Preambolo
CAPO I – DISPOSIZIONI GENERALI
Articolo 1. Oggetto della direttiva
Articolo 2. Definizioni
Articolo 3. Campo d’applicazione
Articolo 4. Diritto nazionale applicabile
CAPO II – CONDIZIONI GENERALI DI LICEITÀ DEI TRATTAMENTI DI DATI PERSONALI
Articolo 5
SEZIONE I – Principi relativi alla qualità dei dati
SEZIONE II – Principi relativi alla legittimazione dei dati
SEZIONE III – Categorie particolari di trattamenti
Articolo 9. Trattamento di dati personali e libertà d’espressione
SEZIONE IV – Informazione della persona interessata
Articolo 10. Informazione in caso di raccolta dei dati presso la persona interessata
Articolo 11. Informazione in caso di dati non raccolti presso la persona interessata
SEZIONE V – Diritto di accesso ai dati da parte della persona interessata
Articolo 12. Diritto di accesso
SEZIONE VI – Deroghe e restrizioni
Articolo 13. Deroghe e restrizioni
SEZIONE VII – Diritto di opposizione della persona interessata
Articolo 14. Diritto di opposizione della persona interessata
Articolo 15. Decisioni individuali automatizzate
SEZIONE VIII – Riservatezza e sicurezza dei trattamenti
Articolo 16. Riservatezza dei trattamenti
Articolo 17. Sicurezza dei trattamenti
SEZIONE IX – Notificazione
Articolo 18. Obbligo di notificazione all’autorità di controllo
Articolo 19. Oggetto della notificazione
Articolo 20. Controllo preliminare
Articolo 21. Pubblicità dei trattamenti
CAPO III – Ricorsi giurisdizionali, responsabilità e sanzioni
Articolo 22. Ricorsi
Articolo 23. Responsabilità
Articolo 24. Sanzioni
CAPO IV – Trasferimento di dati personali verso paesi terzi
Articolo 25. Principi
Articolo 26. Deroghe
CAPO V – Codici di condotta
Articolo 27.
CAPO VI – Autorità di controllo e gruppo per la tutela delle persone con riguardo al trattamento dei dati personali
Articolo 28. Autorità di controllo
Articolo 29. Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali
Articolo 30.
CAPO VII – Misure comunitarie d’esecuzione
Articolo 31. Comitato
DISPOSIZIONI FINALI
Articolo 32.
Articolo 33.
Articolo 34.
_______________
Preambolo
(omissis)
CAPO I DISPOSIZIONI GENERALI
Articolo 1
Oggetto della direttiva
1. Gli Stati membri garantiscono, conformemente alle disposizioni della presente direttiva, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali.
2. Gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1.
Articolo 2
Definizioni
Ai fini della presente direttiva si intende per:
a) «dati personali»: qualsiasi informazione concernente una persona fisica identificata o identificabile («persona interessata»); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;
b) «trattamento di dati personali» («trattamento»): qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione;
c) «archivio di dati personali» («archivio»): qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
d) «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o comunitarie, il responsabile del trattamento o i criteri specifici per al sua designazione possono essere fissati dal diritto nazionale o comunitario;
e) «incaricato del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;
f) «terzi»: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che non sia la persona interessata, il responsabile del trattamento, l’incaricato del trattamento e le persone autorizzate all’elaborazione dei dati sotto la loro autorità diretta;
g) «destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati, che si tratti o meno di un terzo. Tuttavia, le autorità che possono ricevere comunicazione di dati nell’ambito di una missione d’inchiesta specifica non sono considerate destinatari;
h) «consenso della persona interessata»: qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento.
Articolo 3
Campo d’applicazione
1. Le disposizioni della presente direttiva si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi.
2. Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali;
– effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull’Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale;
– effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico.
Articolo 4
Diritto nazionale applicabile
1. Ciascuno Stato membro applica le disposizioni nazionali adottate per l’attuazione della presente direttiva al trattamento di dati personali:
a) effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro; qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile;
b) il cui responsabile non è stabilito nel territorio dello Stato membro, ma in un luogo in cui si applica la sua legislazione nazionale, a norma del diritto internazionale pubblico;
c) il cui responsabile, non stabilito nel territorio della Comunità, ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzati o non automatizzati, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio della Comunità europea.
2. Nella fattispecie di cui al paragrafo 1, lettera c), il responsabile del trattamento deve designare un rappresentante stabilito nel territorio di detto Stato membro, fatte salve le azioni che potrebbero essere promosse contro lo stesso responsabile del trattamento.
CAPO II
CONDIZIONI GENERALI DI LICEITÀ DEI TRATTAMENTI DI DATI PERSONALI
Articolo 5
v Gli Stati membri precisano, nei limiti delle disposizioni del presente capo, le condizioni alle quali i trattamenti di dati personali sono leciti.
