insufficienti per prevenire e correggere, regimi giuridici incoerenti e difficoltà pratiche quali la limitatezza delle risorse disponibili. Pertanto vi è la necessità di promuovere una più stretta cooperazione tra le autorità di controllo della protezione dei dati affinché possano scambiare informazioni e condurre indagini di concerto con le loro controparti internazionali.

(92) La designazione di autorità di controllo che agiscano in totale indipendenza in ciascuno Stato membro è un elemento essenziale della protezione delle persone con riguardo al trattamento di dati personali. Gli Stati membri possono istituire più di una autorità di controllo, al fine di rispecchiare la loro struttura costituzionale, organizzativa e amministrativa.

(93) Laddove siano istituite più autorità di controllo, lo Stato membro deve stabilire per legge meccanismi atti ad assicurare la partecipazione effettiva di dette autorità al meccanismo di coerenza. Lo Stato membro deve in particolare designare l’autorità di controllo che funge da punto di contatto unico per l’effettiva partecipazione di tutte le autorità al meccanismo, onde garantire la rapida e agevole cooperazione con altre autorità di controllo, il comitato europeo per la protezione dei dati e la Commissione.

(94) Ciascuna autorità di controllo deve disporre di risorse umane e finanziarie adeguate, dei locali e delle infrastrutture necessarie per l’effettivo svolgimento dei propri compiti, compresi i compiti di assistenza reciproca e cooperazione con altre autorità di controllo in tutta l’Unione.

(95) Le condizioni generali applicabili ai membri dell’autorità di controllo devono essere stabilite da ciascuno Stato membro e devono in particolare prevedere che i membri siano nominati dal parlamento o dal governo dello Stato membro e contenere disposizioni sulle qualifiche e sulle funzioni di tali membri.

(96) Spetterebbe alle autorità di controllo controllare l’applicazione delle disposizioni del presente regolamento e contribuire alla sua coerente applicazione in tutta l’Unione, così da tutelare le persone fisiche in relazione al trattamento dei dati personali e facilitare la libera circolazione di tali dati nel mercato interno. A tal fine le autorità di controllo cooperano tra loro e con la Commissione.

(97) Qualora il trattamento dei dati personali nell’ambito delle attività di uno stabilimento di un responsabile del trattamento o incaricato del trattamento nell’Unione abbia luogo in più di uno Stato membro, è opportuno che un’unica autorità di controllo sia competente a controllare le attività del responsabile del trattamento o dell’incaricato del trattamento in tutta l’Unione e ad prendere le relative decisioni, in modo da aumentare la coerenza nell’applicazione, garantire la certezza giuridica e ridurre gli oneri amministrativi per tali responsabili del trattamento e incaricati del trattamento.

(98) È necessario che l’autorità competente, che funge da “sportello unico”, sia l’autorità di controllo dello Stato membro in cui il responsabile del trattamento o l’incaricato del trattamento ha lo stabilimento principale.

(99) Sebbene il presente regolamento si applichi anche alle attività dei giudici nazionali, non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali, al fine di salvaguardarne l’indipendenza. Tuttavia, tale esenzione deve essere rigorosamente limitata all’attività autenticamente giurisdizionale e non applicarsi ad altre attività a cui i giudici potrebbero partecipare in forza del diritto nazionale.

(100) Al fine di garantire un monitoraggio e un’applicazione coerenti del presente regolamento in tutta l’Unione, le autorità di controllo devono godere in ciascuno Stato membro degli stessi diritti e poteri effettivi, fra cui poteri di indagine e d’intervento giuridicamente vincolanti, di decisione e sanzione, segnatamente in caso di reclamo, così come di agire in giudizio. I poteri d’indagine delle autorità di controllo con riferimento all’accesso ai locali devono essere esercitati nel rispetto del diritto dell’Unione e della legislazione nazionale. Ciò riguarda in particolare l’obbligo di ottenere una preventiva autorizzazione giudiziaria.

(101) È necessario che ciascuna autorità di controllo tratti i reclami proposti da qualsiasi interessato e svolga le relative indagini; che a seguito di reclamo vada condotta un’indagine, soggetta a controllo giurisdizionale, nella misura in cui ciò sia opportuno nella fattispecie; che l’autorità di controllo informi gli interessati dei progressi e dei risultati del ricorso entro un termine ragionevole. Se il caso richiede un’ulteriore indagine o il coordinamento con un’altra autorità di controllo, l’interessato deve ricevere informazioni interlocutorie.

(102) Le attività di sensibilizzazione delle autorità di controllo nei confronti del pubblico devono comprendere misure specifiche per i responsabili del trattamento e gli incaricati del trattamento, comprese le micro, piccole e medie imprese, e per gli interessati.

(103) Le autorità di controllo devono prestarsi reciproca assistenza nell’esercizio delle loro funzioni, in modo da garantire la coerente applicazione e attuazione del presente regolamento nel mercato interno.

(104) Ciascuna autorità di controllo deve avere il diritto di partecipare alle operazioni congiunte tra autorità di controllo. L’autorità di controllo che riceve una richiesta dovrebbe darvi seguito entro un termine definito.

(105) È necessario istituire un meccanismo di coerenza per la cooperazione tra le autorità di controllo e con la Commissione, al fine di assicurare un’applicazione coerente del presente regolamento in tutta l’Unione. Tale meccanismo deve applicarsi in particolare quando un’autorità di controllo intenda adottare una misura relativa ad attività di trattamento finalizzate all’offerta di beni o servizi agli interessati in vari Stati membri o al controllo degli stessi, o che possono incidere significativamente sulla libera circolazione dei dati personali. È opportuno che il meccanismo si attivi anche quando un’autorità di controllo o la Commissione chiede che una questione sia trattata nell’ambito del meccanismo di coerenza. Tale meccanismo non deve pregiudicare le misure che la Commissione può adottare nell’esercizio dei suoi poteri a norma dei trattati.

(106) In applicazione del meccanismo di coerenza il comitato europeo per la protezione dei dati deve emettere un parere entro un termine determinato, se i suoi membri lo decidono a maggioranza semplice o se a richiederlo sono un’autorità di controllo o la Commissione.

(107) Al fine di garantire il rispetto del presente regolamento, la Commissione può adottare un parere sulla questione, o una decisione volta a ingiungere all’autorità di controllo di sospendere il progetto di misura.

(108) Potrebbe essere necessario intervenire urgentemente per tutelare gli interessi degli interessati, in particolare quando sussiste il pericolo che l’esercizio di un diritto possa essere gravemente ostacolato. Pertanto, un’autorità di controllo deve essere in grado di prendere misure provvisorie con un periodo di validità determinato quando applica il meccanismo di coerenza.

(109) L’applicazione di tale meccanismo deve essere un requisito indispensabile ai fini della validità giuridica e dell’esecuzione della rispettiva decisione a cura dell’autorità di controllo. In altri casi di rilevanza transfrontaliera, le autorità di controllo possono prestarsi reciproca assistenza ed effettuare indagini congiunte, su base bilaterale o multilaterale, senza attivare il meccanismo di coerenza.

(110) Occorre istituire a livello di Unione un comitato europeo per la protezione dei dati che sostituisca il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito con direttiva 95/46/CE. Il comitato deve essere composto dal responsabile dell’autorità di controllo di ciascuno Stato membro e dal garante europeo della protezione dei dati. È necessario che la Commissione partecipi alle attività del comitato. Il comitato europeo per la protezione dei dati deve contribuire all’applicazione uniforme del presente regolamento in tutta l’Unione, in particolare dando consulenza alla Commissione e promuovendo la cooperazione delle autorità di controllo in tutta l’Unione. Esso deve svolgere le sue funzioni in piena indipendenza.

(111) Ciascun interessato deve avere il diritto di proporre reclamo a un’autorità di controllo di qualunque Stato membro e il diritto di proporre ricorso giurisdizionale qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento o se l’autorità di controllo non dà seguito a un reclamo o non agisce quando è necessario intervenire per proteggere i suoi diritti di interessato.

(112) L’organismo, l’organizzazione o associazione che intenda tutelare i diritti e gli interessi degli interessati in relazione alla protezione dei dati personali e sia istituito o istituita a norma della legislazione di uno Stato membro deve avere il diritto di proporre reclamo a un’autorità di controllo di qualunque Stato membro o esercitare il diritto a un ricorso giurisdizionale per conto degli interessati, o di proporre un proprio reclamo indipendente dall’azione dell’interessato, se ritiene che sussista violazione dei dati personali.

(113) Ogni persona fisica o giuridica deve avere il diritto di proporre ricorso giurisdizionale avverso la decisione dell’autorità di controllo che la riguarda. Le azioni contro l’autorità di controllo devono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita.

(114) Al fine di potenziare la tutela giurisdizionale dell’interessato nei casi in cui l’autorità di controllo competente è stabilita in uno Stato membro diverso da quello in cui risiede l’interessato, questi può chiedere a qualsiasi organismo, organizzazione o associazione mirante a tutelare i diritti e gli interessi degli interessati in relazione alla protezione dei dati personali di proporre un ricorso giurisdizionale per suo conto contro tale autorità di controllo davanti all’autorità giurisdizionale competente nell’altro Stato membro.

(115) Nei casi in cui l’autorità di controllo competente stabilita in un altro Stato membro non agisca o abbia adottato misure insufficienti a seguito di un reclamo, l’interessato può chiedere all’autorità di controllo dello Stato membro in cui ha la residenza abituale di proporre un ricorso giurisdizionale contro tale autorità di controllo davanti all’autorità giurisdizionale competente nell’altro Stato membro. L’autorità di controllo richiesta può decidere, con atto impugnabile in via giurisdizionale, se sia opportuno dare seguire alla richiesta.

(116) Nei ricorsi contro un responsabile del trattamento o incaricato del trattamento, il ricorrente deve poter avviare un’azione legale dinanzi al giudice dello Stato membro in cui il responsabile del trattamento o l’incaricato del trattamento ha uno stabilimento o in cui risiede l’interessato, salvo che il responsabile del trattamento sia un ente pubblico che agisce nell’esercizio dei suoi poteri pubblici.

(117) Qualora vi siano fondati motivi di ritenere che in un altro Stato membro sia in corso un procedimento parallelo, le autorità giurisdizionali interessate devono prendere contatti. L’autorità giurisdizionale deve poter sospendere un procedimento quando sia in corso un procedimento parallelo in un altro Stato membro. Gli Stati membri devono assicurare che i ricorsi giurisdizionali, per essere efficaci, consentano di adottare rapidamente provvedimenti per porre fine alla violazione del presente regolamento o per prevenirla.

(118) Il responsabile del trattamento o l’incaricato del trattamento deve risarcire i danni cagionati da un trattamento illecito ma può essere esonerato da tale responsabilità se prova che l’evento dannoso non gli è imputabile, segnatamente se dimostra che a causare l’errore è stato l’interessato o in caso di forza maggiore.

(119) Dovrebbe essere punibile chiunque, persona di diritto pubblico o di diritto privato, non ottemperi alle disposizioni del presente regolamento. Gli Stati membri devono garantire sanzioni efficaci, proporzionate e dissuasive e adottare tutte le misure necessarie per la loro applicazione.

(120) Al fine di rafforzare e armonizzare le sanzioni amministrative applicabili per violazione del presente regolamento, ogni autorità di controllo deve poter sanzionare gli illeciti amministrativi. Il presente regolamento deve specificare detti illeciti e indicare il limite massimo della relativa sanzione amministrativa, che va stabilita in misura proporzionata alla situazione specifica, tenuto conto in particolare della natura, gravità e durata dell’infrazione. Il meccanismo di coerenza può essere utilizzato anche per colmare divergenze nell’applicazione delle sanzioni amministrative.

(121) Il trattamento di dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria dovrebbe poter derogare ad alcune disposizioni del presente regolamento per conciliare il diritto alla protezione dei dati personali con il diritto alla libertà d’espressione, in particolare la libertà di ricevere e comunicare informazioni garantita in particolare dall’articolo 11 della Carta dei diritti fondamentali dell’Unione europea. Ciò dovrebbe applicarsi in particolare al trattamento dei dati personali nel settore audiovisivo, negli archivi stampa e nelle emeroteche. È necessario pertanto che gli Stati adottino misure legislative che prevedano le deroghe e le esenzioni necessarie ai fini di un equilibrio tra questi diritti fondamentali. Gli Stati membri dovrebbero adottare tali esenzioni e deroghe con riferimento alle disposizioni concernenti i principi generali, i diritti dell’interessato, il responsabile del trattamento e l’incaricato del trattamento, il trasferimento di dati a paesi terzi o a organizzazioni internazionali, le autorità di controllo indipendenti, la cooperazione e la coerenza. Tuttavia ciò non deve indurre gli Stati membri a prevedere deroghe alle altre disposizioni del presente regolamento. Per tenere conto dell’importanza del diritto alla libertà di espressione in tutte le società democratiche è necessario interpretare in modo esteso i concetti relativi a detta libertà, quali la nozione di giornalismo. Pertanto, ai fini delle esenzioni e deroghe da stabilire nel presente regolamento, gli Stati membri dovrebbero classificare come “giornalistiche” le attività finalizzate alla diffusione al pubblico di informazioni, pareri o idee, indipendentemente dal canale utilizzato per la loro trasmissione, senza limitarle alle imprese operanti nel settore dei media ma includendovi le attività intraprese con o senza scopo di lucro.

(122) Il trattamento dei dati personali relativi alla salute, particolare categoria di dati che necessita di una maggiore protezione, può spesso essere giustificato da diversi motivi legittimi a beneficio delle persone e dell’intera società, in particolare se l’obiettivo è garantire la continuità dell’assistenza sanitaria transfrontaliera. Pertanto il presente regolamento deve prevedere condizioni armonizzate per il trattamento dei dati relativi alla salute, fatte salve garanzie appropriate e specifiche a tutela dei diritti fondamentali e dei dati personali delle persone fisiche. Ciò include il diritto di accedere ai propri dati personali relativi alla salute, ad esempio le cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, parere di medici curanti o eventuali terapie o interventi praticati.

(123) Il trattamento dei dati relativi alla salute può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell’interessato. In questo contesto, il concetto di “sanità pubblica” va interpretato secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008, relativo alle statistiche comunitarie in materia di sanità pubblica e di salute e sicurezza sul luogo di lavoro: tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all’assistenza sanitaria, la prestazione di assistenza sanitaria e l’accesso universale ad essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità. Il trattamento dei dati personali relativi alla salute effettuato per motivi di interesse pubblico non deve comportare il trattamento dei dati per altre finalità da parte di terzi, quali datori di lavoro, compagnie di assicurazione e istituti di credito.

(124) I principi generali della protezione delle persone fisiche con riguardo al trattamento dei dati personali devono trovare applicazione anche nei rapporti di lavoro. Pertanto, al fine di disciplinare il trattamento dei dati personali dei lavoratori in tale ambito, gli Stati membri devono avere facoltà, nei limiti del presente regolamento, di emanare specifiche disposizioni applicabili al trattamento dei dati personali nel settore del lavoro.

(125) Il trattamento dei dati personali per finalità storiche, statistiche o di ricerca scientifica deve, per essere lecito, rispettare anche altre normative pertinenti, ad esempio quelle sulle sperimentazioni cliniche.

(126) La ricerca scientifica nell’ambito del presente regolamento deve includere la ricerca fondamentale, la ricerca applicata e la ricerca finanziata da privati e deve, inoltre, tenere conto dell’obiettivo dell’Unione di istituire uno spazio europeo della ricerca ai sensi dell’articolo 179, paragrafo 1, del trattato sul funzionamento dell’Unione europea.

(127) Per quanto riguarda il potere delle autorità di controllo di ottenere, dal responsabile del trattamento o dall’incaricato del trattamento, accesso ai dati personali e accesso ai locali, gli Stati membri possono stabilire per legge, nei limiti del presente regolamento, norme specifiche per tutelare il segreto professionale o altri obblighi equivalenti di segretezza, qualora si rendano necessarie per conciliare il diritto alla protezione dei dati personali con l’obbligo di segretezza.

(128) Il presente regolamento rispetta e non pregiudica lo status di cui godono le chiese e le associazioni o comunità religiose negli Stati membri in virtù del diritto nazionale, in conformità dell’articolo 17 del trattato sul funzionamento dell’Unione europea. Di conseguenza, se in uno Stato membro una chiesa applica, al momento dell’entrata in vigore del presente regolamento, un corpus completo di norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali, è opportuno che tali norme continuino ad applicarsi purché siano conformi alle disposizioni del presente regolamento. Dette chiese e associazioni religiose dovrebbero essere tenute a istituire un’autorità di controllo pienamente indipendente.

(129) Al fine di conseguire gli obiettivi del regolamento, segnatamente tutelare i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali, e garantire la libera circolazione di tali dati nell’Unione, occorre conferire alla Commissione il potere di adottare atti a norma dell’articolo 290 del trattato sul funzionamento dell’Unione europea. In particolare, dovrebbero essere adottati atti delegati riguardanti la liceità del trattamento; i criteri e le condizioni relativi al consenso dei minori; il trattamento di categorie particolari di dati; i criteri e le condizioni per le richieste manifestamente eccessive e il contributo spese per l’esercizio dei diritti dell’interessato; i criteri e i requisiti applicabili all’informazione dell’interessato e al diritto di accesso; il diritto all’oblio e alla cancellazione; le misure basate sulla profilazione; i criteri e i requisiti relativi alla responsabilità del responsabile del trattamento e alla protezione sin dalla progettazione e alla protezione di default; l’incaricato del trattamento; i criteri e i requisiti per la documentazione e la sicurezza dei trattamenti; i criteri e requisiti per accertare una violazione dei dati personali e notificarla all’autorità di controllo e per stabilire le circostanze in cui una violazione di dati personali rischia di danneggiare l’interessato; i criteri e le condizioni perché le operazioni di trattamento richiedano una valutazione d’impatto sulla protezione dei dati; i criteri e i requisiti per determinare se sussistano rischi specifici tali da giustificare una consultazione preliminare; la designazione e il mandato del responsabile della protezione dei dati; i codici di condotta; i criteri e i requisiti dei meccanismi di certificazione; i criteri e requisiti per i trasferimenti in presenza di norme vincolanti d’impresa; le deroghe al trasferimento; le sanzioni amministrative; il trattamento a fini sanitari; il trattamento nel contesto del rapporto di lavoro e il trattamento per finalità storiche, statistiche e di ricerca scientifica. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti. Nel contesto della preparazione e della stesura degli atti delegati, occorre che la Commissione garantisca contemporaneamente una trasmissione corretta e tempestiva dei documenti pertinenti al Parlamento europeo e al Consiglio.

(130) Al fine di garantire condizioni uniformi per l’attuazione del presente regolamento, è necessario attribuire alla Commissione competenze di esecuzione affinché definisca moduli standard in relazione al trattamento dei dati personali di un minore; procedure e moduli standard per l’esercizio dei diritti dell’interessato; moduli standard per l’informazione dell’interessato; moduli standard e procedure in relazione al diritto di accesso e il diritto alla portabilità dei dati; moduli standard relativi alla responsabilità del responsabile del trattamento in relazione alla protezione sin dalla progettazione e alla protezione di default e alla documentazione; requisiti specifici per la sicurezza dei trattamenti; il formato standard e le procedure per la notificazione di una violazione dei dati personali all’autorità di controllo e la comunicazione di tale violazione all’interessato; norme e procedure per la valutazione d’impatto sulla protezione dei dati; moduli e procedure di autorizzazione preventiva e di consultazione preventiva; norme tecniche e meccanismi di certificazione; l’adeguatezza della protezione offerta da un paese terzo, o da un territorio o settore di trattamento dati all’interno del paese terzo, o da un’organizzazione internazionale; la divulgazione non autorizzata dal diritto dell’Unione; l’assistenza reciproca; le operazioni congiunte; le decisioni nel quadro del meccanismo di coerenza. Tali competenze devono essere esercitate in conformità del regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione[45]. A tal fine, la Commissione dovrebbe contemplare misure specifiche per le micro, piccole e medie imprese.

(131) La procedura d’esame dovrebbe applicarsi per l’adozione di moduli standard in relazione al consenso di un minore; di procedure e moduli standard per l’esercizio dei diritti dell’interessato; di moduli standard per l’informazione dell’interessato; di moduli standard e procedure in relazione al diritto di accesso e al diritto alla portabilità dei dati; di moduli standard relativi alla responsabilità del responsabile del trattamento in relazione alla protezione sin dalla progettazione e alla protezione di default e alla documentazione; di requisiti specifici per la sicurezza dei trattamenti; del formato standard e delle procedure per la notificazione di una violazione dei dati personali all’autorità di controllo e la comunicazione di una violazione dei dati personali all’interessato; delle norme e procedure per la valutazione d’impatto sulla protezione dei dati; di moduli e procedure di autorizzazione preventiva e di consultazione preventiva; delle norme tecniche e dei meccanismi di certificazione; per l’adeguatezza della protezione offerta da un paese terzo, o da un territorio o settore di trattamento dati all’interno del paese terzo, o da un’organizzazione internazionale; per la divulgazione non autorizzata dal diritto dell’Unione; per l’assistenza reciproca; per le operazioni congiunte e per le decisioni nel quadro del meccanismo di coerenza, in considerazione della portata generale di tali atti.

(132) È opportuno che la Commissione adotti atti di esecuzione immediatamente applicabili quando, in casi debitamente giustificati relativi ad un paese terzo, o a un territorio o settore di trattamento dati all’interno del paese terzo, o a un’organizzazione internazionale che non garantisce un livello di protezione adeguato e concernenti questioni comunicate dalle autorità di controllo conformemente al meccanismo di coerenza, ciò sia reso necessario da imperativi motivi di urgenza.

(133) Poiché gli obiettivi del presente regolamento, ossia garantire un livello equivalente di tutela delle persone fisiche e la libera circolazione dei dati nell’Unione, non possono essere conseguiti in misura sufficiente dagli Stati membri e possono dunque, a motivo della portata e degli effetti dell’azione in questione, essere conseguiti meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(134) Il presente regolamento dovrebbe abrogare la direttiva 95/46/CE. Ciò nondimeno, è opportuno che rimangano in vigore le decisioni della Commissione e le autorizzazioni delle autorità di controllo basate sulla direttiva 95/46/CE.

(135) È opportuno che il presente regolamento si applichi a tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali con riguardo al trattamento dei dati personali che non rientrino in obblighi specifici, aventi lo stesso obiettivo, di cui alla direttiva 2002/58/CE, compresi gli obblighi del responsabile del trattamento e i diritti delle persone fisiche. Per chiarire il rapporto tra il presente regolamento e la direttiva 2002/58/CE, occorre modificare quest’ultima di conseguenza.

(136) Per quanto riguarda l’Islanda e la Norvegia, il presente regolamento costituisce uno sviluppo delle disposizioni dell’acquis di Schengen, nella misura in cui si applica al trattamento dei dati personali da parte di autorità coinvolte nell’attuazione dell’acquis, ai sensi dell’accordo concluso dal Consiglio dell’Unione europea con la Repubblica d’Islanda e il Regno di Norvegia sulla loro associazione all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen[46]..

(137) Per quanto riguarda la Svizzera, il presente regolamento costituisce uno sviluppo delle disposizioni dell’acquis di Schengen, nella misura in cui si applica al trattamento dei dati personali da parte di autorità coinvolte nell’attuazione dell’acquis, ai sensi dell’accordo tra l’Unione europea, la Comunità europea e la Confederazione svizzera riguardante l’associazione di quest’ultima all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen[47].

