Procedura : 2012/0011(COD)
Ciclo di vita in Aula
Ciclo del documento : A7-0402/2013

Testi presentati :

A7-0402/2013

Discussioni :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Votazioni :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5

Testi approvati :


RELAZIONE     ***I
PDF 3412kWORD 4597k
22 novembre 2013
PE 501.927v05-00 A7-0402/2013

sulla proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Commissione per le libertà civili, la giustizia e gli affari interni

Relatore: Jan Philipp Albrecht

EMENDAMENTI
PROGETTO DI RISOLUZIONE LEGISLATIVA DEL PARLAMENTO EUROPEO
 MOTIVAZIONE
 PARERE della commissione per l'occupazione e gli affari sociali
 PARERE della commissione per l'industria, la ricerca e l'energia
 PARERE della commissione per il mercato interno e la protezione dei consumatori
 PARERE della commissione giuridica
 PROCEDURA

PROGETTO DI RISOLUZIONE LEGISLATIVA DEL PARLAMENTO EUROPEO

sulla proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Procedura legislativa ordinaria: prima lettura)

Il Parlamento europeo,

–   vista la proposta della Commissione al Parlamento e al Consiglio (COM(2012)0011),

–   visti l'articolo 294, paragrafo 2, l'articolo 16, paragrafo 2, e l'articolo 114, paragrafo 1, del trattato sul funzionamento dell'Unione europea, a norma dei quali la proposta gli è stata presentata dalla Commissione (C7-0025/2012),

–   visto l'articolo 294, paragrafo 3, del trattato sul funzionamento dell'Unione europea,

–   visti i pareri motivati presentati, nel quadro del protocollo n. 2 sull'applicazione dei principi di sussidiarietà e di proporzionalità, dalla Camera dei rappresentanti belga, dal Bundesrat tedesco, dal Senato francese, dalla Camera dei deputati italiana e dal Parlamento svedese, ove si afferma che il progetto di atto legislativo non è conforme al principio di sussidiarietà,

–   visto il parere del Comitato economico e sociale europeo del 23 maggio 2012(1),

–   previa consultazione del Comitato delle regioni,

–   visto il parere del Garante europeo della protezione dei dati del 7 marzo 2012,

–   visto il parere dell'Agenzia dell'Unione europea per i diritti fondamentali del 1° ottobre 2012,

–   visto l'articolo 55 del suo regolamento,

–   visti la relazione della commissione per le libertà civili, la giustizia e gli affari interni e i pareri della commissione per l'occupazione e gli affari sociali, della commissione per l'industria, la ricerca e l'energia, della commissione per il mercato interno e la protezione dei consumatori e della commissione giuridica (A7-0402/2013),

1.  adotta la posizione in prima lettura figurante in appresso;

2.  chiede alla Commissione di presentargli nuovamente la proposta qualora intenda modificarla sostanzialmente o sostituirla con un nuovo testo;

3.  incarica il suo Presidente di trasmettere la posizione del Parlamento al Consiglio e alla Commissione nonché ai parlamenti nazionali.

Emendamento  1

Proposta di regolamento

Considerando 14

Testo della Commissione

Emendamento

(14) Il presente regolamento non si applica a questioni di tutela dei diritti e delle libertà fondamentali o di libera circolazione dei dati riferite ad attività che non rientrano nell'ambito di applicazione del diritto dell'Unione europea, né si applica al trattamento dei dati personali effettuato da istituzioni, organi, uffici e agenzie dell'Unione, che sono soggetti al regolamento (CE) n. 45/200144, e nemmeno al trattamento effettuato dagli Stati membri nell'esercizio di attività relative alla politica estera e di sicurezza comune dell'Unione.

(14) Il presente regolamento non si applica a questioni di tutela dei diritti e delle libertà fondamentali o di libera circolazione dei dati riferite ad attività che non rientrano nell'ambito di applicazione del diritto dell'Unione europea. È opportuno che il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio1 sia allineato al presente regolamento e sia applicato in conformità dello stesso.

____________

______________

44 GU L 8 del 12.1.2001, pag. 1.

1 Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

Emendamento  2

Proposta di regolamento

Considerando 15

Testo della Commissione

Emendamento

(15) Il presente regolamento non deve applicarsi al trattamento di dati personali effettuato da una persona fisica nell'ambito di attività esclusivamente personali o domestiche, quali la corrispondenza e gli indirizzari, e senza scopo di lucro, vale a dire senza alcuna connessione con un'attività commerciale o professionale. Tale deroga non deve valere per i responsabili del trattamento o gli incaricati del trattamento che forniscono i mezzi per trattare dati personali nell'ambito di tali attività personali o domestiche.

(15) Il presente regolamento non deve applicarsi al trattamento di dati personali effettuato da una persona fisica nell'ambito di attività esclusivamente personali, di natura familiare o domestiche, quali la corrispondenza e gli indirizzari o una vendita tra privati, e senza alcuna connessione con un'attività commerciale o professionale. Tuttavia, il presente regolamento deve valere per i responsabili del trattamento o gli incaricati del trattamento che forniscono i mezzi per trattare dati personali nell'ambito di tali attività personali o domestiche.

Emendamento  3

Proposta di regolamento

Considerando 18

Testo della Commissione

Emendamento

(18) Il presente regolamento ammette, nell'applicazione delle sue disposizioni, che si tenga conto del principio del pubblico accesso ai documenti ufficiali.

(18) Il presente regolamento ammette, nell'applicazione delle sue disposizioni, che si tenga conto del principio del pubblico accesso ai documenti ufficiali. I dati personali contenuti in documenti conservati da un'autorità pubblica o da un organismo pubblico possono essere divulgati da tale autorità o organismo in conformità della legislazione dell'Unione o di uno Stato membro in materia di accesso del pubblico ai documenti ufficiali, che concilia il diritto alla protezione dei dati con il diritto dell'accesso pubblico ai documenti ufficiali e costituisce un'equa ponderazione dei vari interessi coinvolti.

Emendamento  4

Proposta di regolamento

Considerando 20

Testo della Commissione

Emendamento

(20) Onde evitare che una persona venga privata della tutela cui ha diritto in base al presente regolamento, è necessario che questo disciplini anche il trattamento dei dati personali di residenti nell'Unione effettuato da un responsabile del trattamento non stabilito nell'Unione, quando le attività di trattamento sono finalizzate all'offerta di beni o servizi a dette persone o al controllo del loro comportamento.

(20) Onde evitare che una persona venga privata della tutela cui ha diritto in base al presente regolamento, è necessario che questo disciplini anche il trattamento dei dati personali di residenti nell'Unione effettuato da un responsabile del trattamento non stabilito nell'Unione, quando le attività di trattamento sono finalizzate all'offerta di beni o servizi, a prescindere che siano legati a un pagamento o meno, a dette persone o al loro controllo. Per determinare se tale responsabile del trattamento stia offrendo beni o servizi a dette persone nell'Unione, occorre verificare se risulta che il responsabile del trattamento intenda fornire tali servizi ai residenti in uno o più Stati membri dell'Unione.

Emendamento  5

Proposta di regolamento

Considerando 21

Testo della Commissione

Emendamento

(21) Per stabilire se un'attività di trattamento sia assimilabile al "controllo del comportamento" dell'interessato, occorre verificare se le operazioni che questi esegue su Internet sono sottoposte a tecniche di trattamento dei dati volte alla "profilazione" dell'utente, in particolare per prendere decisioni che li riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.

(21) Per stabilire se un'attività di trattamento sia assimilabile al "controllo" dell'interessato, occorre verificare se le operazioni che questi esegue sono tracciate, a prescindere dall'origine dei dati, o se altri dati che lo riguardano sono raccolti, anche da registri pubblici e comunicazioni a livello dell'Unione accessibili al suo esterno, compreso il previsto utilizzo o il potenziale utilizzo successivo di tecniche di trattamento dei dati volte alla "profilazione", in particolare per prendere decisioni che lo riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.

 

Emendamento  6

Proposta di regolamento

Considerando 23

Testo della Commissione

Emendamento

(23) È necessario applicare i principi di protezione a tutte le informazioni relative ad una persona identificata o identificabile. Per stabilire l'identificabilità di una persona, è opportuno considerare tutti i mezzi di cui può ragionevolmente avvalersi il responsabile del trattamento o un terzo per identificare detta persona. Non è necessario applicare i principi di protezione ai dati resi sufficientemente anonimi da impedire l'identificazione dell'interessato.

(23) È necessario applicare i principi di protezione dei dati a tutte le informazioni relative ad una persona fisica identificata o identificabile. Per stabilire l'identificabilità di una persona, è opportuno considerare tutti i mezzi di cui può ragionevolmente avvalersi il responsabile del trattamento o un terzo per identificare o individuare detta persona direttamente o indirettamente. Per accertare la ragionevole probabilità che i mezzi siano utilizzati per identificare la persona, è opportuno prendere in considerazione tutti i fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento sia dello sviluppo tecnologico. Non è quindi necessario applicare i principi di protezione ai dati anonimi, vale a dire le informazioni che non riguardano una persona fisica identificata o identificabile. Il presente regolamento non si applica pertanto al trattamento di tali dati anonimi, anche per finalità statistiche e di ricerca.

Emendamento  7

Proposta di regolamento

Considerando 24

Testo della Commissione

Emendamento

(24) Navigando on line, accade che si sia associati a identificativi on line prodotti dai dispositivi, dalle applicazioni, dagli strumenti e protocolli utilizzati, quali gli indirizzi IP o i marcatori temporanei (cookies). Tali identificativi possono lasciare tracce che, combinate con altri identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili e identificare gli utenti. Ne consegue che numeri di identificazione, dati relativi all'ubicazione, identificativi on line o altri fattori specifici non debbano di per sé essere necessariamente considerati dati personali in tutte le circostanze.

(24) Occorre che il presente regolamento si applichi al trattamento di identificativi prodotti da dispositivi, applicazioni, strumenti e protocolli, quali gli indirizzi IP, i marcatori temporanei (cookies) e i tag di identificazione a radiofrequenza, salvo il caso in cui tali identificativi non si riferiscono a una persona fisica identificata o identificabile.

Emendamento  8

Proposta di regolamento

Considerando 25

Testo della Commissione

Emendamento

(25) Il consenso dovrebbe essere prestato esplicitamente con qualsiasi modalità appropriata che permetta all'interessato di manifestare una volontà libera, specifica e informata, mediante dichiarazione o azione positiva inequivocabile da cui si evinca che consapevolmente acconsente al trattamento dei suoi dati personali, anche selezionando un'apposita casella in un sito Internet o con altra dichiarazione o comportamento che indichi chiaramente in questo contesto che accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il consenso tacito o passivo. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per lo stesso o gli stessi scopi. Se il consenso dell'interessato è richiesto con modalità elettronica, la richiesta deve essere chiara, concisa e non disturbare inutilmente il servizio per il quale è espresso.

(25) Il consenso dovrebbe essere prestato esplicitamente con qualsiasi modalità appropriata che permetta all'interessato di manifestare una volontà libera, specifica e informata, mediante dichiarazione o azione positiva inequivocabile che sia il risultato di una scelta, da cui si evinca che consapevolmente acconsente al trattamento dei suoi dati personali. Un'azione positiva inequivocabile potrebbe comprendere la selezione di un'apposita casella in un sito Internet o altra dichiarazione o comportamento che indichi chiaramente in questo contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il consenso tacito o passivo o il semplice utilizzo di un servizio. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per lo stesso o gli stessi scopi. Se il consenso dell'interessato è richiesto con modalità elettronica, la richiesta deve essere chiara, concisa e non disturbare inutilmente il servizio per il quale è espresso.

Emendamento  9

Proposta di regolamento

Considerando 29

Testo della Commissione

Emendamento

(29) I minori necessitano di una specifica protezione dei loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze, delle misure di protezione e dei loro diritti in relazione al trattamento dei dati personali. Per determinare chi è minore, è opportuno che il presente regolamento riprenda la definizione stabilita dalla convenzione delle Nazioni Unite sui diritti del fanciullo.

(29) I minori necessitano di una specifica protezione dei loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze, delle misure di protezione e dei loro diritti in relazione al trattamento dei dati personali. Qualora il trattamento dei dati sia basato consenso dell'interessato in relazione all'offerta di beni o servizi direttamente a un minore, è opportuno che il consenso sia espresso o autorizzato dal genitore o dal tutore legale del minore nel caso in cui il egli abbia un'età inferiore ai tredici anni. Se i destinatari previsti sono minori, è necessario utilizzare un linguaggio adeguato all'età. Occorre che continuino a essere applicabili altri criteri di legittimità del trattamento, quali i motivi di interesse pubblico, ad esempio per il trattamento nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore.

Emendamento  10

Proposta di regolamento

Considerando 31

Testo della Commissione

Emendamento

(31) Perché sia lecito il trattamento dati deve fondarsi sul consenso dell'interessato o su altra base legittima prevista per legge, dal presente regolamento o in altro atto legislativo dell'Unione o degli Stati membri, come indicato nel presente regolamento.

(31) Perché sia lecito il trattamento dati deve fondarsi sul consenso dell'interessato o su altra base legittima prevista per legge, dal presente regolamento o in altro atto legislativo dell'Unione o degli Stati membri, come indicato nel presente regolamento. Nel caso di un minore o di una persona priva di capacità giuridica, è opportuno che il pertinente diritto dell'Unione o dello Stato membro determini le condizioni alle quali il consenso è espresso o autorizzato da tale persona.

Emendamento  11

Proposta di regolamento

Considerando 32

Testo della Commissione

Emendamento

(32) Per i trattamenti basati sul consenso dell'interessato, dovrebbe incombere al responsabile del trattamento dimostrare che l'interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un'altra materia, occorrono garanzie che assicurino che l'interessato sia consapevole di esprimere un consenso e in qual misura.

(32) Per i trattamenti basati sul consenso dell'interessato, dovrebbe incombere al responsabile del trattamento dimostrare che l'interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un'altra materia, occorrono garanzie che assicurino che l'interessato sia consapevole di esprimere un consenso e in qual misura. Ai fini della conformità al principio della minimizzazione dei dati, l'onere della prova non deve essere interpretato come richiesta di accertamento dell'identità degli interessati, a meno che ciò non sia necessario. Analogamente a quanto avviene nell'ambito dei contratti di diritto civile (ad esempio direttiva 93/13/CEE del Consiglio1), è necessario che le politiche di protezione dei dati siano quanto più chiare e trasparenti possibile. Esse non dovrebbero contenere clausole nascoste o svantaggiose. Non è possibile esprimere il consenso per il trattamento dei dati personali di terzi.

 

1 Direttiva 93/13/CEE del Consiglio, del 5 aprile 1993, concernente le clausole abusive nei contratti stipulati con i consumatori (GU L 95 del 21.4.1993, pag. 29).

Emendamento  12

Proposta di regolamento

Considerando 33

Testo della Commissione

Emendamento

(33) Perché il consenso sia libero, occorre chiarire che non costituisce una valida base giuridica qualora l'interessato non sia in grado di operare una scelta autenticamente libera e non possa, pertanto, rifiutare o ritirare il consenso senza subire pregiudizio.

(33) Perché il consenso sia libero, occorre chiarire che non costituisce una valida base giuridica qualora l'interessato non sia in grado di operare una scelta autenticamente libera e non possa, pertanto, rifiutare o ritirare il consenso senza subire pregiudizio. Ciò vale specialmente se il responsabile del trattamento è un'autorità pubblica che può imporre un obbligo in forza dei suoi pubblici poteri; in tal caso, il consenso non può essere considerato libero. L'utilizzo di opzioni predefinite che l'interessato deve modificare per opporsi al trattamento dei dati, come le caselle preselezionate, non esprime il consenso libero. Il consenso al trattamento di dati personali supplementari non necessari ai fini della fornitura di un servizio non dovrebbe essere richiesto per poter fruire del servizio. L'eventuale revoca del consenso può consentire la cessazione o la mancata esecuzione di un servizio che dipenda dai dati. Se la conclusione dello scopo previsto non è chiara, occorre che il responsabile del trattamento a intervalli regolari fornisca all'interessato informazioni relative al trattamento e richieda una conferma del consenso.

Emendamento  13

Proposta di regolamento

Considerando 34

Testo della Commissione

Emendamento

(34) Il consenso non costituisce una valida base giuridica per il trattamento dei dati personali quando esiste un evidente squilibrio tra l'interessato e il responsabile del trattamento. Ciò avviene, in particolare, quando l'interessato si trova in situazione di dipendenza dal responsabile del trattamento, tra l'altro quando i dati personali di un dipendente sono trattati dal suo datore di lavoro nel contesto dei rapporti di lavoro. Se il responsabile del trattamento è un'autorità pubblica, vi è squilibrio soltanto nelle specifiche operazioni di trattamento in cui l'autorità pubblica può imporre un obbligo in forza dei suoi pubblici poteri; in tal caso, il consenso non può essere considerato libero, tenuto conto degli interessi dell'interessato.

soppresso

Emendamento  14

Proposta di regolamento

Considerando 36

Testo della Commissione

Emendamento

(36) È opportuno che il trattamento effettuato per adempiere un obbligo legale che incombe al responsabile del trattamento o necessario per l'esecuzione di un compito di interesse pubblico o per l'esercizio di pubblici poteri abbia una base giuridica tratta dal diritto dell'Unione o di uno Stato membro che soddisfi i requisiti della Carta dei diritti fondamentali dell'Unione europea per eventuali limitazione dei diritti e delle libertà. Spetta altresì al diritto dell'Unione o alle legislazioni nazionali stabilire se il responsabile del trattamento che esegue un compito di interesse pubblico o connesso all'esercizio di pubblici poteri debba essere una pubblica amministrazione o altra persona fisica o giuridica di diritto pubblico o privato, quale un'associazione professionale.

(36) È opportuno che il trattamento effettuato per adempiere un obbligo legale che incombe al responsabile del trattamento o necessario per l'esecuzione di un compito di interesse pubblico o per l'esercizio di pubblici poteri abbia una base giuridica tratta dal diritto dell'Unione o di uno Stato membro che soddisfi i requisiti della Carta dei diritti fondamentali dell'Unione europea per eventuali limitazioni dei diritti e delle libertà. Ciò dovrebbe includere altresì contratti collettivi la cui validità generale potrebbe essere riconosciuta nel quadro del diritto nazionale. Spetta altresì al diritto dell'Unione o alle legislazioni nazionali stabilire se il responsabile del trattamento che esegue un compito di interesse pubblico o connesso all'esercizio di pubblici poteri debba essere una pubblica amministrazione o altra persona fisica o giuridica di diritto pubblico o privato, quale un'associazione professionale.

Emendamento  15

Proposta di regolamento

Considerando 38

Testo della Commissione

Emendamento

(38) I legittimi interessi di un responsabile del trattamento possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato. Ciò richiede un'attenta valutazione specie se l'interessato è un minore, dato che i minori necessitano di una specifica protezione. L'interessato deve potersi opporsi al trattamento, per motivi inerenti alla sua situazione particolare, e gratuitamente. Per garantire la trasparenza, il responsabile del trattamento deve essere obbligato a informare esplicitamente l'interessato sui legittimi interessi perseguiti, che deve documentare, e sul diritto di opporsi al trattamento dei dati. Posto che spetta al legislatore prevedere la base giuridica che autorizza le autorità pubbliche a trattare i dati, questo motivo non dovrebbe valere per il trattamento dati effettuato dalle autorità pubbliche nell'esercizio delle loro funzioni.

(38) I legittimi interessi del responsabile del trattamento o, in caso di divulgazione, del terzo cessionario dei dati, possono costituire una base giuridica del trattamento, a condizione che soddisfino le ragionevoli aspettative dell'interessato sulla base dei suoi rapporti con il responsabile del trattamento e che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato. Ciò richiede un'attenta valutazione specie se l'interessato è un minore, dato che i minori necessitano di una specifica protezione. A condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, si presume che il trattamento limitato ai dati pseudonimi soddisfi le ragionevoli aspettative dell'interessato sulla base dei suoi rapporti con il responsabile del trattamento. L'interessato deve potersi opporre al trattamento gratuitamente. Per garantire la trasparenza, il responsabile del trattamento deve essere obbligato a informare esplicitamente l'interessato sui legittimi interessi perseguiti, che deve documentare, e sul diritto di opporsi al trattamento dei dati. Gli interessi e i diritti fondamentali dell'interessato potrebbero in particolare prevalere sugli interessi del responsabile del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati. Posto che spetta al legislatore prevedere la base giuridica che autorizza le autorità pubbliche a trattare i dati, questo motivo non dovrebbe valere per il trattamento dati effettuato dalle autorità pubbliche nell'esercizio delle loro funzioni.

Emendamento  16

Proposta di regolamento

Considerando 39

Testo della Commissione

Emendamento

(39) Costituisce legittimo interesse del responsabile del trattamento trattare dati relativi al traffico, in misura strettamente necessaria a garantire la sicurezza delle reti e dell'informazione, vale a dire la capacità di una rete o di un sistema d'informazione di resistere, a un dato livello di sicurezza, ad eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza. Ciò potrebbe, ad esempio, includere misure atte a impedire l'accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da blocco di servizio e ai danni ai sistemi informatici e di comunicazione elettronica.

(39) Costituisce legittimo interesse del responsabile del trattamento trattare dati relativi al traffico, in misura strettamente proporzionata e necessaria a garantire la sicurezza delle reti e dell'informazione, vale a dire la capacità di una rete o di un sistema d'informazione di resistere ad eventi imprevisti o atti dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati conservati o trasmessi e la sicurezza dei relativi servizi offerti tramite tali reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza. Ciò potrebbe, ad esempio, includere misure atte a impedire l'accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da blocco di servizio e ai danni ai sistemi informatici e di comunicazione elettronica. Tale principio si applica altresì al trattamento di dati personali volto a limitare l'accesso non autorizzato e l'utilizzo di reti o di sistemi di informazione accessibili al pubblico, come l'iscrizione in liste nere degli identificativi elettronici.

Emendamento  17

Proposta di regolamento

Considerando 39 bis (nuovo)

Testo della Commissione

Emendamento

 

(39 bis) A condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, si dovrebbe presumere che la prevenzione o la limitazione dei danni del responsabile del trattamento sia eseguita nel legittimo interesse del responsabile stesso o, in caso di divulgazione, del terzo cessionario dei dati, nonché che soddisfi le ragionevoli aspettative dell'interessato sulla base dei suoi rapporti con il responsabile dei dati. Lo stesso principio si applica altresì in caso di azioni legali nei confronti di un interessato, quali il recupero del credito o il risarcimento danni.

Emendamento  18

Proposta di regolamento

Considerando 39 ter (nuovo)

Testo della Commissione

Emendamento

 

(39 ter) A condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, si dovrebbe presumere che il trattamento dei dati personali per finalità di marketing diretto per prodotti e servizi propri o analoghi o per finalità di marketing postale diretto sia eseguito nel legittimo interesse del responsabile del trattamento o, in caso di divulgazione, del terzo cessionario dei dati, e che soddisfi le ragionevoli aspettative dell'interessato sulla base dei suoi rapporti con il responsabile se sono fornite informazioni aventi grande visibilità in merito al diritto di opporsi e alla fonte dei dati personali. Si dovrebbe generalmente presumere che il trattamento dei dati di contatto professionali sia eseguito nel legittimo interesse del responsabile del trattamento o, in caso di divulgazione, del terzo cessionario dei dati, e che soddisfi le ragionevoli aspettative dell'interessato sulla base dei suoi rapporti con il responsabile del trattamento. Ciò dovrebbe valere anche per il trattamento dei dati personali resi manifestamente pubblici dall'interessato.

Emendamento  19

Proposta di regolamento

Considerando 40

Testo della Commissione

Emendamento

(40) Il trattamento dei dati personali per altri fini dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati sono stati inizialmente raccolti, in particolare se il trattamento è necessario per finalità storiche, statistiche o di ricerca scientifica. Se l'ulteriore finalità non è compatibile con la finalità iniziale della raccolta dati, sarebbe opportuno che il responsabile del trattamento ottenga il consenso specifico dell'interessato per tale finalità o basi il trattamento dati su un altro motivo legittimo, in particolare ove previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il responsabile del trattamento. In ogni caso, dovrebbe essere garantita l'applicazione dei principi stabiliti dal presente regolamento, in particolare l'obbligo di informare l'interessato di tali altre finalità.

soppresso

Emendamento  20

Proposta di regolamento

Considerando 41

Testo della Commissione

Emendamento

(41) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili e vulnerabili sotto il profilo dei diritti fondamentali o della vita privata. Tali dati non devono essere oggetto di trattamento, salvo esplicito consenso dell'interessato. Tuttavia occorre prevedere espressamente deroghe a questo divieto nei casi di necessità specifiche, segnatamente laddove il trattamento viene eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l'esercizio delle libertà fondamentali.

soppresso

Emendamento  21

Proposta di regolamento

Considerando 42

Testo della Commissione

Emendamento

(42) La deroga al divieto di trattare dati sensibili deve essere consentita anche quando è prevista per legge, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, quando un interesse pubblico rilevante lo giustifichi, in particolare per finalità inerenti alla salute, compresa la pubblica sanità, la protezione sociale e la gestione dei servizi sanitari, soprattutto al fine di assicurare la qualità e l'economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell'ambito del regime di assicurazione sanitaria, o per finalità storiche, statistiche e di ricerca scientifica.

(42) La deroga al divieto di trattare dati sensibili deve essere consentita anche quando è prevista per legge, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, quando un interesse pubblico rilevante lo giustifichi, in particolare per finalità inerenti alla salute, compresa la pubblica sanità, la protezione sociale e la gestione dei servizi sanitari, soprattutto al fine di assicurare la qualità e l'economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell'ambito del regime di assicurazione sanitaria, per finalità storiche, statistiche e di ricerca scientifica o per servizi di archiviazione.

Emendamento  22

Proposta di regolamento

Considerando 45

Testo della Commissione

Emendamento

(45) Se i dati che tratta non gli consentono di identificare una persona fisica, il responsabile del trattamento non deve essere obbligato ad acquisire ulteriori informazioni per identificare l'interessato al solo fine di rispettare una disposizione del presente regolamento. Quando riceve una richiesta di accesso, il responsabile del trattamento deve poter chiedere all'interessato ulteriori informazioni per poter localizzare i dati personali richiesti.

(45) Se i dati che tratta non gli consentono di identificare una persona fisica, il responsabile del trattamento non deve essere obbligato ad acquisire ulteriori informazioni per identificare l'interessato al solo fine di rispettare una disposizione del presente regolamento. Quando riceve una richiesta di accesso, il responsabile del trattamento deve poter chiedere all'interessato ulteriori informazioni per poter localizzare i dati personali richiesti. Se l'interessato può fornire tali dati, i responsabili del trattamento non devono poter invocare la mancanza di informazioni per rifiutare una richiesta di accesso.

Emendamento  23

Proposta di regolamento

Considerando 47

Testo della Commissione

Emendamento

(47) Occorre prevedere modalità volte ad agevolare l'esercizio dei diritti di cui al presente regolamento, compresi i meccanismi per la richiesta, gratuita, di accedere ai dati, rettificarli e cancellarli in particolare, e per l'esercizio del diritto di opposizione. Il responsabile del trattamento deve essere tenuto a rispondere alle richieste dell'interessato entro un termine prestabilito e a motivare l'eventuale rifiuto.

(47) Occorre prevedere modalità volte ad agevolare l'esercizio dei diritti di cui al presente regolamento, compresi i meccanismi per ottenere, gratuitamente, l'accesso ai dati, la rettifica e la cancellazione in particolare, e per esercitare il diritto di opposizione. Il responsabile del trattamento deve essere tenuto a rispondere alle richieste dell'interessato entro un termine ragionevole e a motivare l'eventuale rifiuto.

Emendamento  24

Proposta di regolamento

Considerando 48

Testo della Commissione

Emendamento

(48) I principi di trattamento equo e trasparente implicano che l'interessato sia informato in particolare dell'esistenza del trattamento e delle sue finalità, del periodo di conservazione dei dati, del diritto di accesso, rettifica o cancellazione e del diritto di proporre reclamo. In caso di dati raccolti direttamente presso l'interessato, questi deve inoltre essere informato dell'eventuale obbligo di fornire i propri dati e delle conseguenze a cui va incontro se si rifiuta di fornirli.

(48) I principi di trattamento equo e trasparente implicano che l'interessato sia informato in particolare dell'esistenza del trattamento e delle sue finalità, del probabile periodo di conservazione dei dati per ciascuna finalità, dell'eventuale trasferimento dei dati a soggetti o paesi terzi, dell'esistenza di misure di opposizione, del diritto di accesso, rettifica o cancellazione e del diritto di proporre reclamo. In caso di dati raccolti direttamente presso l'interessato, questi deve inoltre essere informato dell'eventuale obbligo di fornire i propri dati e delle conseguenze a cui va incontro se si rifiuta di fornirli. Tali informazioni vanno fornite all'interessato, anche mettendole rapidamente a sua disposizione, dopo la fornitura di informazioni semplificate in forma di icone standardizzate. Ciò dovrebbe altresì implicare che i dati personali sono trattati in modo tale da consentire efficacemente all'interessato di esercitare i propri diritti.

Emendamento  25

Proposta di regolamento

Considerando 50

Testo della Commissione

Emendamento

(50) Per contro, non è necessario imporre tale obbligo se l'interessato dispone già dell'informazione, se la registrazione o la comunicazione è prevista per legge o se informare l'interessato si rivela impossibile o richiederebbe risorse sproporzionate. Ciò potrebbe verificarsi in particolare con i trattamenti per finalità storiche, statistiche o di ricerca scientifica, nel qual caso si può tener conto del numero di interessati, dell'antichità dei dati e di eventuali misure di compensazione.

(50) Per contro, non è necessario imporre tale obbligo se l'interessato già conosce l'informazione, se la registrazione o la comunicazione è prevista per legge o se informare l'interessato si rivela impossibile o richiederebbe risorse sproporzionate.

Emendamento  26

Proposta di regolamento

Considerando 51

Testo della Commissione

Emendamento

(51) Ogni persona deve avere il diritto di accedere ai dati raccolti che la riguardano e di esercitare tale diritto facilmente, per essere consapevole del trattamento e verificarne la liceità. Occorre pertanto che ogni interessato abbia il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità del trattamento, al periodo di conservazione, ai destinatari, alla logica che presiede al trattamento e alle possibili conseguenze, almeno quando i dati si basato sul profilo dell'interessato. Tale diritto non deve ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d'autore che tutelano il software. Tuttavia, queste considerazioni non devono portare a negare all'interessato l'accesso a tutte le informazioni.

(51) Ogni persona deve avere il diritto di accedere ai dati raccolti che la riguardano e di esercitare tale diritto facilmente, per essere consapevole del trattamento e verificarne la liceità. Occorre pertanto che ogni interessato abbia il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità del trattamento, al periodo di conservazione previsto, ai destinatari, alla logica generale che presiede al trattamento e alle possibili conseguenze. Tale diritto non deve ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, ad esempio in relazione ai diritti d'autore che tutelano il software. Tuttavia, queste considerazioni non devono portare a negare all'interessato l'accesso a tutte le informazioni.

Emendamento  27

Proposta di regolamento

Considerando 53

Testo della Commissione

Emendamento

(53) Ogni persona deve avere il diritto di rettificare i dati personali che la riguardano e il "diritto all'oblio", se la conservazione di tali dati non è conforme al presente regolamento. In particolare, l'interessato deve avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al presente regolamento. Tale diritto è particolarmente rilevante se l'interessato ha dato il consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminare questo tipo di dati personali, in particolare da Internet. Tuttavia, occorre consentire l'ulteriore conservazione dei dati qualora sia necessario per finalità storiche, statistiche e di ricerca scientifica, per motivi di interesse pubblico nel settore della sanità pubblica, per l'esercizio del diritto alla libertà di espressione, ove richiesto per legge o quando sia giustificata una limitazione del trattamento dei dati anziché una loro cancellazione.

(53) Ogni persona deve avere il diritto di rettificare i dati personali che la riguardano e il "diritto alla cancellazione", se la conservazione di tali dati non è conforme al presente regolamento. In particolare, l'interessato deve avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al presente regolamento. Tuttavia, occorre consentire l'ulteriore conservazione dei dati qualora sia necessario per finalità storiche, statistiche e di ricerca scientifica, per motivi di interesse pubblico nel settore della sanità pubblica, per l'esercizio del diritto alla libertà di espressione, ove richiesto per legge o quando sia giustificata una limitazione del trattamento dei dati anziché una loro cancellazione. Inoltre, il diritto alla cancellazione non si dovrebbe applicare quando la conservazione di dati personali è necessaria per l'esecuzione di un contratto con l'interessato o quando vi sia l'obbligo giuridico di conservare tali dati.

Emendamento  28

Proposta di regolamento

Considerando 54

Testo della Commissione

Emendamento

(54) Per rafforzare il "diritto all'oblio" nell'ambiente on line, è necessario che il diritto di cancellazione sia esteso in modo da obbligare il responsabile del trattamento che ha pubblicato dati personali a informare i terzi che stanno trattando tali dati della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Per garantire tale informazione, è necessario che il responsabile del trattamento prenda tutte le misure ragionevoli, anche di natura tecnica, in relazione ai dati della cui pubblicazione è responsabile. Se ha autorizzato un terzo a pubblicare dati personali, il responsabile del trattamento deve essere ritenuto responsabile di tale pubblicazione.

(54) Per rafforzare il "diritto alla cancellazione" nell'ambiente on line, è necessario che il diritto di cancellazione sia esteso in modo da obbligare il responsabile del trattamento che ha pubblicato dati personali senza una giustificazione legittima ad adottare tutti i provvedimenti necessari affinché i dati siano cancellati, anche dai terzi, fatto salvo il diritto dell'interessato di esigere il risarcimento.

Emendamento  29

Proposta di regolamento

Considerando 54 bis (nuovo)

Testo della Commissione

Emendamento

 

(54 bis) I dati contestati dall'interessato per i quali non sia possibile stabilire se sono esatti o meno sono bloccati fino al chiarimento della questione.

Emendamento  30

Proposta di regolamento

Considerando 55

Testo della Commissione

Emendamento

(55) Per rafforzare ulteriormente il controllo sui propri dati e il diritto di accedervi, occorre che l'interessato abbia il diritto, se i dati personali sono trattati con mezzi elettronici e in un formato strutturato e di uso comune, di ottenere una copia dei dati che lo riguardano ugualmente in formato elettronico di uso comune. Occorre anche che l'interessato sia autorizzato a trasferire i dati che ha fornito da un'applicazione automatizzata, ad esempio un social network, ad un'altra. Tale diritto dovrebbe applicarsi quando l'interessato ha fornito i dati al sistema di trattamento automatizzato acconsentendo al trattamento o in esecuzione di un contratto.

(55) Per rafforzare ulteriormente il controllo sui propri dati e il diritto di accedervi, occorre che l'interessato abbia il diritto, se i dati personali sono trattati con mezzi elettronici e in un formato strutturato e di uso comune, di ottenere una copia dei dati che lo riguardano ugualmente in formato elettronico di uso comune. Occorre anche che l'interessato sia autorizzato a trasferire i dati che ha fornito da un'applicazione automatizzata, ad esempio un social network, ad un'altra. È necessario incoraggiare i responsabili del trattamento a sviluppare formati interoperabili che permettano la portabilità dei dati. Tale diritto dovrebbe applicarsi quando l'interessato ha fornito i dati al sistema di trattamento automatizzato acconsentendo al trattamento o in esecuzione di un contratto. È opportuno che i fornitori di servizi della società dell'informazione non rendano obbligatorio il trasferimento di tali dati per la fornitura dei loro servizi.

Emendamento  31

Proposta di regolamento

Considerando 56

Testo della Commissione

Emendamento

(56) Anche nei casi in cui i dati personali possano essere lecitamente trattati per proteggere interessi vitali dell'interessato, oppure per motivi di pubblico interesse, nell'esercizio di pubblici poteri o per il legittimo interesse di un responsabile del trattamento, l'interessato deve comunque avere il diritto di opporsi al trattamento dei dati che lo riguardano. È opportuno che incomba al responsabile del trattamento dimostrare che i suoi legittimi interessi possono prevalere sull'interesse o sui diritti e sulle libertà fondamentali dell'interessato.

(56) Anche nei casi in cui i dati personali possano essere lecitamente trattati per proteggere interessi vitali dell'interessato, oppure per motivi di pubblico interesse, nell'esercizio di pubblici poteri o per il legittimo interesse di un responsabile del trattamento, l'interessato deve comunque avere il diritto di opporsi al trattamento dei dati che lo riguardano, gratuitamente e con modalità facili ed effettive. È opportuno che incomba al responsabile del trattamento dimostrare che i suoi legittimi interessi possono prevalere sull'interesse o sui diritti e sulle libertà fondamentali dell'interessato.

Emendamento  32

Proposta di regolamento

Considerando 57

Testo della Commissione

Emendamento

(57) Qualora i dati personali siano trattati per finalità di marketing diretto, l'interessato deve avere il diritto di opporsi a tale trattamento, gratuitamente e con una modalità facili e effettive.

(57) Qualora l'interessato abbia il diritto di opporsi al trattamento, il responsabile dovrebbe comunicarlo esplicitamente all'interessato in modo e forma per lui intelligibili usando una formulazione chiara e semplice, e distinguerlo chiaramente dalle altre informazioni.

Emendamento  33

Proposta di regolamento

Considerando 58

Testo della Commissione

Emendamento

(58) Ogni persona deve avere il diritto di non essere sottoposta a una misura basata sulla profilazione mediante trattamento automatizzato. Tuttavia, è opportuno che tale misura sia consentita se è espressamente prevista per legge, se è applicata nel contesto della conclusione o dell'esecuzione di un contratto o se l'interessato ha espresso il proprio consenso. In ogni caso, tale trattamento deve essere subordinato a garanzie adeguate, compresa la specifica informazione dell'interessato e il diritto di ottenere l'intervento umano, e la misura non deve riguardare un minore.

(58) Fatta salva la liceità del trattamento dei dati, ogni persona deve avere il diritto di opporsi alla profilazione. La profilazione avente come conseguenza misure che producono effetti giuridici sull'interessato o che, parimenti, incidono significativamente sugli interessi, sui diritti o sulle libertà dello stesso dovrebbe essere consentita solamente se è espressamente prevista per legge, se è applicata nel contesto della conclusione o dell'esecuzione di un contratto o se l'interessato ha espresso il proprio consenso. In ogni caso, tale trattamento deve essere subordinato a garanzie adeguate, compresa la specifica informazione dell'interessato e il diritto di ottenere una valutazione umana, e la misura non deve riguardare un minore. Tali misure non devono condurre alla discriminazione degli individui fondata sulla razza o sull'origine etnica, sulle opinioni politiche, sulla religione o sulle convinzioni personali, sull'appartenenza sindacale, sull'orientamento sessuale o sull'identità di genere.

Emendamento  34

Proposta di regolamento

Considerando 58 bis (nuovo)

Testo della Commissione

Emendamento

 

(58 bis) Si deve presumere che la profilazione basata esclusivamente sul trattamento dei dati pseudonimi non incida significativamente sugli interessi, sui diritti o sulle libertà dell'interessato. Qualora la profilazione, sia essa basata su una singola fonte di dati pseudonimi o sull'aggregazione dei dati pseudonimi da diverse fonti, consenta al responsabile del trattamento di attribuire i dati pseudonimi a un soggetto specifico, i dati trattati non vanno più considerati pseudonimi.

Emendamento  35

Proposta di regolamento

Considerando 59

Testo della Commissione

Emendamento

(59) Il diritto dell'Unione o di uno Stato membro può imporre limitazioni a specifici principi e ai diritti di informazione, accesso, rettifica e cancellazione di dati, al diritto alla portabilità dei dati, al diritto di opporsi, alle misure basate sulla profilazione, alla comunicazione di una violazione di dati personali all'interessato e ad alcuni obblighi connessi in capo ai responsabili del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della pubblica sicurezza, ivi comprese la protezione della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, e le attività di prevenzione, indagine e perseguimento di reati o di violazioni della deontologia professionale, per la tutela di altri interessi pubblici, tra cui un interesse economico o finanziario rilevante dell'Unione o di uno Stato membro, o per la protezione dell'interessato o dei diritti e delle libertà altrui. Tali limitazioni devono essere conformi alla Carta dei diritti fondamentali dell'Unione europea e alla convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali.

(59) Il diritto dell'Unione o di uno Stato membro può imporre limitazioni a specifici principi e ai diritti di informazione, rettifica e cancellazione di dati, al diritto all'accesso e all'ottenimento dei dati, al diritto di opporsi, alla profilazione, alla comunicazione di una violazione di dati personali all'interessato e ad alcuni obblighi connessi in capo ai responsabili del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della pubblica sicurezza, ivi comprese la protezione della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, e le attività di prevenzione, indagine e perseguimento di reati o di violazioni della deontologia professionale, per la tutela di altri interessi pubblici specifici e ben definiti, tra cui un interesse economico o finanziario rilevante dell'Unione o di uno Stato membro, o per la protezione dell'interessato o dei diritti e delle libertà altrui. Tali limitazioni devono essere conformi alla Carta dei diritti fondamentali dell'Unione europea e alla convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali.

Emendamento  36

Proposta di regolamento

Considerando 60

Testo della Commissione

Emendamento

(60) Occorre stabilire una responsabilità generale del responsabile del trattamento per qualsiasi trattamento di dati personali che abbia effettuato direttamente o altri abbia effettuato per suo conto. In particolare, il responsabile del trattamento deve garantire ed essere tenuto a dimostrare la conformità di ogni trattamento con il presente regolamento.

(60) Occorre stabilire una responsabilità generale del responsabile del trattamento per qualsiasi trattamento di dati personali che abbia effettuato direttamente o altri abbia effettuato per suo conto, in particolare per quanto concerne la documentazione, la sicurezza dei dati, le valutazioni d'impatto, il responsabile della protezione dei dati e la vigilanza da parte delle autorità per la protezione dei dati. In particolare, il responsabile del trattamento deve garantire ed essere in grado di dimostrare la conformità di ogni trattamento con il presente regolamento. È necessario che tali aspetti siano verificati da revisori interni o esterni indipendenti.

Emendamento  37

Proposta di regolamento

Considerando 61

Testo della Commissione

Emendamento

(61) La tutela dei diritti e delle libertà degli interessati con riguardo al trattamento dei dati personali richiede l'attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell'esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del presente regolamento. Al fine di garantire e dimostrare la conformità con il presente regolamento, il responsabile del trattamento deve adottare politiche interne e attuare misure adeguate, che soddisfino in particolare i principi della protezione fin dalla progettazione e della protezione di default.

(61) La tutela dei diritti e delle libertà degli interessati con riguardo al trattamento dei dati personali richiede l'attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell'esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del presente regolamento. Al fine di garantire e dimostrare la conformità con il presente regolamento, il responsabile del trattamento deve adottare politiche interne e attuare misure adeguate, che soddisfino in particolare i principi della protezione fin dalla progettazione e della protezione di default. Il principio della protezione dei dati sin dalla progettazione prevede che la protezione dei dati sia integrata nell'intero ciclo di vita della tecnologia, dalla primissima fase di progettazione fino alla sua ultima distribuzione, all'utilizzo e allo smaltimento finale. Va altresì inclusa la responsabilità per i prodotti e i servizi utilizzati dal responsabile o dall'incaricato del trattamento. Il principio della protezione dei dati di default prevede che le impostazioni di tutela della vita privata relative ai servizi e prodotti rispettino di default i principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità.

Emendamento  38

Proposta di regolamento

Considerando 62

Testo della Commissione

Emendamento

(62) La protezione dei diritti e delle libertà dell'interessato così come le responsabilità del responsabile del trattamento e dell'incaricato del trattamento, anche in relazione al monitoraggio e alle misure delle autorità di controllo, esigono una chiara attribuzione delle responsabilità ai sensi del presente regolamento, compresi i casi in cui un responsabile del trattamento stabilisca le finalità, le condizioni e i mezzi del trattamento congiuntamente con altri responsabili del trattamento o quando l'operazione viene eseguita per conto del responsabile del trattamento.

(62) La protezione dei diritti e delle libertà dell'interessato così come le responsabilità del responsabile del trattamento e dell'incaricato del trattamento, anche in relazione al monitoraggio e alle misure delle autorità di controllo, esigono una chiara attribuzione delle responsabilità ai sensi del presente regolamento, compresi i casi in cui un responsabile del trattamento stabilisca le finalità del trattamento congiuntamente con altri responsabili del trattamento o quando l'operazione viene eseguita per conto del responsabile del trattamento. Occorre che gli accordi tra i corresponsabili del trattamento riflettano i loro ruoli e rapporti effettivi. È necessario che il trattamento dei dati personali a norma del presente regolamento preveda la possibilità per un responsabile del trattamento di trasmettere i dati a un corresponsabile o a un incaricato del trattamento affinché esegua il trattamento per suo conto.

Emendamento  39

Proposta di regolamento

Considerando 63

Testo della Commissione

Emendamento

(63) Quando un responsabile del trattamento non stabilito nell'Unione tratta dati personali di residenti nell'Unione e la sua attività di trattamento è finalizzata all'offerta di beni o alla prestazione di servizi a tali interessati o al controllo del loro comportamento, è opportuno che tale responsabile del trattamento designi un rappresentante, salvo che non sia stabilito in un paese terzo che garantisce un livello di protezione adeguato, non sia una piccola o media impresa o un'autorità o organismo pubblico oppure non offra beni o servizi agli interessati solo occasionalmente. Il rappresentante deve agire per conto del responsabile del trattamento e può essere interpellato da qualsiasi autorità di controllo.