SEZIONE I
PRINCIPI RELATIVI ALLA QUALITÀ DEI DATI
Articolo 6
1. Gli Stati membri dispongono che i dati personali devono essere:
a) trattati lealmente e lecitamente;
b) rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Il trattamento successivo dei dati per scopi storici, statistici o scientifici non è ritenuto incompatibile, purché gli Stati membri forniscano garanzie appropriate;
c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati;
d) esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalità per le quali sono rilevati o sono successivamente trattati, cancellati o rettificati;
e) conservati in modo da consentire l’identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati. Gli Stati membri prevedono garanzie adeguate per i dati personali conservati oltre il suddetto arco di tempo per motivi storici, statistici o scientifici.
2. Il responsabile del trattamento e tenuto a garantire il rispetto delle disposizioni del paragrafo 1.
SEZIONE II
PRINCIPI RELATIVI ALLA LEGITTIMAZIONE DEL TRATTAMENTO DEI DATI
Articolo 7
Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando:
a) la persona interessata ha manifestato il proprio consenso in maniera inequivocabile, oppure
b) è necessario all’esecuzione del contratto concluso con la persona interessata o all’esecuzione di misure precontrattuali prese su richiesta di tale persona, oppure
c) è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, oppure
d) è necessario per la salvaguardia dell’interesse vitale della persona interessata, oppure
e) è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il responsabile del trattamento o il terzo a cui vengono comunicati i dati, oppure
f) è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’articolo 1, paragrafo 1.
SEZIONE III
CATEGORIE PARTICOLARI DI TRATTAMENTI
Articolo 8
Trattamenti riguardanti categorie particolari di dati
1. Gli Stati membri vietano il trattamento di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale.
2. Il paragrafo 1 non si applica qualora:
a) la persona interessata abbia dato il proprio consenso esplicito a tale trattamento, salvo nei casi in cui la legislazione dello Stato membro preveda che il consenso della persona interessata non sia sufficiente per derogare al divieto di cui al paragrafo 1, oppure
b) il trattamento sia necessario, per assolvere gli obblighi e i diritti specifici del responsabile del trattamento in materia di diritto del lavoro, nella misura in cui il trattamento stesso sia autorizzato da norme nazionali che prevedono adeguate garanzie, oppure
c) il trattamento sia necessario per salvaguardare un interesse vitale della persona interessata o di un terzo nel caso in cui la persona interessata è nell’incapacità fisica o giuridica di dare il proprio consenso; o
d) il trattamento sia effettuato, con garanzie adeguate, da una fondazione, un’associazione o qualsiasi altro organismo che non persegua scopi di lucro e rivesta carattere politico, filosofico, religioso o sindacale, nell’ambito del suo scopo lecito e a condizione che riguardi unicamente i suoi membri o le persone che abbiano contatti regolari con la fondazione, l’associazione o l’organismo a motivo del suo oggetto e che i dati non vengano comunicati a terzi senza il consenso delle persone interessate; o
e) il trattamento riguardi dati resi manifestamente pubblici dalla persona interessata o sia necessario per costituire, esercitare o difendere un diritto per via giudiziaria.
3. Il paragrafo 1 non si applica quando il trattamento dei dati è necessario alla prevenzione o alla diagnostica medica, alla somministrazione di cure o alla gestione di centri di cura e quando il trattamento dei medesimi dati viene effettuato da un professionista in campo sanitario soggetto al segreto professionale sancito dalla legislazione nazionale, comprese le norme stabilite dagli organi nazionali competenti, o da un’altra persona egualmente soggetta a un obbligo di segreto equivalente.
4. Purché siano previste le opportune garanzie, gli Stati membri possono, per motivi di interesse pubblico rilevante, stabilire ulteriori deroghe oltre a quelle previste dal paragrafo 2 sulla base della legislazione nazionale o di una decisione dell’autorità di controllo.
5. I trattamenti riguardanti i dati relativi alle infrazioni, alle condanne penali o alle misure di sicurezza possono essere effettuati solo sotto controllo dell’autorità pubblica, o se vengono fornite opportune garanzie specifiche, sulla base del diritto nazionale, fatte salve le deroghe che possono essere fissate dallo Stato membro in base ad una disposizione nazionale che preveda garanzie appropriate e specifiche. Tuttavia un registro completo delle condanne penali può essere tenuto solo sotto il controllo dell’autorità pubblica.
Gli Stati membri possono prevedere che i trattamenti di dati riguardanti sanzioni amministrative o procedimenti civili siano ugualmente effettuati sotto controllo dell’autorità pubblica.