(138) Per quanto riguarda il Liechtenstein, il presente regolamento costituisce uno sviluppo delle disposizioni dell’acquis di Schengen, nella misura in cui si applica al trattamento dei dati personali da parte di autorità coinvolte nell’attuazione dell’acquis, ai sensi del protocollo sottoscritto tra l’Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull’adesione del Principato del Liechtenstein all’accordo tra l’Unione europea, la Comunità europea e la Confederazione svizzera riguardante l’associazione della Confederazione svizzera all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen[48].

(139) In considerazione del fatto che, come sottolinea la Corte di giustizia dell’Unione europea, il diritto alla protezione dei dati personali non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ottemperanza al principio di proporzionalità, il presente regolamento rispetta tutti i diritti fondamentali e osserva i principi riconosciuti dalla Carta dei diritti fondamentali dell’Unione europea e sanciti dai trattati, in particolare il diritto al rispetto della vita privata e familiare, del domicilio e delle comunicazioni, il diritto alla protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, così come la diversità culturale, religiosa e linguistica,

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

CAPO I

DISPOSIZIONI GENERALI

Articolo 1 Oggetto e finalità

1.           Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale e norme relative alla libera circolazione di tali dati.

2.           Il presente regolamento tutela i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

3.           La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.

Articolo 2 Campo di applicazione materiale

1.           Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

2.           Le disposizioni del presente regolamento non si applicano ai trattamenti di dati personali:

a)      effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, concernenti in particolare la sicurezza nazionale;

b)      effettuati da istituzioni, organi e organismi dell’Unione;

c)      effettuati dagli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del capo 2 del trattato sull’Unione europea;

d)      effettuati da una persona fisica senza finalità di lucro per l’esercizio di attività esclusivamente personali o domestiche;

e)      effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali.

3.           Il presente regolamento lascia impregiudicata l’applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui ai suoi articoli da 12 a 15.

Articolo 3 Campo di applicazione territoriale

1.           Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento di un responsabile del trattamento o di un incaricato del trattamento nell’Unione.

2.           Il presente regolamento si applica al trattamento dei dati personali di residenti nell’Unione effettuato da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:

a)      l’offerta di beni o la prestazione di servizi ai suddetti residenti nell’Unione, oppure

b)      il controllo del loro comportamento.

3.           Il presente regolamento si applica al trattamento dei dati personali effettuato da un responsabile del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto nazionale di uno Stato membro in virtù del diritto internazionale pubblico.

Articolo 4 Definizioni

Ai fini del presente regolamento s’intende per:

(1) “interessato”: la persona fisica identificata o identificabile, direttamente o indirettamente, con mezzi che il responsabile del trattamento o altra persona fisica o giuridica ragionevolmente può utilizzare, con particolare riferimento a un numero di identificazione, a dati relativi all’ubicazione, a un identificativo on line o a uno o più elementi caratteristici della sua identità genetica, fisica, fisiologica, psichica, economica, culturale o sociale;

(2) “dati personali”: qualsiasi informazione concernente l’interessato;

(3) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la memorizzazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la cancellazione o la distruzione;

(4) “archivio”: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

(5) “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità, le condizioni e i mezzi del trattamento di dati personali; quando le finalità, le condizioni e i mezzi del trattamento sono determinati dal diritto dell’Unione o dal diritto di uno Stato membro, il responsabile del trattamento o i criteri specifici applicabili alla sua nomina possono essere designati dal diritto dell’Unione o dal diritto dello Stato membro;

(6) “incaricato del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;

(7) “destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati personali;

(8) “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata ed esplicita con la quale l’interessato accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

(9) “violazione dei dati personali”: violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati;

(10) “dati genetici”: tutti i dati, di qualsiasi natura, riguardanti le caratteristiche di una persona fisica che siano ereditarie o acquisite in uno stadio precoce di sviluppo prenatale;

(11) “dati biometrici”: i dati relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona che ne consentono l’identificazione univoca, quali l’immagine facciale o i rilievi dattiloscopici;

(12) “dati relativi alla salute”: qualsiasi informazione attinente alla salute fisica o mentale di una persona o alla prestazione di servizi sanitari a detta persona;

(13) “stabilimento principale”: per quanto riguarda il responsabile del trattamento, il luogo di stabilimento nell’Unione in cui sono prese le principali decisioni sulle finalità, le condizioni e i mezzi del trattamento di dati personali; se non sono prese decisioni di questo tipo nell’Unione, il luogo in cui sono condotte le principali attività di trattamento nell’ambito delle attività di uno stabilimento di un responsabile del trattamento nell’Unione. Con riferimento all’incaricato del trattamento, per “stabilimento principale” si intende il luogo in cui ha sede la sua amministrazione centrale nell’Unione.

(14) “rappresentante”: la persona fisica o giuridica stabilita nell’Unione che, espressamente designata dal responsabile del trattamento, agisce e può, per quanto concerne gli obblighi incombenti al responsabile del trattamento a norma del presente regolamento, essere interpellata al suo posto dalle autorità di controllo e da altri organismi nell’Unione;

(15) “impresa”: ogni entità, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente pertanto, in particolare, le persone fisiche e giuridiche, le società di persone o le associazioni che esercitano un’attività economica;

(16) “gruppo di imprese”: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;

(17) “norme vincolanti d’impresa”: le politiche in materia di protezione dei dati personali applicate da un responsabile del trattamento o incaricato del trattamento stabilito nel territorio di uno Stato membro dell’Unione al trasferimento o al complesso di trasferimenti di dati personali a un responsabile del trattamento o incaricato del trattamento in uno o più paesi terzi, nell’ambito di un gruppo di imprese;

(18) “minore”: persona di età inferiore agli anni diciotto;

(19) “autorità di controllo”: l’autorità pubblica istituita da uno Stato membro in conformità dell’articolo 46.

CAPO II PRINCIPI

Articolo 5 Principi applicabili al trattamento di dati personali

I dati personali devono essere:

a)      trattati in modo lecito, equo e trasparente nei confronti dell’interessato;

b)      raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità;

c)      adeguati, pertinenti e limitati al minimo necessario rispetto alle finalità perseguite; i dati possono essere trattati solo se e nella misura in cui le finalità non conseguibili attraverso il trattamento di informazioni che non contengono dati personali;

d)      esatti e aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;

e)      conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati per finalità storiche, statistiche o di ricerca scientifica, nel rispetto delle norme e delle condizioni di cui all’articolo 83 e se periodicamente è effettuato un riesame volto a valutare la necessità di conservarli;

f)       trattati sotto la responsabilità del responsabile del trattamento, che assicura e comprova, per ciascuna operazione, la conformità alle disposizioni del presente regolamento.

Articolo 6 Liceità del trattamento

1.           Il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)      l’interessato ha manifestato il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b)      il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali prese su richiesta dello stesso;

c)      il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento;

d)      il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato;

e)      il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il responsabile del trattamento;

f)       il trattamento è necessario per il perseguimento del legittimo interesse del responsabile del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. Ciò non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esercizio dei loro compiti.

2.           Il trattamento dei dati personali relativi alla salute che risulti necessario per finalità storiche, statistiche o di ricerca scientifica è lecito, fatte salve le condizioni e le garanzie di cui all’articolo 83.

3.           La base su cui si fonda il trattamento dati di cui al paragrafo 1, lettere c) ed e), deve essere prevista:

a)      dal diritto dell’Unione, o

b)       dalla legislazione dello Stato membro cui è soggetto il responsabile del trattamento.

Il diritto dello Stato membro deve perseguire un obiettivo di interesse pubblico o essere necessario per proteggere i diritti e le libertà altrui, rispettare il contenuto essenziale del diritto alla protezione dei dati personali ed essere proporzionato all’obiettivo legittimo.

4.           Se lo scopo dell’ulteriore trattamento non è compatibile con quello per il quale i dati personali sono stati raccolti, il trattamento deve avere come base giuridica almeno uno dei motivi di cui al paragrafo 1, lettere da a) ad e). Ciò si applica in particolare ad eventuali cambiamenti dei termini e delle condizioni generali del contratto.

5.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare le condizioni di cui al paragrafo 1, lettera f), per vari settori e situazioni di trattamento dei dati, anche con riferimento al trattamento dei dati personali concernenti un minore.

Articolo 7 Condizioni per il consenso

1.           L’onere di dimostrare che l’interessato ha espresso il consenso al trattamento dei suoi dati personali per scopi specifici incombe sul responsabile del trattamento.

2.           Se il consenso dell’interessato deve essere fornito nel contesto di una dichiarazione scritta che riguarda anche altre materie, l’obbligo di prestare il consenso deve essere presentato in forma distinguibile dalle altre materie.

3.           L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.

4.           Il consenso non costituisce una base giuridica per il trattamento ove vi sia un notevole squilibrio tra la posizione dell’interessato e del responsabile del trattamento.

Articolo 8 Trattamento dei dati personali dei minori

1.           Ai fini del presente regolamento, per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali di minori di età inferiore ai tredici anni è lecito se e nella misura in cui il consenso è espresso o autorizzato dal genitore o dal tutore del minore. Il responsabile del trattamento si adopera in ogni modo ragionevole per ottenere un consenso verificabile, in considerazione delle tecnologie disponibili.

2.           Il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore.

3.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le modalità per ottenere il consenso verificabile di cui al paragrafo 1. A tal fine, la Commissione contempla misure specifiche per le micro, piccole e medie imprese.

4.           La Commissione può stabilire moduli standard per specifiche modalità di ottenimento del consenso verificabile di cui al paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

Articolo 9 Trattamento di categorie particolari di dati personali

1.           È vietato trattare dati personali che rivelino la razza, l’origine etnica, le opinioni politiche, la religione o le convinzioni personali, l’appartenenza sindacale, come pure trattare dati genetici o dati relativi alla salute e alla vita sessuale o a condanne penali o a connesse misure di sicurezza.

2.           Il paragrafo 1 non si applica quando:

a)      l’interessato ha dato il proprio consenso al trattamento di tali dati personali, alle condizioni di cui agli articoli 7 e 8, salvo i casi in cui il diritto dell’Unione o di uno Stato membro dispone che l’interessato non può revocare il divieto di cui al paragrafo 1, oppure

b)      il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del responsabile del trattamento in materia di diritto del lavoro, nella misura in cui sia autorizzato dal diritto dell’Unione o di uno Stato membro in presenza di congrue garanzie, oppure

c)      il trattamento è necessario per salvaguardare un interesse vitale dell’interessato o di un terzo qualora l’interessato si trovi nell’incapacità fisica o giuridica di dare il proprio consenso, oppure

d)      il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati non siano comunicati a terzi senza il consenso dell’interessato, oppure

e)      il trattamento riguarda dati resi manifestamente pubblici dall’interessato, oppure

f)       il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, oppure

g)      il trattamento è necessario per l’esecuzione di un compito di interesse pubblico sulla base del diritto dell’Unione o del diritto degli Stati membri, che deve prevedere misure appropriate per tutelare i legittimi interessi dell’interessato, oppure

h)      il trattamento di dati relativi alla salute è necessario a fini sanitari, fatte salve le condizioni e le garanzie di cui all’articolo 81, oppure

i)       il trattamento è necessario per finalità storiche, statistiche o di ricerca scientifica, fatte salve le condizioni e le garanzie di cui all’articolo 83, oppure

j)       il trattamento dei dati relativi a condanne penali o a connesse misure di sicurezza è effettuato sotto il controllo dell’autorità pubblica, oppure il trattamento è necessario per ottemperare a un obbligo legale o regolamentare cui è soggetto il responsabile del trattamento o per l’esecuzione di un compito di interesse pubblico rilevante, purché sia autorizzato dal diritto dell’Unione o di uno Stato membro, che deve prevedere garanzie adeguate. Un registro completo delle condanne penali può essere tenuto solo sotto il controllo dell’autorità pubblica.

3.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri, le condizioni e le garanzie adeguate per il trattamento delle categorie particolari di dati personali di cui al paragrafo 1, e le deroghe di cui al paragrafo 2.

Articolo 10 Trattamento che non consente identificazione

Se i dati trattati da un responsabile del trattamento non consentono di identificare una persona fisica, il responsabile del trattamento non è obbligato ad acquisire ulteriori informazioni per identificare l’interessato al solo fine di rispettare una disposizione del presente regolamento.

CAPO III DIRITTI DELL’INTERESSATO

SEZIONE 1 TRASPARENZA E MODALITÀ

Articolo 11 Informazioni e comunicazioni trasparenti

1.           Il responsabile del trattamento applica politiche trasparenti e facilmente accessibili con riguardo al trattamento dei dati personali e ai fini dell’esercizio dei diritti dell’interessato.

2.           Il responsabile del trattamento fornisce all’interessato tutte le informazioni e le comunicazioni relative al trattamento dei dati personali in forma intelligibile, con linguaggio semplice e chiaro e adeguato all’interessato, in particolare se le informazioni sono destinate ai minori.

Articolo 12 Procedure e meccanismi per l’esercizio dei diritti dell’interessato

1.           Il responsabile del trattamento stabilisce le procedure d’informazione di cui all’articolo 14 e le procedure per l’esercizio dei diritti dell’interessato di cui all’articolo 13 e agli articoli da 15 a 19. Il responsabile del trattamento predispone in particolare i meccanismi per agevolare le richieste di cui all’articolo 13 e agli articoli da 15 a 19. Qualora i dati personali siano trattati con modalità automatizzate, il responsabile del trattamento predispone altresì i mezzi per inoltrare le richieste per via elettronica.

2.           Il responsabile del trattamento informa l’interessato tempestivamente e al più tardi entro un mese dal ricevimento della richiesta, se è stata adottata un’azione ai sensi dell’articolo 13 e degli articoli da 15 a 19, e fornisce le informazioni richieste. Tale termine può essere prorogato di un ulteriore mese se più interessati esercitano i loro diritti e la loro cooperazione è necessaria in misura ragionevole per evitare un impiego di risorse inutile e sproporzionato al responsabile del trattamento. Queste informazioni sono confermate per iscritto. Se l’interessato presenta la richiesta in forma elettronica, le informazioni sono fornite in formato elettronico, salvo indicazione diversa dell’interessato.

3.           Se rifiuta di ottemperare alla richiesta dell’interessato, il responsabile del trattamento informa l’interessato dei motivi di tale rifiuto e delle possibilità di proporre reclamo all’autorità di controllo e anche ricorso giurisdizionale.

4.           Le informazioni e le azioni intraprese a seguito delle richieste di cui al paragrafo 1 sono gratuite. Se le richieste sono manifestamente eccessive, in particolare per il loro carattere ripetitivo, il responsabile del trattamento può esigere un contributo spese per le informazioni o l’azione richiesta; in alternativa, può non effettuare quanto richiesto. In tale caso, incombe al responsabile del trattamento dimostrare il carattere manifestamente eccessivo della richiesta.

5.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e le condizioni concernenti le richieste manifestamente eccessive, e il contributo spese di cui al paragrafo 4.

6.           La Commissione può stabilire moduli e procedure standard per la comunicazione di cui al paragrafo 2, anche in formato elettronico. A tal fine, la Commissione prende misure adeguate per le micro, piccole e medie imprese. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

Articolo 13 Diritti relativi ai destinatari

Il responsabile del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati, le eventuali rettifiche o cancellazioni effettuate conformemente alle disposizioni degli articoli 16 e 17, salvo che ciò si riveli impossibile o implichi risorse sproporzionate.

SEZIONE 2 INFORMAZIONE E ACCESSO AI DATI

Articolo 14 Informazione dell’interessato

1.           In caso di raccolta di dati personali, il responsabile del trattamento fornisce all’interessato almeno le seguenti informazioni:

a)      l’identità e le coordinate di contatto del responsabile del trattamento e, eventualmente, del suo rappresentante e del responsabile della protezione dei dati;

b)      le finalità del trattamento cui sono destinati i dati personali, compresi i termini contrattuali e le condizioni generali nel caso di un trattamento basato sull’articolo 6, paragrafo 1, lettera b), e i legittimi interessi perseguiti dal responsabile del trattamento qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f);

c)      il periodo per il quale i dati personali saranno conservati;

d)      l’esistenza del diritto dell’interessato di chiedere al responsabile del trattamento l’accesso ai dati e la rettifica o la cancellazione dei dati personali che lo riguardano o di opporsi al loro trattamento;

e)      il diritto di proporre reclamo all’autorità di controllo e le coordinate di contatto di detta autorità;

f)       i destinatari o le categorie di destinatari dei dati personali;

g)      se del caso, l’intenzione del responsabile del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e il livello di protezione garantito dal paese terzo o organizzazione internazionale, richiamando una decisione di adeguatezza della Commissione;

h)      ogni altra informazione necessaria per garantire un trattamento equo nei confronti dell’interessato, in considerazione delle specifiche circostanze in cui i dati personali vengono raccolti.

2.           Quando i dati personali sono raccolti direttamente presso l’interessato, il responsabile del trattamento lo informa, in aggiunta a quanto disposto al paragrafo 1, dell’obbligatorietà o meno della comunicazione dei dati personali e delle possibili conseguenze di una mancata comunicazione.

3.           Quando i dati personali non sono raccolti direttamente presso l’interessato, il responsabile del controllo lo informa, in aggiunta a quanto disposto al paragrafo 1, della fonte da cui sono tratti i dati personali.

4.           Il responsabile del trattamento fornisce le informazioni di cui ai paragrafi 1, 2 e 3:

a)      al momento in cui i dati personali sono ottenuti dall’interessato, oppure

b)      quando i dati personali non sono raccolti direttamente presso l’interessato, al momento della registrazione o entro un termine ragionevole dopo la raccolta, in considerazione delle specifiche circostanze in cui i dati vengono raccolti o altrimenti trattati, o, se si prevede la divulgazione dei dati a un altro destinatario, al più tardi al momento della prima comunicazione dei medesimi.

5.           I paragrafi da 1 a 4 non si applicano nelle seguenti circostanze:

a)      l’interessato dispone già delle informazioni di cui ai paragrafi 1, 2 e 3, oppure

b)      i dati non sono raccolti presso l’interessato e comunicare tali informazioni risulta impossibile o implicherebbe risorse sproporzionate, oppure

c)      i dati non sono raccolti presso l’interessato e la registrazione o la comunicazione dei dati è prevista espressamente per legge, oppure

d)      i dati non sono raccolti presso l’interessato e la comunicazione di tali informazioni pregiudicherebbe i diritti e le libertà altrui, ai sensi del diritto dell’Unione o di uno Stato membro in conformità dell’articolo 21.

6.           Nel caso di cui al paragrafo 5, lettera b), il responsabile del trattamento predispone adeguate misure per proteggere i legittimi interessi dell’interessato.

7.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri per le categorie di destinatari di cui al paragrafo 1, lettera f), l’obbligo di informare circa gli accessi potenziali di cui al paragrafo 1, lettera g), i criteri per le ulteriori informazioni necessarie di cui al paragrafo 1, lettera h), per settori e situazioni specifiche, e le condizioni e garanzie adeguate per le eccezioni di cui al paragrafo 5, lettera b). A tal fine, la Commissione prende misure adeguate per le micro, piccole e medie imprese.

8.           La Commissione può predisporre moduli standard per la comunicazione delle informazioni di cui ai paragrafi da 1 a 3, tenendo conto se necessario delle caratteristiche e delle esigenze specifiche dei diversi settori e situazioni di trattamento dei dati. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

Articolo 15 Diritto di accesso dell’interessato

1.           L’interessato che ne faccia richiesta ha il diritto di ottenere in qualsiasi momento, dal responsabile del trattamento, la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano. Se è in corso un trattamento, il responsabile del trattamento fornisce le seguenti informazioni:

a)      le finalità del trattamento;

b)      le categorie di dati personali in questione;

c)      i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi;

d)      il periodo per il quale saranno conservati i dati personali;

e)      l’esistenza del diritto dell’interessato di chiedere al responsabile del trattamento la rettifica o la cancellazione dei dati personali che lo riguardano o di opporsi al loro trattamento;

f)       il diritto di proporre reclamo all’autorità di controllo e le coordinate di contatto di detta autorità;

g)      la comunicazione dei dati personali oggetto del trattamento e di tutte le informazioni disponibili sulla loro origine;

h)      l’importanza e le conseguenze di tale trattamento, almeno nel caso delle misure di cui all’articolo 20.

2.           L’interessato ha il diritto di ottenere dal responsabile del trattamento la comunicazione dei dati personali oggetto del trattamento. Se l’interessato presenta la richiesta in forma elettronica, le informazioni sono fornite in formato elettronico, salvo indicazione diversa dell’interessato.

3.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti per la comunicazione all’interessato del contenuto dei dati personali di cui al paragrafo 1, lettera g).

4.           La Commissione può predisporre moduli standard e procedure per la richiesta e la concessione dell’accesso alle informazioni di cui al paragrafo 1, anche ai fini di verificare l’identità dell’interessato e di comunicare i dati personali all’interessato, tenendo conto delle specificità e delle esigenze dei diversi settori e situazioni di trattamento dei dati. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

SEZIONE 3

RETTIFICA E CANCELLAZIONE

Articolo 16 Diritto di rettifica

L’interessato ha il diritto di ottenere dal responsabile del trattamento la rettifica di dati personali inesatti. L’interessato ha il diritto di ottenere l’integrazione di dati personali incompleti, anche mediante una dichiarazione rettificativa.

Articolo 17 Diritto all’oblio e alla cancellazione

1. L’interessato ha il diritto di ottenere dal responsabile del trattamento la cancellazione di dati personali che lo riguardano e la rinuncia a un’ulteriore diffusione di tali dati, in particolare in relazione ai dati personali resi pubblici quando l’interessato era un minore, se sussiste uno dei motivi seguenti:

a)      i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

b)      l’interessato revoca il consenso su cui si fonda il trattamento, di cui all’articolo 6, paragrafo 1, lettera a), oppure il periodo di conservazione dei dati autorizzato è scaduto e non sussiste altro motivo legittimo per trattare i dati;

c)      l’interessato si oppone al trattamento di dati personali ai sensi dell’articolo 19;

d)      il trattamento dei dati non è conforme al presente regolamento per altri motivi.

2.           Quando ha reso pubblici dati personali, il responsabile del trattamento di cui al paragrafo 1 prende tutte le misure ragionevoli, anche tecniche, in relazione ai dati della cui pubblicazione è responsabile per informare i terzi che stanno trattando tali dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Se ha autorizzato un terzo a pubblicare dati personali, il responsabile del trattamento è ritenuto responsabile di tale pubblicazione.

3.           Il responsabile del trattamento provvede senza ritardo alla cancellazione, a meno che conservare i dati personali non sia necessario:

(a) per l’esercizio del diritto alla libertà di espressione in conformità dell’articolo 80;

(b) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 81;

(c) per finalità storiche, statistiche e di ricerca scientifica in conformità dell’articolo 83;

(d) per adempiere un obbligo legale di conservazione di dati personali previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento; il diritto dello Stato membro deve perseguire un obiettivo di interesse pubblico, rispettare il contenuto essenziale del diritto alla protezione dei dati personali ed essere proporzionato all’obiettivo legittimo;

(e) nei casi di cui al paragrafo 4.

4.           Invece di provvedere alla cancellazione, il responsabile del trattamento limita il trattamento dei dati personali:

a)      quando l’interessato ne contesta l’esattezza, per il periodo necessario ad effettuare le opportune verifiche;

b)      quando, benché non ne abbia più bisogno per l’esercizio dei suoi compiti, i dati devono essere conservati a fini probatori;

c)      quando il trattamento è illecito e l’interessato si oppone alla loro cancellazione e chiede invece che ne sia limitato l’utilizzo;

d)      quando l’interessato chiede di trasmettere i dati personali a un altro sistema di trattamento automatizzato, in conformità dell’articolo 18, paragrafo 2.