(63) Quando un responsabile del trattamento non stabilito nell'Unione tratta dati personali di interessati nell'Unione, è opportuno che tale responsabile del trattamento designi un rappresentante, salvo che sia stabilito in un paese terzo che garantisce un livello di protezione adeguato o che il trattamento riguardi un numero inferiore a 5000 interessati in un periodo di 12 mesi consecutivi e non sia eseguito su categorie particolari di dati personali, o che sia un'autorità o organismo pubblico oppure offra beni o servizi agli interessati solo occasionalmente. Il rappresentante deve agire per conto del responsabile del trattamento e può essere interpellato da qualsiasi autorità di controllo.

Emendamento  40

Proposta di regolamento

Considerando 64

Testo della Commissione

Emendamento

(64) Per determinare se un responsabile del trattamento offre solo occasionalmente beni e servizi agli interessati residenti nell'Unione, occorre verificare se dalle sue attività complessive risulta che l'offerta di beni o servizi agli interessati sia solo accessoria rispetto alle attività principali.

(64) Per determinare se un responsabile del trattamento offre solo occasionalmente beni e servizi agli interessati nell'Unione, occorre verificare se dalle sue attività complessive risulta che l'offerta di beni o servizi agli interessati sia solo accessoria rispetto alle attività principali.

Emendamento  41

Proposta di regolamento

Considerando 65

Testo della Commissione

Emendamento

(65) Per dimostrare che si conforma al presente regolamento, il responsabile del trattamento o l'incaricato del trattamento deve documentare ciascuna operazione di trattamento. Bisognerebbe obbligare tutti i responsabili del trattamento e gli incaricati del trattamento a cooperare con l'autorità di controllo e a mettere, su richiesta, detta documentazione a sua disposizione affinché possa servire per monitorare i trattamenti.

(65) Per essere in grado di dimostrare che si conforma al presente regolamento, il responsabile del trattamento o l'incaricato del trattamento deve conservare la documentazione necessaria al fine di soddisfare i requisiti previsti dal presente regolamento. Bisognerebbe obbligare tutti i responsabili del trattamento e gli incaricati del trattamento a cooperare con l'autorità di controllo e a mettere, su richiesta, detta documentazione a sua disposizione affinché possa servire per valutare il rispetto del presente regolamento. Tuttavia, occorre attribuire pari enfasi e importanza alle buone prassi e all'ottemperanza, e non solo alla compilazione della documentazione.

Emendamento  42

Proposta di regolamento

Considerando 66

Testo della Commissione

Emendamento

(66) Per mantenere la sicurezza e prevenire trattamenti contrari al presente regolamento, il responsabile del trattamento o l'incaricato del trattamento deve valutare i rischi inerenti al trattamento e provvedere a limitarli. Tali provvedimenti devono assicurare un adeguato livello di sicurezza, tenuto conto degli sviluppi tecnici e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati da proteggere. Nel definire le norme tecniche e le misure organizzative atte a garantire la sicurezza del trattamento, la Commissione deve promuovere la neutralità tecnologica, l'interoperabilità e l'innovazione e, ove opportuno, la cooperazione con i paesi terzi.

(66) Per mantenere la sicurezza e prevenire trattamenti contrari al presente regolamento, il responsabile del trattamento o l'incaricato del trattamento deve valutare i rischi inerenti al trattamento e provvedere a limitarli. Tali provvedimenti devono assicurare un adeguato livello di sicurezza, tenuto conto degli sviluppi tecnici e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati da proteggere. Nel definire le norme tecniche e le misure organizzative atte a garantire la sicurezza del trattamento, occorre promuovere la neutralità tecnologica, l'interoperabilità e l'innovazione e, ove opportuno, incoraggiare la cooperazione con i paesi terzi.

Emendamento  43

Proposta di regolamento

Considerando 67

Testo della Commissione

Emendamento

(67) Una violazione di dati personali può, se non affrontata in modo adeguato e tempestivo, provocare un grave danno economico e sociale all'interessato, tra cui l'usurpazione dell'identità. Pertanto, non appena viene a conoscenza di una violazione, il responsabile del trattamento la deve notificare all'autorità di controllo senza ritardo e, quando possibile, entro 24 ore. Oltre il termine di 24 ore, la notificazione deve essere corredata di una giustificazione motivata. È opportuno che le persone i cui dati o la cui vita privata potrebbero essere compromessi da una siffatta violazione siano informate tempestivamente affinché possano prendere le precauzioni del caso. Si considera che una violazione pregiudica i dati personali o la vita privata dell'interessato quando comporta, ad esempio, il furto o l'usurpazione d'identità, un danno fisico, un'umiliazione grave o attenta alla sua reputazione. La notifica deve descrivere la natura della violazione dei dati personali e formulare raccomandazioni per l'interessato intese ad attenuare i potenziali effetti negativi. La notifica deve essere trasmessa non appena possibile, in stretta collaborazione con l'autorità di controllo e nel rispetto degli orientamenti impartiti da questa o da altre autorità competenti (come le autorità incaricate dell'applicazione della legge). Ad esempio, affinché gli interessati possano attenuare un rischio immediato di pregiudizio è opportuno che la notifica sia tempestiva, ma la necessità di attuare misure adeguate per contrastare violazioni ripetute o analoghe potrebbe giustificare tempi più lunghi.

(67) Una violazione di dati personali può, se non affrontata in modo adeguato e tempestivo, provocare un grave danno economico e sociale all'interessato, tra cui l'usurpazione dell'identità. Pertanto il responsabile del trattamento deve notificare la violazione all'autorità di controllo senza ritardo, vale a dire, presumibilmente, entro 72 ore. Ove applicabile, la notificazione deve essere corredata di una giustificazione motivata. È opportuno che le persone i cui dati o la cui vita privata potrebbero essere compromessi da una siffatta violazione siano informate tempestivamente affinché possano prendere le precauzioni del caso. Si considera che una violazione pregiudica i dati personali o la vita privata dell'interessato quando comporta, ad esempio, il furto o l'usurpazione d'identità, un danno fisico, un'umiliazione grave o attenta alla sua reputazione. La notifica deve descrivere la natura della violazione dei dati personali e formulare raccomandazioni per l'interessato intese ad attenuare i potenziali effetti negativi. La notifica deve essere trasmessa non appena possibile, in stretta collaborazione con l'autorità di controllo e nel rispetto degli orientamenti impartiti da questa o da altre autorità competenti (come le autorità incaricate dell'applicazione della legge). Ad esempio, affinché gli interessati possano attenuare un rischio immediato di pregiudizio è opportuno che la notifica sia tempestiva, ma la necessità di attuare misure adeguate per contrastare violazioni ripetute o analoghe potrebbe giustificare tempi più lunghi.

Emendamento  44

Proposta di regolamento

Considerando 71 bis (nuovo)

Testo della Commissione

Emendamento

 

(71 bis) Le valutazioni d'impatto rappresentano la componente essenziale di qualsiasi quadro sostenibile in materia di protezione dei dati, garantendo che le imprese siano consapevoli sin dall'inizio di tutte le possibili conseguenze delle operazioni di trattamento dei dati che effettuano. L'esecuzione di valutazioni d'impatto meticolose limita in modo significativo la probabilità di una violazione dei dati o di un'operazione di intrusione nella vita privata. Le valutazioni d'impatto sulla protezione dei dati devono pertanto considerare la gestione dell'intero ciclo di vita dei dati personali, dalla raccolta al trattamento fino alla cancellazione, descrivendo nel dettaglio le operazioni di trattamento previste, i rischi per i diritti e le libertà degli interessati, le misure previste per affrontare i rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la conformità al presente regolamento.

Emendamento  45

Proposta di regolamento

Considerando 71 ter (nuovo)

Testo della Commissione

Emendamento

 

(71 ter) I responsabili del trattamento devono concentrarsi sulla protezione dei dati personali durante l'intero ciclo di vita, dalla raccolta al trattamento fino alla cancellazione, investendo sin dall'inizio in un quadro sostenibile per la gestione dei dati corredato da un meccanismo globale di conformità.

Emendamento  46

Proposta di regolamento

Considerando 73

Testo della Commissione

Emendamento

(73) È necessario che un'autorità pubblica o un ente pubblico procedano a una valutazione d'impatto sulla protezione dei dati se ciò non è già stato fatto in vista dell'adozione della legge nazionale che disciplina i compiti dell'autorità pubblica o dell'ente pubblico e lo specifico trattamento o insieme di trattamenti.

soppresso

Emendamento  47

Proposta di regolamento

Considerando 74

Testo della Commissione

Emendamento

(74) Se dalla valutazione d'impatto sulla protezione dei dati risulta che operazioni di trattamento o l'uso di nuove particolari tecnologie espongono i diritti e le libertà degli interessati a un grado elevato di rischi specifici, privandoli ad esempio di un diritto, l'autorità di controllo deve essere consultata prima dell'inizio delle operazioni, affinché verifichi se un trattamento rischioso sia conforme al presente regolamento e formuli proposte per ovviare a tale situazione. Siffatta consultazione deve aver luogo anche durante l'elaborazione di una proposta legislativa del parlamento nazionale o di una misura basata su quella proposta legislativa, che definisca la natura del trattamento e precisi le garanzie appropriate.

(74) Se dalla valutazione d'impatto sulla protezione dei dati risulta che operazioni di trattamento o l'uso di nuove particolari tecnologie espongono i diritti e le libertà degli interessati a un grado elevato di rischi specifici, privandoli ad esempio di un diritto, il responsabile della protezione dei dati o l'autorità di controllo devono essere consultati prima dell'inizio delle operazioni, affinché verifichino se un trattamento rischioso sia conforme al presente regolamento e formulino proposte per ovviare a tale situazione. Una consultazione dell'autorità di controllo deve aver luogo anche durante l'elaborazione di una proposta legislativa del parlamento nazionale o di una misura basata su quella proposta legislativa, che definisca la natura del trattamento e precisi le garanzie appropriate.

Emendamento  48

Proposta di regolamento

Considerando 74 bis (nuovo)

Testo della Commissione

Emendamento

 

(74 bis) Le valutazioni d'impatto possono essere utili solo se i responsabili del trattamento assicurano il rispetto dei propositi inizialmente formulati. I responsabili del trattamento dei dati devono pertanto effettuare controlli periodici della conformità della protezione dei dati da cui risulti che i meccanismi di trattamento dei dati che vengono utilizzati sono conformi alle garanzie espresse nella valutazione d'impatto sulla protezione dei dati. Dalla valutazione deve inoltre emergere la capacità del responsabile del trattamento di rispettare le scelte autonome degli interessati. Infine, se dal controllo dovessero emergere incongruenze in relazione alla conformità, esse devono essere evidenziate e devono essere presentate raccomandazioni su come ottenere la piena conformità.

Emendamento  49

Proposta di regolamento

Considerando 75

Testo della Commissione

Emendamento

(75) Per i trattamenti effettuati nel settore pubblico o per i trattamenti effettuati nel settore privato da una grande impresa o da un'impresa, a prescindere dalle sue dimensioni, le cui attività principali implicano operazioni di trattamento che richiedono un monitoraggio regolare e sistematico, il responsabile del trattamento o l'incaricato del trattamento deve essere assistito da un'altra persona nel controllo del rispetto interno del presente regolamento. Tali "responsabili della protezione dei dati", dipendenti o meno del responsabile del trattamento, devono essere in grado di esercitare le loro funzioni e compiti in modo indipendente.

(75) Per i trattamenti effettuati nel settore pubblico o per i trattamenti effettuati nel settore privato riguardanti un numero superiore a 500 interessati in 12 mesi, o per i trattamenti effettuati da un'impresa, a prescindere dalle sue dimensioni, le cui attività principali implicano operazioni di trattamento su dati sensibili o operazioni che richiedono un monitoraggio regolare e sistematico, il responsabile del trattamento o l'incaricato del trattamento deve essere assistito da un'altra persona nel controllo del rispetto interno del presente regolamento. Nel valutare se i dati concernenti un vasto numero di interessati siano oggetto di trattamento, è opportuno non prendere in considerazione i dati archiviati limitati a tal punto da non essere soggetti al normale accesso ai dati e ai trattamenti del responsabile del trattamento e da non potere più essere modificati. Tali "responsabili della protezione dei dati", dipendenti o meno del responsabile del trattamento e che svolgono o meno tale compito a tempo pieno, devono essere in grado di esercitare le loro funzioni e compiti in modo indipendente e beneficiare di una tutela specifica contro il licenziamento. La responsabilità finale deve rimanere di competenza della direzione di un'organizzazione. Il responsabile della protezione dei dati deve, in particolare, essere consultato anteriormente alla progettazione, all'approvvigionamento, allo sviluppo e alla messa a punto di sistemi per il trattamento automatizzato dei dati personali, al fine di garantire i principi della protezione della vita privata fin dalla progettazione e della protezione della vita privata di default.

Emendamento  50

Proposta di regolamento

Considerando 75 bis (nuovo)

Testo della Commissione

Emendamento

 

(75 bis) Il responsabile della protezione dei dati deve avere almeno le seguenti qualifiche: conoscenza approfondita del contenuto e dell'applicazione della normativa sulla protezione dei dati, incluse le misure e le procedure tecniche e organizzative; padronanza dei requisiti tecnici in materia di protezione della vita privata fin dalla progettazione, protezione della vita privata di default e sicurezza dei dati; specifica conoscenza del settore a seconda della dimensione del responsabile del trattamento o dell'incaricato del trattamento e della sensibilità dei dati da sottoporre a trattamento; capacità di effettuare ispezioni, consultazioni, attività di documentazione e analisi dei file di registro; capacità di collaborare con i rappresentanti dei lavoratori. Il responsabile del trattamento deve autorizzare il responsabile della protezione dei dati a partecipare a misure di formazione avanzate intese a mantenere le conoscenze specifiche necessarie per svolgere le proprie mansioni. L'incarico di responsabile della protezione dei dati non richiede necessariamente un'occupazione a tempo pieno del dipendente in questione.

Emendamento  51

Proposta di regolamento

Considerando 76

Testo della Commissione

Emendamento

(76) Le associazioni o altre organizzazioni rappresentative dei responsabili del trattamento devono essere incoraggiate ad elaborare codici di condotta, nei limiti del presente regolamento, in modo da facilitarne l'effettiva applicazione, tenendo conto delle caratteristiche specifiche delle operazioni effettuate in alcuni settori.

(76) Le associazioni o altre organizzazioni rappresentative dei responsabili del trattamento devono essere incoraggiate, previa consultazione dei rappresentanti dei lavoratori, ad elaborare codici di condotta, nei limiti del presente regolamento, in modo da facilitarne l'effettiva applicazione, tenendo conto delle caratteristiche specifiche delle operazioni effettuate in alcuni settori. Detti codici devono semplificare la conformità dell'industria con il presente regolamento.

Emendamento  52

Proposta di regolamento

Considerando 77

Testo della Commissione

Emendamento

(77) Al fine di migliorare la trasparenza e il rispetto del presente regolamento deve essere incoraggiata l'istituzione di meccanismi di certificazione, sigilli e marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi.

(77) Al fine di migliorare la trasparenza e il rispetto del presente regolamento deve essere incoraggiata l'istituzione di meccanismi di certificazione, sigilli e marchi standardizzati di protezione dei dati che consentano agli interessati di valutare rapidamente e in maniera affidabile e verificabile il livello di protezione dei dati dei relativi prodotti e servizi. È necessario istituire un "sigillo europeo per la protezione dei dati" a livello europeo al fine di creare fiducia tra gli interessati, certezza giuridica per i responsabili del trattamento e al tempo stesso esportare le norme europee per la protezione dei dati, permettendo a società non europee di accedere con maggiore facilità ai mercati europei in forza della certificazione.

 

Emendamento  53

Proposta di regolamento

Considerando 79

Testo della Commissione

Emendamento

(79) Il presente regolamento lascia impregiudicate le disposizioni degli accordi internazionali conclusi tra l'Unione e i paesi terzi che disciplinano il trasferimento di dati personali, comprese adeguate garanzie per gli interessati.

(79) Il presente regolamento lascia impregiudicate le disposizioni degli accordi internazionali conclusi tra l'Unione e i paesi terzi che disciplinano il trasferimento di dati personali, comprese adeguate garanzie per gli interessati in grado di assicurare un livello adeguato di tutela dei diritti fondamentali dei cittadini.

Emendamento  54

Proposta di regolamento

Considerando 80

Testo della Commissione

Emendamento

(80) La Commissione può decidere, con effetto nell'intera Unione europea, che taluni paesi terzi, o un territorio o settore di trattamento all'interno di un paese terzo, o un'organizzazione internazionale offrono un livello adeguato di protezione dei dati, garantendo in tal modo la certezza del diritto e l'uniformità in tutta l'Unione nei confronti dei paesi terzi o delle organizzazioni internazionali che si ritiene offrano un livello di protezione adeguato. In questi casi, i trasferimenti di dati personali possono avere luogo senza ulteriori autorizzazioni.

(80) La Commissione può decidere, con effetto nell'intera Unione europea, che taluni paesi terzi, o un territorio o settore di trattamento all'interno di un paese terzo, o un'organizzazione internazionale offrono un livello adeguato di protezione dei dati, garantendo in tal modo la certezza del diritto e l'uniformità in tutta l'Unione nei confronti dei paesi terzi o delle organizzazioni internazionali che si ritiene offrano un livello di protezione adeguato. La Commissione può inoltre decidere, dopo aver fornito una comunicazione e una motivazione completa al paese terzo, di revocare una tale decisione.

Emendamento  55

Proposta di regolamento

Considerando 82

Testo della Commissione

Emendamento

(82) La Commissione può anche riconoscere che un paese terzo, o un territorio o settore di trattamento all'interno del paese terzo, o un'organizzazione internazionale non offra un adeguato livello di protezione dei dati, nel qual caso il trasferimento di dati personali verso tale paese terzo deve essere vietato. È altresì opportuno prevedere consultazioni tra la Commissione e detti paesi terzi od organizzazioni internazionali.

(82) La Commissione può anche riconoscere che un paese terzo, o un territorio o settore di trattamento all'interno del paese terzo, o un'organizzazione internazionale non offra un adeguato livello di protezione dei dati. Qualsiasi legge che preveda un accesso extraterritoriale ai dati personali trattati nell'Unione senza un'autorizzazione a norma del diritto dell'Unione o dello Stato membro è da considerarsi indice di una mancanza di adeguatezza. Di conseguenza, il trasferimento di dati personali verso tale paese terzo deve essere vietato. È altresì opportuno prevedere consultazioni tra la Commissione e detti paesi terzi od organizzazioni internazionali.

Emendamento  56

Proposta di regolamento

Considerando 83

Testo della Commissione

Emendamento

(83) In mancanza di una decisione di adeguatezza, il responsabile del trattamento o l'incaricato del trattamento deve provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell'interessato. Tali adeguate garanzie possono consistere nell'applicazione di norme vincolanti d'impresa, clausole di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un'autorità di controllo o clausole contrattuali autorizzate da un'autorità di controllo, o altre opportune misure proporzionate e giustificate alla luce di tutte le circostanze relative ad un trasferimento o ad un insieme di trasferimenti di dati e nei casi autorizzati da un'autorità di controllo.

(83) In mancanza di una decisione di adeguatezza, il responsabile del trattamento o l'incaricato del trattamento deve provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell'interessato. Tali adeguate garanzie possono consistere nell'applicazione di norme vincolanti d'impresa, clausole di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un'autorità di controllo o clausole contrattuali autorizzate da un'autorità di controllo. Tali garanzie appropriate devono assicurare un rispetto dei diritti degli interessati adeguato ai trattamenti all'interno dell'UE, in particolare per quanto riguarda la limitazione delle finalità, il diritto di accesso, rettifica, cancellazione e richiesta di risarcimento. Tali garanzie devono, in particolare, assicurare il rispetto dei principi di trattamento dei dati personali, tutelare i diritti degli interessati e fornire meccanismi di ricorso efficaci, garantire il rispetto dei principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default nonché garantire la presenza di un responsabile della protezione dei dati.

Emendamento  57

Proposta di regolamento

Considerando 84

Testo della Commissione

Emendamento

(84) La possibilità che il responsabile del trattamento o l'incaricato del trattamento utilizzi clausole tipo di protezione dei dati adottate dalla Commissione o da un'autorità di controllo non deve precludere ai responsabili del trattamento o agli incaricati del trattamento la possibilità di includere tali clausole tipo in un contratto più ampio né di aggiungere altre clausole, purché non contraddicano, direttamente o indirettamente, le clausole contrattuali tipo adottate dalla Commissione o da un'autorità di controllo o ledano i diritti o le libertà fondamentali degli interessati.

(84) La possibilità che il responsabile del trattamento o l'incaricato del trattamento utilizzi clausole tipo di protezione dei dati adottate dalla Commissione o da un'autorità di controllo non deve precludere ai responsabili del trattamento o agli incaricati del trattamento la possibilità di includere tali clausole tipo in un contratto più ampio né di aggiungere altre clausole o garanzie supplementari, purché non contraddicano, direttamente o indirettamente, le clausole contrattuali tipo adottate da un'autorità di controllo o ledano i diritti o le libertà fondamentali degli interessati. Le clausole tipo di protezione dei dati adottate dalla Commissione potrebbero interessare situazioni diverse, in particolare le operazioni di trasferimento dai responsabili del trattamento stabiliti nell'Unione ai responsabili del trattamento stabiliti al suo esterno nonché dai responsabili del trattamento stabiliti nell'Unione agli incaricati del trattamento, compresi i sub-incaricati, stabiliti al suo esterno. Occorre incoraggiare i responsabili del trattamento e gli incaricati del trattamento affinché forniscano garanzie ancora più solide attraverso impegni contrattuali supplementari che integrino le clausole tipo di protezione.

 

Emendamento  58

Proposta di regolamento

Considerando 85

Testo della Commissione

Emendamento

(85) Un gruppo di imprese deve poter applicare le norme vincolanti d'impresa approvate per i trasferimenti internazionali dall'Unione agli organismi dello stesso gruppo di imprese, purché tali norme contemplino principi fondamentali e diritti azionabili in giudizio che costituiscano adeguate garanzie per i trasferimenti o categorie di trasferimenti di dati personali.

(85) Un gruppo di imprese deve poter applicare le norme vincolanti d'impresa approvate per i trasferimenti internazionali dall'Unione agli organismi dello stesso gruppo di imprese, purché tali norme contemplino tutti i principi fondamentali e i diritti azionabili in giudizio che costituiscano adeguate garanzie per i trasferimenti o categorie di trasferimenti di dati personali.

Emendamento  59

Proposta di regolamento

Considerando 86

Testo della Commissione

Emendamento

(86) È opportuno prevedere la possibilità di trasferire dati in alcune circostanze se l'interessato ha acconsentito, se il trasferimento è necessario in relazione ad un contratto o un'azione legale, se sussistono motivi di rilevante interesse pubblico previsti dalla legislazione di uno Stato membro o dell'Unione o se i dati sono trasferiti da un registro stabilito per legge e destinato ad essere consultato dal pubblico o dalle persone aventi un legittimo interesse. In quest'ultimo caso, il trasferimento non deve riguardare la totalità dei dati o delle categorie di dati contenuti nel registro; inoltre, quando il registro è destinato ad essere consultato dalle persone aventi un legittimo interesse, i dati possono essere trasferiti soltanto se tali persone lo richiedono o ne sono destinatarie.

(86) È opportuno prevedere la possibilità di trasferire dati in alcune circostanze se l'interessato ha acconsentito, se il trasferimento è necessario in relazione ad un contratto o un'azione legale, se sussistono motivi di rilevante interesse pubblico previsti dalla legislazione di uno Stato membro o dell'Unione o se i dati sono trasferiti da un registro stabilito per legge e destinato ad essere consultato dal pubblico o dalle persone aventi un legittimo interesse. In quest'ultimo caso, il trasferimento non deve riguardare la totalità dei dati o delle categorie di dati contenuti nel registro; inoltre, quando il registro è destinato ad essere consultato dalle persone aventi un legittimo interesse, i dati possono essere trasferiti soltanto se tali persone lo richiedono o ne sono destinatarie, tenendo pienamente conto degli interessi e dei diritti fondamentali dell'interessato.

Emendamento  60

Proposta di regolamento

Considerando 87

Testo della Commissione

Emendamento

(87) Tali deroghe devono in particolare valere per i trasferimenti di dati richiesti e necessari per la protezione di motivi di interesse pubblico rilevante, ad esempio nel caso di trasferimenti internazionali di dati tra autorità garanti della concorrenza, amministrazioni fiscali o doganali, autorità di controllo finanziario, tra i servizi competenti in materia di sicurezza sociale o verso autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati.

(87) Tali deroghe devono in particolare valere per i trasferimenti di dati richiesti e necessari per la protezione di motivi di interesse pubblico rilevante, ad esempio nel caso di trasferimenti internazionali di dati tra autorità garanti della concorrenza, amministrazioni fiscali o doganali, autorità di controllo finanziario, tra i servizi competenti in materia di sicurezza sociale o sanità pubblica, o verso autorità pubbliche competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, compresi la prevenzione del riciclaggio di denaro e la lotta contro il finanziamento del terrorismo. Il trasferimento di dati personali dovrebbe essere parimenti considerato lecito quando è necessario per tutelare un interesse essenziale per la vita dell'interessato o di un'altra persona, qualora l'interessato si trovi nell'incapacità di dare il proprio consenso. Il trasferimento dei dati personali per motivi rilevanti di interesse pubblico deve essere utilizzato solo per trasferimenti occasionali. In tutti i casi, è necessario effettuare un'attenta valutazione di tutte le circostanze del trasferimento.

Emendamento  61

Proposta di regolamento

Considerando 88

Testo della Commissione

Emendamento

(88) Potrebbero altresì essere autorizzati anche i trasferimenti non qualificabili come frequenti o massicci ai fini dei legittimi interessi del responsabile del trattamento o dell'incaricato del trattamento, dopo che questi abbia valutato tutte le circostanze relative al trasferimento. Ai fini del trattamento per finalità storiche, statistiche e di ricerca scientifica, si deve tener conto delle legittime aspettative della società nei confronti di un miglioramento delle conoscenze.

Ai fini del trattamento per finalità storiche, statistiche e di ricerca scientifica, si deve tener conto delle legittime aspettative della società nei confronti di un miglioramento delle conoscenze.

Emendamento  62

Proposta di regolamento

Considerando 89

Testo della Commissione

Emendamento

(89) In ogni caso, se la Commissione non ha preso alcuna decisione circa il livello adeguato di protezione dei dati di un paese terzo, il responsabile del trattamento o l'incaricato del trattamento deve ricorrere a soluzioni che diano all'interessato la garanzia che continuerà a beneficiare dei diritti e delle garanzie fondamentali previste dall'Unione in relazione al trattamento dei dati personali, anche dopo il trasferimento.

(89) In ogni caso, se la Commissione non ha preso alcuna decisione circa il livello adeguato di protezione dei dati di un paese terzo, il responsabile del trattamento o l'incaricato del trattamento deve ricorrere a soluzioni che diano all'interessato la garanzia giuridicamente vincolante che continuerà a beneficiare dei diritti e delle garanzie fondamentali previste dall'Unione in relazione al trattamento dei dati personali, anche dopo il trasferimento, purché il trattamento non sia massiccio, ripetitivo e strutturale. Tale garanzia deve includere l'indennizzo finanziario in caso di perdita o di accesso o trattamento non autorizzato dei dati e l'obbligo, indipendentemente dalla legislazione nazionale, di fornire tutti i dettagli relativi all'accesso ai dati da parte delle autorità pubbliche nel paese terzo.

Emendamento  63

Proposta di regolamento

Considerando 90

Testo della Commissione

Emendamento

(90) Alcuni paesi terzi adottano leggi, regolamenti e altri strumenti legislativi finalizzati a disciplinare direttamente le attività di trattamento dati di persone fisiche e giuridiche poste sotto la giurisdizione degli Stati membri. L'applicazione extraterritoriale di tali leggi, regolamenti e altri strumenti legislativi potrebbe essere contraria al diritto internazionale e ostacolare il conseguimento della tutela delle persone garantita nell'Unione con il presente regolamento. I trasferimenti dovrebbero quindi essere consentiti solo se ricorrono le condizioni previste dal presente regolamento per i trasferimenti a paesi terzi. Ciò vale tra l'altro quando la divulgazione è necessaria per un motivo di interesse pubblico rilevante riconosciuto dal diritto dell'Unione o dello Stato membro cui è soggetto il responsabile del trattamento. Occorre che la Commissione precisi le condizioni in cui sussiste un motivo di interesse pubblico rilevante con un atto delegato.

(90) Alcuni paesi terzi adottano leggi, regolamenti e altri strumenti legislativi finalizzati a disciplinare direttamente le attività di trattamento dati di persone fisiche e giuridiche poste sotto la giurisdizione degli Stati membri. L'applicazione extraterritoriale di tali leggi, regolamenti e altri strumenti legislativi potrebbe essere contraria al diritto internazionale e ostacolare il conseguimento della tutela delle persone garantita nell'Unione con il presente regolamento. I trasferimenti dovrebbero quindi essere consentiti solo se ricorrono le condizioni previste dal presente regolamento per i trasferimenti a paesi terzi. Ciò vale tra l'altro quando la divulgazione è necessaria per un motivo di interesse pubblico rilevante riconosciuto dal diritto dell'Unione o dello Stato membro cui è soggetto il responsabile del trattamento. Occorre che la Commissione precisi le condizioni in cui sussiste un motivo di interesse pubblico rilevante con un atto delegato. Laddove i responsabili del trattamento o gli incaricati del trattamento si trovino di fronte a requisiti di conformità contrastanti tra la giurisdizione dell'Unione, da una parte, e quella di un paese terzo, dall'altra, la Commissione deve garantire che il diritto dell'Unione prevalga in ogni circostanza. La Commissione ha il compito di fornire consulenza e assistenza al responsabile del trattamento e all'incaricato del trattamento nonché di cercare di risolvere il conflitto di giurisdizione con il paese terzo interessato.

Emendamento  64

Proposta di regolamento

Considerando 92

Testo della Commissione

Emendamento

(92) La designazione di autorità di controllo che agiscano in totale indipendenza in ciascuno Stato membro è un elemento essenziale della protezione delle persone con riguardo al trattamento di dati personali. Gli Stati membri possono istituire più di una autorità di controllo, al fine di rispecchiare la loro struttura costituzionale, organizzativa e amministrativa.

(92) La designazione di autorità di controllo che agiscano in totale indipendenza in ciascuno Stato membro è un elemento essenziale della protezione delle persone con riguardo al trattamento di dati personali. Gli Stati membri possono istituire più di una autorità di controllo, al fine di rispecchiare la loro struttura costituzionale, organizzativa e amministrativa. Le autorità dispongono delle risorse finanziarie e di personale adeguate per svolgere appieno il proprio ruolo, tenendo conto dell'entità della popolazione e della quantità di dati personali sottoposti a trattamento.

Emendamento  65

Proposta di regolamento

Considerando 94

Testo della Commissione

Emendamento

(94) Ciascuna autorità di controllo deve disporre di risorse umane e finanziarie adeguate, dei locali e delle infrastrutture necessarie per l'effettivo svolgimento dei propri compiti, compresi i compiti di assistenza reciproca e cooperazione con altre autorità di controllo in tutta l'Unione.

(94) Ciascuna autorità di controllo deve disporre di risorse umane e finanziarie adeguate, prestando particolare attenzione a garantire che il personale abbia le competenze tecniche e giuridiche adeguate, dei locali e delle infrastrutture necessari per l'effettivo svolgimento dei propri compiti, compresi i compiti di assistenza reciproca e cooperazione con altre autorità di controllo in tutta l'Unione.

Emendamento  66

Proposta di regolamento

Considerando 95

Testo della Commissione

Emendamento

(95) Le condizioni generali applicabili ai membri dell'autorità di controllo devono essere stabilite da ciascuno Stato membro e devono in particolare prevedere che i membri siano nominati dal parlamento o dal governo dello Stato membro e contenere disposizioni sulle qualifiche e sulle funzioni di tali membri.

(95) Le condizioni generali applicabili ai membri dell'autorità di controllo devono essere stabilite da ciascuno Stato membro e devono in particolare prevedere che i membri siano nominati dal parlamento o dal governo dello Stato membro, prestando la debita attenzione a ridurre al minimo la possibilità d'interferenza politica, e contenere disposizioni sulle qualifiche dei membri, sulla prevenzione dei conflitti d'interesse e sulle funzioni di tali membri.

Emendamento  67

Proposta di regolamento

Considerando 97

Testo della Commissione

Emendamento

(97) Qualora il trattamento dei dati personali nell'ambito delle attività di uno stabilimento di un responsabile del trattamento o incaricato del trattamento nell'Unione abbia luogo in più di uno Stato membro, è opportuno che un'unica autorità di controllo sia competente a controllare le attività del responsabile del trattamento o dell'incaricato del trattamento in tutta l'Unione e ad prendere le relative decisioni, in modo da aumentare la coerenza nell'applicazione, garantire la certezza giuridica e ridurre gli oneri amministrativi per tali responsabili del trattamento e incaricati del trattamento.

(97) Qualora il trattamento dei dati personali nell'ambito delle attività di uno stabilimento di un responsabile del trattamento o incaricato del trattamento nell'Unione abbia luogo in più di uno Stato membro, è opportuno che un'unica autorità di controllo funga da punto di contatto unico e da autorità di riferimento incaricata di controllare il responsabile del trattamento o l'incaricato del trattamento in tutta l'Unione e di prendere le relative decisioni, in modo da aumentare la coerenza nell'applicazione, garantire la certezza giuridica e ridurre gli oneri amministrativi per tali responsabili del trattamento e incaricati del trattamento.

 

Emendamento  68

Proposta di regolamento

Considerando 98

Testo della Commissione

Emendamento

(98) È necessario che l'autorità competente, che funge da "sportello unico", sia l'autorità di controllo dello Stato membro in cui il responsabile del trattamento o l'incaricato del trattamento ha lo stabilimento principale.

(98) È necessario che l'autorità di riferimento, che funge da "sportello unico", sia l'autorità di controllo dello Stato membro in cui il responsabile del trattamento o l'incaricato del trattamento ha lo stabilimento principale o il suo rappresentante. Il comitato europeo per la protezione dei dati può in alcuni casi nominare l'autorità di riferimento mediante il meccanismo di coerenza su richiesta di un'autorità competente.

Emendamento  69

Proposta di regolamento

Considerando 98 bis (nuovo)

Testo della Commissione

Emendamento

 

(98 bis) Gli interessati i cui dati personali sono sottoposti a trattamento da un responsabile del trattamento o incaricato del trattamento in un altro Stato membro devono poter sporgere reclamo presso l'autorità di controllo di loro scelta. L'autorità di protezione dei dati di riferimento deve coordinare le proprie attività con quelle delle altre autorità coinvolte.

Emendamento  70

Proposta di regolamento

Considerando 101

Testo della Commissione

Emendamento

(101) È necessario che ciascuna autorità di controllo tratti i reclami proposti da qualsiasi interessato e svolga le relative indagini; che a seguito di reclamo vada condotta un'indagine, soggetta a controllo giurisdizionale, nella misura in cui ciò sia opportuno nella fattispecie; che l'autorità di controllo informi gli interessati dei progressi e dei risultati del ricorso entro un termine ragionevole. Se il caso richiede un'ulteriore indagine o il coordinamento con un'altra autorità di controllo, l'interessato deve ricevere informazioni interlocutorie.

(101) È necessario che ciascuna autorità di controllo tratti i reclami proposti da qualsiasi interessato o associazione che agisce nel pubblico interesse e svolga le relative indagini; che a seguito di reclamo vada condotta un'indagine, soggetta a controllo giurisdizionale, nella misura in cui ciò sia opportuno nella fattispecie; che l'autorità di controllo informi gli interessati o l'associazione dei progressi e dei risultati del ricorso entro un termine ragionevole. Se il caso richiede un'ulteriore indagine o il coordinamento con un'altra autorità di controllo, l'interessato deve ricevere informazioni interlocutorie.

Emendamento  71

Proposta di regolamento

Considerando 105

Testo della Commissione

Emendamento

(105) È necessario istituire un meccanismo di coerenza per la cooperazione tra le autorità di controllo e con la Commissione, al fine di assicurare un'applicazione coerente del presente regolamento in tutta l'Unione. Tale meccanismo deve applicarsi in particolare quando un'autorità di controllo intenda adottare una misura relativa ad attività di trattamento finalizzate all'offerta di beni o servizi agli interessati in vari Stati membri o al controllo degli stessi, o che possono incidere significativamente sulla libera circolazione dei dati personali. È opportuno che il meccanismo si attivi anche quando un'autorità di controllo o la Commissione chiede che una questione sia trattata nell'ambito del meccanismo di coerenza. Tale meccanismo non deve pregiudicare le misure che la Commissione può adottare nell'esercizio dei suoi poteri a norma dei trattati.

(105) È necessario istituire un meccanismo di coerenza per la cooperazione tra le autorità di controllo e con la Commissione, al fine di assicurare un'applicazione coerente del presente regolamento in tutta l'Unione. Tale meccanismo deve applicarsi in particolare quando un'autorità di controllo intenda adottare una misura relativa ad attività di trattamento finalizzate all'offerta di beni o servizi agli interessati in vari Stati membri o al controllo degli stessi, o che possono incidere significativamente sulla libera circolazione dei dati personali. È opportuno che il meccanismo si attivi anche quando un'autorità di controllo o la Commissione chiede che una questione sia trattata nell'ambito del meccanismo di coerenza. Inoltre, gli interessati dovrebbero avere il diritto di ottenere coerenza, qualora ritengano che una misura adottata dall'autorità per la protezione dei dati di uno Stato membro non soddisfi questo criterio. Tale meccanismo non deve pregiudicare le misure che la Commissione può adottare nell'esercizio dei suoi poteri a norma dei trattati.

Emendamento 72

Proposta di regolamento

Considerando 106 bis (nuovo)

Testo della Commissione

Emendamento

 

(106 bis) Al fine di garantire l'applicazione coerente del presente regolamento, il comitato europeo per la protezione dei dati può, in singoli casi, adottare una decisione vincolante per le autorità di controllo competenti.

Emendamento  73

Proposta di regolamento

Considerando 107

Testo della Commissione

Emendamento

(107) Al fine di garantire il rispetto del presente regolamento, la Commissione può adottare un parere sulla questione, o una decisione volta a ingiungere all'autorità di controllo di sospendere il progetto di misura.

soppresso

Emendamento  74

Proposta di regolamento

Considerando 110

Testo della Commissione

Emendamento

(110) Occorre istituire a livello di Unione un comitato europeo per la protezione dei dati che sostituisca il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito con direttiva 95/46/CE. Il comitato deve essere composto dal responsabile dell'autorità di controllo di ciascuno Stato membro e dal garante europeo della protezione dei dati. È necessario che la Commissione partecipi alle attività del comitato. Il comitato europeo per la protezione dei dati deve contribuire all'applicazione uniforme del presente regolamento in tutta l'Unione, in particolare dando consulenza alla Commissione e promuovendo la cooperazione delle autorità di controllo in tutta l'Unione. Esso deve svolgere le sue funzioni in piena indipendenza.

(110) Occorre istituire a livello di Unione un comitato europeo per la protezione dei dati che sostituisca il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito con direttiva 95/46/CE. Il comitato deve essere composto dal responsabile dell'autorità di controllo di ciascuno Stato membro e dal garante europeo della protezione dei dati. Il comitato europeo per la protezione dei dati deve contribuire all'applicazione uniforme del presente regolamento in tutta l'Unione, in particolare dando consulenza alle istituzioni dell'Unione e promuovendo la cooperazione delle autorità di controllo in tutta l'Unione, ivi compreso il coordinamento delle operazioni congiunte. Esso deve svolgere le sue funzioni in piena indipendenza. È necessario che il comitato europeo per la protezione dei dati rafforzi il dialogo con le parti interessate, come le associazioni degli interessati, le organizzazioni dei consumatori, i responsabili del trattamento nonché altri attori pertinenti e gli esperti.

Emendamento  75

Proposta di regolamento

Considerando 111

Testo della Commissione

Emendamento

(111) Ciascun interessato deve avere il diritto di proporre reclamo a un'autorità di controllo di qualunque Stato membro e il diritto di proporre ricorso giurisdizionale qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento o se l'autorità di controllo non dà seguito a un reclamo o non agisce quando è necessario intervenire per proteggere i suoi diritti di interessato.

(111) Gli interessati devono avere il diritto di proporre reclamo a un'autorità di controllo di qualunque Stato membro e il diritto di proporre un ricorso giurisdizionale effettivo a norma dell'articolo 47 della Carta dei diritti fondamentali qualora ritengano che siano stati violati i diritti di cui godono a norma del presente regolamento o se l'autorità di controllo non dà seguito a un reclamo o non agisce quando è necessario intervenire per proteggere i loro diritti di interessati.

Emendamento  76

Proposta di regolamento

Considerando 112

Testo della Commissione

Emendamento

(112) L'organismo, l'organizzazione o associazione che intenda tutelare i diritti e gli interessi degli interessati in relazione alla protezione dei dati personali e sia istituito o istituita a norma della legislazione di uno Stato membro deve avere il diritto di proporre reclamo a un'autorità di controllo di qualunque Stato membro o esercitare il diritto a un ricorso giurisdizionale per conto degli interessati, o di proporre un proprio reclamo indipendente dall'azione dell'interessato, se ritiene che sussista violazione dei dati personali.

(112) L'organismo, l'organizzazione o associazione che agisce nell'interesse pubblico e sia istituito o istituita a norma della legislazione di uno Stato membro deve avere il diritto di proporre reclamo a un'autorità di controllo per conto degli interessati con il loro consenso o esercitare il diritto a un ricorso giurisdizionale se autorizzato o autorizzata dall'interessato, o di proporre un proprio reclamo indipendente dall'azione dell'interessato, se ritiene che sussista violazione del presente regolamento.

Emendamento           77

Proposta di regolamento

Considerando 114

Testo della Commissione

Emendamento

(114) Al fine di potenziare la tutela giurisdizionale dell'interessato nei casi in cui l'autorità di controllo competente è stabilita in uno Stato membro diverso da quello in cui risiede l'interessato, questi può chiedere a qualsiasi organismo, organizzazione o associazione mirante a tutelare i diritti e gli interessi degli interessati in relazione alla protezione dei dati personali di proporre un ricorso giurisdizionale per suo conto contro tale autorità di controllo davanti all'autorità giurisdizionale competente nell'altro Stato membro.

(114) Al fine di potenziare la tutela giurisdizionale dell'interessato nei casi in cui l'autorità di controllo competente è stabilita in uno Stato membro diverso da quello in cui risiede l'interessato, questi può autorizzare qualsiasi organismo, organizzazione o associazione che agisce nel pubblico interesse a proporre un ricorso giurisdizionale contro tale autorità di controllo davanti all'autorità giurisdizionale competente nell'altro Stato membro.

Emendamento  78

Proposta di regolamento

Considerando 115

Testo della Commissione

Emendamento

(115) Nei casi in cui l'autorità di controllo competente stabilita in un altro Stato membro non agisca o abbia adottato misure insufficienti a seguito di un reclamo, l'interessato può chiedere all'autorità di controllo dello Stato membro in cui ha la residenza abituale di proporre un ricorso giurisdizionale contro tale autorità di controllo davanti all'autorità giurisdizionale competente nell'altro Stato membro. L'autorità di controllo richiesta può decidere, con atto impugnabile in via giurisdizionale, se sia opportuno dare seguire alla richiesta.

(115) Nei casi in cui l'autorità di controllo competente stabilita in un altro Stato membro non agisca o abbia adottato misure insufficienti a seguito di un reclamo, l'interessato può chiedere all'autorità di controllo dello Stato membro in cui ha la residenza abituale di proporre un ricorso giurisdizionale contro tale autorità di controllo davanti all'autorità giurisdizionale competente nell'altro Stato membro. Tale disposizione non si applica ai soggetti non residenti nell'Unione. L'autorità di controllo richiesta può decidere, con atto impugnabile in via giurisdizionale, se sia opportuno dare seguito alla richiesta.

Emendamento  79

Proposta di regolamento

Considerando 116

Testo della Commissione

Emendamento

(116) Nei ricorsi contro un responsabile del trattamento o incaricato del trattamento, il ricorrente deve poter avviare un'azione legale dinanzi al giudice dello Stato membro in cui il responsabile del trattamento o l'incaricato del trattamento ha uno stabilimento o in cui risiede l'interessato, salvo che il responsabile del trattamento sia un ente pubblico che agisce nell'esercizio dei suoi poteri pubblici.

(116) Nei ricorsi contro un responsabile del trattamento o incaricato del trattamento, il ricorrente deve poter avviare un'azione legale dinanzi al giudice dello Stato membro in cui il responsabile del trattamento o l'incaricato del trattamento ha uno stabilimento o, in caso di residenza nell'Unione, in cui risiede l'interessato, salvo che il responsabile del trattamento sia un ente pubblico dell'Unione o di uno Stato membro che agisce nell'esercizio dei suoi poteri pubblici.