6. Le deroghe al paragrafo 1 di cui ai paragrafi 4 e 5 sono notificate alla Commissione.
7. Gli Stati membri determinano a quali condizioni un numero nazionale di identificazione o qualsiasi altro mezzo identificativo di portata generale può essere oggetto di trattamento.
Articolo 9
Trattamento di dati personali e libertà d’espressione
Gli Stati membri prevedono, per il trattamento di dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria, le esenzioni o le deroghe alle disposizioni del presente capo e dei capi IV e VI solo qualora si rivelino necessarie per conciliare il diritto alla vita privata con le norme sulla libertà d’espressione.
SEZIONE IV
INFORMAZIONE DELLA PERSONA INTERESSATA
Articolo 10
Informazione in caso di raccolta dei dati presso la persona interessata
Gli Stati membri dispongono che il responsabile del trattamento, o il suo rappresentante, debba fornire alla persona presso la quale effettua la raccolta dei dati che la riguardano almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata:
a) l’identità del responsabile del trattamento ed eventualmente del suo rappresentante;
b) le finalità del trattamento cui sono destinati i dati;
c) ulteriori informazioni riguardanti quanto segue:
– i destinatari o le categorie di destinatari dei dati,
– se rispondere alle domande è obbligatorio o volontario, nonché le possibili conseguenze di una mancata risposta,
– se esistono diritti di accesso ai dati e di rettifica in merito ai dati che la riguardano
nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronto della persona interessata.
Articolo 11
Informazione in caso di dati non raccolti presso la persona interessata
1. In caso di dati non raccolti presso la persona interessata, gli Stati membri dispongono che, al momento della registrazione dei dati o qualora sia prevista una comunicazione dei dati a un terzo, al più tardi all’atto della prima comunicazione dei medesimi, il responsabile del trattamento o il suo rappresentante debba fornire alla persona interessata almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata:
a) l’identità del responsabile del trattamento ed eventualmente del suo rappresentante,
b) le finalità del trattamento,
c) ulteriori informazioni riguardanti quanto segue:
– le categorie di dati interessate,
– i destinatari o le categorie di destinatari dei dati,
– se esiste un diritto di accesso ai dati e di rettifica in merito ai dati che la riguardano,
nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronti della persona interessata.
2. Le disposizioni del paragrafo 1 non si applicano quando, in particolare nel trattamento di dati a scopi statistici, o di ricerca storica o scientifica, l’informazione della persona interessata si rivela impossibile o richiede sforzi sproporzionati o la registrazione o la comunicazione è prescritta per legge. In questi casi gli Stati membri prevedono garanzie appropriate.
SEZIONE V
DIRITTO DI ACCESSO AI DATI DA PARTE DELLA PERSONA INTERESSATA
Articolo 12
Diritto di accesso
Gli Stati membri garantiscono a qualsiasi persona interessata il diritto di ottenere dal responsabile del trattamento:
a) liberamente e senza costrizione, ad intervalli ragionevoli e senza ritardi o spese eccessivi:
– la conferma dell’esistenza o meno di trattamenti di dati che la riguardano, e l’informazione almeno sulle finalità dei trattamenti, sulle categorie di dati trattati, sui destinatari o sulle categorie di destinatari cui sono comunicati i dati;
– la comunicazione in forma intelligibile dei dati che sono oggetto dei trattamenti, nonché di tutte le informazioni disponibili sull’origine dei dati;
– la conoscenza della logica applicata nei trattamenti automatizzati dei dati che lo interessano, per lo meno nel caso delle decisioni automatizzate di cui all’articolo 15, paragrafo 1;
b) a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni della presente direttiva, in particolare a causa del carattere incompleto o inesatto dei dati;
c) la notificazione ai terzi, ai quali sono stati comunicati i dati, di qualsiasi rettifica, cancellazione o congelamento, effettuati conformemente alla lettera b), se non si dimostra che è impossibile o implica uno sforzo sproporzionato.
SEZIONE VI
DEROGHE E RESTRIZIONI
Articolo 13
Deroghe e restrizioni
1. Gli Stati membri possono adottare disposizioni legislative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell’articolo 6, paragrafo 1, dell’articolo 10, dell’articolo 11, paragrafo 1 e degli articoli 12 e 21, qualora tale restrizione costituisca una misura necessaria alla salvaguardia:
a) della sicurezza dello Stato;
b) della difesa;
c) della pubblica sicurezza;
d) della prevenzione, della ricerca, dell’accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate;
e) di un rilevante interesse economico o finanziario di uno Stato membro o dell’Unione europea, anche in materia monetaria, di bilancio e tributaria;
f) di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente, con l’esercizio dei pubblici poteri nei casi di cui alle lettere c), d) ed e);
g) della protezione della persona interessata o dei diritti e delle libertà altrui.