5.           I dati personali di cui al paragrafo 4 possono essere trattati, salvo che per la conservazione, soltanto a fini probatori o con il consenso dell’interessato oppure per tutelare i diritti di un’altra persona fisica o giuridica o per un obiettivo di pubblico interesse.

6.           Quando il trattamento dei dati personali è limitato a norma del paragrafo 4, il responsabile del trattamento informa l’interessato prima di eliminare la limitazione al trattamento.

7.           Il responsabile del trattamento predispone i meccanismi per assicurare il rispetto dei termini fissati per la cancellazione dei dati personali e/o per un esame periodico della necessità di conservare tali dati.

8.           Quando provvede alla cancellazione, il responsabile del trattamento si astiene da altri trattamenti di tali dati personali.

9.           Alla Commissione è conferito il potere di adottare atti delegati in conformità all’articolo 86 al fine di precisare:

a)      i criteri e i requisiti per l’applicazione del paragrafo 1 per specifici settori e situazioni di trattamento dei dati;

b)      le condizioni per la cancellazione di link, copie o riproduzioni di dati personali dai servizi di comunicazione accessibili al pubblico, come previsto al paragrafo 2;

c)      i criteri e le condizioni per limitare il trattamento dei dati personali, di cui al paragrafo 4.

Articolo 18 Diritto alla portabilità dei dati

1.           L’interessato ha il diritto, ove i dati personali siano trattati con mezzi elettronici e in un formato strutturato e di uso comune, di ottenere dal responsabile del trattamento copia dei dati trattati in un formato elettronico e strutturato che sia di uso comune e gli consenta di farne ulteriore uso.

2.           Se ha fornito i dati personali e il trattamento si basa sul consenso o su un contratto, l’interessato ha il diritto di trasmettere tali dati personali e ogni altra informazione fornita e conservata in un sistema di trattamento automatizzato a un altro sistema in un formato elettronico di uso comune, senza impedimenti da parte del responsabile del trattamento da cui sono richiamati i dati.

3.           La Commissione può specificare il formato elettronico di cui al paragrafo 1 e le norme tecniche, le modalità e le procedure di trasmissione dei dati personali a norma del paragrafo 2. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

SEZIONE 4

DIRITTO DI OPPOSIZIONE E PROFILAZIONE

Articolo 19 Diritto di opposizione

1.           L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali ai sensi dell’articolo 6, paragrafo 1, lettere d), e) e f), salvo che il responsabile del trattamento dimostri l’esistenza di motivi preminenti e legittimi per procedere al trattamento che prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato.

2.           Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi gratuitamente al trattamento dei dati personali effettuato per tali finalità. Tale diritto è comunicato esplicitamente all’interessato in modo intelligibile ed è chiaramente distinguibile dalle altre informazioni.

3.           Qualora l’interessato si opponga ai sensi dei paragrafi 1 e 2, il responsabile del trattamento non può più usare né altrimenti trattare i dati personali in questione.

Articolo 20 Misure basate sulla profilazione

1.           Chiunque ha il diritto di non essere sottoposto a una misura che produca effetti giuridici o significativamente incida sulla sua persona, basata unicamente su un trattamento automatizzato destinato a valutare taluni aspetti della sua personalità o ad analizzarne o prevederne in particolare il rendimento professionale, la situazione economica, l’ubicazione, lo stato di salute, le preferenze personali, l’affidabilità o il comportamento.

2. Fatte salve le altre disposizioni del presente regolamento, chiunque può essere sottoposto a una misura di cui al paragrafo 1 soltanto se il trattamento:

a)      è effettuato nel contesto della conclusione o dell’esecuzione di un contratto, a condizione che la domanda di concludere o eseguire il contratto, presentata dall’interessato, sia stata accolta oppure che siano state offerte misure adeguate, fra le quali il diritto di ottenere l’intervento umano, a salvaguardia dei suoi legittimi interessi, oppure

b)      è espressamente autorizzato da disposizioni del diritto dell’Unione o di uno Stato membro che precisi altresì misure adeguate a salvaguardia dei legittimi interessi dell’interessato, oppure

c)      si basa sul consenso dell’interessato, fatte salve le condizioni di cui all’articolo 7 e l’esistenza di garanzie adeguate.

3. Il trattamento automatizzato di dati personali destinato a valutare taluni aspetti della personalità dell’interessato non può basarsi unicamente sulle categorie particolari di dati personali di cui all’articolo 9.

4.           Nei casi di cui al paragrafo 2, le informazioni che il responsabile del trattamento è tenuto a fornire ai sensi dell’articolo 14 ricomprendono l’esistenza di un trattamento relativo a una misura di cui al paragrafo 1 e gli effetti previsti di tale trattamento sull’interessato.

5.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e le condizioni concernenti le misure adeguate a salvaguardia dei legittimi interessi dell’interessato di cui al paragrafo 2.

SEZIONE 5 Limitazioni

Articolo 21 Limitazioni

1.           L’Unione o gli Stati membri possono limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui all’articolo 5, lettere da a) a e), agli articoli da 11 a 20 e all’articolo 32, qualora tale limitazione costituisca una misura necessaria e proporzionata in una società democratica per salvaguardare:

a)      la pubblica sicurezza;

b)      le attività volte a prevenire, indagare, accertare e perseguire reati;

c)      altri interessi pubblici dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, e la stabilità e l’integrità del mercato;

d)      le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;

e)      una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere a), b), c), e d);

f)       la tutela dell’interessato o dei diritti e delle libertà altrui;

2.           In particolare, le misure legislative di cui al paragrafo 1 contengono disposizioni specifiche riguardanti almeno gli obiettivi perseguiti dal trattamento e la determinazione del responsabile del trattamento.

CAPO IV

RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL TRATTAMENTO

SEZIONE 1 OBBLIGHI GENERALI

Articolo 22 Responsabilità del responsabile del trattamento

1.           Il responsabile del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme al presente regolamento.

2.           Le misure di cui al paragrafo 1 comprendono, in particolare:

(a) la conservazione della documentazione ai sensi dell’articolo 28;

(b) l’attuazione dei requisiti di sicurezza dei dati di cui all’articolo 30;

(c) l’esecuzione della valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 33;

(d) il rispetto dei requisiti di autorizzazione preventiva o di consultazione preventiva dell’autorità di controllo ai sensi dell’articolo 34, paragrafi 1 e 2;

(e) la designazione di un responsabile della protezione dei dati ai sensi dell’articolo 35, paragrafo 1.

3.           Il responsabile del trattamento mette in atto meccanismi per assicurare la verifica dell’efficacia delle misure di cui ai paragrafi 1 e 2. Qualora ciò sia proporzionato, la verifica è effettuata da revisori interni o esterni indipendenti.

4.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le misure adeguate di cui al paragrafo 1 diverse da quelle specificate al paragrafo 2, le condizioni riguardanti i meccanismi di verifica e di audit di cui al paragrafo 3 e il criterio di proporzionalità di cui al paragrafo 3, e al fine di contemplare misure specifiche per le micro, piccole e medie imprese.

Articolo 23 Protezione fin dalla progettazione e protezione di default

1.           Al momento di determinare i mezzi del trattamento e all’atto del trattamento stesso, il responsabile del trattamento, tenuto conto dell’evoluzione tecnica e dei costi di attuazione, mette in atto adeguate misure e procedure tecniche e organizzative in modo tale che il trattamento sia conforme al presente regolamento e assicuri la tutela dei diritti dell’interessato.

2.           Il responsabile del trattamento mette in atto meccanismi per garantire che siano trattati, di default, solo i dati personali necessari per ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per le finalità perseguite. In particolare detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone.

3.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le misure e i meccanismi adeguati di cui ai paragrafi 1 e 2, in particolare i requisiti riguardanti la protezione dei dati fin dalla progettazione applicabili in materia trasversale a vari settori, prodotti e servizi.

4.           La Commissione può stabilire norme tecniche riguardanti i requisiti di cui ai paragrafi 1 e 2. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

Articolo 24  Corresponsabili del trattamento

Se il responsabile del trattamento determina le finalità, le condizioni e i mezzi del trattamento dei dati personali insieme ad altri, i corresponsabili del trattamento determinano, mediante accordi interni, le rispettive responsabilità in merito al rispetto degli obblighi derivanti dal presente regolamento, con particolare riguardo alle procedure e ai meccanismi per l’esercizio dei diritti dell’interessato.

Articolo 25 Rappresentanti di responsabili del trattamento non stabiliti nell’Unione

1.           Nel caso di cui all’articolo 3, paragrafo 2, il responsabile del trattamento designa un rappresentante nell’Unione.

2.           Quest’obbligo non si applica:

a)      ai responsabili del trattamento stabiliti in un paese terzo qualora la Commissione abbia deciso che il paese terzo garantisce un livello di protezione adeguato in conformità dell’articolo 41, oppure

b)      alle imprese con meno di 250 dipendenti oppure

c)      alle autorità pubbliche e agli organismi pubblici, oppure

d)      ai responsabili del trattamento che offrono solo occasionalmente beni o servizi a interessati che risiedono nell’Unione.

3.           Il rappresentante è stabilito in uno degli Stati membri in cui risiedono gli interessati i cui dati personali sono trattati nell’ambito dell’offerta di beni o servizi o il cui comportamento è controllato.

4.           La designazione di un rappresentante a cura del responsabile del trattamento fa salve le azioni legali che potrebbero essere promosse contro lo stesso responsabile del trattamento.

Articolo 26 Incaricato del trattamento

1.           Qualora il trattamento debba essere effettuato per conto del responsabile del trattamento, questi sceglie un incaricato del trattamento che presenti garanzie sufficienti per mettere in atto misure e procedure tecniche e organizzative adeguate in modo tale che il trattamento sia conforme al presente regolamento e assicuri la tutela dei diritti dell’interessato, con particolare riguardo alle misure di sicurezza tecnica e organizzative in relazione ai trattamenti da effettuare, e si assicura del rispetto di tali misure.

2.           L’esecuzione dei trattamenti su commissione è disciplinata da un contratto o altro atto giuridico che vincoli l’incaricato del trattamento al responsabile del trattamento e che preveda segnatamente che l’incaricato del trattamento:

a)      agisca soltanto su istruzione del responsabile del trattamento, in particolare qualora sia vietato il trasferimento dei dati personali usati;

b)      impieghi soltanto personale che si sia impegnato alla riservatezza o abbia l’obbligo legale di riservatezza;

c)      prenda tutte le misure richieste ai sensi dell’articolo 30;

d)      ricorra ad un altro incaricato del trattamento solo previa autorizzazione del responsabile del trattamento;

e)      per quanto possibile tenuto conto della natura del trattamento, crei d’intesa con il responsabile del trattamento le condizioni tecniche e organizzative necessarie per l’adempimento dell’obbligo del responsabile del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

f)       aiuti il responsabile del trattamento a garantire il rispetto degli obblighi di cui agli articoli da 30 a 34;

g)      ultimato il trattamento, trasmetta tutti i risultati al responsabile del trattamento e si astenga dal trattare altrimenti i dati personali;

h)      metta a disposizione del responsabile del trattamento e dell’autorità di controllo tutte le informazioni necessarie per controllare il rispetto degli obblighi di cui al presente articolo.

3.           Il responsabile del trattamento e l’incaricato del trattamento documentano per iscritto le istruzioni del responsabile del trattamento e gli obblighi dell’incaricato del trattamento di cui al paragrafo 2.

4.           L’incaricato del trattamento che tratta i dati personali diversamente da quanto indicato nelle istruzioni del responsabile del trattamento è considerato responsabile del trattamento per tale trattamento ed è soggetto alle norme sui corresponsabili del trattamento di cui all’articolo 24.

5.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le responsabilità, gli obblighi e i compiti dell’incaricato del trattamento conformemente al paragrafo 1, e le condizioni che consentono di facilitare il trattamento dei dati personali all’interno di un gruppo di imprese, in particolare ai fini del controllo e della rendicontazione.

Articolo 27 Trattamento sotto l’autorità del responsabile del trattamento e dell’incaricato del trattamento

L’incaricato del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del responsabile del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal responsabile del trattamento, salvo che lo richieda il diritto dell’Unione o di uno Stato membro.

Articolo 28 Documentazione

1.           Ogni responsabile del trattamento, incaricato del trattamento ed eventuale rappresentante del responsabile del trattamento conserva la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità.

2.           La documentazione contiene almeno le seguenti informazioni:

a)      nome e coordinate di contatto del responsabile del trattamento, o di ogni corresponsabile del trattamento o incaricato del trattamento, e dell’eventuale rappresentante del responsabile del trattamento;

b)      nome e coordinate di contatto dell’eventuale responsabile della protezione dei dati;

c)      finalità del trattamento, compresi i legittimi interessi perseguiti dal responsabile del trattamento qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f);

d)      descrizione delle categorie di interessati e delle pertinenti categorie di dati personali;

e)      indicazione dei destinatari o delle categorie di destinatari dei dati personali, compresi i responsabili del trattamento cui sono comunicati i dati personali ai fini del perseguimento dei loro legittimi interessi;

f)       se del caso, indicazione dei trasferimenti di dati verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui all’articolo 44, paragrafo 1, lettera h), la documentazione delle garanzie adeguate;

g)      indicazione generale dei termini ultimi per cancellare le diverse categorie di dati;

h)      descrizione dei meccanismi di cui all’articolo 22, paragrafo 3.

3.           Il responsabile del trattamento, l’incaricato del trattamento e l’eventuale rappresentante del responsabile del trattamento mettono la documentazione a disposizione dell’autorità di controllo, su richiesta.

4.           Gli obblighi di cui ai paragrafi 1 e 2 non si applicano ai seguenti responsabili del trattamento e incaricati del trattamento:

a)      persone fisiche che trattano dati personali senza un interesse commerciale, oppure

b)      imprese o organizzazioni con meno di 250 dipendenti che trattano dati personali solo accessoriamente rispetto alle attività principali.

5.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti la documentazione di cui al paragrafo 1, per tener conto in particolare delle responsabilità del responsabile del trattamento, dell’incaricato del trattamento e dell’eventuale rappresentante del responsabile del trattamento.

5.           La Commissione può stabilire moduli standard per la documentazione di cui al paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

Articolo 29 Cooperazione con l’autorità di controllo

1.           Il responsabile del trattamento, l’incaricato del trattamento e l’eventuale rappresentante del responsabile del trattamento cooperano, su richiesta, con l’autorità di controllo nell’esercizio delle sue funzioni, fornendo in particolare le informazioni di cui all’articolo 53, paragrafo 2, lettera a), e accordando l’accesso di cui all’articolo 52, paragrafo 2, lettera b).

2.           Quando l’autorità di controllo esercita i poteri a norma dell’articolo 53, paragrafo 2, il responsabile del trattamento e l’incaricato del trattamento rispondono a una sua richiesta entro un termine ragionevole da quella fissato. La risposta comprende una descrizione delle misure prese a seguito delle osservazioni dell’autorità di controllo e dei risultati raggiunti.

SEZIONE 2 SICUREZZA DEI DATI

Articolo 30 Sicurezza del trattamento

1.           Tenuto conto dell’evoluzione tecnica e dei costi di attuazione, il responsabile del trattamento e l’incaricato del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta e alla natura dei dati personali da proteggere.

2.           Previa valutazione dei rischi, il responsabile del trattamento e l’incaricato del trattamento prendono le misure di cui al paragrafo 1 per proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita accidentale e per impedire qualsiasi forma illegittima di trattamento, in particolare la comunicazione, la divulgazione o l’accesso non autorizzati o la modifica dei dati personali.

3.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e le condizioni concernenti le misure tecniche e organizzative di cui ai paragrafi 1 e 2, compresa la determinazione di ciò che costituisce evoluzione tecnica, per settori specifici e in specifiche situazioni di trattamento dei dati, in particolare tenuto conto degli sviluppi tecnologici e delle soluzioni per la protezione fin dalla progettazione e per la protezione di default, salvo che si applichi il paragrafo 4.

4.           Se necessario, la Commissione può adottare atti di esecuzione per precisare i requisiti di cui ai paragrafi 1 e 2 in varie situazioni, in particolare per:

a)      impedire l’accesso non autorizzato ai dati personali;

b)      impedire qualunque forma non autorizzata di divulgazione, lettura, copia, modifica, cancellazione o rimozione dei dati personali;

c)      garantire la verifica della liceità del trattamento.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

Articolo 31 Notificazione di una violazione dei dati personali all’autorità di controllo

1.           In caso di violazione dei dati personali, il responsabile del trattamento notifica la violazione all’autorità di controllo senza ritardo, ove possibile entro 24 ore dal momento in cui ne è venuto a conoscenza. Qualora non sia effettuata entro 24 ore, la notificazione all’autorità di controllo è corredata di una giustificazione motivata.

2.           In conformità dell’articolo 26, paragrafo 2, lettera f), l’incaricato del trattamento allerta e informa il responsabile del trattamento immediatamente dopo aver accertato la violazione.

3.           La notificazione di cui al paragrafo 1 deve come minimo:

a)      descrivere la natura della violazione dei dati personali, compresi le categorie e il numero di interessati in questione e le categorie e il numero di registrazioni dei dati in questione;

b)      indicare l’identità e le coordinate di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c)      elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione dei dati personali;

d)      descrivere le conseguenze della violazione dei dati personali;

e)      descrivere le misure proposte o adottate dal responsabile del trattamento per porre rimedio alla violazione dei dati personali.

4.           Il responsabile del trattamento documenta la violazione dei dati personali, incluse le circostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi rimedio. La documentazione deve consentire all’autorità di controllo di verificare il rispetto del presente articolo. In essa figurano unicamente le informazioni necessarie a tal fine.

5.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti l’accertamento della violazione di dati personali di cui ai paragrafi 1 e 2 e le circostanze particolari in cui il responsabile del trattamento e l’incaricato del trattamento sono tenuti a notificare la violazione.

6.           La Commissione può stabilire il formato standard di tale notificazione all’autorità di controllo, le procedure applicabili all’obbligo di notificazione e la forma e le modalità della documentazione di cui al paragrafo 4, compresi i termini per la cancellazione delle informazioni ivi contenute. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

Articolo 32 Comunicazione di una violazione dei dati personali all’interessato

1.           Quando la violazione dei dati personali rischia di pregiudicare i dati personali o di attentare alla vita privata dell’interessato, il responsabile del trattamento, dopo aver provveduto alla notificazione di cui all’articolo 31, comunica la violazione all’interessato senza ingiustificato ritardo.

2.           La comunicazione all’interessato di cui al paragrafo 1 descrive la natura della violazione dei dati personali e contiene almeno le informazioni e le raccomandazioni di cui all’articolo 31, paragrafo 3, lettere b) e c).

3.           Non è richiesta la comunicazione di una violazione dei dati personali all’interessato se il responsabile del trattamento dimostra in modo convincente all’autorità di controllo che ha utilizzato le opportune misure tecnologiche di protezione e che tali misure erano state applicate ai dati violati. Tali misure tecnologiche di protezione devono rendere i dati incomprensibili a chiunque non sia autorizzato ad accedervi.

4.           Fatto salvo l’obbligo per il responsabile del trattamento di comunicare all’interessato la violazione dei dati personali, se il responsabile del trattamento non ha provveduto a comunicare all’interessato la violazione dei dati personali, l’autorità di controllo, considerate le presumibili ripercussioni negative della violazione, può obbligare il responsabile del trattamento a farlo.

5.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le circostanze in cui una violazione di dati personali rischia di pregiudicare la protezione dei dati personali di cui al paragrafo 1.

6.           La Commissione può stabilire il formato della comunicazione all’interessato di cui al paragrafo 1, e le procedure applicabili a tale comunicazione. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

SEZIONE 3 VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI E AUTORIZZAZIONE PREVENTIVA

Articolo 33 Valutazione d’impatto sulla protezione dei dati

1.           Quando il trattamento, per la sua natura, il suo oggetto o le sue finalità, presenta rischi specifici per i diritti e le libertà degli interessati, il responsabile del trattamento o l’incaricato del trattamento che agisce per conto del responsabile del trattamento effettua una valutazione dell’impatto del trattamento previsto sulla protezione dei dati personali.

2.           Presentano rischi specifici ai sensi del paragrafo 1 in particolare i seguenti trattamenti:

a)      la valutazione sistematica e globale di aspetti della personalità dell’interessato o volta ad analizzarne o prevederne in particolare la situazione economica, l’ubicazione, lo stato di salute, le preferenze personali, l’affidabilità o il comportamento, basata su un trattamento automatizzato e da cui discendono misure che hanno effetti giuridici o significativamente incidono sull’interessato;

b)      il trattamento di informazioni concernenti la vita sessuale, lo stato di salute, la razza e l’origine etnica oppure destinate alla prestazione di servizi sanitari o a ricerche epidemiologiche o indagini su malattie mentali o infettive qualora i dati siano trattati per prendere misure o decisioni su larga scala riguardanti persone specifiche;

c)      la sorveglianza di zone accessibili al pubblico, in particolare se effettuata mediante dispositivi ottico-elettronici (videosorveglianza) su larga scala;

d)      il trattamento di dati personali in archivi su larga scala riguardanti minori, dati genetici o dati biometrici;

e)      qualunque altro trattamento che richiede la consultazione dell’autorità di controllo ai sensi dell’articolo 34, paragrafo 2, lettera b).

3.           La valutazione contiene almeno una descrizione generale del trattamento previsto, una valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare i rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e dei legittimi interessi degli interessati e delle altre persone in questione.

4.           Il responsabile del trattamento raccoglie le osservazioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza del trattamento.

5.           Qualora il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico e il trattamento sia effettuato in forza di un obbligo legale ai sensi dell’articolo 6, paragrafo 1, lettera c), che prevede norme e procedure riguardanti il trattamento e sia stabilito dal diritto dell’Unione, i paragrafi da 1 a 4 non si applicano salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.

7.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e le condizioni concernenti i trattamenti che possono presentare rischi specifici di cui ai paragrafi 1 e 2 e i requisiti riguardanti la valutazione di cui paragrafo 3, comprese le condizioni di scalabilità, verifica e controllabilità. A tal fine, la Commissione contempla misure specifiche per le micro, piccole e medie imprese.

8.           La Commissione può specificare norme e procedure per l’esecuzione, la verifica e il controllo della valutazione di cui al paragrafo 3. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

Articolo 34 Autorizzazione preventiva e consultazione preventiva

1.           Il responsabile del trattamento o l’incaricato del trattamento, a seconda del caso, che adotti le clausole contrattuali di cui all’articolo 42, paragrafo 2, lettera d), o non offra garanzie adeguate in uno strumento giuridicamente vincolante ai sensi dell’articolo 42, paragrafo 5, per il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, prima di procedere al trattamento dei dati personali ottiene l’autorizzazione dell’autorità di controllo al fine di garantire la conformità del trattamento previsto al presente regolamento e, in particolare, attenuare i rischi per gli interessati.

2.           Il responsabile del trattamento, o l’incaricato del trattamento che agisce per conto del responsabile del trattamento, prima di procedere al trattamento dei dati personali consulta l’autorità di controllo al fine di garantire la conformità del trattamento previsto al presente regolamento e, in particolare, attenuare i rischi per gli interessati qualora:

a)      la valutazione d’impatto sulla protezione dei dati di cui all’articolo 33 indichi che il trattamento, per la sua natura, il suo oggetto o le sue finalità, può presentare un alto grado di rischi specifici, oppure

b)      l’autorità di controllo ritenga necessario effettuare una consultazione preventiva sui trattamenti precisati conformemente al paragrafo 4 che, per la loro natura, il loro oggetto o le loro finalità, possono presentare rischi specifici per i diritti e le libertà degli interessati.

3.           Se ritiene che il trattamento previsto non sia conforme al presente regolamento, in particolare qualora i rischi non siano sufficientemente identificati o attenuati, l’autorità di controllo vieta il trattamento previsto e presenta opportune proposte per ovviare al difetto di conformità.