Emendamento  80

Proposta di regolamento

Considerando 118

Testo della Commissione

Emendamento

(118) Il responsabile del trattamento o l'incaricato del trattamento deve risarcire i danni cagionati da un trattamento illecito ma può essere esonerato da tale responsabilità se prova che l'evento dannoso non gli è imputabile, segnatamente se dimostra che a causare l'errore è stato l'interessato o in caso di forza maggiore.

(118) Il responsabile del trattamento o l'incaricato del trattamento deve risarcire i danni, pecuniari o meno, cagionati da un trattamento illecito e può essere esonerato da tale responsabilità soltanto se prova che l'evento dannoso non gli è imputabile, segnatamente se dimostra che a causare l'errore è stato l'interessato o in caso di forza maggiore.

Emendamento  81

Proposta di regolamento

Considerando 119

Testo della Commissione

Emendamento

(119) Dovrebbe essere punibile chiunque, persona di diritto pubblico o di diritto privato, non ottemperi alle disposizioni del presente regolamento. Gli Stati membri devono garantire sanzioni efficaci, proporzionate e dissuasive e adottare tutte le misure necessarie per la loro applicazione.

(119) Dovrebbe essere punibile chiunque, persona di diritto pubblico o di diritto privato, non ottemperi alle disposizioni del presente regolamento. Gli Stati membri devono garantire sanzioni efficaci, proporzionate e dissuasive e adottare tutte le misure necessarie per la loro applicazione. Le sanzioni per violazione devono essere soggette ad adeguate garanzie procedurali conformemente ai principi generali del diritto dell'Unione e della Carta dei diritti fondamentali, comprese quelle riguardanti il diritto a un ricorso giurisdizionale effettivo, al giusto processo e il principio "ne bis in idem".

Emendamento  82

Proposta di regolamento

Considerando 119 bis (nuovo)

Testo della Commissione

Emendamento

 

(119 bis) Nell'applicare le sanzioni gli Stati membri sono tenuti a rispettare appieno le garanzie procedurali adeguate, compreso il diritto a un ricorso giurisdizionale effettivo e al giusto processo e il principio "ne bis in idem".

Emendamento  83

Proposta di regolamento

Considerando 121

Testo della Commissione

Emendamento

(121) Il trattamento di dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria dovrebbe poter derogare ad alcune disposizioni del presente regolamento per conciliare il diritto alla protezione dei dati personali con il diritto alla libertà d'espressione, in particolare la libertà di ricevere e comunicare informazioni garantita in particolare dall'articolo 11 della Carta dei diritti fondamentali dell'Unione europea. Ciò dovrebbe applicarsi in particolare al trattamento dei dati personali nel settore audiovisivo, negli archivi stampa e nelle emeroteche. È necessario pertanto che gli Stati adottino misure legislative che prevedano le deroghe e le esenzioni necessarie ai fini di un equilibrio tra questi diritti fondamentali. Gli Stati membri dovrebbero adottare tali esenzioni e deroghe con riferimento alle disposizioni concernenti i principi generali, i diritti dell'interessato, il responsabile del trattamento e l'incaricato del trattamento, il trasferimento di dati a paesi terzi o a organizzazioni internazionali, le autorità di controllo indipendenti, la cooperazione e la coerenza. Tuttavia ciò non deve indurre gli Stati membri a prevedere deroghe alle altre disposizioni del presente regolamento. Per tenere conto dell'importanza del diritto alla libertà di espressione in tutte le società democratiche è necessario interpretare in modo esteso i concetti relativi a detta libertà, quali la nozione di giornalismo. Pertanto, ai fini delle esenzioni e deroghe da stabilire nel presente regolamento, gli Stati membri dovrebbero classificare come "giornalistiche" le attività finalizzate alla diffusione al pubblico di informazioni, pareri o idee, indipendentemente dal canale utilizzato per la loro trasmissione, senza limitarle alle imprese operanti nel settore dei media ma includendovi le attività intraprese con o senza scopo di lucro.

(121) Ove necessario, occorre prevedere per il trattamento di dati personali esenzioni e deroghe ad alcune disposizioni del presente regolamento per conciliare il diritto alla protezione dei dati personali con il diritto alla libertà d'espressione, in particolare la libertà di ricevere e comunicare informazioni garantita in particolare dall'articolo 11 della Carta dei diritti fondamentali dell'Unione europea. È necessario pertanto che gli Stati adottino misure legislative che prevedano le deroghe e le esenzioni necessarie ai fini di un equilibrio tra questi diritti fondamentali. Gli Stati membri dovrebbero adottare tali esenzioni e deroghe con riferimento alle disposizioni concernenti i principi generali, i diritti dell'interessato, il responsabile del trattamento e l'incaricato del trattamento, il trasferimento di dati a paesi terzi o a organizzazioni internazionali, le autorità di controllo indipendenti, la cooperazione e la coerenza nonché situazioni di trattamento dei dati specifiche. Tuttavia ciò non deve indurre gli Stati membri a prevedere deroghe alle altre disposizioni del presente regolamento. Per tenere conto dell'importanza del diritto alla libertà di espressione in tutte le società democratiche è necessario interpretare in modo esteso i concetti relativi a detta libertà al fine di includere tutte le attività finalizzate alla diffusione al pubblico di informazioni, pareri o idee, indipendentemente dal canale utilizzato per la loro trasmissione, anche considerando lo sviluppo tecnologico, senza limitarle alle imprese operanti nel settore dei media ma includendovi le attività intraprese con o senza scopo di lucro.

Emendamento  84

Proposta di regolamento

Considerando 122 bis (nuovo)

Testo della Commissione

Emendamento

 

(122 bis) Un professionista che tratta dati personali relativi alla salute dovrebbe ricevere, se possibile, dati resi anonimi o presentati con l'uso di pseudonimi, in modo che l'identità dell'interessato sia nota solo al medico generico o allo specialista che ha chiesto il trattamento dei dati.

Emendamento  85

Proposta di regolamento

Considerando 123

Testo della Commissione

Emendamento

(123) Il trattamento dei dati relativi alla salute può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell'interessato. In questo contesto, il concetto di "sanità pubblica" va interpretato secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008, relativo alle statistiche comunitarie in materia di sanità pubblica e di salute e sicurezza sul luogo di lavoro: tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all'assistenza sanitaria, la prestazione di assistenza sanitaria e l'accesso universale ad essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità. Il trattamento dei dati personali relativi alla salute effettuato per motivi di interesse pubblico non deve comportare il trattamento dei dati per altre finalità da parte di terzi, quali datori di lavoro, compagnie di assicurazione e istituti di credito.

(123) Il trattamento dei dati relativi alla salute può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell'interessato. In questo contesto, il concetto di "sanità pubblica" va interpretato secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio1: tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all'assistenza sanitaria, la prestazione di assistenza sanitaria e l'accesso universale ad essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità.

 

1 Regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008, relativo alle statistiche comunitarie in materia di sanità pubblica e di salute e sicurezza sul luogo di lavoro (GU L 354 del 31.12.2008, pag. 70).

Emendamento  86

Proposta di regolamento

Considerando 123 bis (nuovo)

Testo della Commissione

Emendamento

 

(123 bis) Il trattamento dei dati personali relativi alla salute, in quanto categoria particolare di dati, può essere necessario per finalità storiche, statistiche o di ricerca scientifica. Il presente regolamento prevede pertanto una deroga all'obbligo di prestare il consenso nel caso della ricerca che serve interessi pubblici elevati.

Emendamento  87

Proposta di regolamento

Considerando 124

Testo della Commissione

Emendamento

(124) I principi generali della protezione delle persone fisiche con riguardo al trattamento dei dati personali devono trovare applicazione anche nei rapporti di lavoro. Pertanto, al fine di disciplinare il trattamento dei dati personali dei lavoratori in tale ambito, gli Stati membri devono avere facoltà, nei limiti del presente regolamento, di emanare specifiche disposizioni applicabili al trattamento dei dati personali nel settore del lavoro.

(124) I principi generali della protezione delle persone fisiche con riguardo al trattamento dei dati personali devono trovare applicazione anche nei rapporti di lavoro e nell'ambito della sicurezza sociale. Gli Stati membri devono poter disciplinare il trattamento dei dati personali dei lavoratori nell'ambito dei rapporti di lavoro e il trattamento dei dati personali nell'ambito della sicurezza sociale conformemente alle disposizioni e alle norme minime fissate nel presente regolamento. Nella misura in cui nello Stato membro in questione è prevista una base giuridica per la regolamentazione di questioni relative ai rapporti di lavoro tramite accordi tra i rappresentanti dei lavoratori e la direzione dell'impresa o dell'impresa controllante di un gruppo di imprese (accordo collettivo) o a norma della direttiva 2009/38/CE del Parlamento europeo e del Consiglio1, il trattamento dei dati personali nel contesto dei rapporti di lavoro può essere regolamentato anche tramite un accordo analogo.

 

1 Direttiva 2009/38/CE del Parlamento europeo e del Consiglio, del 6 maggio 2009, riguardante l'istituzione di un comitato aziendale europeo o di una procedura per l'informazione e la consultazione dei lavoratori nelle imprese e nei gruppi di imprese di dimensioni comunitarie (GU L 122 del 16.5.2009, pag. 28).

Emendamento  88

Proposta di regolamento

Considerando 125 bis (nuovo)

Testo della Commissione

Emendamento

 

(125 bis) I dati personali possono essere altresì trattati successivamente da servizi di archiviazione aventi come compito principale o obbligo la raccolta, la conservazione, la fornitura di informazioni, la valorizzazione e la diffusione degli archivi nell'interesse pubblico. La legislazione dello Stato membro deve conciliare il diritto alla protezione dei dati personali e le norme sugli archivi e sull'accesso del pubblico alle informazioni amministrative. Gli Stati membri sono tenuti a incoraggiare l'elaborazione, soprattutto da parte del gruppo "Archivi europei", di norme volte a garantire la riservatezza dei dati nei confronti di terzi nonché l'autenticità, l'integrità e la corretta conservazione dei dati.

Emendamento  89

Proposta di regolamento

Considerando 126

Testo della Commissione

Emendamento

(126) La ricerca scientifica nell'ambito del presente regolamento deve includere la ricerca fondamentale, la ricerca applicata e la ricerca finanziata da privati e deve, inoltre, tenere conto dell'obiettivo dell'Unione di istituire uno spazio europeo della ricerca ai sensi dell'articolo 179, paragrafo 1, del trattato sul funzionamento dell'Unione europea.

(126) La ricerca scientifica nell'ambito del presente regolamento deve includere la ricerca fondamentale, la ricerca applicata e la ricerca finanziata da privati e deve, inoltre, tenere conto dell'obiettivo dell'Unione di istituire uno spazio europeo della ricerca ai sensi dell'articolo 179, paragrafo 1, del trattato sul funzionamento dell'Unione europea. Il trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica non deve portare al trattamento dei dati per finalità diverse, salvo che con il consenso dell'interessato o sulla base del diritto dell'Unione o di uno Stato membro.

Emendamento  90

Proposta di regolamento

Considerando 128

Testo della Commissione

Emendamento

(128) Il presente regolamento rispetta e non pregiudica lo status di cui godono le chiese e le associazioni o comunità religiose negli Stati membri in virtù del diritto nazionale, in conformità dell'articolo 17 del trattato sul funzionamento dell'Unione europea. Di conseguenza, se in uno Stato membro una chiesa applica, al momento dell'entrata in vigore del presente regolamento, un corpus completo di norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali, è opportuno che tali norme continuino ad applicarsi purché siano conformi alle disposizioni del presente regolamento. Dette chiese e associazioni religiose dovrebbero essere tenute a istituire un'autorità di controllo pienamente indipendente.

(128) Il presente regolamento rispetta e non pregiudica lo status di cui godono le chiese e le associazioni o comunità religiose negli Stati membri in virtù del diritto nazionale, in conformità dell'articolo 17 del trattato sul funzionamento dell'Unione europea. Di conseguenza, se in uno Stato membro una chiesa applica, al momento dell'entrata in vigore del presente regolamento, un corpus di norme adeguate a tutela delle persone fisiche con riguardo al trattamento dei dati personali, è opportuno che tali norme continuino ad applicarsi purché siano conformi alle disposizioni del presente regolamento e la loro conformità sia riconosciuta.

Emendamento  91

Proposta di regolamento

Considerando 129

Testo della Commissione

Emendamento

(129) Al fine di conseguire gli obiettivi del regolamento, segnatamente tutelare i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali, e garantire la libera circolazione di tali dati nell'Unione, occorre conferire alla Commissione il potere di adottare atti a norma dell'articolo 290 del trattato sul funzionamento dell'Unione europea. In particolare, dovrebbero essere adottati atti delegati riguardanti la liceità del trattamento; i criteri e le condizioni relativi al consenso dei minori; il trattamento di categorie particolari di dati; i criteri e le condizioni per le richieste manifestamente eccessive e il contributo spese per l'esercizio dei diritti dell'interessato; i criteri e i requisiti applicabili all'informazione dell'interessato e al diritto di accesso; il diritto all'oblio e alla cancellazione; le misure basate sulla profilazione; i criteri e i requisiti relativi alla responsabilità del responsabile del trattamento e alla protezione sin dalla progettazione e alla protezione di default; l'incaricato del trattamento; i criteri e i requisiti per la documentazione e la sicurezza dei trattamenti; i criteri e requisiti per accertare una violazione dei dati personali e notificarla all'autorità di controllo e per stabilire le circostanze in cui una violazione di dati personali rischia di danneggiare l'interessato; i criteri e le condizioni perché le operazioni di trattamento richiedano una valutazione d'impatto sulla protezione dei dati; i criteri e i requisiti per determinare se sussistano rischi specifici tali da giustificare una consultazione preliminare; la designazione e il mandato del responsabile della protezione dei dati; i codici di condotta; i criteri e i requisiti dei meccanismi di certificazione; i criteri e requisiti per i trasferimenti in presenza di norme vincolanti d'impresa; le deroghe al trasferimento; le sanzioni amministrative; il trattamento a fini sanitari; il trattamento nel contesto del rapporto di lavoro e il trattamento per finalità storiche, statistiche e di ricerca scientifica. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti. Nel contesto della preparazione e della stesura degli atti delegati, occorre che la Commissione garantisca contemporaneamente una trasmissione corretta e tempestiva dei documenti pertinenti al Parlamento europeo e al Consiglio.

(129) Al fine di conseguire gli obiettivi del regolamento, segnatamente tutelare i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali, e garantire la libera circolazione di tali dati nell'Unione, occorre conferire alla Commissione il potere di adottare atti a norma dell'articolo 290 del trattato sul funzionamento dell'Unione europea. In particolare, dovrebbero essere adottati atti delegati riguardanti le condizioni della modalità sotto forma di icone per la diffusione delle informazioni; il diritto alla cancellazione; la dichiarazione che i codici di condotta sono conformi al regolamento; i criteri e i requisiti dei meccanismi di certificazione; l'adeguatezza della tutela offerta da un paese terzo o da un'organizzazione internazionale; i criteri e requisiti per i trasferimenti in presenza di norme vincolanti d'impresa; le sanzioni amministrative; il trattamento a fini sanitari e il trattamento nel contesto del rapporto di lavoro. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, in particolare con il comitato europeo per la protezione dei dati. Nel contesto della preparazione e della stesura degli atti delegati, occorre che la Commissione garantisca contemporaneamente una trasmissione corretta e tempestiva dei documenti pertinenti al Parlamento europeo e al Consiglio.

Emendamento  92

Proposta di regolamento

Considerando 130

Testo della Commissione

Emendamento

(130) Al fine di garantire condizioni uniformi per l'attuazione del presente regolamento, è necessario attribuire alla Commissione competenze di esecuzione affinché definisca moduli standard in relazione al trattamento dei dati personali di un minore; procedure e moduli standard per l'esercizio dei diritti dell'interessato; moduli standard per l'informazione dell'interessato; moduli standard e procedure in relazione al diritto di accesso e il diritto alla portabilità dei dati; moduli standard relativi alla responsabilità del responsabile del trattamento in relazione alla protezione sin dalla progettazione e alla protezione di default e alla documentazione; requisiti specifici per la sicurezza dei trattamenti; il formato standard e le procedure per la notificazione di una violazione dei dati personali all'autorità di controllo e la comunicazione di tale violazione all'interessato; norme e procedure per la valutazione d'impatto sulla protezione dei dati; moduli e procedure di autorizzazione preventiva e di consultazione preventiva; norme tecniche e meccanismi di certificazione; l'adeguatezza della protezione offerta da un paese terzo, o da un territorio o settore di trattamento dati all'interno del paese terzo, o da un'organizzazione internazionale; la divulgazione non autorizzata dal diritto dell'Unione; l'assistenza reciproca; le operazioni congiunte; le decisioni nel quadro del meccanismo di coerenza. Tali competenze devono essere esercitate in conformità del regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione. A tal fine, la Commissione dovrebbe contemplare misure specifiche per le micro, piccole e medie imprese.

(130) Al fine di garantire condizioni uniformi per l'attuazione del presente regolamento, è necessario attribuire alla Commissione competenze di esecuzione affinché definisca moduli standard riguardanti le modalità specifiche per ottenere un consenso verificabile in relazione al trattamento dei dati personali di un minore; moduli standard per le comunicazioni agli interessati in relazione all'esercizio dei loro diritti; moduli standard per l'informazione dell'interessato; moduli standard in relazione al diritto di accesso, anche per comunicare i dati personali all'interessato; moduli standard relativi alla documentazione che il responsabile del trattamento e l'incaricato del trattamento devono conservare; il modulo standard per la notificazione di una violazione dei dati personali all'autorità di controllo e per la documentazione di una violazione dei dati personali; moduli di consultazione preventiva e di informazione dell'autorità di controllo. Tali competenze devono essere esercitate in conformità del regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio1. A tal fine, la Commissione dovrebbe contemplare misure specifiche per le micro, piccole e medie imprese.

 

1 Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione. A tal fine, la Commissione dovrebbe contemplare misure specifiche per le micro, piccole e medie imprese.

Emendamento  93

Proposta di regolamento

Considerando 131

Testo della Commissione

Emendamento

(131) La procedura d'esame dovrebbe applicarsi per l'adozione di moduli standard in relazione al consenso di un minore; di procedure e moduli standard per l'esercizio dei diritti dell'interessato; di moduli standard per l'informazione dell'interessato; di moduli standard e procedure in relazione al diritto di accesso e al diritto alla portabilità dei dati; di moduli standard relativi alla responsabilità del responsabile del trattamento in relazione alla protezione sin dalla progettazione e alla protezione di default e alla documentazione; di requisiti specifici per la sicurezza dei trattamenti; del formato standard e delle procedure per la notificazione di una violazione dei dati personali all'autorità di controllo e la comunicazione di una violazione dei dati personali all'interessato; delle norme e procedure per la valutazione d'impatto sulla protezione dei dati; di moduli e procedure di autorizzazione preventiva e di consultazione preventiva; delle norme tecniche e dei meccanismi di certificazione; per l'adeguatezza della protezione offerta da un paese terzo, o da un territorio o settore di trattamento dati all'interno del paese terzo, o da un'organizzazione internazionale; per la divulgazione non autorizzata dal diritto dell'Unione; per l'assistenza reciproca; per le operazioni congiunte e per le decisioni nel quadro del meccanismo di coerenza, in considerazione della portata generale di tali atti.

(131) La procedura d'esame dovrebbe applicarsi per l'adozione di moduli standard; di moduli standard riguardanti le modalità specifiche per ottenere un consenso verificabile in relazione al trattamento dei dati personali di un minore; di moduli standard per le comunicazioni agli interessati in relazione all'esercizio dei loro diritti; di moduli standard per l'informazione dell'interessato; di moduli standard in relazione al diritto di accesso, anche per comunicare i dati personali all'interessato; di moduli standard relativi alla documentazione che il responsabile del trattamento e l'incaricato del trattamento devono conservare; del modulo standard per la notificazione di una violazione dei dati personali all'autorità di controllo e per la documentazione di una violazione dei dati personali; di moduli di consultazione preventiva e di informazione dell'autorità di controllo, in considerazione della portata generale di tali atti.

Emendamento  94

Proposta di regolamento

Considerando 132

Testo della Commissione

Emendamento

(132) È opportuno che la Commissione adotti atti di esecuzione immediatamente applicabili quando, in casi debitamente giustificati relativi ad un paese terzo, o a un territorio o settore di trattamento dati all'interno del paese terzo, o a un'organizzazione internazionale che non garantisce un livello di protezione adeguato e concernenti questioni comunicate dalle autorità di controllo conformemente al meccanismo di coerenza, ciò sia reso necessario da imperativi motivi di urgenza.

soppresso

Emendamento  95

Proposta di regolamento

Considerando 134

Testo della Commissione

Emendamento

(134) Il presente regolamento dovrebbe abrogare la direttiva 95/46/CE. Ciò nondimeno, è opportuno che rimangano in vigore le decisioni della Commissione e le autorizzazioni delle autorità di controllo basate sulla direttiva 95/46/CE.

(134) Il presente regolamento dovrebbe abrogare la direttiva 95/46/CE. Ciò nondimeno, è opportuno che rimangano in vigore le decisioni della Commissione e le autorizzazioni delle autorità di controllo basate sulla direttiva 95/46/CE. È opportuno che le decisioni della Commissione e le autorizzazioni delle autorità di controllo relative al trasferimento di dati personali a paesi terzi a norma dell'articolo 41, paragrafo 8, restino in vigore per un periodo transitorio di cinque anni dalla data di entrata in vigore del presente regolamento a meno che non vengono modificate, sostituite o abrogate dalla Commissione prima della fine di tale periodo.

Emendamento  96

Proposta di regolamento

Articolo 2

Testo della Commissione

Emendamento

Campo di applicazione materiale

Campo di applicazione materiale

1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali, indipendentemente dalla modalità di trattamento, e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

2. Le disposizioni del presente regolamento non si applicano ai trattamenti di dati personali:

2. Le disposizioni del presente regolamento non si applicano ai trattamenti di dati personali:

a) effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione, concernenti in particolare la sicurezza nazionale;

a) effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione;

b) effettuati da istituzioni, organi e organismi dell'Unione;

 

c) effettuati dagli Stati membri nell'esercizio di attività che rientrano nel campo di applicazione del capo 2 del trattato sull'Unione europea;

c) effettuati dagli Stati membri nell'esercizio di attività che rientrano nel campo di applicazione del capo 2 del titolo V del trattato sull'Unione europea;

d) effettuati da una persona fisica senza finalità di lucro per l'esercizio di attività esclusivamente personali o domestiche;

d) effettuati da una persona fisica per l'esercizio di attività esclusivamente personali o domestiche. Tale deroga si applica altresì alla pubblicazione di dati personali qualora si possa ragionevolmente prevedere che vi avrà accesso solamente un numero limitato di persone;

e) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali.

e) effettuati dalle autorità pubbliche competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali.

3. Il presente regolamento lascia impregiudicata l'applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui ai suoi articoli da 12 a 15.

3. Il presente regolamento lascia impregiudicata l'applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui ai suoi articoli da 12 a 15.

Emendamento  97

Proposta di regolamento

Articolo 3

Testo della Commissione

Emendamento

Campo di applicazione territoriale

Campo di applicazione territoriale

1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento di un responsabile del trattamento o di un incaricato del trattamento nell'Unione.

1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento di un responsabile del trattamento o di un incaricato del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione.

2. Il presente regolamento si applica al trattamento dei dati personali di residenti nell'Unione effettuato da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano:

2. Il presente regolamento si applica al trattamento dei dati personali di interessati nell'Unione effettuato da un responsabile del trattamento o da un incaricato del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano:

a) l'offerta di beni o la prestazione di servizi ai suddetti residenti nell'Unione, oppure

a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure

b) il controllo del loro comportamento.

b) il controllo di tali interessati.

3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un responsabile del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto nazionale di uno Stato membro in virtù del diritto internazionale pubblico.

3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un responsabile del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto nazionale di uno Stato membro in virtù del diritto internazionale pubblico.

Emendamento  98

Proposta di regolamento

Articolo 4

Testo della Commissione

Emendamento

Definizioni

Definizioni

Ai fini del presente regolamento s'intende per:

Ai fini del presente regolamento s'intende per:

(1) "interessato": la persona fisica identificata o identificabile, direttamente o indirettamente, con mezzi che il responsabile del trattamento o altra persona fisica o giuridica ragionevolmente può utilizzare, con particolare riferimento a un numero di identificazione, a dati relativi all'ubicazione, a un identificativo on line o a uno o più elementi caratteristici della sua identità genetica, fisica, fisiologica, psichica, economica, culturale o sociale;

 

(2) "dati personali": qualsiasi informazione concernente l'interessato;

(2) "dati personali": qualsiasi informazione concernente una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un identificativo come il nome, a un numero di identificazione, ai dati relativi all'ubicazione, a un identificativo unico o a uno o più elementi caratteristici dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale, o dell'identità di genere di tale persona;

 

(2 bis) "dati pseudonimi": i dati personali che non possono essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, purché tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire la non attribuzione;

 

(2 ter) "dati cifrati": i dati personali che, mediante misure tecnologiche di protezione, sono resi inintelligibili a chiunque non sia autorizzato ad accedervi;

(3) "trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la memorizzazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la cancellazione o la distruzione;

(3) "trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la memorizzazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la cancellazione o la distruzione;

 

(3 bis) "profilazione": qualsiasi forma di trattamento automatizzato di dati personali destinata a valutare taluni aspetti della personalità di una persona fisica o ad analizzarne o prevederne in particolare il rendimento professionale, la situazione economica, l'ubicazione, lo stato di salute, le preferenze personali, l'affidabilità o il comportamento;

(4) "archivio": qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

(4) "archivio": qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

(5) "responsabile del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità, le condizioni e i mezzi del trattamento di dati personali; quando le finalità, le condizioni e i mezzi del trattamento sono determinati dal diritto dell'Unione o dal diritto di uno Stato membro, il responsabile del trattamento o i criteri specifici applicabili alla sua nomina possono essere designati dal diritto dell'Unione o dal diritto dello Stato membro;

(5) "responsabile del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi del trattamento sono determinati dal diritto dell'Unione o dal diritto di uno Stato membro, il responsabile del trattamento o i criteri specifici applicabili alla sua nomina possono essere designati dal diritto dell'Unione o dal diritto dello Stato membro;

(6) "incaricato del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;

(6) "incaricato del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;

(7) "destinatario": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati personali;

(7) "destinatario": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati personali;

 

(7 bis) "terzo": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo diverso dall'interessato, il responsabile del trattamento, l'incaricato del trattamento e le persone autorizzate al trattamento dei dati sotto l'autorità diretta del responsabile e dell'incaricato;

(8) "consenso dell'interessato": qualsiasi manifestazione di volontà libera, specifica, informata ed esplicita con la quale l'interessato accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

(8) "consenso dell'interessato": qualsiasi manifestazione di volontà libera, specifica, informata ed esplicita con la quale l'interessato accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

(9) "violazione dei dati personali": violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati;

(9) "violazione dei dati personali": la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso, in modo accidentale o illecito, ai dati personali trasmessi, memorizzati o comunque elaborati;

(10) "dati genetici": tutti i dati, di qualsiasi natura, riguardanti le caratteristiche di una persona fisica che siano ereditarie o acquisite in uno stadio precoce di sviluppo prenatale;

(10) "dati genetici": tutti i dati personali riguardanti le caratteristiche genetiche di una persona fisica che siano state ereditate o acquisite, ottenuti dall'analisi di un campione biologico della persona in questione, in particolare dall'analisi dei cromosomi, dell'acido desossiribonucleico (DNA) o dell'acido ribonucleico (RNA) ovvero dall'analisi di qualsiasi altro elemento che consenta di ottenere informazioni equivalenti;

(11) "dati biometrici": i dati relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona che ne consentono l'identificazione univoca, quali l'immagine facciale o i rilievi dattiloscopici;

(11) "dati biometrici": i dati personali relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona che ne consentono l'identificazione univoca, quali l'immagine facciale o i rilievi dattiloscopici;

(12) "dati relativi alla salute": qualsiasi informazione attinente alla salute fisica o mentale di una persona o alla prestazione di servizi sanitari a detta persona;

(12) "dati relativi alla salute": i dati personali attinenti alla salute fisica o mentale di una persona o alla prestazione di servizi sanitari a detta persona;

(13) "stabilimento principale": per quanto riguarda il responsabile del trattamento, il luogo di stabilimento nell'Unione in cui sono prese le principali decisioni sulle finalità, le condizioni e i mezzi del trattamento di dati personali; se non sono prese decisioni di questo tipo nell'Unione, il luogo in cui sono condotte le principali attività di trattamento nell'ambito delle attività di uno stabilimento di un responsabile del trattamento nell'Unione. Con riferimento all'incaricato del trattamento, per "stabilimento principale" si intende il luogo in cui ha sede la sua amministrazione centrale nell'Unione.

(13) "stabilimento principale": il luogo di stabilimento dell'impresa o di un gruppo di imprese nell'Unione, siano essi responsabili oppure incaricati del trattamento, in cui sono prese le principali decisioni sulle finalità, le condizioni e i mezzi del trattamento di dati personali. Fra gli altri possono essere presi in considerazione i seguenti criteri oggettivi: l'ubicazione della sede centrale del responsabile o dell'incaricato del trattamento; l'ubicazione dell'entità all'interno del gruppo di imprese che si trova nella posizione migliore, in termini di funzioni di gestione e responsabilità amministrative, per occuparsi delle disposizioni stabilite nel presente regolamento e garantirne l'applicazione; il luogo in cui avviene l'effettivo e reale svolgimento delle attività di gestione finalizzate a determinare il trattamento dei dati nel quadro di un'organizzazione stabile;

(14) "rappresentante": la persona fisica o giuridica stabilita nell'Unione che, espressamente designata dal responsabile del trattamento, agisce e può, per quanto concerne gli obblighi incombenti al responsabile del trattamento a norma del presente regolamento, essere interpellata al suo posto dalle autorità di controllo e da altri organismi nell'Unione;

(14) "rappresentante": la persona fisica o giuridica stabilita nell'Unione che, espressamente designata dal responsabile del trattamento, lo rappresenta per quanto concerne gli obblighi incombenti al responsabile del trattamento a norma del presente regolamento;

(15) "impresa": ogni entità, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente pertanto, in particolare, le persone fisiche e giuridiche, le società di persone o le associazioni che esercitano un'attività economica;

(15) "impresa": ogni entità, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente pertanto, in particolare, le persone fisiche e giuridiche, le società di persone o le associazioni che esercitano un'attività economica;

(16) "gruppo di imprese": un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate;

(16) "gruppo di imprese": un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate;

(17) "norme vincolanti d'impresa": le politiche in materia di protezione dei dati personali applicate da un responsabile del trattamento o incaricato del trattamento stabilito nel territorio di uno Stato membro dell'Unione al trasferimento o al complesso di trasferimenti di dati personali a un responsabile del trattamento o incaricato del trattamento in uno o più paesi terzi, nell'ambito di un gruppo di imprese;

(17) "norme vincolanti d'impresa": le politiche in materia di protezione dei dati personali applicate da un responsabile del trattamento o incaricato del trattamento stabilito nel territorio di uno Stato membro dell'Unione al trasferimento o al complesso di trasferimenti di dati personali a un responsabile del trattamento o incaricato del trattamento in uno o più paesi terzi, nell'ambito di un gruppo di imprese;

(18) "minore": persona di età inferiore agli anni diciotto;

(18) "minore": persona di età inferiore agli anni diciotto;

(19) "autorità di controllo": l'autorità pubblica istituita da uno Stato membro in conformità dell'articolo 46.

(19) "autorità di controllo": l'autorità pubblica istituita da uno Stato membro in conformità dell'articolo 46.

Emendamento  99

Proposta di regolamento

Articolo 5

Testo della Commissione

Emendamento

Principi applicabili al trattamento di dati personali

Principi applicabili al trattamento di dati personali

1. I dati personali devono essere:

1. I dati personali sono:

a) trattati in modo lecito, equo e trasparente nei confronti dell'interessato;

a) trattati in modo lecito, equo e trasparente nei confronti dell'interessato (liceità, equità e trasparenza);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità;

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità (limitazione delle finalità);

c) adeguati, pertinenti e limitati al minimo necessario rispetto alle finalità perseguite; i dati possono essere trattati solo se e nella misura in cui le finalità non conseguibili attraverso il trattamento di informazioni che non contengono dati personali;

c) adeguati, pertinenti e limitati al minimo necessario rispetto alle finalità perseguite; i dati possono essere trattati solo se e nella misura in cui le finalità non sono conseguibili attraverso il trattamento di informazioni che non contengono dati personali (minimizzazione dei dati);

d) esatti e aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;

d) esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (esattezza);

e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati per finalità storiche, statistiche o di ricerca scientifica, nel rispetto delle norme e delle condizioni di cui all'articolo 83 e se periodicamente è effettuato un riesame volto a valutare la necessità di conservarli;

e) conservati in una forma che consenta l'identificazione diretta o indiretta degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati per finalità storiche, statistiche o di ricerca scientifica oppure a fini archivistici, nel rispetto delle norme e delle condizioni di cui agli articoli 83 e 83 bis e se periodicamente è effettuato un riesame volto a valutare la necessità di conservarli, nonché se sono messe in atto adeguate misure tecniche e organizzative per limitare l'accesso ai dati esclusivamente per tali finalità (minimizzazione dell'archiviazione);

 

e bis) trattati in modo da consentire all'interessato di esercitare efficacemente i propri diritti (efficacia);

 

e ter) trattati in modo da proteggere, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (integrità);

f) trattati sotto la responsabilità del responsabile del trattamento, che assicura e comprova, per ciascuna operazione, la conformità alle disposizioni del presente regolamento.

f) trattati sotto la responsabilità del responsabile del trattamento, che assicura ed è in grado di comprovare la conformità alle disposizioni del presente regolamento (responsabilità).

Emendamento  100

Proposta di regolamento

Articolo 6

Testo della Commissione

Emendamento

Liceità del trattamento

Liceità del trattamento

1. Il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

1. Il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a) l'interessato ha manifestato il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

a) l'interessato ha manifestato il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali prese su richiesta dello stesso;

b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali prese su richiesta dello stesso;

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento;

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento;

d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato;

d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato;

e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il responsabile del trattamento;

e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il responsabile del trattamento;

f) il trattamento è necessario per il perseguimento del legittimo interesse del responsabile del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. Ciò non si applica al trattamento di dati effettuato dalle autorità pubbliche nell'esercizio dei loro compiti.

f) il trattamento è necessario per il perseguimento del legittimo interesse del responsabile del trattamento o, in caso di divulgazione, del terzo cessionario dei dati, e soddisfa le ragionevoli aspettative dell'interessato sulla base dei suoi rapporti con il responsabile dei dati, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali. Ciò non si applica al trattamento di dati effettuato dalle autorità pubbliche nell'esercizio dei loro compiti.

2. Il trattamento dei dati personali relativi alla salute che risulti necessario per finalità storiche, statistiche o di ricerca scientifica è lecito, fatte salve le condizioni e le garanzie di cui all'articolo 83.

2. Il trattamento dei dati personali relativi alla salute che risulti necessario per finalità storiche, statistiche o di ricerca scientifica è lecito, fatte salve le condizioni e le garanzie di cui all'articolo 83.

3. La base su cui si fonda il trattamento dati di cui al paragrafo 1, lettere c) ed e), deve essere prevista:

3. La base su cui si fonda il trattamento dati di cui al paragrafo 1, lettere c) ed e), deve essere prevista:

a) dal diritto dell'Unione, o

a) dal diritto dell'Unione, o

b) dalla legislazione dello Stato membro cui è soggetto il responsabile del trattamento.

b) dalla legislazione dello Stato membro cui è soggetto il responsabile del trattamento.

Il diritto dello Stato membro deve perseguire un obiettivo di interesse pubblico o essere necessario per proteggere i diritti e le libertà altrui, rispettare il contenuto essenziale del diritto alla protezione dei dati personali ed essere proporzionato all'obiettivo legittimo.

Il diritto dello Stato membro deve perseguire un obiettivo di interesse pubblico o essere necessario per proteggere i diritti e le libertà altrui, rispettare il contenuto essenziale del diritto alla protezione dei dati personali ed essere proporzionato all'obiettivo legittimo. Nei limiti del presente regolamento, il diritto dello Stato membro può fornire gli aspetti specifici della liceità del trattamento, in particolare per quanto concerne i responsabili del trattamento, le finalità del trattamento e la limitazione delle finalità, la natura dei dati e gli interessati, le operazioni e le procedure di trattamento, i destinatari e il periodo di conservazione.

4. Se lo scopo dell'ulteriore trattamento non è compatibile con quello per il quale i dati personali sono stati raccolti, il trattamento deve avere come base giuridica almeno uno dei motivi di cui al paragrafo 1, lettere da a) ad e). Ciò si applica in particolare ad eventuali cambiamenti dei termini e delle condizioni generali del contratto.

 

5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 86 al fine di precisare le condizioni di cui al paragrafo 1, lettera f), per vari settori e situazioni di trattamento dei dati, anche con riferimento al trattamento dei dati personali concernenti un minore.

 

Emendamento  101

Proposta di regolamento

Articolo 7

Testo della Commissione

Emendamento

Condizioni per il consenso

Condizioni per il consenso

1. L'onere di dimostrare che l'interessato ha espresso il consenso al trattamento dei suoi dati personali per scopi specifici incombe sul responsabile del trattamento.

1. Se il trattamento si basa sul consenso, l'onere di dimostrare che l'interessato ha espresso il consenso al trattamento dei suoi dati personali per scopi specifici incombe sul responsabile del trattamento.

2. Se il consenso dell'interessato deve essere fornito nel contesto di una dichiarazione scritta che riguarda anche altre materie, l'obbligo di prestare il consenso deve essere presentato in forma distinguibile dalle altre materie.

2. Se il consenso dell'interessato deve essere fornito nel contesto di una dichiarazione scritta che riguarda anche altre materie, l'obbligo di prestare il consenso deve essere presentato in forma chiaramente distinguibile dalle altre materie. Le disposizioni relative al consenso dell'interessato che violano in parte il presente regolamento sono nulle.

3. L'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.

3. Fatte salve le altre basi giuridiche per il trattamento, l'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Il consenso è revocato con la stessa facilità con cui è accordato. L'interessato è informato dal responsabile del trattamento qualora la revoca del consenso determini la cessazione dei servizi forniti o del rapporto con il responsabile del trattamento.

4. Il consenso non costituisce una base giuridica per il trattamento ove vi sia un notevole squilibrio tra la posizione dell'interessato e del responsabile del trattamento.

4. Il consenso è limitato alle finalità e perde la propria validità nel momento in cui vengono meno tali finalità o non appena il trattamento dei dati personali non è più necessario per il perseguimento delle finalità per cui i dati erano stati originariamente raccolti. L'esecuzione di un contratto o la prestazione di un servizio non dipendono dal consenso al trattamento di dati che non siano necessari all'esecuzione del contratto o alla prestazione del servizio conformemente all'articolo 6, paragrafo 1, lettera b).

Emendamento  102

Proposta di regolamento

Articolo 8

Testo della Commissione

Emendamento

Trattamento dei dati personali dei minori

Trattamento dei dati personali dei minori

1. Ai fini del presente regolamento, per quanto riguarda l'offerta diretta di servizi della società dell'informazione ai minori, il trattamento di dati personali di minori di età inferiore ai tredici anni è lecito se e nella misura in cui il consenso è espresso o autorizzato dal genitore o dal tutore del minore. Il responsabile del trattamento si adopera in ogni modo ragionevole per ottenere un consenso verificabile, in considerazione delle tecnologie disponibili.

1. Ai fini del presente regolamento, per quanto riguarda l'offerta diretta di beni o servizi ai minori, il trattamento di dati personali di minori di età inferiore ai tredici anni è lecito se e nella misura in cui il consenso è espresso o autorizzato dal genitore o dal tutore legale del minore. Il responsabile del trattamento si adopera in ogni modo ragionevole per verificare tale consenso, in considerazione delle tecnologie disponibili senza causare un inutile trattamento di dati personali.

 

1 bis. È opportuno che le informazioni fornite ai minori, ai genitori e ai tutori legali al fine di esprimere il consenso, anche in relazione alla raccolta e all'utilizzo dei dati da parte del responsabile del trattamento, siano formulate in un linguaggio chiaro e adeguato ai destinatari previsti.

2. Il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l'efficacia di un contratto rispetto a un minore.

2. Il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l'efficacia di un contratto rispetto a un minore.

3. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 86 al fine di precisare i criteri e i requisiti concernenti le modalità per ottenere il consenso verificabile di cui al paragrafo 1. A tal fine, la Commissione contempla misure specifiche per le micro, piccole e medie imprese.

3. Al comitato europeo per la protezione dei dati è affidato il compito di emettere orientamenti, raccomandazioni e migliori prassi per le modalità di verifica del consenso di cui al paragrafo 1, conformemente all'articolo 66.

4. La Commissione può stabilire moduli standard per specifiche modalità di ottenimento del consenso verificabile di cui al paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 87, paragrafo 2.

 

Emendamento  103

Proposta di regolamento

Articolo 9

Testo della Commissione

Emendamento

Trattamento di categorie particolari di dati personali

Categorie particolari di dati

1. È vietato trattare dati personali che rivelino la razza, l'origine etnica, le opinioni politiche, la religione o le convinzioni personali, l'appartenenza sindacale, come pure trattare dati genetici o dati relativi alla salute e alla vita sessuale o a condanne penali o a connesse misure di sicurezza.

1. È vietato trattare dati personali che rivelino la razza, l'origine etnica, le opinioni politiche, la religione o le convinzioni filosofiche, l'orientamento sessuale o l'identità di genere, l'appartenenza e le attività sindacali, come pure trattare dati genetici o biometrici o dati relativi alla salute e alla vita sessuale, alle sanzioni amministrative, alle sentenze, ai reati penali o alle presunzioni di reato, a condanne o a connesse misure di sicurezza.

2. Il paragrafo 1 non si applica quando:

2. Il paragrafo 1 non si applica in uno dei seguenti casi:

a) l'interessato ha dato il proprio consenso al trattamento di tali dati personali, alle condizioni di cui agli articoli 7 e 8, salvo i casi in cui il diritto dell'Unione o di uno Stato membro dispone che l'interessato non può revocare il divieto di cui al paragrafo 1, opppure

 

a) l'interessato ha dato il proprio consenso al trattamento di tali dati personali per una o più finalità specifiche, alle condizioni di cui agli articoli 7 e 8, salvo i casi in cui il diritto dell'Unione o di uno Stato membro dispone che l'interessato non può revocare il divieto di cui al paragrafo 1, oppure

 

a bis) il trattamento è necessario per le prestazioni o l'esecuzione di un contratto di cui l'interessato è parte o per l'esecuzione di misure precontrattuali prese su richiesta dello stesso;

b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del responsabile del trattamento in materia di diritto del lavoro, nella misura in cui sia autorizzato dal diritto dell'Unione o di uno Stato membro in presenza di congrue garanzie, oppure

b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del responsabile del trattamento in materia di diritto del lavoro, nella misura in cui sia autorizzato dal diritto dell'Unione o di uno Stato membro o da contratti collettivi in presenza di congrue garanzie per i diritti fondamentali e gli interessi dell'interessato quali il diritto alla non discriminazione, fatte salve le condizioni e le garanzie di cui all'articolo 82, oppure

c) il trattamento è necessario per salvaguardare un interesse vitale dell'interessato o di un terzo qualora l'interessato si trovi nell'incapacità fisica o giuridica di dare il proprio consenso, oppure

c) il trattamento è necessario per salvaguardare un interesse vitale dell'interessato o di un terzo qualora l'interessato si trovi nell'incapacità fisica o giuridica di dare il proprio consenso, oppure

d) il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati non siano comunicati a terzi senza il consenso dell'interessato, oppure

d) il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati non siano comunicati a terzi senza il consenso dell'interessato, oppure

e) il trattamento riguarda dati resi manifestamente pubblici dall'interessato, oppure

e) il trattamento riguarda dati resi manifestamente pubblici dall'interessato, oppure

f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, oppure

f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, oppure

g) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico sulla base del diritto dell'Unione o del diritto degli Stati membri, che deve prevedere misure appropriate per tutelare i legittimi interessi dell'interessato, oppure

g) il trattamento è necessario per l'esecuzione di un compito per motivi di elevato interesse pubblico sulla base del diritto dell'Unione o del diritto degli Stati membri, che deve essere proporzionato all'obiettivo perseguito, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate per tutelare i diritti fondamentali e gli interessi dell'interessato, oppure

h) il trattamento di dati relativi alla salute è necessario a fini sanitari, fatte salve le condizioni e le garanzie di cui all'articolo 81, oppure

h) il trattamento di dati relativi alla salute è necessario a fini sanitari, fatte salve le condizioni e le garanzie di cui all'articolo 81, oppure

i) il trattamento è necessario per finalità storiche, statistiche o di ricerca scientifica, fatte salve le condizioni e le garanzie di cui all'articolo 83, oppure

i) il trattamento è necessario per finalità storiche, statistiche o di ricerca scientifica, fatte salve le condizioni e le garanzie di cui all'articolo 83, oppure

 

i bis) il trattamento è necessario per servizi di archiviazione, fatte salve le condizioni e le garanzie di cui all'articolo 83 bis, oppure

j) il trattamento dei dati relativi a condanne penali o a connesse misure di sicurezza è effettuato sotto il controllo dell'autorità pubblica, oppure il trattamento è necessario per ottemperare a un obbligo legale o regolamentare cui è soggetto il responsabile del trattamento o per l'esecuzione di un compito di interesse pubblico rilevante, purché sia autorizzato dal diritto dell'Unione o di uno Stato membro, che deve prevedere garanzie adeguate. Un registro completo delle condanne penali può essere tenuto solo sotto il controllo dell'autorità pubblica.

j) il trattamento dei dati relativi a sanzioni amministrative, a sentenze, a reati penali, a condanne o a connesse misure di sicurezza è effettuato sotto il controllo dell'autorità pubblica, oppure il trattamento è necessario per ottemperare a un obbligo legale o regolamentare cui è soggetto il responsabile del trattamento o per l'esecuzione di un compito di interesse pubblico rilevante, purché sia autorizzato dal diritto dell'Unione o di uno Stato membro, che deve prevedere garanzie adeguate per quanto concerne i diritti fondamentali e gli interessi dell'interessato. Qualsiasi registro delle condanne penali può essere tenuto solo sotto il controllo dell'autorità pubblica.

3. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 86 al fine di precisare i criteri, le condizioni e le garanzie adeguate per il trattamento delle categorie particolari di dati personali di cui al paragrafo 1, e le deroghe di cui al paragrafo 2.

3. Al comitato europeo per la protezione dei dati è affidato il compito di emettere orientamenti, raccomandazioni e migliori prassi per il trattamento delle categorie particolari di dati personali di cui al paragrafo 1, e le deroghe di cui al paragrafo 2, conformemente all'articolo 66.

Emendamento 104

Proposta di regolamento

Articolo 10

Testo della Commissione

Emendamento

Se i dati trattati da un responsabile del trattamento non consentono di identificare una persona fisica, il responsabile del trattamento non è obbligato ad acquisire ulteriori informazioni per identificare l'interessato al solo fine di rispettare una disposizione del presente regolamento.

1. Se i dati trattati da un responsabile del trattamento non consentono al responsabile o all'incaricato del trattamento di identificare direttamente o indirettamente una persona fisica, o sono composti esclusivamente da dati pseudonimi, il responsabile del trattamento non tratta o acquisisce ulteriori informazioni per identificare l'interessato al solo fine di rispettare una disposizione del presente regolamento.

 

2. Il responsabile del trattamento dei dati che non sia in grado di rispettare una disposizione del presente regolamento a causa del paragrafo 1 non è obbligato a rispettare quella particolare disposizione del presente regolamento. Se a seguito di ciò il responsabile del trattamento non è in grado di soddisfare una richiesta dell'interessato, lo informa di conseguenza.

Emendamento  105

Proposta di regolamento

Articolo 10 bis (nuovo)

Testo della Commissione

Emendamento

 

Articolo 10 bis

 

Principi generali in materia di diritti dell'interessato

 

1. Il fondamento della protezione dei dati è costituito da diritti chiari e inequivocabili relativi all'interessato che sono rispettati dal responsabile del trattamento. Le disposizioni del presente regolamento mirano a rafforzare, chiarire, garantire e, se del caso, codificare tali diritti.

 

2. Tali diritti includono, tra l'altro, la fornitura di informazioni chiare e di facile comprensione in materia di trattamento dei dati personali, il diritto di accesso, rettifica e cancellazione dei dati, il diritto di ottenere dati, il diritto di opporsi alla profilazione, il diritto di proporre reclamo presso la competente autorità di protezione dei dati e di intentare azioni giudiziarie nonché il diritto al risarcimento e all'indennizzo del danno cagionato da un'operazione di trattamento illecita. Tali diritti sono esercitati in generale a titolo gratuito. Il responsabile del trattamento risponde alle richieste dell'interessato entro un termine ragionevole.

Emendamento  106

Proposta di regolamento

Articolo 11

Testo della Commissione

Emendamento

1. Il responsabile del trattamento applica politiche trasparenti e facilmente accessibili con riguardo al trattamento dei dati personali e ai fini dell’esercizio dei diritti dell’interessato.

1. Il responsabile del trattamento applica politiche concise, trasparenti, chiare e facilmente accessibili con riguardo al trattamento dei dati personali e ai fini dell’esercizio dei diritti dell’interessato.

2. Il responsabile del trattamento fornisce allinteressato tutte le informazioni e le comunicazioni relative al trattamento dei dati personali in forma intelligibile, con linguaggio semplice e chiaro e adeguato all’interessato, in particolare se le informazioni sono destinate ai minori.

2. Il responsabile del trattamento fornisce all'interessato tutte le informazioni e le comunicazioni relative al trattamento dei dati personali in forma intelligibile, con linguaggio semplice e chiaro, in particolare se le informazioni sono destinate ai minori.

Emendamento  107

Proposta di regolamento

Articolo 12

Testo della Commissione

Emendamento

1. Il responsabile del trattamento stabilisce le procedure d’informazione di cui all’articolo 14 e le procedure per l’esercizio dei diritti dell’interessato di cui all’articolo 13 e agli articoli da 15 a 19. Il responsabile del trattamento predispone in particolare i meccanismi per agevolare le richieste di cui all’articolo 13 e agli articoli da 15 a 19. Qualora i dati personali siano trattati con modalità automatizzate, il responsabile del trattamento predispone altresì i mezzi per inoltrare le richieste per via elettronica.

1. Qualora i dati personali siano trattati con modalità automatizzate, il responsabile del trattamento predispone altresì i mezzi per inoltrare le richieste per via elettronica ove possibile.

2. Il responsabile del trattamento informa linteressato tempestivamente e al più tardi entro un mese dal ricevimento della richiesta, se è stata adottata unazione ai sensi dellarticolo 13 e degli articoli da 15 a 19, e fornisce le informazioni richieste. Tale termine può essere prorogato di un ulteriore mese se più interessati esercitano i loro diritti e la loro cooperazione è necessaria in misura ragionevole per evitare un impiego di risorse inutile e sproporzionato al responsabile del trattamento. Queste informazioni sono confermate per iscritto. Se linteressato presenta la richiesta in forma elettronica, le informazioni sono fornite in formato elettronico, salvo indicazione diversa dellinteressato.

2. Il responsabile del trattamento informa l'interessato tempestivamente e al più tardi entro 40 giorni di calendario dal ricevimento della richiesta, se è stata adottata un'azione ai sensi dell'articolo 13 e degli articoli da 15 a 19, e fornisce le informazioni richieste. Tale termine può essere prorogato di un ulteriore mese se più interessati esercitano i loro diritti e la loro cooperazione è necessaria in misura ragionevole per evitare un impiego di risorse inutile e sproporzionato al responsabile del trattamento. Queste informazioni sono confermate per iscritto o, ove possibile, il responsabile del trattamento può fornire l'accesso remoto a un sistema online sicuro che consenta all'interessato di consultare direttamente i propri dati personali. Se l'interessato presenta la richiesta in forma elettronica, le informazioni sono fornite, ove possibile, in formato elettronico, salvo indicazione diversa dell'interessato.

3. Se rifiuta di ottemperare alla richiesta dell’interessato, il responsabile del trattamento informa l’interessato dei motivi di tale rifiuto e delle possibilità di proporre reclamo all’autorità di controllo e anche ricorso giurisdizionale.

3. Se non interviene in seguito alla richiesta dell’interessato, il responsabile del trattamento informa l’interessato dei motivi di tale mancato intervento e delle possibilità di proporre reclamo all’autorità di controllo e anche ricorso giurisdizionale.

4. Le informazioni e le azioni intraprese a seguito delle richieste di cui al paragrafo 1 sono gratuite. Se le richieste sono manifestamente eccessive, in particolare per il loro carattere ripetitivo, il responsabile del trattamento può esigere un contributo spese per le informazioni o lazione richiesta; in alternativa, può non effettuare quanto richiesto. In tale caso, incombe al responsabile del trattamento dimostrare il carattere manifestamente eccessivo della richiesta.

4. Le informazioni e le azioni intraprese a seguito delle richieste di cui al paragrafo 1 sono gratuite. Se le richieste sono manifestamente eccessive, in particolare per il loro carattere ripetitivo, il responsabile del trattamento può esigere un contributo spese ragionevole che tenga conto dei costi amministrativi sostenuti per fornire le informazioni o intraprendere l'azione richiesta. In tale caso, incombe al responsabile del trattamento dimostrare il carattere manifestamente eccessivo della richiesta.

5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e le condizioni concernenti le richieste manifestamente eccessive, e il contributo spese di cui al paragrafo 4.

 

6. La Commissione può stabilire moduli e procedure standard per la comunicazione di cui al paragrafo 2, anche in formato elettronico. A tal fine, la Commissione prende misure adeguate per le micro, piccole e medie imprese. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

 

Emendamento  108

Proposta di regolamento

Articolo 13

Testo della Commissione

Emendamento

Diritti relativi ai destinatari

Obbligo di notifica in caso di rettifica e cancellazione

Il responsabile del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati, le eventuali rettifiche o cancellazioni effettuate conformemente alle disposizioni degli articoli 16 e 17, salvo che ciò si riveli impossibile o implichi risorse sproporzionate.

Il responsabile del trattamento comunica a ciascuno dei destinatari cui sono stati trasferiti i dati le eventuali rettifiche o cancellazioni effettuate conformemente alle disposizioni degli articoli 16 e 17, salvo che ciò si riveli impossibile o implichi risorse sproporzionate. Il responsabile del trattamento comunica all'interessato tali destinatari qualora l'interessato lo richieda.

Emendamento  109

Proposta di regolamento

Articolo 13 bis (nuovo)

Testo della Commissione

Emendamento

 

Articolo 13 bis

 

Politiche in materia di informazioni standardizzate

 

1. In caso di raccolta di dati personali relativi a un interessato, il responsabile del trattamento comunica all'interessato i seguenti dettagli prima di fornire informazioni ai sensi dell'articolo 14:

 

a) se i dati personali sono raccolti oltre il minimo necessario per ciascuna finalità specifica del trattamento;

 

b) se i dati personali sono memorizzati oltre il minimo necessario per ciascuna finalità specifica del trattamento;

 

c) se i dati personali sono trattati per finalità diverse dalle finalità per cui sono stati raccolti;

d) se i dati personali sono forniti a terze parti commerciali;

 

e) se i dati personali sono venduti o affittati;

 

f) se i dati personali sono memorizzati in forma cifrata.

 

2. I dettagli di cui al paragrafo 1 vengono presentati a norma dell'allegato X in un formato tabulare allineato, utilizzando testo e simboli, nelle tre seguenti colonne:

 

a) la prima colonna rappresenta forme grafiche che simboleggiano i dettagli in oggetto;

 

b) la seconda colonna contiene informazioni essenziali che descrivono i dettagli in oggetto;

 

c) la terza colonna rappresenta forme grafiche che indicano il verificarsi o meno di un dettaglio specifico.

 

3. Le informazioni di cui ai paragrafi 1 e 2 sono presentate in modo da essere facilmente visibili e chiaramente leggibili e sono fornite in una lingua facilmente compresa dai consumatori degli Stati membri a cui si rivolgono. Se i dettagli vengono presentati elettronicamente, sono a lettura ottica.

 

4. Non è necessario fornire dettagli aggiuntivi. Le spiegazioni dettagliate o le ulteriori osservazioni concernenti i dettagli di cui al paragrafo 1 possono essere fornite insieme alle altre informazioni ai sensi dell'articolo 14.

 

5. Alla Commissione è conferito il potere di adottare, previa richiesta di parere al comitato europeo per la protezione dei dati, atti delegati conformemente all'articolo 86 al fine di precisare i dettagli di cui al paragrafo 1 e la loro modalità di presentazione di cui al paragrafo 2 e all'allegato 1.

Emendamento  110

Proposta di regolamento

Articolo 14

Testo della Commissione

Emendamento

Informazione dell’interessato

Informazione dell’interessato

1. In caso di raccolta di dati personali, il responsabile del trattamento fornisce all’interessato almeno le seguenti informazioni:

1. In caso di raccolta di dati personali, il responsabile del trattamento fornisce all’interessato almeno le seguenti informazioni, dopo che sono stati forniti i dettagli di cui all'articolo 13 bis:

a) l’identità e le coordinate di contatto del responsabile del trattamento e, eventualmente, del suo rappresentante e del responsabile della protezione dei dati;

a) l’identità e le coordinate di contatto del responsabile del trattamento e, eventualmente, del suo rappresentante e del responsabile della protezione dei dati;

b) le finalità del trattamento cui sono destinati i dati personali, compresi i termini contrattuali e le condizioni generali nel caso di un trattamento basato sullarticolo 6, paragrafo 1, lettera b), e i legittimi interessi perseguiti dal responsabile del trattamento qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f);

b) le finalità specifiche del trattamento cui sono destinati i dati personali, nonché le informazioni concernenti la sicurezza del trattamento dei dati personali, compresi i termini contrattuali e le condizioni generali nel caso di un trattamento basato sull'articolo 6, paragrafo 1, lettera b), e, ove applicabile, le informazioni su come attuare e rispettare le condizioni di cui all'articolo 6, paragrafo 1, lettera f);

c) il periodo per il quale saranno conservati i dati personali;

c) il periodo per il quale saranno conservati i dati personali oppure, se questo non è possibile, i criteri utilizzati per determinare questo periodo;

d) lesistenza del diritto dellinteressato di chiedere al responsabile del trattamento laccesso ai dati e la rettifica o la cancellazione dei dati personali che lo riguardano o di opporsi al loro trattamento;

d) l'esistenza del diritto dell'interessato di chiedere al responsabile del trattamento l'accesso ai dati e la rettifica o la cancellazione dei dati personali che lo riguardano, di opporsi al loro trattamento o di ottenere dati;

e) il diritto di proporre reclamo all’autorità di controllo e le coordinate di contatto di detta autorità;

e) il diritto di proporre reclamo all’autorità di controllo e le coordinate di contatto di detta autorità;

f) i destinatari o le categorie di destinatari dei dati personali;

f) i destinatari o le categorie di destinatari dei dati personali;

g) se del caso, lintenzione del responsabile del trattamento di trasferire dati personali a un paese terzo o a unorganizzazione internazionale e il livello di protezione garantito dal paese terzo o organizzazione internazionale, richiamando una decisione di adeguatezza della Commissione;

g) se del caso, l'intenzione del responsabile del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso di trasferimenti di cui all'articolo 42, all'articolo 43 o all'articolo 44, paragrafo 1, lettera h), il riferimento alle garanzie adeguate e i mezzi per ottenere una copia di tali dati;

 

g bis) se del caso, informazioni sull'esistenza o meno della profilazione, delle misure basate sulla profilazione e gli effetti previsti della profilazione sull'interessato;

 

g ter) informazioni pertinenti sulla logica che regola il trattamento automatico;

h) ogni altra informazione necessaria per garantire un trattamento equo nei confronti dell’interessato, in considerazione delle specifiche circostanze in cui i dati personali vengono raccolti.

h) ogni altra informazione necessaria per garantire un trattamento equo nei confronti dell’interessato, in considerazione delle specifiche circostanze in cui i dati personali vengono raccolti o trattati, in particolare l'esistenza di alcune attività e operazioni di trattamento per le quali una valutazione di impatto dei dati personali abbia indicato che sussiste un rischio elevato;

 

h bis) se del caso, informazioni sul fatto che i dati personali siano stati tramessi o meno alle autorità pubbliche durante l'ultimo periodo di dodici mesi consecutivi.

2. Quando i dati personali sono raccolti direttamente presso l’interessato, il responsabile del trattamento lo informa, in aggiunta a quanto disposto al paragrafo 1, dell’obbligatorietà o meno della comunicazione dei dati personali e delle possibili conseguenze di una mancata comunicazione.

2. Quando i dati personali sono raccolti direttamente presso l’interessato, il responsabile del trattamento lo informa, in aggiunta a quanto disposto al paragrafo 1, del carattere obbligatorio o facoltativo della comunicazione dei dati personali e delle possibili conseguenze di una mancata comunicazione.

 

2 bis. Nel decidere le ulteriori informazioni necessarie per rendere equo il trattamento ai sensi del paragrafo 1, lettera h), i responsabili del trattamento tengono conto di tutti gli orientamenti applicabili a norma dell'articolo 38.

3. Quando i dati personali non sono raccolti direttamente presso linteressato, il responsabile del controllo lo informa, in aggiunta a quanto disposto al paragrafo 1, della fonte da cui sono tratti i dati personali.

3. Quando i dati personali non sono raccolti direttamente presso l'interessato, il responsabile del controllo lo informa, in aggiunta a quanto disposto al paragrafo 1, della fonte da cui sono tratti i dati personali specifici. Se i dati personali provengono da fonti accessibili al pubblico, occorre fornire un'indicazione generale.

4. Il responsabile del trattamento fornisce le informazioni di cui ai paragrafi 1, 2 e 3:

4. Il responsabile del trattamento fornisce le informazioni di cui ai paragrafi 1, 2 e 3:

a) al momento in cui i dati personali sono ottenuti dall’interessato, oppure

a) al momento in cui i dati personali sono ottenuti dall’interessato o senza indebito ritardo qualora quanto sopra non sia fattibile, oppure

 

a bis) su richiesta di un ente, di un'organizzazione o di un'associazione di cui all'articolo 73,

b) quando i dati personali non sono raccolti direttamente presso linteressato, al momento della registrazione o entro un termine ragionevole dopo la raccolta, in considerazione delle specifiche circostanze in cui i dati vengono raccolti o altrimenti trattati, o, se si prevede la divulgazione dei dati a un altro destinatario, al più tardi al momento della prima comunicazione dei medesimi.

b) quando i dati personali non sono raccolti direttamente presso l'interessato, al momento della registrazione o entro un termine ragionevole dopo la raccolta, in considerazione delle specifiche circostanze in cui i dati vengono raccolti o altrimenti trattati, o, se si prevede il trasferimento dei dati a un altro destinatario, al più tardi al momento del primo trasferimento o, se i dati vengono utilizzati per comunicare con la persona interessata, al più tardi al momento della prima comunicazione con la stessa, oppure

 

b bis) solo su richiesta se i dati sono trattati da una piccola o una micro impresa per la quale il trattamento dei dati personali rappresenta un'attività accessoria.

5. I paragrafi da 1 a 4 non si applicano nelle seguenti circostanze:

5. I paragrafi da 1 a 4 non si applicano nelle seguenti circostanze:

a) l’interessato dispone già delle informazioni di cui ai paragrafi 1, 2 e 3, oppure

a) l’interessato dispone già delle informazioni di cui ai paragrafi 1, 2 e 3, oppure

b) i dati non sono raccolti presso l’interessato e comunicare tali informazioni risulta impossibile o implicherebbe risorse sproporzionate, oppure

b) i dati sono trattati a fini di ricerca storica, statistica o scientifica, alle condizioni e garanzie di cui agli articoli 81 e 83, non sono raccolti presso l’interessato e comunicare tali informazioni risulta impossibile o implicherebbe risorse sproporzionate e il responsabile del trattamento ha pubblicato le informazioni per permetterne il recupero, oppure

c) i dati non sono raccolti presso linteressato e la registrazione o la comunicazione dei dati è prevista espressamente per legge, oppure

c) i dati non sono raccolti presso l'interessato e la registrazione o la comunicazione dei dati è prevista espressamente per legge cui è soggetto il responsabile del trattamento, che prevede misure adeguate intese a tutelare gli interessi legittimi dell'interessato, tenuto conto dei rischi inerenti al trattamento e alla natura dei dati personali, oppure

d) i dati non sono raccolti presso linteressato e la comunicazione di tali informazioni pregiudicherebbe i diritti e le libertà altrui, ai sensi del diritto dellUnione o di uno Stato membro in conformità dellarticolo 21.

d) i dati non sono raccolti presso l'interessato e la comunicazione di tali informazioni pregiudicherebbe i diritti e le libertà di altre persone fisiche, ai sensi del diritto dell'Unione o di uno Stato membro in conformità dell'articolo 21;

 

d bis) i dati sono trattati da una persona, nell'esercizio della sua professione, ovvero sono affidati o resi noti a tale persona, soggetta a un obbligo di segreto professionale disciplinato dal diritto dell'Unione o dello Stato membro o ad un obbligo legale di segretezza, a meno che i dati non siano raccolti direttamente dall'interessato.

6. Nel caso di cui al paragrafo 5, lettera b), il responsabile del trattamento predispone adeguate misure per proteggere i legittimi interessi dell’interessato.

6. Nel caso di cui al paragrafo 5, lettera b), il responsabile del trattamento predispone adeguate misure per proteggere i diritti o i legittimi interessi dell’interessato.

7. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri per le categorie di destinatari di cui al paragrafo 1, lettera f), l’obbligo di informare circa gli accessi potenziali di cui al paragrafo 1, lettera g), i criteri per le ulteriori informazioni necessarie di cui al paragrafo 1, lettera h), per settori e situazioni specifiche, e le condizioni e garanzie adeguate per le eccezioni di cui al paragrafo 5, lettera b). A tal fine, la Commissione prende misure adeguate per le micro, piccole e medie imprese.

 

8. La Commissione può predisporre moduli standard per la comunicazione delle informazioni di cui ai paragrafi da 1 a 3, tenendo conto se necessario delle caratteristiche e delle esigenze specifiche dei diversi settori e situazioni di trattamento dei dati. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

 

Emendamento  111

Proposta di regolamento

Articolo 15

Testo della Commissione

Emendamento

Diritto di accesso dell’interessato

Diritto di accesso e di ottenere dati per l'interessato

1. Linteressato che ne faccia richiesta ha il diritto di ottenere in qualsiasi momento, dal responsabile del trattamento, la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano. Se è in corso un trattamento, il responsabile del trattamento fornisce le seguenti informazioni:

1. Fatto salvo l'articolo 12, paragrafo 4, l'interessato che ne faccia richiesta ha il diritto di ottenere in qualsiasi momento, dal responsabile del trattamento, la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in un linguaggio semplice e chiaro, le seguenti informazioni:

a) le finalità del trattamento;

a) le finalità del trattamento per ogni categoria di dati personali;

b) le categorie di dati personali in questione;

b) le categorie di dati personali in questione;

c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi;

c) i destinatari a cui i dati personali sono stati o saranno comunicati, inclusi i destinatari di paesi terzi;

d) il periodo per il quale saranno conservati i dati personali;

d) il periodo per il quale saranno conservati i dati personali oppure, se questo non è possibile, i criteri utilizzati per determinare questo periodo;

e) l’esistenza del diritto dell’interessato di chiedere al responsabile del trattamento la rettifica o la cancellazione dei dati personali che lo riguardano o di opporsi al loro trattamento;

e) l’esistenza del diritto dell’interessato di chiedere al responsabile del trattamento la rettifica o la cancellazione dei dati personali che lo riguardano o di opporsi al loro trattamento;

f) il diritto di proporre reclamo all’autorità di controllo e le coordinate di contatto di detta autorità;

f) il diritto di proporre reclamo all’autorità di controllo e le coordinate di contatto di detta autorità;

g) la comunicazione dei dati personali oggetto del trattamento e di tutte le informazioni disponibili sulla loro origine;

 

h) limportanza e le conseguenze di tale trattamento, almeno nel caso delle misure di cui all’articolo 20.

h) l'importanza e le conseguenze di tale trattamento.

 

h bis) informazioni pertinenti sulla logica che regola il trattamento automatico;

 

h ter) fatto salvo l'articolo 21, in caso di divulgazione dei dati personali a un'autorità pubblica su richiesta di quest'ultima, la conferma dell'avvenuta richiesta.

2. L’interessato ha il diritto di ottenere dal responsabile del trattamento la comunicazione dei dati personali oggetto del trattamento. Se l’interessato presenta la richiesta in forma elettronica, le informazioni sono fornite in formato elettronico, salvo indicazione diversa dell’interessato.

2. L’interessato ha il diritto di ottenere dal responsabile del trattamento la comunicazione dei dati personali oggetto del trattamento. Se l’interessato presenta la richiesta in forma elettronica, le informazioni sono fornite in un formato elettronico e strutturato, salvo indicazione diversa dell’interessato. Fatto salvo l'articolo 10, il responsabile del trattamento prende tutte le iniziative necessarie per verificare che la persona che ha richiesto l'accesso ai dati sia l'interessato.

 

2 bis. Se ha fornito i dati personali e se tali dati sono trattati con mezzi elettronici, l'interessato ha il diritto di ottenere dal responsabile del trattamento copia dei dati personali forniti in un formato elettronico e interoperabile che sia di uso comune e gli consenta di farne ulteriore uso, senza impedimenti da parte del responsabile del trattamento da cui sono richiamati i dati. Ove tecnicamente fattibile e ove vi siano i mezzi disponibili, i dati sono trasferiti direttamente da un responsabile del trattamento a un altro su richiesta dell'interessato.

 

2 ter. Il presente articolo non pregiudica l'obbligo di cancellare i dati ove non più necessari ai sensi dell'articolo 5, paragrafo 1, lettera e).

 

2 quater. Il diritto di accesso non sussiste, in conformità dei paragrafi 1 e 2, quando sono interessati i dati ai sensi dell'articolo 14, paragrafo 5, lettera d bis), salvo se l'interessato è autorizzato a rimuovere il segreto in questione e agisce di conseguenza.

3. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti per la comunicazione all’interessato del contenuto dei dati personali di cui al paragrafo 1, lettera g).

 

4. La Commissione può predisporre moduli standard e procedure per la richiesta e la concessione dell’accesso alle informazioni di cui al paragrafo 1, anche ai fini di verificare l’identità dell’interessato e di comunicare i dati personali all’interessato, tenendo conto delle specificità e delle esigenze dei diversi settori e situazioni di trattamento dei dati. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

 

Emendamento  112

Proposta di regolamento

Articolo 17

Testo della Commissione

Emendamento

Diritto all’oblio e alla cancellazione

Diritto alla cancellazione

1. Linteressato ha il diritto di ottenere dal responsabile del trattamento la cancellazione di dati personali che lo riguardano e la rinuncia a unulteriore diffusione di tali dati, in particolare in relazione ai dati personali resi pubblici quando l’interessato era un minore, se sussiste uno dei motivi seguenti:

1. L'interessato ha il diritto di ottenere dal responsabile del trattamento la cancellazione di dati personali che lo riguardano e la rinuncia a un'ulteriore diffusione di tali dati e di ottenere da terzi la cancellazione di qualsiasi link, copia o riproduzione di tali dati, se sussiste uno dei motivi seguenti:

a) i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

a) i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

b) l’interessato revoca il consenso su cui si fonda il trattamento, di cui all’articolo 6, paragrafo 1, lettera a), oppure il periodo di conservazione dei dati autorizzato è scaduto e non sussiste altro motivo legittimo per trattare i dati;

b) l’interessato revoca il consenso su cui si fonda il trattamento, di cui all’articolo 6, paragrafo 1, lettera a), oppure il periodo di conservazione dei dati autorizzato è scaduto e non sussiste altro motivo legittimo per trattare i dati;

c) l’interessato si oppone al trattamento di dati personali ai sensi dell’articolo 19;

c) l’interessato si oppone al trattamento di dati personali ai sensi dell’articolo 19;

 

c bis) un tribunale o autorità di regolamentazione dell'Unione ha deliberato in maniera definitiva e assoluta che i dati in questione devono essere cancellati;

d) il trattamento dei dati non è conforme al presente regolamento per altri motivi.

d) i dati sono stati trattati illecitamente.

 

1 bis. L'applicazione del paragrafo 1 dipende dalla capacità del responsabile del trattamento di verificare che la persona che richiede la cancellazione sia l'interessato.

2. Quando ha reso pubblici dati personali, il responsabile del trattamento di cui al paragrafo 1 prende tutte le misure ragionevoli, anche tecniche, in relazione ai dati della cui pubblicazione è responsabile per informare i terzi che stanno trattando tali dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Se ha autorizzato un terzo a pubblicare dati personali, il responsabile del trattamento è ritenuto responsabile di tale pubblicazione.

2. Quando ha reso pubblici dati personali ingiustificatamente conformemente all'articolo 6, paragrafo1, il responsabile del trattamento prende tutte le misure ragionevoli per far cancellare i dati, anche da parte di terzi, fatto salvo l'articolo 77. Il responsabile del trattamento informa l'interessato, ove possibile, dell'azione intrapresa da parte dei terzi interessati.

3. Il responsabile del trattamento provvede senza ritardo alla cancellazione, a meno che conservare i dati personali non sia necessario:

3. Il responsabile del trattamento e, se del caso, i terzi provvedono senza ritardo alla cancellazione, a meno che conservare i dati personali non sia necessario:

a) per l’esercizio del diritto alla libertà di espressione in conformità dell’articolo 80;

a) per l’esercizio del diritto alla libertà di espressione in conformità dell’articolo 80;

b) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 81;

b) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 81;

c) per finalità storiche, statistiche e di ricerca scientifica in conformità dell’articolo 83;

c) per finalità storiche, statistiche e di ricerca scientifica in conformità dell’articolo 83;

d) per adempiere un obbligo legale di conservazione di dati personali previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento; il diritto dello Stato membro deve perseguire un obiettivo di interesse pubblico, rispettare il contenuto essenziale del diritto alla protezione dei dati personali ed essere proporzionato allobiettivo legittimo;

d) per adempiere un obbligo legale di conservazione di dati personali previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento; il diritto dello Stato membro deve perseguire un obiettivo di interesse pubblico, rispettare il contenuto del diritto alla protezione dei dati personali ed essere proporzionato all'obiettivo legittimo;

e) nei casi di cui al paragrafo 4.

e) nei casi di cui al paragrafo 4.

4. Invece di provvedere alla cancellazione, il responsabile del trattamento limita il trattamento dei dati personali:

4. Invece di provvedere alla cancellazione, il responsabile del trattamento limita il trattamento dei dati personali in modo tale che non siano sottoposti al normale accesso ai dati e alle operazioni di trattamento e che non possano più essere modificati:

a) quando l’interessato ne contesta l’esattezza, per il periodo necessario ad effettuare le opportune verifiche;

a) quando l’interessato ne contesta l’esattezza, per il periodo necessario ad effettuare le opportune verifiche;

b) quando, benché non ne abbia più bisogno per l’esercizio dei suoi compiti, i dati devono essere conservati a fini probatori;

b) quando, benché non ne abbia più bisogno per l’esercizio dei suoi compiti, i dati devono essere conservati a fini probatori;

c) quando il trattamento è illecito e l’interessato si oppone alla loro cancellazione e chiede invece che ne sia limitato l’utilizzo;

c) quando il trattamento è illecito e l’interessato si oppone alla loro cancellazione e chiede invece che ne sia limitato l’utilizzo;

 

c bis) quando un tribunale o autorità di regolamentazione dell'Unione ha deliberato in maniera definitiva e assoluta che i dati in questione devono essere limitati;

d) quando linteressato chiede di trasmettere i dati personali a un altro sistema di trattamento automatizzato, in conformità dellarticolo 18, paragrafo 2.

d) quando l'interessato chiede di trasmettere i dati personali a un altro sistema di trattamento automatizzato, in conformità dell'articolo 15, paragrafo 2 bis.

 

d bis) quando la particolare tecnologia di memorizzazione non consente la cancellazione ed è stata installata prima dell'entrata in vigore del presente regolamento.

5. I dati personali di cui al paragrafo 4 possono essere trattati, salvo che per la conservazione, soltanto a fini probatori o con il consenso dell’interessato oppure per tutelare i diritti di un’altra persona fisica o giuridica o per un obiettivo di pubblico interesse.

5. I dati personali di cui al paragrafo 4 possono essere trattati, salvo che per la conservazione, soltanto a fini probatori o con il consenso dell’interessato oppure per tutelare i diritti di un’altra persona fisica o giuridica o per un obiettivo di pubblico interesse.

6. Quando il trattamento dei dati personali è limitato a norma del paragrafo 4, il responsabile del trattamento informa l’interessato prima di eliminare la limitazione al trattamento.

6. Quando il trattamento dei dati personali è limitato a norma del paragrafo 4, il responsabile del trattamento informa l’interessato prima di eliminare la limitazione al trattamento.

7. Il responsabile del trattamento predispone i meccanismi per assicurare il rispetto dei termini fissati per la cancellazione dei dati personali e/o per un esame periodico della necessità di conservare tali dati.

 

8. Quando provvede alla cancellazione, il responsabile del trattamento si astiene da altri trattamenti di tali dati personali.

8. Quando provvede alla cancellazione, il responsabile del trattamento si astiene da altri trattamenti di tali dati personali.

 

8 bis. Il responsabile del trattamento predispone i meccanismi per assicurare il rispetto dei termini fissati per la cancellazione dei dati personali e/o per un esame periodico della necessità di conservare tali dati.

9. Alla Commissione è conferito il potere di adottare atti delegati in conformità allarticolo 86 al fine di precisare:

9. Alla Commissione è conferito il potere di adottare, previa richiesta di parere al comitato europeo per la protezione dei dati, atti delegati in conformità all'articolo 86 al fine di precisare:

a) i criteri e i requisiti per l’applicazione del paragrafo 1 per specifici settori e situazioni di trattamento dei dati;

a) i criteri e i requisiti per l’applicazione del paragrafo 1 per specifici settori e situazioni di trattamento dei dati;

b) le condizioni per la cancellazione di link, copie o riproduzioni di dati personali dai servizi di comunicazione accessibili al pubblico, come previsto al paragrafo 2;

b) le condizioni per la cancellazione di link, copie o riproduzioni di dati personali dai servizi di comunicazione accessibili al pubblico, come previsto al paragrafo 2;

c) i criteri e le condizioni per limitare il trattamento dei dati personali, di cui al paragrafo 4.

c) i criteri e le condizioni per limitare il trattamento dei dati personali, di cui al paragrafo 4.

Emendamento  113

Proposta di regolamento

Articolo 18

Testo della Commissione

Emendamento

Diritto alla portabilità dei dati

soppresso

1. L’interessato ha il diritto, ove i dati personali siano trattati con mezzi elettronici e in un formato strutturato e di uso comune, di ottenere dal responsabile del trattamento copia dei dati trattati in un formato elettronico e strutturato che sia di uso comune e gli consenta di farne ulteriore uso.

 

2. Se ha fornito i dati personali e il trattamento si basa sul consenso o su un contratto, l’interessato ha il diritto di trasmettere tali dati personali e ogni altra informazione fornita e conservata in un sistema di trattamento automatizzato a un altro sistema in un formato elettronico di uso comune, senza impedimenti da parte del responsabile del trattamento da cui sono richiamati i dati.

 

3. La Commissione può specificare il formato elettronico di cui al paragrafo 1 e le norme tecniche, le modalità e le procedure di trasmissione dei dati personali a norma del paragrafo 2. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

 

Emendamento  114

Proposta di regolamento

Articolo 19

Testo della Commissione

Emendamento

Diritto di opposizione

Diritto di opposizione

1. Linteressato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali ai sensi dellarticolo 6, paragrafo 1, lettere d), e) e f), salvo che il responsabile del trattamento dimostri lesistenza di motivi preminenti e legittimi per procedere al trattamento che prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dellinteressato.

1. L'interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali ai sensi dell'articolo 6, paragrafo 1, lettere d) ed e), salvo che il responsabile del trattamento dimostri l'esistenza di motivi preminenti e legittimi per procedere al trattamento che prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell'interessato.

2. Qualora i dati personali siano trattati per finalità di marketing diretto, linteressato ha il diritto di opporsi gratuitamente al trattamento dei dati personali effettuato per tali finalità. Tale diritto è comunicato esplicitamente all’interessato in modo intelligibile ed è chiaramente distinguibile dalle altre informazioni.

2. Qualora il trattamento dei dati personali si basi sull'articolo 6, paragrafo 1, lettera f), l'interessato ha il diritto, in qualsiasi momento e senza alcuna ulteriore giustificazione, di opporsi gratuitamente, in generale o per qualsiasi fine particolare, al trattamento dei dati personali.

 

2 bis. Il diritto di cui al paragrafo 2 è offerto esplicitamente all'interessato in un modo e in una forma intellegibili, con un linguaggio semplice e chiaro, in particolare se destinato specificamente a minori, ed è chiaramente distinguibile dalle altre informazioni.

 

2 ter. Nell'ambito dell'utilizzo di servizi della società dell’informazione e fatta salva la direttiva 2002/58/CE, il diritto di opposizione può essere esercitato mediante modalità automatizzate, utilizzando una norma tecnica che consenta all'interessato di esprimere chiaramente la propria volontà.

3. Qualora linteressato si opponga ai sensi dei paragrafi 1 e 2, il responsabile del trattamento non può più usare né altrimenti trattare i dati personali in questione.

3. Qualora l'interessato si opponga ai sensi dei paragrafi 1 e 2, il responsabile del trattamento non può più usare né altrimenti trattare i dati personali in questione per le finalità determinate nell'opposizione.

(L'ultima frase del paragrafo 2 del testo della Commissione è diventata parte del paragrafo 2 bis nell'emendamento del Parlamento).

Emendamento  115

Proposta di regolamento

Articolo 20

Testo della Commissione

Emendamento

Misure basate sulla profilazione

Profilazione

1. Chiunque ha il diritto di non essere sottoposto a una misura che produca effetti giuridici o significativamente incida sulla sua persona, basata unicamente su un trattamento automatizzato destinato a valutare taluni aspetti della sua personalità o ad analizzarne o prevederne in particolare il rendimento professionale, la situazione economica, l’ubicazione, lo stato di salute, le preferenze personali, l’affidabilità o il comportamento.

1. Fatte salve le disposizioni di cui all'articolo 6, chiunque ha il diritto di opporsi alla profilazione ai sensi dell'articolo 19. L'interessato è informato in merito al diritto di opporsi alla profilazione in modo chiaro ed evidente.

2. Fatte salve le altre disposizioni del presente regolamento, chiunque può essere sottoposto a una misura di cui al paragrafo 1 soltanto se il trattamento:

2. Fatte salve le altre disposizioni del presente regolamento, chiunque può essere sottoposto alla profilazione avente come conseguenza misure che producono effetti giuridici sull'interessato o che, parimenti, incidono significativamente sugli interessi, sui diritti o sulle libertà dello stesso, soltanto se il trattamento:

a) è effettuato nel contesto della conclusione o dellesecuzione di un contratto, a condizione che la domanda di concludere o eseguire il contratto, presentata dallinteressato, sia stata accolta oppure che siano state offerte misure adeguate, fra le quali il diritto di ottenere l’intervento umano, a salvaguardia dei suoi legittimi interessi, oppure or

a) è necessario ai fini della conclusione o dell'esecuzione di un contratto, a condizione che la domanda di concludere o eseguire il contratto, presentata dall'interessato, sia stata accolta, a condizione che siano state offerte misure adeguate a salvaguardia dei suoi legittimi interessi oppure

b) è espressamente autorizzato da disposizioni del diritto dell’Unione o di uno Stato membro che precisi altresì misure adeguate a salvaguardia dei legittimi interessi dell’interessato, or

b) è espressamente autorizzato da disposizioni del diritto dell’Unione o di uno Stato membro che precisi altresì misure adeguate a salvaguardia dei legittimi interessi dell’interessato,

c) si basa sul consenso dell’interessato, fatte salve le condizioni di cui all’articolo 7 e l’esistenza di garanzie adeguate.

c) si basa sul consenso dell’interessato, fatte salve le condizioni di cui all’articolo 7 e l’esistenza di garanzie adeguate.

3. Il trattamento automatizzato di dati personali destinato a valutare taluni aspetti della personalità dell’interessato non può basarsi unicamente sulle categorie particolari di dati personali di cui all’articolo 9.

3. È vietata la profilazione che porta alla discriminazione di persone sulla base della razza, dell'origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell'appartenenza sindacale, dell'orientamento sessuale o dell'identità di genere o risulta in misure aventi tali effetti discriminatori. Il responsabile del trattamento attua un'efficace protezione contro la possibile discriminazione risultante dalla profilazione. La profilazione non può basarsi unicamente sulle categorie particolari di dati personali di cui all’articolo 9.

4. Nei casi di cui al paragrafo 2, le informazioni che il responsabile del trattamento è tenuto a fornire ai sensi dell’articolo 14 ricomprendono l’esistenza di un trattamento relativo a una misura di cui al paragrafo 1 e gli effetti previsti di tale trattamento sull’interessato.

 

5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e le condizioni concernenti le misure adeguate a salvaguardia dei legittimi interessi dell’interessato di cui al paragrafo 2.

5. La profilazione avente come conseguenza misure che producono effetti giuridici sull'interessato o che, parimenti, incide significativamente sugli interessi, sui diritti o sulle libertà dello stesso non si basa unicamente o in modo predominante sul trattamento automatizzato e include una valutazione umana, compresa una spiegazione della decisione conseguita dopo tale valutazione. Le misure adeguate a salvaguardia dei legittimi interessi dell’interessato di cui al paragrafo 2 includono il diritto di ottenere una valutazione umana e una spiegazione della decisione conseguita dopo tale valutazione.

 

5 bis. Al comitato europeo per la protezione dei dati è affidato il compito di emettere orientamenti, raccomandazioni e buone prassi in linea con l'articolo 66, paragrafo 1, lettera b), per specificare ulteriormente i criteri e le condizioni per la profilazione ai sensi del paragrafo 2.

Emendamento  116

Proposta di regolamento

Articolo 21

Testo della Commissione

Emendamento

Limitazioni

Limitazioni

1. LUnione o gli Stati membri possono limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui all’articolo 5, lettere da a) a e), agli articoli da 11 a 20 e allarticolo 32, qualora tale limitazione costituisca una misura necessaria e proporzionata in una società democratica per salvaguardare:

1. L'Unione o gli Stati membri possono limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 11 a 19 e all'articolo 32, qualora tale limitazione persegua un obiettivo di interesse pubblico chiaramente definito, rispetti il contenuto essenziale del diritto alla protezione dei dati personali, sia proporzionato all'obiettivo legittimo perseguito e costituisca una misura necessaria e proporzionata in una società democratica per salvaguardare:

a) la pubblica sicurezza;

a) la pubblica sicurezza;

b) le attività volte a prevenire, indagare, accertare e perseguire reati;

b) le attività volte a prevenire, indagare, accertare e perseguire reati;

c) altri interessi pubblici dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, e la stabilità e l’integrità del mercato;

c) questioni tributarie;

d) le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;

d) le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;

e) una funzione di controllo, dispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere a), b), c), e d);

e) una funzione di controllo, d'ispezione o di regolamentazione nell'ambito dell'esercizio dei poteri di un'autorità pubblica competente nei casi di cui alle lettere a), b), c), e d);

f) la tutela dell’interessato o dei diritti e delle libertà altrui;

f) la tutela dell’interessato o dei diritti e delle libertà altrui;

2. In particolare, le misure legislative di cui al paragrafo 1 contengono disposizioni specifiche riguardanti almeno gli obiettivi perseguiti dal trattamento e la determinazione del responsabile del trattamento.

2. In particolare, le misure legislative di cui al paragrafo 1 devono essere necessarie e proporzionate in una società democratica e contengono disposizioni specifiche riguardanti almeno:

 

a) gli obiettivi perseguiti dal trattamento;

 

b) la determinazione del responsabile del trattamento;

 

c) le finalità specifiche e i mezzi di trattamento;

 

d) le garanzie per prevenire abusi o l'accesso o il trattamento illeciti;

 

e) il diritto degli interessati di essere informati delle restrizioni.

 

2 bis. Le misure legislative di cui al paragrafo 1 non consentono né impongono l'obbligo ai responsabili del trattamento privati di conservare dati aggiuntivi rispetto a quelli strettamente necessari per la finalità originaria.

(Le ultime parole del paragrafo 2 del testo della Commissione sono state spostate alle lettere a) e b) nell'emendamento del Parlamento).

Emendamento  117

Proposta di regolamento

Articolo 22

Testo della Commissione

Emendamento

Responsabilità del responsabile del trattamento

Responsabilità e doveri del responsabile del trattamento

1. Il responsabile del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme al presente regolamento.

1. Il responsabile del trattamento adotta politiche appropriate e attua misure adeguate e misure tecniche e organizzative dimostrabili per garantire ed essere in grado di dimostrare in modo trasparente che il trattamento dei dati personali effettuato è conforme al presente regolamento, tenuto conto dell'evoluzione tecnica, della natura del trattamento dei dati personali, del contesto, dell'ambito e delle finalità del trattamento, dei rischi per i diritti e le libertà degli interessati e del tipo di organizzazione, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso.

 

1 bis. Tenuto conto dell'evoluzione tecnica e dei costi di attuazione, il responsabile del trattamento adotta tutte le misure ragionevoli per attuare politiche e procedure in materia di conformità che rispettino costantemente le scelte autonome degli interessati. Dette politiche sono riesaminate almeno ogni due anni e aggiornate, se necessario.

2. Le misure di cui al paragrafo 1 comprendono, in particolare:

 

a) la conservazione della documentazione ai sensi dell’articolo 28;

 

b) l’attuazione dei requisiti di sicurezza dei dati di cui all’articolo 30;

 

c) l’esecuzione della valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 33;

 

d) il rispetto dei requisiti di autorizzazione preventiva o di consultazione preventiva dell’autorità di controllo ai sensi dell’articolo 34, paragrafi 1 e 2;

 

e) la designazione di un responsabile della protezione dei dati ai sensi dell’articolo 35, paragrafo 1.

 

3. Il responsabile del trattamento mette in atto meccanismi per assicurare la verifica dell’efficacia delle misure di cui ai paragrafi 1 e 2. Qualora ciò sia proporzionato, la verifica è effettuata da revisori interni o esterni indipendenti.

3. Il responsabile del trattamento è in grado di dimostrare l'adeguatezza e l'efficacia delle misure di cui ai paragrafi 1 e 2. Tutte le relazioni generali periodiche delle attività del responsabile del trattamento, quali le relazioni obbligatorie delle società quotate in borsa, contengono una descrizione sintetica delle politiche e delle misure di cui al paragrafo 1.

 

3 bis. Il responsabile del trattamento ha il diritto di trasmettere dati personali all'interno dell'Unione nell'ambito del gruppo di imprese di cui egli fa parte, qualora tale trattamento sia necessario a fini amministrativi legittimi interni tra settori commerciali correlati del gruppo di imprese e purché un livello adeguato di protezione dei dati e gli interessi degli interessati siano tutelati da disposizioni interne di protezione dei dati o da codici di condotta equivalenti ai sensi dell'articolo 38.

4. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le misure adeguate di cui al paragrafo 1 diverse da quelle specificate al paragrafo 2, le condizioni riguardanti i meccanismi di verifica e di audit di cui al paragrafo 3 e il criterio di proporzionalità di cui al paragrafo 3, e al fine di contemplare misure specifiche per le micro, piccole e medie imprese.

 

Emendamento  118

Proposta di regolamento

Articolo 23

Testo della Commissione

Emendamento

Protezione fin dalla progettazione e protezione di default

Protezione fin dalla progettazione e protezione di default

1. Al momento di determinare i mezzi del trattamento e allatto del trattamento stesso, il responsabile del trattamento, tenuto conto dellevoluzione tecnica e dei costi di attuazione, mette in atto adeguate misure e procedure tecniche e organizzative in modo tale che il trattamento sia conforme al presente regolamento e assicuri la tutela dei diritti dellinteressato.

1. Al momento di determinare le finalità e i mezzi del trattamento e all'atto del trattamento stesso, l'eventuale responsabile del trattamento e incaricato del trattamento, tenuto conto dell'evoluzione tecnica, delle migliori prassi internazionali e dei rischi rappresentati dal trattamento dei dati, mette in atto misure e procedure tecniche e organizzative adeguate e proporzionate, in modo tale che il trattamento sia conforme al presente regolamento e assicuri la tutela dei diritti dell'interessato, con particolare riguardo ai principi di cui all'articolo 5. La protezione dei dati fin dalla progettazione presta particolare attenzione alla gestione dell'intero ciclo di vita dei dati personali dalla raccolta al trattamento alla cancellazione, incentrandosi sistematicamente sulle garanzie procedurali generali in merito all'esattezza, alla riservatezza, all'integrità, alla sicurezza fisica e alla cancellazione dei dati personali. Se il responsabile del trattamento ha effettuato una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 33, è opportuno prenderne in considerazione i risultati in fase di sviluppo delle misure e delle procedure di cui sopra.

 

1 bis. Al fine di promuoverne una vasta attuazione in diversi settori economici, la protezione dati fin dalla progettazione costituisce un requisito indispensabile per gli appalti pubblici a norma della direttiva 2004/18/CE del Parlamento europeo e del Consiglio1 nonché a norma della direttiva 2004/17/CE del Parlamento europeo e del Consiglio (direttiva sui settori di pubblica utilità).

2. Il responsabile del trattamento mette in atto meccanismi per garantire che siano trattati, di default, solo i dati personali necessari per ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per le finalità perseguite. In particolare detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone.

2. Il responsabile del trattamento garantisce che siano trattati, di default, solo i dati personali necessari per ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione o diffusione non vadano oltre il minimo necessario per le finalità perseguite. In particolare detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone e che gli interessati siano in grado di controllare la distribuzione dei propri dati personali.

3. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le misure e i meccanismi adeguati di cui ai paragrafi 1 e 2, in particolare i requisiti riguardanti la protezione dei dati fin dalla progettazione applicabili in materia trasversale a vari settori, prodotti e servizi.

 

4. La Commissione può stabilire norme tecniche riguardanti i requisiti di cui ai paragrafi 1 e 2. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

 

 

1Direttiva 2004/18/CE del Parlamento europeo e del Consiglio, del 31 marzo 2004, relativa al coordinamento delle procedure di aggiudicazione degli appalti pubblici di lavori, di forniture e di servizi (GU L 134 del 30.4.2004, pag. 114).

2Direttiva 2004/17/CE del Parlamento europeo e del Consiglio, del 31 marzo 2004, che coordina le procedure di appalto degli enti erogatori di acqua e di energia, degli enti che forniscono servizi di trasporto e servizi postali (GU L 134 del 30.4.2004, pag. 1).

Emendamento  119

Proposta di regolamento

Articolo 24

Testo della Commissione

Emendamento

Corresponsabili del trattamento

Corresponsabili del trattamento

Se il responsabile del trattamento determina le finalità, le condizioni e i mezzi del trattamento dei dati personali insieme ad altri, i corresponsabili del trattamento determinano, mediante accordi interni, le rispettive responsabilità in merito al rispetto degli obblighi derivanti dal presente regolamento, con particolare riguardo alle procedure e ai meccanismi per l’esercizio dei diritti dell’interessato.

Se vari responsabili del trattamento determinano congiuntamente le finalità e i mezzi del trattamento dei dati personali, i corresponsabili del trattamento determinano, mediante un accordo interno, le rispettive responsabilità in merito al rispetto degli obblighi derivanti dal presente regolamento, con particolare riguardo alle procedure e ai meccanismi per l’esercizio dei diritti dell’interessato. L'accordo riflette adeguatamente i rispettivi ed effettivi ruoli dei corresponsabili e i loro rapporti nei confronti degli interessati e il contenuto essenziale dell'accordo è messo a disposizione dell'interessato. In caso di incertezze circa la responsabilità, i responsabili del trattamento sono solidalmente responsabili.

Emendamento  120

Proposta di regolamento

Articolo 25

Testo della Commissione

Emendamento

Rappresentanti di responsabili del trattamento non stabiliti nell’Unione

Rappresentanti di responsabili del trattamento non stabiliti nell’Unione

1. Nel caso di cui all’articolo 3, paragrafo 2, il responsabile del trattamento designa un rappresentante nell’Unione.

1. Nel caso di cui all’articolo 3, paragrafo 2, il responsabile del trattamento designa un rappresentante nell’Unione.

2. Quest’obbligo non si applica:

2. Quest’obbligo non si applica:

a) ai responsabili del trattamento stabiliti in un paese terzo qualora la Commissione abbia deciso che il paese terzo garantisce un livello di protezione adeguato in conformità dell’articolo 41, oppure

a) ai responsabili del trattamento stabiliti in un paese terzo qualora la Commissione abbia deciso che il paese terzo garantisce un livello di protezione adeguato in conformità dell’articolo 41, oppure

b) alle imprese con meno di 250 dipendenti oppure

b) ai responsabili che trattano dati personali che riguardano meno di 5 000 interessati durante qualsiasi periodo di 12 mesi consecutivi e che non trattano categorie speciali di dati personali come indicato all'articolo 9, paragrafo 1, dati relativi all'ubicazione o dati relativi a minori o dipendenti in sistemi di archiviazione su larga scala; oppure

c) alle autorità pubbliche e agli organismi pubblici, oppure

c) alle autorità pubbliche e agli organismi pubblici, oppure

d) ai responsabili del trattamento che offrono solo occasionalmente beni o servizi a interessati che risiedono nell’Unione.

d) ai responsabili del trattamento che offrono solo occasionalmente beni o servizi a interessati che risiedono nell’Unione, a meno che il trattamento di dati personali non riguardi categorie speciali di dati personali come indicato all'articolo 9, paragrafo 1, dati relativi all'ubicazione o dati relativi a minori o dipendenti in sistemi di archiviazione su larga scala.

3. Il rappresentante è stabilito in uno degli Stati membri in cui risiedono gli interessati i cui dati personali sono trattati nell’ambito dell’offerta di beni o servizi o il cui comportamento è controllato.

3. Il rappresentante è stabilito in uno degli Stati membri in cui è attuata l'offerta di beni o servizi o il loro monitoraggio per gli interessati.

4. La designazione di un rappresentante a cura del responsabile del trattamento fa salve le azioni legali che potrebbero essere promosse contro lo stesso responsabile del trattamento.

4. La designazione di un rappresentante a cura del responsabile del trattamento fa salve le azioni legali che potrebbero essere promosse contro lo stesso responsabile del trattamento.

Emendamento  121

Proposta di regolamento

Articolo 26

Testo della Commissione

Emendamento

Incaricato del trattamento

Incaricato del trattamento

1. Qualora il trattamento debba essere effettuato per conto del responsabile del trattamento, questi sceglie un incaricato del trattamento che presenti garanzie sufficienti per mettere in atto misure e procedure tecniche e organizzative adeguate in modo tale che il trattamento sia conforme al presente regolamento e assicuri la tutela dei diritti dell’interessato, con particolare riguardo alle misure di sicurezza tecnica e organizzative in relazione ai trattamenti da effettuare, e si assicura del rispetto di tali misure.

1. Qualora il trattamento debba essere effettuato per conto del responsabile del trattamento, questi sceglie un incaricato del trattamento che presenti garanzie sufficienti per mettere in atto misure e procedure tecniche e organizzative adeguate in modo tale che il trattamento sia conforme al presente regolamento e assicuri la tutela dei diritti dell’interessato, con particolare riguardo alle misure di sicurezza tecnica e organizzative in relazione ai trattamenti da effettuare, e si assicura del rispetto di tali misure.

2. Lesecuzione dei trattamenti su commissione è disciplinata da un contratto o altro atto giuridico che vincoli lincaricato del trattamento al responsabile del trattamento e che preveda segnatamente che l’incaricato del trattamento:

2. L'esecuzione dei trattamenti su commissione è disciplinata da un contratto o altro atto giuridico che vincoli l'incaricato del trattamento al responsabile del trattamento. Il responsabile del trattamento e l'incaricato del trattamento sono liberi di stabilire i rispettivi ruoli e compiti per quanto concerne i requisiti previsti dal presente regolamento, e garantiscono che l’incaricato del trattamento:

a) agisca soltanto su istruzione del responsabile del trattamento, in particolare qualora sia vietato il trasferimento dei dati personali usati;

a) proceda al trattamento di dati personali solo su istruzione del responsabile del trattamento, a meno che non diversamente richiesto dal diritto unionale o nazionale;

b) impieghi soltanto personale che si sia impegnato alla riservatezza o abbia l’obbligo legale di riservatezza;

b) impieghi soltanto personale che si sia impegnato alla riservatezza o abbia l’obbligo legale di riservatezza;

c) prenda tutte le misure richieste ai sensi dell’articolo 30;

c) prenda tutte le misure richieste ai sensi dell’articolo 30;

d) ricorra ad un altro incaricato del trattamento solo previa autorizzazione del responsabile del trattamento;

d) stabilisca le condizioni per ricorrere ad un altro incaricato del trattamento solo previa autorizzazione del responsabile del trattamento, a meno che non diversamente stabilito;

e) per quanto possibile tenuto conto della natura del trattamento, crei d’intesa con il responsabile del trattamento le condizioni tecniche e organizzative necessarie per l’adempimento dell’obbligo del responsabile del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

e) per quanto possibile tenuto conto della natura del trattamento, crei d’intesa con il responsabile del trattamento le condizioni tecniche e organizzative appropriate e pertinenti, necessarie per l’adempimento dell’obbligo del responsabile del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

f) aiuti il responsabile del trattamento a garantire il rispetto degli obblighi di cui agli articoli da 30 a 34;

f) aiuti il responsabile del trattamento a garantire il rispetto degli obblighi di cui agli articoli da 30 a 34, tenendo conto della natura del trattamento e delle informazioni a disposizione dell'incaricato del trattamento;

g) ultimato il trattamento, trasmetta tutti i risultati al responsabile del trattamento e si astenga dal trattare altrimenti i dati personali;

g) ultimato il trattamento, trasmetta tutti i risultati al responsabile del trattamento, si astenga dal trattare altrimenti i dati personali e cancelli le copie a meno che il diritto dell'Unione o la legislazione degli Stati membri non richiedano la memorizzazione dei dati;

h) metta a disposizione del responsabile del trattamento e dell’autorità di controllo tutte le informazioni necessarie per controllare il rispetto degli obblighi di cui al presente articolo.

h) metta a disposizione del responsabile del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consentire ispezioni in loco.

3. Il responsabile del trattamento e l’incaricato del trattamento documentano per iscritto le istruzioni del responsabile del trattamento e gli obblighi dell’incaricato del trattamento di cui al paragrafo 2.

3. Il responsabile del trattamento e l’incaricato del trattamento documentano per iscritto le istruzioni del responsabile del trattamento e gli obblighi dell’incaricato del trattamento di cui al paragrafo 2.

 

3 bis. Le garanzie sufficienti di cui al paragrafo 1 possono essere dimostrate mediante il rispetto dei codici di condotta o meccanismi di certificazione a norma degli articoli 38 o 39 del presente regolamento.

4. L’incaricato del trattamento che tratta i dati personali diversamente da quanto indicato nelle istruzioni del responsabile del trattamento è considerato responsabile del trattamento per tale trattamento ed è soggetto alle norme sui corresponsabili del trattamento di cui all’articolo 24.

4. L’incaricato del trattamento che tratta i dati personali diversamente da quanto indicato nelle istruzioni del responsabile del trattamento o che diventa parte determinante in relazione alle finalità e ai mezzi del trattamento è considerato responsabile del trattamento per tale trattamento ed è soggetto alle norme sui corresponsabili del trattamento di cui all’articolo 24.

5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le responsabilità, gli obblighi e i compiti dell’incaricato del trattamento conformemente al paragrafo 1, e le condizioni che consentono di facilitare il trattamento dei dati personali all’interno di un gruppo di imprese, in particolare ai fini del controllo e della rendicontazione.

 

Emendamento  122

Proposta di regolamento

Articolo 28

Testo della Commissione

Emendamento

Documentazione

Documentazione

1. Ogni responsabile del trattamento, incaricato del trattamento ed eventuale rappresentante del responsabile del trattamento conserva la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità.

1. Ogni responsabile del trattamento e incaricato del trattamento conserva la documentazione regolarmente aggiornata, necessaria per soddisfare i requisiti di cui al presente regolamento.

2. La documentazione contiene almeno le seguenti informazioni:

2. Inoltre, ogni responsabile del trattamento e incaricato del trattamento conserva la documentazione relativa alle seguenti informazioni:

a) nome e coordinate di contatto del responsabile del trattamento, o di ogni corresponsabile del trattamento o incaricato del trattamento, e dell’eventuale rappresentante del responsabile del trattamento;

a) nome e coordinate di contatto del responsabile del trattamento, o di ogni corresponsabile del trattamento o incaricato del trattamento, e dell’eventuale rappresentante del responsabile del trattamento;

b) nome e coordinate di contatto dell’eventuale responsabile della protezione dei dati;

b) nome e coordinate di contatto dell’eventuale responsabile della protezione dei dati;

c) finalità del trattamento, compresi i legittimi interessi perseguiti dal responsabile del trattamento qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f);

 

d) descrizione delle categorie di interessati e delle pertinenti categorie di dati personali;

 

e) indicazione dei destinatari o delle categorie di destinatari dei dati personali, compresi i responsabili del trattamento cui sono comunicati i dati personali ai fini del perseguimento dei loro legittimi interessi;

e) nome e coordinate di contatto degli eventuali responsabili del trattamento cui sono comunicati i dati;

f) se del caso, indicazione dei trasferimenti di dati verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui all’articolo 44, paragrafo 1, lettera h), la documentazione delle garanzie adeguate;

 

g) indicazione generale dei termini ultimi per cancellare le diverse categorie di dati;

 

h) descrizione dei meccanismi di cui all’articolo 22, paragrafo 3.

 

3. Il responsabile del trattamento, l’incaricato del trattamento e l’eventuale rappresentante del responsabile del trattamento mettono la documentazione a disposizione dell’autorità di controllo, su richiesta.

 

4. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano ai seguenti responsabili del trattamento e incaricati del trattamento:

 

a) persone fisiche che trattano dati personali senza un interesse commerciale, oppure

 

b) imprese o organizzazioni con meno di 250 dipendenti che trattano dati personali solo accessoriamente rispetto alle attività principali.

 

5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti la documentazione di cui al paragrafo 1, per tener conto in particolare delle responsabilità del responsabile del trattamento, dell’incaricato del trattamento e dell’eventuale rappresentante del responsabile del trattamento.

 

6. La Commissione può stabilire moduli standard per la documentazione di cui al paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

 

Emendamento  123

Proposta di regolamento

Articolo 29 – paragrafo 1

Testo della Commissione

Emendamento

1. Il responsabile del trattamento, l’incaricato del trattamento e l’eventuale rappresentante del responsabile del trattamento cooperano, su richiesta, con l’autorità di controllo nell’esercizio delle sue funzioni, fornendo in particolare le informazioni di cui all’articolo 53, paragrafo 2, lettera a), e accordando l’accesso di cui all’articolo 52, paragrafo 2, lettera b).

1. Il responsabile del trattamento e, se del caso, l’incaricato del trattamento e il rappresentante del responsabile del trattamento cooperano, su richiesta, con l’autorità di controllo nell’esercizio delle sue funzioni, fornendo in particolare le informazioni di cui all’articolo 53, paragrafo 2, lettera a), e accordando l’accesso di cui all’articolo 52, paragrafo 2, lettera b).

Emendamento  124

Proposta di regolamento

Articolo 30

Testo della Commissione

Emendamento

Sicurezza del trattamento

Sicurezza del trattamento

1. Tenuto conto dell’evoluzione tecnica e dei costi di attuazione, il responsabile del trattamento e l’incaricato del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta e alla natura dei dati personali da proteggere.

1. Tenuto conto dei risultati della valutazione di impatto in materia di protezione dei dati a norma dell'articolo 33 e dell’evoluzione tecnica e dei costi di attuazione, il responsabile del trattamento e l’incaricato del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta.

 

1 bis. Tenuto conto dell’evoluzione tecnica e dei costi di attuazione, una simile politica di sicurezza deve includere:

 

a) la capacità di assicurare che sia convalidata l’integrità dei dati personali;

 

b) la capacità di assicurare l’attuale riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;

 

c) la capacità di ripristinare la disponibilità e l’accesso ai dati in modo tempestivo, in caso di incidente fisico o tecnico che abbia un impatto sulla disponibilità, sull’integrità e sulla riservatezza dei sistemi e dei servizi di informazione;

 

d) in caso di trattamento di dati personali sensibili, a norma degli articoli 8 e 9, misure di sicurezza aggiuntive per garantire la consapevolezza situazionale dei rischi e la capacità di adottare azioni di prevenzione, correzione e attenuazione, praticamente in tempo reale, contro le vulnerabilità riscontrate o gli incidenti verificatisi, che potrebbero costituire un rischio per i dati;

 

e) un processo per provare, verificare e valutare regolarmente l’efficacia delle politiche, delle procedure e dei piani di sicurezza attuati per assicurare la continua efficacia.

2. Previa valutazione dei rischi, il responsabile del trattamento e l’incaricato del trattamento prendono le misure di cui al paragrafo 1 per proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita accidentale e per impedire qualsiasi forma illegittima di trattamento, in particolare la comunicazione, la divulgazione o l’accesso non autorizzati o la modifica dei dati personali.

2. Le misure di cui al paragrafo 1 devono come minimo:

 

a) garantire che ai dati personali possa accedere soltanto il personale autorizzato agli scopi autorizzati dalla legge;

 

b) proteggere i dati personali conservati o trasmessi dalla distruzione accidentale o illegale, dalla perdita o dalla modifica accidentale e dalla conservazione, trattamento, accesso o comunicazione non autorizzati o illegali; nonché

 

c) assicurare l’attuazione di una politica di sicurezza in relazione con il trattamento dei dati personali.

3. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e le condizioni concernenti le misure tecniche e organizzative di cui ai paragrafi 1 e 2, compresa la determinazione di ciò che costituisce evoluzione tecnica, per settori specifici e in specifiche situazioni di trattamento dei dati, in particolare tenuto conto degli sviluppi tecnologici e delle soluzioni per la protezione fin dalla progettazione e per la protezione di default, salvo che si applichi il paragrafo 4.

3. Il comitato europeo per la protezione dei dati è incaricato di emettere orientamenti, raccomandazioni e migliori prassi a norma dell'articolo 66, paragrafo 1, lettera b), per le misure tecniche e organizzative di cui ai paragrafi 1 e 2, compresa la determinazione di ciò che costituisce evoluzione tecnica, per settori specifici e in specifiche situazioni di trattamento dei dati, in particolare tenuto conto degli sviluppi tecnologici e delle soluzioni per la protezione fin dalla progettazione e per la protezione di default, salvo che si applichi il paragrafo 4.

4. Se necessario, la Commissione può adottare atti di esecuzione per precisare i requisiti di cui ai paragrafi 1 e 2 in varie situazioni, in particolare per:

 

a) impedire l’accesso non autorizzato ai dati personali;

 

b) impedire qualunque forma non autorizzata di divulgazione, lettura, copia, modifica, cancellazione o rimozione dei dati personali;

 

c) garantire la verifica della liceità del trattamento.

 

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

 

(Il paragrafo 2 nel testo della Commissione è in parte diventato la lettera b) nell'emendamento del Parlamento)

Emendamento  125

Proposta di regolamento

Articolo 31

Testo della Commissione

Emendamento

Notificazione di una violazione dei dati personali all’autorità di controllo

Notificazione di una violazione dei dati personali all’autorità di controllo

1. In caso di violazione dei dati personali, il responsabile del trattamento notifica la violazione all’autorità di controllo senza ritardo, ove possibile entro 24 ore dal momento in cui ne è venuto a conoscenza. Qualora non sia effettuata entro 24 ore, la notificazione all’autorità di controllo è corredata di una giustificazione motivata.

1. In caso di violazione dei dati personali, il responsabile del trattamento notifica la violazione all’autorità di controllo senza ritardo.

2. In conformità dell’articolo 26, paragrafo 2, lettera f), l’incaricato del trattamento allerta e informa il responsabile del trattamento immediatamente dopo aver accertato la violazione.

2. L’incaricato del trattamento allerta e informa il responsabile del trattamento senza ingiustificato ritardo dopo aver accertato la violazione.

3. La notificazione di cui al paragrafo 1 deve come minimo:

3. La notificazione di cui al paragrafo 1 deve come minimo:

a) descrivere la natura della violazione dei dati personali, compresi le categorie e il numero di interessati in questione e le categorie e il numero di registrazioni dei dati in questione;

a) descrivere la natura della violazione dei dati personali, compresi le categorie e il numero di interessati in questione e le categorie e il numero di registrazioni dei dati in questione;

b) indicare l’identità e le coordinate di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

b) indicare l’identità e le coordinate di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione dei dati personali;

c) elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione dei dati personali;

d) descrivere le conseguenze della violazione dei dati personali;

d) descrivere le conseguenze della violazione dei dati personali;

e) descrivere le misure proposte o adottate dal responsabile del trattamento per porre rimedio alla violazione dei dati personali.

e) descrivere le misure proposte o adottate dal responsabile del trattamento per porre rimedio alla violazione dei dati personali e attenuarne gli effetti.

Se necessario le informazioni possono essere fornite in diverse fasi.

4. Il responsabile del trattamento documenta la violazione dei dati personali, incluse le circostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi rimedio. La documentazione deve consentire allautorità di controllo di verificare il rispetto del presente articolo. In essa figurano unicamente le informazioni necessarie a tal fine.

4. Il responsabile del trattamento documenta la violazione dei dati personali, incluse le circostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi rimedio. La documentazione deve essere sufficiente al fine di consentire all'autorità di controllo di verificare il rispetto del presente articolo e dell'articolo 30. In essa figurano unicamente le informazioni necessarie a tal fine.

 

4 bis. L’autorità di controllo dovrà conservare un registro pubblico delle tipologie di violazione notificate.

5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti l’accertamento della violazione di dati personali di cui ai paragrafi 1 e 2 e le circostanze particolari in cui il responsabile del trattamento e l’incaricato del trattamento sono tenuti a notificare la violazione.

5. Al comitato europeo per la protezione dei dati è affidato il compito di emettere orientamenti, raccomandazioni e migliori prassi in linea con l'articolo 66, paragrafo 1, lettera b), per accertare la violazione di dati personali e determinare l'indebito ritardo di cui ai paragrafi 1 e 2 e le circostanze particolari in cui il responsabile del trattamento e l’incaricato del trattamento sono tenuti a notificare la violazione.

6. La Commissione può stabilire il formato standard di tale notificazione all’autorità di controllo, le procedure applicabili all’obbligo di notificazione e la forma e le modalità della documentazione di cui al paragrafo 4, compresi i termini per la cancellazione delle informazioni ivi contenute. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

 

Emendamento  126

Proposta di regolamento

Articolo 32

Testo della Commissione

Emendamento

Comunicazione di una violazione dei dati personali all’interessato

Comunicazione di una violazione dei dati personali all’interessato

1. Quando la violazione dei dati personali rischia di pregiudicare i dati personali o di attentare alla vita privata dellinteressato, il responsabile del trattamento, dopo aver provveduto alla notificazione di cui allarticolo 31, comunica la violazione allinteressato senza ingiustificato ritardo.

1. Quando la violazione dei dati personali rischia di pregiudicare i dati personali, di attentare alla vita privata, ai diritti o agli interessi legittimi dell'interessato, il responsabile del trattamento, dopo aver provveduto alla notificazione di cui all'articolo 31, comunica la violazione all'interessato senza ingiustificato ritardo.

2. La comunicazione all’interessato di cui al paragrafo 1 descrive la natura della violazione dei dati personali e contiene almeno le informazioni e le raccomandazioni di cui allarticolo 31, paragrafo 3, lettere b) e c).

La comunicazione all’interessato di cui al paragrafo è esaustiva e redatta in un linguaggio semplice e chiaro. Essa descrive la natura della violazione dei dati personali e contiene almeno le informazioni e le raccomandazioni di cui all'articolo 31, paragrafo 3, lettere b), c) e d) e le informazioni relative ai diritti dell'interessato, incluso il ricorso.

3. Non è richiesta la comunicazione di una violazione dei dati personali all’interessato se il responsabile del trattamento dimostra in modo convincente all’autorità di controllo che ha utilizzato le opportune misure tecnologiche di protezione e che tali misure erano state applicate ai dati violati. Tali misure tecnologiche di protezione devono rendere i dati incomprensibili a chiunque non sia autorizzato ad accedervi.

3. Non è richiesta la comunicazione di una violazione dei dati personali all’interessato se il responsabile del trattamento dimostra in modo convincente all’autorità di controllo che ha utilizzato le opportune misure tecnologiche di protezione e che tali misure erano state applicate ai dati violati. Tali misure tecnologiche di protezione devono rendere i dati incomprensibili a chiunque non sia autorizzato ad accedervi.

4. Fatto salvo l’obbligo per il responsabile del trattamento di comunicare all’interessato la violazione dei dati personali, se il responsabile del trattamento non ha provveduto a comunicare all’interessato la violazione dei dati personali, l’autorità di controllo, considerate le presumibili ripercussioni negative della violazione, può obbligare il responsabile del trattamento a farlo.

4. Fatto salvo l’obbligo per il responsabile del trattamento di comunicare all’interessato la violazione dei dati personali, se il responsabile del trattamento non ha provveduto a comunicare all’interessato la violazione dei dati personali, l’autorità di controllo, considerate le presumibili ripercussioni negative della violazione, può obbligare il responsabile del trattamento a farlo.

5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le circostanze in cui una violazione di dati personali rischia di pregiudicare la protezione dei dati personali di cui al paragrafo 1.

Il comitato europeo per la protezione dei dati è incaricato di emettere orientamenti, raccomandazioni e migliori prassi a norma dell'articolo 66, paragrafo 1, lettera b), per le misure tecniche e organizzative di cui ai paragrafi 1 e 2, in relazione alle circostanze in cui una violazione di dati personali rischia di pregiudicare la protezione dei dati personali, la vita privata, i diritti o gli interessi legittimi dell'interessato di cui al paragrafo 1

6. La Commissione può stabilire il formato della comunicazione all’interessato di cui al paragrafo 1, e le procedure applicabili a tale comunicazione. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

 

Emendamento  127

Proposta di regolamento

Articolo 32 bis (nuovo)

Testo della Commissione

Emendamento

 

Articolo 32 bis

 

Rischi

 

1. Il responsabile del trattamento o, se del caso, l'incaricato del trattamento procede ad un'analisi dei rischi dell'impatto potenziale del trattamento dati previsto sui diritti e le libertà degli interessati, in cui valuta se le operazioni di trattamento possono presentare rischi specifici.

 

2. Possono presentare rischi specifici i seguenti trattamenti:

 

a) trattamento di dati personali relativi ad oltre 5 000 interessati per un periodo di 12 mesi consecutivi;

 

b) trattamento di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, dati relativi all'ubicazione o dati riguardanti minori o dipendenti in archivi su larga scala;

 

c) profilazione da cui discendono misure che hanno effetti giuridici o che allo stesso modo incidono significativamente sull'interessato;

 

d) trattamento di dati personali per la prestazione di servizi sanitari, ricerche epidemiologiche o indagini su malattie mentali o infettive, qualora i dati siano trattati per prendere misure o decisioni su larga scala riguardanti persone specifiche;

 

e) sorveglianza automatizzata di zone accessibili al pubblico su larga scala;

 

f) qualunque altro trattamento che richiede la consultazione del responsabile della protezione dei dati o dell'autorità di controllo ai sensi dell'articolo 34, paragrafo 2, lettera b);

 

g) qualora una violazione dei dati personali potrebbe incidere negativamente sulla protezione dei dati personali, sulla vita privata, sui diritti o sui legittimi interessi dell'interessato;

 

h) le attività principali del responsabile del trattamento o dell’incaricato del trattamento consistono in trattamenti che, per la loro natura, il loro oggetto o le loro finalità richiedono il controllo regolare e sistematico degli interessati;

 

i) Qualora i dati personali siano messi a disposizione di un certo numero di persone che non si può ragionevolmente prevedere sia limitato.

 

3. In base all'esito dell'analisi dei rischi:

 

a) se non esiste alcuna operazione di trattamento di cui al paragrafo 2, lettere a) o b), i responsabili del trattamento non stabiliti nell’Unione designano un rappresentante nell'Unione in linea con i requisiti e le esenzioni di cui all'articolo 25;

 

b) se non esiste alcuna operazione di trattamento di cui al paragrafo 2, lettere a), b) o h), il responsabile del trattamento designa un responsabile della protezione dei dati in linea con i requisiti e le esenzioni di cui all'articolo 35;

 

c) se non esiste alcuna operazione di trattamento di cui al paragrafo 2, lettere a), b), c), d), e), f), g) o h), il responsabile del trattamento o l'incaricato del trattamento che agisce in sua vece esegue una valutazione di impatto della protezione dei dati a norma dell'articolo 33;

 

d) se le operazioni di trattamento di cui al paragrafo 2, lettera f), esistono, il responsabile del trattamento consulta il responsabile della protezione dei dati o, qualora questi non sia stato nominato, l'autorità di controllo a norma dell'articolo 34.

 

4. L’analisi dei rischi deve essere rivista almeno dopo un anno, oppure immediatamente, se la natura, la portata o gli obiettivi dei trattamenti cambiano in modo significativo. Se, a norma del paragrafo 3, lettera c), il responsabile del trattamento non è tenuto ad eseguire una valutazione di impatto di protezione dei dati, l'analisi dei rischi è documentata.

Emendamento  128

Proposta di regolamento

Capo 4 – sezione 3 – titolo

Testo della Commissione

Emendamento

VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI E AUTORIZZAZIONE PREVENTIVA

GESTIONE DELLA PROTEZIONE DEI DATI DURANTE TUTTO IL CICLO DI VITA

Emendamento  129

Proposta di regolamento

Articolo 33

Testo della Commissione

Emendamento

Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati

1. Quando il trattamento, per la sua natura, il suo oggetto o le sue finalità, presenta rischi specifici per i diritti e le libertà degli interessati, il responsabile del trattamento o l’incaricato del trattamento che agisce per conto del responsabile del trattamento effettua una valutazione dell’impatto del trattamento previsto sulla protezione dei dati personali.

1. Quando richiesto ai sensi dell’articolo 32 bis, paragrafo 3, lettera c), il responsabile del trattamento o l’incaricato del trattamento che agisce per conto del responsabile del trattamento effettua una valutazione dell’impatto del trattamento previsto sui diritti e le libertà degli interessati, specie il loro diritto alla protezione dei dati personali. Una singola valutazione sarà sufficiente per esaminare una serie di trattamenti simili che presentano rischi analoghi.

2. Presentano rischi specifici ai sensi del paragrafo 1 in particolare i seguenti trattamenti:

 

a) la valutazione sistematica e globale di aspetti della personalità dell’interessato o volta ad analizzarne o prevederne in particolare la situazione economica, l’ubicazione, lo stato di salute, le preferenze personali, l’affidabilità o il comportamento, basata su un trattamento automatizzato e da cui discendono misure che hanno effetti giuridici o significativamente incidono sull’interessato;

 

b) il trattamento di informazioni concernenti la vita sessuale, lo stato di salute, la razza e l’origine etnica oppure destinate alla prestazione di servizi sanitari o a ricerche epidemiologiche o indagini su malattie mentali o infettive qualora i dati siano trattati per prendere misure o decisioni su larga scala riguardanti persone specifiche;

 

c) la sorveglianza di zone accessibili al pubblico, in particolare se effettuata mediante dispositivi ottico-elettronici (videosorveglianza) su larga scala;

 

d) il trattamento di dati personali in archivi su larga scala riguardanti minori, dati genetici o dati biometrici;

 

e) qualunque altro trattamento che richiede la consultazione dell’autorità di controllo ai sensi dell’articolo 34, paragrafo 2, lettera b).

 

3. La valutazione contiene almeno una descrizione generale del trattamento previsto, una valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare i rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e dei legittimi interessi degli interessati e delle altre persone in questione.

3. La valutazione terrà conto della gestione dei dati personali durante tutto il loro ciclo di vita, dalla raccolta, al trattamento fino alla cancellazione. Essa contiene almeno:

 

a) una descrizione sistematica dei trattamenti previsti, le finalità del trattamento e, se del caso, gli interessi legittimi perseguiti dal responsabile del trattamento;

 

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

 

c) una valutazione dei rischi per i diritti e le libertà degli interessati, inclusi il rischio di discriminazione insito o rafforzato dal trattamento;

 

d) una descrizione delle misure previste per affrontare i rischi e ridurre al minimo il volume dei dati personali trattati;

 

e) un elenco delle garanzie, delle misure di sicurezza e dei meccanismi per garantire la protezione dei dati personali, quali la pseudonimizzazione, e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e dei legittimi interessi degli interessati e delle altre persone in questione;

 

f) un'indicazione generale dei termini ultimi per cancellare le diverse categorie di dati;

 

h) una spiegazione delle prassi di protezione dei dati fin dalla progettazione e di protezione di default ai sensi dell’articolo 23 che sono state applicate;

 

i) un elenco dei destinatari o delle categorie di destinatari dei dati personali;

 

j) se del caso, un'indicazione dei trasferimenti di dati previsti verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui all’articolo 44, paragrafo 1, lettera h), la documentazione delle garanzie adeguate;

 

k) una valutazione del contesto del trattamento dei dati.

 

3 bis. Se il responsabile del trattamento o l’incaricato del trattamento ha nominato un responsabile della protezione dei dati, quest’ultimo partecipa alle procedure di valutazione d’impatto.

 

3 ter. La valutazione dovrà essere documentata e dovrà stabilire un calendario delle normali verifiche periodiche della conformità relativa alla protezione dei dati, ai sensi dell’articolo 33 bis, paragrafo 1. La valutazione dovrà essere aggiornata quanto prima, qualora i risultati della verifica della conformità relativa alla protezione dei dati, di cui all’articolo 33 bis, rivelino incoerenze dal punto di vista della conformità. Il responsabile del trattamento, l’incaricato del trattamento e l’eventuale rappresentante del responsabile del trattamento mettono la valutazione a disposizione dell’autorità di controllo, su richiesta.

4. Il responsabile del trattamento raccoglie le osservazioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza del trattamento.

 

5. Qualora il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico e il trattamento sia effettuato in forza di un obbligo legale ai sensi dell’articolo 6, paragrafo 1, lettera c), che prevede norme e procedure riguardanti il trattamento e sia stabilito dal diritto dell’Unione, i paragrafi da 1 a 4 non si applicano salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.

 

6. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e le condizioni concernenti i trattamenti che possono presentare rischi specifici di cui ai paragrafi 1 e 2 e i requisiti riguardanti la valutazione di cui paragrafo 3, comprese le condizioni di scalabilità, verifica e controllabilità. A tal fine, la Commissione contempla misure specifiche per le micro, piccole e medie imprese.

 

7. La Commissione può specificare norme e procedure per l’esecuzione, la verifica e il controllo della valutazione di cui al paragrafo 3. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

 

(Una parte del paragrafo 3 nel testo della Commissione corrisponde alle lettere a), c), d) ed e) nell'emendamento del Parlamento)

Emendamento  130

Proposta di regolamento

Articolo 33 bis (nuovo)

Testo della Commissione

Emendamento

 

Articolo 33 bis

 

Verifica della conformità della protezione dei dati

 

1. Entro e non oltre due anni dallo svolgimento di una valutazione d’impatto ai sensi dell’articolo 33, paragrafo 1, il responsabile del trattamento o l’incaricato del trattamento che agisce per conto del responsabile del trattamento esegue una verifica della conformità. Tale verifica della conformità è volta a dimostrare che il trattamento dei dati personali è svolto in linea con la valutazione di impatto della protezione dei dati.

 

2. La verifica della conformità deve essere effettuata periodicamente almeno una volta ogni due anni, o immediatamente quando vi sia un cambiamento dei rischi specifici derivanti dai trattamenti.

 

3. Qualora i risultati della verifica della conformità rivelino incoerenze, la revisione della conformità dovrà includere raccomandazioni sulle modalità per il raggiungimento della piena conformità.

 

4. La revisione della conformità e le relative raccomandazioni sono documentate. Il responsabile del trattamento, l’incaricato del trattamento e l’eventuale rappresentante del responsabile del trattamento mettono la revisione della conformità a disposizione dell’autorità di controllo, su richiesta.

 

5. Se il responsabile del trattamento o l’incaricato del trattamento ha nominato un responsabile della protezione dei dati, quest’ultimo partecipa alla procedura di verifica della conformità.

Emendamento  131

Proposta di regolamento

Articolo 34

Testo della Commissione

Emendamento

Autorizzazione preventiva e consultazione preventiva

Consultazione preventiva

1. Il responsabile del trattamento o l’incaricato del trattamento, a seconda del caso, che adotti le clausole contrattuali di cui all’articolo 42, paragrafo 2, lettera d), o non offra garanzie adeguate in uno strumento giuridicamente vincolante ai sensi dell’articolo 42, paragrafo 5, per il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, prima di procedere al trattamento dei dati personali ottiene l’autorizzazione dell’autorità di controllo al fine di garantire la conformità del trattamento previsto al presente regolamento e, in particolare, attenuare i rischi per gli interessati.

 

2. Il responsabile del trattamento, o lincaricato del trattamento che agisce per conto del responsabile del trattamento, prima di procedere al trattamento dei dati personali consulta lautorità di controllo al fine di garantire la conformità del trattamento previsto al presente regolamento e, in particolare, attenuare i rischi per gli interessati qualora:

2. Il responsabile del trattamento, o l'incaricato del trattamento che agisce per conto del responsabile del trattamento, prima di procedere al trattamento dei dati personali consulta il responsabile della protezione dei dati o, nel caso in cui quest'ultimo non sia stato nominato, l'autorità di controllo al fine di garantire la conformità del trattamento previsto al presente regolamento e, in particolare, attenuare i rischi per gli interessati qualora:

a) la valutazione d’impatto sulla protezione dei dati di cui all’articolo 33 indichi che il trattamento, per la sua natura, il suo oggetto o le sue finalità, può presentare un alto grado di rischi specifici, oppure

a) la valutazione d’impatto sulla protezione dei dati di cui all’articolo 33 indichi che il trattamento, per la sua natura, il suo oggetto o le sue finalità, può presentare un alto grado di rischi specifici, oppure

b) lautorità di controllo ritenga necessario effettuare una consultazione preventiva sui trattamenti precisati conformemente al paragrafo 4 che, per la loro natura, il loro oggetto o le loro finalità, possono presentare rischi specifici per i diritti e le libertà degli interessati.

b) il responsabile della protezione dei dati o l'autorità di controllo ritenga necessario effettuare una consultazione preventiva sui trattamenti precisati conformemente al paragrafo 4 che, per la loro natura, il loro oggetto o le loro finalità, possono presentare rischi specifici per i diritti e le libertà degli interessati.

3. Se ritiene che il trattamento previsto non sia conforme al presente regolamento, in particolare qualora i rischi non siano sufficientemente identificati o attenuati, lautorità di controllo vieta il trattamento previsto e presenta opportune proposte per ovviare al difetto di conformità.

3. Se, conformemente alla sua competenza, determina che il trattamento previsto non sia conforme al presente regolamento, in particolare qualora i rischi non siano sufficientemente identificati o attenuati, l'autorità di controllo competente vieta il trattamento previsto e presenta opportune proposte per ovviare al difetto di conformità.

4. L’autorità di controllo redige e rende pubblico un elenco dei trattamenti soggetti a consultazione preventiva ai sensi del paragrafo 2, lettera b). L’autorità di controllo comunica tali elenchi al comitato europeo per la protezione dei dati.

4. Il comitato europeo per la protezione dei dati redige e rende pubblico un elenco dei trattamenti soggetti a consultazione preventiva ai sensi del paragrafo 2.

5. Se l’elenco di cui al paragrafo 4 comprende attività di trattamento finalizzate all’offerta di beni o servizi a interessati in più Stati membri o al controllo del loro comportamento, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione, l’autorità di controllo; prima di adottare tale elenco, applica il meccanismo di coerenza di cui all’articolo 57.

 

6. Il responsabile del trattamento o lincaricato del trattamento trasmette allautorità di controllo la valutazione dimpatto sulla protezione dei dati di cui all’articolo 33 e, se richiesta, ogni altra informazione al fine di consentire allautorità di controllo di effettuare una valutazione della conformità del trattamento, in particolare dei rischi per la protezione dei dati personali dellinteressato e delle relative garanzie.

6. Il responsabile del trattamento o l'incaricato del trattamento, su richiesta, trasmette all'autorità di controllo la valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 33 e, se richiesta, ogni altra informazione al fine di consentire all'autorità di controllo di effettuare una valutazione della conformità del trattamento, in particolare dei rischi per la protezione dei dati personali dell'interessato e delle relative garanzie.

7. Quando elaborano un atto legislativo che deve essere adottato dai parlamenti nazionali o una misura basata su un atto di questo tipo, in cui venga definita la natura del trattamento, gli Stati membri consultano l’autorità di controllo per garantire la conformità del trattamento previsto al presente regolamento e, in particolare, attenuare i rischi per gli interessati.

7. Quando elaborano un atto legislativo che deve essere adottato dai parlamenti nazionali o una misura basata su un atto di questo tipo, in cui venga definita la natura del trattamento, gli Stati membri consultano l’autorità di controllo per garantire la conformità del trattamento previsto al presente regolamento e, in particolare, attenuare i rischi per gli interessati.

8. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti per determinare l’alto grado di rischi specifici di cui al paragrafo 2, lettera a).

 

9. La Commissione può stabilire moduli standard e procedure per l’autorizzazione preventiva e la consultazione preventiva di cui ai paragrafi 1 e 2, e per l’informativa all’autorità di controllo ai sensi del paragrafo 6. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

 

Emendamento  132

Proposta di regolamento

Articolo 35

Testo della Commissione

Emendamento

Designazione del responsabile della protezione dei dati

Designazione del responsabile della protezione dei dati

1. Il responsabile del trattamento e l’incaricato del trattamento designano sistematicamente un responsabile della protezione dei dati quando:

1. Il responsabile del trattamento e l’incaricato del trattamento designano sistematicamente un responsabile della protezione dei dati quando:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, oppure

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, oppure

b) il trattamento è effettuato da un’impresa con 250 o più dipendenti, oppure

b) il trattamento è effettuato da una persona giuridica e riguarda più di 5 000 interessati in qualsiasi periodo di 12 mesi consecutivi; oppure

c) le attività principali del responsabile del trattamento o dell’incaricato del trattamento consistono in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati.

c) le attività principali del responsabile del trattamento o dell’incaricato del trattamento consistono in trattamenti che, per la loro natura, il loro oggetto o le loro finalità richiedono il controllo regolare e sistematico degli interessati; oppure

 

d) le attività principali del responsabile del trattamento o dell'incaricato del trattamento consistono nel trattamento di categorie particolari di dati ai sensi dell'articolo 9, paragrafo 1, nell'affitto di dati o riguardano dati su minori o dipendenti in archivi su larga scala.

2. Nei casi di cui al paragrafo 1, lettera b), un gruppo di imprese può nominare un unico responsabile della protezione dei dati.

2. Un gruppo di imprese può nominare un responsabile principale della protezione dei dati, a condizione che sia garantito che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.

3. Qualora il responsabile del trattamento o l’incaricato del trattamento sia un’autorità pubblica o un organismo pubblico, il responsabile della protezione dei dati può essere designato per più enti, tenuto conto della struttura organizzativa dell’autorità pubblica o dell’organismo pubblico.

3. Qualora il responsabile del trattamento o l’incaricato del trattamento sia un’autorità pubblica o un organismo pubblico, il responsabile della protezione dei dati può essere designato per più enti, tenuto conto della struttura organizzativa dell’autorità pubblica o dell’organismo pubblico.

4. Nei casi diversi da quelli di cui al paragrafo 1, il responsabile del trattamento, l’incaricato del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di responsabili del trattamento o di incaricati del trattamento possono designare un responsabile della protezione dei dati.

4. Nei casi diversi da quelli di cui al paragrafo 1, il responsabile del trattamento, l’incaricato del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di responsabili del trattamento o di incaricati del trattamento possono designare un responsabile della protezione dei dati.

5. Il responsabile del trattamento o l’incaricato del trattamento designa il responsabile della protezione dei dati in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti di cui all’articolo 37. Il livello necessario di conoscenza specialistica è determinato in particolare in base al trattamento di dati effettuato e alla protezione richiesta per i dati personali trattati dal responsabile del trattamento o dall’incaricato del trattamento.

5. Il responsabile del trattamento o l’incaricato del trattamento designa il responsabile della protezione dei dati in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti di cui all’articolo 37. Il livello necessario di conoscenza specialistica è determinato in particolare in base al trattamento di dati effettuato e alla protezione richiesta per i dati personali trattati dal responsabile del trattamento o dall’incaricato del trattamento.

6. Il responsabile del trattamento o l’incaricato del trattamento si assicura che ogni altra funzione professionale del responsabile della protezione dei dati sia compatibile con i compiti e le funzioni dello stesso in qualità di responsabile della protezione dei dati e non dia adito a conflitto di interessi.

6. Il responsabile del trattamento o l’incaricato del trattamento si assicura che ogni altra funzione professionale del responsabile della protezione dei dati sia compatibile con i compiti e le funzioni dello stesso in qualità di responsabile della protezione dei dati e non dia adito a conflitto di interessi.

7. Il responsabile del trattamento o l’incaricato del trattamento designa un responsabile della protezione dei dati per un periodo di almeno due anni. Il mandato del responsabile della protezione dei dati è rinnovabile. Durante il mandato può essere destituito solo se non soddisfa più le condizioni richieste per lesercizio delle sue funzioni.

7. Il responsabile del trattamento o l’incaricato del trattamento designa un responsabile della protezione dei dati per un periodo di almeno quattro anni in caso di un contraente di servizi esterno. Il mandato del responsabile della protezione dei dati è rinnovabile. Durante il suo mandato può essere destituito dalla carica solo se non soddisfa più le condizioni richieste per l'esercizio delle sue funzioni.

8. Il responsabile della protezione dei dati può essere assunto dal responsabile del trattamento o dall’incaricato del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi.

8. Il responsabile della protezione dei dati può essere assunto dal responsabile del trattamento o dall’incaricato del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi.

9. Il responsabile del trattamento o l’incaricato del trattamento comunica il nome e le coordinate di contatto del responsabile della protezione dei dati all’autorità di controllo e al pubblico.

9. Il responsabile del trattamento o l’incaricato del trattamento comunica il nome e le coordinate di contatto del responsabile della protezione dei dati all’autorità di controllo e al pubblico.

10. Gli interessati hanno il diritto di contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e presentare richieste per esercitare i diritti riconosciuti dal presente regolamento.

10. Gli interessati hanno il diritto di contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e presentare richieste per esercitare i diritti riconosciuti dal presente regolamento.

11. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le attività principali del responsabile del trattamento o dell’incaricato del trattamento di cui al paragrafo 1, lettera c), e i criteri relativi alle qualità professionali del responsabile della protezione dei dati di cui al paragrafo 5.

 

Emendamento  133

Proposta di regolamento

Articolo 36

Testo della Commissione

Emendamento

Posizione del responsabile della protezione dei dati

Posizione del responsabile della protezione dei dati

1. Il responsabile del trattamento o l’incaricato del trattamento si assicura che il responsabile della protezione dei dati sia prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

1. Il responsabile del trattamento o l’incaricato del trattamento si assicura che il responsabile della protezione dei dati sia prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

2. Il responsabile del trattamento o l’incaricato del trattamento si assicura che il responsabile della protezione dei dati adempia alle funzioni e ai compiti in piena indipendenza e non riceva alcuna istruzione per quanto riguarda il loro esercizio. Il responsabile della protezione dei dati riferisce direttamente ai superiori gerarchici del responsabile del trattamento o dellincaricato del trattamento.

2. Il responsabile del trattamento o l’incaricato del trattamento si assicura che il responsabile della protezione dei dati adempia alle funzioni e ai compiti in piena indipendenza e non riceva alcuna istruzione per quanto riguarda il loro esercizio. Il responsabile della protezione dei dati riferisce direttamente ai superiori gerarchici esecutivi del responsabile del trattamento o dell'incaricato del trattamento. Il responsabile del trattamento o l'incaricato del trattamento designa a tal fine un membro della direzione esecutiva che sarà responsabile della conformità alle disposizioni del presente regolamento.

3. Il responsabile del trattamento o lincaricato del trattamento sostiene il responsabile della protezione dei dati nellesecuzione dei suoi compiti e gli fornisce personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cui allarticolo 37.

3. Il responsabile del trattamento o l'incaricato del trattamento sostiene il responsabile della protezione dei dati nell'esecuzione dei suoi compiti e gli fornisce tutti i mezzi, inclusi il personale, i locali, le attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cui all'articolo 37 e per mantenere la propria conoscenza professionale.

 

4. I responsabili della protezione dei dati sono tenuti alla segretezza per quanto riguarda l'identità degli interessati e le circostanze che ne consentono l'identificazione, a meno che non siano esentati da tale obbligo dall'interessato.

Emendamento  134

Proposta di regolamento

Articolo 37

Testo della Commissione

Emendamento

Compiti del responsabile della protezione dei dati

Compiti del responsabile della protezione dei dati

1. Il responsabile del trattamento o l’incaricato del trattamento conferisce al responsabile della protezione dei dati almeno i seguenti compiti:

Il responsabile del trattamento o l’incaricato del trattamento conferisce al responsabile della protezione dei dati almeno i seguenti compiti:

a) informare e consigliare il responsabile del trattamento o lincaricato del trattamento in merito agli obblighi derivanti dal presente regolamento e conservare la documentazione relativa a tale attività e alle risposte ricevute;

a) sensibilizzare, informare e consigliare il responsabile del trattamento o l'incaricato del trattamento in merito agli obblighi derivanti dal presente regolamento, segnatamente per quanto attiene alle misure e procedure tecniche e organizzative, e conservare la documentazione relativa a tale attività e alle risposte ricevute;

b) sorvegliare l’attuazione e l’applicazione delle politiche del responsabile del trattamento o dell’incaricato del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;

b) sorvegliare l’attuazione e l’applicazione delle politiche del responsabile del trattamento o dell’incaricato del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;

c) sorvegliare l’attuazione e l’applicazione del presente regolamento, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l’informazione dell’interessato e le richieste degli interessati di esercitare i diritti riconosciuti dal presente regolamento;

c) sorvegliare l’attuazione e l’applicazione del presente regolamento, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l’informazione dell’interessato e le richieste degli interessati di esercitare i diritti riconosciuti dal presente regolamento;

d) garantire la conservazione della documentazione di cui all’articolo 28;

d) garantire la conservazione della documentazione di cui all’articolo 28;

e) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate ai sensi degli articoli 31 e 32;

e) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate ai sensi degli articoli 31 e 32;

f) controllare che il responsabile del trattamento o l’incaricato del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti dagli articoli 33 e 34;

f) controllare che il responsabile del trattamento o l’incaricato del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti dagli articoli 32 bis, 33 e 34;

g) controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell’ambito delle sue competenze, cooperare con l’autorità di controllo di propria iniziativa o su sua richiesta;

g) controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell’ambito delle sue competenze, cooperare con l’autorità di controllo di propria iniziativa o su sua richiesta;

h) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l’autorità di controllo di propria iniziativa.

h) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l’autorità di controllo di propria iniziativa.

 

i) verificare la conformità con il presente regolamento ai sensi del meccanismo di consultazione preventiva di cui all'articolo 34;

 

j) informare i rappresentanti del personale in merito al trattamento dei dati che riguardano i dipendenti.

2. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti i compiti, la certificazione, lo status, i poteri e le risorse del responsabile della protezione dei dati di cui al paragrafo 1.

 

Emendamento  135

Proposta di regolamento

Articolo 38

Testo della Commissione

Emendamento

Codici di condotta

Codici di condotta

1. Gli Stati membri, le autorità di controllo e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità settoriali, in particolare per quanto riguarda:

1. Gli Stati membri, le autorità di controllo e la Commissione incoraggiano l’elaborazione di codici di condotta o l'adozione di codici di condotta elaborati dall'autorità di vigilanza destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità settoriali, in particolare per quanto riguarda:

a) il trattamento equo e trasparente dei dai;

a) il trattamento equo e trasparente dei dai;

 

a bis) il rispetto dei diritti del consumatore;

b) la raccolta dei dati;

b) la raccolta dei dati;

c) l’informazione del pubblico e dell’interessato;

c) l’informazione del pubblico e dell’interessato;

d) le richieste dell’interessato per l’esercizio dei suoi diritti;

d) le richieste dell’interessato per l’esercizio dei suoi diritti;

e) l’informazione e la protezione del minore;

e) l’informazione e la protezione del minore;

f) il trasferimento di dati verso paesi terzi o organizzazioni internazionali;

f) il trasferimento di dati verso paesi terzi o organizzazioni internazionali;

g) i meccanismi per monitorare e garantire il rispetto del codice da parte dei responsabili del trattamento che vi aderiscono;

g) i meccanismi per monitorare e garantire il rispetto del codice da parte dei responsabili del trattamento che vi aderiscono;

h) le procedure stragiudiziali e di altro tipo per comporre le controversie tra responsabili del trattamento e interessati in materia di trattamento dei dati personali, fatti salvi i diritti dell’interessato ai sensi degli articoli 73 e 75.

h) le procedure stragiudiziali e di altro tipo per comporre le controversie tra responsabili del trattamento e interessati in materia di trattamento dei dati personali, fatti salvi i diritti dell’interessato ai sensi degli articoli 73 e 75.

2. Le associazioni e gli altri organismi rappresentanti le categorie di responsabili del trattamento o incaricati del trattamento in uno Stato membro, che intendono elaborare i progetti di codice di condotta o modificare o prorogare i codici di condotta esistenti, possono sottoporli all’esame dell’autorità di controllo dello Stato membro interessato. Lautorità di controllo può esprimere un parere sulla conformità al presente regolamento del progetto di codice di condotta o della modifica proposta. L’autorità di controllo raccoglie le osservazioni degli interessati o dei loro rappresentanti su tali progetti.

2. Le associazioni e gli altri organismi rappresentanti le categorie di responsabili del trattamento o incaricati del trattamento in uno Stato membro, che intendono elaborare i progetti di codice di condotta o modificare o prorogare i codici di condotta esistenti, possono sottoporli all’esame dell’autorità di controllo dello Stato membro interessato. L'autorità di controllo esprime senza indebito ritardo un parere sulla conformità al presente regolamento del trattamento nel quadro del progetto di codice di condotta o della modifica proposta. L’autorità di controllo raccoglie le osservazioni degli interessati o dei loro rappresentanti su tali progetti.

3. Le associazioni e gli altri organismi che rappresentano le categorie di responsabili del trattamento in più Stati membri possono sottoporre alla Commissione i progetti di codice di condotta e le modifiche o proroghe dei codici di condotta esistenti.

3. Le associazioni e gli altri organismi che rappresentano le categorie di responsabili del trattamento o incaricati del trattamento in più Stati membri possono sottoporre alla Commissione i progetti di codice di condotta e le modifiche o proroghe dei codici di condotta esistenti.

4. La Commissione può decidere con atto di esecuzione che i codici di condotta e le modifiche o proroghe dei codici di condotta esistenti che le sono stati sottoposti ai sensi del paragrafo 3 hanno validità generale allinterno dellUnione. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

4. Alla Commissione è conferito il potere di adottare atti delegati ai sensi dell'articolo 86, dopo aver richiesto il parere del comitato europeo per la protezione dei dati, ai fini di decidere che i codici di condotta e le modifiche o proroghe dei codici di condotta esistenti che le sono stati sottoposti ai sensi del paragrafo 3 sono in linea con il presente regolamento ed hanno validità generale all'interno dell'Unione. Tali atti delegati attribuiscono diritti opponibili agli interessati.

5. La Commissione provvede ad un’appropriata divulgazione dei codici per i quali è stata decisa la validità generale ai sensi del paragrafo 4.

5. La Commissione provvede ad un’appropriata divulgazione dei codici per i quali è stata decisa la validità generale ai sensi del paragrafo 4.

Emendamento  136

Proposta di regolamento

Articolo 39

Testo della Commissione

Emendamento

Certificazione

Certificazione

1. Gli Stati membri e la Commissione incoraggiano, in particolare a livello europeo, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati garantito dai responsabili del trattamento e dagli incaricati del trattamento. I meccanismi di certificazione della protezione dei dati contribuiscono alla corretta applicazione del presente regolamento, in funzione delle specificità settoriali e dei diversi trattamenti.

 

 

1 bis. Qualsiasi responsabile del trattamento o incaricato del trattamento può chiedere a qualsiasi autorità di vigilanza dell'Unione, per un contributo spese ragionevole tenendo conto dei costi amministrativi, di certificare che il trattamento dei dati personali è eseguito in conformità del presente regolamento, in particolare con i principi di cui agli articoli 5, 23 e 30, gli obblighi del responsabile del trattamento e dell'incaricato del trattamento e i diritti dell'interessato.

 

1 ter. La certificazione è volontaria, economicamente sostenibile e accessibile tramite una procedura trasparente e non indebitamente gravosa.

 

1 quater. Le autorità di vigilanza e il comitato europeo per la protezione dei dati cooperano nell'ambito del meccanismo di coerenza di cui all'articolo 57, al fine di garantire un meccanismo armonizzato di certificazione della protezione dei dati, comprendente contributi spese armonizzati nell'ambito dell'Unione.

 

1 quinquies. Durante la procedura di certificazione, l'autorità di controllo può accreditare revisori esterni con competenze specialistiche per eseguire un audit del responsabile o dell'incaricato del trattamento per suo conto. I revisori esterni dispongono di personale con qualifiche sufficienti, sono imparziali e liberi da qualsiasi conflitto di interessi concernente i loro doveri. Le autorità di controllo revocano l'accreditamento qualora abbiano motivo di ritenere che il revisore non adempia correttamente ai suoi doveri. La certificazione definitiva è rilasciata dall'autorità di controllo.

 

1 sexies. Le autorità di controllo assegnano ai responsabili del trattamento ed agli incaricati del trattamento che, in seguito alla revisione, hanno ottenuto la certificazione che trattano i dati personali in conformità con il presente regolamento, il marchio uniformato di protezione dei dati, denominato "sigillo europeo di protezione dei dati".

 

1 septies. Il "sigillo europeo di protezione dei dati" è valido per tutto il periodo in cui le operazioni di trattamento dei dati del responsabile o dell'incaricato del trattamento certificato continua ad essere pienamente conforme al presente regolamento.

 

1 octies. In deroga al paragrafo 1 septies, la certificazione è valida per un massimo di cinque anni.

 

1 nonies. Il comitato europeo per la protezione dei dati predispone un registro pubblico elettronico in cui tutti i certificati validi e nulli che sono stati emessi negli Stati membri sono messi a disposizione del pubblico.

 

1 decies. Il comitato europeo per la protezione dei dati può certificare di propria iniziativa che una norma tecnica volta a rafforzare la protezione dei dati è conforme al presente regolamento.

2. Alla Commissione è conferito il potere di adottare atti delegati conformemente allarticolo 86 al fine di precisare i criteri e i requisiti concernenti i meccanismi di certificazione della protezione dei dati di cui al paragrafo 1, comprese le condizioni di rilascio e ritiro e i requisiti per il riconoscimento nellUnione e in paesi terzi.

2. Alla Commissione è conferito il potere di adottare, previa richiesta di parere al comitato europeo per la protezione dei dati e consultazione delle parti interessate, in particolare l'industria e le organizzazioni non governative, atti delegati conformemente all'articolo 86 al fine di precisare i criteri e i requisiti concernenti i meccanismi di certificazione della protezione dei dati di cui ai paragrafi da 1 bis a 1 nonies, comprese le condizioni di accreditamento dei revisori, le condizioni di rilascio e ritiro e i requisiti per il riconoscimento e la promozione nell'Unione e in paesi terzi. Tali atti delegati attribuiscono diritti opponibili agli interessati.

3. La Commissione può stabilire norme tecniche riguardanti i meccanismi di certificazione e i sigilli e marchi di protezione dei dati e le modalità per promuovere e riconoscere i meccanismi di certificazione e i sigilli e marchi di protezione dei dati. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

 

Emendamento  137

Proposta di regolamento

Articolo 41

Testo della Commissione

Emendamento

Trasferimento previa decisione di adeguatezza

Trasferimento previa decisione di adeguatezza

1. Il trasferimento è ammesso se la Commissione ha deciso che il paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o l’organizzazione internazionale in questione garantisce un livello di protezione adeguato. In tal caso il trasferimento non necessita di ulteriori autorizzazioni.

1. Il trasferimento è ammesso se la Commissione ha deciso che il paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o l’organizzazione internazionale in questione garantisce un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche.

2. Nel valutare l’adeguatezza del livello di protezione la Commissione prende in considerazione i seguenti elementi:

2. Nel valutare l’adeguatezza del livello di protezione la Commissione prende in considerazione i seguenti elementi:

a) lo stato di diritto, la pertinente legislazione generale e settoriale vigente, anche in materia penale, di pubblica sicurezza, difesa e sicurezza nazionale, le regole professionali e le misure di sicurezza osservate nel paese terzo o dallorganizzazione internazionale in questione, nonché i diritti effettivi e azionabili, compreso il diritto degli interessati a un ricorso effettivo in sede amministrativa e giudiziaria, in particolare quelli che risiedono nellUnione e i cui dati personali sono oggetto di trasferimento;

a) lo stato di diritto, la pertinente legislazione generale e settoriale vigente, anche in materia penale, di pubblica sicurezza, difesa e sicurezza nazionale, come anche l'attuazione di tale legislazione, le regole professionali e le misure di sicurezza osservate nel paese terzo o dall'organizzazione internazionale in questione, la giurisprudenza precedente nonché i diritti effettivi e azionabili, compreso il diritto degli interessati a un ricorso effettivo in sede amministrativa e giudiziaria, in particolare quelli che risiedono nell'Unione e i cui dati personali sono oggetto di trasferimento;

b) lesistenza e leffettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o nellorganizzazione internazionale in questione, incaricate di garantire il rispetto delle norme di protezione dei dati, assistere e consigliare gli interessati in merito allesercizio dei loro diritti e cooperare con le autorità di controllo dellUnione e degli Stati membri, e

b) l'esistenza e l'effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o nell'organizzazione internazionale in questione, incaricate di garantire il rispetto delle norme di protezione dei dati, anche con sufficienti poteri sanzionatori, assistere e consigliare gli interessati in merito all'esercizio dei loro diritti e cooperare con le autorità di controllo dell'Unione e degli Stati membri, e

c) gli impegni internazionali assunti dal paese terzo o dallorganizzazione internazionale in questione.

c) gli impegni internazionali assunti dal paese terzo o dall'organizzazione internazionale in questione, in particolare ogni convenzione o strumento giuridicamente vincolante in relazione alla protezione dei dati personali.

3. La Commissione può decidere che un paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o un’organizzazione internazionale garantisce un livello di protezione adeguato ai sensi del paragrafo 2. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

3. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 86 al fine di decidere che un paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o un’organizzazione internazionale garantisce un livello di protezione adeguato ai sensi del paragrafo 2. Tali atti delegati prevedono una clausola di estinzione se riguardano un settore di trattamento e sono revocati a norma del paragrafo 5 qualora non sia più garantito un livello adeguato di protezione in conformità del presente regolamento.

4. Latto di esecuzione specifica il proprio campo di applicazione geografico e settoriale e, se del caso, identifica lautorità di controllo di cui al paragrafo 2, lettera b).

4. L'atto delegato specifica il proprio campo di applicazione territoriale e settoriale e, se del caso, identifica l'autorità di controllo di cui al paragrafo 2, lettera b).

 

4 bis. La Commissione controlla, su base continuativa, gli sviluppi nei paesi terzi e nelle organizzazioni internazionali che potrebbero incidere sugli elementi di cui al paragrafo 2 qualora sia stato adottato un atto delegato ai sensi del paragrafo 3.

5. La Commissione può decidere che un paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o un’organizzazione internazionale non garantisce un livello di protezione adeguato ai sensi del paragrafo 2, in particolare nei casi in cui la pertinente legislazione generale e settoriale vigente nel paese terzo o per l’organizzazione internazionale in questione non garantisce diritti effettivi e azionabili, compreso il diritto degli interessati a un ricorso effettivo in sede amministrativa e giudiziaria, in particolare quelli residenti nell’Unione i cui dati personali sono oggetto di trasferimento. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2, o, in casi di estrema urgenza per gli interessati relativamente al loro diritto alla protezione dei dati, secondo la procedura cui all’articolo 87, paragrafo 3.

5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 86 al fine di decidere che un paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o un’organizzazione internazionale non garantisce o non garantisce più un livello di protezione adeguato ai sensi del paragrafo 2, in particolare nei casi in cui la pertinente legislazione generale e settoriale vigente nel paese terzo o per l’organizzazione internazionale in questione non garantisce diritti effettivi e azionabili, compreso il diritto degli interessati a un ricorso effettivo in sede amministrativa e giudiziaria, in particolare quelli residenti nell’Unione i cui dati personali sono oggetto di trasferimento.

6. Quando la Commissione decide ai sensi del paragrafo 5, è vietato il trasferimento di dati personali verso il paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o verso l’organizzazione internazionale in questione, fatti salvi gli articoli da 42 a 44. La Commissione avvia, al momento opportuno, consultazioni con il paese terzo o l’organizzazione internazionale per porre rimedio alla situazione risultante dalla decisione di cui al paragrafo 5.

6. Quando la Commissione decide ai sensi del paragrafo 5, è vietato il trasferimento di dati personali verso il paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o verso l’organizzazione internazionale in questione, fatti salvi gli articoli da 42 a 44. La Commissione avvia, al momento opportuno, consultazioni con il paese terzo o l’organizzazione internazionale per porre rimedio alla situazione risultante dalla decisione di cui al paragrafo 5.

 

6 bis. Prima di adottare atti delegati a norma dei paragrafi 3 e 5, la Commissione chiede al comitato europeo per la protezione dei dati di formulare un parere sull'adeguatezza del livello di protezione. A tal fine, la Commissione fornisce al comitato europeo per la protezione dei dati tutta la documentazione necessaria, inclusa la corrispondenza con il governo del paese terzo, il territorio o il settore di trattamento all'interno del paese terzo o l'organizzazione internazionale.

7. La Commissione pubblica nella Gazzetta ufficiale dellUnione europea lelenco dei paesi terzi, dei territori e settori di trattamento allinterno di un paese terzo, e delle organizzazioni internazionali per i quali ha deciso che è o non è garantito un livello di protezione adeguato.

7. La Commissione pubblica nella Gazzetta ufficiale dell'Unione europea e sul suo sito Internet l'elenco dei paesi terzi, dei territori e settori di trattamento all'interno di un paese terzo, e delle organizzazioni internazionali per i quali ha deciso che è o non è garantito un livello di protezione adeguato.

8. Le decisioni adottate dalla Commissione in base allarticolo 25, paragrafo 6, o allarticolo 26, paragrafo 4, della direttiva 95/46/CE restano in vigore fino a quando non vengono modificate, sostituite o abrogate dalla Commissione.

8. Le decisioni adottate dalla Commissione in base all'articolo 25, paragrafo 6, o all'articolo 26, paragrafo 4, della direttiva 95/46/CE restano in vigore per cinque anni dall'entrata in vigore del presente regolamento a meno che non siano modificate, sostituite o abrogate dalla Commissione entro la fine di tale periodo.

Emendamento  138

Proposta di regolamento

Articolo 42

Testo della Commissione

Emendamento

Trasferimento in presenza di garanzie adeguate

Trasferimento in presenza di garanzie adeguate

1. Se la Commissione non ha preso alcuna decisione ai sensi dellarticolo 41, il responsabile del trattamento o lincaricato del trattamento può trasferire dati personali verso un paese terzo o unorganizzazione internazionale solo se ha offerto garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante.

1. Se la Commissione non ha preso alcuna decisione ai sensi dell'articolo 41, ovvero decide che un paese terzo, un territorio o un settore di trattamento nel paese terzo, o un'organizzazione internazionale non garantiscono adeguati livelli di protezione in conformità dell'articolo 41, paragrafo 5, il responsabile del trattamento o l'incaricato del trattamento non può trasferire dati personali verso un paese terzo o un'organizzazione internazionale a meno che non abbia offerto garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante.

2. Costituiscono in particolare garanzie adeguate di cui al paragrafo 1:

2. Costituiscono in particolare garanzie adeguate di cui al paragrafo 1:

a) le norme vincolanti d’impresa conformi all’articolo 43, oppure

a) le norme vincolanti d’impresa conformi all’articolo 43, oppure

 

a bis) un valido "sigillo europeo di protezione dei dati" per il responsabile del trattamento e il destinatario a norma dell'articolo 39, oppure

b) le clausole tipo di protezione dei dati adottate dalla Commissione. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2, oppure

 

c) le clausole tipo di protezione dei dati adottate da un’autorità di controllo in conformità del meccanismo di coerenza di cui all’articolo 57, qualora siano dichiarate generalmente valide dalla Commissione ai sensi dell’articolo 62, paragrafo 1, lettera b), oppure

 

c) le clausole tipo di protezione dei dati adottate da un’autorità di controllo in conformità del meccanismo di coerenza di cui all’articolo 57, qualora siano dichiarate generalmente valide dalla Commissione ai sensi dell’articolo 62, paragrafo 1, lettera b), oppure

d) le clausole contrattuali tra il responsabile del trattamento o l’incaricato del trattamento e il destinatario dei dati autorizzate da un’autorità di controllo in conformità del paragrafo 4.

d) le clausole contrattuali tra il responsabile del trattamento o l’incaricato del trattamento e il destinatario dei dati autorizzate da un’autorità di controllo in conformità del paragrafo 4.

3. Il trasferimento basato sulle clausole tipo di protezione dei dati o sulle norme vincolanti d’impresa di cui al paragrafo 2, lettere a), b) o c) non necessita di ulteriori autorizzazioni.

3. Il trasferimento basato sulle norme vincolanti d’impresa, sul "sigillo europeo di protezione dei dati" o sulle clausole tipo di protezione dei dati di cui al paragrafo 2, lettere a), a bis) o c) non necessita di specifiche autorizzazioni.

4. Se il trasferimento si basa sulle clausole contrattuali di cui paragrafo 2, lettera d), il responsabile del trattamento o l’incaricato del trattamento deve ottenere l’autorizzazione preventiva dell’autorità di controllo in relazione alle clausole contrattuali in conformità dell’articolo 34, paragrafo 1, lettera a). Se il trasferimento è connesso ad attività di trattamento riguardanti interessati in un altro Stato membro o in altri Stati membri, o che incidono significativamente sulla libera circolazione dei dati personali all’interno dell’Unione, l’autorità di controllo applica il meccanismo di coerenza di cui all’articolo 57.

4. Se il trasferimento si basa sulle clausole contrattuali di cui paragrafo 2, lettera d), il responsabile del trattamento o l’incaricato del trattamento deve ottenere l’autorizzazione preventiva dell’autorità di controllo in relazione alle clausole contrattuali. Se il trasferimento è connesso ad attività di trattamento riguardanti interessati in un altro Stato membro o in altri Stati membri, o che incidono significativamente sulla libera circolazione dei dati personali all’interno dell’Unione, l’autorità di controllo applica il meccanismo di coerenza di cui all’articolo 57.

5. Se non sono offerte garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante, il responsabile del trattamento o l’incaricato del trattamento deve ottenere l’autorizzazione preventiva al trasferimento o a un complesso di trasferimenti, o all’inserimento di disposizioni in accordi amministrativi costituenti la base del trasferimento. Tale autorizzazione dell’autorità di controllo è conforme all’articolo 34, paragrafo 1, lettera a). Se il trasferimento è connesso ad attività di trattamento riguardanti interessati in un altro Stato membro o in altri Stati membri, o che incidono significativamente sulla libera circolazione dei dati personali all’interno dell’Unione, l’autorità di controllo applica il meccanismo di coerenza di cui all’articolo 57. Le autorizzazioni emesse dallautorità di controllo sulla base dellarticolo 26, paragrafo 2, della direttiva 95/46/CE restano valide fino a quando non vengono modificate, sostituite o abrogate dalla medesima autorità di controllo.

5. Le autorizzazioni emesse dall'autorità di controllo sulla base dell'articolo 26, paragrafo 2, della direttiva 95/46/CE restano valide per due anni dall'entrata in vigore del presente regolamento a meno che non vengano modificate, sostituite o abrogate dalla medesima autorità di controllo prima della fine di tale periodo.

Emendamento  139

Proposta di regolamento

Articolo 43

Testo della Commissione

Emendamento

Trasferimento in presenza di norme vincolanti d’impresa

Trasferimento in presenza di norme vincolanti d’impresa

1. L’autorità di controllo approva, in conformità del meccanismo di coerenza di cui all’articolo 58, le norme vincolanti d’impresa, a condizione che queste:

1. L’autorità di controllo approva, in conformità del meccanismo di coerenza di cui all’articolo 58, le norme vincolanti d’impresa, a condizione che queste:

a) siano giuridicamente vincolanti e si applichino a tutti i membri del gruppo dimprese del responsabile del trattamento o dell’incaricato del trattamento, compresi i loro dipendenti, e siano da questi rispettate;

a) siano giuridicamente vincolanti e si applichino a tutti i membri del gruppo d'imprese del responsabile del trattamento, nonché ai subappaltatori esterni coperti dall'ambito di applicazione delle norme vincolanti d'impresa, compresi i loro dipendenti, e siano da questi rispettate;

b) conferiscano espressamente agli interessati diritti opponibili;

b) conferiscano espressamente agli interessati diritti opponibili;

c) soddisfino i requisiti di cui al paragrafo 2.

c) soddisfino i requisiti di cui al paragrafo 2.

 

1 bis. Per quanto riguarda i dati relativi all'occupazione, i rappresentanti del personale ne sono informati e, in conformità del diritto e della prassi dell'Unione o dello Stato membro, sono coinvolti nell'elaborazione di norme vincolanti d'impresa a norma dell'articolo 43.

2. Le norme vincolanti d’impresa specificano almeno:

2. Le norme vincolanti d’impresa specificano almeno:

a) la struttura e le coordinate di contatto del gruppo d’imprese e dei suoi membri;

a) la struttura e le coordinate di contatto del gruppo d’imprese e dei suoi membri e dei subappaltatori esterni coperti dall'ambito di applicazione delle norme vincolanti d'impresa;

b) i trasferimenti o l’insieme di trasferimenti di dati, in particolare le categorie di dati personali, il tipo di trattamento e relative finalità, il tipo di interessati cui si riferiscono i dati e l’identificazione del paese terzo o dei paesi terzi in questione;

b) i trasferimenti o l’insieme di trasferimenti di dati, in particolare le categorie di dati personali, il tipo di trattamento e relative finalità, il tipo di interessati cui si riferiscono i dati e l’identificazione del paese terzo o dei paesi terzi in questione;

c) la loro natura giuridicamente vincolante, a livello sia interno che esterno;

c) la loro natura giuridicamente vincolante, a livello sia interno che esterno;

d) i principi generali di protezione dei dati, in particolare in relazione alla finalità, alla qualità dei dati, alla base giuridica del trattamento e al trattamento di dati personali sensibili, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organizzazioni che non sono vincolate dalle politiche;

d) i principi generali di protezione dei dati, in particolare in relazione alla finalità, alla minimizzazione dei dati, alla limitazione dei periodi di conservazione, alla qualità dei dati, alla protezione dei dati fin dalla progettazione e alla protezione di default, alla base giuridica del trattamento e al trattamento di dati personali sensibili, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organizzazioni che non sono vincolate dalle politiche;

e) i diritti dell’interessato e i mezzi per esercitarli, compresi il diritto di non essere sottoposto a misure basate sulla profilazione ai sensi dell’articolo 20, il diritto di proporre reclamo all’autorità di controllo competente e di ricorrere alle autorità giurisdizionali competenti degli Stati membri conformemente all’articolo 75, e il diritto di ottenere riparazione e, se del caso, il risarcimento per violazione delle norme vincolanti d’impresa;

e) i diritti dell’interessato e i mezzi per esercitarli, compresi il diritto di non essere sottoposto a misure basate sulla profilazione ai sensi dell’articolo 20, il diritto di proporre reclamo all’autorità di controllo competente e di ricorrere alle autorità giurisdizionali competenti degli Stati membri conformemente all’articolo 75, e il diritto di ottenere riparazione e, se del caso, il risarcimento per violazione delle norme vincolanti d’impresa;

f) il fatto che il responsabile del trattamento o l’incaricato del trattamento stabilito nel territorio di uno Stato membro si assume la responsabilità per qualunque violazione delle norme vincolanti d’impresa commesse da un membro del gruppo di imprese non stabilito nell’Unione; il responsabile del trattamento o l’incaricato del trattamento può essere esonerato in tutto o in parte da tale responsabilità solo se prova che l’evento dannoso non è imputabile al membro in questione;

f) il fatto che il responsabile del trattamento stabilito nel territorio di uno Stato membro si assume la responsabilità per qualunque violazione delle norme vincolanti d’impresa commesse da un membro del gruppo di imprese non stabilito nell’Unione; il responsabile del trattamento può essere esonerato in tutto o in parte da tale responsabilità solo se prova che l’evento dannoso non è imputabile al membro in questione;

g) le modalità in base alle quali sono fornite all’interessato, in conformità dell’articolo 11, le informazioni sulle norme vincolanti d’impresa, in particolare sulle disposizioni di cui alle lettere d), e) e f);

g) le modalità in base alle quali sono fornite all’interessato, in conformità dell’articolo 11, le informazioni sulle norme vincolanti d’impresa, in particolare sulle disposizioni di cui alle lettere d), e) e f);

h) i compiti del responsabile della protezione dei dati designato ai sensi dell’articolo 35, compreso il controllo del rispetto delle norme vincolanti d’impresa all’interno del gruppo di imprese e il controllo della formazione e della gestione dei reclami;

h) i compiti del responsabile della protezione dei dati designato ai sensi dell’articolo 35, compreso il controllo del rispetto delle norme vincolanti d’impresa all’interno del gruppo di imprese e il controllo della formazione e della gestione dei reclami;

i) i meccanismi all’interno del gruppo di imprese diretti a garantire la verifica della conformità alle norme vincolanti d’impresa;

i) i meccanismi all’interno del gruppo di imprese diretti a garantire la verifica della conformità alle norme vincolanti d’impresa;

j) i meccanismi per riferire e registrare le modifiche delle politiche e comunicarle all’autorità di controllo;

j) i meccanismi per riferire e registrare le modifiche delle politiche e comunicarle all’autorità di controllo;

k) il meccanismo di cooperazione con l’autorità di controllo per garantire la conformità da parte di ogni membro del gruppo di imprese, in particolare la messa a disposizione dell’autorità di controllo dei risultati delle verifiche delle misure di cui alla lettera i).

k) il meccanismo di cooperazione con l’autorità di controllo per garantire la conformità da parte di ogni membro del gruppo di imprese, in particolare la messa a disposizione dell’autorità di controllo dei risultati delle verifiche delle misure di cui alla lettera i).

3. Alla Commissione è conferito il potere di adottare atti delegati conformemente allarticolo 86 al fine di precisare i criteri e i requisiti concernenti le norme vincolanti dimpresa ai sensi del presente articolo, in particolare i criteri per la loro approvazione, lapplicazione del paragrafo 2, lettere b), d), e) e f) alle norme vincolanti dimpresa cui gli incaricati del trattamento aderiscono e gli ulteriori requisiti per garantire la protezione dei dati personali degli interessati in questione.

3. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 86 al fine di precisare il formato, le procedure, i criteri e i requisiti concernenti le norme vincolanti d'impresa ai sensi del presente articolo, in particolare i criteri per la loro approvazione, compresa la trasparenza per gli interessati, l'applicazione del paragrafo 2, lettere b), d), e) e f) alle norme vincolanti d'impresa cui gli incaricati del trattamento aderiscono e gli ulteriori requisiti per garantire la protezione dei dati personali degli interessati in questione.

4. La Commissione può specificare il formato e le procedure per lo scambio di informazioni con mezzi elettronici tra responsabili del trattamento, incaricati del trattamento e autorità di controllo in merito alle norme vincolanti d’impresa ai sensi del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

 

Emendamento  140

Proposta di regolamento

Articolo 43 bis (nuovo)

Testo della Commissione

Emendamento

 

Articolo 43 bis

 

Trasferimento o divulgazione non autorizzati dal diritto dell'Unione

 

1. Nessuna sentenza di una corte o tribunale, né alcuna decisione presa da un'autorità amministrativa di un paese terzo che disponga la divulgazione, da parte di un responsabile del trattamento o incaricato del trattamento, di dati personali, è riconosciuta o assume in alcun modo un carattere esecutivo, fatti salvi i trattati di mutua assistenza legale ovvero gli accordi internazionali in vigore tra il paese terzo richiedente e l'Unione o un suo Stato membro.

 

2. Qualora una sentenza di un tribunale o decisione di un'autorità amministrativa di un paese terzo imponga al responsabile del trattamento o all'incaricato del trattamento di divulgare dati personali, il responsabile del trattamento o l'incaricato del trattamento e, se del caso, il rappresentante del responsabile del trattamento, notificano senza ritardo la richiesta all'autorità di controllo competente e devono ottenere l'autorizzazione preventiva per il trasferimento o la divulgazione da parte dell'autorità di controllo.

 

3. L'autorità di controllo valuta la conformità con il regolamento della richiesta di divulgazione e, in particolare, se la divulgazione sia necessaria e prescritta dalla legge in conformità dell'articolo 44, paragrafo 1, lettere d) ed e), e dell'articolo 44, paragrafo 5. Qualora ciò riguardi gli interessati di altri Stati membri, l'autorità di controllo applica il meccanismo di coerenza di cui all'articolo 57.

 

4. L'autorità di controllo informa della richiesta la competente autorità nazionale. Fatto salvo l'articolo 21, il responsabile del trattamento o l'incaricato del trattamento informa altresì gli interessati della richiesta e dell'autorizzazione da parte dell'autorità di controllo e, ove applicabile, comunica all'interessato se sono stati forniti dati personali alle autorità pubbliche durante l'ultimo periodo di 12 mesi consecutivi, a norma dell'articolo 14, paragrafo 1, lettera h bis).

Emendamento  141

Proposta di regolamento

Articolo 44

Testo della Commissione

Emendamento

Deroghe

Deroghe

1. In mancanza di una decisione di adeguatezza ai sensi dell’articolo 41 o di garanzie adeguate ai sensi dell’articolo 42, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale soltanto a condizione che:

1. In mancanza di una decisione di adeguatezza ai sensi dell’articolo 41 o di garanzie adeguate ai sensi dell’articolo 42, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale soltanto a condizione che:

a) l’interessato abbia acconsentito al trasferimento proposto, dopo essere stato informato dei rischi connessi a siffatti trasferimenti dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate, oppure

a) l’interessato abbia acconsentito al trasferimento proposto, dopo essere stato informato dei rischi connessi a siffatti trasferimenti dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate, oppure

b) il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il responsabile del trattamento ovvero all’esecuzione di misure precontrattuali prese su istanza dell’interessato, oppure

b) il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il responsabile del trattamento ovvero all’esecuzione di misure precontrattuali prese su istanza dell’interessato, oppure

c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il responsabile del trattamento e un terzo a favore dell’interessato, oppure

c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il responsabile del trattamento e un terzo a favore dell’interessato, oppure

d) il trasferimento sia necessario per motivi di interesse pubblico rilevante, oppure

d) il trasferimento sia necessario per motivi di interesse pubblico rilevante, oppure

e) il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, oppure

e) il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, oppure

f) il trasferimento sia necessario per salvaguardare un interesse vitale dell’interessato o di un terzo, qualora l’interessato si trovi nell’incapacità fisica o giuridica di dare il proprio consenso, oppure

f) il trasferimento sia necessario per salvaguardare un interesse vitale dell’interessato o di un terzo, qualora l’interessato si trovi nell’incapacità fisica o giuridica di dare il proprio consenso, oppure

g) il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o di uno Stato membro, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, purché sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o dello Stato membro, oppure

g) il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o di uno Stato membro, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, purché sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o dello Stato membro.

(h) il trasferimento sia necessario per il perseguimento dei legittimi interessi del responsabile del trattamento o dell’incaricato del trattamento, che non possano definirsi frequenti o ingenti, e qualora il responsabile del trattamento o l’incaricato del trattamento abbia valutato tutte le circostanze relative ad un trasferimento o ad un complesso di trasferimenti e sulla base di tale valutazione abbia offerto garanzie adeguate per la protezione dei dati personali, ove necessario.

 

2. Il trasferimento di cui al paragrafo 1, lettera g), non può riguardare la totalità dei dati personali o intere categorie di dati personali contenute nel registro. Se il registro è destinato ad essere consultato da persone aventi un legittimo interesse, il trasferimento è ammesso soltanto su richiesta di tali persone o qualora ne siano i destinatari.

2. Il trasferimento di cui al paragrafo 1, lettera g), non può riguardare la totalità dei dati personali o intere categorie di dati personali contenute nel registro. Se il registro è destinato ad essere consultato da persone aventi un legittimo interesse, il trasferimento è ammesso soltanto su richiesta di tali persone o qualora ne siano i destinatari.

3. Qualora il trasferimento si basi sul paragrafo 1, lettera h), il responsabile del trattamento o l’incaricato del trattamento prende in considerazione la natura dei dati, la finalità e la durata del trattamento previsto, nonché la situazione nel paese d’origine, nel paese terzo e nel paese di destinazione finale, e offre garanzie adeguate per la protezione dei dati personali, ove necessario.

 

4. Il paragrafo 1, lettere b), c) e h), non si applicano alle attività svolte dalle autorità pubbliche nellesercizio dei pubblici poteri.

4. Il paragrafo 1, lettere b) e c), non si applicano alle attività svolte dalle autorità pubbliche nell'esercizio dei pubblici poteri.

5. L’interesse pubblico di cui al paragrafo 1, lettera d), deve essere riconosciuto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento.

5. L’interesse pubblico di cui al paragrafo 1, lettera d), deve essere riconosciuto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento.

6. Il responsabile del trattamento o l’incaricato del trattamento attesta nella documentazione di cui all’articolo 28 la valutazione e le garanzie adeguate offerte di cui al paragrafo 1, lettera d), e informa l’autorità di controllo del trasferimento.

 

7. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i “motivi di interesse pubblico rilevante” ai sensi del paragrafo 1, lettera d), e i criteri e i requisiti concernenti le garanzie adeguate di cui al paragrafo 1, lettera h).

7. Al comitato europeo per la protezione dei dati è affidato il compito di emettere orientamenti, raccomandazioni e buone prassi in linea con l'articolo 66, paragrafo 1, lettera b), per specificare ulteriormente i criteri e i requisiti per il trasferimento dei dati sulla base del paragrafo 1.

Emendamento  142

Proposta di regolamento

Articolo 45 – paragrafo 1 – lettera a

Testo della Commissione

Emendamento

a) sviluppare efficaci meccanismi di cooperazione internazionale per facilitare l’applicazione della legislazione sulla protezione dei dati personali;

a) sviluppare efficaci meccanismi di cooperazione internazionale per garantire l'applicazione della legislazione sulla protezione dei dati personali;

Emendamento  143

Proposta di regolamento

Articolo 45 – paragrafo 1 – lettera d bis (nuova)

Testo della Commissione

Emendamento

 

d bis) chiarire e consultarsi su conflitti giurisdizionali con paesi terzi.

Emendamento  144

Proposta di regolamento

Articolo 45 bis (nuovo)

Testo della Commissione

Emendamento

 

Articolo 45 bis

 

Relazione della Commissione

 

La Commissione presenta periodicamente al Parlamento europeo e al Consiglio, per la prima volta entro quattro anni dalla data di cui all'articolo 91, paragrafo 1, una relazione sull'applicazione degli articoli da 40 a 45. A tal fine, la Commissione può chiedere agli Stati membri e alle autorità di controllo informazioni che devono esserle fornite senza indugio. La relazione viene pubblicata.

Emendamento  145

Proposta di regolamento

Articolo 47 – paragrafo 1

Testo della Commissione

Emendamento

1. Lautorità di controllo esercita le sue funzioni e i suoi poteri in piena indipendenza.

1. L'autorità di controllo esercita le sue funzioni e i suoi poteri in piena indipendenza e imparzialità, fatti salvi gli accordi di cooperazione e coerenza di cui al capo VII del presente regolamento.

Emendamento  146

Proposta di regolamento

Articolo 47 – paragrafo 7 bis (nuovo)

Testo della Commissione

Emendamento

 

7 bis. Ogni Stato membro garantisce che l'autorità di controllo debba rendere conto al parlamento nazionale a fini di controllo di bilancio.

Emendamento  147

Proposta di regolamento

Articolo 50

Testo della Commissione

Emendamento

Segreto professionale

Segreto professionale

Durante e dopo il mandato i membri e il personale dellautorità di controllo sono tenuti al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso nellesercizio delle loro funzioni.

Durante e dopo il mandato e in conformità con la legislazione e la prassi nazionale, i membri e il personale dell'autorità di controllo sono tenuti al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso nell'esercizio delle loro funzioni, e a svolgere le loro funzioni con indipendenza e trasparenza, come indicato nel regolamento.

Emendamento             148

Proposta di regolamento

Articolo 51 – paragrafo 1

Testo della Commissione

Emendamento

1. Ogni autorità di controllo esercita, nel territorio del suo Stato membro, i poteri di cui gode a norma del presente regolamento.

1. Ogni autorità di controllo è competente a svolgere i compiti e ad esercitare i poteri di cui gode a norma del presente regolamento sul territorio del proprio Stato membro, fatti salvi gli articoli 73 e 74. La vigilanza sul trattamento dei dati da parte di una pubblica autorità compete unicamente all'autorità di controllo di tale Stato membro.

Emendamento  149

Proposta di regolamento

Articolo 51 – paragrafo 2

Testo della Commissione

Emendamento

2. Qualora il trattamento dei dati personali abbia luogo nell’ambito delle attività di uno stabilimento di un responsabile del trattamento o incaricato del trattamento nell’Unione, e il responsabile del trattamento o l’incaricato del trattamento sia stabilito in più Stati membri, l’autorità competente dello stabilimento principale del responsabile del trattamento o dell’incaricato del trattamento è competente per il controllo delle attività di trattamento del responsabile del trattamento o dell’incaricato del trattamento in tutti gli Stati membri, fatte salve le disposizioni di cui al capo VII del presente regolamento.

soppresso

Emendamento  150

Proposta di regolamento

Articolo 52 – paragrafo 1 – lettera b

Testo della Commissione

Emendamento

b) tratta i reclami proposti dagli interessati o da associazioni che li rappresentano ai sensi dellarticolo 73, svolge le indagini opportune e informa linteressato o lassociazione dello stato e dellesito del reclamo entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con unaltra autorità di controllo;

b) tratta i reclami proposti dagli interessati o da associazioni ai sensi dell'articolo 73, svolge le indagini opportune e informa l'interessato o l'associazione dello stato e dell'esito del reclamo entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un'altra autorità di controllo;

Emendamento  151

Proposta di regolamento

Articolo 52 – paragrafo 1 – lettera d

Testo della Commissione

Emendamento

d) svolge indagini di propria iniziativa oppure a seguito di un reclamo o su richiesta di unaltra autorità di controllo, ed entro un termine ragionevole ne comunica lesito allinteressato che abbia proposto reclamo alla sua autorità di controllo;

d) svolge indagini di propria iniziativa oppure a seguito di un reclamo o di informazioni specifiche e documentate ricevute che asseriscano un trattamento illecito, o su richiesta di un'altra autorità di controllo, ed entro un termine ragionevole ne comunica l'esito all'interessato che abbia proposto reclamo alla sua autorità di controllo;

Emendamento  152

Proposta di regolamento

Articolo 52 – paragrafo 1 – lettera j bis (nuova)

Testo della Commissione

Emendamento

 

j bis) certifica i responsabili del trattamento e gli incaricati del trattamento ai sensi dell'articolo 39.

Emendamento  153

Proposta di regolamento

Articolo 52 – paragrafo 2

Testo della Commissione

Emendamento

2. Ogni autorità di controllo promuove la sensibilizzazione del pubblico ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali. Sono oggetto di particolare attenzione le attività destinate specificamente ai minori.

2. Ogni autorità di controllo promuove la sensibilizzazione del pubblico ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali e alle misure adeguate per la protezione dei dati personali. Sono oggetto di particolare attenzione le attività destinate specificamente ai minori.

Emendamento  154

Proposta di regolamento

Articolo 52 – paragrafo 2 bis (nuovo)

Testo della Commissione

Emendamento

 

2 bis. Ogni autorità di controllo promuove, insieme al comitato europeo per la protezione dei dati, la sensibilizzazione dei responsabili del trattamento e incaricati del trattamento riguardo ai rischi, alle regole, alle garanzie e ai diritti riguardanti il trattamento dei dati personali. Ciò comprende un registro di sanzioni e violazioni. Tale registro deve contenere tutti gli avvertimenti e le sanzioni con il massimo livello di dettaglio possibile nonché la risoluzione delle violazioni. Ogni autorità di controllo offre ai responsabili del trattamento e agli incaricati del trattamento di micro, piccole e medie imprese, su richiesta, informazioni generali sulle loro responsabilità e i loro obblighi conformemente al presente regolamento.

Emendamento  155

Proposta di regolamento

Articolo 52 – paragrafo 6

Testo della Commissione

Emendamento

6. Qualora le richieste siano manifestamente eccessive, in particolare per il carattere ripetitivo, lautorità di controllo può esigere un contributo spese o non effettuare quanto richiesto dallinteressato. Incombe all’autorità di controllo dimostrare il carattere manifestamente eccessivo della richiesta.

6. Qualora le richieste siano manifestamente eccessive, in particolare per il carattere ripetitivo, l'autorità di controllo può esigere un contributo spese ragionevole o non effettuare quanto richiesto dall'interessato. Tale contributo spese non supera i costi di esecuzione dell'azione richiesta. Incombe all’autorità di controllo dimostrare il carattere manifestamente eccessivo della richiesta.

Emendamento  156

Proposta di regolamento

Articolo 53

Testo della Commissione

Emendamento

Poteri

Poteri

1. Ogni autorità di controllo ha il potere di:

1. Ogni autorità di controllo, in linea con il presente regolamento, ha il potere di:

a) notificare al responsabile del trattamento o allincaricato del trattamento le asserite violazioni delle disposizioni sul trattamento dei dati personali e, alloccorrenza, ingiungere al responsabile del trattamento o allincaricato del trattamento di porre rimedio alle violazioni con misure specifiche, al fine di migliorare la protezione degli interessati;

a) notificare al responsabile del trattamento o all'incaricato del trattamento le asserite violazioni delle disposizioni sul trattamento dei dati personali e, all'occorrenza, ingiungere al responsabile del trattamento o all'incaricato del trattamento di porre rimedio alle violazioni con misure specifiche, al fine di migliorare la protezione degli interessati o, se necessario, ingiungere al responsabile del trattamento di comunicare la violazione dei dati personali agli interessati;

b) ingiungere al responsabile del trattamento o all’incaricato del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti derivanti dal presente regolamento;

b) ingiungere al responsabile del trattamento o all’incaricato del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti derivanti dal presente regolamento;

c) ingiungere al responsabile del trattamento e all’incaricato del trattamento e, se del caso, al rappresentante di fornirgli ogni informazione utile per l’esercizio delle sue funzioni;

c) ingiungere al responsabile del trattamento e all’incaricato del trattamento e, se del caso, al rappresentante di fornirgli ogni informazione utile per l’esercizio delle sue funzioni;

d) assicurare il rispetto dell’obbligo di autorizzazione preventiva e di consultazione preventiva di cui all’articolo 34;

d) assicurare il rispetto dell’obbligo di autorizzazione preventiva e di consultazione preventiva di cui all’articolo 34;

e) rivolgere avvertimenti o moniti al responsabile del trattamento o all’incaricato del trattamento;

e) rivolgere avvertimenti o moniti al responsabile del trattamento o all’incaricato del trattamento;

f) ordinare la rettifica, la cancellazione o la distruzione di tutti i dati trattati in violazione delle disposizioni del presente regolamento e la notificazione di tali misure ai terzi cui sono stati trasmessi i dati;

f) ordinare la rettifica, la cancellazione o la distruzione di tutti i dati trattati in violazione delle disposizioni del presente regolamento e la notificazione di tali misure ai terzi cui sono stati trasmessi i dati;

g) vietare trattamenti, a titolo provvisorio o definitivo;

g) vietare trattamenti, a titolo provvisorio o definitivo;

h) sospendere la circolazione dei dati verso un destinatario in un paese terzo o un’organizzazione internazionale;

h) sospendere la circolazione dei dati verso un destinatario in un paese terzo o un’organizzazione internazionale;

i) esprimere pareri su questioni riguardanti la protezione dei dati personali;

i) esprimere pareri su questioni riguardanti la protezione dei dati personali;

 

i bis) certificare i responsabili del trattamento e gli incaricati del trattamento a norma dell'articolo 39;

j) informare i parlamenti nazionali, i governi o altre istituzioni politiche, nonché il pubblico, di qualunque questione riguardante la protezione dei dati personali.

j) informare i parlamenti nazionali, i governi o altre istituzioni politiche, nonché il pubblico, di qualunque questione riguardante la protezione dei dati personali;

 

j bis) istituire meccanismi efficaci per incoraggiare le segnalazioni confidenziali di violazioni del presente regolamento, tenendo conto degli orientamenti elaborati dal comitato europeo per la protezione dei dati a norma dell'articolo 66, paragrafo 4, lettera b).

2. Ogni autorità di controllo dispone dei poteri investigativi necessari per ottenere dal responsabile del trattamento o dallincaricato del trattamento:

2. Ogni autorità di controllo dispone dei poteri investigativi necessari per ottenere dal responsabile del trattamento o dall'incaricato del trattamento senza preavviso:

a) laccesso a tutti i dati personali e a tutte le informazioni necessarie per lesercizio delle sue funzioni;

a) l'accesso a tutti i dati personali e a tutti i documenti e informazioni necessarie per l'esercizio delle sue funzioni;

b) laccesso a tutti i locali, compresi tutti gli strumenti e mezzi di trattamento dei dati, se si può ragionevolmente supporre che vi è in corso un’attività contraria al presente regolamento.

b) l'accesso a tutti i locali, compresi tutti gli strumenti e mezzi di trattamento dei dati.

I poteri di cui alla lettera b) sono esercitati conformemente al diritto dell’Unione e degli Stati membri.

I poteri di cui alla lettera b) sono esercitati conformemente al diritto dell’Unione e degli Stati membri.

3. Ogni autorità di controllo ha il diritto di agire in sede giudiziale o stragiudiziale in caso di violazione del presente regolamento, in particolare ai sensi dell’articolo 74, paragrafo 4, e dell’articolo 75, paragrafo 2.

3. Ogni autorità di controllo ha il diritto di agire in sede giudiziale o stragiudiziale in caso di violazione del presente regolamento, in particolare ai sensi dell’articolo 74, paragrafo 4, e dell’articolo 75, paragrafo 2.

4. Ogni autorità di controllo ha il potere di sanzionare gli illeciti amministrativi, in particolare quelli di cui all’articolo 79, paragrafi 4, 5 e 6.

4. Ogni autorità di controllo ha il potere di sanzionare gli illeciti amministrativi, conformemente all'articolo 79. Tale potere è esercitato in maniera effettiva, proporzionata e dissuasiva.

Emendamento  157

Proposta di regolamento

Articolo 54

Testo della Commissione

Emendamento

Ogni autorità di controllo elabora una relazione annuale sulla propria attività. La relazione è trasmessa al parlamento nazionale ed è messa a disposizione del pubblico, della Commissione e del comitato europeo per la protezione dei dati.

Ogni autorità di controllo elabora una relazione almeno ogni due anni sulla propria attività. La relazione è trasmessa al parlamento rispettivo ed è messa a disposizione del pubblico, della Commissione e del comitato europeo per la protezione dei dati.

Emendamento  158

Proposta di regolamento

Articolo 54 bis (nuovo)

Testo della Commissione

Emendamento

 

Articolo 54 bis

 

Autorità capofila

 

1. Qualora il trattamento dei dati personali sia effettuato nell'ambito delle attività di uno stabilimento di un responsabile del trattamento o incaricato del trattamento nell'Unione, e il responsabile del trattamento o l'incaricato del trattamento sia stabilito in più Stati membri, o qualora siano trattati i dati personali dei residenti in più Stati membri, l'autorità competente dello stabilimento principale del responsabile del trattamento o dell'incaricato del trattamento funge da autorità capofila responsabile del controllo delle attività di trattamento del responsabile del trattamento o dell'incaricato del trattamento in tutti gli Stati membri, in linea con le disposizioni di cui al capo VII del presente regolamento.

 

2. L'autorità di controllo capofila adotta misure appropriate per il controllo delle attività di trattamento del responsabile del trattamento o dell'incaricato del trattamento di cui è responsabile, solo dopo aver consultato tutte le altre autorità di controllo competenti ai sensi dell'articolo 51, paragrafo 1, nell'intento di pervenire ad un consenso. A tal fine, fornisce in particolare informazioni pertinenti e consulta le altre autorità prima di adottare misure intese a sortire effetti giuridici sui responsabili del trattamento o gli incaricati del trattamento ai sensi dell'articolo 51, paragrafo 1. L'autorità capofila tiene nella massima considerazione i pareri delle autorità coinvolte. L'autorità capofila è l'unica autorità autorizzata a decidere in merito a misure volte a sortire effetti giuridici per quanto riguarda le attività di trattamento del responsabile del trattamento o dell'incaricato del trattamento di cui è responsabile.

 

3. Il comitato europeo per la protezione dei dati, su richiesta di un'autorità di controllo competente, emette un parere sull'identificazione dell'autorità capofila responsabile di un responsabile del trattamento o incaricato del trattamento, nei casi in cui:

 

a) non risulti chiaro dove sia ubicata la sede principale del responsabile o incaricato del trattamento; oppure

 

b) le autorità competenti non concordino su quale autorità di controllo debba fungere da autorità capofila; oppure

 

c) il responsabile del trattamento non sia stabilito nell'Unione e i trattamenti riguardino interessati in più Stati membri ai sensi del presente regolamento.

 

3 bis. Qualora il responsabile del trattamento svolga anche attività in qualità di incaricato del trattamento, l'autorità di controllo dello stabilimento principale del responsabile del trattamento può agire in qualità di autorità capofila per il controllo delle attività di trattamento.

 

4. Il comitato europeo per la protezione dei dati può decidere in merito all'identificazione dell'autorità capofila.

(Il paragrafo 1 dell'emendamento del Parlamento si basa sull'articolo 51, paragrafo 2, della proposta della Commissione).

Emendamento  159

Proposta di regolamento

Articolo 55 – paragrafo 1

Testo della Commissione

Emendamento

1. Le autorità di controllo si trasmettono le informazioni utili e si prestano assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente, e prendono misure per cooperare efficacemente tra loro. L’assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di autorizzazione preventiva e di consultazione preventiva, le ispezioni e la comunicazione rapida dell’apertura di casi e dei loro sviluppi qualora i trattamenti possano riguardare interessati in più Stati membri.

1. Le autorità di controllo si trasmettono le informazioni utili e si prestano assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente, e prendono misure per cooperare efficacemente tra loro. L'assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di autorizzazione preventiva e di consultazione preventiva, le ispezioni e le indagini e la comunicazione rapida dell'apertura di casi e dei loro sviluppi qualora il responsabile del trattamento o l'incaricato del trattamento abbia uno stabilimento in diversi Stati membri o qualora i trattamenti possano riguardare interessati in più Stati membri. L'autorità capofila, quale definita all'articolo 54 bis, garantisce il coordinamento con le autorità di controllo coinvolte e funge da punto di contatto unico per il responsabile del trattamento o l'incaricato del trattamento.

Emendamento  160

Proposta di regolamento

Articolo 55 – paragrafo 7

Testo della Commissione

Emendamento

7. Non è imposta alcuna spesa per le misure prese a seguito di una richiesta di assistenza reciproca.

7. Non è imposta alcuna spesa all'autorità di controllo richiedente per le misure prese a seguito di una richiesta di assistenza reciproca.

Emendamento  161

Proposta di regolamento

Articolo 55 – paragrafo 8

Testo della Commissione

Emendamento

8. Qualora l’autorità di controllo non dia seguito alla richiesta di un’altra autorità di controllo entro un mese, l’autorità di controllo richiedente è competente a prendere misure provvisorie nel territorio del suo Stato membro ai sensi dell’articolo 51, paragrafo 1, e sottopone la questione al comitato europeo per la protezione dei dati conformemente alla procedura di cui all’articolo 57.

8. Qualora l’autorità di controllo non dia seguito alla richiesta di un’altra autorità di controllo entro un mese, l’autorità di controllo richiedente è competente a prendere misure provvisorie nel territorio del suo Stato membro ai sensi dell’articolo 51, paragrafo 1, e sottopone la questione al comitato europeo per la protezione dei dati conformemente alla procedura di cui all’articolo 57. L'autorità di controllo richiedente può adottare misure provvisorie nel territorio del suo Stato membro ai sensi dell'articolo 53, qualora non sia ancora possibile adottare una misura definitiva a causa dell'assistenza non ancora conclusa.

Emendamento  162

Proposta di regolamento

Articolo 55 – paragrafo 9

Testo della Commissione

Emendamento

9. L’autorità di controllo specifica il periodo di validità delle misure provvisorie. Detto periodo non può essere superiore a tre mesi. L’autorità di controllo comunica senza ritardo tali misure, debitamente motivate, al comitato europeo per la protezione dei dati e alla Commissione.

9. L’autorità di controllo specifica il periodo di validità delle misure provvisorie. Detto periodo non può essere superiore a tre mesi. L’autorità di controllo comunica senza ritardo tali misure, debitamente motivate, al comitato europeo per la protezione dei dati e alla Commissione, in conformità con la procedura di cui all’articolo 57.

Emendamento  163

Proposta di regolamento

Articolo 55 – paragrafo 10

Testo della Commissione

Emendamento

10. La Commissione può specificare il formato e le procedure per lassistenza reciproca di cui al presente articolo e le modalità per lo scambio di informazioni per via elettronica tra autorità di controllo e tra le autorità di controllo e il comitato europeo per la protezione dei dati, in particolare il modulo standard di cui al paragrafo 6. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

10. Il comitato europeo per la protezione dei dati può specificare il formato e le procedure per l'assistenza reciproca di cui al presente articolo e le modalità per lo scambio di informazioni per via elettronica tra autorità di controllo e tra le autorità di controllo e il comitato europeo per la protezione dei dati, in particolare il modulo standard di cui al paragrafo 6.

Emendamento  164

Proposta di regolamento

Articolo 56 – paragrafo 2

Testo della Commissione

Emendamento

2. Nelleventualità che il trattamento riguardi interessati in più Stati membri, lautorità di controllo di ogni Stato membro in questione ha il diritto di partecipare alle indagini congiunte o alle operazioni congiunte, a seconda del caso. Lautorità di controllo competente invita l’autorità di controllo di ogni Stato membro in questione a partecipare all’indagine congiunta o all’operazione congiunta, e risponde senza ritardo alle richieste di partecipazione delle autorità di controllo.

2. Nell'eventualità che il responsabile del trattamento o l'incaricato del trattamento siano stabiliti in più Stati membri e che il trattamento riguardi interessati in più Stati membri, l'autorità di controllo di ogni Stato membro in questione ha il diritto di partecipare alle indagini congiunte o alle operazioni congiunte, a seconda del caso. L'autorità capofila di cui all'articolo 54 bis coinvolge l'autorità di controllo di ogni Stato membro in questione nell'indagine congiunta o nell'operazione congiunta, e risponde senza ritardo alle richieste di partecipazione delle autorità di controllo. L'autorità capofila ha facoltà di agire da punto di contatto unico per il responsabile del trattamento o l'incaricato del trattamento.

Emendamento  165

Proposta di regolamento

Articolo 57

Testo della Commissione

Emendamento

Meccanismo di coerenza

Meccanismo di coerenza

Ai fini di cui all’articolo 46, paragrafo 1, le autorità di controllo cooperano tra loro e con la Commissione nell’ambito del meccanismo di coerenza specificato nella presente sezione.

Ai fini di cui all’articolo 46, paragrafo 1, le autorità di controllo cooperano tra loro e con la Commissione nell’ambito del meccanismo di coerenza sia su questioni di ambito generale sia su casi individuali, in conformità delle disposizioni di cui alla presente sezione.

Emendamento  166

Proposta di regolamento

Articolo 58

Testo della Commissione

Emendamento

Parere del comitato europeo per la protezione dei dati

Coerenza su questioni di applicazione generale

1. Prima di adottare una misura di cui al paragrafo 2, l’autorità di controllo comunica il progetto di misura al comitato europeo per la protezione dei dati e alla Commissione.

1. Prima di adottare una misura di cui al paragrafo 2, l’autorità di controllo comunica il progetto di misura al comitato europeo per la protezione dei dati e alla Commissione.

2. L’obbligo di cui al paragrafo 1 si applica alle misure destinate a produrre effetti giuridici e che:

2. L’obbligo di cui al paragrafo 1 si applica alle misure destinate a produrre effetti giuridici e che:

a) riguardano attività di trattamento finalizzate all’offerta di beni o servizi a interessati in più Stati membri o al controllo del loro comportamento, oppure

 

b) possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione, oppure

 

c) sono finalizzate a stabilire un elenco di trattamenti soggetti a consultazione preventiva ai sensi dell’articolo 34, paragrafo 5, oppure

 

d) sono finalizzate a determinare clausole tipo di protezione dei dati ai sensi dell’articolo 42, paragrafo 2, lettera c), oppure

d) sono finalizzate a determinare clausole tipo di protezione dei dati ai sensi dell’articolo 42, paragrafo 2, lettera c), oppure

e) sono finalizzate ad autorizzare clausole contrattuali ai sensi dell’articolo 42, paragrafo 2, lettera d), oppure

e) sono finalizzate ad autorizzare clausole contrattuali ai sensi dell’articolo 42, paragrafo 2, lettera d), oppure

f) sono finalizzate ad approvare norme vincolanti d’impresa ai sensi dell’articolo 43.

f) sono finalizzate ad approvare norme vincolanti d’impresa ai sensi dell’articolo 43.

3. Ogni autorità di controllo o il comitato europeo per la protezione dei dati può chiedere che una questione sia trattata nell’ambito del meccanismo di coerenza, in particolare qualora un’autorità di controllo non comunichi un progetto relativo a una misura di cui al paragrafo 2 o non si conformi agli obblighi relativi all’assistenza reciproca ai sensi dell’articolo 55 o alle operazioni congiunte ai sensi dell’articolo 56.

3. Ogni autorità di controllo o il comitato europeo per la protezione dei dati può chiedere che una questione di applicazione generale sia trattata nell’ambito del meccanismo di coerenza, in particolare qualora un’autorità di controllo non comunichi un progetto relativo a una misura di cui al paragrafo 2 o non si conformi agli obblighi relativi all’assistenza reciproca ai sensi dell’articolo 55 o alle operazioni congiunte ai sensi dell’articolo 56.

4. Al fine di garantire l’applicazione corretta e coerente del presente regolamento, la Commissione può chiedere che una questione sia trattata nell’ambito del meccanismo di coerenza.

4. Al fine di garantire l’applicazione corretta e coerente del presente regolamento, la Commissione può chiedere che una questione di applicazione generale sia trattata nell’ambito del meccanismo di coerenza.

5. Le autorità di controllo e la Commissione comunicano per via elettronica, con modulo standard, tutte le informazioni utili, in particolare, a seconda del caso, una sintesi dei fatti, il progetto di misura e i motivi che la rendono necessaria.

5. Le autorità di controllo e la Commissione comunicano senza indebito ritardo per via elettronica, con modulo standard, tutte le informazioni utili, in particolare, a seconda del caso, una sintesi dei fatti, il progetto di misura e i motivi che la rendono necessaria.

6. Il presidente del comitato europeo per la protezione dei dati informa immediatamente per via elettronica, con modulo standard, i membri del comitato europeo per la protezione dei dati e la Commissione di tutte le informazioni utili che gli sono state comunicate. Se necessario, fornisce una traduzione delle informazioni.

6. Il presidente del comitato europeo per la protezione dei dati informa senza indebito ritardo per via elettronica, con modulo standard, i membri del comitato europeo per la protezione dei dati e la Commissione di tutte le informazioni utili che gli sono state comunicate. Se necessario, la segreteria del comitato europeo per la protezione dei dati fornisce una traduzione delle informazioni.

 

6 bis. Il comitato europeo per la protezione dei dati adotta un parere sulle questioni che gli sono deferite a norma del paragrafo 2.

7. Se i suoi membri lo decidono a maggioranza semplice, o su richiesta di un’autorità di controllo, il comitato europeo per la protezione dei dati esprime un parere sulla questione entro una settimana dalla comunicazione delle informazioni utili ai sensi del paragrafo 5. Il parere è adottato entro un mese a maggioranza semplice dei membri del comitato europeo per la protezione dei dati. Il presidente del comitato europeo per la protezione dei dati informa del parere, senza ingiustificato ritardo, l’autorità di controllo di cui al paragrafo 1 o al paragrafo 3, a seconda del caso, la Commissione e l’autorità di controllo competente ai sensi dell’articolo 51, e lo rende pubblico.

7. Il comitato europeo per la protezione dei dati può decidere a maggioranza semplice se adottare un parere su qualsiasi questione presentatagli a norma dei paragrafi 3 e 4, valutando:

 

a) se la questione presenta elementi di novità, tenendo conto di sviluppi giuridici o fattuali, in particolare nel settore delle tecnologie dell'informazione e alla luce dello stato dei progressi nella società dell'informazione; e

 

b) se il comitato europeo per la protezione dei dati ha già emesso un parere sulla stessa questione.

8. L’autorità di controllo di cui al paragrafo 1 e l’autorità di controllo competente ai sensi dell’articolo 51 tengono conto del parere del comitato europeo per la protezione dei dati e, entro due settimane dacché il presidente del comitato europeo per la protezione dei dati le ha informate del parere, comunicano per via elettronica, con modulo standard, a detto presidente e alla Commissione se mantengono o se modificano il progetto di misura e, se del caso, il progetto di misura modificato.

8. Il comitato europeo per la protezione dei dati adotta parere a norma dei paragrafi 6 bis e 7 a maggioranza semplice dei suoi membri. Tali pareri sono resi pubblici.

Emendamento  167

Proposta di regolamento

Articolo 58 bis (nuovo)

Testo della Commissione

Emendamento

 

Articolo 58 bis

 

Coerenza in casi individuali

 

1. Prima di adottare misure intese a sortire effetti giuridici ai sensi dell'articolo 54 bis, l'autorità capofila condivide tutte le informazioni pertinenti e presenta il progetto di misura a tutte le altre autorità competenti. L'autorità capofila non adotta la misura se un'autorità competente emette, entro un termine di tre settimane, serie obiezioni alla misura.

 

2. Qualora un'autorità competente emetta serie obiezioni ad un progetto di misura dell'autorità capofila o qualora quest'ultima non presenti un progetto di misura a norma del paragrafo 1 o non rispetti gli obblighi di assistenza reciproca a norma dell'articolo 55 o per operazioni congiunte a norma dell'articolo 56, la questione è esaminata dal comitato europeo per la protezione dei dati.

 

3. L'autorità capofila e/o altre autorità competenti coinvolte e la Commissione comunicano per via elettronica, senza indebito ritardo, al comitato europeo per la protezione dei dati utilizzando un formato standard tutte le informazioni pertinenti, inclusi se del caso una sintesi dei fatti, il progetto di misura, i motivi che hanno reso necessaria tale misura, le obiezioni sollevate contro di essa ed i pareri di altre autorità di controllo interessate.

 

4. Il comitato europeo per la protezione dei dati esamina la questione, tenendo conto dell'impatto del progetto di misura dell'autorità capofila sui diritti e le libertà fondamentali degli interessati e decide, con votazione a maggioranza semplice dei suoi membri, se emettere un parere sulla questione entro due settimane dopo che le informazioni pertinenti sono state trasmesse a norma del paragrafo 3.

 

5. Nel caso in cui il comitato europeo per la protezione dei dati decida di emettere un parere, lo fa entro sei settimane e pubblica il parere.

 

6. L'autorità capofila tiene nel massimo conto il parere del comitato europeo per la protezione dei dati e, entro due settimane dacché il presidente del comitato europeo per la protezione dei dati l'ha informata del parere, comunica per via elettronica, con modulo standard, a detto presidente e alla Commissione se mantiene o se modifica il progetto di misura e, se del caso, il progetto di misura modificato. Qualora l'autorità capofila non intenda seguire il parere del comitato europeo per la protezione dei dati, fornisce una giustificazione motivata.

 

7. Qualora il comitato europeo per la protezione dei dati contesti la misura dell'autorità di controllo di cui al paragrafo 5, può adottare entro un mese una misura vincolante per l'autorità di controllo su decisione della maggioranza dei due terzi dei suoi membri.

Emendamento  168

Proposta di regolamento

Articolo 59

Testo della Commissione

Emendamento

Articolo 59

soppresso

Parere della Commissione

 

1. Entro dieci settimane dacché è stata sollevata una questione ai sensi dell’articolo 58, o entro sei settimane nel caso di cui all’articolo 61, la Commissione può adottare un parere sulla questione sollevata ai sensi degli articoli 58 o 61 al fine di garantire l’applicazione corretta e coerente del presente regolamento.

 

2. Qualora la Commissione abbia adottato un parere ai sensi del paragrafo 1, l’autorità di controllo in questione lo tiene nella massima considerazione e informa la Commissione e il comitato europeo per la protezione dei dati della sua intenzione di mantenere o modificare il progetto di misura.

 

3. Durante il periodo di cui al paragrafo 1, l’autorità di controllo si astiene dall’adottare il progetto di misura.

 

4. Qualora non intenda conformarsi al parere della Commissione, l’autorità di controllo ne informa la Commissione e il comitato europeo per la protezione dei dati entro il termine di cui al paragrafo 1, motivando la sua decisione. In tal caso il progetto di misura non può essere adottato per un ulteriore periodo di un mese.

 

Emendamento  169

Proposta di regolamento

Articolo 60

Testo della Commissione

Emendamento

Articolo 60

soppresso

Sospensione di un progetto di misura

 

1. Qualora dubiti seriamente che il progetto di misura garantisca la corretta applicazione del presente regolamento e rischi invece di portare a una sua applicazione non coerente, la Commissione, entro un mese dalla comunicazione di cui all’articolo 59, paragrafo 4, può adottare una decisione motivata e ingiungere all’autorità di controllo di sospendere l’adozione del progetto di misura, tenuto conto del parere reso dal comitato europeo per la protezione dei dati ai sensi dell’articolo 58, paragrafo 7, o dell’articolo 61, paragrafo 2, qualora tale sospensione risulti necessaria per:

 

a) conciliare le posizioni divergenti dell’autorità di controllo e del comitato europeo per la protezione dei dati, ove tale conciliazione appaia ancora possibile, oppure

 

b) adottare una misura ai sensi dell’articolo 62, paragrafo 1, lettera a).

 

2. La Commissione specifica la durata della sospensione, che non può essere superiore a dodici mesi.

 

3. Durante il periodo di cui al paragrafo 2, l’autorità di controllo si astiene dall’adottare il progetto di misura.

 

Emendamento  170

Proposta di regolamento

Articolo 60 bis (nuovo)

Testo della Commissione

Emendamento

 

Articolo 60 bis

 

Notifica al Parlamento europeo e al Consiglio

 

La Commissione informa regolarmente il Parlamento europeo e il Consiglio, con cadenza almeno semestrale, in base a una relazione del presidente del comitato europeo per la protezione dei dati, in merito alle questioni trattate nell'ambito del meccanismo di coerenza, mostrando le conclusioni addotte dalla Commissione e dal comitato europeo per la protezione dei dati al fine di garantire un'esecuzione e un'applicazione coerenti del presente regolamento.

Emendamento  171

Proposta di regolamento

Articolo 61 – paragrafo 1

Testo della Commissione

Emendamento

1. In circostanze eccezionali, qualora ritenga che urga intervenire per tutelare gli interessi degli interessati, in particolare quando sussiste il pericolo che lesercizio di un diritto possa essere gravemente ostacolato da un cambiamento della situazione esistente, oppure per evitare importanti inconvenienti o per altri motivi, lautorità di controllo può, in deroga alla procedura di cui allarticolo 58, prendere misure provvisorie immediate con un periodo di validità determinato. L’autorità di controllo comunica senza ritardo tali misure, debitamente motivate, al comitato europeo per la protezione dei dati e alla Commissione.

1. In circostanze eccezionali, qualora ritenga che urga intervenire per tutelare gli interessi degli interessati, in particolare quando sussiste il pericolo che l'esercizio di un diritto possa essere gravemente ostacolato da un cambiamento della situazione esistente, oppure per evitare importanti inconvenienti o per altri motivi, l'autorità di controllo può, in deroga alla procedura di cui all'articolo 58 bis, prendere misure provvisorie immediate con un periodo di validità determinato. L’autorità di controllo comunica senza ritardo tali misure, debitamente motivate, al comitato europeo per la protezione dei dati e alla Commissione.

Emendamento  172

Proposta di regolamento

Articolo 61 – paragrafo 4

Testo della Commissione

Emendamento

4. In deroga all’articolo 58, paragrafo 7, il parere d’urgenza di cui ai paragrafi 2 e 3 è adottato entro due settimane a maggioranza semplice dei membri del comitato europeo per la protezione dei dati.

4. Il parere d’urgenza di cui ai paragrafi 2 e 3 è adottato entro due settimane a maggioranza semplice dei membri del comitato europeo per la protezione dei dati.

Emendamento  173

Proposta di regolamento

Articolo 62

Testo della Commissione

Emendamento

Atti di esecuzione

Atti di esecuzione

1. La Commissione può adottare atti di esecuzione per:

1. La Commissione può adottare atti di esecuzione di applicazione generale, previa richiesta di parere al comitato europeo per la protezione dei dati, per:

a) decidere in merito alla corretta applicazione del presente regolamento, conformemente ai suoi obiettivi e requisiti, in relazione alle questioni sollevate dalle autorità di controllo ai sensi dell’articolo 58 o dell’articolo 61, a una questione per la quale è stata adottata una decisione motivata ai sensi dell’articolo 60, paragrafo 1, o a una questione per la quale un’autorità di controllo non ha comunicato un progetto di misura e ha indicato che non intende conformarsi al parere adottato dalla Commissione ai sensi dell’articolo 59;

 

b) decidere, entro il termine di cui all’articolo 59, paragrafo 1, sulla validità generale di progetti di clausole tipo di protezione dei dati ai sensi dell’articolo 58, paragrafo 2, lettera d);

b) Decidere sulla validità generale di progetti di clausole tipo di protezione dei dati ai sensi dell’articolo 42, paragrafo 2, lettera d);

c) specificare il formato e le procedure per l’applicazione del meccanismo di coerenza di cui alla presente sezione;

 

d) specificare le modalità per lo scambio di informazioni per via elettronica tra autorità di controllo e tra le autorità di controllo e il comitato europeo per la protezione dei dati, in particolare il modulo standard di cui all’articolo 58, paragrafi 5, 6 e 8.

d) specificare le modalità per lo scambio di informazioni per via elettronica tra autorità di controllo e tra le autorità di controllo e il comitato europeo per la protezione dei dati, in particolare il modulo standard di cui all’articolo 58, paragrafi 5, 6 e 8.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

 

2. Per motivi imperativi d’urgenza debitamente giustificati, connessi agli interessi degli interessati nei casi di cui al paragrafo 1, lettera a), la Commissione adotta atti di esecuzione immediatamente applicabili conformemente alla procedura di cui all’articolo 87, paragrafo 3. Tali atti rimangono in vigore per un periodo non superiore a dodici mesi.

 

3. L’adozione o meno di una misura ai sensi della presente sezione lascia impregiudicata la possibilità per la Commissione di adottare altre misure in virtù dei trattati.

3. L’adozione o meno di una misura ai sensi della presente sezione lascia impregiudicata la possibilità per la Commissione di adottare altre misure in virtù dei trattati.

Emendamento  174

Proposta di regolamento

Articolo 63 – paragrafo 2

Testo della Commissione

Emendamento

2. Qualora un’autorità di controllo ometta di comunicare un progetto di misura nell’ambito del meccanismo di coerenza in violazione dell’articolo 58, paragrafi da 1 a 5, la misura dell’autorità di controllo è priva di validità giuridica e di carattere esecutivo.

2. Qualora un’autorità di controllo ometta di comunicare un progetto di misura nell’ambito del meccanismo di coerenza in violazione dell’articolo 58, paragrafo 1 e 2, o adotti una misura nonostante l'emissione di serie obiezioni a norma dell'articolo 58 bis, paragrafo 1, la misura dell’autorità di controllo è priva di validità giuridica e di carattere esecutivo.

Emendamento  175

Proposta di regolamento

Articolo 66

Testo della Commissione

Emendamento

Compiti del comitato europeo per la protezione dei dati

Compiti del comitato europeo per la protezione dei dati

1. Il comitato europeo per la protezione dei dati garantisce l’applicazione coerente del presente regolamento. A tal fine, di propria iniziativa o su richiesta della Commissione:

1. Il comitato europeo per la protezione dei dati garantisce l’applicazione coerente del presente regolamento. A tal fine, di propria iniziativa o su richiesta del Parlamento europeo, del Consiglio o della Commissione:

a) consiglia la Commissione in merito a qualsiasi questione relativa al trattamento dei dati personali nellUnione, comprese eventuali proposte di modifica del presente regolamento;

a) consiglia le istituzioni europee in merito a qualsiasi questione relativa al trattamento dei dati personali nell'Unione, comprese eventuali proposte di modifica del presente regolamento;

b) esamina, di propria iniziativa o su richiesta di uno dei suoi membri o della Commissione, qualsiasi questione relativa allapplicazione del presente regolamento e pubblica linee direttrici, raccomandazioni e migliori pratiche destinate alle autorità di controllo al fine di promuovere lapplicazione coerente del presente regolamento;

b) esamina, di propria iniziativa o su richiesta di uno dei suoi membri o del Parlamento europeo, del Consiglio o della Commissione, qualsiasi questione relativa all'applicazione del presente regolamento e pubblica linee direttrici, raccomandazioni e migliori pratiche destinate alle autorità di controllo al fine di promuovere l'applicazione coerente del presente regolamento, anche relativamente all'impiego dei poteri esecutivi;

c) valuta l’applicazione pratica delle linee direttrici, raccomandazioni e migliori pratiche di cui alla lettera b), riferendo regolarmente alla Commissione;

c) valuta l’applicazione pratica delle linee direttrici, raccomandazioni e migliori pratiche di cui alla lettera b), riferendo regolarmente alla Commissione;

d) esprime pareri sui progetti di decisione delle autorità di controllo conformemente al meccanismo di coerenza di cui all’articolo 57;

d) esprime pareri sui progetti di decisione delle autorità di controllo conformemente al meccanismo di coerenza di cui all’articolo 57;

 

d bis) fornisce un parere su quale autorità considerare capofila ai sensi dell'articolo 54 bis, paragrafo 3;

e) promuove la cooperazione e leffettivo scambio di informazioni e pratiche tra le autorità di controllo a livello bilaterale e multilaterale;

e) promuove la cooperazione e l'effettivo scambio di informazioni e pratiche tra le autorità di controllo a livello bilaterale e multilaterale, incluso il coordinamento delle operazioni congiunte e delle altre attività congiunte, se decide in tal senso su richiesta di una o più autorità di controllo;

f) promuove programmi comuni di formazione e facilita lo scambio di personale tra le autorità di controllo e, se del caso, con le autorità di controllo di paesi terzi o di organizzazioni internazionali;

f) promuove programmi comuni di formazione e facilita lo scambio di personale tra le autorità di controllo e, se del caso, con le autorità di controllo di paesi terzi o di organizzazioni internazionali;

g) promuove lo scambio di conoscenze e documentazione sulla legislazione e sulle pratiche in materia di protezione dei dati tra autorità di controllo di tutto il mondo.

g) promuove lo scambio di conoscenze e documentazione sulla legislazione e sulle pratiche in materia di protezione dei dati tra autorità di controllo di tutto il mondo.

 

g bis) comunica alla Commissione il suo parere nella preparazione di atti delegati e di esecuzione in base al presente regolamento;

 

g ter) esprime un parere sui codici di condotta redatti a livello dell'UE a norma dell'articolo 38, paragrafo 4;

 

g quater) esprime un parere sui criteri e i requisiti per i meccanismi di certificazione della protezione dei dati a norma dell'articolo 39, paragrafo 3;

 

g quinquies) mantiene un registro elettronico pubblico dei certificati validi e non validi a norma dell'articolo 39, paragrafo 1, lettera h);

 

g sexies) fornisce assistenza, su richiesta, alle autorità di controllo nazionali;

 

g septies) redige e pubblica un elenco delle operazioni di trattamento soggette a previa consultazione a norma dell'articolo 34;

 

g octies) conserva un registro delle sanzioni irrogate ai responsabili del trattamento o agli incaricati del trattamento da parte delle autorità di controllo competenti.

2. Qualora chieda consulenza al comitato europeo per la protezione dei dati, la Commissione può fissare un termine entro il quale questo deve rispondere alla richiesta, tenuto conto dellurgenza della questione.

2. Qualora chiedano consulenza al comitato europeo per la protezione dei dati, il Parlamento europeo, il Consiglio o la Commissione possono fissare un termine entro il quale questo deve rispondere alla richiesta, tenuto conto dell'urgenza della questione.

3. Il comitato europeo per la protezione dei dati trasmette pareri, linee direttrici, raccomandazioni e migliori pratiche alla Commissione e al comitato di cui all’articolo 87, e li pubblica.

3. Il comitato europeo per la protezione dei dati trasmette pareri, linee direttrici, raccomandazioni e migliori pratiche al Parlamento europeo, al Consiglio e alla Commissione e al comitato di cui all’articolo 87, e li pubblica.

4. La Commissione informa il comitato europeo per la protezione dei dati del seguito dato ai suoi pareri, linee direttrici, raccomandazioni e migliori pratiche.

4. La Commissione informa il comitato europeo per la protezione dei dati del seguito dato ai suoi pareri, linee direttrici, raccomandazioni e migliori pratiche.

 

4 bis. Il comitato europeo per la protezione dei dati consulta, se del caso, le parti interessate e offre loro la possibilità di esprimere commenti entro un termine ragionevole. Fatto salvo l'articolo 72, i risultati della procedura di consultazione sono pubblicati dal comitato europeo per la protezione dei dati.

 

4 ter. Al comitato europeo per la protezione dei dati è affidato il compito di emettere orientamenti, raccomandazioni e migliori prassi in linea con l'articolo 66, paragrafo 1, lettera b), per stabilire procedure comuni per la ricezione e la verifica di informazioni relative a presunti trattamenti illeciti e salvaguardando la riservatezza nonché le fonti delle informazioni ricevute.

Emendamento  176

Proposta di regolamento

Articolo 67 – paragrafo 1

Testo della Commissione

Emendamento

1. Il comitato europeo per la protezione dei dati informa tempestivamente e regolarmente la Commissione dellesito delle proprie attività. Redige una relazione annuale sullo stato della tutela delle persone fisiche con riguardo al trattamento dei dati personali nellUnione e nei paesi terzi.

La relazione include la valutazione dell’applicazione pratica delle linee direttrici, raccomandazioni e migliori pratiche di cui all’articolo 66, paragrafo 1, lettera c).

1. Il comitato europeo per la protezione dei dati informa tempestivamente e regolarmente il Parlamento europeo, il Consiglio e la Commissione dell'esito delle proprie attività. Redige almeno ogni due anni una relazione sullo stato della tutela delle persone fisiche con riguardo al trattamento dei dati personali nell'Unione e nei paesi terzi.

La relazione include la valutazione dell’applicazione pratica delle linee direttrici, raccomandazioni e migliori pratiche di cui all’articolo 66, paragrafo 1, lettera c).

Emendamento  177

Proposta di regolamento

Articolo 68 – paragrafo 1

Testo della Commissione

Emendamento

1. Il comitato europeo per la protezione dei dati decide a maggioranza semplice dei suoi membri.

1. Il comitato europeo per la protezione dei dati decide a maggioranza semplice dei suoi membri, salvo se diversamente previsto dal suo regolamento interno.

Emendamento  178

Proposta di regolamento

Articolo 69 – paragrafo 1

Testo della Commissione

Emendamento

1. Il comitato europeo per la protezione dei dati elegge un presidente e due vicepresidenti tra i suoi membri. Uno dei vicepresidenti è il garante europeo della protezione dei dati, salvo che sia stato eletto presidente.