2. Fatte salve garanzie legali appropriate, che escludano in particolare che i dati possano essere utilizzati a fini di misure o di specifiche decisioni che si riferiscono a persone, gli Stati membri possono, nel caso in cui non sussista manifestamente alcun rischio di pregiudizio alla vita privata della persona interessata, limitare con un provvedimento legislativo i diritti di cui all’articolo 13 qualora i dati siano trattati esclusivamente ai fini della ricerca scientifica o siano memorizzati sotto forma di dati personali per un periodo che non superi quello necessario alla sola finalità di elaborazione delle statistiche.
SEZIONE VII
DIRITTO DI OPPOSIZIONE DELLA PERSONA INTERESSATA
Articolo 14
Diritto di opposizione della persona interessata
Gli Stati membri riconoscono alla persona interessata il diritto:
a) almeno nei casi di cui all’articolo 7, lettere e) e f), di opporsi in qualsiasi momento, per motivi preminenti e legittimi, derivanti dalla sua situazione particolare, al trattamento di dati che la riguardano, salvo disposizione contraria prevista dalla normativa nazionale. In caso di opposizione giustificata il trattamento effettuato dal responsabile non può più riguardare tali dati;
b) di opporsi, su richiesta e gratuitamente, al trattamento dei dati personali che la riguardano previsto dal responsabile del trattamento a fini di invio di materiale pubblicitario ovvero di essere informata prima che i dati personali siano, per la prima volta, comunicati a terzi o utilizzati per conto di terzi, a fini di invio di materiale pubblicitario; la persona interessata deve essere informata in modo esplicito del diritto di cui gode di opporsi gratuitamente alla comunicazione o all’utilizzo di cui sopra.
Gli Stati membri prendono le misure necessarie per garantire che le persone interessate siano a conoscenza che esiste il diritto di cui al primo comma della lettera b).
Articolo 15
Decisioni individuali automatizzate
1. Gli Stati membri riconoscono a qualsiasi persona il diritto di non essere sottoposta ad una decisione che produca effetti giuridici o abbia effetti significativi nei suoi confronti fondata esclusivamente su un trattamento automatizzato di dati destinati a valutare taluni aspetti della sua personalità, quali il rendimento professionale, il credito, l’affidabilità, il comportamento, ecc.
2. Gli Stati membri dispongono, salve le altre disposizioni della presente direttiva, che una persona può essere sottoposta a una decisione di cui al paragrafo 1, qualora una tale decisione:
a) sia presa nel contesto della conclusione o dell’esecuzione di un contratto, a condizione che la domanda relativa alla conclusione o all’esecuzione del contratto, presentata dalla persona interessata sia stata accolta, oppure che misure adeguate, fra le quali la possibilità di far valere il proprio punto di vista garantiscano la salvaguardia del suo interesse legittimo, oppure
b) sia autorizzata da una legge che precisi i provvedimenti atti a salvaguardare un interesse legittimo della persona interessata.
SEZIONE VIII
RISERVATEZZA E SICUREZZA DEI TRATTAMENTI
Articolo 16
Riservatezza dei trattamenti
L’incaricato del trattamento o chiunque agisca sotto la sua autorità o sotto quella del responsabile del trattamento non deve elaborare i dati personali ai quali ha accesso, se non dietro istruzione del responsabile del trattamento oppure in virtù di obblighi legali.
Articolo 17
Sicurezza dei trattamenti
1. Gli Stati membri dispongono che il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali.
Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell’applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere.
2. Gli Stati membri dispongono che il responsabile del trattamento, quando quest’ultimo sia eseguito per suo conto, deve scegliere un incaricato del trattamento che presenti garanzie sufficienti in merito alle misure di sicurezza tecnica e di organizzazione dei trattamenti da effettuare e deve assicurarsi del rispetto di tali misure.
3. L’esecuzione dei trattamenti su commissione deve essere disciplinata da un contratto o da un atto giuridico che vincoli l’incaricato del trattamento al responsabile del trattamento e che preveda segnatamente:
– che l’incaricato del trattamento operi soltanto su istruzioni del responsabile del trattamento;
– che gli obblighi di cui al paragrafo 1, quali sono definiti dalla legislazione dello Stato membro nel quale è stabilito l’incaricato del trattamento, vincolino anche quest’ultimo.
4. A fini di conservazione delle prove, gli elementi del contratto o dell’atto giuridico relativi alla protezione dei dati e i requisiti concernenti le misure di cui al paragrafo 1 sono stipulati per iscritto o in altra forma equivalente.