4.           L’autorità di controllo redige e rende pubblico un elenco dei trattamenti soggetti a consultazione preventiva ai sensi del paragrafo 2, lettera b). L’autorità di controllo comunica tali elenchi al comitato europeo per la protezione dei dati.

5.           Se l’elenco di cui al paragrafo 4 comprende attività di trattamento finalizzate all’offerta di beni o servizi a interessati in più Stati membri o al controllo del loro comportamento, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione, l’autorità di controllo; prima di adottare tale elenco, applica il meccanismo di coerenza di cui all’articolo 57.

6.           Il responsabile del trattamento o l’incaricato del trattamento trasmette all’autorità di controllo la valutazione d’impatto sulla protezione dei dati di cui all’articolo 33 e, se richiesta, ogni altra informazione al fine di consentire all’autorità di controllo di effettuare una valutazione della conformità del trattamento, in particolare dei rischi per la protezione dei dati personali dell’interessato e delle relative garanzie.

7.           Quando elaborano un atto legislativo che deve essere adottato dai parlamenti nazionali o una misura basata su un atto di questo tipo, in cui venga definita la natura del trattamento, gli Stati membri consultano l’autorità di controllo per garantire la conformità del trattamento previsto al presente regolamento e, in particolare, attenuare i rischi per gli interessati.

8.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti per determinare l’alto grado di rischi specifici di cui al paragrafo 2, lettera a).

9.           La Commissione può stabilire moduli standard e procedure per l’autorizzazione preventiva e la consultazione preventiva di cui ai paragrafi 1 e 2, e per l’informativa all’autorità di controllo ai sensi del paragrafo 6. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

SEZIONE 4 RESPONSABILE DELLA PROTEZIONE DEI DATI

Articolo 35 Designazione del responsabile della protezione dei dati

1.           Il responsabile del trattamento e l’incaricato del trattamento designano sistematicamente un responsabile della protezione dei dati quando:

a)      il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, oppure

b)      il trattamento è effettuato da un’impresa con 250 o più dipendenti, oppure

c)      le attività principali del responsabile del trattamento o dell’incaricato del trattamento consistono in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati.

2.           Nei casi di cui al paragrafo 1, lettera b), un gruppo di imprese può nominare un unico responsabile della protezione dei dati.

3.           Qualora il responsabile del trattamento o l’incaricato del trattamento sia un’autorità pubblica o un organismo pubblico, il responsabile della protezione dei dati può essere designato per più enti, tenuto conto della struttura organizzativa dell’autorità pubblica o dell’organismo pubblico.

4.           Nei casi diversi da quelli di cui al paragrafo 1, il responsabile del trattamento, l’incaricato del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di responsabili del trattamento o di incaricati del trattamento possono designare un responsabile della protezione dei dati.

5.           Il responsabile del trattamento o l’incaricato del trattamento designa il responsabile della protezione dei dati in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti di cui all’articolo 37. Il livello necessario di conoscenza specialistica è determinato in particolare in base al trattamento di dati effettuato e alla protezione richiesta per i dati personali trattati dal responsabile del trattamento o dall’incaricato del trattamento.

6.           Il responsabile del trattamento o l’incaricato del trattamento si assicura che ogni altra funzione professionale del responsabile della protezione dei dati sia compatibile con i compiti e le funzioni dello stesso in qualità di responsabile della protezione dei dati e non dia adito a conflitto di interessi.

7.           Il responsabile del trattamento o l’incaricato del trattamento designa un responsabile della protezione dei dati per un periodo di almeno due anni. Il mandato del responsabile della protezione dei dati è rinnovabile. Durante il mandato può essere destituito solo se non soddisfa più le condizioni richieste per l’esercizio delle sue funzioni.

8.           Il responsabile della protezione dei dati può essere assunto dal responsabile del trattamento o dall’incaricato del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi.

9.           Il responsabile del trattamento o l’incaricato del trattamento comunica il nome e le coordinate di contatto del responsabile della protezione dei dati all’autorità di controllo e al pubblico.

10.         Gli interessati hanno il diritto di contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e presentare richieste per esercitare i diritti riconosciuti dal presente regolamento.

11.         Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le attività principali del responsabile del trattamento o dell’incaricato del trattamento di cui al paragrafo 1, lettera c), e i criteri relativi alle qualità professionali del responsabile della protezione dei dati di cui al paragrafo 5.

Articolo 36 Posizione del responsabile della protezione dei dati

1.           Il responsabile del trattamento o l’incaricato del trattamento si assicura che il responsabile della protezione dei dati sia prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

2.           Il responsabile del trattamento o l’incaricato del trattamento si assicura che il responsabile della protezione dei dati adempia alle funzioni e ai compiti in piena indipendenza e non riceva alcuna istruzione per quanto riguarda il loro esercizio. Il responsabile della protezione dei dati riferisce direttamente ai superiori gerarchici del responsabile del trattamento o dell’incaricato del trattamento.

3.           Il responsabile del trattamento o l’incaricato del trattamento sostiene il responsabile della protezione dei dati nell’esecuzione dei suoi compiti e gli fornisce personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cui all’articolo 37.

Articolo 37 Compiti del responsabile della protezione dei dati

1.           Il responsabile del trattamento o l’incaricato del trattamento conferisce al responsabile della protezione dei dati almeno i seguenti compiti:

a)      informare e consigliare il responsabile del trattamento o l’incaricato del trattamento in merito agli obblighi derivanti dal presente regolamento e conservare la documentazione relativa a tale attività e alle risposte ricevute;

b)      sorvegliare l’attuazione e l’applicazione delle politiche del responsabile del trattamento o dell’incaricato del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;

c)      sorvegliare l’attuazione e l’applicazione del presente regolamento, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l’informazione dell’interessato e le richieste degli interessati di esercitare i diritti riconosciuti dal presente regolamento;

d)      garantire la conservazione della documentazione di cui all’articolo 28;

e)      controllare che le violazioni dei dati personali siano documentate, notificate e comunicate ai sensi degli articoli 31 e 32;

f)       controllare che il responsabile del trattamento o l’incaricato del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti dagli articoli 33 e 34;

g)      controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell’ambito delle sue competenze, cooperare con l’autorità di controllo di propria iniziativa o su sua richiesta;

h)      fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l’autorità di controllo di propria iniziativa.

2.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti i compiti, la certificazione, lo status, i poteri e le risorse del responsabile della protezione dei dati di cui al paragrafo 1.

SEZIONE 5 CODICI DI CONDOTTA E CERTIFICAZIONE

Articolo 38 Codici di condotta

1.           Gli Stati membri, le autorità di controllo e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità settoriali, in particolare per quanto riguarda:

a)      il trattamento equo e trasparente dei dai;

b)      la raccolta dei dati;

c)      l’informazione del pubblico e dell’interessato;

d)      le richieste dell’interessato per l’esercizio dei suoi diritti;

e)      l’informazione e la protezione del minore;

f)       il trasferimento di dati verso paesi terzi o organizzazioni internazionali;

g)      i meccanismi per monitorare e garantire il rispetto del codice da parte dei responsabili del trattamento che vi aderiscono;

h)      le procedure stragiudiziali e di altro tipo per comporre le controversie tra responsabili del trattamento e interessati in materia di trattamento dei dati personali, fatti salvi i diritti dell’interessato ai sensi degli articoli 73 e 75.

2.           Le associazioni e gli altri organismi rappresentanti le categorie di responsabili del trattamento o incaricati del trattamento in uno Stato membro, che intendono elaborare i progetti di codice di condotta o modificare o prorogare i codici di condotta esistenti, possono sottoporli all’esame dell’autorità di controllo dello Stato membro interessato. L’autorità di controllo può esprimere un parere sulla conformità al presente regolamento del progetto di codice di condotta o della modifica proposta. L’autorità di controllo raccoglie le osservazioni degli interessati o dei loro rappresentanti su tali progetti.

3.           Le associazioni e gli altri organismi che rappresentano le categorie di responsabili del trattamento in più Stati membri possono sottoporre alla Commissione i progetti di codice di condotta e le modifiche o proroghe dei codici di condotta esistenti.

4.           La Commissione può decidere con atto di esecuzione che i codici di condotta e le modifiche o proroghe dei codici di condotta esistenti che le sono stati sottoposti ai sensi del paragrafo 3 hanno validità generale all’interno dell’Unione. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

5.           La Commissione provvede ad un’appropriata divulgazione dei codici per i quali è stata decisa la validità generale ai sensi del paragrafo 4.

Articolo 39 Certificazione

1.           Gli Stati membri e la Commissione incoraggiano, in particolare a livello europeo, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati garantito dai responsabili del trattamento e dagli incaricati del trattamento. I meccanismi di certificazione della protezione dei dati contribuiscono alla corretta applicazione del presente regolamento, in funzione delle specificità settoriali e dei diversi trattamenti.

2.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti i meccanismi di certificazione della protezione dei dati di cui al paragrafo 1, comprese le condizioni di rilascio e ritiro e i requisiti per il riconoscimento nell’Unione e in paesi terzi.

3.           La Commissione può stabilire norme tecniche riguardanti i meccanismi di certificazione e i sigilli e marchi di protezione dei dati e le modalità per promuovere e riconoscere i meccanismi di certificazione e i sigilli e marchi di protezione dei dati. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

CAPO V TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI O ORGANIZZAZIONI INTERNAZIONALI

Articolo 40 Principio generale per il trasferimento

Il trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compreso il trasferimento successivo di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, è ammesso soltanto se il responsabile del trattamento e l’incaricato del trattamento rispettano le condizioni indicate nel presente capo, fatte salve le altre disposizioni del presente regolamento.

Articolo 41 Trasferimento previa decisione di adeguatezza

1.           Il trasferimento è ammesso se la Commissione ha deciso che il paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o l’organizzazione internazionale in questione garantisce un livello di protezione adeguato. In tal caso il trasferimento non necessita di ulteriori autorizzazioni.

2.           Nel valutare l’adeguatezza del livello di protezione la Commissione prende in considerazione i seguenti elementi:

a)      lo stato di diritto, la pertinente legislazione generale e settoriale vigente, anche in materia penale, di pubblica sicurezza, difesa e sicurezza nazionale, le regole professionali e le misure di sicurezza osservate nel paese terzo o dall’organizzazione internazionale in questione, nonché i diritti effettivi e azionabili, compreso il diritto degli interessati a un ricorso effettivo in sede amministrativa e giudiziaria, in particolare quelli che risiedono nell’Unione e i cui dati personali sono oggetto di trasferimento;

b)      l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o nell’organizzazione internazionale in questione, incaricate di garantire il rispetto delle norme di protezione dei dati, assistere e consigliare gli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo dell’Unione e degli Stati membri, e

c)      gli impegni internazionali assunti dal paese terzo o dall’organizzazione internazionale in questione.

3.           La Commissione può decidere che un paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o un’organizzazione internazionale garantisce un livello di protezione adeguato ai sensi del paragrafo 2. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

4.           L’atto di esecuzione specifica il proprio campo di applicazione geografico e settoriale e, se del caso, identifica l’autorità di controllo di cui al paragrafo 2, lettera b).

5.           La Commissione può decidere che un paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o un’organizzazione internazionale non garantisce un livello di protezione adeguato ai sensi del paragrafo 2, in particolare nei casi in cui la pertinente legislazione generale e settoriale vigente nel paese terzo o per l’organizzazione internazionale in questione non garantisce diritti effettivi e azionabili, compreso il diritto degli interessati a un ricorso effettivo in sede amministrativa e giudiziaria, in particolare quelli residenti nell’Unione i cui dati personali sono oggetto di trasferimento. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2, o, in casi di estrema urgenza per gli interessati relativamente al loro diritto alla protezione dei dati, secondo la procedura cui all’articolo 87, paragrafo 3.

6.           Quando la Commissione decide ai sensi del paragrafo 5, è vietato il trasferimento di dati personali verso il paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o verso l’organizzazione internazionale in questione, fatti salvi gli articoli da 42 a 44. La Commissione avvia, al momento opportuno, consultazioni con il paese terzo o l’organizzazione internazionale per porre rimedio alla situazione risultante dalla decisione di cui al paragrafo 5.

7.           La Commissione pubblica nella Gazzetta ufficiale dell’Unione europea l’elenco dei paesi terzi, dei territori e settori di trattamento all’interno di un paese terzo, e delle organizzazioni internazionali per i quali ha deciso che è o non è garantito un livello di protezione adeguato.

8.           Le decisioni adottate dalla Commissione in base all’articolo 25, paragrafo 6, o all’articolo 26, paragrafo 4, della direttiva 95/46/CE restano in vigore fino a quando non vengono modificate, sostituite o abrogate dalla Commissione.

Articolo 42 Trasferimento in presenza di garanzie adeguate

1.           Se la Commissione non ha preso alcuna decisione ai sensi dell’articolo 41, il responsabile del trattamento o l’incaricato del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha offerto garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante.

2.           Costituiscono in particolare garanzie adeguate di cui al paragrafo 1:

a)      le norme vincolanti d’impresa conformi all’articolo 43, oppure

b)      le clausole tipo di protezione dei dati adottate dalla Commissione. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2, oppure

c)      le clausole tipo di protezione dei dati adottate da un’autorità di controllo in conformità del meccanismo di coerenza di cui all’articolo 57, qualora siano dichiarate generalmente valide dalla Commissione ai sensi dell’articolo 62, paragrafo 1, lettera b), oppure

d)      le clausole contrattuali tra il responsabile del trattamento o l’incaricato del trattamento e il destinatario dei dati autorizzate da un’autorità di controllo in conformità del paragrafo 4.

3.           Il trasferimento basato sulle clausole tipo di protezione dei dati o sulle norme vincolanti d’impresa di cui al paragrafo 2, lettere a), b) o c) non necessita di ulteriori autorizzazioni.

4.           Se il trasferimento si basa sulle clausole contrattuali di cui paragrafo 2, lettera d), il responsabile del trattamento o l’incaricato del trattamento deve ottenere l’autorizzazione preventiva dell’autorità di controllo in relazione alle clausole contrattuali in conformità dell’articolo 34, paragrafo 1, lettera a). Se il trasferimento è connesso ad attività di trattamento riguardanti interessati in un altro Stato membro o in altri Stati membri, o che incidono significativamente sulla libera circolazione dei dati personali all’interno dell’Unione, l’autorità di controllo applica il meccanismo di coerenza di cui all’articolo 57.

5.           Se non sono offerte garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante, il responsabile del trattamento o l’incaricato del trattamento deve ottenere l’autorizzazione preventiva al trasferimento o a un complesso di trasferimenti, o all’inserimento di disposizioni in accordi amministrativi costituenti la base del trasferimento. Tale autorizzazione dell’autorità di controllo è conforme all’articolo 34, paragrafo 1, lettera a). Se il trasferimento è connesso ad attività di trattamento riguardanti interessati in un altro Stato membro o in altri Stati membri, o che incidono significativamente sulla libera circolazione dei dati personali all’interno dell’Unione, l’autorità di controllo applica il meccanismo di coerenza di cui all’articolo 57. Le autorizzazioni emesse dall’autorità di controllo sulla base dell’articolo 26, paragrafo 2, della direttiva 95/46/CE restano valide fino a quando non vengono modificate, sostituite o abrogate dalla medesima autorità di controllo.

Articolo 43 Trasferimento in presenza di norme vincolanti d’impresa

1.           L’autorità di controllo approva, in conformità del meccanismo di coerenza di cui all’articolo 58, le norme vincolanti d’impresa, a condizione che queste:

a)      siano giuridicamente vincolanti e si applichino a tutti i membri del gruppo d’imprese del responsabile del trattamento o dell’incaricato del trattamento, compresi i loro dipendenti, e siano da questi rispettate;

b)      conferiscano espressamente agli interessati diritti opponibili;

c)      soddisfino i requisiti di cui al paragrafo 2.

2.           Le norme vincolanti d’impresa specificano almeno:

a)      la struttura e le coordinate di contatto del gruppo d’imprese e dei suoi membri;

b)      i trasferimenti o l’insieme di trasferimenti di dati, in particolare le categorie di dati personali, il tipo di trattamento e relative finalità, il tipo di interessati cui si riferiscono i dati e l’identificazione del paese terzo o dei paesi terzi in questione;

c)      la loro natura giuridicamente vincolante, a livello sia interno che esterno;

d)      i principi generali di protezione dei dati, in particolare in relazione alla finalità, alla qualità dei dati, alla base giuridica del trattamento e al trattamento di dati personali sensibili, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organizzazioni che non sono vincolate dalle politiche;

e)      i diritti dell’interessato e i mezzi per esercitarli, compresi il diritto di non essere sottoposto a misure basate sulla profilazione ai sensi dell’articolo 20, il diritto di proporre reclamo all’autorità di controllo competente e di ricorrere alle autorità giurisdizionali competenti degli Stati membri conformemente all’articolo 75, e il diritto di ottenere riparazione e, se del caso, il risarcimento per violazione delle norme vincolanti d’impresa;

f)       il fatto che il responsabile del trattamento o l’incaricato del trattamento stabilito nel territorio di uno Stato membro si assume la responsabilità per qualunque violazione delle norme vincolanti d’impresa commesse da un membro del gruppo di imprese non stabilito nell’Unione; il responsabile del trattamento o l’incaricato del trattamento può essere esonerato in tutto o in parte da tale responsabilità solo se prova che l’evento dannoso non è imputabile al membro in questione;

g)      le modalità in base alle quali sono fornite all’interessato, in conformità dell’articolo 11, le informazioni sulle norme vincolanti d’impresa, in particolare sulle disposizioni di cui alle lettere d), e) e f);

h)       i compiti del responsabile della protezione dei dati designato ai sensi dell’articolo 35, compreso il controllo del rispetto delle norme vincolanti d’impresa all’interno del gruppo di imprese e il controllo della formazione e della gestione dei reclami;

i)       i meccanismi all’interno del gruppo di imprese diretti a garantire la verifica della conformità alle norme vincolanti d’impresa;

j)       i meccanismi per riferire e registrare le modifiche delle politiche e comunicarle all’autorità di controllo;

k)      il meccanismo di cooperazione con l’autorità di controllo per garantire la conformità da parte di ogni membro del gruppo di imprese, in particolare la messa a disposizione dell’autorità di controllo dei risultati delle verifiche delle misure di cui alla lettera i).

3.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le norme vincolanti d’impresa ai sensi del presente articolo, in particolare i criteri per la loro approvazione, l’applicazione del paragrafo 2, lettere b), d), e) e f) alle norme vincolanti d’impresa cui gli incaricati del trattamento aderiscono e gli ulteriori requisiti per garantire la protezione dei dati personali degli interessati in questione.

4.           La Commissione può specificare il formato e le procedure per lo scambio di informazioni con mezzi elettronici tra responsabili del trattamento, incaricati del trattamento e autorità di controllo in merito alle norme vincolanti d’impresa ai sensi del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

Articolo 44 Deroghe

1.           In mancanza di una decisione di adeguatezza ai sensi dell’articolo 41 o di garanzie adeguate ai sensi dell’articolo 42, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale soltanto a condizione che:

a)      l’interessato abbia acconsentito al trasferimento proposto, dopo essere stato informato dei rischi connessi a siffatti trasferimenti dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate, oppure

b)      il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il responsabile del trattamento ovvero all’esecuzione di misure precontrattuali prese su istanza dell’interessato, oppure

c)      il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il responsabile del trattamento e un terzo a favore dell’interessato, oppure

d)      il trasferimento sia necessario per motivi di interesse pubblico rilevante, oppure

e)      il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, oppure

f)       il trasferimento sia necessario per salvaguardare un interesse vitale dell’interessato o di un terzo, qualora l’interessato si trovi nell’incapacità fisica o giuridica di dare il proprio consenso, oppure

g)      il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o di uno Stato membro, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, purché sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o dello Stato membro, oppure

h)      il trasferimento sia necessario per il perseguimento dei legittimi interessi del responsabile del trattamento o dell’incaricato del trattamento, che non possano definirsi frequenti o ingenti, e qualora il responsabile del trattamento o l’incaricato del trattamento abbia valutato tutte le circostanze relative ad un trasferimento o ad un complesso di trasferimenti e sulla base di tale valutazione abbia offerto garanzie adeguate per la protezione dei dati personali, ove necessario.

2.           Il trasferimento di cui al paragrafo 1, lettera g), non può riguardare la totalità dei dati personali o intere categorie di dati personali contenute nel registro. Se il registro è destinato ad essere consultato da persone aventi un legittimo interesse, il trasferimento è ammesso soltanto su richiesta di tali persone o qualora ne siano i destinatari.

3.           Qualora il trasferimento si basi sul paragrafo 1, lettera h), il responsabile del trattamento o l’incaricato del trattamento prende in considerazione la natura dei dati, la finalità e la durata del trattamento previsto, nonché la situazione nel paese d’origine, nel paese terzo e nel paese di destinazione finale, e offre garanzie adeguate per la protezione dei dati personali, ove necessario.

4.           Il paragrafo 1, lettere b), c) e h), non si applicano alle attività svolte dalle autorità pubbliche nell’esercizio dei pubblici poteri.

5.           L’interesse pubblico di cui al paragrafo 1, lettera d), deve essere riconosciuto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento.

6.           Il responsabile del trattamento o l’incaricato del trattamento attesta nella documentazione di cui all’articolo 28 la valutazione e le garanzie adeguate offerte di cui al paragrafo 1, lettera d), e informa l’autorità di controllo del trasferimento.

7.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i “motivi di interesse pubblico rilevante” ai sensi del paragrafo 1, lettera d), e i criteri e i requisiti concernenti le garanzie adeguate di cui al paragrafo 1, lettera h).

Articolo 45 Cooperazione internazionale per la protezione dei dati personali

1.           In relazione ai paesi terzi e alle organizzazioni internazionali, la Commissione e le autorità di controllo adottano misure appropriate per:

a)      sviluppare efficaci meccanismi di cooperazione internazionale per facilitare l’applicazione della legislazione sulla protezione dei dati personali;

b)      prestare assistenza reciproca a livello internazionale nell’applicazione della legislazione sulla protezione dei dati personali, in particolare mediante notificazione, deferimento dei reclami, assistenza alle indagini e scambio di informazioni, fatte salve garanzie adeguate per la protezione dei dati personali e gli altri diritti e libertà fondamentali;

c)      coinvolgere le parti interessate pertinenti in discussioni e attività dirette a promuovere la cooperazione internazionale nell’applicazione della legislazione sulla protezione dei dati personali;

d)      promuovere lo scambio e la documentazione delle legislazioni e pratiche in materia di protezione dei dati personali.

2.           Ai fini del paragrafo 1, la Commissione adotta le misure appropriate per intensificare i rapporti con quei paesi terzi e quelle organizzazioni internazionali, in particolare le loro autorità di controllo, per cui abbia deciso che garantiscono un livello adeguato di protezione ai sensi dell’articolo 41, paragrafo 3.

CAPO VI AUTORITÀ DI CONTROLLO INDIPENDENTI

SEZIONE 1 INDIPENDENZA

Articolo 46 Autorità di controllo

1.           Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare l’applicazione del presente regolamento e di contribuire alla sua coerente applicazione in tutta l’Unione, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali e di agevolare la libera circolazione dei dati personali all’interno dell’Unione. A tale scopo le autorità di controllo cooperano tra loro e con la Commissione.

2.           Qualora in uno Stato membro siano istituite più autorità di controllo, detto Stato membro designa l’autorità di controllo che funge da punto di contatto unico per l’effettiva partecipazione di tali autorità al comitato europeo per la protezione dei dati e stabilisce il meccanismo in base al quale le altre autorità si conformano alle norme relative al meccanismo di coerenza di cui all’articolo 57.