1. Il comitato europeo per la protezione dei dati elegge un presidente e almeno due vicepresidenti tra i suoi membri.

Emendamento  179

Proposta di regolamento

Articolo 69 – paragrafo 2 bis (nuovo)

Testo della Commissione

Emendamento

 

2 bis. La carica di presidente è un impiego a tempo pieno.

Emendamento  180

Proposta di regolamento

Articolo 71 – paragrafo 2

Testo della Commissione

Emendamento

2. La segreteria, sotto la direzione del presidente, presta assistenza analitica, amministrativa e logistica al comitato europeo per la protezione dei dati.

2. La segreteria, sotto la direzione del presidente, presta assistenza analitica, giuridica, amministrativa e logistica al comitato europeo per la protezione dei dati.

Emendamento  181

Proposta di regolamento

Articolo 72 – paragrafo 1

Testo della Commissione

Emendamento

1. Le deliberazioni del comitato europeo per la protezione dei dati hanno carattere riservato.

1. Le deliberazioni del comitato europeo per la protezione dei dati possono se necessario avere carattere riservato, salvo qualora sia altrimenti previsto nel suo regolamento. L'ordine del giorno delle riunioni del comitato europeo per la protezione dei dati è reso pubblico.

Emendamento  182

Proposta di regolamento

Articolo 73

Testo della Commissione

Emendamento

Diritto di proporre reclamo all’autorità di controllo

Diritto di proporre reclamo all’autorità di controllo

1. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento dei suoi dati personali non sia conforme al presente regolamento ha il diritto di proporre reclamo all’autorità di controllo di qualunque Stato membro.

1. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale e il meccanismo di coerenza, l’interessato che ritenga che il trattamento dei suoi dati personali non sia conforme al presente regolamento ha il diritto di proporre reclamo all’autorità di controllo di qualunque Stato membro.

2. Ogni organismo, organizzazione o associazione che tuteli i diritti e gli interessi degli interessati in relazione alla protezione dei loro dati personali e che sia debitamente costituito o costituita secondo la legislazione di uno Stato membro ha il diritto di proporre reclamo allautorità di controllo di qualunque Stato membro per conto di uno o più interessati qualora ritenga che siano stati violati diritti derivanti dal presente regolamento a seguito del trattamento di dati personali.

2. Ogni organismo, organizzazione o associazione che agisca nell'interesse pubblico e che sia debitamente costituito o costituita secondo la legislazione di uno Stato membro ha il diritto di proporre reclamo all'autorità di controllo di qualunque Stato membro per conto di uno o più interessati qualora ritenga che siano stati violati diritti derivanti dal presente regolamento a seguito del trattamento di dati personali.

3. Indipendentemente dall’eventuale reclamo dell’interessato, ogni organismo, organizzazione o associazione di cui al paragrafo 2 che ritenga che sussista violazione dei dati personali ha il diritto di proporre reclamo all’autorità di controllo di qualunque Stato membro.

3. Indipendentemente dall’eventuale reclamo dell’interessato, ogni organismo, organizzazione o associazione di cui al paragrafo 2 che ritenga che sussista violazione del presente regolamento ha il diritto di proporre reclamo all’autorità di controllo di qualunque Stato membro.

Emendamento  183

Proposta di regolamento

Articolo 74

Testo della Commissione

Emendamento

Diritto a un ricorso giurisdizionale contro l’autorità di controllo

Diritto a un ricorso giurisdizionale contro l’autorità di controllo

1. Ogni persona fisica o giuridica ha il diritto di proporre ricorso giurisdizionale avverso le decisioni dell’autorità di controllo che la riguardano.

1. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre ricorso giurisdizionale avverso le decisioni dell’autorità di controllo che la riguardano.

2. Ogni interessato ha il diritto di proporre ricorso giurisdizionale per obbligare l’autorità di controllo a dare seguito a un reclamo qualora tale autorità non abbia preso una decisione necessaria per tutelarne i diritti o non lo abbia informato entro tre mesi dello stato o dell’esito del reclamo ai sensi dell’articolo 52, paragrafo 1, lettera b).

2. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni interessato ha il diritto di proporre ricorso giurisdizionale per obbligare l’autorità di controllo a dare seguito a un reclamo qualora tale autorità non abbia preso una decisione necessaria per tutelarne i diritti o non lo abbia informato entro tre mesi dello stato o dell’esito del reclamo ai sensi dell’articolo 52, paragrafo 1, lettera b).

3. Le azioni contro l’autorità di controllo sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita.

3. Le azioni contro l’autorità di controllo sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita.

4. L’interessato che abbia formato oggetto di una decisione dell’autorità di controllo di uno Stato membro diverso da quello in cui risiede abitualmente può chiedere all’autorità di controllo dello Stato membro in cui risiede abitualmente di agire in giudizio per suo conto nell’altro Stato membro nei confronti dell’autorità di controllo competente.

4. Fatto salvo il meccanismo di coerenza, l’interessato che abbia formato oggetto di una decisione dell’autorità di controllo di uno Stato membro diverso da quello in cui risiede abitualmente può chiedere all’autorità di controllo dello Stato membro in cui risiede abitualmente di agire in giudizio per suo conto nell’altro Stato membro nei confronti dell’autorità di controllo competente.

5. Gli Stati membri eseguono le decisioni definitive delle autorità giurisdizionali di cui al presente articolo.

5. Gli Stati membri eseguono le decisioni definitive delle autorità giurisdizionali di cui al presente articolo.

Emendamento  184

Proposta di regolamento

Articolo 75 – paragrafo 2

Testo della Commissione

Emendamento

2. Le azioni contro il responsabile del trattamento o l’incaricato del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il responsabile del trattamento o l’incaricato del trattamento ha uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui linteressato risiede abitualmente, salvo che il responsabile del trattamento sia unautorità pubblica nellesercizio dei pubblici poteri.

2. Le azioni contro il responsabile del trattamento o l’incaricato del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il responsabile del trattamento o l’incaricato del trattamento ha uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l'interessato risiede abitualmente, salvo che il responsabile del trattamento sia un'autorità pubblica dell'Unione o di uno Stato membro nell'esercizio dei pubblici poteri.

Emendamento  185

Proposta di regolamento

Articolo 76 – paragrafo 1

Testo della Commissione

Emendamento

1. Ogni organismo, organizzazione o associazione di cui allartico 73, paragrafo 2, ha il diritto di esercitare i diritti di cui agli articoli 74 e 75 per conto di uno o più interessati.

1. Ogni organismo, organizzazione o associazione di cui all'artico 73, paragrafo 2, ha il diritto di esercitare i diritti di cui agli articoli 74, 75 e 77 se autorizzato da uno o più interessati.

Emendamento  186

Proposta di regolamento

Articolo 77 – paragrafo 1

Testo della Commissione

Emendamento

1. Chiunque subisca un danno cagionato da un trattamento illecito o da altro atto incompatibile con il presente regolamento ha il diritto di ottenere il risarcimento del danno dal responsabile del trattamento o dallincaricato del trattamento.

1. Chiunque subisca un danno, incluso un danno non pecuniario, cagionato da un trattamento illecito o da altro atto incompatibile con il presente regolamento ha il diritto di chiedere il risarcimento del danno dal responsabile del trattamento o dall'incaricato del trattamento.

Emendamento  187

Proposta di regolamento

Articolo 77 – paragrafo 2

Testo della Commissione

Emendamento

2. Qualora il trattamento coinvolga più responsabili del trattamento o incaricati del trattamento, ogni responsabile del trattamento o incaricato del trattamento risponde in solido per lintero ammontare del danno.

2. Qualora il trattamento coinvolga più responsabili del trattamento o incaricati del trattamento, ogni responsabile del trattamento o incaricato del trattamento risponde in solido per l'intero ammontare del danno, a meno che non sussista un adeguato accordo scritto tra di essi che stabilisce le responsabilità a norma dell'articolo 24.

Emendamento  188

Proposta di regolamento

Articolo 79

Testo della Commissione

Emendamento

Sanzioni amministrative

Sanzioni amministrative

1. Ogni autorità di controllo è abilitata a imporre sanzioni amministrative conformemente al presente articolo.

1. Ogni autorità di controllo è abilitata a imporre sanzioni amministrative conformemente al presente articolo. Le autorità di controllo collaborano ai sensi degli articoli 46 e 57 per garantire un livello di sanzioni armonizzato all'interno dell'Unione.

2. La sanzione amministrativa deve essere efficace, proporzionata e dissuasiva. L’ammontare è fissato tenuto debito conto della natura, della gravità e della durata della violazione, del carattere doloso o colposo dell’illecito, del grado di responsabilità della persona fisica o giuridica, delle precedenti violazioni da questa commesse, delle misure e procedure tecniche e organizzative messe in atto ai sensi dell’articolo 23 e del grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione.

2. La sanzione amministrativa deve essere efficace, proporzionata e dissuasiva.

 

2 bis. A chiunque non si attenga agli obblighi delineati nel presente regolamento, l'autorità di controllo impone almeno una delle seguenti sanzioni:

 

a) un avvertimento scritto in caso di prima inosservanza non intenzionale;

 

b) verifiche della protezione dei dati a intervalli regolari;

 

c) una sanzione amministrativa pecuniaria fino a 100 000 000 EUR o fino al 5% del fatturato mondiale annuo nel caso di un'impresa, se superiore.

 

2 ter. Se il responsabile del trattamento dei dati o l'incaricato del trattamento dei dati è in possesso di un "sigillo europeo per la protezione dei dati" valido in conformità dell'articolo 39, nei casi di mancata conformità, intenzionale o dovuta a negligenza è imposta solo una sanzione ai sensi del paragrafo 2 bis, lettera c).

 

2 quater. La sanzione amministrativa tiene conto dei seguenti fattori:

 

a) la natura, la gravità e la durata dell'inosservanza;

 

b) il carattere doloso o colposo della violazione;

 

c) il grado di responsabilità della persona fisica o giuridica e delle precedenti violazioni da questa commesse;

 

d) la natura ripetitiva della violazione;

 

e) il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuare i possibili effetti avversi della violazione;

 

f) le categorie specifiche di dati personali interessate dalla violazione;

 

g) il livello del danno, incluso il danno non pecuniario, subito dagli interessati;

 

h) le misure prese dal responsabile del trattamento o dall'incaricato del trattamento per attenuare il danno subito dagli interessati;

 

i) qualsiasi beneficio finanziario ottenuto o qualsiasi perdita evitata, direttamente o indirettamente, dalla violazione;

 

j) il grado delle misure tecniche e organizzative nonché delle procedure poste in essere in conformità di:

 

i) Art. 23 - Protezione fin dalla progettazione e protezione di default

 

ii) Articolo 30 - Sicurezza del trattamento

 

iii) Articolo 33 - Valutazione d’impatto sulla protezione dei dati

 

iv) Articolo 33 bis - Verifica della conformità della protezione dei dati

 

v) Articolo 35 - Designazione del responsabile della protezione dei dati

 

k) il rifiuto di cooperare con le ispezioni, le revisioni e i controlli eseguiti dall'autorità di controllo ai sensi dell'articolo 53, ovvero il porvi ostacolo;

 

l) altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.

3. In caso di prima inosservanza non intenzionale del presente regolamento può essere inviato un avvertimento scritto, senza l’imposizione di sanzioni, qualora:

 

a) una persona fisica tratti dati personali senza un interesse commerciale, oppure

 

b) un’impresa o un’organizzazione con meno di 250 dipendenti tratti dati personali solo accessoriamente rispetto alle attività principali.

 

4. L’autorità di controllo irroga sanzioni amministrative pecuniarie fino a 250.000 EUR o, per le imprese, fino all’0,5% del fatturato mondiale annuo, a chiunque, con dolo o colpa:

 

a) non predispone i meccanismi per consentire all’interessato di presentare richieste o non risponde all’interessato prontamente o nella forma dovuta, in violazione dell’articolo 12, paragrafi 1 e 2;

 

b) fa pagare un contributo spese per le informazioni o le risposte alle richieste dell’interessato, in violazione dell’articolo 12, paragrafo 4.

 

5. L’autorità di controllo irroga sanzioni amministrative pecuniarie fino a 500 000 EUR o, per le imprese, fino all’1% del fatturato mondiale annuo, a chiunque, con dolo o colpa:

 

a) non fornisce le informazioni, fornisce informazioni incomplete o non fornisce le informazioni in modo sufficientemente trasparente all’interessato, in violazione dell’articolo 11, dell’articolo 12, paragrafo 3, e dell’articolo 14;

 

b) non dà l’accesso all’interessato o non rettifica i dati personali, in violazione degli articoli 15 e 16, oppure non comunica al destinatario le informazioni pertinenti, in violazione dell’articolo 13,

 

c) non rispetta il diritto all’oblio o alla cancellazione, omette di predisporre meccanismi che garantiscano il rispetto dei termini o non prende tutte le misure necessarie per informare i terzi della richiesta dell’interessato di cancellare tutti i link verso i dati personali, copiare tali dati o riprodurli, in violazione dell’articolo 17;

 

d) non fornisce copia dei dati personali in formato elettronico oppure impedisce all’interessato di trasmettere i dati personali a un’altra applicazione, in violazione dell’articolo 18;

 

e) omette di determinare o non determina in modo sufficiente le rispettive responsabilità dei corresponsabili del trattamento, in violazione dell’articolo 24;

 

f) omette di conservare o non conserva in modo sufficiente la documentazione di cui all’articolo 28, all’articolo 31, paragrafo 4, e all’articolo 44, paragrafo 3;

 

g) nei casi che non riguardano categorie particolari di dati, non rispetta le norme sulla libertà di espressione o sul trattamento dei dati nei rapporti di lavoro o le condizioni per il trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica, in violazione degli articoli 80, 82 e 83.

 

6. L’autorità di controllo irroga sanzioni amministrative pecuniarie fino a 1 000 000 EUR o, per le imprese, fino al 2% del fatturato mondiale annuo, a chiunque, con dolo o colpa:

 

a) tratta dati personali senza una base giuridica o una base giuridica sufficiente a tal fine o non rispetta le condizioni relative al consenso, in violazione degli articoli 6, 7 e 8;

 

b) tratta categorie particolari di dati, in violazione degli articoli 9 e 81;

 

c) non rispetta il diritto di opposizione o l’obbligo di cui all’articolo 19;

 

d) non rispetta le condizioni relative alle misure basate sulla profilazione di cui all’articolo 20;

 

e) non adotta politiche interne o non attua misure adeguate per garantire e dimostrare la conformità del trattamento, in violazione degli articoli 22, 23 e 30;

 

f) non designa un rappresentante, in violazione dell’articolo 25;

 

g) tratta o dà istruzione di trattare dati personali in violazione degli obblighi relativi al trattamento per conto di un responsabile del trattamento di cui agli articoli 26 e 27;

 

h) omette di allertare o notificare all’autorità di controllo o all’interessato una violazione di dati personali, oppure non la notifica tempestivamente o integralmente, in violazione degli articoli 31 e 32;

 

i) non effettua una valutazione d’impatto sulla protezione dei dati o tratta dati personali senza l’autorizzazione preventiva o la consultazione preventiva dell’autorità di controllo, in violazione degli articoli 33 e 34;

 

j) non designa un responsabile della protezione dei dati o non garantisce le condizioni per l’adempimento dei compiti del responsabile della protezione dei dati, in violazione degli articoli 35, 36 e 37;

 

k) fa un uso illecito di un sigillo o marchio di protezione dei dati di cui all’articolo 39;

 

l) effettua o dà istruzione di effettuare un trasferimento di dati verso un paese terzo o un’organizzazione internazionale senza che tale trasferimento sia stato autorizzato da una decisione di adeguatezza, senza offrire garanzie adeguate o senza che il trasferimento sia previsto da una deroga, in violazione degli articoli da 40 a 44;

 

m) non si conforma a un ordine, a un divieto provvisorio o definitivo di trattamento o a un ordine di sospensione dei flussi di dati dell’autorità di controllo, di cui all’articolo 53, paragrafo 1;

 

n) non si conforma all’obbligo di prestare assistenza, rispondere o fornire informazioni utili o l’accesso ai locali all’autorità di controllo, in violazione dell’articolo 28, paragrafo 3, dell’articolo 29, dell’articolo 34, paragrafo 6, o dell’articolo 53, paragrafo 2;

 

o) non si conforma alle norme di salvaguardia del segreto professionale di cui all’articolo 84.

 

7. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di aggiornare l’importo delle sanzioni amministrative pecuniarie di cui ai paragrafi 4, 5 e 6, tenuto conto dei criteri di cui al paragrafo 2.

7. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di aggiornare l’importo assoluto delle sanzioni amministrative pecuniarie di cui al paragrafo 2 bis, tenuto conto dei criteri e dei fattori di cui ai paragrafi 2 e 2 quater.

Emendamento  189

Proposta di regolamento

Articolo 80 – paragrafo 1

Testo della Commissione

Emendamento

1. Gli Stati membri prevedono, per il trattamento dei dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria, le esenzioni o le deroghe alle disposizioni concernenti i principi generali di cui al capo II, i diritti dellinteressato di cui al capo III, il responsabile del trattamento e lincaricato del trattamento di cui al capo IV, il trasferimento di dati personali verso paesi terzi e organizzazioni internazionali di cui al capo V, le autorità di controllo indipendenti di cui al capo VI e la cooperazione e la coerenza di cui al capo VII, al fine di conciliare il diritto alla protezione dei dati personali e le norme sulla libertà despressione.

1. Gli Stati membri prevedono, ogniqualvolta sia necessario, le esenzioni o le deroghe alle disposizioni concernenti i principi generali di cui al capo II, i diritti dell'interessato di cui al capo III, il responsabile del trattamento e l'incaricato del trattamento di cui al capo IV, il trasferimento di dati personali verso paesi terzi e organizzazioni internazionali di cui al capo V, le autorità di controllo indipendenti di cui al capo VI, la cooperazione e la coerenza di cui al capo VII e situazioni specifiche relative al trattamento dei dati di cui al capo IX, al fine di conciliare il diritto alla protezione dei dati personali e le norme sulla libertà d'espressione, conformemente alla Carta dei diritti fondamentali dell'Unione europea.

Emendamento  190

Proposta di regolamento

Articolo 80 bis (nuovo)

Testo della Commissione

Emendamento

 

Articolo 80 bis

 

Accesso ai documenti

 

1. I dati personali contenuti in documenti conservati da un'autorità pubblica o da un organismo pubblico possono essere divulgati da tale autorità pubblica od organismo, in conformità della legislazione dello Stato membro in materia di accesso del pubblico a documenti ufficiali, che riconcilia il diritto alla protezione dei dati personali con il principio dell'accesso del pubblico a documenti ufficiali.

 

2. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cui all'articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica.

Emendamento  191

Proposta di regolamento

Articolo 81

Testo della Commissione

Emendamento

Trattamento di dati personali relativi alla salute

Trattamento di dati personali relativi alla salute

1. Nei limiti del presente regolamento e in conformità dellarticolo 9, paragrafo 2, lettera h), il trattamento di dati personali relativi alla salute deve essere effettuato sulla base di disposizioni del diritto dellUnione o degli Stati membri che prevedano misure appropriate e specifiche a tutela dei legittimi interessi dellinteressato, ed essere necessario:

1. In conformità delle disposizioni del presente regolamento, segnatamente dell'articolo 9, paragrafo 2, lettera h), il trattamento di dati personali relativi alla salute deve essere effettuato sulla base di disposizioni del diritto dell'Unione o degli Stati membri che prevedano misure appropriate, coerenti e specifiche a tutela degli interessi e dei diritti fondamentali dell'interessato, nella misura in cui esse siano necessarie e proporzionate, ed i cui effetti siano prevedibili da parte dell'interessato:

a) per finalità di medicina del lavoro, prevenzione medica, diagnosi, assistenza sanitaria o terapia ovvero gestione dei servizi sanitari, e quando il trattamento dei medesimi dati è effettuato da un professionista della sanità vincolato da segreto professionale o altra persona del pari soggetta a un equivalente obbligo di segretezza ai sensi della legislazione degli Stati membri o di norme stabilite dagli organismi nazionali competenti, oppure

a) per finalità di medicina del lavoro, prevenzione medica, diagnosi, assistenza sanitaria o terapia ovvero gestione dei servizi sanitari, e quando il trattamento dei medesimi dati è effettuato da un professionista della sanità vincolato da segreto professionale o altra persona del pari soggetta a un equivalente obbligo di segretezza ai sensi della legislazione degli Stati membri o di norme stabilite dagli organismi nazionali competenti, oppure

b) per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza, tra laltro dei medicinali e dei dispositivi medici, oppure

b) per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza, tra l'altro dei medicinali e dei dispositivi medici, e quando il trattamento dei medesimi dati è effettuato da una persona soggetta all'obbligo di riservatezza, oppure

c) per altri motivi di interesse pubblico in settori quali la protezione sociale, soprattutto al fine di assicurare la qualità e leconomicità delle procedure per soddisfare le richieste di prestazioni e servizi nellambito del regime di assicurazione sanitaria.

c) per altri motivi di interesse pubblico in settori quali la protezione sociale, soprattutto al fine di assicurare la qualità e l'economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell'ambito del regime di assicurazione sanitaria e prestazione di servizi sanitari. Il trattamento dei dati personali relativi alla salute per motivi di interesse pubblico non deve portare al trattamento dei dati per finalità diverse, salvo che con il consenso dell'interessato o sulla base del diritto dell'Unione o di uno State membro.

 

1 bis. Qualora le finalità di cui alle lettere da a) a c) del paragrafo 1 possano essere conseguite senza l'utilizzo di dati personali, tali dati non saranno utilizzati per dette finalità, salvo che con il consenso dell'interessato o sulla base del diritto di uno State membro.

 

1 ter. Qualora il consenso dell'interessato sia richiesto per il trattamento di dati medici esclusivamente a fini sanitari pubblici di ricerca scientifica, il consenso può essere fornito per una o più ricerche scientifiche e simili. Tuttavia l'interessato può ritirare il suo consenso il qualsiasi momento.

 

1 quater. Al fine di autorizzare la partecipazione ad attività di ricerca scientifica nell'ambito di test clinici, si applicano le disposizioni della direttiva 2001/20/CE del Parlamento europeo e del Consiglio1.

2. Il trattamento di dati personali relativi alla salute che risulti necessario per finalità storiche, statistiche o di ricerca scientifica, come la creazione di registri dei pazienti per migliorare le diagnosi, distinguere tra tipi simili di malattie e condurre studi sulle terapie, è soggetto alle condizioni e garanzie di cui allarticolo 83.

2. Il trattamento di dati personali relativi alla salute che risulti necessario per finalità storiche, statistiche o di ricerca scientifica è autorizzato soltanto con il consenso dell'interessato ed è soggetto alle condizioni e garanzie di cui all'articolo 83.

 

2 bis. Il diritto degli Stati membri può prevedere deroghe all'obbligo di prestare consenso a scopo di ricerca, di cui al paragrafo 2, per quanto attiene alla ricerca che riveste un interesse pubblico elevato qualora quest'ultima non possa essere condotta in altro modo. I dati in questione sono resi anonimi o, laddove ciò non fosse possibile per le finalità della ricerca, pseudonimizzati ricorrendo agli standard tecnici più elevati e vengono adottate tutte le misure necessarie per evitare la reidentificazione ingiustificata degli interessati. L'interessato ha tuttavia il diritto di opporre obiezioni in qualsiasi momento a norma dell'articolo 19.

3. Alla Commissione è conferito il potere di adottare atti delegati conformemente allarticolo 86 al fine di precisare altri motivi di interesse pubblico nel settore della sanità pubblica di cui al paragrafo 1, lettera b), e i criteri e i requisiti concernenti le garanzie per il trattamento dei dati personali per le finalità di cui al paragrafo 1.

3. Alla Commissione è conferito il potere di adottare, previa richiesta di parere al comitato europeo per la protezione dei dati, atti delegati conformemente all'articolo 86 al fine di precisare altri motivi di interesse pubblico nel settore della sanità pubblica di cui al paragrafo 1, lettera b), e di interesse pubblico elevato nel settore della ricerca come indicato al paragrafo 2 bis.

 

3 bis. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cui all’articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica.

 

1Direttiva 2001/20/CE del Parlamento europeo e del Consiglio, del 4 aprile 2001, concernente il ravvicinamento delle disposizioni legislative, regolamentari ed amministrative degli Stati membri relative all'applicazione della buona pratica clinica nell'esecuzione della sperimentazione clinica di medicinali ad uso umano (GU L 121 dell'1.5.2001, pag. 34).

Emendamento  192

Proposta di regolamento

Articolo 82

Testo della Commissione

Emendamento

Trattamento dei dati nei rapporti di lavoro

Norme minime per il trattamento dei dati nei rapporti di lavoro

1. Nei limiti del presente regolamento, gli Stati membri possono adottare con legge norme specifiche per il trattamento dei dati personali dei dipendenti nellambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso ladempimento degli obblighi stabiliti dalla legge o da accordi collettivi, di gestione, pianificazione e organizzazione del lavoro, salute e sicurezza sul lavoro, e ai fini dellesercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.

1. In conformità delle norme del presente regolamento e nel rispetto del principio di proporzionalità, gli Stati membri possono adottare tramite disposizioni giuridiche norme specifiche per il trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro, in particolare, ma non esclusivamente, per finalità di assunzione e candidatura all'interno di un gruppo di imprese, esecuzione del contratto di lavoro, compreso l'adempimento degli obblighi stabiliti dalla legge e da accordi collettivi, in linea con il diritto e le prassi nazionali, di gestione, pianificazione e organizzazione del lavoro, salute e sicurezza sul lavoro, e ai fini dell'esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro. Gli Stati membri possono acconsentire a che gli accordi collettivi specifichino ulteriormente le disposizioni di cui al presente articolo.

 

1 bis. Le finalità del trattamento di tali dati devono essere collegate al motivo per cui tali dati sono stati raccolti e rimanere nell'ambito dei rapporti di lavoro. L'elaborazione di profili o l'uso per secondi fini non sono autorizzati.

 

1 ter. Il consenso di un impiegato non costituisce una base giuridica per il trattamento dei dati da parte del datore di lavoro.

 

1 quater. Fatte salve le altre disposizioni del presente regolamento, le disposizioni giuridiche degli Stati membri di cui al paragrafo 1 includono almeno le seguenti norme minime:

 

 

a) non è consentito il trattamento dei dati dei lavoratori senza che essi ne siano a conoscenza. In deroga alla prima frase e previa fissazione di adeguati termini di cancellazione dei dati, gli Stati membri possono prevedere per legge che il trattamento dei dati sia autorizzato nel caso in cui indizi da documentare giustifichino il sospetto che il lavoratore abbia compiuto un reato o un altro grave illecito nel rapporto di lavoro, e nel caso in cui la raccolta sia necessaria per l'indagine e la natura e la portata della raccolta siano necessarie e proporzionate rispetto all'obiettivo. La vita privata e l'intimità dei lavoratori sono costantemente tutelate. L'accertamento dei fatti spetta alle autorità competenti.

 

b) Non è consentita una sorveglianza ottico-elettronica e/o acustico-elettronica aperta delle parti dell'impresa non accessibili al pubblico che sono prevalentemente adibite a usi privati dei lavoratori, in particolare in locali sanitari, spogliatoi, aree di riposo e camere da letto. Il controllo furtivo non è consentito in nessun caso.

 

c) Qualora le imprese o le autorità procedano alla raccolta o al trattamento di dati personali nell'ambito di visite mediche e/o test attitudinali, esse sono tenute a comunicare anticipatamente al candidato o al dipendente le finalità di utilizzo di tali dati e ad assicurarsi di trasmettere successivamente tali dati al candidato o al dipendente insieme ai risultati, illustrandone il contenuto su richiesta. La raccolta di dati a fini di analisi e test genetici è in linea di massima vietata.

 

d) Tramite accordi collettivi è possibile disciplinare se e in che misura è anche consentito l'utilizzo del telefono, della posta elettronica, di Internet e di altri servizi di telecomunicazione a scopi personali. Se non vi è regolamentazione tramite accordo collettivo, il datore di lavoro conclude un accordo analogo direttamente con il lavoratore. Nella misura in cui è permesso un utilizzo privato, il trattamento dei risultanti dati sul traffico è consentito in particolare al fine di garantire la sicurezza dei dati, il funzionamento regolare delle reti e dei servizi di telecomunicazione e a fini di fatturazione.

 

In deroga alla terza frase e previa fissazione di adeguati termini di cancellazione dei dati, gli Stati membri possono prevedere per legge che il trattamento dei dati sia autorizzato nel caso in cui indizi da documentare giustifichino il sospetto che il lavoratore abbia compiuto un reato o un altro grave illecito nel rapporto di lavoro, e nel caso in cui la raccolta sia necessaria per l'indagine e la natura e la portata della raccolta siano necessarie e proporzionate rispetto all'obiettivo. La vita privata e l'intimità dei lavoratori sono costantemente tutelate. L'accertamento dei fatti spetta alle autorità competenti.

 

e) I dati personali dei lavoratori, soprattutto i dati sensibili come quelli relativi all'orientamento politico, all'affiliazione ai sindacati e alle attività sindacali, non possono in alcun caso essere utilizzati per inserire i lavoratori nelle cosiddette "liste nere", sottoporli a indagine o escluderli da impieghi futuri. Sono vietati il trattamento, l'uso in ambito lavorativo, l'elaborazione e la trasmissione di liste nere riguardanti i lavoratori o altre forme di discriminazione. Gli Stati membri effettuano controlli e adottano sanzioni adeguate a norma dell'articolo 79, paragrafo 6, per garantire l'efficace attuazione del presente punto.

 

1 quinquies. La trasmissione e il trattamento dei dati personali dei lavoratori tra imprese giuridicamente indipendenti all'interno di un gruppo di imprese e con i professionisti del settore della consulenza legale e fiscale sono ammissibili nella misura in cui siano pertinenti al funzionamento dell'impresa e siano utili per la realizzazione di operazioni o di procedure amministrative specifiche e non siano in contrasto con gli interessi e i diritti fondamentali del lavoratore. Se i dati dei lavoratori vengono trasmessi a un paese terzo e/o a un'organizzazione internazionale, si applica il capo V.

2. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cui allarticolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica.

2. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi dei paragrafi 1 e 1 ter, entro la data di cui all'articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica.

3. Alla Commissione è conferito il potere di adottare atti delegati conformemente allarticolo 86 al fine di precisare i criteri e i requisiti concernenti le garanzie per il trattamento dei dati personali per le finalità di cui al paragrafo 1.

3. Alla Commissione è conferito il potere di adottare, previa richiesta di parere al comitato europeo per la protezione dei dati, atti delegati conformemente all'articolo 86 al fine di precisare i criteri e i requisiti concernenti le garanzie per il trattamento dei dati personali per le finalità di cui al paragrafo 1.

Emendamento  193

Proposta di regolamento

Articolo 82 bis (nuovo)

Testo della Commissione

Emendamento

 

Articolo 82 bis

 

Trattamento dei dati nell'ambito della sicurezza sociale

 

1. Gli Stati membri possono, nel rispetto delle norme stabilite dal presente regolamento, adottare norme legislative specifiche che descrivono dettagliatamente le condizioni alla base del trattamento dei dati personali effettuato nell'interesse pubblico da parte delle istituzioni e dei dipartimenti pubblici nell'ambito della sicurezza sociale.

 

2. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cui all'articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica.

Emendamento  194

Proposta di regolamento

Articolo 83

Testo della Commissione

Emendamento

Trattamento per finalità storiche, statistiche e di ricerca scientifica

Trattamento per finalità storiche, statistiche e di ricerca scientifica

1. Nei limiti del presente regolamento, i dati personali possono essere trattati per finalità storiche, statistiche e di ricerca scientifica solo se:

1. In conformità delle regole stabilite nel presente regolamento, i dati personali possono essere trattati per finalità storiche, statistiche e di ricerca scientifica solo se:

a) tali finalità non possono essere altrimenti conseguite trattando dati che non consentono o non consentono più di identificare l’interessato;

a) tali finalità non possono essere altrimenti conseguite trattando dati che non consentono o non consentono più di identificare l’interessato;

b) i dati che permettono di associare informazioni a un interessato identificato o identificabile sono conservati separatamente dalle altre informazioni, nella misura in cui tali finalità possano essere conseguite in questo modo.

b) i dati che permettono di associare informazioni a un interessato identificato o identificabile sono conservati separatamente dalle altre informazioni ricorrendo agli standard tecnici più elevati e sono adottate tutte le misure necessarie per evitare la reidentificazione ingiustificata degli interessati.

2. Gli organismi che svolgono ricerche storiche, statistiche o scientifiche possono pubblicare o divulgare altrimenti al pubblico i dati personali solo se:

 

a) l’interessato ha espresso il proprio consenso, fatte salve le condizioni di cui all’articolo 7;

 

b) la pubblicazione dei dati personali è necessaria per presentare i risultati della ricerca o per facilitarla, nella misura in cui gli interessi o i diritti o le libertà fondamentali dell’interessato non prevalgano sull’interesse della ricerca, oppure

 

c) l’interessato ha reso pubblici i dati.

 

3. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti il trattamento dei dati personali per le finalità di cui ai paragrafi 1 e 2, e ogni limitazione necessaria dei diritti di informazione e accesso dell’interessato, e di specificare le condizioni e le garanzie per i diritti dell’interessato in tali circostanze.

 

Emendamento  195

Proposta di regolamento

Articolo 83 bis (nuovo)

Testo della Commissione

Emendamento

 

Articolo 83 bis

 

Trattamento dei dati personali da parte dei servizi di archiviazione

 

1. Oltre il termine del periodo necessario alla realizzazione delle finalità del trattamento iniziale, i dati personali possono essere trattati dai servizi di archiviazione aventi come funzione principale od obbligo giuridico la raccolta, memorizzazione, classificazione, comunicazione, valorizzazione e diffusione degli archivi nell'interesse generale, segnatamente a giustificazione dei diritti delle persone o per finalità storiche, statistiche o scientifiche. Tali compiti sono eseguiti in conformità delle norme stabilite dagli Stati membri in materia di accesso, comunicabilità e diffusione dei documenti amministrativi o d'archivio e delle norme previste dal presente regolamento, specie per quanto riguarda il consenso e il diritto di opposizione.

 

2. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cui all'articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica.

Emendamento  196

Proposta di regolamento

Articolo 84 – paragrafo 1

Testo della Commissione

Emendamento

1. Nei limiti del presente regolamento, gli Stati membri possono adottare norme specifiche per stabilire i poteri investigativi delle autorità di controllo di cui all’articolo 53, paragrafo 2, in relazione ai responsabili del trattamento o agli incaricati del trattamento che sono soggetti, ai sensi della legislazione nazionale o di norme stabilite dagli organismi nazionali competenti, al segreto professionale o a un obbligo di segreto equivalente, ove siano necessarie e proporzionate per conciliare il diritto alla protezione dei dati personali e l’obbligo di segretezza. Tali norme si applicano solo ai dati personali che il responsabile del trattamento o l’incaricato del trattamento ha ricevuto o ha ottenuto nel corso di un’attività protetta dal segreto professionale.

1. In conformità delle norme stabilite nel presente regolamento, gli Stati membri garantiscono che vi siano norme specifiche che stabiliscono i poteri investigativi delle autorità di controllo di cui all’articolo 53, paragrafo 2, in relazione ai responsabili del trattamento o agli incaricati del trattamento che sono soggetti, ai sensi della legislazione nazionale o di norme stabilite dagli organismi nazionali competenti, al segreto professionale o a un obbligo di segreto equivalente, ove siano necessarie e proporzionate per conciliare il diritto alla protezione dei dati personali e l’obbligo di segretezza. Tali norme si applicano solo ai dati personali che il responsabile del trattamento o l’incaricato del trattamento ha ricevuto o ha ottenuto nel corso di un’attività protetta dal segreto professionale.

Emendamento  197

Proposta di regolamento

Articolo 85

Testo della Commissione

Emendamento

Norme di protezione dei dati vigenti presso chiese e associazioni religiose

Norme di protezione dei dati vigenti presso chiese e associazioni religiose

1. Qualora in uno Stato membro chiese e associazioni o comunità religiose applichino, al momento dell’entrata in vigore del presente regolamento, corpus completi di norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali, tali corpus possono continuare ad applicarsi purché siano conformi alle disposizioni del presente regolamento.

1. Qualora in uno Stato membro chiese e associazioni o comunità religiose applichino, al momento dell’entrata in vigore del presente regolamento, norme adeguate a tutela delle persone fisiche con riguardo al trattamento dei dati personali, tali corpus possono continuare ad applicarsi purché siano conformi alle disposizioni del presente regolamento.

2. Le chiese e le associazioni religiose che applicano i corpus completi di norme di cui al paragrafo 1 provvedono a istituire un’autorità di controllo indipendente ai sensi del capo VI del presente regolamento.

2. Le chiese e le associazioni religiose che applicano norme adeguate in linea con il paragrafo 1 ottengono un parere sulla conformità ai sensi dell'articolo 38.

Emendamento  198

Proposta di regolamento

Articolo 85 bis (nuovo)

Testo della Commissione

Emendamento

 

Articolo 85 bis

 

Rispetto dei diritti fondamentali

 

Il presente regolamento non pregiudica l'obbligo di rispettare i diritti fondamentali e i principi giuridici fondamentali sanciti dall'articolo 6 del TUE.

Emendamento  199

Proposta di regolamento

Articolo 85 ter (nuovo)

Testo della Commissione

Emendamento

 

Articolo 85 ter

 

Formulari standard

 

1. La Commissione può, tenendo conto delle specificità e delle esigenze dei diversi settori e situazioni di trattamento dei dati, stabilire formulari standard per:

 

a) specifiche modalità di ottenimento del consenso verificabile di cui all'articolo 8, paragrafo 1;

 

b) la comunicazione di cui all'articolo 12, paragrafo 2, anche in formato elettronico;

 

c) la fornitura delle informazioni di cui all'articolo 14, paragrafi da 1 a 3;

 

d) la richiesta e la concessione dell'accesso alle informazioni di cui all'articolo 15, paragrafo 1, anche per comunicare i dati personali all'interessato;

 

e) la documentazione di cui all'articolo 28, paragrafo 1;

 

f) la notifica di violazioni a norma dell'articolo 31 all'autorità di controllo e la documentazione di cui all'articolo 31, paragrafo 4;

 

g) le consultazioni preventive di cui all'articolo 34 e per informare le autorità di controllo a norma dell'articolo 34, paragrafo 6.

 

2. A tal fine, la Commissione prende misure adeguate per le micro, piccole e medie imprese.

 

3. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

Emendamento  200

Proposta di regolamento

Articolo 86 – paragrafo 2

Testo della Commissione

Emendamento

2. La delega di potere di cui allarticolo 6, paragrafo 5, allarticolo 8, paragrafo 3, all’articolo 9, paragrafo 3, all’articolo 12, paragrafo 5, all’articolo 14, paragrafo 7, all’articolo 15, paragrafo 3, all’articolo 17, paragrafo 9, allarticolo 20, paragrafo 6, all’articolo 22, paragrafo 4, allarticolo 23, paragrafo 3, all’articolo 26, paragrafo 5, all’articolo 28, paragrafo 5, all’articolo 30, paragrafo 3, all’articolo 31, paragrafo 5, all’articolo 32, paragrafo 5, all’articolo 33, paragrafo 6, all’articolo 34, paragrafo 8, all’articolo 35, paragrafo 11, all’articolo 37, paragrafo 2, all’articolo 39, paragrafo 2, allarticolo 43, paragrafo 3, allarticolo 44, paragrafo 7, allarticolo 79, paragrafo 6, all’articolo 81, paragrafo 3, allarticolo 82, paragrafo 3 e all’articolo 83, paragrafo 3, è conferita alla Commissione per un periodo indeterminato a decorrere dalla data di entrata in vigore del presente regolamento.

2. Il potere di adottare gli atti delegati di cui all'articolo 13 bis, paragrafo 5, all'articolo 17, paragrafo 9, all'articolo 38, paragrafo 4, all'articolo 39, paragrafo 2, all'articolo 41, paragrafo 3, all'articolo 41, paragrafo 5, all'articolo 43, paragrafo 3, all'articolo 79, paragrafo 7, all'articolo 81, paragrafo 3, e all'articolo 82, paragrafo 3, è conferito alla Commissione per un periodo indeterminato a decorrere dalla data di entrata in vigore del presente regolamento.

Emendamento  201

Proposta di regolamento

Articolo 86 – paragrafo 3

Testo della Commissione

Emendamento

3. La delega di potere di cui allarticolo 6, paragrafo 5, allarticolo 8, paragrafo 3, all’articolo 9, paragrafo 3, all’articolo 12, paragrafo 5, all’articolo 14, paragrafo 7, all’articolo 15, paragrafo 3, all’articolo 17, paragrafo 9, allarticolo 20, paragrafo 6, all’articolo 22, paragrafo 4, allarticolo 23, paragrafo 3, all’articolo 26, paragrafo 5, all’articolo 28, paragrafo 5, all’articolo 30, paragrafo 3, all’articolo 31, paragrafo 5, all’articolo 32, paragrafo 5, all’articolo 33, paragrafo 6, all’articolo 34, paragrafo 8, all’articolo 35, paragrafo 11, all’articolo 37, paragrafo 2, all’articolo 39, paragrafo 2, allarticolo 43, paragrafo 3, allarticolo 44, paragrafo 7, allarticolo 79, paragrafo 6, all’articolo 81, paragrafo 3, allarticolo 82, paragrafo 3 e all’articolo 83, paragrafo 3, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell’Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

3. La delega di potere di cui all'articolo 13 bis, paragrafo 5, all'articolo 17, paragrafo 9, all'articolo 38, paragrafo 4, all'articolo 39, paragrafo 2, all'articolo 41, paragrafo 3, all'articolo 41, paragrafo 5, all'articolo 43, paragrafo 3, all'articolo 79, paragrafo 7, all'articolo 81, paragrafo 3, e all'articolo 82, paragrafo 3, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell’Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

Emendamento  202

Proposta di regolamento

Articolo 86 – paragrafo 5

Testo della Commissione

Emendamento

5. L’atto delegato adottato ai sensi dell’articolo 6, paragrafo 5, dellarticolo 8, paragrafo 3, dellarticolo 9, paragrafo 3, dellarticolo 12, paragrafo 5, dell’articolo 14, paragrafo 7, dell’articolo 15, paragrafo 3, dell’articolo 17, paragrafo 9, dell’articolo 20, paragrafo 6, dell’articolo 22, paragrafo 4, dell’articolo 23, paragrafo 3, dell’articolo 26, paragrafo 5, dell’articolo 28, paragrafo 5, dell’articolo 30, paragrafo 3, dell’articolo 31, paragrafo 5, dell’articolo 32, paragrafo 5, dell’articolo 33, paragrafo 6, dell’articolo 34, paragrafo 8, dell’articolo 35, paragrafo 11, dell’articolo 37, paragrafo 2, dell’articolo 39, paragrafo 2, dell’articolo 43, paragrafo 3, dellarticolo 44, paragrafo 7, dell’articolo 79, paragrafo 6, dellarticolo 81, paragrafo 3, dell’articolo 82, paragrafo 3 e dellarticolo 83, paragrafo 3, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.

5. Un atto delegato adottato ai sensi all'articolo 13 bis, paragrafo 5, dell'articolo 17, paragrafo 9, all'articolo 38, paragrafo 4, dell'articolo 39, paragrafo 2, dell'articolo 41, paragrafo 3, dell'articolo 41, paragrafo 5, dell'articolo 43, paragrafo 3, dell'articolo 79, paragrafo 7, dell'articolo 81, paragrafo 3, e dell'articolo 82, paragrafo 3, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di sei mesi su iniziativa del Parlamento europeo o del Consiglio.

Emendamento  203

Proposta di regolamento

Articolo 87 – paragrafo 3

Testo della Commissione

Emendamento

3. Nel caso in cui è fatto riferimento al presente paragrafo, si applica l’articolo 8 del regolamento (UE) n. 182/2011, in combinato disposto con l’articolo 5 del medesimo regolamento.

soppresso

Emendamento  204

Proposta di regolamento

Articolo 89 – paragrafo 2

Testo della Commissione

Emendamento

2. L’articolo 1, paragrafo 2, della direttiva 2002/58/CE è soppresso.

2. Gli articoli 1, paragrafo 2, 4 e 15, della direttiva 2002/58/CE sono soppressi.

Emendamento  205

Proposta di regolamento

Articolo 89 – paragrafo 2 bis (nuovo)

Testo della Commissione

Emendamento

 

2 bis. La Commissione presenta tempestivamente ed entro la data di cui all'articolo 91, paragrafo 2, una proposta di revisione del quadro legislativo applicabile al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, onde conformarlo al presente regolamento nell'ottica di garantire norme giuridiche coerenti e omogenee in materia di diritto fondamentale alla protezione dei dati personali nell'Unione europea.

Emendamento  206

Proposta di regolamento

Articolo 89 bis (nuovo)

Testo della Commissione

Emendamento

 

Articolo 89 bis

 

Rapporto con il regolamento (CE) n. 45/2001 e sue modifiche

 

1. Le norme previste dal presente regolamento si applicano al trattamento dei dati personali effettuato da istituzioni, organi, uffici e agenzie dell’Unione in relazione a questioni per le quali non sono soggetti alle norme supplementari stabilite dal regolamento (CE) n. 45/2001.