SEZIONE IX
NOTIFICAZIONE
Articolo 18
Obbligo di notificazione all’autorità di controllo
1. Gli Stati membri prevedono un obbligo di notificazione a carico del responsabile del trattamento, od eventualmente del suo rappresentante, presso l’autorità di controllo di cui all’articolo 30, prima di procedere alla realizzazione di un trattamento, o di un insieme di trattamenti, interamente o parzialmente automatizzato, destinato al conseguimento di una o più finalità correlate.
2. Gli Stati membri possono prevedere una semplificazione o l’esonero dall’obbligo di notificazione soltanto nei casi e alle condizioni seguenti:
– qualora si tratti di categorie di trattamento che, in considerazione dei dati oggetto di trattamento, non siano tali da recare pregiudizio ai diritti e alle libertà della persona interessata, essi precisano le finalità dei trattamenti, i dati o le categorie dei dati trattati, la categoria o le categorie di persone interessate, i destinatari o le categorie di destinatari cui sono comunicati i dati e il periodo di conservazione dei dati, e/o
– qualora il responsabile del trattamento designi, conformemente alla legislazione nazionale applicabile, un incaricato della protezione dei dati, a cui è demandato in particolare:
– di assicurare in maniera indipendente l’applicazione interna delle disposizioni nazionali di attuazione della presente direttiva;
– di tenere un registro dei trattamenti effettuati dal responsabile del trattamento in cui figurino le informazioni di cui all’articolo 21, paragrafo 2, garantendo in tal modo che il trattamento non sia tale da recare pregiudizio ai diritti e alle libertà della persona interessata.
3. Gli Stati membri possono prevedere che le disposizioni del paragrafo 1 non si applichino ai trattamenti la cui unica finalità è la compilazione di registri i quali, in forza di disposizioni legislative o regolamentari, siano predisposti per l’informazione del pubblico e siano aperti alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo.
4. Gli Stati membri possono prevedere una deroga all’obbligo della notificazione o una semplificazione della notificazione per i trattamenti di cui all’articolo 8, paragrafo 2, lettera d).
5. Gli Stati membri possono prevedere che i trattamenti non automatizzati di dati personali, o alcuni di essi, siano oggetto di una notificazione eventualmente semplificata.
Articolo 19
Oggetto della notificazione
1. Gli Stati membri definiscono le informazioni che devono essere contenute nella notificazione. Esse comprendono almeno:
a) il nome e l’indirizzo del responsabile del trattamento e, eventualmente, del suo rappresentante;
b) la o le finalità del trattamento;
c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime;
d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
e) i trasferimenti di dati previsti verso paesi terzi;
f) una descrizione generale che permetta di valutare in via preliminare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento in applicazione dell’articolo 17.
2. Gli Stati membri precisano le modalità di notificazione all’autorità di controllo dei mutamenti relativi alle informazioni di cui al paragrafo 1.
Articolo 20
Controllo preliminare
1. Gli Stati membri precisano i trattamenti che potenzialmente presentano rischi specifici per i diritti e le libertà delle persone e provvedono a che tali trattamenti siano esaminati prima della loro messa in opera.
2. Tali esami preliminari sono effettuati dall’autorità di controllo una volta ricevuta la notificazione del responsabile del trattamento, oppure dalla persona incaricata della protezione dei dati che, nei casi dubbi, deve consultare l’autorità di controllo medesima.
3. Gli Stati membri possono effettuare tale esame anche durante il processo di elaborazione di un provvedimento del Parlamento nazionale, o in base ad un provvedimento fondato su siffatto provvedimento legislativo, in cui si definisce il tipo di trattamento e si stabiliscono appropriate garanzie.
Articolo 21
Pubblicità dei trattamenti
1. Gli Stati membri adottano misure intese ad assicurare la pubblicità dei trattamenti.
2. Gli Stati membri devono prevedere che l’autorità di controllo tenga un registro dei trattamenti notificati in virtù dell’articolo 18.
Il registro riprende almeno le informazioni enumerate all’articolo 19, paragrafo 1, lettere da a) a e).
Il registro può essere consultato da chiunque.
3. Gli Stati membri prevedono che i responsabili dei trattamenti o un altro organismo designato dagli Stati membri comunichino nelle opportune forme, a chiunque ne faccia richiesta, almeno le informazioni di cui all’articolo 19, paragrafo 1, lettere da a) a e), relative ai trattamenti esenti da notificazione.
Gli Stati membri possono prevedere che questa disposizione non si applichi ai trattamenti la cui unica finalità è la compilazione di registri i quali, in forza di disposizioni legislative o regolamentari, siano predisposti per l’informazione del pubblico e siano aperti alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo.