3.           Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del presente capo entro la data di cui all’articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica.

Articolo 47 Indipendenza

1.           L’autorità di controllo esercita le sue funzioni e i suoi poteri in piena indipendenza.

2.           Nell’adempimento delle loro funzioni i membri dell’autorità di controllo non sollecitano né accettano istruzioni da alcuno.

3.           Per tutta la durata del mandato, i membri dell’autorità di controllo si astengono da qualunque azione incompatibile con le loro funzioni e non possono esercitare alcuna altra attività professionale incompatibile, remunerata o meno.

4.           Al termine del mandato i membri dell’autorità di controllo agiscono con integrità e discrezione nell’accettazione di nomine e altri benefici.

5.           Ogni Stato membro provvede affinché l’autorità di controllo sia dotata di risorse umane, tecniche e finanziarie adeguate, dei locali e delle infrastrutture necessarie per l’effettivo esercizio delle sue funzioni e dei suoi poteri, compresi quelli nell’ambito dell’assistenza reciproca, della cooperazione e della partecipazione al comitato europeo per la protezione dei dati.

6.           Ogni Stato membro provvede affinché l’autorità di controllo abbia il proprio personale, nominato dal responsabile dell’autorità di controllo e soggetto alla direzione di quest’ultimo.

7.           Gli Stati membri garantiscono che l’autorità di controllo sia soggetta a un controllo finanziario che non ne pregiudichi l’indipendenza. Gli Stati membri garantiscono che l’autorità di controllo disponga di bilanci annuali separati. I bilanci sono pubblicati.

Articolo 48 Condizioni generali per i membri dell’autorità di controllo

1.           Ogni Stato membro dispone che a nominare i membri dell’autorità di controllo debba essere il proprio parlamento o governo.

2.           I membri sono scelti tra personalità che offrono ogni garanzia di indipendenza e che possiedono un’esperienza e competenze notorie per l’esercizio delle loro funzioni, in particolare nel settore della protezione dei dati personali.

3.           Il mandato dei membri cessa alla scadenza del termine o in caso di dimissioni o di provvedimento d’ufficio, a norma del paragrafo 5.

4.           I membri possono essere rimossi o privati del diritto a pensione o di altri vantaggi sostitutivi dall’autorità giurisdizionale nazionale competente qualora non siano più in possesso dei requisiti necessari per l’esercizio delle loro funzioni o abbiano commesso una colpa grave.

5.           Allo scadere del mandato o qualora rassegni le sue dimissioni, il membro continua a esercitare le sue funzioni fino alla nomina di un nuovo membro.

Articolo 49 Norme sull’istituzione dell’autorità di controllo

Ogni Stato membro prevede con legge, nei limiti del presente regolamento:

a)      l’istituzione e lo status dell’autorità di controllo;

b)      le qualifiche, l’esperienza e le competenze richieste per l’esercizio delle funzioni di membro dell’autorità di controllo;

c)      le norme e le procedure per la nomina dei membri dell’autorità di controllo, e le norme sulle attività o professioni incompatibili con le loro funzioni;

d)      la durata del mandato dei membri dell’autorità di controllo, che non può essere inferiore a quattro anni, salvo per le prime nomine dopo l’entrata in vigore del presente regolamento, alcune delle quali possono avere una durata inferiore qualora ciò sia necessario per tutelare l’indipendenza dell’autorità di controllo mediante una procedura di nomina scaglionata;

e)      l’eventuale rinnovabilità del mandato dei membri dell’autorità di controllo;

f)       le regole e le condizioni comuni che disciplinano le funzioni dei membri e del personale dell’autorità di controllo;

g)      le norme e le procedure relative alla cessazione delle funzioni dei membri dell’autorità di controllo, anche per il caso in cui non siano più in possesso dei requisiti necessari per l’esercizio delle loro funzioni o abbiano commesso una colpa grave.

Articolo 50 Segreto professionale

Durante e dopo il mandato i membri e il personale dell’autorità di controllo sono tenuti al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso nell’esercizio delle loro funzioni.

SEZIONE 2 FUNZIONI E POTERI

Articolo 51 Competenza

1.           Ogni autorità di controllo esercita, nel territorio del suo Stato membro, i poteri di cui gode a norma del presente regolamento.

2.           Qualora il trattamento dei dati personali abbia luogo nell’ambito delle attività di uno stabilimento di un responsabile del trattamento o incaricato del trattamento nell’Unione, e il responsabile del trattamento o l’incaricato del trattamento sia stabilito in più Stati membri, l’autorità competente dello stabilimento principale del responsabile del trattamento o dell’incaricato del trattamento è competente per il controllo delle attività di trattamento del responsabile del trattamento o dell’incaricato del trattamento in tutti gli Stati membri, fatte salve le disposizioni di cui al capo VII del presente regolamento.

3.           L’autorità di controllo non è competente per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali.

Articolo 52 Funzioni

1.           L’autorità di controllo:

a)      sorveglia e garantisce l’applicazione del presente regolamento;

b)      tratta i reclami proposti dagli interessati o da associazioni che li rappresentano ai sensi dell’articolo 73, svolge le indagini opportune e informa l’interessato o l’associazione dello stato e dell’esito del reclamo entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un’altra autorità di controllo;

c)      scambia le informazioni con le altre autorità di controllo, presta assistenza reciproca e garantisce l’applicazione e l’attuazione coerente del presente regolamento;

d)      svolge indagini di propria iniziativa oppure a seguito di un reclamo o su richiesta di un’altra autorità di controllo, ed entro un termine ragionevole ne comunica l’esito all’interessato che abbia proposto reclamo alla sua autorità di controllo;

e)      sorveglia gli sviluppi che presentano un interesse, se ed in quanto incidenti sulla protezione dei dati personali, in particolare l’evoluzione delle tecnologie dell’informazione e della comunicazione e le pratiche commerciali;

f)       è consultata dalle istituzioni e dagli organismi degli Stati membri in merito alle misure legislative e amministrative relative alla tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali;

g)      autorizza i trattamenti di cui all’articolo 34 ed è consultata al riguardo;

h)      esprime un parere sui progetti di codici di condotta ai sensi dell’articolo 38, paragrafo 2;

i)       approva le norme vincolanti d’impresa ai sensi dell’articolo 43;

j)       partecipa alle attività del comitato europeo per la protezione dei dati.

2.           Ogni autorità di controllo promuove la sensibilizzazione del pubblico ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali. Sono oggetto di particolare attenzione le attività destinate specificamente ai minori.

3.           L’autorità di controllo, su richiesta, consiglia l’interessato in merito all’esercizio dei diritti derivanti dal presente regolamento e, se del caso, coopera a tal fine con le autorità di controllo di altri Stati membri.

4.           L’autorità di controllo fornisce un modulo compilabile elettronicamente per la proposizione dei reclami di cui al paragrafo 1, lettera b), senza escludere altri mezzi di comunicazione.

5.           L’autorità di controllo svolge le proprie funzioni senza spese per l’interessato.

6.           Qualora le richieste siano manifestamente eccessive, in particolare per il carattere ripetitivo, l’autorità di controllo può esigere un contributo spese o non effettuare quanto richiesto dall’interessato. Incombe all’autorità di controllo dimostrare il carattere manifestamente eccessivo della richiesta.

Articolo 53 Poteri

1.           Ogni autorità di controllo ha il potere di:

a)      notificare al responsabile del trattamento o all’incaricato del trattamento le asserite violazioni delle disposizioni sul trattamento dei dati personali e, all’occorrenza, ingiungere al responsabile del trattamento o all’incaricato del trattamento di porre rimedio alle violazioni con misure specifiche, al fine di migliorare la protezione degli interessati;

b)      ingiungere al responsabile del trattamento o all’incaricato del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti derivanti dal presente regolamento;

c)      ingiungere al responsabile del trattamento e all’incaricato del trattamento e, se del caso, al rappresentante di fornirgli ogni informazione utile per l’esercizio delle sue funzioni;

d)      assicurare il rispetto dell’obbligo di autorizzazione preventiva e di consultazione preventiva di cui all’articolo 34;

e)      rivolgere avvertimenti o moniti al responsabile del trattamento o all’incaricato del trattamento;

f)       ordinare la rettifica, la cancellazione o la distruzione di tutti i dati trattati in violazione delle disposizioni del presente regolamento e la notificazione di tali misure ai terzi cui sono stati trasmessi i dati;

g)      vietare trattamenti, a titolo provvisorio o definitivo;

h)      sospendere la circolazione dei dati verso un destinatario in un paese terzo o un’organizzazione internazionale;

i)       esprimere pareri su questioni riguardanti la protezione dei dati personali;

j)       informare i parlamenti nazionali, i governi o altre istituzioni politiche, nonché il pubblico, di qualunque questione riguardante la protezione dei dati personali.

2.           Ogni autorità di controllo dispone dei poteri investigativi necessari per ottenere dal responsabile del trattamento o dall’incaricato del trattamento:

a)      l’accesso a tutti i dati personali e a tutte le informazioni necessarie per l’esercizio delle sue funzioni;

b)      l’accesso a tutti i locali, compresi tutti gli strumenti e mezzi di trattamento dei dati, se si può ragionevolmente supporre che vi è in corso un’attività contraria al presente regolamento.

I poteri di cui alla lettera b) sono esercitati conformemente al diritto dell’Unione e degli Stati membri.

3.           Ogni autorità di controllo ha il diritto di agire in sede giudiziale o stragiudiziale in caso di violazione del presente regolamento, in particolare ai sensi dell’articolo 74, paragrafo 4, e dell’articolo 75, paragrafo 2.

4.           Ogni autorità di controllo ha il potere di sanzionare gli illeciti amministrativi, in particolare quelli di cui all’articolo 79, paragrafi 4, 5 e 6.

Articolo 54 Relazione di attività

Ogni autorità di controllo elabora una relazione annuale sulla propria attività. La relazione è trasmessa al parlamento nazionale ed è messa a disposizione del pubblico, della Commissione e del comitato europeo per la protezione dei dati.

CAPO VII

COOPERAZIONE E COERENZA

Sezione 1 Cooperazione

Articolo 55 Assistenza reciproca

1.           Le autorità di controllo si trasmettono le informazioni utili e si prestano assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente, e prendono misure per cooperare efficacemente tra loro. L’assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di autorizzazione preventiva e di consultazione preventiva, le ispezioni e la comunicazione rapida dell’apertura di casi e dei loro sviluppi qualora i trattamenti possano riguardare interessati in più Stati membri.

2.           Ogni autorità di controllo prende tutte le misure opportune necessarie per dare seguito alle richieste delle altre autorità di controllo senza ritardo, al più tardi entro un mese dal ricevimento della richiesta. Tali misure possono consistere, in particolare, nella trasmissione di informazioni utili sull’andamento di un’indagine o dirette a far cessare o vietare i trattamenti contrari al presente regolamento.

3.           La richiesta di assistenza contiene tutte le informazioni necessarie, compresi lo scopo e i motivi della richiesta. Le informazioni scambiate sono utilizzate ai soli fini per cui sono state richieste.

4.           L’autorità di controllo cui è presentata una richiesta di assistenza non può rifiutare di darvi seguito, salvo che:

a)      non sia competente per trattarla, oppure

b)      l’intervento richiesto sia incompatibile con le disposizioni del presente regolamento.

5.           L’autorità di controllo richiesta informa l’autorità di controllo richiedente dell’esito o, se del caso, dei progressi o delle misure prese per rispondere alla sua richiesta.

6.           Le autorità di controllo forniscono al più presto e per via elettronica, con modulo standard, le informazioni richieste da altre autorità di controllo.

7.           Non è imposta alcuna spesa per le misure prese a seguito di una richiesta di assistenza reciproca.

8.           Qualora l’autorità di controllo non dia seguito alla richiesta di un’altra autorità di controllo entro un mese, l’autorità di controllo richiedente è competente a prendere misure provvisorie nel territorio del suo Stato membro ai sensi dell’articolo 51, paragrafo 1, e sottopone la questione al comitato europeo per la protezione dei dati conformemente alla procedura di cui all’articolo 57.

9.           L’autorità di controllo specifica il periodo di validità delle misure provvisorie. Detto periodo non può essere superiore a tre mesi. L’autorità di controllo comunica senza ritardo tali misure, debitamente motivate, al comitato europeo per la protezione dei dati e alla Commissione.

10.         La Commissione può specificare il formato e le procedure per l’assistenza reciproca di cui al presente articolo e le modalità per lo scambio di informazioni per via elettronica tra autorità di controllo e tra le autorità di controllo e il comitato europeo per la protezione dei dati, in particolare il modulo standard di cui al paragrafo 6. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

Articolo 56 Operazioni congiunte delle autorità di controllo

1.           Per potenziare la cooperazione e l’assistenza reciproca, le autorità di controllo possono svolgere indagini congiunte, mettere in atto misure di contrasto congiunte e condurre altre operazioni congiunte in cui sono coinvolti membri o personale designato di autorità di controllo di altri Stati membri.

2.           Nell’eventualità che il trattamento riguardi interessati in più Stati membri, l’autorità di controllo di ogni Stato membro in questione ha il diritto di partecipare alle indagini congiunte o alle operazioni congiunte, a seconda del caso. L’autorità di controllo competente invita l’autorità di controllo di ogni Stato membro in questione a partecipare all’indagine congiunta o all’operazione congiunta, e risponde senza ritardo alle richieste di partecipazione delle autorità di controllo.

3.           L’autorità di controllo che ospiti un’operazione congiunta può, nel rispetto della legislazione nazionale e con l’autorizzazione dell’autorità di controllo ospitata, conferire poteri esecutivi, anche d’indagine, ai membri o al personale dell’autorità di controllo ospitata che partecipano all’operazione congiunta, o consentire a detti membri o personale, ove la propria legislazione nazionale lo consenta, di esercitare i loro poteri esecutivi in conformità della legislazione nazionale dell’autorità di controllo ospitata. Tali poteri esecutivi possono essere esercitati unicamente sotto il controllo e, di norma, in presenza di membri o personale dell’autorità di controllo ospite. I membri o il personale dell’autorità di controllo ospitata sono soggetti alla legislazione nazionale dell’autorità di controllo ospite. Quest’ultima risponde del loro operato.

4.           Le autorità di controllo stabiliscono gli aspetti pratici delle specifiche azioni di cooperazione.

5.           Qualora un’autorità di controllo non si conformi entro un mese all’obbligo di cui al paragrafo 2, le altre autorità di controllo sono competenti a prendere misure provvisorie nel territorio del loro Stato membro ai sensi dell’articolo 51, paragrafo 1.

6.           L’autorità di controllo specifica il periodo di validità delle misure provvisorie di cui al paragrafo 5. Detto periodo non può essere superiore a tre mesi. L’autorità di controllo comunica senza ritardo tali misure, debitamente motivate, al comitato europeo per la protezione dei dati e alla Commissione, e sottopone la questione nell’ambito del meccanismo di cui all’articolo 57.

Sezione 2 Coerenza

Articolo 57 Meccanismo di coerenza

Ai fini di cui all’articolo 46, paragrafo 1, le autorità di controllo cooperano tra loro e con la Commissione nell’ambito del meccanismo di coerenza specificato nella presente sezione.

Articolo 58 Parere del comitato europeo per la protezione dei dati

1.           Prima di adottare una misura di cui al paragrafo 2, l’autorità di controllo comunica il progetto di misura al comitato europeo per la protezione dei dati e alla Commissione.

2.           L’obbligo di cui al paragrafo 1 si applica alle misure destinate a produrre effetti giuridici e che:

a)      riguardano attività di trattamento finalizzate all’offerta di beni o servizi a interessati in più Stati membri o al controllo del loro comportamento, oppure

b)      possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione, oppure

c)      sono finalizzate a stabilire un elenco di trattamenti soggetti a consultazione preventiva ai sensi dell’articolo 34, paragrafo 5, oppure

d)      sono finalizzate a determinare clausole tipo di protezione dei dati ai sensi dell’articolo 42, paragrafo 2, lettera c), oppure

e)      sono finalizzate ad autorizzare clausole contrattuali ai sensi dell’articolo 42, paragrafo 2, lettera d), oppure

f)       sono finalizzate ad approvare norme vincolanti d’impresa ai sensi dell’articolo 43.

3.           Ogni autorità di controllo o il comitato europeo per la protezione dei dati può chiedere che una questione sia trattata nell’ambito del meccanismo di coerenza, in particolare qualora un’autorità di controllo non comunichi un progetto relativo a una misura di cui al paragrafo 2 o non si conformi agli obblighi relativi all’assistenza reciproca ai sensi dell’articolo 55 o alle operazioni congiunte ai sensi dell’articolo 56.

4.           Al fine di garantire l’applicazione corretta e coerente del presente regolamento, la Commissione può chiedere che una questione sia trattata nell’ambito del meccanismo di coerenza.

5.           Le autorità di controllo e la Commissione comunicano per via elettronica, con modulo standard, tutte le informazioni utili, in particolare, a seconda del caso, una sintesi dei fatti, il progetto di misura e i motivi che la rendono necessaria.

6.           Il presidente del comitato europeo per la protezione dei dati informa immediatamente per via elettronica, con modulo standard, i membri del comitato europeo per la protezione dei dati e la Commissione di tutte le informazioni utili che gli sono state comunicate. Se necessario, fornisce una traduzione delle informazioni.

7.           Se i suoi membri lo decidono a maggioranza semplice, o su richiesta di un’autorità di controllo, il comitato europeo per la protezione dei dati esprime un parere sulla questione entro una settimana dalla comunicazione delle informazioni utili ai sensi del paragrafo 5. Il parere è adottato entro un mese a maggioranza semplice dei membri del comitato europeo per la protezione dei dati. Il presidente del comitato europeo per la protezione dei dati informa del parere, senza ingiustificato ritardo, l’autorità di controllo di cui al paragrafo 1 o al paragrafo 3, a seconda del caso, la Commissione e l’autorità di controllo competente ai sensi dell’articolo 51, e lo rende pubblico.

8.           L’autorità di controllo di cui al paragrafo 1 e l’autorità di controllo competente ai sensi dell’articolo 51 tengono conto del parere del comitato europeo per la protezione dei dati e, entro due settimane dacché il presidente del comitato europeo per la protezione dei dati le ha informate del parere, comunicano per via elettronica, con modulo standard, a detto presidente e alla Commissione se mantengono o se modificano il progetto di misura e, se del caso, il progetto di misura modificato.

Articolo 59 Parere della Commissione

1.           Entro dieci settimane dacché è stata sollevata una questione ai sensi dell’articolo 58, o entro sei settimane nel caso di cui all’articolo 61, la Commissione può adottare un parere sulla questione sollevata ai sensi degli articoli 58 o 61 al fine di garantire l’applicazione corretta e coerente del presente regolamento.

2.           Qualora la Commissione abbia adottato un parere ai sensi del paragrafo 1, l’autorità di controllo in questione lo tiene nella massima considerazione e informa la Commissione e il comitato europeo per la protezione dei dati della sua intenzione di mantenere o modificare il progetto di misura.

3.           Durante il periodo di cui al paragrafo 1, l’autorità di controllo si astiene dall’adottare il progetto di misura.

4.           Qualora non intenda conformarsi al parere della Commissione, l’autorità di controllo ne informa la Commissione e il comitato europeo per la protezione dei dati entro il termine di cui al paragrafo 1, motivando la sua decisione. In tal caso il progetto di misura non può essere adottato per un ulteriore periodo di un mese.

Articolo 60 Sospensione di un progetto di misura

1.           Qualora dubiti seriamente che il progetto di misura garantisca la corretta applicazione del presente regolamento e rischi invece di portare a una sua applicazione non coerente, la Commissione, entro un mese dalla comunicazione di cui all’articolo 59, paragrafo 4, può adottare una decisione motivata e ingiungere all’autorità di controllo di sospendere l’adozione del progetto di misura, tenuto conto del parere reso dal comitato europeo per la protezione dei dati ai sensi dell’articolo 58, paragrafo 7, o dell’articolo 61, paragrafo 2, qualora tale sospensione risulti necessaria per:

a)      conciliare le posizioni divergenti dell’autorità di controllo e del comitato europeo per la protezione dei dati, ove tale conciliazione appaia ancora possibile, oppure

b)      adottare una misura ai sensi dell’articolo 62, paragrafo 1, lettera a).

2.           La Commissione specifica la durata della sospensione, che non può essere superiore a dodici mesi.

3.           Durante il periodo di cui al paragrafo 2, l’autorità di controllo si astiene dall’adottare il progetto di misura.

Articolo 61 Procedura d’urgenza

1.           In circostanze eccezionali, qualora ritenga che urga intervenire per tutelare gli interessi degli interessati, in particolare quando sussiste il pericolo che l’esercizio di un diritto possa essere gravemente ostacolato da un cambiamento della situazione esistente, oppure per evitare importanti inconvenienti o per altri motivi, l’autorità di controllo può, in deroga alla procedura di cui all’articolo 58, prendere misure provvisorie immediate con un periodo di validità determinato. L’autorità di controllo comunica senza ritardo tali misure, debitamente motivate, al comitato europeo per la protezione dei dati e alla Commissione.

2.           Qualora abbia preso una misura ai sensi del paragrafo 1 e ritenga che sia urgente prendere misure definitive, l’autorità di controllo può chiedere un parere d’urgenza al comitato europeo per la protezione dei dati, motivando la richiesta, in particolare l’urgenza di misure definitive.

3.           Ogni autorità di controllo può chiedere un parere d’urgenza qualora l’autorità di controllo competente non abbia preso misure adeguate in una situazione in cui urge intervenire per tutelare gli interessi degli interessati, motivando la richiesta, in particolare l’urgenza dell’intervento.

4.           In deroga all’articolo 58, paragrafo 7, il parere d’urgenza di cui ai paragrafi 2 e 3 è adottato entro due settimane a maggioranza semplice dei membri del comitato europeo per la protezione dei dati.

Articolo 62 Atti di esecuzione

1.           La Commissione può adottare atti di esecuzione per:

a)      decidere in merito alla corretta applicazione del presente regolamento, conformemente ai suoi obiettivi e requisiti, in relazione alle questioni sollevate dalle autorità di controllo ai sensi dell’articolo 58 o dell’articolo 61, a una questione per la quale è stata adottata una decisione motivata ai sensi dell’articolo 60, paragrafo 1, o a una questione per la quale un’autorità di controllo non ha comunicato un progetto di misura e ha indicato che non intende conformarsi al parere adottato dalla Commissione ai sensi dell’articolo 59;

b)      decidere, entro il termine di cui all’articolo 59, paragrafo 1, sulla validità generale di progetti di clausole tipo di protezione dei dati ai sensi dell’articolo 58, paragrafo 2, lettera d);

c)      specificare il formato e le procedure per l’applicazione del meccanismo di coerenza di cui alla presente sezione;

d)      specificare le modalità per lo scambio di informazioni per via elettronica tra autorità di controllo e tra le autorità di controllo e il comitato europeo per la protezione dei dati, in particolare il modulo standard di cui all’articolo 58, paragrafi 5, 6 e 8.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

2.           Per motivi imperativi d’urgenza debitamente giustificati, connessi agli interessi degli interessati nei casi di cui al paragrafo 1, lettera a), la Commissione adotta atti di esecuzione immediatamente applicabili conformemente alla procedura di cui all’articolo 87, paragrafo 3. Tali atti rimangono in vigore per un periodo non superiore a dodici mesi.

3.           L’adozione o meno di una misura ai sensi della presente sezione lascia impregiudicata la possibilità per la Commissione di adottare altre misure in virtù dei trattati.

Articolo 63 Esecuzione

1.           Ai fini del presente regolamento, le misure esecutive adottate dall’autorità di controllo di uno Stato membro sono eseguite in tutti gli Stati membri interessati.

2.           Qualora un’autorità di controllo ometta di comunicare un progetto di misura nell’ambito del meccanismo di coerenza in violazione dell’articolo 58, paragrafi da 1 a 5, la misura dell’autorità di controllo è priva di validità giuridica e di carattere esecutivo.

Sezione 3 Comitato europeo per la protezione dei dati

Articolo 64 Comitato europeo per la protezione dei dati

1.           È istituito un comitato europeo per la protezione dei dati.

2.           Il comitato europeo per la protezione dei dati è composto dal responsabile di un’autorità di controllo di ciascuno Stato membro e dal garante europeo della protezione dei dati.

3.           Qualora, in uno Stato membro, più autorità di controllo siano incaricate di sorvegliare l’applicazione delle disposizioni del presente regolamento, queste nominano a rappresentante comune un loro responsabile.

4.           La Commissione ha il diritto di partecipare alle attività e alle riunioni del comitato europeo per la protezione dei dati e designa un rappresentante. Il presidente del comitato europeo per la protezione dei dati informa senza ritardo la Commissione di tutte le attività del comitato europeo per la protezione dei dati.

Articolo 65 Indipendenza

1.           Nell’esercizio dei suoi compiti ai sensi degli articoli 66 e 67, il comitato europeo per la protezione dei dati opera con indipendenza.

2.           Fatte salve le richieste della Commissione di cui all’articolo 66, paragrafo 1, lettera b), e all’articolo 66, paragrafo 2, nell’esercizio dei suoi compiti il comitato europeo per la protezione dei dati non sollecita né accetta istruzioni da alcuno.

Articolo 66 Compiti del comitato europeo per la protezione dei dati

1.           Il comitato europeo per la protezione dei dati garantisce l’applicazione coerente del presente regolamento. A tal fine, di propria iniziativa o su richiesta della Commissione:

a)      consiglia la Commissione in merito a qualsiasi questione relativa al trattamento dei dati personali nell’Unione, comprese eventuali proposte di modifica del presente regolamento;

b)      esamina, di propria iniziativa o su richiesta di uno dei suoi membri o della Commissione, qualsiasi questione relativa all’applicazione del presente regolamento e pubblica linee direttrici, raccomandazioni e migliori pratiche destinate alle autorità di controllo al fine di promuovere l’applicazione coerente del presente regolamento;

c)      valuta l’applicazione pratica delle linee direttrici, raccomandazioni e migliori pratiche di cui alla lettera b), riferendo regolarmente alla Commissione;

d)      esprime pareri sui progetti di decisione delle autorità di controllo conformemente al meccanismo di coerenza di cui all’articolo 57;

e)      promuove la cooperazione e l’effettivo scambio di informazioni e pratiche tra le autorità di controllo a livello bilaterale e multilaterale;

f)       promuove programmi comuni di formazione e facilita lo scambio di personale tra le autorità di controllo e, se del caso, con le autorità di controllo di paesi terzi o di organizzazioni internazionali;

g)      promuove lo scambio di conoscenze e documentazione sulla legislazione e sulle pratiche in materia di protezione dei dati tra autorità di controllo di tutto il mondo.

2.           Qualora chieda consulenza al comitato europeo per la protezione dei dati, la Commissione può fissare un termine entro il quale questo deve rispondere alla richiesta, tenuto conto dell’urgenza della questione.

3.           Il comitato europeo per la protezione dei dati trasmette pareri, linee direttrici, raccomandazioni e migliori pratiche alla Commissione e al comitato di cui all’articolo 87, e li pubblica.

4.           La Commissione informa il comitato europeo per la protezione dei dati del seguito dato ai suoi pareri, linee direttrici, raccomandazioni e migliori pratiche.

Articolo 67 Relazioni

1.           Il comitato europeo per la protezione dei dati informa tempestivamente e regolarmente la Commissione dell’esito delle proprie attività. Redige una relazione annuale sullo stato della tutela delle persone fisiche con riguardo al trattamento dei dati personali nell’Unione e nei paesi terzi.

La relazione include la valutazione dell’applicazione pratica delle linee direttrici, raccomandazioni e migliori pratiche di cui all’articolo 66, paragrafo 1, lettera c).

2.           La relazione è pubblicata e trasmessa al Parlamento europeo, al Consiglio e alla Commissione.

Articolo 68 Procedura

1.           Il comitato europeo per la protezione dei dati decide a maggioranza semplice dei suoi membri.

2.           Il comitato europeo per la protezione dei dati adotta il proprio regolamento interno e fissa le modalità del proprio funzionamento. In particolare, adotta disposizioni concernenti la continuazione dell’esercizio delle funzioni in caso di scadenza del mandato di un membro o di sue dimissioni, la creazione di sottogruppi per questioni o settori specifici e la procedura applicabile nell’ambito del meccanismo di coerenza di cui all’articolo 57.

Articolo 69 Presidenza

1.           Il comitato europeo per la protezione dei dati elegge un presidente e due vicepresidenti tra i suoi membri. Uno dei vicepresidenti è il garante europeo della protezione dei dati, salvo che sia stato eletto presidente.

2.           Il presidente e i vicepresidenti hanno un mandato di cinque anni, rinnovabile.

Articolo 70 Compiti del presidente

1.           Il presidente ha il compito di:

a)      convocare le riunioni del comitato europeo per la protezione dei dati e stabilirne l’ordine del giorno;

b)      garantire l’adempimento dei compiti del comitato europeo per la protezione dei dati, in particolare in relazione al meccanismo di coerenza di cui all’articolo 57.

2.           Il comitato europeo per la protezione dei dati fissa nel proprio regolamento interno la ripartizione dei compiti tra presidente e vicepresidenti.

Articolo 71 Segreteria

1.           Il comitato europeo per la protezione dei dati dispone di una segreteria. Alle funzioni di segreteria provvede il garante europeo della protezione dei dati.

2.           La segreteria, sotto la direzione del presidente, presta assistenza analitica, amministrativa e logistica al comitato europeo per la protezione dei dati.

3.           La segreteria è incaricata in particolare:

a)      della gestione ordinaria del comitato europeo per la protezione dei dati;

b)      della comunicazione tra i membri del comitato europeo per la protezione dei dati, il suo presidente e la Commissione, e della comunicazione con le altre istituzioni e il pubblico;

c)      dell’uso di mezzi elettronici per la comunicazione interna ed esterna;

d)      della traduzione delle informazioni rilevanti;

e)      della preparazione delle riunioni del comitato europeo per la protezione dei dati e del relativo seguito;

f)       della preparazione, redazione e pubblicazione dei pareri e di altri testi adottati dal comitato europeo per la protezione dei dati.

Articolo 72 Riservatezza

1.           Le deliberazioni del comitato europeo per la protezione dei dati hanno carattere riservato.

2.           I documenti trasmessi ai membri del comitato europeo per la protezione dei dati, agli esperti e ai rappresentanti di terzi sono riservati, tranne qualora sia stato concesso l’accesso a tali documenti a norma del regolamento (CE) n. 1049/2001 o il comitato europeo per la protezione dei dati li abbia resi pubblici in altro modo.

3.           I membri del comitato europeo per la protezione dei dati nonché gli esperti e i rappresentanti di terzi sono tenuti a rispettare gli obblighi di riservatezza stabiliti al presente articolo. Il presidente si assicura che gli esperti e i rappresentanti di terzi siano messi a conoscenza degli obblighi di riservatezza cui sono tenuti.

CAPO VIII

RICORSI, RESPONSABILITÀ E SANZIONI

Articolo 73 Diritto di proporre reclamo all’autorità di controllo

1.           Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento dei suoi dati personali non sia conforme al presente regolamento ha il diritto di proporre reclamo all’autorità di controllo di qualunque Stato membro.

2.           Ogni organismo, organizzazione o associazione che tuteli i diritti e gli interessi degli interessati in relazione alla protezione dei loro dati personali e che sia debitamente costituito o costituita secondo la legislazione di uno Stato membro ha il diritto di proporre reclamo all’autorità di controllo di qualunque Stato membro per conto di uno o più interessati qualora ritenga che siano stati violati diritti derivanti dal presente regolamento a seguito del trattamento di dati personali.

3.           Indipendentemente dall’eventuale reclamo dell’interessato, ogni organismo, organizzazione o associazione di cui al paragrafo 2 che ritenga che sussista violazione dei dati personali ha il diritto di proporre reclamo all’autorità di controllo di qualunque Stato membro.

Articolo 74 Diritto a un ricorso giurisdizionale contro l’autorità di controllo

1.           Ogni persona fisica o giuridica ha il diritto di proporre ricorso giurisdizionale avverso le decisioni dell’autorità di controllo che la riguardano.

2.           Ogni interessato ha il diritto di proporre ricorso giurisdizionale per obbligare l’autorità di controllo a dare seguito a un reclamo qualora tale autorità non abbia preso una decisione necessaria per tutelarne i diritti o non lo abbia informato entro tre mesi dello stato o dell’esito del reclamo ai sensi dell’articolo 52, paragrafo 1, lettera b).

3.           Le azioni contro l’autorità di controllo sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita.

4.           L’interessato che abbia formato oggetto di una decisione dell’autorità di controllo di uno Stato membro diverso da quello in cui risiede abitualmente può chiedere all’autorità di controllo dello Stato membro in cui risiede abitualmente di agire in giudizio per suo conto nell’altro Stato membro nei confronti dell’autorità di controllo competente.

5.           Gli Stati membri eseguono le decisioni definitive delle autorità giurisdizionali di cui al presente articolo.

Articolo 75 Diritto a un ricorso giurisdizionale contro il responsabile del trattamento o l’incaricato del trattamento

1.           Fatto salvo ogni altro ricorso amministrativo disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo di cui all’articolo 73, chiunque ha il diritto di proporre ricorso giurisdizionale qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento in seguito a un trattamento dei suoi dati personali non conforme al presente regolamento.

2.           Le azioni contro il responsabile del trattamento o l’incaricato del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il responsabile del trattamento o l’incaricato del trattamento ha uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente, salvo che il responsabile del trattamento sia un’autorità pubblica nell’esercizio dei pubblici poteri.

3.           Qualora nell’ambito del meccanismo di coerenza di cui all’articolo 58 sia in corso un procedimento riguardante la stessa misura, decisione o pratica, l’autorità giurisdizionale può sospendere il procedimento di cui è stata investita, salvo qualora l’urgenza del caso per la protezione dei diritti dell’interessato non permetta di aspettare l’esito del procedimento nell’ambito del meccanismo di coerenza.

4.           Gli Stati membri eseguono le decisioni definitive delle autorità giurisdizionali di cui al presente articolo.

Articolo 76 Norme comuni per i procedimenti giurisdizionali

1.           Ogni organismo, organizzazione o associazione di cui all’artico 73, paragrafo 2, ha il diritto di esercitare i diritti di cui agli articoli 74 e 75 per conto di uno o più interessati.

2.           Ogni autorità di controllo ha il diritto di agire in sede giudiziale o stragiudiziale per far rispettare le disposizioni del presente regolamento o garantire la coerenza della protezione dei dati personali all’interno dell’Unione.

3.           L’autorità giurisdizionale competente di uno Stato membro che abbia fondati motivi di ritenere che in un altro Stato membro sia in corso un procedimento parallelo contatta l’autorità giurisdizionale competente dell’altro Stato membro per ottenere conferma dell’esistenza del procedimento parallelo.

4.           Se il procedimento parallelo nell’altro Stato membro riguarda la stessa misura, decisione o pratica l’autorità giurisdizionale, può sospendere il procedimento.

5.           Gli Stati membri provvedono affinché i ricorsi giurisdizionali previsti dal diritto nazionale consentano di prendere rapidamente provvedimenti, anche provvisori, atti a porre fine alle asserite violazioni e impedire ulteriori danni agli interessi in causa.

Articolo 77 Diritto al risarcimento e responsabilità

1.           Chiunque subisca un danno cagionato da un trattamento illecito o da altro atto incompatibile con il presente regolamento ha il diritto di ottenere il risarcimento del danno dal responsabile del trattamento o dall’incaricato del trattamento.

2.           Qualora il trattamento coinvolga più responsabili del trattamento o incaricati del trattamento, ogni responsabile del trattamento o incaricato del trattamento risponde in solido per l’intero ammontare del danno.

3.           Il responsabile del trattamento o l’incaricato del trattamento può essere esonerato in tutto o in parte da tale responsabilità se prova che l’evento dannoso non gli è imputabile.

Articolo 78 Sanzioni

1.           Gli Stati membri determinano le sanzioni per violazione delle disposizioni del presente regolamento, compresa l’omessa designazione del rappresentante a cura del responsabile del trattamento, e prendono tutti i provvedimenti necessari per la loro applicazione. Le sanzioni previste devono essere efficaci, proporzionate e dissuasive.

2.           Qualora il responsabile del trattamento abbia designato un rappresentante, le sanzioni si applicano al rappresentante, fatte salve le sanzioni applicabili al responsabile del trattamento.

3.           Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cui all’articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica.

Articolo 79 Sanzioni amministrative

1.           Ogni autorità di controllo è abilitata a imporre sanzioni amministrative conformemente al presente articolo.

2.           La sanzione amministrativa deve essere efficace, proporzionata e dissuasiva. L’ammontare è fissato tenuto debito conto della natura, della gravità e della durata della violazione, del carattere doloso o colposo dell’illecito, del grado di responsabilità della persona fisica o giuridica, delle precedenti violazioni da questa commesse, delle misure e procedure tecniche e organizzative messe in atto ai sensi dell’articolo 23 e del grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione.

3.           In caso di prima inosservanza non intenzionale del presente regolamento può essere inviato un avvertimento scritto, senza l’imposizione di sanzioni, qualora:

(a) una persona fisica tratti dati personali senza un interesse commerciale, oppure

(b) un’impresa o un’organizzazione con meno di 250 dipendenti tratti dati personali solo accessoriamente rispetto alle attività principali.

4.           L’autorità di controllo irroga sanzioni amministrative pecuniarie fino a 250 000 EUR o, per le imprese, fino allo 0,5% del fatturato mondiale annuo, a chiunque, con dolo o colpa:

(a) non predispone i meccanismi per consentire all’interessato di presentare richieste o non risponde all’interessato prontamente o nella forma dovuta, in violazione dell’articolo 12, paragrafi 1 e 2;

(b) fa pagare un contributo spese per le informazioni o le risposte alle richieste dell’interessato, in violazione dell’articolo 12, paragrafo 4.

5.           L’autorità di controllo irroga sanzioni amministrative pecuniarie fino a 500 000 EUR o, per le imprese, fino all’1% del fatturato mondiale annuo, a chiunque, con dolo o colpa:

(a) non fornisce le informazioni, fornisce informazioni incomplete o non fornisce le informazioni in modo sufficientemente trasparente all’interessato, in violazione dell’articolo 11, dell’articolo 12, paragrafo 3, e dell’articolo 14;

(b) non dà l’accesso all’interessato o non rettifica i dati personali, in violazione degli articoli 15 e 16, oppure non comunica al destinatario le informazioni pertinenti, in violazione dell’articolo 13,

(c) non rispetta il diritto all’oblio o alla cancellazione, omette di predisporre meccanismi che garantiscano il rispetto dei termini o non prende tutte le misure necessarie per informare i terzi della richiesta dell’interessato di cancellare tutti i link verso i dati personali, copiare tali dati o riprodurli, in violazione dell’articolo 17;

(d) non fornisce copia dei dati personali in formato elettronico oppure impedisce all’interessato di trasmettere i dati personali a un’altra applicazione, in violazione dell’articolo 18;

(e) omette di determinare o non determina in modo sufficiente le rispettive responsabilità dei corresponsabili del trattamento, in violazione dell’articolo 24;

(f) omette di conservare o non conserva in modo sufficiente la documentazione di cui all’articolo 28, all’articolo 31, paragrafo 4, e all’articolo 44, paragrafo 3;

(g) nei casi che non riguardano categorie particolari di dati, non rispetta le norme sulla libertà di espressione o sul trattamento dei dati nei rapporti di lavoro o le condizioni per il trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica, in violazione degli articoli 80, 82 e 83.

6.           L’autorità di controllo irroga sanzioni amministrative pecuniarie fino a 1 000 000 EUR o, per le imprese, fino al 2% del fatturato mondiale annuo, a chiunque, con dolo o colpa:

(a) tratta dati personali senza una base giuridica o una base giuridica sufficiente a tal fine o non rispetta le condizioni relative al consenso, in violazione degli articoli 6, 7 e 8;

(b) tratta categorie particolari di dati, in violazione degli articoli 9 e 81;

(c) non rispetta il diritto di opposizione o l’obbligo di cui all’articolo 19;

(d) non rispetta le condizioni relative alle misure basate sulla profilazione di cui all’articolo 20;

(e) non adotta politiche interne o non attua misure adeguate per garantire e dimostrare la conformità del trattamento, in violazione degli articoli 22, 23 e 30;

(f) non designa un rappresentante, in violazione dell’articolo 25;

(g) tratta o dà istruzione di trattare dati personali in violazione degli obblighi relativi al trattamento per conto di un responsabile del trattamento di cui agli articoli 26 e 27;

(h) omette di allertare o notificare all’autorità di controllo o all’interessato una violazione di dati personali, oppure non la notifica tempestivamente o integralmente, in violazione degli articoli 31 e 32;

(i) non effettua una valutazione d’impatto sulla protezione dei dati o tratta dati personali senza l’autorizzazione preventiva o la consultazione preventiva dell’autorità di controllo, in violazione degli articoli 33 e 34;

(j) non designa un responsabile della protezione dei dati o non garantisce le condizioni per l’adempimento dei compiti del responsabile della protezione dei dati, in violazione degli articoli 35, 36 e 37;

(k) fa un uso illecito di un sigillo o marchio di protezione dei dati di cui all’articolo 39;

(l) effettua o dà istruzione di effettuare un trasferimento di dati verso un paese terzo o un’organizzazione internazionale senza che tale trasferimento sia stato autorizzato da una decisione di adeguatezza, senza offrire garanzie adeguate o senza che il trasferimento sia previsto da una deroga, in violazione degli articoli da 40 a 44;

(m) non si conforma a un ordine, a un divieto provvisorio o definitivo di trattamento o a un ordine di sospensione dei flussi di dati dell’autorità di controllo, di cui all’articolo 53, paragrafo 1;

(n) non si conforma all’obbligo di prestare assistenza, rispondere o fornire informazioni utili o l’accesso ai locali all’autorità di controllo, in violazione dell’articolo 28, paragrafo 3, dell’articolo 29, dell’articolo 34, paragrafo 6, o dell’articolo 53, paragrafo 2;

(o) non si conforma alle norme di salvaguardia del segreto professionale di cui all’articolo 84.

7.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di aggiornare l’importo delle sanzioni amministrative pecuniarie di cui ai paragrafi 4, 5 e 6, tenuto conto dei criteri di cui al paragrafo 2.

CAPO IX DISPOSIZIONI RELATIVE A SPECIFICHE SITUAZIONI DI TRATTAMENTO DEI DATI

Articolo 80 Trattamento di dati personali e libertà d’espressione

1.           Gli Stati membri prevedono, per il trattamento dei dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria, le esenzioni o le deroghe alle disposizioni concernenti i principi generali di cui al capo II, i diritti dell’interessato di cui al capo III, il responsabile del trattamento e l’incaricato del trattamento di cui al capo IV, il trasferimento di dati personali verso paesi terzi e organizzazioni internazionali di cui al capo V, le autorità di controllo indipendenti di cui al capo VI e la cooperazione e la coerenza di cui al capo VII, al fine di conciliare il diritto alla protezione dei dati personali e le norme sulla libertà d’espressione.

2.           Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cui all’articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica.

Articolo 81 Trattamento di dati personali relativi alla salute

1.           Nei limiti del presente regolamento e in conformità dell’articolo 9, paragrafo 2, lettera h), il trattamento di dati personali relativi alla salute deve essere effettuato sulla base di disposizioni del diritto dell’Unione o degli Stati membri che prevedano misure appropriate e specifiche a tutela dei legittimi interessi dell’interessato, ed essere necessario:

a)      per finalità di medicina del lavoro, prevenzione medica, diagnosi, assistenza sanitaria o terapia ovvero gestione dei servizi sanitari, e quando il trattamento dei medesimi dati è effettuato da un professionista della sanità vincolato da segreto professionale o altra persona del pari soggetta a un equivalente obbligo di segretezza ai sensi della legislazione degli Stati membri o di norme stabilite dagli organismi nazionali competenti, oppure

b)      per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza, tra l’altro dei medicinali e dei dispositivi medici, oppure

c)      per altri motivi di interesse pubblico in settori quali la protezione sociale, soprattutto al fine di assicurare la qualità e l’economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito del regime di assicurazione sanitaria.

2.           Il trattamento di dati personali relativi alla salute che risulti necessario per finalità storiche, statistiche o di ricerca scientifica, come la creazione di registri dei pazienti per migliorare le diagnosi, distinguere tra tipi simili di malattie e condurre studi sulle terapie, è soggetto alle condizioni e garanzie di cui all’articolo 83.

3.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare altri motivi di interesse pubblico nel settore della sanità pubblica di cui al paragrafo 1, lettera b), e i criteri e i requisiti concernenti le garanzie per il trattamento dei dati personali per le finalità di cui al paragrafo 1.

Articolo 82 Trattamento dei dati nei rapporti di lavoro

1.           Nei limiti del presente regolamento, gli Stati membri possono adottare con legge norme specifiche per il trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da accordi collettivi, di gestione, pianificazione e organizzazione del lavoro, salute e sicurezza sul lavoro, e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.

2.           Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cui all’articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica.

3.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le garanzie per il trattamento dei dati personali per le finalità di cui al paragrafo 1.

Articolo 83 Trattamento per finalità storiche, statistiche e di ricerca scientifica

1.           Nei limiti del presente regolamento, i dati personali possono essere trattati per finalità storiche, statistiche e di ricerca scientifica solo se:

a)      tali finalità non possono essere altrimenti conseguite trattando dati che non consentono o non consentono più di identificare l’interessato;

b)      i dati che permettono di associare informazioni a un interessato identificato o identificabile sono conservati separatamente dalle altre informazioni, nella misura in cui tali finalità possano essere conseguite in questo modo.

2.           Gli organismi che svolgono ricerche storiche, statistiche o scientifiche possono pubblicare o divulgare altrimenti al pubblico i dati personali solo se:

a)      l’interessato ha espresso il proprio consenso, fatte salve le condizioni di cui all’articolo 7;

b)      la pubblicazione dei dati personali è necessaria per presentare i risultati della ricerca o per facilitarla, nella misura in cui gli interessi o i diritti o le libertà fondamentali dell’interessato non prevalgano sull’interesse della ricerca, oppure

c)      l’interessato ha reso pubblici i dati.

3.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti il trattamento dei dati personali per le finalità di cui ai paragrafi 1 e 2, e ogni limitazione necessaria dei diritti di informazione e accesso dell’interessato, e di specificare le condizioni e le garanzie per i diritti dell’interessato in tali circostanze.

Articolo 84 Obblighi di segretezza

1.           Nei limiti del presente regolamento, gli Stati membri possono adottare norme specifiche per stabilire i poteri investigativi delle autorità di controllo di cui all’articolo 53, paragrafo 2, in relazione ai responsabili del trattamento o agli incaricati del trattamento che sono soggetti, ai sensi della legislazione nazionale o di norme stabilite dagli organismi nazionali competenti, al segreto professionale o a un obbligo di segreto equivalente, ove siano necessarie e proporzionate per conciliare il diritto alla protezione dei dati personali e l’obbligo di segretezza. Tali norme si applicano solo ai dati personali che il responsabile del trattamento o l’incaricato del trattamento ha ricevuto o ha ottenuto nel corso di un’attività protetta dal segreto professionale.

2.           Ogni Stato membro notifica alla Commissione le norme adottate ai sensi del paragrafo 1 entro la data di cui all’articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica.

Articolo 85 Norme di protezione dei dati vigenti presso chiese e associazioni religiose

1.           Qualora in uno Stato membro chiese e associazioni o comunità religiose applichino, al momento dell’entrata in vigore del presente regolamento, corpus completi di norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali, tali corpus possono continuare ad applicarsi purché siano conformi alle disposizioni del presente regolamento.

2.           Le chiese e le associazioni religiose che applicano i corpus completi di norme di cui al paragrafo 1 provvedono a istituire un’autorità di controllo indipendente ai sensi del capo VI del presente regolamento.

CAPO X ATTI DELEGATI E ATTI DI ESECUZIONE

Articolo 86 Esercizio della delega

1.           Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

2.           La delega di potere di cui all’articolo 6, paragrafo 5, all’articolo 8, paragrafo 3, all’articolo 9, paragrafo 3, all’articolo 12, paragrafo 5, all’articolo 14, paragrafo 7, all’articolo 15, paragrafo 3, all’articolo 17, paragrafo 9, all’articolo 20, paragrafo 6, all’articolo 22, paragrafo 4, all’articolo 23, paragrafo 3, all’articolo 26, paragrafo 5, all’articolo 28, paragrafo 5, all’articolo 30, paragrafo 3, all’articolo 31, paragrafo 5, all’articolo 32, paragrafo 5, all’articolo 33, paragrafo 6, all’articolo 34, paragrafo 8, all’articolo 35, paragrafo 11, all’articolo 37, paragrafo 2, all’articolo 39, paragrafo 2, all’articolo 43, paragrafo 3, all’articolo 44, paragrafo 7, all’articolo 79, paragrafo 6, all’articolo 81, paragrafo 3, all’articolo 82, paragrafo 3 e all’articolo 83, paragrafo 3, è conferita alla Commissione per un periodo indeterminato a decorrere dalla data di entrata in vigore del presente regolamento.

3.           La delega di potere di cui all’articolo 6, paragrafo 5, all’articolo 8, paragrafo 3, all’articolo 9, paragrafo 3, all’articolo 12, paragrafo 5, all’articolo 14, paragrafo 7, all’articolo 15, paragrafo 3, all’articolo 17, paragrafo 9, all’articolo 20, paragrafo 6, all’articolo 22, paragrafo 4, all’articolo 23, paragrafo 3, all’articolo 26, paragrafo 5, all’articolo 28, paragrafo 5, all’articolo 30, paragrafo 3, all’articolo 31, paragrafo 5, all’articolo 32, paragrafo 5, all’articolo 33, paragrafo 6, all’articolo 34, paragrafo 8, all’articolo 35, paragrafo 11, all’articolo 37, paragrafo 2, all’articolo 39, paragrafo 2, all’articolo 43, paragrafo 3, all’articolo 44, paragrafo 7, all’articolo 79, paragrafo 6, all’articolo 81, paragrafo 3, all’articolo 82, paragrafo 3 e all’articolo 83, paragrafo 3, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell’Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

4.           Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

5.           L’atto delegato adottato ai sensi dell’articolo 6, paragrafo 5, dell’articolo 8, paragrafo 3, dell’articolo 9, paragrafo 3, dell’articolo 12, paragrafo 5, dell’articolo 14, paragrafo 7, dell’articolo 15, paragrafo 3, dell’articolo 17, paragrafo 9, dell’articolo 20, paragrafo 6, dell’articolo 22, paragrafo 4, dell’articolo 23, paragrafo 3, dell’articolo 26, paragrafo 5, dell’articolo 28, paragrafo 5, dell’articolo 30, paragrafo 3, dell’articolo 31, paragrafo 5, dell’articolo 32, paragrafo 5, dell’articolo 33, paragrafo 6, dell’articolo 34, paragrafo 8, dell’articolo 35, paragrafo 11, dell’articolo 37, paragrafo 2, dell’articolo 39, paragrafo 2, dell’articolo 43, paragrafo 3, dell’articolo 44, paragrafo 7, dell’articolo 79, paragrafo 6, dell’articolo 81, paragrafo 3, dell’articolo 82, paragrafo 3 e dell’articolo 83, paragrafo 3, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.

Articolo 87 Procedura di comitato

1.           La Commissione è assistita da un comitato. Tale comitato è un comitato ai sensi del regolamento (UE) n. 182/2011.

2.           Nel caso in cui è fatto riferimento al presente paragrafo, si applica l’articolo 5 del regolamento (UE) n. 182/2011.

3.           Nel caso in cui è fatto riferimento al presente paragrafo, si applica l’articolo 8 del regolamento (UE) n. 182/2011, in combinato disposto con l’articolo 5 del medesimo regolamento.

CAPO XI

DISPOSIZIONI FINALI

Articolo 88 Abrogazione della direttiva 95/46/CE

1.           La direttiva 95/46/CE è abrogata.

2.           I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento. I riferimenti al gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall’articolo 29 della direttiva 95/46/CE si intendono fatti al comitato europeo per la protezione dei dati istituito dal presente regolamento.

Articolo 89 Rapporto con la direttiva 95/46/CE e sue modifiche

1.           Il presente regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento dei dati personali nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE.

2            L’articolo 1, paragrafo 2, della direttiva 2002/58/CE è soppresso.

Articolo 90 Valutazione

La Commissione trasmette al Parlamento europeo e al Consiglio, a scadenze regolari, relazioni di valutazione e sul riesame del presente regolamento. La prima relazione è trasmessa entro quattro anni dall’entrata in vigore del presente regolamento, le successe sono trasmesse ogni quattro anni. Se del caso, la Commissione presenta opportune proposte di modifica del presente regolamento e per l’allineamento di altri strumenti giuridici tenuto conto, in particolare, degli sviluppi delle tecnologie dell’informazione e dei progressi della società dell’informazione. Le relazioni sono pubblicate.

Articolo 91 Entrata in vigore e applicazione

1.           Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

2.           Esso si applica a decorrere da [due anni dalla data di cui al paragrafo 1].

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 25.1.2012

Per il Parlamento europeo                            Per il Consiglio

Il presidente                                                   Il presidente

SCHEDA FINANZIARIA LEGISLATIVA

1.           CONTESTO DELLA PROPOSTA/INIZIATIVA

              1.1.    Titolo della proposta/iniziativa

              1.2.    Settore/settori interessati nella struttura ABM/ABB

              1.3.    Natura della proposta/iniziativa

              1.4.    Obiettivi

              1.5.    Motivazione della proposta/iniziativa

              1.6.    Durata e incidenza finanziaria

              1.7.    Modalità di gestione previste

2.           MISURE DI GESTIONE

              2.1.    Disposizioni in materia di monitoraggio e di relazioni

              2.2.    Sistema di gestione e di controllo

              2.3.    Misure di prevenzione delle frodi e delle irregolarità

3.           INCIDENZA FINANZIARIA PREVISTA DELLA PROPOSTA/INIZIATIVA

              3.1.    Rubrica/rubriche del quadro finanziario pluriennale e linea/linee di bilancio di spesa interessate

              3.2.    Incidenza prevista sulle spese

              3.2.1. Sintesi dell’incidenza prevista sulle spese

              3.2.2. Incidenza prevista sugli stanziamenti operativi

              3.2.3. Incidenza prevista sugli stanziamenti di natura amministrativa

              3.2.4. Compatibilità con il quadro finanziario pluriennale attuale

              3.2.5. Partecipazione di terzi al finanziamento

              3.3.    Incidenza prevista sulle entrate

SCHEDA FINANZIARIA LEGISLATIVA

1. CONTESTO DELLA PROPOSTA/INIZIATIVA

La presente scheda finanziaria presenta nel dettaglio i requisiti in termini di spese amministrative per la realizzazione della riforma della protezione dei dati, come esposto nella relativa valutazione d’impatto. La riforma consta di due proposte legislative: un regolamento generale sulla protezione dei dati e una direttiva concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. La presente scheda finanziaria ricomprende le incidenze di bilancio di entrambi gli strumenti.

Conformemente alla ripartizione dei compiti, risorse dovranno essere fornite alla Commissione e dal garante europeo della protezione dei dati.

Per quanto riguarda la Commissione, le risorse necessarie sono già comprese nelle prospettive finanziarie proposte per il periodo 2014-2020. La protezione dei dati è uno degli obiettivi del programma Diritti e cittadinanza, che sosterrà anche alcune misure per realizzare il quadro normativo. Gli stanziamenti amministrativi, che comprendono il fabbisogno di personale, sono inclusi nel bilancio amministrativo della DG JUST.

Per quanto concerne il garante europeo della protezione dei dati, le risorse necessarie dovranno essere prese in considerazione nei rispettivi bilanci annuali che lo riguardano. Le risorse sono specificate nel dettaglio nell’allegato della presente scheda finanziaria. Al fine di fornire le risorse necessarie per i nuovi compiti del comitato europeo per la protezione dei dati, le cui funzioni di segreteria saranno espletate dal garante europeo della protezione dei dati, sarà necessaria una riprogrammazione della rubrica 5 delle prospettive finanziarie 2014-2020.

1.1. Titolo della proposta/iniziativa

Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati).

Proposta di direttiva del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione di sanzioni penali, e la libera circolazione di tali dati.

1.2. Settore/settori interessati nella struttura ABM/ABB[49]

Giustizia – Protezione dei dati personali

Le incidenze di bilancio riguardano la Commissione e il garante europeo della protezione dei dati. L’incidenza sul bilancio della Commissione è specificata nel dettaglio nelle tabelle della presente scheda finanziaria. Le spese operative rientrano nel campo del programma Diritti e cittadinanza e sono già state prese in considerazione nella scheda finanziaria relativa a tale programma, in quanto le spese amministrative fanno parte della dotazione della DG Giustizia. Gli elementi riguardanti il garante europeo della protezione dei dati sono illustrati nell’allegato.

1.3. Natura della proposta/iniziativa

¨ La proposta/iniziativa riguarda una nuova azione

¨ La proposta/iniziativa riguarda una nuova azione a seguito di un progetto pilota/un’azione preparatoria[50]

þ La proposta/iniziativa riguarda la proroga di un’azione esistente

¨ La proposta/iniziativa riguarda un’azione riorientata verso una nuova azione

1.4. Obiettivi 1.4.1. Obiettivo/obiettivi strategici pluriennali della Commissione oggetto della proposta/iniziativa

La riforma mira a completare la realizzazione degli obiettivi iniziali, tenuto conto dei nuovi sviluppi e delle nuove sfide, ossia:

- aumentare l’efficacia del diritto fondamentale alla protezione dei dati e garantire alle persone fisiche il controllo dei loro dati, in particolare nel contesto dell’evoluzione tecnologica e della crescente globalizzazione;

- rafforzare la dimensione “mercato interno” della protezione dei dati riducendo la frammentazione, aumentando la coerenza e semplificando il quadro normativo, in modo da eliminare i costi inutili e diminuire l’onere amministrativo.

Inoltre, l’entrata in vigore del trattato di Lisbona, in particolare l’introduzione di una nuova base giuridica (articolo 16 del TFUE), offre la possibilità di conseguire un nuovo obiettivo, ossia:

- creare un quadro globale per la protezione dei dati, che copra tutti i settori.

1.4.2. Obiettivo/obiettivi specifici e attività ABM/ABB interessate

Obiettivo specifico n. 1

Garantire l’applicazione coerente delle norme sulla protezione dei dati

Obiettivo specifico n. 2

Razionalizzare l’attuale sistema di governance per contribuire a garantire un’attuazione più coerente

Attività ABM/ABB interessate

[…]

1.4.3. Risultati e incidenza previsti

Precisare gli effetti che la proposta/iniziativa dovrebbe avere sui beneficiari/gruppi interessati.

Per quanto riguarda i responsabili del trattamento, sia i soggetti pubblici che quelli privati trarranno beneficio dalla maggiore certezza giuridica derivante dall’armonizzazione e dal chiarimento delle norme e delle procedure UE sulla protezione dei dati, che assicureranno condizioni eque, un’applicazione coerente delle norme sulla protezione dei dati e una riduzione considerevole dell’onere amministrativo.

Le persone fisiche avranno un miglior controllo dei loro dati personali e più fiducia nell’ambiente digitale, e resteranno tutelate anche quando i loro dati personali sono trattati all’estero. Constateranno inoltre un rafforzamento della responsabilità di coloro che trattano i dati personali.

Il sistema globale di protezione dei dati coprirà anche i settori della polizia e della giustizia, riprendendo e allargando l’ex terzo pilastro.

1.4.4. Indicatori di risultato e di incidenza

Precisare gli indicatori che permettono di seguire la realizzazione della proposta/iniziativa.

(Si veda la valutazione d’impatto, sezione 8)

Gli indicatori saranno oggetto di una valutazione periodica e comprenderanno i seguenti elementi:

•        i tempi e i costi impiegati dai responsabili del trattamento per conformarsi alla normativa “in altri Stati membri”;

•        le risorse stanziate alle autorità di protezione dei dati;

•        i responsabili della protezione dei dati istituiti nelle organizzazioni pubbliche e private;

•        l’uso delle valutazioni d’impatto sulla protezione dei dati;

•        il numero di reclami proposti dagli interessati e il risarcimento ottenuto;

•        il numero di casi che hanno comportato un’azione penale nei confronti dei responsabili del trattamento;

•        le sanzioni irrogate ai responsabili del trattamento per violazione della protezione dei dati.

1.5. Motivazione della proposta/iniziativa 1.5.1. Necessità da coprire nel breve e lungo termine

Le attuali differenze nell’attuazione, interpretazione e applicazione della direttiva da parte degli Stati membri ostacolano il funzionamento del mercato interno e la cooperazione tra le autorità pubbliche in merito alle politiche dell’Unione. Questa situazione è contraria all’obiettivo fondamentale della direttiva di agevolare la libera circolazione dei dati personali nel mercato interno. La situazione è ulteriormente aggravata dalla rapida evoluzione delle nuove tecnologie e dalla globalizzazione.

Le persone fisiche non godono degli stessi diritti in materia di protezione dei dati, a causa di una frammentazione e un’attuazione e applicazione non coerente nei vari Stati membri. Inoltre, spesso non sono consapevoli dell’utilizzo che viene fatto dei loro dati personali e ne perdono il controllo; di conseguenza non possono esercitare i loro diritti in modo efficace.

1.5.2. Valore aggiunto dell’intervento dell’Unione europea

Gli Stati membri non sono in grado da soli di risolvere i problemi posti dalla situazione attuale, in particolare dalla frammentazione delle legislazioni nazionali di attuazione del quadro normativo dell’Unione sulla protezione dei dati. È dunque pienamente giustificato istituire un quadro normativo sulla protezione dei dati a livello di Unione. Esiste la precisa esigenza di istituire un quadro armonizzato e coerente che consenta un agevole trasferimento transfrontaliero di dati personali all’interno dell’Unione europea e che garantisca nel contempo un’effettiva tutela di tutte le persone fisiche nell’intero territorio dell’UE.

1.5.3. Insegnamenti tratti da esperienze analoghe

Le presenti proposte si basano sull’esperienza acquisita con la direttiva 95/46/CE e i problemi derivanti dal carattere frammentario del suo recepimento e della sua attuazione, che le hanno impedito di raggiungere i due obiettivi perseguiti, ossia un elevato livello di protezione dei dati e un mercato interno per la protezione dei dati.

1.5.4. Coerenza ed eventuale sinergia con altri strumenti pertinenti

Il presente pacchetto di riforma della protezione dei dati mira a realizzare un quadro solido, coerente e moderno sulla protezione dei dati a livello dell’Unione, che sia neutro sotto il profilo tecnologico e che possa dimostrarsi valido anche per i prossimi decenni. Recherà vantaggi alle persone fisiche – rafforzandone i diritti in materia di protezione dei dati, in particolare nell’ambiente digitale – e semplificherà il quadro giuridico per le imprese e il settore pubblico, stimolando così lo sviluppo dell’economia digitale in tutto il mercato interno e al suo esterno, in linea con gli obiettivi della strategia Europa 2020.

Il nucleo del pacchetto di riforma della protezione dei dati è composto da:

–        un regolamento che sostituisce la direttiva 95/46/CE;

–        una direttiva concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati.

Tali proposte legislative sono accompagnate da una relazione sull’attuazione, da parte degli Stati membri, dell’attuale strumento principale di protezione dei dati nell’Unione nel settore della cooperazione di polizia e della cooperazione giudiziaria in materia penale, ossia la decisione quadro 2008/977/GAI.

1.6. Durata e incidenza finanziaria

¨ Proposta/iniziativa di durata limitata

1. ¨  Proposta/iniziativa in vigore a decorrere dal [GG/MM]AAAA fino al [GG/MM]AAAA

2. ¨  Incidenza finanziaria dal AAAA al AAAA

þ Proposta/iniziativa di durata illimitata

1. Attuazione con un periodo di avviamento dal 2014 al 2016,

2. seguito da un funzionamento a pieno ritmo.

1.7. Modalità di gestione prevista[51]

þ Gestione centralizzata diretta da parte della Commissione

¨ Gestione centralizzata indiretta con delega delle funzioni di esecuzione a:

3. ¨  agenzie esecutive

4. ¨  organismi creati dalle Comunità[52]

5. ¨  organismi pubblici nazionali/organismi investiti di attribuzioni di servizio pubblico

3. ¨  persone incaricate di attuare azioni specifiche di cui al titolo V del trattato sull’Unione europea, che devono essere indicate nel pertinente atto di base ai sensi dell’articolo 49 del regolamento finanziario

¨ Gestione concorrente con gli Stati membri

¨ Gestione decentrata con paesi terzi

¨ Gestione congiunta con organizzazioni internazionali (specificare)

Se è indicata più di una modalità, fornire ulteriori informazioni alla voce “Osservazioni”.

Osservazioni

//

2. MISURE DI GESTIONE 2.1. Disposizioni in materia di monitoraggio e di relazioni

Precisare frequenza e condizioni.

La prima valutazione avrà luogo 4 anni dopo l’entrata in vigore degli atti giuridici. Tali atti contengono un’esplicita clausola di riesame, che impone alla Commissione di valutarne l’attuazione. Successivamente la Commissione riferisce al Parlamento europeo e al Consiglio in merito ai risultati della valutazione. Le successive valutazioni avranno una periodicità di quattro anni. Sarà applicata la metodologia della Commissione in materia di valutazione. Tali valutazioni saranno realizzate con l’aiuto di studi mirati relativi all’attuazione degli strumenti giuridici, questionari inviati alle autorità nazionali di protezione dei dati, discussioni con esperti, seminari, sondaggi Eurobarometro, ecc.

2.2. Sistema di gestione e di controllo 2.2.1. Rischi individuati

È stata effettuata una valutazione d’impatto per la riforma del quadro sulla protezione dei dati nell’UE che correda le proposte di regolamento e di direttiva.

Il nuovo atto giuridico introdurrà una meccanismo per garantire la coerenza, assicurando che le indipendenti autorità di controllo degli Stati membri applichino il quadro normativo in modo uniforme e coerente. Tale meccanismo funzionerà nell’ambito del comitato europeo per la protezione dei dati composto dai direttori delle autorità di controllo nazionali e del garante europeo della protezione dei dati (GEPD), che sostituirà l’attuale gruppo di lavoro “articolo 29”. Il garante europeo della protezione dei dati svolge le funzioni di segreteria per il comitato.

In caso di eventuali decisioni divergenti da parte delle autorità degli Stati membri, il comitato europeo per la protezione dei dati sarà consultato per un parere. Se tale procedura fallisce, o se un’autorità di controllo rifiuta di conformarsi al parere, la Commissione potrebbe, al fine di garantire un’applicazione corretta e coerente del presente regolamento, emettere un parere o, se necessario, adottare una decisione qualora dubiti seriamente che il progetto di misura garantisca la corretta applicazione del presente regolamento e rischi invece di portare a una sua applicazione non coerente,

Il meccanismo di coerenza richiede risorse supplementari per il GEPD, (12 ETP e adeguati stanziamenti amministrativi e operativi, ad esempio, per i sistemi e le operazioni IT) per espletare i compiti di segreteria e per la Commissione (5 ETP e relativi stanziamenti amministrativi e operativi) per trattare i casi relativi alla coerenza.

2.2.2. Modalità di controllo previste

Gli attuali metodi di controllo applicati dal GEPD e dalla Commissione saranno adottati per gli altri stanziamenti.

2.3. Misure di prevenzione delle frodi e delle irregolarità

Precisare le misure di prevenzione e di tutela in vigore o previste.

Le esistenti misure di prevenzione delle frodi attualmente applicate dal GEPD e dalla Commissione saranno adottate per gli altri stanziamenti.

3. INCIDENZA FINANZIARIA PREVISTA DELLA PROPOSTA/INIZIATIVA 3.1. Rubrica/rubriche del quadro finanziario pluriennale e linea/linee di bilancio di spesa interessate

1. Linee di bilancio di spesa esistenti

Secondo l’ordine delle rubriche del quadro finanziario pluriennale e delle linee di bilancio.

Rubrica del quadro finanziario pluriennale || Linea di bilancio || Natura della spesa || Partecipazione

Numero [Denominazione………………………..……….] || Diss./Non diss. ([53]) || di paesi EFTA[54] || di paesi candidati[55] || di paesi terzi || ai sensi dell’articolo 18, paragrafo 1, lettera a bis), del regolamento finanziario

|| || || || || ||

3.2. Incidenza prevista sulle spese 3.2.1. Sintesi dell’incidenza prevista sulle spese

Mio EUR (al terzo decimale)

Rubrica del quadro finanziario pluriennale: || Numero ||

|| || || Anno N[56]= 2014 || Anno N+1 || Anno N+2 || Anno N+3 || inserire gli anni necessari per evidenziare la durata dell’incidenza (cfr. punto 1.6) || TOTALE

Ÿ Stanziamenti operativi || || || || || || || ||

Numero della linea di bilancio || Impegni || (1) || || || || || || || ||

Pagamenti || (2) || || || || || || || ||

Numero della linea di bilancio || Impegni || (1a) || || || || || || || ||

Pagamenti || (2a) || || || || || || || ||

Stanziamenti di natura amministrativa finanziati  dalla dotazione di programmi specifici[57] || || || || || || || ||

Numero della linea di bilancio || || (3) || || || || || || || ||

TOTALE degli stanziamenti per la DG || Impegni || =1+1a +3 || || || || || || || ||

Pagamenti || =2+2a+3 || || || || || || || ||

Ÿ TOTALE degli stanziamenti operativi || Impegni || (4) || || || || || || || ||

Pagamenti || (5) || || || || || || || ||

Ÿ TOTALE degli stanziamenti di natura amministrativa finanziati dalla dotazione di programmi specifici || (6) || || || || || || || ||

TOTALE degli stanziamenti per la RUBRICA 3 del quadro finanziario pluriennale || Impegni || =4+ 6 || || || || || || || ||

Pagamenti || =5+ 6 || || || || || || || ||

Se la proposta/iniziativa incide su più rubriche:

Ÿ TOTALE degli stanziamenti operativi || Impegni || (4) || || || || || || || ||

Pagamenti || (5) || || || || || || || ||

Ÿ TOTALE degli stanziamenti di natura amministrativa finanziati dalla dotazione di programmi specifici || (6) || || || || || || || ||

TOTALE degli stanziamenti per le RUBRICHE da 1 a 4 del quadro finanziario pluriennale (importo di riferimento) || Impegni || =4+ 6 || || || || || || || ||

Pagamenti || =5+ 6 || || || || || || || ||

Rubrica del quadro finanziario pluriennale: || 5 || “Spese amministrative”

Mio EUR (al terzo decimale)

|| || || Anno N= 2014 || Anno 2015 || Anno 2016 || Anno 2017 || Anno 2018 || Anno 2019 || Anno 2020 || TOTALE

DG: JUST ||

Ÿ Risorse umane || || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454

Ÿ Altre spese amministrative || || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885

TOTALE DG JUST || || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

TOTALE degli stanziamenti per la RUBRICA 5 del quadro finanziario pluriennale || (Totale impegni = Totale pagamenti) || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Mio EUR (al terzo decimale)

|| || || Anno N[58] || Anno N+1 || Anno N+2 || Anno N+3 || inserire gli anni necessari per evidenziare la durata dell’incidenza (cfr. punto 1.6) || TOTALE

TOTALE degli stanziamenti per le RUBRICHE da 1 a 5 del quadro finanziario pluriennale || Impegni || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Pagamenti || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

3.2.2. Incidenza prevista sugli stanziamenti operativi

6. þ  La proposta/iniziativa non comporta l’utilizzazione di stanziamenti operativi

Un elevato livello di protezione dei dati personali rientra anche tra gli obiettivi del programma “diritti e cittadinanza”.

7. ¨  La proposta/iniziativa comporta l’utilizzazione di stanziamenti operativi, come spiegato di seguito:

Stanziamenti di impegno in Mio EUR (al terzo decimale)

Specificare gli obiettivi e i risultati ò || || || Anno N=2014 || Anno N+1 || Anno N+2 || Anno N+3 || inserire gli anni necessari per evidenziare la durata dell’incidenza (cfr. punto 1.6) || TOTALE

RISULTATI

Tipo di risultato[59] || Costo medio del risultato || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero totale di risultati || Costo totale

OBIETTIVO SPECIFICO 1 ||

- Risultato || Fascicoli[60] || || || || || || || || || || || || || || || || ||

Totale parziale Obiettivo specifico 1 || || || || || || || || || || || || || || || ||

OBIETTIVO SPECIFICO 2 ||

- Risultato || Casi[61] || || || || || || || || || || || || || || || || ||

Totale parziale Obiettivo specifico 2 || || || || || || || || || || || || || || || ||

COSTO TOTALE || || || || || || || || || || || || || || || ||

3.2.3. Incidenza prevista sugli stanziamenti di natura amministrativa 3.2.3.1. Sintesi

8. ¨  La proposta/iniziativa non comporta l’utilizzazione di stanziamenti amministrativi

9. þ  La proposta/iniziativa comporta l’utilizzazione di stanziamenti amministrativi, come spiegato di seguito:

Mio EUR (al terzo decimale)

|| Anno N[62] 2014 || Anno 2015 || Anno 2016 || Anno 2017 || Anno 2018 || Anno 2019 || Anno 2020 || TOTALE

RUBRICA 5 del quadro finanziario pluriennale || || || || || || || ||

Risorse umane || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454

Altre spese          amministrative || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885

Totale parziale RUBRICA 5 del quadro finanziario pluriennale || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Esclusa la RUBRICA 5[63] del quadro finanziario pluriennale || || || || || || || ||

Risorse umane || || || || || || || ||

Altre spese di natura amministrativa || || || || || || || ||

Totale parziale esclusa la RUBRICA 5 del quadro finanziario pluriennale || || || || || || || ||

TOTALE || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

3.2.3.2.  Fabbisogno previsto di risorse umane

10. ¨         La proposta/iniziativa non comporta l’utilizzazione di risorse umane

11. þ         La proposta/iniziativa comporta l’utilizzazione di risorse umane, come spiegato di seguito:

Stima da esprimere in equivalenti a tempo pieno (o, al massimo, con un decimale)

|| Anno 2014 || Anno 2015 || Anno 2016 || Anno 2017 || Anno 2018 || Anno 2019 || Anno 2020

Ÿ Posti della tabella dell’organico (posti di funzionari e di agenti temporanei)

XX 01 01 01 (in sede e negli uffici di rappresentanza della Commissione) || 22 || 22 || 22 || 22 || 22 || 22 || 22

XX 01 01 02 (nelle delegazioni) || || || || || || ||

Ÿ Personale esterno (in equivalenti a tempo pieno: ETP)[64]

XX 01 02 01 (AC, END e INT della dotazione globale) || 2 || 2 || 2 || 2 || 2 || 2 || 2

XX 01 02 02 (AC, AL, END, INT e JED nelle delegazioni) || || || || || || ||

XX 01 04 yy[65] || - in sede[66] || || || || || || ||

- nelle delegazioni || || || || || || ||

XX 01 05 02 (AC, END e INT – Ricerca indiretta) || || || || || || ||

10 01 05 02 (AC, END e INT – Ricerca diretta) || || || || || || ||

Altre linee di bilancio (specificare) || || || || || || ||

TOTALE || 24 || 24 || 24 || 24 || 24 || 24 || 24

XX è il settore o il titolo di bilancio interessato.

Con la riforma, la Commissione dovrà svolgere nuovi compiti nel settore della tutela delle persone fisiche con riguardo al trattamento dei dati personali, in aggiunta a quelli attuali. Gli ulteriori compiti riguardano principalmente l’attuazione del nuovo meccanismo di coerenza che garantirà l’applicazione uniforme della legislazione in materia di protezione dei dati, la valutazione dell’adeguatezza dei paesi terzi (la cui competenza esclusiva incomberà alla Commissione) e la preparazione di misure di attuazione e gli atti delegati. La Commissione continuerà a svolgere anche gli altri compiti di cui attualmente si occupa (ad esempio, definizione delle politiche, sensibilizzazione, controllo dell’attuazione, reclami, ecc.).

Il fabbisogno di risorse umane è coperto dal personale della DG già assegnato alla gestione dell’azione e/o riassegnato all’interno della stessa DG, integrato dall’eventuale dotazione supplementare concessa alla DG responsabile nell’ambito della procedura annuale di assegnazione, tenendo conto dei vincoli di bilancio.

Descrizione dei compiti da svolgere:

Funzionari e agenti temporanei || Funzionari incaricati del caso, che gestiscono il meccanismo di coerenza in materia di protezione dei dati per garantire l’uniformità di applicazione della normativa UE sulla protezione dei dati. I loro compiti comprendono ricerche e lo studio dei casi presentati ai fini di una decisione dalle autorità degli Stati membri, le discussioni con gli Stati membri e la preparazione delle decisioni della Commissione. In base alle recenti esperienze, si stima che 5-10 casi all’anno possono richiedere l’intervento del meccanismo di coerenza. Dare seguito alle domande di adeguatezza richiede un’interazione diretta con il paese richiedente, eventualmente la gestione di studi di esperti sulle condizioni nel paese, la valutazione delle condizioni, la preparazione delle decisioni pertinenti della Commissione e l’organizzazione del procedimento, compreso per il comitato che assiste la Commissione e gli eventuali organismi di esperti. In base all’esperienza acquisita, si possono stimare fino a 4 domande di adeguatezza all’anno. Il processo di adozione delle misure d’esecuzione comprende misure preparatorie, quali la redazione di documenti, ricerche e consultazioni pubbliche, la stesura del testo e la gestione del processo di negoziazione nell’ambito dei pertinenti comitati e di altri gruppi, così come contatti con le parti interessate in generale. Nei settori che richiedono orientamenti più precisi, possono essere trattate fino a tre misure di attuazione all’anno, mentre il procedimento può richiedere fino a 24 mesi, a seconda dell’intensità delle consultazioni.

Personale esterno || Sostegno amministrativo e di segreteria

3.2.4. Compatibilità con il quadro finanziario pluriennale attuale

12. ¨         La proposta/iniziativa è compatibile con il prossimo quadro finanziario pluriennale.

13. þ         La proposta/iniziativa implica una riprogrammazione della pertinente rubrica del quadro finanziario pluriennale.

La tabella seguente indica gli importi delle risorse finanziarie necessarie ogni anno al GEPD per i suoi nuovi compiti di segreteria a favore del comitato europeo per la protezione dei dati e le relative procedure e strumenti per il periodo delle prossime prospettive finanziarie, oltre a quelli già inclusi nella pianificazione.

Anno || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Totale

Personale ecc. || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823

Operazioni || 0,850 || 1,500 || 1,900 || 1,900 || 1,500 || 1,200 || 1,400 || 10,250

Totale || 2,405 || 3,055 || 3,443 || 3,443 || 3,043 || 2,743 || 2,943 || 21,073

14. ¨         La proposta/iniziativa richiede l’applicazione dello strumento di flessibilità o la revisione del quadro finanziario pluriennale[67].

3.2.5. Partecipazione di terzi al finanziamento

15. þLa proposta/iniziativa non prevede il cofinanziamento da parte di terzi

16. ¨La proposta/iniziativa prevede il cofinanziamento indicato di seguito:

Stanziamenti in Mio EUR (al terzo decimale)

|| Anno N || Anno N+1 || Anno N+2 || Anno N+3 || inserire gli anni necessari per evidenziare la durata dell’incidenza (cfr. punto 1.6) || Totale

Specificare l’organismo di cofinanziamento || || || || || || || ||

TOTALE stanziamenti cofinanziati || || || || || || || ||

3.3. Incidenza prevista sulle entrate

17. þ         La proposta/iniziativa non ha alcuna incidenza finanziaria sulle entrate.

18. ¨         La proposta/iniziativa ha la seguente incidenza finanziaria:

· ¨         sulle risorse proprie

· ¨         sulle entrate varie

Mio EUR (al terzo decimale)

Linea di bilancio delle entrate: || Stanziamenti disponibili per l’esercizio in corso || Incidenza della proposta/iniziativa[68]

Anno N || Anno N+1 || Anno N+2 || Anno N+3 || inserire gli anni necessari per evidenziare la durata dell’incidenza (cfr. punto 1.6)

|| || || || || || || ||

Per quanto riguarda le entrate varie con destinazione specifica, precisare la o le linee di spesa interessate.

Precisare il metodo di calcolo dell’incidenza sulle entrate.

ALLEGATO alla scheda finanziaria legislativa per la proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali.

Metodologia applicata e principali ipotesi di base

I costi di personale connessi ai nuovi compiti del garante europeo della protezione dei dati (GEPD), derivanti dalle due proposte sono stati stimati sulla base dei costi sostenuti attualmente dalla Commissione per compiti analoghi.

Il GEPD ospiterà la segreteria del comitato europeo per la protezione dei dati, che sostituisce il gruppo di lavoro “articolo 29”. Sulla base dell’attuale carico di lavoro della Commissione per svolgere questo compito, ciò richiederà 3 ulteriori ETP oltre alle corrispondenti spese amministrative e operative. I lavori cominceranno con l’entrata in vigore del regolamento.

Inoltre, il GEPD contribuirà al meccanismo di coerenza che dovrebbe richiedere 5 ETP e allo sviluppo e funzionamento di uno strumento informatico comune per le autorità nazionali di protezione dei dati, che richiederà altri 2 membri del personale.

Il calcolo dell’aumento del fabbisogno di bilancio per il personale per i primi sette anni figura in modo più dettagliato nella seguente tabella. Una seconda tabella indica il fabbisogno di bilancio operativo. Tali importi si rifletteranno sul bilancio dell’UE nella sezione IX GEPD.

Tipo di costo || Calcolo || Importo (in migliaia)

2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Totale

Retribuzioni e indennità || || || || || || || || ||

- della presidenza GEPD || || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 2,100

- di cui funzionari e agenti temporanei || =7*0,127 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 6,223

- di cui END || =1*0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,511

- di cui agenti contrattuali || =2*0,064 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,896

Spese relative alle assunzioni || =10*0,005 || 0,025 || 0,025 || 0,013 || 0,013 || 0,013 || 0,013 || 0,013 || 0,113

Spese di missione || || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,630

Altre spese, formazione || =10*0,005 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,350

Totale spese amministrative || || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823

Descrizione dei compiti da svolgere:

Funzionari e agenti temporanei || Funzionari responsabili della segreteria del comitato europeo per la protezione dei dati. Oltre al supporto logistico, compresi gli aspetti contrattuali e di bilancio, ciò comprende la preparazione di riunioni e la convocazione di esperti, le ricerche sui temi all’ordine del giorno del gruppo, la gestione dei documenti relativi all’attività del gruppo in materia di protezione dei dati, ivi compresi gli aspetti della riservatezza e dell’accesso al pubblico. Compresi tutti i sottogruppi e gruppi di esperti, possono essere organizzate fino a 50 riunioni e procedure decisionali ogni anno. Funzionari incaricati del caso, che gestiscono il meccanismo di coerenza in materia di protezione dei dati per garantire l’uniformità di applicazione della normativa UE sulla protezione dei dati. I loro compiti comprendono ricerche e lo studio dei casi presentati ai fini di una decisione dalle autorità degli Stati membri, le discussioni con gli Stati membri e la preparazione delle decisioni della Commissione. In base alle recenti esperienze, 5-10 casi all’anno possono richiedere l’intervento del meccanismo di coerenza. Lo strumento informatico semplificherà l’interazione operativa tra le autorità nazionali di protezione dei dati e i responsabili del trattamento obbligati a condividere le informazioni con le autorità pubbliche. Uno o più membri del personale dovranno garantire il controllo di qualità, la gestione del progetto e il controllo di bilancio dei processi informatici relativi alle specifiche tecniche, la realizzazione e il funzionamento dei sistemi.

Personale esterno || Sostegno amministrativo e di segreteria

Spese relative a compiti specifici del GEPD

Specificare gli obiettivi e i risultati ò || || || Anno N=2014 || Anno N+1 || Anno N+2 || Anno N+3 || inserire gli anni necessari per evidenziare la durata dell’incidenza (cfr. punto 1.6) || TOTALE

RISULTATI

Tipo di risultato[69] || Costo medio del risultato || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero di risultati || Costo || Numero totale di risultati || COSTO TOTALE

OBIETTIVO SPECIFICO 1[70] || Segreteria del Comitato europeo per la protezione dei dati

- Risultato || Casi[71] || 0,010 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3,200

Totale parziale Obiettivo specifico 1 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3,200

OBIETTIVO SPECIFICO 2 || Meccanismo di coerenza

- Risultato || Fascicoli[72] || 0,050 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2,950

Totale parziale Obiettivo specifico 2 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2,950

OBIETTIVO SPECIFICO 3 || Strumento informatico comune per le autorità di protezione dei dati (GEPD)

- Risultato || Casi[73] || 0,100 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4,100

Totale parziale Obiettivo specifico 3 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4,100

COSTO TOTALE || 38 || 0,850 || 56 || 1,500 || 69 || 1,900 || 69 || 1,900 || 64 || 1,500 || 61 || 1,200 || 63 || 1,400 || 420 || 10,250

[1]               “Salvaguardare la privacy in un mondo interconnesso- Un quadro europeo della protezione dei dati per il XXI secolo” (COM(2012) 9 final).

[2]               COM(2012) 10 final.

[3]               Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).

[4]               Decisione quadro 2008/977/GAI del Consiglio, del 27 novembre 2008, sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale (GU L 350 del 30.12.2008, pag. 60).

[5]               COM(2010) 245 definitivo.

[6]               COM(2010) 2020 definitivo.

[7]               “Programma di Stoccolma — Un’Europa aperta e sicura al servizio e a tutela dei cittadini” (GU C 115 del 4.5.2010, pag. 1).

[8]               Risoluzione del Parlamento europeo sulla comunicazione della Commissione al Parlamento europeo e al Consiglio dal titolo “Uno spazio di libertà, sicurezza e giustizia al servizio dei cittadini - Programma di Stoccolma”, adottata il 25 novembre 2009 (P7_TA (2009) 0090).

[9]               COM(2010) 171 definitivo.

[10]             COM(2010) 609 definitivo.

[11]             Speciale Eurobarometro (EB) 359, Data Protection and Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.

[13]             I contributi che non rivestono carattere riservato sono consultabili sul sito web della Commissione. http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[14]             I contributi che non rivestono carattere riservato sono consultabili sul sito web della Commissione. http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[15]             http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm.

[16]             http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp.

[17]             Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), che si occupa di questioni di sicurezza connesse alle reti di comunicazione e ai sistemi di informazione.

[18]             Cfr. http://www.enisa.europa.eu/act/it/data-breach-notification.

[19]             Speciale Eurobarometro (EB) 359, Data Protection and Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[20]             Oltre allo studio citato alla nota 2, si veda lo studio comparativo sui diversi approcci alle nuove sfide per la privacy soprattutto alla luce degli sviluppi tecnologici (Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments), gennaio 2010: (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[21]             Il Gruppo di lavoro è stato istituito nel 1996 (dall’articolo 29 della direttiva); è un organo consultivo composto dal rappresentante dell’autorità di protezione dei dati di ciascuno Stato membro, dal garante europeo della protezione dei dati e dalla Commissione. Per maggiori informazioni sulle sue attività, si consulti il sito: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[22]             Si vedano in particolare i pareri sui seguenti argomenti: il “futuro della vita privata” (2009, WP 168); i concetti di “responsabile del trattamento” e “incaricato del trattamento” (1/2010, WP 169); la pubblicità comportamentale on line (2/2010, WP 171); il principio di responsabilità (3/2010, WP 173); il diritto applicabile (8/2010, WP 179); il consenso (15/2011, WP 187). Su richiesta della Commissione, il Gruppo ha adottato anche i tre seguenti documenti, rispettivamente sulle notificazioni, sui dati sensibili e sull’attuazione pratica dell’articolo 28, paragrafo 6, della direttiva sulla protezione dei dati. I documenti sono consultabili alla pagina: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[23]             Disponibile sul sito del GEPD: http://www.edps.europa.eu/EDPSWEB.

[24]             Risoluzione del Parlamento europeo del 6 luglio 2011 su un approccio globale in materia di protezione dei dati personali nell’Unione europea (2011/2025 (INI),    http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244 (relatore: on. Axel Voss (PPE/DE).

[25]             SEC(2012)72.

[26]             CESE 999/2011.

[27]             Cause riunite C-92/09 e C-93/09: Sentenza della Corte di giustizia dell’Unione europea 9 novembre 2010 - Volker und Markus Schecke e Eifert, Racc. 2010, pag. I-0000.

[28]             Conformemente all’articolo 52, paragrafo 1, della Carta, eventuali limitazioni all’esercizio del diritto alla protezione dei dati devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui.

[29]             Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

[30]             Direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori (GU L 337 del 18.12.2009, pag. 11).

[31]             Adottata e aperta alla firma, ratifica ed adesione dall’Assemblea generale delle Nazioni Unite con la risoluzione 44/25 del 20.11.1989.

[32]             Adottata il 5 novembre 2009 dalla Conferenza internazionale dei commissari in materia di protezione dei dati e della vita privata. Cfr. anche l’articolo 13, paragrafo 3, della proposta di regolamento relativo a un diritto comune europeo della vendita (COM(2011)635 definitivo).

[33]             CM/Rec (2010)13.

[34]             Causa C-518/07: Sentenza della Corte di giustizia dell’Unione europea 9 marzo 2010 - Commissione / Germania, Racc. 2010, pag. I-1885.

[35]             Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

[36]             Op. cit., nota 34.

[37]             Decisione 2008/615/GAI del Consiglio, del 23 giugno 2008, sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalità transfrontaliera (GU L 210 del 6.8.2008, pag. 1).

[38]             Sulla base dell’articolo 5, paragrafo 1, della decisione quadro 2009/948/GAI del Consiglio, del 30 novembre 2009, sulla prevenzione e la risoluzione dei conflitti relativi all’esercizio della giurisdizione nei procedimenti penali (GU L 328, 15.12.2009, pag. 42), e dell’articolo 13, paragrafo 1, del regolamento (CE) n. 1/2003, del 16 dicembre 2002, concernente l’applicazione delle regole di concorrenza di cui agli articoli 81 e 82 del trattato (GU L 1 del 4.1.2003, pag. 1).

[39]             Sulla base dell’articolo 18, paragrafo 1, della direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell’8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno (“direttiva sul commercio elettronico”) (GU L 178 del 17.7.2000, pag. 1).

[40]             Per l’interpretazione, si veda ad esempio la causa C-73/07: sentenza della Corte di giustizia dell’Unione europea 16 dicembre 2008 - Tietosuojavaltuutettu/Satakunnan Markkinapörssi Oy, Satamedia Oy, Racc. 2008 pag. I-9831.

[41]             GU C […] del […], pag. […].

[42]             GU C […] del […], pag. […].

[43]             GU L 281 del 23.11.1995, pag. 31.

[44]             GU L 8 del 12.1.2001, pag. 1.

[45]             Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

[46]             GU L 176 del 10.7.1999, pag. 36.

[47]             GU L 53 del 27.2.2008, pag. 52.

[48]             GU L 160 del 18.6.2011, pag. 19.

[49]             ABM: Activity Based Management (gestione per attività) – ABB: Activity Based Budgeting (bilancio per attività).

[50]             A norma dell’articolo 49, paragrafo 6, lettera a) o b), del regolamento finanziario.

[51]             Le spiegazioni sulle modalità di gestione e i riferimenti al regolamento finanziario sono disponibili sul sito BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[52]             A norma dell’articolo 185 del regolamento finanziario.

[53]             Diss. = Stanziamenti dissociati / Non diss. = Stanziamenti non dissociati.

[54]             EFTA: Associazione europea di libero scambio.

[55]             Paesi candidati e, se del caso, paesi potenziali candidati dei Balcani occidentali.

[56]             L’anno N è l’anno di inizio dell’attuazione della proposta/iniziativa.

[57]             Assistenza tecnica e/o amministrativa e spese di sostegno all’attuazione di programmi e/o azioni dell’UE (ex linee “BA”), ricerca indiretta, ricerca diretta.

[58]             L’anno N è l’anno di inizio dell’attuazione della proposta/iniziativa.

[59]             I risultati sono i prodotti e servizi da fornire (ad esempio: numero di scambi di studenti finanziati, numero di km di strade costruiti ecc.).

[60]             Pareri, decisioni, procedure e riunioni del comitato.

[61]             Casi trattati nell’ambito del meccanismo di coerenza.

[62]             L’anno N è l’anno di inizio dell’attuazione della proposta/iniziativa.

[63]             Assistenza tecnica e/o amministrativa e spese di sostegno all’attuazione di programmi e/o azioni dell’UE (ex linee “BA”), ricerca indiretta, ricerca diretta.

[64]             AL= agente contrattuale; INT = personale interinale (intérimaire); JED = giovane esperto in delegazione (jeune expert en délégation); AL= agente locale; END= esperto nazionale distaccato.

[65]             Sottomassimale per il personale esterno previsto dagli stanziamenti operativi (ex linee “BA”).

[66]             Principalmente per i fondi strutturali, il Fondo europeo agricolo per lo sviluppo rurale (FEASR) e il Fondo europeo per la pesca (FEP).

[67]             Cfr. punti 19 e 24 dell’Accordo interistituzionale.

[68]             Per quanto riguarda le risorse proprie tradizionali (dazi doganali, contributi zucchero), gli importi indicati devono essere importi netti, cioè importi lordi da cui viene detratto il 25% per spese di riscossione.

[69]             I risultati sono i prodotti e servizi da fornire (ad esempio: numero di scambi di studenti finanziati, numero di km di strade costruiti ecc.).

[70]             Quale descritto nella sezione 1.4.2. “Obiettivo/obiettivi specifici…”.

[71]             Casi trattati nell’ambito del meccanismo di coerenza.

[72]             Pareri, decisioni, procedure e riunioni del comitato.

[73]             I totali per ciascun anno riportano la stima degli sforzi per lo sviluppo e il funzionamento degli strumenti informatici.