CAPO III
RICORSI GIURISDIZIONALI, RESPONSABILITÀ E SANZIONI
Articolo 22
Ricorsi
Fatti salvi ricorsi amministrativi che possono essere promossi, segnatamente dinanzi all’autorità di controllo di cui all’articolo 28, prima che sia adita l’autorità giudiziaria, gli Stati membri stabiliscono che chiunque possa disporre di un ricorso giurisdizionale in caso di violazione dei diritti garantitigli dalle disposizioni nazionali appicabili al trattamento in questione.
Articolo 23
Responsabilità
1. Gli Stati membri dispongono che chiunque subisca un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni nazionali di attuazione della presente direttiva abbia il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento.
2. Il responsabile del trattamento può essere esonerato in tutto o in parte da tale responsabilità se prova che l’evento dannoso non gli è imputabile.
Articolo 24
Sanzioni
Gli Stati membri adottano le misure appropriate per garantire la piena applicazione delle disposizioni della presente direttiva e in particolare stabiliscono le sanzioni da applicare in caso di violazione delle disposizioni di attuazione della presente direttiva.
CAPO IV
TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI
Articolo 25
Principi
1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.
2. L’adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d’origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate.
3. Gli Stati membri e la Commissione si comunicano a vicenda i casi in cui, a loro parere, un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2.
4. Qualora la Commissione constati, secondo la procedura dell’articolo 31, paragrafo 2, che un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, gli Stati membri adottano le misure necessarie per impedire ogni trasferimento di dati della stessa natura verso il paese terzo in questione.
5. La Commissione avvia, al momento opportuno, negoziati per porre rimedio alla situazione risultante dalla constatazione di cui al paragrafo 4.
6. La Commissione può constatare, secondo la procedura di cui all’articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona.
Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.
Articolo 26
Deroghe
1. In deroga all’articolo 25 e fatte salve eventuali disposizioni contrarie della legislazione nazionale per casi specifici, gli Stati membri dispongono che un trasferimento di dati personali verso un paese terzo che non garantisce una tutela adeguata ai sensi del’articolo 25, paragrafo 2 può avvenire a condizione che:
a) la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto, oppure
b) il trasferimento sia necessario per l’esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento o per l’esecuzione di misure precontrattuali prese a richiesta di questa, oppure
c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto, concluso o da concludere nell’interesse della persona interessata, tra il responsabile del trattamento e un terzo, oppure
d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, esercitare o difendere un diritto per via giudiziaria, oppure
e) il trasferimento sia necessario per la salvaguardia dell’interesse vitale della persona interessata, oppure
f) il trasferimento avvenga a partire da un registro pubblico il quale, in forza di disposizioni legislative o regolamentari, sia predisposto per l’informazione del pubblico e sia aperto alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo, nella misura in cui nel caso specifico siano rispettate le condizioni che la legge prevede per la consultazione.
2. Salvo il disposto del paragrafo 1, uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell’articolo 25, paragrafo 2, qualora il responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi; tali garanzie possono segnatamente risultare da clausole contrattuali appropriate.
3. Lo Stato membro informa la Commissione e gli altri Stati membri in merito alle autorizzazioni concesse a norma del paragrafo 2.
In caso di opposizione notificata da un altro Stato membro o dalla Commissione, debitamente motivata sotto l’aspetto della tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, la Commissione adotta le misure appropriate secondo la procedura di cui all’articolo 31, paragrafo 2.
Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.
4. Qualora la Commissione decida, secondo la procedura di cui all’articolo 31, paragrafo 2, che alcune clausole contrattuali tipo offrono le garanzie sufficienti di cui al paragrafo 2, gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.
CAPO V
CODICI DI CONDOTTA
Articolo 27
1. Gli Stati membri e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire, in funzione delle specificità settoriali, alla corretta applicazione delle disposizioni nazionali di attuazione della presente direttiva, adottate dagli Stati membri.
2. Gli Stati membri dispongono che le associazioni professionali e gli altri organismi rappresentanti altre categorie di responsabili del trattamento, che hanno elaborato i progetti di codice nazionali o intendono modificare o prorogare i codici nazionali esistenti, possano sottoporli all’esame dell’autorità nazionale.
Gli Stati membri prevedono che tale autorità accerti, in particolare, la conformità dei progetti che le sono sottoposti alle disposizioni nazionali di attuazione della presente direttiva. Qualora lo ritenga opportuno, l’autorità nazionale raccoglie le osservazioni delle persone interessate o dei loro rappresentanti.
3. I progetti di codici comunitari, nonché le modifiche o proroghe di codici comunitari esistenti, possono essere sottoposti al gruppo di cui all’articolo 29, il quale si pronuncia, in particolare, sulla conformità dei progetti che gli sono sottoposti alle disposizioni nazionali di attuazione della presente direttiva.
Qualora lo ritenga opportuno, esso raccoglie le osservazioni delle persone interessate o dei loro rappresentanti.
La Commissione può provvedere ad un’appropriata divulgazione dei codici che sono stati approvati dal gruppo.
CAPO VI
AUTORITÀ DI CONTROLLO E GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI
Articolo 28
Autorità di controllo
1. Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri.
Tali autorità sono pienamente indipendenti nell’esercizio delle funzioni loro attribuite.
2. Ciascuno Stato membro dispone che le autorità di controllo siano consultate al momento dell’elaborazione delle misure regolamentari o amministrative relative alla tutela dei diritti e delle libertà della persona con riguardo al trattamento dei dati personali.
3. Ogni autorità di controllo dispone in particolare:
– di poteri investigativi, come il diritto di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi informazione necessaria all’esercizio della sua funzione di controllo;
– di poteri effettivi d’intervento, come quello di formulare pareri prima dell’avvio di trattamenti, conformemente all’articolo 20, e di dar loro adeguata pubblicità o quello di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un monito al responsabile del trattamento o quello di adire i Parlamenti o altre istituzioni politiche nazionali;
– del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva ovvero di adire per dette violazioni le autorità giudiziarie.
È possibile un ricorso giurisdizionale avverso le decisioni dell’autorità di controllo recanti pregiudizio.
4. Qualsiasi persona, o associazione che la rappresenti, può presentare a un’autorità di controllo una domanda relativa alla tutela dei suoi diritti e libertà con riguardo al trattamento di dati personali. La persona interessata viene informata del seguito dato alla sua domanda.
Qualsiasi persona può, in particolare, chiedere a un’autorità di controllo di verificare la liceità di un trattamento quando si applicano le disposizioni nazionali adottate a norma dell’articolo 13 della presente direttiva. La persona viene ad ogni modo informata che una verifica ha avuto luogo.
5. Ogni autorità di controllo elabora a intervalli regolari una relazione sulla sua attività. La relazione viene pubblicata.
6. Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro.
Le autorità di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile.
7. Gli Stati membri dispongono che i membri e gli agenti delle autorità di controllo sono soggetti, anche dopo la cessazione delle attività, all’obbligo del segreto professionale in merito alle informazioni riservate cui hanno accesso.
Articolo 29
Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali
1. È istituito un gruppo per la tutela della persone con riguardo al trattamento dei dati personali, in appresso denominato «il gruppo». Il gruppo ha carattere consultivo e indipendente.
2. Il gruppo è composto da un rappresentante della o delle autorità di controllo designate da ciascuno Stato membro e da un rappresentante della o delle autorità create per le istituzioni e gli organismi comunitari, nonché da un rappresentante della Commissione.
Ogni membro del gruppo è designato dall’istituzione oppure dalla o dalle autorità che rappresenta. Qualora uno Stato membro abbia designato più autorità di controllo, queste procedono alla nomina di un rappresentante comune.
Lo stesso vale per le autorità create per le istituzioni e gli organismi comunitari.
3. Il gruppo adotta le sue decisioni alla maggioranza semplice dei rappresentanti delle autorità di controllo.
4. Il gruppo elegge il proprio presidente. La durata del mandato del presidente è di due anni. Il mandato è rinnovabile.
5. Al segretariato del gruppo provvede la Commissione.
6. Il gruppo adotta il proprio regolamento interno.
7. Il gruppo esamina le questioni iscritte all’ordine del giorno dal suo presidente, su iniziativa di questo o su richiesta di un rappresentante delle autorità di controllo oppure su richiesta della Commissione.
Articolo 30
1. Il gruppo ha i seguenti compiti:
a) esaminare ogni questione attinente all’applicazione delle norme nazionali di attuazione della presente direttiva per contribuire alla loro applicazione omogenea;
b) formulare, ad uso della Commissione, un parere sul livello di tutela nella Comunità e nei paesi terzi;
c) consigliare la Commissione in merito a ogni progetto di modifica della presente direttiva, ogni progetto di misure addizionali o specifiche da prendere ai fini della tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di dati personali, nonché in merito a qualsiasi altro progetto di misure comunitarie che incidano su tali diritti e libertà;
d) formulare un parere sui codici di condotta elaborati a livello comunitario.
2. Il gruppo, qualora constati che tra le legislazioni o prassi degli Stati membri si manifestano divergenze che possano pregiudicare l’equivalenza della tutela delle persone in materia di trattamento dei dati personali nella Comunità, ne informa la Commissione.
3. Il gruppo può formulare di propria iniziativa raccomandazioni su qualsiasi questione riguardante la tutela delle persone nei confronti del trattamento di dati personali nella Comunità.
4. I pareri e le raccomandazioni del gruppo vengono trasmessi alla Commissione e al comitato di cui all’articolo 31.
5. La Commissione informa il gruppo del seguito da essa dato ai pareri e alle raccomandazioni. A tal fine redige una relazione che viene trasmessa anche al Parlamento europeo e al Consiglio. La relazione è oggetto di pubblicazione.
6. Il gruppo redige una relazione annuale sullo stato della tutela delle persone fisiche con riguardo al trattamento dei dati personali nella Comunità e nei paesi terzi e la trasmette alla Commissione, al Parlamento europeo e al Consiglio. La relazione è oggetto di pubblicazione.
CAPO VII
MISURE COMUNITARIE D’ESECUZIONE
Articolo 31
Comitato
1. La Commissione è assistita da un comitato composto dai rappresentanti degli Stati membri e presieduto dal rappresentante della Commissione.
2. Il rappresentante della Commissione sottopone al comitato un progetto delle misure da adottare. Il comitato, entro un termine che il presidente può fissare in funzione dell’urgenza della questione in esame, formula il suo parere sul progetto.
Il parere è formulato alla maggioranza prevista all’articolo 148, paragrafo 2 del trattato. Nelle votazioni in seno al comitato, ai voti dei rappresentanti degli Stati membri è attribuita la ponderazione fissata nell’articolo precitato. Il presidente non partecipa al voto.
La Commissione adotta misure che sono applicabili immediatamente. Tuttavia, se queste misure non sono conformi al parere del comitato saranno subito comunicate dalla Commissione al Consiglio. In tal caso:
– la Commissione rinvia l’applicazione delle misure da essa decise per un periodo di tre mesi, a decorrere dalla data della comunicazione;
– il Consiglio, deliberando a maggioranza qualificata, può prendere una decisione diversa entro il termine di cui al comma precedente.
DISPOSIZIONI FINALI
Articolo 32
1. Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari ed amministrative necessarie per conformarsi alla presente direttiva al più tardi alla scadenza del terzo anno successivo alla sua adozione.
Quando gli Stati membri adottano tali disposizioni, queste contengono un riferimento alla presente direttiva o sono corredate da un siffatto riferimento all’atto della pubblicazione ufficiale. Le modalità di tale riferimento sono decise dagli Stati membri.
2. Gli Stati membri provvedono affinché i trattamenti avviati prima della data di entrata in vigore delle disposizioni nazionali di attuazione della presente direttiva si conformino a dette disposizioni entro i tre anni successivi alla data summenzionata.
In deroga al comma precedente, gli Stati membri possono prevedere che, per quanto riguarda gli articoli 6, 7 ed 8, la messa in conformità dei trattamenti di dati già contenuti in archivi manuali alla data dell’entrata in vigore delle disposizioni nazionali di attuazione della presente direttiva sia effettuata man mano che si procede a successive operazioni di trattamento di tali dati, diverse dalla semplice memorizzazione.
Questa messa in conformità deve, tuttavia, essere terminata entro il dodicesimo anno a decorrere dalla data di adozione della presente direttiva.
Gli Stati membri consentono comunque alla persona interessata di ottenere a sua richiesta e in particolare in sede di esercizio del diritto di accesso, la rettifica, la cancellazione o il congelamento dei dati incompleti, inesatti o conservati in modo incompatibile con i fini legittimi perseguiti dal responsabile del trattamento.
3. In deroga al paragrafo 2, gli Stati membri possono prevedere, con riserva di garanzie adeguate, che i dati conservati esclusivamente per ricerche storiche non siano resi conformi alle disposizioni degli articoli 6, 7 e 8 della presente direttiva.
4. Gi Stati membri comunicano alla Commissione le disposizioni di diritto interno che adottano nel settore disciplinato dalla presente direttiva.
Articolo 33
La Commissione presenta periodicamente al Consiglio e al Parlamento europeo, per la prima volta entro tre anni dalla data di cui all’articolo 32, paragrafo 1, una relazione sull’applicazione della presente direttiva, accompagnata, se del caso, dalle opportune proposte di modifica.
La relazione è oggetto di pubblicazione.
La Commissione esaminerà in particolare l’applicazione della presente direttiva al trattamento dei dati sotto forma di suoni o immagini relativi a persone fisiche e presenterà le eventuali proposte necessarie, tenuto conto dell’evoluzione della tecnologia dell’informazione e alla luce dei progressi della società dell’informazione.
Articolo 34
Gli Stati membri sono destinatari della presente direttiva.
____________
Fatto a Lussemburgo, addì 24 ottobre 1995.
Per il Parlamento europeo
Il Presidente K. HAENSCH
Per il Consiglio
Il Presidente L. ATIENZA SERNA
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte