RELAZIONE sulla proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell'Unione, nonché la libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE

19.10.2017 - (COM(2017)0008 – C8-0008/2017 – 2017/0002(COD)) - ***I

Commissione per le libertà civili, la giustizia e gli affari interni
Relatore: Cornelia Ernst

Procedura : 2017/0002(COD)

Ciclo di vita in Aula

Ciclo del documento :

A8-0313/2017

Testi presentati :

A8-0313/2017

Discussioni :

PV 12/09/2018 - 13
CRE 12/09/2018 - 13

Votazioni :

PV 13/09/2018 - 10.5
Dichiarazioni di voto

Testi approvati :

P8_TA(2018)0348

PROGETTO DI RISOLUZIONE LEGISLATIVA DEL PARLAMENTO EUROPEO
MOTIVAZIONE
PARERE della commissione giuridica
PROCEDURA DELLA COMMISSIONE COMPETENTE PER IL MERITO
VOTAZIONE FINALE PER APPELLO NOMINALEIN SEDE DI COMMISSIONE COMPETENTE PER IL MERITO

PROGETTO DI RISOLUZIONE LEGISLATIVA DEL PARLAMENTO EUROPEO

sulla proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell'Unione, nonché la libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE

(COM(2017)0008 – C8-0008/2017 – 2017/0002(COD))

(Procedura legislativa ordinaria: prima lettura)

Il Parlamento europeo,

– vista la proposta della Commissione al Parlamento europeo e al Consiglio (COM(2017)0008),

– visti l'articolo 294, paragrafo 2, e l'articolo 16, paragrafo 2, del trattato sul funzionamento dell'Unione europea, a norma dei quali la proposta gli è stata presentata dalla Commissione (C8-0008/2017),

– visto l'articolo 294, paragrafo 3, del trattato sul funzionamento dell'Unione europea,

– visti i contributi presentati dalla Camera dei deputati ceca, dal Parlamento spagnolo e dal Parlamento portoghese sul progetto di atto legislativo,

– visto l'articolo 59 del suo regolamento,

– visti la relazione della commissione per le libertà civili, la giustizia e gli affari interni e il parere della commissione giuridica (A8-0313/2017),

1. adotta la posizione in prima lettura figurante in appresso;

2. chiede alla Commissione di presentargli nuovamente la proposta qualora la sostituisca, la modifichi sostanzialmente o intenda modificarla sostanzialmente;

3. incarica il suo Presidente di trasmettere la posizione del Parlamento al Consiglio e alla Commissione nonché ai parlamenti nazionali.

Emendamento 1

Proposta di regolamento

Considerando 1

Testo della Commissione

Emendamento

(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea ("Carta") e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea ("TFUE") stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

Emendamento 2

Proposta di regolamento

Considerando 5

Testo della Commissione

Emendamento

(5) È nell'interesse di un approccio coerente alla protezione dei dati in tutta l'Unione e alla libera circolazione dei dati personali all'interno dell'Unione allineare per quanto possibile le norme sulla protezione dei dati per le istituzioni e gli organi dell'Unione a quelle adottate per il settore pubblico degli Stati membri. Quando le disposizioni del presente regolamento si basano sullo stesso concetto su cui si basano le disposizioni del regolamento (UE) 2016/679, le disposizioni dei due regolamenti dovrebbero essere interpretate in modo omogeneo, in particolare in considerazione del fatto che il regime del presente regolamento dovrebbe essere inteso come equivalente a quello del regolamento (UE) 2016/679.

(5) È nell'interesse di un approccio coerente alla protezione dei dati in tutta l'Unione e alla libera circolazione dei dati personali all'interno dell'Unione allineare le norme sulla protezione dei dati per le istituzioni, gli organi, gli uffici e le agenzie dell'Unione a quelle adottate per il settore pubblico degli Stati membri. Quando le disposizioni del presente regolamento si basano sullo stesso concetto su cui si basano le disposizioni del regolamento (UE) 2016/679, le disposizioni dei due regolamenti dovrebbero, conformemente alla giurisprudenza della Corte di giustizia dell'Unione europea^{1 bis}, essere interpretate in modo omogeneo, in particolare in considerazione del fatto che il regime del presente regolamento dovrebbe essere inteso come equivalente a quello del regolamento (UE) 2016/679.

_________________

1 bis Sentenza della Corte di giustizia del 9 marzo 2010, Commissione/Germania, C-518/07, ECLI:EU:C:2010:125, punti 26 e 28.

Emendamento 3

Proposta di regolamento

Considerando 7 bis (nuovo)

Testo della Commissione

Emendamento

(7 bis) Il quadro giuridico per la protezione dei dati applicabile al trattamento di dati effettuato nel corso delle attività delle istituzioni e degli organi dell'Unione nei settori della libertà, sicurezza e giustizia e della politica estera e di sicurezza comune continua a essere frammentato ed è fonte di incertezza giuridica. Il presente regolamento dovrebbe pertanto stabilire norme armonizzate per la protezione e la libera circolazione dei dati personali trattati dalle istituzioni e dagli organi dell'Unione nell'esercizio di attività che rientrano nel campo di applicazione della parte terza, titolo V, capi 4 e 5, TFUE e del titolo V, capo 2, TUE.

Emendamento 4

Proposta di regolamento

Considerando 8

Testo della Commissione

Emendamento

(8) Nella dichiarazione n. 21, relativa alla protezione dei dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, allegata all'atto finale della conferenza intergovernativa che ha adottato il trattato di Lisbona, la conferenza riconosce che potrebbero rivelarsi necessarie, in considerazione della specificità dei settori in questione, norme specifiche sulla protezione dei dati personali e sulla libera circolazione di dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, in base all'articolo 16 del TFUE. Il presente regolamento dovrebbe pertanto applicarsi alle agenzie dell'Unione che svolgono attività nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia soltanto nella misura in cui il diritto dell'Unione applicabile a tali agenzie non preveda norme specifiche sul trattamento dei dati personali.

(8) Nella dichiarazione n. 21, relativa alla protezione dei dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, allegata all'atto finale della conferenza intergovernativa che ha adottato il trattato di Lisbona, la conferenza riconosce che potrebbero rivelarsi necessarie, in considerazione della specificità dei settori in questione, norme specifiche sulla protezione dei dati personali e sulla libera circolazione di dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, in base all'articolo 16 del TFUE. Inoltre, in considerazione della specificità della politica estera e di sicurezza comune e delle sue norme specifiche in materia di protezione dei dati personali, potrebbe rivelarsi necessario assicurare la libera circolazione dei dati personali anche in tale ambito. È pertanto opportuno regolamentare il trattamento dei dati personali operativi da parte delle agenzie dell'Unione istituite sulla base della parte terza, titolo V, capi 4 e 5, TFUE e delle missioni di cui all'articolo 42, paragrafo 1, e agli articoli 43 e 43 TUE, mediante la definizione di norme specifiche che derogano da una serie di disposizioni generali del presente regolamento.

Emendamento 5

Proposta di regolamento

Considerando 14

Testo della Commissione

Emendamento

(14) Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.

Emendamento 6

Proposta di regolamento

Considerando 15

Testo della Commissione

Emendamento

(15) Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l'informazione degli interessati sull'identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che le riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l'obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne un'adeguata sicurezza e riservatezza, anche per impedire l'accesso o l'utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento.

(15) Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto ed essere effettuato con finalità chiare e ben definite Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l'informazione degli interessati sull'identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che le riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l'obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne un'adeguata sicurezza e riservatezza, anche per impedire l'accesso, la comunicazione durante la trasmissione o l'utilizzo non autorizzati dei dati personali e delle attrezzature impiegate per il trattamento.

Emendamento 7

Proposta di regolamento

Considerando 18

Testo della Commissione

Emendamento

(18) Il diritto dell'Unione, comprese le norme interne di cui al presente regolamento, dovrebbe essere chiaro e preciso, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell'Unione europea e della Corte europea dei diritti dell'uomo.

(18) Il diritto dell'Unione di cui al presente regolamento dovrebbe essere chiaro e preciso, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità dei requisiti previsti dalla Carta e dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali.

Emendamento 8

Proposta di regolamento

Considerando 20

Testo della Commissione

Emendamento

(20) Per i trattamenti basati sul consenso dell'interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l'interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un'altra questione dovrebbero esistere garanzie che assicurino che l'interessato sia consapevole del fatto di esprimere un consenso e della misura in cui ciò avviene. In conformità della direttiva 93/13/CEE del Consiglio¹⁴ è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive. Ai fini di un consenso informato, l'interessato dovrebbe essere posto a conoscenza almeno dell'identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non dovrebbe essere considerato liberamente espresso se l'interessato non è in grado di operare una scelta autenticamente libera o è nell'impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.

(20) Per i trattamenti basati sul consenso dell'interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l'interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un'altra questione dovrebbero esistere garanzie che assicurino che l'interessato sia consapevole del fatto di esprimere un consenso e della misura in cui ciò avviene. In conformità della direttiva 93/13/CEE del Consiglio¹⁴ è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive. Ai fini di un consenso informato, l'interessato dovrebbe essere posto a conoscenza almeno dell'identità del titolare del trattamento, delle finalità del trattamento cui sono destinati i dati personali e delle categorie di destinatari dei dati nonché essere informato del diritto di accesso ai dati e di intervento sugli stessi. Il consenso non dovrebbe essere considerato liberamente espresso se l'interessato non è in grado di operare una scelta autenticamente libera o è nell'impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.

_________________

¹⁴ Direttiva 93/13/CEE del Consiglio, del 5 aprile 1993, concernente le clausole abusive nei contratti stipulati con i consumatori (GU L 95 del 21.4.1993, pag. 29).

Emendamento 9

Proposta di regolamento

Considerando 22

Testo della Commissione

Emendamento

(22) I destinatari stabiliti nell'Unione e soggetti al regolamento (UE) 2016/679 e alla direttiva (UE) 2016/680 che desiderano che le istituzioni e gli organi dell'Unione trasmettano loro dati personali dovrebbero dimostrare che la trasmissione è necessaria per conseguire il loro obiettivo, è proporzionata e si limita a quanto necessario per il conseguimento di quell'obiettivo. Nel rispetto del principio della trasparenza, le istituzioni e gli organi dell'Unione dovrebbero dimostrare tale necessità quando danno origine alla trasmissione.

(22) I destinatari stabiliti nell'Unione e soggetti al regolamento (UE) 2016/679 e alla direttiva (UE) 2016/680 che desiderano che le istituzioni e gli organi dell'Unione trasmettano loro dati personali dovrebbero fornire al titolare del trattamento una richiesta di trasmissione motivata, che il titolare del trattamento dovrebbe utilizzare come base per valutare se la trasmissione è necessaria per conseguire il loro obiettivo, è proporzionata e si limita a quanto necessario per il conseguimento di quell'obiettivo. Nel rispetto del principio della trasparenza, le istituzioni e gli organi dell'Unione dovrebbero dimostrare tale necessità quando danno origine alla trasmissione.

Emendamento 10

Proposta di regolamento

Considerando 23

Testo della Commissione

Emendamento

(23) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l'origine razziale o etnica, essendo inteso che l'utilizzo dei termini «origine razziale» nel presente regolamento non implica l'accettazione da parte dell'Unione di teorie che tentano di dimostrare l'esistenza di razze umane distinte. Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l'identificazione univoca o l'autenticazione di una persona fisica. Oltre ai requisiti specifici per il trattamento dei dati sensibili, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l'altro se l'interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l'esercizio delle libertà fondamentali.

(23) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l'origine razziale o etnica, essendo inteso che l'utilizzo dei termini «origine razziale» nel presente regolamento non implica l'accettazione da parte dell'Unione di teorie che tentano di dimostrare l'esistenza di razze umane distinte. Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l'identificazione univoca o l'autenticazione di una persona fisica. Oltre ai requisiti specifici per il trattamento dei dati sensibili, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l'altro se l'interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l'esercizio delle libertà fondamentali.

Emendamento 11

Proposta di regolamento

Considerando 23 bis (nuovo)

Testo della Commissione

Emendamento

(23 bis) Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell'intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale. Pertanto il presente regolamento dovrebbe prevedere condizioni armonizzate per il trattamento di categorie particolari di dati personali relativi alla salute in relazione a esigenze specifiche, in particolare qualora il trattamento di tali dati sia svolto da persone vincolate dal segreto professionale per talune finalità connesse alla salute. Il diritto dell'Unione dovrebbe prevedere misure specifiche e appropriate a protezione dei diritti fondamentali e dei dati personali delle persone fisiche.

Emendamento 12

Proposta di regolamento

Considerando 24

Testo della Commissione

Emendamento

(24) Il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell'interessato. Tale trattamento dovrebbe essere soggetto a misure appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche. In tale contesto, la nozione di «sanità pubblica» dovrebbe essere interpretata secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio¹⁵: tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all'assistenza sanitaria, la prestazione di assistenza sanitaria e l'accesso universale a essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità. Il trattamento dei dati relativi alla salute effettuato per motivi di interesse pubblico non dovrebbe comportare il trattamento dei dati personali per altre finalità da parte di terzi.

__________________

¹⁵ Regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008, relativo alle statistiche comunitarie in materia di sanità pubblica e di salute e sicurezza sul luogo di lavoro (GU L 354 del 31.12.2008, pag. 70).

Emendamento 13

Proposta di regolamento

Considerando 37 – paragrafo 1

Testo della Commissione

Emendamento

Gli atti giuridici adottati sulla base dei trattati o le norme interne delle istituzioni e degli organi dell'Unione possono imporre limitazioni a specifici principi e ai diritti di informazione, accesso e rettifica o cancellazione dei dati personali, al diritto alla portabilità dei dati, alla riservatezza delle comunicazioni elettroniche nonché alla comunicazione di una violazione di dati personali all'interessato e ad alcuni obblighi connessi in capo ai titolari del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica, delle attività di prevenzione, indagine e perseguimento di reati o dell'esecuzione di sanzioni penali, tra cui la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, ivi comprese la tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, la sicurezza interna delle istituzioni e degli organi dell'Unione, altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, in particolare un interesse economico o finanziario rilevante dell'Unione o di uno Stato membro, la tenuta di registri pubblici per ragioni di interesse pubblico generale o la tutela dell'interessato o dei diritti e delle libertà altrui, compresi la protezione sociale, la sanità pubblica e gli scopi umanitari.

Gli atti giuridici adottati sulla base dei trattati possono imporre limitazioni a specifici principi e ai diritti di informazione, accesso e rettifica o cancellazione dei dati personali, al diritto alla portabilità dei dati, alla riservatezza delle comunicazioni elettroniche nonché alla comunicazione di una violazione di dati personali all'interessato e ad alcuni obblighi connessi in capo ai titolari del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica, delle attività di prevenzione, indagine e perseguimento di reati o dell'esecuzione di sanzioni penali, tra cui la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, ivi comprese la tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, la sicurezza interna delle istituzioni e degli organi dell'Unione, altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, in particolare un interesse economico o finanziario rilevante dell'Unione o di uno Stato membro, la tenuta di registri pubblici per ragioni di interesse pubblico generale o la tutela dell'interessato o dei diritti e delle libertà altrui, compresi la protezione sociale, la sanità pubblica e gli scopi umanitari.

Emendamento 14

Proposta di regolamento

Considerando 37 – paragrafo 2

Testo della Commissione

Emendamento

Qualora gli atti giuridici adottati sulla base dei trattati o le norme interne non prevedano una limitazione, le istituzioni e gli organi dell'Unione possono, in casi specifici, imporre una limitazione ad hoc concernente specifici principi e i diritti dell'interessato se tale limitazione rispetta l'essenza dei diritti e delle libertà fondamentali e, in relazione a un trattamento specifico, è necessaria e proporzionata in una società democratica per salvaguardare uno o più degli obiettivi di cui al paragrafo 1. La limitazione dovrebbe essere comunicata al responsabile della protezione dei dati. Tutte le limitazioni dovrebbero essere conformi alla Carta e alla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali.

soppresso

Emendamento 15

Proposta di regolamento

Considerando 39 bis (nuovo)

Testo della Commissione

Emendamento

(39 bis) Il regolamento (UE) 2016/679 prevede che i titolari del trattamento dimostrino il rispetto degli obblighi ad essi incombenti attraverso l'adesione a meccanismi di certificazione approvati. Allo stesso modo, le istituzioni e gli organi dell'Unione dovrebbero essere in grado di dimostrare la conformità al presente regolamento ottenendo la certificazione di cui all'articolo 42 del regolamento (UE) 2016/679.

Emendamento 16

Proposta di regolamento

Considerando 42

Testo della Commissione

Emendamento

(42) Per dimostrare che si conformano al presente regolamento, i titolari del trattamento dovrebbero tenere un registro delle attività di trattamento effettuate sotto la propria responsabilità e i responsabili del trattamento dovrebbero tenere un registro delle categorie di attività di trattamento effettuate sotto la propria responsabilità. Sarebbe necessario obbligare le istituzioni e gli organi dell'Unione a cooperare con il garante europeo della protezione dei dati e a mettere, su richiesta, i propri registri a sua disposizione affinché possano servire per monitorare detti trattamenti. È opportuno che le istituzioni e gli organi dell'Unione siano in grado di istituire un registro centrale in cui registrare le proprie attività di trattamento. Per motivi di trasparenza, dovrebbero poter rendere tale registro pubblico.

(42) Per dimostrare che si conformano al presente regolamento, i titolari del trattamento dovrebbero tenere un registro delle attività di trattamento effettuate sotto la propria responsabilità e i responsabili del trattamento dovrebbero tenere un registro delle categorie di attività di trattamento effettuate sotto la propria responsabilità. Sarebbe necessario obbligare le istituzioni e gli organi dell'Unione a cooperare con il garante europeo della protezione dei dati e a mettere, su richiesta, i propri registri a sua disposizione affinché possano servire per monitorare detti trattamenti. È opportuno che le istituzioni e gli organi dell'Unione istituiscano un registro centrale in cui registrare le proprie attività di trattamento. Per motivi di trasparenza, dovrebbero rendere tale registro pubblico.

Emendamento 17

Proposta di regolamento

Considerando 47

Testo della Commissione

Emendamento

(47) Il regolamento (CE) n. 45/2001 ha introdotto l'obbligo generale in capo al titolare del trattamento di notificare il trattamento dei dati personali al responsabile della protezione dei dati, che a sua volta terrà un registro dei trattamenti notificati. Mentre tale obbligo comporta oneri amministrativi e finanziari, non ha sempre contribuito a migliorare la protezione dei dati personali. È pertanto opportuno abolire tali obblighi generali e indiscriminati di notifica e sostituirli con meccanismi e procedure efficaci che si concentrino piuttosto su quei tipi di trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità. Tali tipi di trattamenti includerebbero, in particolare, quelli che comportano l'utilizzo di nuove tecnologie o quelli che sono di nuovo tipo e in relazione ai quali il titolare del trattamento non ha ancora effettuato una valutazione d'impatto sulla protezione dei dati, o la valutazione d'impatto sulla protezione dei dati si riveli necessaria alla luce del tempo trascorso dal trattamento iniziale. In tali casi, è opportuno che il titolare del trattamento effettui una valutazione d'impatto sulla protezione dei dati prima del trattamento, per valutare la particolare probabilità e gravità del rischio, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio. La valutazione di impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare tale rischio assicurando la protezione dei dati personali e dimostrando la conformità al presente regolamento.

(47) Il regolamento (CE) n. 45/2001 ha introdotto l'obbligo generale in capo al titolare del trattamento di notificare il trattamento dei dati personali al responsabile della protezione dei dati, che a sua volta tiene un registro dei trattamenti notificati. Oltre a tale obbligo generale, è opportuno istituire meccanismi e procedure efficaci per monitorare i trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità. Tali procedure dovrebbero essere altresì poste in essere, in particolare, quando i tipi di trattamenti comportano l'utilizzo di nuove tecnologie o sono di nuovo tipo e in relazione ai quali il titolare del trattamento non ha ancora effettuato una valutazione d'impatto sulla protezione dei dati, o laddove la valutazione d'impatto sulla protezione dei dati si riveli necessaria alla luce del tempo trascorso dal trattamento iniziale. In tali casi, è opportuno che il titolare del trattamento effettui una valutazione d'impatto sulla protezione dei dati prima del trattamento, per valutare la particolare probabilità e gravità del rischio, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio. La valutazione di impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare tale rischio assicurando la protezione dei dati personali e dimostrando la conformità al presente regolamento.

Emendamento 18

Proposta di regolamento

Considerando 50

Testo della Commissione

Emendamento

(50) Il regolamento (UE) 2016/679 istituisce il comitato europeo per la protezione dei dati quale organo indipendente dell'Unione dotato di personalità giuridica. Il comitato dovrebbe contribuire all'applicazione coerente del regolamento (UE) 2016/679 e della direttiva (UE) 2016/680 in tutta l'Unione, fornendo anche consulenza alla Commissione. Nel contempo il garante europeo della protezione dei dati dovrebbe continuare a esercitare le proprie funzioni di controllo e consulenza in relazione a tutte le istituzioni e tutti gli organi dell'Unione, di propria iniziativa o su richiesta. Per garantire la coerenza delle norme sulla protezione dei dati in tutta l'Unione, la Commissione dovrebbe avere l'obbligo di condurre una consultazione a seguito dell'adozione di atti legislativi o durante la preparazione di atti delegati e atti di esecuzione di cui agli articoli 289, 290 e 291 del TFUE e a seguito dell'adozione di raccomandazioni e proposte relative ad accordi con paesi terzi e organizzazioni internazionali di cui all'articolo 218 del TFUE se questi incidono sul diritto alla protezione dei dati personali. In tali casi la Commissione dovrebbe avere l'obbligo di consultare il garante europeo della protezione dei dati, tranne nei casi in cui il regolamento (UE) 2016/679 stabilisce la consultazione obbligatoria del comitato europeo per la protezione dei dati, ad esempio per le decisioni di adeguatezza o gli atti delegati riguardanti le icone standardizzate e i requisiti dei meccanismi di certificazione. Qualora l'atto in questione sia di particolare rilevanza per la tutela dei diritti e delle libertà fondamentali delle persone in relazione al trattamento di dati personali, la Commissione dovrebbe altresì poter consultare il comitato europeo per la protezione dei dati. In tali casi il garante europeo della protezione dei dati, in quanto membro del comitato europeo per la protezione dei dati, dovrebbe coordinare le proprie attività con quest'ultimo al fine di emettere un parere congiunto. Il garante europeo della protezione dei dati e, ove applicabile, il comitato europeo per la protezione dei dati dovrebbero fornire la propria consulenza per iscritto entro otto settimane. Tale termine dovrebbe essere più breve in caso di urgenza o ove altrimenti appropriato, ad esempio quando la Commissione elabora atti delegati o di esecuzione.

(50) Il regolamento (UE) 2016/679 istituisce il comitato europeo per la protezione dei dati quale organo indipendente dell'Unione dotato di personalità giuridica. Il comitato dovrebbe contribuire all'applicazione coerente del regolamento (UE) 2016/679 e della direttiva (UE) 2016/680 in tutta l'Unione, fornendo anche consulenza alla Commissione. Nel contempo il garante europeo della protezione dei dati dovrebbe continuare a esercitare le proprie funzioni di controllo e consulenza in relazione a tutte le istituzioni e tutti gli organi dell'Unione, di propria iniziativa o su richiesta. Per garantire la coerenza delle norme sulla protezione dei dati in tutta l'Unione, la Commissione dovrebbe avere l'obbligo di condurre una consultazione in sede di adozione di proposte di atti legislativi o durante la preparazione di atti delegati e atti di esecuzione di cui agli articoli 289, 290 e 291 del TFUE e in sede di adozione di raccomandazioni e proposte relative ad accordi con paesi terzi e organizzazioni internazionali di cui all'articolo 218 del TFUE se questi incidono sul diritto alla protezione dei dati personali. In tali casi la Commissione dovrebbe avere l'obbligo di consultare il garante europeo della protezione dei dati, tranne nei casi in cui il regolamento (UE) 2016/679 stabilisce la consultazione obbligatoria del comitato europeo per la protezione dei dati, ad esempio per le decisioni di adeguatezza o gli atti delegati riguardanti le icone standardizzate e i requisiti dei meccanismi di certificazione. Qualora l'atto in questione sia di particolare rilevanza per la tutela dei diritti e delle libertà fondamentali delle persone in relazione al trattamento di dati personali, la Commissione dovrebbe altresì poter consultare il comitato europeo per la protezione dei dati. In tali casi il garante europeo della protezione dei dati, in quanto membro del comitato europeo per la protezione dei dati, dovrebbe coordinare le proprie attività con quest'ultimo al fine di emettere un parere congiunto. Il garante europeo della protezione dei dati e, ove applicabile, il comitato europeo per la protezione dei dati dovrebbero fornire la propria consulenza per iscritto entro otto settimane. Tale termine dovrebbe essere più breve in caso di urgenza o ove altrimenti appropriato, ad esempio quando la Commissione elabora atti delegati o di esecuzione.

Emendamento 19

Proposta di regolamento

Considerando 50 bis (nuovo)

Testo della Commissione

Emendamento

(50 bis) In conformità dell'articolo 75 del regolamento (UE) 2016/679, il garante europeo della protezione dei dati mette a disposizione la segreteria del comitato europeo per la protezione dei dati.

Emendamento 20

Proposta di regolamento

Considerando 52

Testo della Commissione

Emendamento

(52) È opportuno che, quando i dati personali sono trasferiti da istituzioni e organi dell'Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di tutela delle persone fisiche assicurato nell'Unione dal presente regolamento non sia compromesso, anche nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall'organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo o presso un'altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali potrebbero essere effettuati soltanto nel pieno rispetto del presente regolamento. Il trasferimento potrebbe aver luogo soltanto se, fatte salve le altre disposizioni del presente regolamento, il titolare del trattamento o il responsabile del trattamento rispetta le condizioni stabilite dalle disposizioni del presente regolamento in relazione al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali.

(52) È opportuno che, quando i dati personali sono trasferiti da istituzioni e organi dell'Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di tutela delle persone fisiche assicurato nell'Unione dal presente regolamento sia garantito, anche nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall'organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo o presso un'altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali potrebbero essere effettuati soltanto nel pieno rispetto del presente regolamento e in conformità con il regolamento (UE) 2016/679 nonché con i diritti e le libertà fondamentali sanciti dalla Carta. Il trasferimento potrebbe aver luogo soltanto se, fatte salve le altre disposizioni del presente regolamento, il titolare del trattamento o il responsabile del trattamento rispetta le condizioni stabilite dalle disposizioni del presente regolamento in relazione al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali.

Emendamento 21

Proposta di regolamento

Considerando 53

Testo della Commissione

Emendamento

(53) A norma dell'articolo 45 del regolamento (UE) 2016/679 la Commissione può riconoscere che un paese terzo, un territorio o un settore specifico all'interno di un paese terzo, o un'organizzazione internazionale offre un livello adeguato di protezione dei dati. In tali casi, i trasferimenti di dati personali verso tale paese terzo o organizzazione internazionale da parte di un'istituzione o di un organo dell'Unione possono avere luogo senza ulteriori autorizzazioni.

(53) A norma dell'articolo 45 del regolamento (UE) 2016/679 o dell'articolo 36 della direttiva (UE) 2016/680 la Commissione può riconoscere che un paese terzo, un territorio o un settore specifico all'interno di un paese terzo, o un'organizzazione internazionale offre un livello adeguato di protezione dei dati. In tali casi, i trasferimenti di dati personali verso tale paese terzo o organizzazione internazionale da parte di un'istituzione o di un organo dell'Unione possono avere luogo senza ulteriori autorizzazioni.

Emendamento 22

Proposta di regolamento

Considerando 64 bis (nuovo)

Testo della Commissione

Emendamento

(64 bis) La Commissione ha proposto di modificare il regolamento (UE) n. 1024/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, relativo alla cooperazione amministrativa attraverso il sistema di informazione del mercato interno e che abroga la decisione 2008/49/CE della Commissione ("regolamento IMI") per far sì che il sistema IMI possa essere utilizzato non solo dalle autorità competenti degli Stati membri e dalla Commissione, ma anche dagli organi, dagli uffici e dalle agenzie dell'Unione^1 bis. In attesa di tale revisione, il garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati dovrebbero poter utilizzare il sistema di informazione del mercato interno a fini di cooperazione amministrativa e scambio di informazioni come previsto dal regolamento generale sulla protezione dei dati, in vista della sua entrata in applicazione il 25 maggio 2018.

_________________

^1 bisCfr. l'articolo 36 della proposta di regolamento del Parlamento europeo e del Consiglio che istituisce uno sportello digitale unico di accesso a informazioni, procedure e servizi di assistenza e di risoluzione dei problemi e che modifica il regolamento (UE) n. 1024/2012, COM(2017) 256 final, 2017/0086(COD).

Emendamento 23

Proposta di regolamento

Considerando 65

Testo della Commissione

Emendamento

(65) In taluni casi, il diritto dell'Unione prevede un modello di controllo coordinato, condiviso tra il garante europeo della protezione dei dati e le autorità di controllo nazionali. Inoltre, il garante europeo della protezione dei dati è l'autorità di controllo di Europol e un modello specifico di cooperazione con le autorità di controllo nazionali è istituito mediante un consiglio di cooperazione con funzione consultiva. Per migliorare l'efficacia del controllo e dell'applicazione delle norme sostanziali in materia di protezione dei dati, è opportuno introdurre nell'Unione un singolo modello coerente di controllo coordinato. Pertanto la Commissione dovrebbe, se del caso, presentare proposte legislative volte a modificare gli atti giuridici dell'Unione che prevedono un modello di controllo coordinato, onde allinearli al modello di controllo coordinato del presente regolamento. Il comitato europeo per la protezione dei dati dovrebbe costituire un forum unico per garantire un controllo coordinato efficace sistematico.

(65) In taluni casi, il diritto dell'Unione prevede un modello di controllo coordinato, condiviso tra il garante europeo della protezione dei dati e le autorità di controllo nazionali. Inoltre, il garante europeo della protezione dei dati è l'autorità di controllo di Europol e un modello specifico di cooperazione con le autorità di controllo nazionali è istituito mediante un consiglio di cooperazione con funzione consultiva. Per migliorare l'efficacia del controllo e dell'applicazione delle norme sostanziali in materia di protezione dei dati, è opportuno che il presente regolamento introduca un singolo modello coerente di controllo coordinato. Il comitato europeo per la protezione dei dati dovrebbe costituire un forum unico per garantire un controllo coordinato efficace sistematico.

Emendamento 24

Proposta di regolamento

Articolo 1 – paragrafo 2

Testo della Commissione

Emendamento

2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche sanciti dalla Carta, in particolare il diritto alla protezione dei dati personali.

Emendamento 25

Proposta di regolamento

Articolo 2 – paragrafo 1

Testo della Commissione

Emendamento

1. Il presente regolamento si applica al trattamento di dati personali da parte di tutte le istituzioni e di tutti gli organi dell'Unione, nella misura in cui detto trattamento è effettuato nell'esercizio di attività che rientrano in tutto o in parte nell'ambito di applicazione del diritto dell'Unione.

1. Il presente regolamento si applica al trattamento di dati personali da parte di tutte le istituzioni e di tutti gli organi dell'Unione.

Emendamento 26

Proposta di regolamento

Articolo 2 – paragrafo 2 bis (nuovo)

Testo della Commissione

Emendamento

2 bis. Il presente regolamento si applica altresì alle agenzie dell'Unione che svolgono attività rientranti nel campo di applicazione della parte terza, titolo V, capi 4 e 5 TFUE, inclusi i casi in cui gli atti istitutivi di tali agenzie dell'Unione stabiliscano un regime di protezione dei dati indipendente per quanto riguarda il trattamento dei dati personali operativi. L'applicazione del presente regolamento può essere precisata e integrata da disposizioni concernenti il trattamento specifico dei dati personali operativi contenuti negli atti costitutivi di tali agenzie.

Emendamento 27

Proposta di regolamento

Articolo 3 – paragrafo 1 – lettera a

Testo della Commissione

Emendamento

a) le definizioni di cui al regolamento (UE) 2016/679, ad eccezione della definizione di "titolare del trattamento" di cui all'articolo 4, punto 7, di tale regolamento;

a) le definizioni di cui al regolamento (UE) 2016/679, ad eccezione delle definizioni di “titolare del trattamento” di cui all’articolo 4, punto 7, "stabilimento principale" di cui all'articolo 4, punto 16, "impresa" di cui all'articolo 4, punto 18, "gruppo imprenditoriale" di cui all'articolo 4, punto 19, di tale regolamento; la definizione di “comunicazione elettronica” di cui all’articolo 4, punto 2, lettera a), del regolamento (UE) XX/XXXX [regolamento relativo alla vita privata e alle comunicazioni elettroniche];

Emendamento 28

Proposta di regolamento

Articolo 3 – paragrafo 2 – lettera d bis (nuova)

Testo della Commissione

Emendamento

d bis) "dati personali operativi": i dati personali trattati dalle agenzie dell'Unione istituite sulla base della parte terza, titolo V, capi 4 e 5, TFUE e dalle missioni di cui all'articolo 42, paragrafo 1, e agli articoli 43 e 44 TUE per conseguire gli obiettivi stabiliti negli atti che istituiscono tali agenzie o missioni.

Emendamento 29

Proposta di regolamento

Articolo 4 – paragrafo 1 – parte introduttiva

Testo della Commissione

Emendamento

1. I dati personali devono essere:

1. I dati personali sono:

Emendamento 30

Proposta di regolamento

Articolo 4 – paragrafo 1 – lettera d

Testo della Commissione

Emendamento

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti o incompleti rispetto alle finalità per le quali sono raccolti o successivamente trattati ("esattezza");

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati personali inesatti rispetto alle finalità per le quali sono trattati ("esattezza");

Emendamento 31

Proposta di regolamento

Articolo 5 – paragrafo 2

Testo della Commissione

Emendamento

2. I compiti di cui al paragrafo 1, lettera a), sono stabiliti dal diritto dell'Unione.

2. I compiti di cui al paragrafo 1, lettera a), sono stabiliti dal diritto dell'Unione. La base su cui si fonda il trattamento di cui al paragrafo 1, lettera b), è stabilita dal diritto dell'Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento.

Emendamento 32

Proposta di regolamento

Articolo 8 – titolo

Testo della Commissione

Emendamento

Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione

(Non concerne la versione italiana)

Emendamento 33

Proposta di regolamento

Articolo 8 bis (nuovo)

Testo della Commissione

Emendamento

Articolo 8 bis

Trasferimento di dati personali fra istituzioni e organi dell'Unione

Fatti salvi gli articoli 4, 5, 6 e 10:

1. Il trasferimento di dati personali ad altre istituzioni o ad altri organi dell'Unione ovvero al loro interno è consentito unicamente se i dati sono necessari per il legittimo esercizio delle funzioni che rientrano nelle competenze del destinatario.

2. Se i dati sono trasferiti su richiesta del destinatario, il titolare del trattamento e il destinatario sono entrambi responsabili della legittimità del trasferimento.

Il titolare del trattamento è tenuto a verificare le competenze del destinatario e ad effettuare una valutazione provvisoria della necessità del trasferimento dei dati. Qualora emergano dubbi su tale necessità, il titolare del trattamento chiede ulteriori spiegazioni al destinatario.

Il destinatario provvede a che si possa successivamente verificare la necessità del trasferimento dei dati.

3. Nel procedere al trattamento dei dati personali il destinatario persegue unicamente le finalità per cui questi gli sono stati trasmessi.

Emendamento 34

Proposta di regolamento

Articolo 9 – paragrafo 1 – parte introduttiva

Testo della Commissione

Emendamento

1. Fatti salvi gli articoli 4, 5, 6 e 10, i dati personali possono essere trasmessi a destinatari stabiliti nell'Unione e soggetti al regolamento (UE) 2016/679 o alla legislazione nazionale adottata a norma della direttiva (UE) 2016/680 solo se il destinatario dimostra che:

1. Fatti salvi gli articoli 4, 5, 6, 10 e 14, l'articolo 15, paragrafo 3, e l'articolo 16, paragrafo 4, i dati personali possono essere trasmessi a destinatari stabiliti nell'Unione e soggetti al regolamento (UE) 2016/679 o alla legislazione nazionale adottata a norma della direttiva (UE) 2016/680 solo se il titolare del trattamento dimostra, sulla base di una richiesta motivata del destinatario, che:

Emendamento 35

Proposta di regolamento

Articolo 9 – paragrafo 1 – lettera b

Testo della Commissione

Emendamento

b) la trasmissione dei dati è necessaria e proporzionata alle finalità cui è destinata e non sussistono motivi per presumere che i diritti, le libertà e i legittimi interessi dell'interessato possano subire pregiudizio.

b) la trasmissione dei dati è proporzionata e necessaria al fine di servire un interesse pubblico, quale la trasparenza o la buona amministrazione, e sussistono motivi per presumere che i legittimi interessi dell'interessato possano subire pregiudizio dopo aver chiaramente soppesato i vari interessi in conflitto;

Emendamento 36

Proposta di regolamento

Articolo 10 – paragrafo 2 – lettera a

Testo della Commissione

Emendamento

a) l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1;

a) l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1;

Emendamento 37

Proposta di regolamento

Articolo 10 – paragrafo 3

Testo della Commissione

Emendamento

3. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.

Emendamento 38

Proposta di regolamento

Articolo 11 – comma 1

Testo della Commissione

Emendamento

Il trattamento di dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 5, paragrafo 1, può avvenire solo se autorizzato dal diritto dell'Unione, che può comprendere norme interne che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

Il trattamento di dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 5, paragrafo 1, avviene solo se autorizzato dal diritto dell'Unione, che prevede garanzie appropriate per i diritti e le libertà degli interessati.

Emendamento 39

Proposta di regolamento

Articolo 14 – paragrafo 5 – comma 1

Testo della Commissione

Emendamento

Le informazioni fornite ai sensi degli articoli 15 e 16 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 17 a 24 e dell'articolo 38 sono gratuite. Se le richieste dell'interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può rifiutare di soddisfare la richiesta.

Le informazioni fornite ai sensi degli articoli 15 e 16 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 17 a 24 e dell'articolo 38 sono gratuite.

Emendamento 40

Proposta di regolamento

Articolo 14 – paragrafo 8

Testo della Commissione

Emendamento

8. Se la Commissione adotta atti delegati conformemente all'articolo 12, paragrafo 8, del regolamento (UE) 2016/679 che stabiliscono le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate, le istituzioni e gli organi dell'Unione forniscono, se del caso, le informazioni di cui agli articoli 15 e 16 in combinazione con le icone standardizzate.

8. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 12, paragrafo 8, del regolamento (UE) 2016/679 che stabiliscono le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate; le istituzioni e gli organi dell'Unione forniscono, se del caso, le informazioni di cui agli articoli 15 e 16 in combinazione con le icone standardizzate.

Emendamento 41

Proposta di regolamento

Articolo 16 – paragrafo 5 – lettera b

Testo della Commissione

Emendamento

Emendamento 42

Proposta di regolamento

Articolo 16 – paragrafo 5 – lettera c

Testo della Commissione

Emendamento

c) l'ottenimento o la comunicazione sono espressamente previsti dal diritto dell'Unione; oppure

c) l'ottenimento o la comunicazione sono espressamente previsti dal diritto dell'Unione cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell'interessato; oppure

Emendamento 43

Proposta di regolamento

Articolo 16 – paragrafo 5 – lettera d

Testo della Commissione

Emendamento

d) qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell'Unione.

d) qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell'Unione, compreso un obbligo di segretezza previsto per legge.

Emendamento 44

Proposta di regolamento

Articolo 16 – paragrafo 5 bis (nuovo)

Testo della Commissione

Emendamento

5 bis. Nei casi di cui al paragrafo 5, lettera b), il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e il legittimo interesse dell'interessato, anche rendendo pubbliche le informazioni;

Emendamento 45

Proposta di regolamento

Articolo 20 – paragrafo 1 – lettera b

Testo della Commissione

Emendamento

b) il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo;

(Non concerne la versione italiana)

Emendamento 46

Proposta di regolamento

Articolo 25 – paragrafo 1 – parte introduttiva

Testo della Commissione

Emendamento

1. Gli atti giuridici adottati sulla base dei trattati oppure, per le questioni relative al funzionamento delle istituzioni e degli organi dell'Unione, le norme interne stabilite da questi ultimi possono limitare l'applicazione degli articoli da 14 a 22 e degli articoli 34 e 38, nonché dell'articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22, qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:

1. Gli atti giuridici adottati sulla base dei trattati possono limitare l'applicazione degli articoli da 14 a 22 e dell'articolo 38, nonché dell'articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22, qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:

Emendamento 47

Proposta di regolamento

Articolo 25 – paragrafo 1 bis (nuovo)

Testo della Commissione

Emendamento

1 bis. Gli atti adottati a norma del paragrafo 1 sono chiari e precisi. La loro applicazione è prevedibile per le persone che vi sono sottoposte.

Emendamento 48

Proposta di regolamento

Articolo 25 – paragrafo 1 ter (nuovo)

Testo della Commissione

Emendamento

1 ter. In particolare, qualsiasi atto giuridico adottato a norma del paragrafo 1 contiene disposizioni specifiche riguardanti almeno, se del caso:

a) le finalità del trattamento o le categorie di trattamento;

b) le categorie di dati personali;

c) la portata della limitazione introdotta;

d) le garanzie per prevenire abusi o l'accesso o il trasferimento illeciti;

e) l'indicazione precisa del titolare del trattamento o delle categorie di titolari;

f) i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell'ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento;

g) i rischi per i diritti e le libertà degli interessati; e

h) il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa.

Emendamento 49

Proposta di regolamento

Articolo 25 – paragrafo 2

Testo della Commissione

Emendamento

2. Se non è prevista alcuna limitazione da un atto giuridico adottato sulla base dei trattati o da una norma interna conformemente al paragrafo 1, le istituzioni e gli organi dell'Unione possono limitare l'applicazione degli articoli da 14 a 22 e degli articoli 34 e 38, nonché dell'articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22, qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali, in relazione a un trattamento specifico, e sia una misura necessaria e proporzionata in una società democratica per salvaguardare uno o più degli obiettivi di cui al paragrafo 1. La limitazione è comunicata al responsabile della protezione dei dati competente.

soppresso

Emendamento 50

Proposta di regolamento

Articolo 25 – paragrafo 3

Testo della Commissione

Emendamento

3. Se i dati personali sono trattati a fini di ricerca scientifica o storica o a fini statistici, il diritto dell'Unione, che può comprendere norme interne, può prevedere deroghe ai diritti di cui agli articoli 17, 18, 20 e 23, fatte salve le condizioni e le garanzie di cui all'articolo 13, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.

3. Se i dati personali sono trattati a fini di ricerca scientifica o storica o a fini statistici, il diritto dell'Unione può prevedere deroghe ai diritti di cui agli articoli 17, 18, 20 e 23, fatte salve le condizioni e le garanzie di cui all'articolo 13, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.

Emendamento 51

Proposta di regolamento

Articolo 25 – paragrafo 4

Testo della Commissione

Emendamento

4. Se i dati personali sono trattati per finalità di archiviazione nel pubblico interesse, il diritto dell'Unione, che può comprendere norme interne, può prevedere deroghe ai diritti di cui agli articoli 17, 18, 20, 21, 22 e 23, fatte salve le condizioni e le garanzie di cui all'articolo 13, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.

4. Se i dati personali sono trattati per finalità di archiviazione nel pubblico interesse, il diritto dell'Unione può prevedere deroghe ai diritti di cui agli articoli 17, 18, 20, 21, 22 e 23, fatte salve le condizioni e le garanzie di cui all'articolo 13, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.

Emendamento 52

Proposta di regolamento

Articolo 25 – paragrafo 5

Testo della Commissione

Emendamento

5. Le norme interne di cui ai paragrafi 1, 3 e 4, sono sufficientemente chiare, precise e oggetto di una pubblicazione adeguata.

soppresso

Emendamento 53

Proposta di regolamento

Articolo 25 – paragrafo 6

Testo della Commissione

Emendamento

6. Qualora si applichi una delle limitazioni di cui ai paragrafi 1 o 2, l'interessato è informato, conformemente al diritto dell'Unione, dei principali motivi della limitazione e del suo diritto di proporre reclamo al garante europeo della protezione dei dati.

6. Qualora si applichi una delle limitazioni di cui al paragrafo 1, l'interessato è informato, conformemente al diritto dell'Unione, dei principali motivi della limitazione e del suo diritto di proporre reclamo al garante europeo della protezione dei dati.

Emendamento 54

Proposta di regolamento

Articolo 25 – paragrafo 7

Testo della Commissione

Emendamento

7. Qualora si applichino le limitazioni previste ai paragrafi 1 e 2 per negare all'interessato l'accesso ai dati che lo riguardano, il garante europeo della protezione dei dati, nell'esaminare il reclamo, gli comunica solo se i dati sono stati trattati correttamente ovvero, in caso contrario, se sono state apportate tutte le rettifiche necessarie.

7. Qualora si applichino le limitazioni previste al paragrafo 1 per negare all'interessato l'accesso ai dati che lo riguardano, il garante europeo della protezione dei dati, nell'esaminare il reclamo, gli comunica solo se i dati sono stati trattati correttamente ovvero, in caso contrario, se sono state apportate tutte le rettifiche necessarie.

Emendamento 55

Proposta di regolamento

Articolo 25 – paragrafo 8

Testo della Commissione

Emendamento

8. La comunicazione delle informazioni di cui ai paragrafi 6 e 7 e all'articolo 46, paragrafo 2, può essere rinviata, omessa o negata qualora annulli l'effetto della limitazione imposta in forza dei paragrafi 1 o 2.

Emendamento 56

Proposta di regolamento

Articolo 26 – paragrafo 2 bis (nuovo)

Testo della Commissione

Emendamento

2 bis. L'adesione a meccanismi di certificazione approvati di cui all'articolo 42 del regolamento (UE) 2016/679 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

Emendamento 57

Proposta di regolamento

Articolo 27 – paragrafo 2 bis (nuovo)

Testo della Commissione

Emendamento

2 bis. Un meccanismo di certificazione approvato ai sensi dell'articolo 42 del regolamento (UE) 2016/679 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Emendamento 58

Proposta di regolamento

Articolo 28 – paragrafo 3

Testo della Commissione

Emendamento

3. L'interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun contitolare del trattamento, tenendo conto dei loro ruoli stabiliti nelle disposizioni dell'accordo di cui al paragrafo 1.

3. Indipendentemente dalle disposizioni dell'accordo di cui al paragrafo 1, l'interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.

Emendamento 59

Proposta di regolamento

Articolo 31 – paragrafo 5

Testo della Commissione

Emendamento

5. Le istituzioni e gli organi dell'Unione possono decidere di conservare i loro registri delle attività di trattamento in un registro centrale. In tal caso, possono decidere anche di rendere il registro accessibile al pubblico.

5. Le istituzioni e gli organi dell'Unione conservano i loro registri delle attività di trattamento in un registro centrale e rendono il registro accessibile al pubblico.

Emendamento 60

Proposta di regolamento

Capo 4 – sezione 2 – titolo

Testo della Commissione

Emendamento

SICUREZZA DEI DATI PERSONALI E RISERVATEZZA DELLE COMUNICAZIONI ELETTRONICHE

SICUREZZA DEI DATI PERSONALI

Emendamento 61

Proposta di regolamento

Articolo 33 – paragrafo 3 bis (nuovo)

Testo della Commissione

Emendamento

3 bis. L'adesione a un meccanismo di certificazione approvato ai sensi dell'articolo 42 del regolamento (UE) 2016/679 può essere utilizzata come elemento per dimostrare il rispetto dei requisiti di cui al paragrafo 1 del presente articolo.

Emendamento 62

Proposta di regolamento

Articolo 33 bis (nuovo)

Testo della Commissione

Emendamento

Articolo 33 bis

La conformità a un codice di condotta approvato ai sensi dell'articolo 42 del regolamento (UE) 2016/679 può essere utilizzato come elemento tramite il quale dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Emendamento 63

Proposta di regolamento

Articolo 34

Testo della Commissione

Emendamento

Articolo 34

soppresso

Riservatezza delle comunicazioni elettroniche

Le istituzioni e gli organi dell'Unione garantiscono la riservatezza delle comunicazioni elettroniche, in particolare proteggendo le proprie reti di comunicazione elettronica.

Emendamento 64

Proposta di regolamento

Articolo 36

Testo della Commissione

Emendamento

Articolo 36

soppresso

Elenchi di utenti

1. I dati personali contenuti in elenchi di utenti e l'accesso a detti elenchi sono limitati allo stretto necessario ai fini specifici degli elenchi.

2. Le istituzioni e gli organi dell'Unione prendono le misure necessarie per impedire che i dati personali contenuti in tali elenchi siano utilizzati a fini di diffusione commerciale diretta, indipendentemente dal fatto che gli elenchi siano o meno accessibili al pubblico.

Emendamento 65

Proposta di regolamento

Capo 4 – sezione 2 bis (nuova)

Testo della Commissione

Emendamento

RISERVATEZZA DELLE COMUNICAZIONI ELETTRONICHE

Emendamento 66

Proposta di regolamento

Articolo 38 bis (nuovo)

Testo della Commissione

Emendamento

Articolo 38 bis

Riservatezza delle comunicazioni elettroniche

Le istituzioni e gli organi dell'Unione garantiscono la riservatezza delle comunicazioni elettroniche, in particolare proteggendo le proprie reti di comunicazione elettronica.

Emendamento 67

Proposta di regolamento

Articolo 38 ter (nuovo)

Testo della Commissione

Emendamento

Articolo 38 ter

Elenchi di utenti

1. I dati personali contenuti in elenchi di utenti e l'accesso a detti elenchi sono limitati allo stretto necessario ai fini specifici degli elenchi.

Emendamento 68

Proposta di regolamento

Articolo 41 – comma 1

Testo della Commissione

Emendamento

Le istituzioni e gli organi dell'Unione informano il garante europeo della protezione dei dati al momento di elaborare provvedimenti amministrativi e norme interne in tema di trattamento di dati personali che interessino un'istituzione o un organo dell'Unione singolarmente o congiuntamente.

Le istituzioni e gli organi dell'Unione informano il garante europeo della protezione dei dati al momento di elaborare provvedimenti amministrativi in tema di trattamento di dati personali che interessino un'istituzione o un organo dell'Unione singolarmente o congiuntamente.

Emendamento 69

Proposta di regolamento

Articolo 42 – paragrafo 1

Testo della Commissione

Emendamento

1. Dopo l'adozione di proposte di atti legislativi e di raccomandazioni o proposte al Consiglio a norma dell'articolo 218 del TFUE e durante la stesura di atti delegati o di esecuzione, che incidono sulla tutela dei diritti e delle libertà delle persone in relazione al trattamento dei dati personali, la Commissione consulta il garante europeo della protezione dei dati.

1. In sede di adozione di proposte di atti legislativi e di raccomandazioni o proposte al Consiglio a norma dell'articolo 218 del TFUE e durante la stesura di atti delegati o di esecuzione sulla tutela dei diritti e delle libertà delle persone fisiche in relazione al trattamento dei dati personali, la Commissione consulta il garante europeo della protezione dei dati.

Emendamento 70

Proposta di regolamento

Articolo 44 – paragrafo 4

Testo della Commissione

Emendamento

4. Il responsabile della protezione dei dati può essere un membro del personale dell'istituzione o dell'organo dell'Unione oppure assolvere i suoi compiti in base a un contratto di servizi.

4. Il responsabile della protezione dei dati è un membro del personale dell'istituzione o dell'organo dell'Unione. In circostanze eccezionali, tenuto conto della loro dimensione e se le condizioni di cui al paragrafo 2 non sono soddisfatte, le istituzioni e gli organi dell'Unione possono designare un responsabile della protezione dei dati che assolve i suoi compiti in base a un contratto di servizi.

Emendamento 71

Proposta di regolamento

Articolo 45 – paragrafo 5

Testo della Commissione

Emendamento

5. Il responsabile della protezione dei dati e il suo personale sono tenuti al segreto o alla riservatezza in merito all'adempimento dei propri compiti, in conformità del diritto dell'Unione.

5. Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all'adempimento dei propri compiti, in conformità del diritto dell'Unione.

Emendamento 72

Proposta di regolamento

Articolo 46 – paragrafo 1 – lettera g bis (nuova)

Testo della Commissione

Emendamento

(g bis) garantire che i trattamenti non arrechino pregiudizio ai diritti e alle libertà degli interessati.

Emendamento 73

Proposta di regolamento

Articolo 48 – paragrafo 1

Testo della Commissione

Emendamento

1. Il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale è ammesso se la Commissione ha deciso, ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679, che è garantito un livello di protezione adeguato nel paese terzo, in un territorio o in uno o più settori specifici all'interno del paese terzo o all'interno dell'organizzazione internazionale, e che i dati personali sono trasferiti esclusivamente per consentire lo svolgimento dei compiti che rientrano nelle competenze del titolare del trattamento.

1. Il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale è ammesso se la Commissione ha deciso, ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 o dell'articolo 36 della direttiva (UE) 2016/680, che è garantito un livello di protezione adeguato nel paese terzo, in un territorio o in uno o più settori specifici all'interno del paese terzo o all'interno dell'organizzazione internazionale, e che i dati personali sono trasferiti esclusivamente per consentire lo svolgimento dei compiti che rientrano nelle competenze del titolare del trattamento. In tal caso il trasferimento non necessita di autorizzazioni specifiche.

Emendamento 74

Proposta di regolamento

Articolo 49 – paragrafo 1

Testo della Commissione

Emendamento

1. In mancanza di una decisione ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un'organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

1. In mancanza di una decisione ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 o dell'articolo 36, paragrafo 3, della direttiva (UE) 2016/680, nel rispettivo ambito di applicazione di tali atti legislativi, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un'organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

Emendamento 75

Proposta di regolamento

Articolo 51 – paragrafo 1 – parte introduttiva

Testo della Commissione

Emendamento

1. In mancanza di una decisione ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 o di garanzie adeguate ai sensi dell'articolo 49, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale soltanto se si verifica una delle seguenti condizioni:

1. In mancanza di una decisione ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 o dell'articolo 36, paragrafo 3, della direttiva (UE) 2016/680, nel rispettivo ambito di applicazione di tali atti legislativi, o di garanzie adeguate ai sensi dell'articolo 49, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale soltanto se si verifica una delle seguenti condizioni:

Emendamento 76

Proposta di regolamento

Articolo 54 – paragrafo 1

Testo della Commissione

Emendamento

1. Il Parlamento europeo e il Consiglio nominano di comune accordo il garante europeo della protezione dei dati, per un periodo di cinque anni, in base a un elenco predisposto dalla Commissione dopo un invito pubblico a presentare candidature. Tale invito consente a tutte le parti interessate nell'insieme dell'Unione di presentare la propria candidatura. L'elenco di candidati elaborato dalla Commissione è pubblico. Sulla base dell'elenco elaborato dalla Commissione, la commissione competente del Parlamento europeo può decidere di organizzare un'audizione per poter esprimere una preferenza.

1. Il Parlamento europeo e il Consiglio nominano di comune accordo il garante europeo della protezione dei dati, per un periodo di cinque anni, in base a un elenco predisposto congiuntamente dal Parlamento europeo, dal Consiglio e dalla Commissione dopo un invito pubblico a presentare candidature. Tale invito consente a tutte le parti interessate nell'insieme dell'Unione di presentare la propria candidatura. L'elenco di candidati è pubblico e include almeno cinque candidati. La commissione competente del Parlamento europeo può decidere di organizzare un'audizione dei candidati che figurano nell'elenco per poter esprimere una preferenza.

Emendamento 77

Proposta di regolamento

Articolo 54 – paragrafo 2

Testo della Commissione

Emendamento

2. L'elenco elaborato dalla Commissione da cui viene scelto il garante europeo della protezione dei dati è composto da personalità che offrono ogni garanzia di indipendenza e che possiedono un'esperienza e delle competenze notorie per l'esercizio delle funzioni di garante europeo della protezione dei dati, come ad esempio il far parte o l'aver fatto parte delle autorità di controllo di cui all'articolo 41 del regolamento (UE) 2016/679.

2. L'elenco elaborato congiuntamente dal Parlamento europeo, dal Consiglio e dalla Commissione da cui viene scelto il garante europeo della protezione dei dati è composto da personalità che offrono ogni garanzia di indipendenza e che possiedono una conoscenza specialistica nel settore della protezione dei dati come pure un'esperienza e delle competenze notorie per l'esercizio delle funzioni di garante europeo della protezione dei dati, come ad esempio il far parte o l'aver fatto parte delle autorità di controllo di cui all'articolo 41 del regolamento (UE) 2016/679.

Emendamento 78

Proposta di regolamento

Articolo 55 – paragrafo 4

Testo della Commissione

Emendamento

4. Il garante europeo della protezione dei dati è assistito da un segretariato. I funzionari e gli altri agenti del segretariato sono nominati dal garante europeo della protezione dei dati, che è il loro superiore gerarchico. Essi sono tenuti a conformarsi alle sue istruzioni. Il numero di detti funzionari e agenti è stabilito ogni anno nell'ambito della procedura di bilancio. L'articolo 75, paragrafo 2, del regolamento (UE) 2016/679 si applica al personale del garante europeo della protezione dei dati incaricato di svolgere i compiti attribuiti al comitato europeo per la protezione dei dati in virtù del diritto dell'Unione.

Emendamento 79

Proposta di regolamento

Articolo 59 – paragrafo 1 – lettera e

Testo della Commissione

Emendamento

(e) ottenere accesso a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell'Unione o il diritto processuale degli Stati membri.

Emendamento 80

Proposta di regolamento

Articolo 59 – paragrafo 3 – lettera b bis (nuova)

Testo della Commissione

Emendamento

(b bis) autorizzare o meno il trattamento di cui all'articolo 40, paragrafo 4;

Emendamento 81

Proposta di regolamento

Articolo 61 – titolo

Testo della Commissione

Emendamento

Cooperazione con le autorità di controllo nazionali

Cooperazione tra il garante europeo della protezione dei dati e le autorità di controllo nazionali

Emendamento 82

Proposta di regolamento

Articolo 61 – comma 1

Testo della Commissione

Emendamento

Il garante europeo per la protezione dei dati coopera con le autorità di controllo istituite ai sensi dell'articolo 41 del regolamento (UE) 2016/679 e dall'articolo 51 della direttiva (UE) 2016/680 (in seguito "autorità di controllo nazionali") e con l'autorità comune di controllo istituita dall'articolo 25 della decisione 2009/917/GAI del Consiglio²¹ nella misura necessaria all'esecuzione delle rispettive funzioni, in particolare fornendosi reciprocamente informazioni pertinenti, chiedendo alle autorità di controllo nazionali di esercitare i loro poteri o rispondendo alle richieste formulate da tali autorità.

Il garante europeo per la protezione dei dati coopera con le autorità di controllo istituite ai sensi dell'articolo 51 del regolamento (UE) 2016/679 e dall'articolo 41 della direttiva (UE) 2016/680 (in seguito "autorità di controllo nazionali") nella misura necessaria all'esecuzione delle rispettive funzioni, in particolare fornendosi reciprocamente informazioni pertinenti, chiedendosi reciprocamente di esercitare i rispettivi poteri o rispondendo alle reciproche richieste.

_________________

²¹ Decisione 2009/917/GAI del Consiglio, del 30 novembre 2009, sull'uso dell'informatica nel settore doganale (GU L 323 del 10.12.2009, pag. 20).

Emendamento 83

Proposta di regolamento

Articolo 61 – comma 1 bis (nuovo)

Testo della Commissione

Emendamento

Il garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati possono utilizzare il sistema di informazione del mercato interno istituito dal regolamento (UE) n. 1024/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, relativo alla cooperazione amministrativa attraverso il sistema di informazione del mercato interno e che abroga la decisione 2008/49/CE della Commissione ("regolamento IMI") a fini di cooperazione amministrativa e scambio di informazioni ai sensi degli articoli da 60 a 62 e degli articoli 64, 65 e 70 del regolamento (UE) 2016/679.

Emendamento 84

Proposta di regolamento

Articolo 62 – paragrafo 1

Testo della Commissione

Emendamento

1. Quando un atto dell'Unione rinvia al presente articolo, il garante europeo della protezione dei dati coopera attivamente con le autorità di controllo nazionali al fine di garantire un controllo efficace dei sistemi IT su larga scala o delle agenzie dell'Unione.

1. Quando un atto dell'Unione prevede che il garante europeo della protezione dei dati vigili sul trattamento dei dati personali a livello di Unione e le autorità di controllo nazionali vigilino sul trattamento dei dati personali a livello nazionale, il garante europeo della protezione dei dati e le autorità di controllo nazionali, agendo ciascuno nei limiti delle proprie competenze, cooperano attivamente nell'ambito delle proprie responsabilità al fine di garantire un controllo efficace e coordinato dei sistemi IT su larga scala o degli organi, degli uffici e delle agenzie dell'Unione.

Emendamento 85

Proposta di regolamento

Articolo 62 – paragrafo 2

Testo della Commissione

Emendamento

2. Il garante europeo della protezione dei dati, agendo nei limiti delle proprie competenze e nell'ambito delle proprie responsabilità, scambia informazioni pertinenti, fornisce assistenza nello svolgimento di revisioni e ispezioni, esamina difficoltà di interpretazione o applicazione del presente regolamento e di altri atti dell'Unione applicabili, studia problemi inerenti all'esercizio di un controllo indipendente o all'esercizio dei diritti degli interessati, elabora proposte armonizzate per soluzioni di eventuali problemi e promuove la sensibilizzazione del pubblico in materia di diritto alla protezione dei dati, in funzione delle necessità, insieme alle autorità di controllo nazionali.

2. Essi, agendo ciascuno nei limiti delle proprie competenze e nell'ambito delle proprie responsabilità, scambiano informazioni pertinenti, forniscono assistenza reciproca nello svolgimento di revisioni e ispezioni, esaminano difficoltà di interpretazione o applicazione del presente regolamento e di altri atti dell'Unione applicabili, studiano problemi inerenti all'esercizio di un controllo indipendente o all'esercizio dei diritti degli interessati, elaborano proposte armonizzate per soluzioni di eventuali problemi e promuovono la sensibilizzazione del pubblico in materia di diritto alla protezione dei dati, in funzione delle necessità.

Emendamento 86

Proposta di regolamento

Articolo 62 – paragrafo 3

Testo della Commissione

Emendamento

3. Ai fini di cui al paragrafo 2, il garante europeo della protezione dei dati si incontra con le autorità di controllo nazionali almeno due volte all'anno nell'ambito del comitato europeo per la protezione dei dati. I costi e la gestione di tali riunioni sono a carico del comitato europeo per la protezione dei dati. Nella prima riunione è adottato un regolamento interno. Ulteriori metodi di lavoro sono elaborati congiuntamente, se necessario.

3. Ai fini di cui al paragrafo 2, il garante europeo della protezione dei dati e le autorità di controllo nazionali si incontrano almeno due volte all'anno nell'ambito del comitato europeo per la protezione dei dati. I costi e la gestione di tali riunioni sono a carico del comitato europeo per la protezione dei dati. A tali fini, il comitato europeo per la protezione dei dati può elaborare ulteriori metodi di lavoro, se necessario.

Emendamento 87

Proposta di regolamento

Capo VIII bis (nuovo) – titolo


Testo della Commissione	Emendamento
	CAPO VIII bis
	Trattamento dei dati personali operativi

Emendamento 88

Proposta di regolamento

Articolo 69 bis (nuovo)

Testo della Commissione

Emendamento

Articolo 69 bis

Ambito d'applicazione

In deroga agli articoli 4, 5, 6, 7, 8, 10, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 41, 43, 49, 50 e 51, le disposizioni del presente capo si applicano al trattamento di dati operativi da parte delle agenzie dell'Unione istituite sulla base della parte terza, titolo V, capi 4 e 5, TFUE e delle missioni di cui all'articolo 42, paragrafo 1, e agli articoli 43 e 44 TUE.

L'applicazione del presente regolamento può essere precisata e integrata da disposizioni concernenti il trattamento specifico dei dati personali operativi contenuti negli atti costitutivi di tali agenzie.

Emendamento 89

Proposta di regolamento

Articolo 69 ter (nuovo)

Testo della Commissione

Emendamento

Articolo 69 ter

Principi applicabili al trattamento dei dati personali operativi

1. I dati personali operativi sono:

a) trattati in modo lecito e corretto ("liceità e correttezza");

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è considerato incompatibile con le finalità iniziali, purché le agenzie e missioni dell'Unione forniscano garanzie adeguate, in particolare per assicurare che i dati non siano trattati per altri fini ("limitazione delle finalità");

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati ("minimizzazione dei dati");

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per garantire che i dati personali operativi inesatti rispetto alle finalità per le quali sono trattati siano cancellati o rettificati tempestivamente ("esattezza");

e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;

f) trattati in modo da garantire un'adeguata sicurezza dei dati personali operativi, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali ("integrità e riservatezza").

2. Le agenzie o missioni dell'Unione rendono accessibile al pubblico un documento che delinea in modo comprensibile le disposizioni relative al trattamento dei dati personali operativi e ai mezzi a disposizione degli interessati per l'esercizio dei loro diritti.

Emendamento 90

Proposta di regolamento

Articolo 69 quater (nuovo)


Testo della Commissione	Emendamento
	Articolo 69 quater
	Liceità del trattamento
	Il trattamento è lecito solo se e nella misura in cui è necessario per l'esecuzione di un compito di agenzie e missioni dell'Unione e si basa sul diritto dell'Unione. Il diritto dell'Unione che precisa e integra il presente regolamento per quanto concerne il trattamento nell'ambito di applicazione del presente capo specifica gli obiettivi del trattamento, i dati personali operativi da trattare e le finalità del trattamento.

Emendamento 91

Proposta di regolamento

Articolo 69 quinquies (nuovo)


Testo della Commissione	Emendamento
	Articolo 69 quinquies
	Distinzione tra diverse categorie di interessati
	Le agenzie o missioni dell'Unione operano una chiara distinzione tra i dati personali operativi delle diverse categorie di interessati, quali:
	a) persone sospettate di aver commesso un reato di competenza delle agenzie o missioni dell'Unione o di avervi partecipato, o che sono state condannate per un siffatto reato;
	b) persone riguardo alle quali vi siano indicazioni concrete o ragionevoli motivi per ritenere che possano commettere reati di competenza delle agenzie o missioni dell'Unione;
	c) persone che sono state vittime di uno dei reati in esame o per le quali taluni fatti autorizzano a ritenere che potrebbero essere vittime di un reato;
	d) persone che potrebbero essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti;
	e) persone che possono fornire informazioni su reati; nonché
	f) persone in contatto o collegate a una delle persone di cui alle lettere a) e b).

Emendamento 92

Proposta di regolamento

Articolo 69 sexies (nuovo)


Testo della Commissione	Emendamento
	Articolo 69 sexies
	Distinzione tra dati personali operativi e verifica della qualità dei dati personali operativi
	Le agenzie e missioni dell'Unione differenziano i dati personali operativi fondati su fatti da quelli fondati su valutazioni personali. Le agenzie e missioni dell'Unione trattano i dati personali operativi in modo che sia possibile individuare l'autorità che li ha forniti o i sistemi da cui sono stati ottenuti, ove applicabile. Le agenzie e missioni dell'Unione provvedono affinché i dati personali operativi inesatti, incompleti o non più aggiornati non siano trasmessi o resi disponibili. A tal fine, le agenzie e missioni dell'Unione verificano la qualità dei dati personali operativi prima che vengano trasmessi o resi disponibili. Per quanto possibile, le agenzie e missioni dell'Unione corredano tutte le trasmissioni di dati personali operativi delle informazioni necessarie che consentono al destinatario di valutare il grado di esattezza, completezza e affidabilità dei dati personali operativi, e la misura in cui essi sono aggiornati. Qualora risulti che sono stati trasmessi dati personali operativi inesatti o che sono stati trasmessi dati personali operativi illecitamente, il destinatario deve esserne informato quanto prima. In tal caso, i dati personali operativi devono essere rettificati o cancellati o il trattamento deve essere limitato.

Emendamento 93

Proposta di regolamento

Articolo 69 septies (nuovo)


Testo della Commissione	Emendamento
	Articolo 69 septies
	Condizioni di trattamento specifiche
	Se le agenzie e missioni dell'Unione prevedono condizioni specifiche di trattamento, informano il destinatario dei dati personali operativi di tali condizioni e dell'obbligo di rispettarle. Le agenzie e missioni dell'Unione rispettano le condizioni di trattamento specifiche previste da un'autorità nazionale a norma dell'articolo 9, paragrafi 3 e 4, della direttiva (UE) 2016/680.

Emendamento 94

Proposta di regolamento

Articolo 69 octies (nuovo)


Testo della Commissione	Emendamento
	Articolo 69 octies
	Trasmissione di dati personali operativi ad altre istituzioni e organi dell'Unione
	Le agenzie e missioni dell'Unione trasmettono dati personali operativi ad altre istituzioni e ad altri organi dell'Unione unicamente se i dati sono necessari all'esercizio dei loro compiti o di quelli delle agenzie e missioni dell'Unione destinatarie dei dati. Se i dati personali operativi sono trasmessi su richiesta dell'altra istituzione o dell'altro organo dell'Unione, il titolare del trattamento e il destinatario sono entrambi responsabili della legittimità del trasferimento. Le agenzie e missioni dell'Unione sono tenute a verificare la competenza dell'altra istituzione o dell'altro organo dell'Unione e ad effettuare una valutazione provvisoria della necessità della trasmissione. Qualora emergano dubbi su tale necessità, le agenzie e missioni dell'Unione chiedono ulteriori spiegazioni al destinatario. Le altre istituzioni e gli altri organi dell'Unione provvedono a che sia possibile verificare successivamente la necessità della trasmissione. Le altre istituzioni e gli altri organi dell'Unione trattano i dati personali soltanto per le finalità per le quali sono stati trasmessi.

Emendamento 95

Proposta di regolamento

Articolo 69 nonies (nuovo)


Testo della Commissione	Emendamento
	Articolo 69 nonies
	Trattamento di categorie particolari di dati personali operativi
	Il trattamento dei dati personali operativi che rivelano l'origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche o l'affiliazione sindacale, nonché il trattamento di dati genetici e dati biometrici ai fini dell'identificazione precisa di una persona fisica e il trattamento dei dati personali operativi relativi alla salute o dei dati personali operativi relativi alla vita sessuale o all'orientamento sessuale sono vietati, a meno che non siano strettamente necessari e proporzionati per prevenire o combattere forme di criminalità rientranti negli obiettivi delle agenzie o missioni dell'Unione e a condizione che tali dati integrino altri dati personali trattati dalle agenzie e missioni dell'Unione. È vietata la selezione di un particolare gruppo di persone basata unicamente su tali dati personali. Il responsabile della protezione dei dati è informato immediatamente del ricorso al presente articolo. I summenzionati dati personali operativi non possono essere trasmessi a Stati membri, organismi dell'Unione, paesi terzi o organizzazioni internazionali, salvo che tale trasmissione sia strettamente necessaria e proporzionata in casi specifici relativi a forme di criminalità rientranti negli obiettivi delle agenzie e missioni dell'Unione e avvenga in conformità del capo V.

Emendamento 96

Proposta di regolamento

Articolo 69 decies (nuovo)


Testo della Commissione	Emendamento
	Articolo 69 decies
	Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
	L'interessato ha il diritto di non essere sottoposto a una decisione di agenzie e missioni dell'Unione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici negativi che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

Emendamento 97

Proposta di regolamento

Articolo 69 undecies (nuovo)


Testo della Commissione	Emendamento
	Articolo 69 undecies
	Informazioni da rendere disponibili o da fornire all'interessato
	1. Le agenzie e missioni dell'Unione rendono disponibili all'interessato almeno le seguenti informazioni:
	a) l'identità e i dati di contatto dell'agenzia o missione dell'Unione;
	b) i dati di contatto del responsabile della protezione dei dati;
	c) le finalità del trattamento cui sono destinati i dati personali operativi;
	d) il diritto di proporre reclamo al garante europeo della protezione dei dati e i suoi dati di contatto;
	e) l'esistenza del diritto dell'interessato di chiedere alle agenzie e missioni dell'Unione l'accesso ai dati personali operativi e la loro rettifica o cancellazione e la limitazione del trattamento dei dati personali operativi che lo riguardano.
	2. In aggiunta alle informazioni di cui al paragrafo 1, le agenzie e missioni dell'Unione forniscono all'interessato, in casi specifici, le seguenti ulteriori informazioni per consentire l'esercizio dei diritti dell'interessato:
	a) la base giuridica del trattamento;
	b) il periodo di conservazione dei dati personali operativi oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
	c) le categorie di destinatari dei dati personali operativi, anche in paesi terzi o in seno a organizzazioni internazionali;
	d) se necessario, ulteriori informazioni, in particolare nel caso in cui i dati personali operativi siano raccolti all'insaputa dell'interessato.
	3. Le agenzie e missioni dell'Unione possono ritardare, limitare o escludere la comunicazione di informazioni all'interessato ai sensi del paragrafo 2 nella misura e per il tempo in cui ciò sia previsto da un atto giuridico adottato sulla base dei trattati e costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata, al fine di:
	a) non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;
	b) non compromettere la prevenzione, l'indagine, l'accertamento e il perseguimento di reati o l'esecuzione di sanzioni penali;
	c) proteggere la sicurezza pubblica degli Stati membri;
	d) proteggere la sicurezza nazionale degli Stati membri;
	e) proteggere i diritti e le libertà altrui.

Emendamento 98

Proposta di regolamento

Articolo 69 duodecies (nuovo)


Testo della Commissione	Emendamento
	Articolo 69 duodecies
	Diritto di accesso dell'interessato
	L'interessato ha il diritto di ottenere dalle agenzie e missioni dell'Unione la conferma che sia o meno in corso un trattamento di dati personali operativi che lo riguardano e di ottenere l'accesso alle seguenti informazioni:
	a) le finalità e la base giuridica del trattamento;
	b) le categorie di dati personali operativi in questione;
	c) i destinatari o le categorie di destinatari a cui i dati personali operativi sono stati comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
	d) il periodo previsto per il quale saranno conservati i dati personali operativi;
	e) l'esistenza del diritto dell'interessato di chiedere alle agenzie e missioni dell'Unione la rettifica o la cancellazione dei dati personali operativi o la limitazione del trattamento dei dati personali operativi che lo riguardano;
	f) il diritto di proporre reclamo al garante europeo della protezione dei dati e i suoi dati di contatto;
	g) la comunicazione dei dati personali operativi oggetto del trattamento e di tutte le informazioni disponibili sulla loro origine.

Emendamento 99

Proposta di regolamento

Articolo 69 terdecies (nuovo)


Testo della Commissione	Emendamento
	Articolo 69 terdecies
	Limitazioni del diritto di accesso
	1. Le agenzie e missioni dell'Unione possono limitare, in tutto o in parte, il diritto di accesso dell'interessato nella misura e per il tempo in cui tale limitazione totale o parziale sia prevista da un atto giuridico adottato sulla base dei trattati e costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata, al fine di:
	a) non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;
	b) non compromettere la prevenzione, l'indagine, l'accertamento e il perseguimento di reati o l'esecuzione di sanzioni penali;
	c) proteggere la sicurezza pubblica degli Stati membri;
	d) proteggere la sicurezza nazionale degli Stati membri;
	f) proteggere i diritti e le libertà altrui.
	2. Nei casi di cui al paragrafo 1, le agenzie e missioni dell'Unione informano l'interessato, senza ingiustificato ritardo e per iscritto, di ogni rifiuto o limitazione dell'accesso e dei motivi del rifiuto o della limitazione. Detta comunicazione può essere omessa qualora il suo rilascio rischi di compromettere una delle finalità di cui al paragrafo 1. Le agenzie e missioni dell'Unione informano l'interessato della possibilità di proporre reclamo al garante europeo della protezione dei dati e di proporre ricorso giurisdizionale dinanzi alla Corte di giustizia dell'Unione europea. Le agenzie e missioni dell'Unione documentano i motivi di fatto o di diritto su cui si basa la decisione. Tali informazioni sono messe a disposizione del garante europeo della protezione dei dati su richiesta.

Emendamento 100

Proposta di regolamento

Articolo 69 quaterdecies (nuovo)


Testo della Commissione	Emendamento
	Articolo 69 quaterdecies
	Diritto di rettifica o cancellazione di dati personali operativi e limitazione di trattamento
	1. L'interessato ha il diritto di ottenere dalle agenzie e missioni dell'Unione la rettifica dei dati personali operativi inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali operativi incompleti, anche fornendo una dichiarazione integrativa. Le agenzie e missioni dell'Unione cancellano i dati personali operativi senza ingiustificato ritardo e l'interessato ha il diritto di ottenere dalle agenzie e missioni dell'Unione la cancellazione di dati personali operativi che lo riguardano senza ingiustificato ritardo qualora il trattamento violi gli articoli 68 ter, 69 quater o 69 nonies o qualora i dati personali operativi debbano essere cancellati per conformarsi a un obbligo legale al quale sono soggette le agenzie e missioni dell'Unione.
	a) l'esattezza dei dati personali è contestata dall'interessato e la loro esattezza o inesattezza non può essere accertata; oppure
	b) i dati personali devono essere conservati a fini probatori.
	2. Quando il trattamento è limitato a norma del paragrafo 1, lettera a), le agenzie e missioni dell'Unione informano l'interessato prima di revocare la limitazione del trattamento. I dati ai quali l'accesso è limitato sono trattati per la sola finalità che ne ha impedito la cancellazione.
	3. Le agenzie e missioni dell'Unione informano per iscritto l'interessato dell'eventuale rifiuto di rettifica o cancellazione dei dati personali operativi o limitazione del trattamento e dei motivi del rifiuto. Le agenzie e missioni dell'Unione possono limitare, in tutto o in parte, l'obbligo di fornire tali informazioni nella misura in cui tale limitazione costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata, al fine di:
	a) non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;
	b) non compromettere la prevenzione, l'indagine, l'accertamento e il perseguimento di reati o l'esecuzione di sanzioni penali;
	c) proteggere la sicurezza pubblica degli Stati membri;
	d) proteggere la sicurezza nazionale degli Stati membri;
	f) proteggere i diritti e le libertà altrui.
	4. Le agenzie e missioni dell'Unione informano l'interessato della possibilità di proporre reclamo al garante europeo della protezione dei dati e di proporre ricorso giurisdizionale dinanzi alla Corte di giustizia dell'Unione europea.
	5. Le agenzie e missioni dell'Unione comunicano le rettifiche dei dati personali inesatti all'autorità competente da cui i dati personali operativi inesatti provengono.
	6. Le agenzie e missioni dell'Unione, qualora i dati personali operativi siano stati rettificati o cancellati o il trattamento sia stato limitato a norma dei paragrafi 1, 2 e 3, ne informano i destinatari, comunicando loro che devono rettificare o cancellare i dati personali operativi o limitare il trattamento dei dati personali operativi sotto la propria responsabilità.

Emendamento 101

Proposta di regolamento

Articolo 69 quindecies (nuovo)


Testo della Commissione	Emendamento
	Articolo 69 quindecies
	Esercizio dei diritti dell'interessato e verifica da parte del garante europeo della protezione dei dati
	Nei casi di cui all'articolo 69 undecies, paragrafo 3, all'articolo 69 duodecies e all'articolo 69 quaterdecies, paragrafo 4, i diritti dell'interessato possono essere esercitati anche tramite il garante europeo della protezione dei dati.
	Le agenzie e missioni dell'Unione informano l'interessato della possibilità di esercitare i suoi diritti tramite il garante europeo della protezione dei dati ai sensi del primo comma.
	Qualora sia esercitato il diritto di cui al primo comma, il garante europeo della protezione dei dati informa l'interessato, perlomeno, di aver eseguito tutte le verifiche necessarie o un riesame. Il garante europeo della protezione dei dati informa inoltre l'interessato del diritto di quest'ultimo di proporre ricorso giurisdizionale dinanzi alla Corte di giustizia dell'Unione europea.

Emendamento 102

Proposta di regolamento

Articolo 69 sexdecies (nuovo)


Testo della Commissione	Emendamento
	Articolo 69 sexdecies
	Registrazione
	Le agenzie e missioni dell'Unione registrano in sistemi di trattamento automatizzato qualsiasi delle seguenti operazioni di trattamento: raccolta, modifica, accesso, consultazione, comunicazione, inclusi i trasferimenti, interconnessione e cancellazione di dati personali operativi.
	Le registrazioni delle consultazioni e delle comunicazioni consentono di stabilire la motivazione, la data e l'ora di tali operazioni, di identificare la persona che ha consultato o comunicato i dati personali operativi, nonché, nella misura del possibile, di stabilire l'identità dei destinatari di tali dati personali operativi. Le registrazioni devono essere utilizzate solo per il controllo della protezione dei dati e per garantire un trattamento corretto dei dati nonché l'integrità e la sicurezza di questi. Non è possibile modificare tali registrazioni. Le registrazioni sono cancellate dopo tre anni, salvo se sono necessarie per un controllo in corso. Su richiesta, le agenzie o missioni dell'Unione mettono le registrazioni a disposizione del garante europeo della protezione dei dati e dei rispettivi responsabili della protezione dei dati.

Emendamento 103

Proposta di regolamento

Articolo 69 septdecies (nuovo)


Testo della Commissione	Emendamento
	Articolo 69 septdecies
	Trasferimento dei dati personali operativi a paesi terzi e a organizzazioni internazionali
	1. Fatta salva qualsiasi eventuale limitazione ai sensi dell'articolo 69 terdecies, le agenzie o missioni dell'Unione possono trasferire i dati personali operativi a un'autorità di un paese terzo o a un'organizzazione internazionale nella misura in cui tale trasferimento sia necessario allo svolgimento dei compiti dell'agenzia o missione dell'Unione, sulla base di:
	a) una decisione della Commissione adottata ai sensi dell'articolo 36 della direttiva (UE) 2016/680, che sancisca che il paese terzo o un territorio o un settore di trattamento all'interno di tale paese terzo o l'organizzazione internazionale in questione garantisce un livello di protezione adeguato ("decisione di adeguatezza");
	b) un accordo internazionale concluso tra l'Unione e tale paese terzo o organizzazione internazionale ai sensi dell'articolo 218 TFUE, che presti garanzie sufficienti con riguardo alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone;
	c) un accordo di cooperazione che consenta lo scambio di dati personali operativi concluso, prima della data di applicazione dei rispettivi atti giuridici costitutivi delle agenzie dell'Unione, tra le agenzie o missioni dell'Unione e tale paese terzo o organizzazione internazionale, conformemente all'articolo 23 della decisione 2009/371/GAI. Le agenzie e missioni dell'Unione possono concludere intese amministrative per dare attuazione ai suddetti accordi o decisioni di adeguatezza.
	2. Ove applicabile, il direttore esecutivo informa il consiglio di amministrazione degli scambi di dati personali operativi avvenuti sulla base di una decisione di adeguatezza a norma del paragrafo 1, lettera a).
	3. Le agenzie e missioni dell'Unione pubblicano sul proprio sito web e tengono aggiornato un elenco delle decisioni di adeguatezza, degli accordi, delle intese amministrative e degli altri strumenti riguardanti il trasferimento di dati personali operativi ai sensi del paragrafo 1.
	4. Entro il 14 giugno 2021, la Commissione valuta le disposizioni contenute negli accordi di cooperazione di cui al paragrafo 1, lettera c), in particolare quelle riguardanti la protezione dei dati. La Commissione informa il Parlamento europeo e il Consiglio sull'esito di tale valutazione e, se del caso, può presentare al Consiglio una raccomandazione di decisione che autorizzi l'avvio di negoziati per la conclusione di un accordo internazionale ai sensi del paragrafo 1, lettera b).
	5. In deroga al paragrafo 1, ove applicabile, il direttore esecutivo può autorizzare, caso per caso, il trasferimento dei dati personali operativi ai paesi terzi o alle organizzazioni internazionali se il trasferimento:
	a) è necessario per salvaguardare gli interessi vitali dell'interessato o di un terzo;
	b) è necessario per salvaguardare i legittimi interessi dell'interessato qualora lo preveda il diritto dello Stato membro che trasferisce i dati personali;
	c) è essenziale per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo;
	d) è necessario, in singoli casi, per prevenire, indagare, accertare o perseguire reati o eseguire sanzioni penali; oppure
	e) è necessario, in singoli casi, per accertare, esercitare o difendere un diritto in sede giudiziaria in relazione alla prevenzione, all'indagine, all'accertamento o al perseguimento di uno specifico reato o all'esecuzione di una specifica sanzione penale.
	I dati personali operativi non sono trasferiti se il direttore esecutivo determina che i diritti e le libertà fondamentali dell'interessato in questione prevalgono sull'interesse pubblico al trasferimento di cui alle lettere d) ed e).
	Le deroghe non si applicano ai trasferimenti sistematici, ingenti o strutturali.
	6. In deroga al paragrafo 1, ove applicabile il consiglio di amministrazione, di concerto con il GEPD, può autorizzare, per un periodo non superiore a un anno, rinnovabile, un complesso di trasferimenti in conformità del paragrafo 5, lettere da a) a e), tenuto conto dell'esistenza di garanzie adeguate con riguardo alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone. Tale autorizzazione è debitamente giustificata e documentata.
	7. Il direttore esecutivo comunica quanto prima al consiglio di amministrazione e al garante europeo della protezione dei dati i casi in cui viene applicato il paragrafo 5.
	8. Le agenzie e missioni dell'Unione conservano registrazioni dettagliate di tutti i trasferimenti effettuati a norma del presente articolo.

Emendamento 104

Proposta di regolamento

Capo IX bis (nuovo) – titolo

Testo della Commissione

Emendamento

Capo IX bis

Riesame

Emendamento 105

Proposta di regolamento

Articolo 70 bis (nuovo)

Testo della Commissione

Emendamento

Articolo 70 bis

Clausola di riesame

1. Entro il 1° giugno 2021, e successivamente ogni cinque anni, la Commissione presenta al Parlamento europeo una relazione sull'applicazione del presente regolamento, corredata, se necessario, di proposte legislative adeguate.

2. La valutazione ex post di cui al paragrafo 1 dedica particolare attenzione all'adeguatezza dell'ambito di applicazione del presente regolamento e alla sua coerenza con altri atti legislativi in materia di protezione dei dati e valuta, in particolare, l'attuazione del capo V del presente regolamento.

3. Entro il 1° giugno 2021, e successivamente ogni cinque anni, la Commissione riferisce al Parlamento europeo in merito all'applicazione del capo VIII del presente regolamento e alle sanzioni applicate.

Motivazione

Alla luce della volontà di "legiferare meglio" e in particolare dell'uso efficace delle valutazioni ex post al fine di comprendere l'intero ciclo legislativo, riveste particolare interesse seguire il recepimento, l'attuazione e l'applicazione del diritto dell'Unione e, più in generale, controllare l'impatto, il funzionamento e l'efficacia di tale diritto. Una clausola di riesame esaustiva, che richiede una valutazione adeguata dell'applicazione del regolamento, del suo ambito di applicazione e della deroga di poteri prevista e che prevede obblighi di relazione adeguati assolve a questo scopo.

Emendamento 106

Proposta di regolamento

Articolo 70 ter (nuovo)

Testo della Commissione

Emendamento

Articolo 70 ter

Riesame degli atti giuridici dell'Unione

Entro il 25 maggio 2021, la Commissione riesamina gli altri atti giuridici adottati a norma dei trattati che disciplinano il trattamento dei dati personali, in particolare da parte delle agenzie istituite conformemente alla parte terza, titolo V, capi 4 e 5, TFUE, al fine di valutare la necessità di allinearli al presente regolamento e formulare, ove opportuno, le proposte necessarie per modificarli in modo da garantire un approccio coerente alla protezione dei dati personali nell'ambito del presente regolamento.

Emendamento 107

Proposta di regolamento

Articolo 71 bis (nuovo)

Testo della Commissione

Emendamento

Articolo 71 bis

Modifiche del regolamento (CE) n. 1987/2006

Il regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio^1 bis è così modificato:

l'articolo 46 è sostituito dal seguente:

"Le autorità di controllo nazionali e il garante europeo della protezione dei dati, agendo ciascuno nei limiti delle proprie competenze, cooperano tra loro conformemente all'articolo 62 del [nuovo regolamento (CE) n. 45/2001]".

_________________

^1 bis Regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio, del 20 dicembre 2006, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II) (GU L 381 del 28.12.2006, pag. 4).

Emendamento 108

Proposta di regolamento

Articolo 71 ter (nuovo)

Testo della Commissione

Emendamento

Articolo 71 ter

Modifiche della decisione 2007/533/GAI del Consiglio

La decisione 2007/533/GAI del Consiglio^1 bis è così modificata:

l'articolo 62 è sostituito dal seguente:

_________________

^1 bis Decisione 2007/533/GAI del Consiglio, del 12 giugno 2007, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II) (GU L 205 del 7.8.2007, pag. 63).

Emendamento 109

Proposta di regolamento

Articolo 71 quater (nuovo)

Testo della Commissione

Emendamento

Articolo 71 quater

Modifiche del regolamento (CE) n. 767/2008

Il regolamento (CE) n. 767/2008 del Parlamento europeo e del Consiglio^1 bis è così modificato:

l'articolo 43 è sostituito dal seguente:

_________________

^1 bis Regolamento (CE) n. 767/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, concernente il sistema di informazione visti (VIS) e lo scambio di dati tra Stati membri sui visti per soggiorni di breve durata (regolamento VIS) (GU L 218 del 13.8.2008, pag. 60).

Emendamento 110

Proposta di regolamento

Articolo 71 quinquies (nuovo)

Testo della Commissione

Emendamento

Articolo 71 quinquies

Modifiche del regolamento (CE) n. 515/97 del Consiglio

Il regolamento (CE) n. 515/97 del Consiglio^1 bis è così modificato:

all'articolo 37, il paragrafo 4 è sostituito dal seguente:

_________________

^1 bis Regolamento (CE) n. 515/97 del Consiglio, del 13 marzo 1997, relativo alla mutua assistenza tra le autorità amministrative degli Stati membri e alla collaborazione tra queste e la Commissione per assicurare la corretta applicazione delle normative doganale e agricola (GU L 82 del 22.3.1997, pag. 1).

Emendamento 111

Proposta di regolamento

Articolo 71 sexies (nuovo)

Testo della Commissione

Emendamento

Articolo 71 sexies

Modifiche della decisione 2009/917/GAI del Consiglio

La decisione 2009/917/GAI del Consiglio^1 bis è così modificata:

(1) l'articolo 25 è soppresso;

(2) all'articolo 26, i paragrafi 2 e 3 sono sostituiti dal seguente:

_________________

^1 bis Decisione 2009/917/GAI del Consiglio, del 30 novembre 2009, sull'uso dell'informatica nel settore doganale (GU L 323 del 10.12.2009, pag. 20).

Emendamento 112

Proposta di regolamento

Articolo 71 septies (nuovo)

Testo della Commissione

Emendamento

Articolo 71 septies

Modifiche del regolamento (UE) n. 1024/2012

Il regolamento (UE) n. 1024/2012 del Parlamento europeo e del Consiglio^1 bis è così modificato:

all'articolo 21, i paragrafi 3 e 4 sono soppressi.

_________________

^1 bis Regolamento (UE) n. 1024/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, relativo alla cooperazione amministrativa attraverso il sistema di informazione del mercato interno e che abroga la decisione 2008/49/CE della Commissione ("regolamento IMI") (GU L 316 del 14.11.2012, pag. 1).

Emendamento 113

Proposta di regolamento

Articolo 71 octies (nuovo)

Testo della Commissione

Emendamento

Articolo 71 octies

Modifiche del regolamento di esecuzione (UE) 2015/2447 della Commissione

Il regolamento di esecuzione (UE) 2015/2447 della Commissione^1 bis è così modificato:

all'articolo 83, il paragrafo 8 è soppresso.

_________________

^1 bis Regolamento di esecuzione (UE) 2015/2447 della Commissione, del 24 novembre 2015, recante modalità di applicazione di talune disposizioni del regolamento (UE) n. 952/2013 del Parlamento europeo e del Consiglio che istituisce il codice doganale dell'Unione (GU L 343 del 29.12.2015, pag. 558).

Emendamento 114

Proposta di regolamento

Articolo 71 nonies (nuovo)

Testo della Commissione

Emendamento

Articolo 71 nonies

Modifiche del regolamento (UE) 2016/794

Il regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio^1 bis è così modificato:

(1) gli articoli 25, 28, 30, 36, 37, 40, 41 e 46 sono soppressi;

(2) l'articolo 44 è sostituito dal seguente:

_________________

^1 bis Regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, che istituisce l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI (GU L 135 del 24.5.2016, pag. 53).

Emendamento 115

Proposta di regolamento

Articolo 71 decies (nuovo)

Testo della Commissione

Emendamento

Articolo 71 decies

Modifiche del regolamento (UE) 2017/XX del Consiglio

Il regolamento (UE) n. 2017/... del Consiglio^1 bis è così modificato:

(1) gli articoli 36 sexies, 36 septies, 37, 37 ter, 37 quater, 37 quater quater, 37 quater quater quater, 37 quinquies, 37 sexies, 37 septies, 37 octies, 37 nonies, 37 decies, 37 undecies, 37 duodecies, 37 quindecies, 37 sexdecies, 41, 41 bis, 41 ter, 43 bis, 43 ter, 43 quater, 43 quinquies, 43 sexies e 46 sono soppressi;

(2) l'articolo 45 è sostituito dal seguente:

_________________

^1 bis Regolamento (UE) 2017/... del Consiglio, del ..., relativo all'attuazione di una cooperazione rafforzata sull'istituzione della Procura europea ("EPPO") (GU L ...).

Emendamento 116

Proposta di regolamento

Articolo 71 undecies (nuovo)

Testo della Commissione

Emendamento

Articolo 71 undecies

Modifiche del regolamento (UE) 2017/XX

Il regolamento (UE) 2017/... del Parlamento europeo e del Consiglio^1 bis è così modificato:

(1) gli articoli 27, 29, 30, 31, 33, 36 e 37 sono soppressi;

(2) l'articolo 35 è sostituito dal seguente:

_________________

^1 bis Regolamento (UE) 2017/... del Parlamento europeo e del Consiglio che istituisce l'Agenzia dell'Unione europea per la cooperazione giudiziaria penale (Eurojust) (GU L ...).

Emendamento 117

Proposta di regolamento

Articolo 71 duodecies (nuovo)

Testo della Commissione

Emendamento

Articolo 71 duodecies

Modifiche del regolamento Eurodac (UE) 2017/XX

Il regolamento (UE) 2017/... del Parlamento europeo e del Consiglio^1 bis è così modificato:

(1) gli articoli 29, 30, 31 e 39 sono soppressi;

(2) l'articolo 34 è sostituito dal seguente:

_________________

^1 bis Regolamento (UE) 2017/... del Parlamento europeo e del Consiglio che istituisce l'"Eurodac" per il confronto delle impronte digitali per l'efficace applicazione del [regolamento (UE) n. 604/2013 che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di paese terzo o da un apolide], per l'identificazione di cittadini di paesi terzi o apolidi il cui soggiorno è irregolare e per le richieste di confronto con i dati Eurodac presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto (GU L ...).

MOTIVAZIONE

i. Contesto della proposta

L'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea (TFUE), introdotto dal trattato di Lisbona, stabilisce il principio secondo il quale ogni persona ha diritto alla protezione dei dati personali che la riguardano. Inoltre al paragrafo 2 dello stesso articolo il trattato di Lisbona ha introdotto una base giuridica specifica per l'adozione di norme in materia di protezione dei dati personali. L'articolo 8 della Carta dei diritti fondamentali dell'Unione europea annovera la protezione dei dati personali tra i diritti fondamentali e l'articolo 7 stabilisce il diritto di ogni persona al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni.

Il diritto alla protezione dei dati personali si applica anche al trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell'Unione. Il regolamento (CE) n. 45/2001 – pietra angolare nell'impianto della vigente normativa dell'UE in materia di protezione dei dati personali – è stato adottato nel 2001 con due obiettivi: salvaguardare il diritto fondamentale alla protezione dei dati e garantire la libera circolazione dei dati personali in tutta l'Unione. Il regolamento è stato integrato dalla decisione n. 1247/2002/CE.

Il 27 aprile 2016 il Parlamento europeo e il Consiglio hanno adottato il regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) che sarà applicabile dal 25 maggio 2018. Detto regolamento, all'articolo 98, richiede che il regolamento (CE) n. 45/2001 sia adeguato ai principi e alle norme stabiliti nel regolamento generale sulla protezione dei dati al fine di fornire un quadro di protezione dei dati solido e coerente nell'Unione e consentire di applicare contemporaneamente entrambi gli strumenti. Inoltre, il 27 aprile 2016 il Parlamento europeo e il Consiglio hanno adottato la direttiva (UE) 2016/680 ("la direttiva") relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati. Questa direttiva fornisce un quadro globale per la protezione dei dati personali nell'ambito dell'applicazione della legge. L'articolo 62 della stessa prevede che la legislazione dell'Unione che disciplina il trattamento dei dati personali da parte delle autorità competenti debba essere adattata alla direttiva. Tuttavia, alcune agenzie dell'Unione che operano nel settore dell'applicazione della legge continuano a disporre di regimi indipendenti per la protezione dei dati personali.

L'allineamento, per quanto possibile, delle norme sulla protezione dei dati per le istituzioni, gli organi, gli uffici e le agenzie dell'Unione a quelle adottate per il settore pubblico degli Stati membri è in linea con l'approccio coerente in materia di protezione dei dati personali in tutta l'Unione. Quando le disposizioni della proposta si basano sullo stesso concetto su cui si basano le disposizioni del regolamento generale per la protezione dei dati, le disposizioni dei due regolamenti dovrebbero essere interpretate in modo omogeneo, in particolare in considerazione del fatto che il regime della proposta dovrebbe essere inteso come equivalente a quello del regolamento generale sulla protezione dei dati.

Il riesame del regolamento (CE) n. 45/2001 ("il regolamento") tiene conto anche dei risultati delle indagini, delle consultazioni con i portatori di interesse e dello studio di valutazione dell'applicazione del medesimo negli ultimi 15 anni.

II. Modifiche del relatore

Il relatore, in linea generale, ritiene che la revisione proposta costituisca un passo importante verso l'armonizzazione delle norme in materia di protezione dei dati e che fornisca una base solida su cui lavorare.

Tuttavia, il relatore si rammarica per il fatto che la Commissione europea non abbia optato per un vero strumento unico atto a coprire tutte le operazioni di trattamento dei dati di tutte le istituzioni, agenzie e organismi dell'Unione, perdendo così un'opportunità storica per creare una norma forte e uniforme per la protezione del diritto fondamentale alla protezione dei dati. Il relatore ritiene che i cittadini dell'Unione, meritino tale norma chiara e uniforme e pertanto ha proposto di chiarire l'ambito di applicazione del regolamento.

Al fine di garantire un quadro solido e coerente per la protezione dei dati in tutta l'Unione, è opportuno che il presente regolamento sia applicabile a tutti i trattamenti di dati personali eseguiti da qualsiasi istituzione, organo, ufficio o agenzia. Nel contempo, il relatore prende atto che il legislatore ha optato, il 27 aprile 2016, per un duplice approccio per quanto riguarda il trattamento dei dati per finalità di contrasto. Nella misura in cui il trattamento dei dati personali a fini di contrasto da parte delle agenzie dell'Unione è coerente con le norme stabilite dalla direttiva (UE) 2016/680, i regimi indipendenti di alcune agenzie dovrebbero continuare ad applicarsi, finché non verranno conformati al presente regolamento.

Il relatore ha altresì avviato un rigoroso allineamento di tale revisione del regolamento con il regolamento generale sulla protezione dei dati al fine di razionalizzare quanto più possibile i due testi, dando così espressione all'idea che l'Unione è tenuta a rispettare le stesse norme in materia di protezione dei dati degli Stati membri. Il relatore ha pertanto presentato una serie di emendamenti intesi a razionalizzare i due strumenti. Le divergenze tra il presente regolamento e il regolamento generale sulla protezione dei dati dovrebbe essere adeguatamente giustificate e ridotte al minimo.

Negli ultimi anni, a proposito della relazione tra il regolamento (CE) n. 45/2001 e il regolamento (CE) n. 1049/2001, la Corte di giustizia dell'Unione europea ("Corte di giustizia") ha dichiarato in diverse occasioni che occorre trovare un equilibrio tra questi due diritti fondamentali e ha implicitamente invitato il legislatore a chiarire meglio la relazione tra l'articolo 4 del regolamento (CE) n. 1049/2001 e l'articolo 8 (divenuto 9) del regolamento (CE) n. 45/2001. Il relatore ha adottato l'approccio di introdurre nel testo vari elementi delle recenti cause giudiziarie (Bavarian Lager, Dennekamp, ClientEarth) che sostanzialmente definiscono gli elementi attuali della giurisprudenza della Corte di giustizia e mirano a precisare alcuni aspetti che sono stati sollevati da parte della Corte di giustizia e dall'avvocato generale stesso in diverse sentenze.

Per quanto concerne l'esercizio dei diritti delle persone interessate, il regolamento generale sulla protezione dei dati prevede che le limitazioni all'esercizio di tali diritti debbano basarsi su atti giuridici. Pertanto, il relatore propone di sopprimere in questa sede la possibilità per le istituzioni, gli organismi, gli uffici e le agenzie dell'Unione di limitare l'esercizio dei diritti degli interessati tramite norme interne.

Il regolamento (CE) n. 45/2001 prevede che il responsabile della protezione dei dati delle istituzioni dell'Unione tenga un registro delle attività di trattamento. Il relatore ritiene che l'obbligo per le istituzioni, gli organismi, gli uffici e le agenzie dell'UE di tenere un registro centrale delle operazioni di trattamento costituisca un valore aggiunto. Gli interessati dovrebbero avere la possibilità di consultare tale registro attraverso il responsabile della protezione dei dati.

In base al regolamento generale sulla protezione dei dati, i titolari del trattamento hanno la possibilità di dimostrare la conformità al regolamento tramite l'adesione a meccanismi di certificazione o codici di condotta approvati. Giacché il relatore ritiene che i codici di condotta non siano appropriati per la pubblica amministrazione, propone di inserire le disposizioni necessarie affinché i titolari del trattamento a norma del presente regolamento possano dimostrare la loro conformità attraverso l'adesione a meccanismi di certificazione approvati.

Il relatore crede che il garante europeo della protezione dei dati ("GEPD") fornisca un importantissimo contributo ai fini del rispetto delle disposizioni del regolamento e ha dunque conservato la formulazione del regolamento (CE) n. 45/2001 al fine di consentire alla Commissione di consultare il GEPD nelle fasi preparatorie dell'adozione di una proposta, lasciando alla Commissione un margine di manovra sufficiente e rispettandone in tal modo il diritto d'iniziativa. Il relatore osserva che la supervisione indipendente delle norme di protezione dati è un requisito stabilito dai trattati. Di conseguenza, tutte le istituzioni e gli organismi, compresa la Corte di giustizia, dovrebbero essere soggetti alla supervisione indipendente del GEPD. Al fine di tutelare l'indipendenza del GEPD, il relatore propone una lieve modifica alla procedura di nomina.

La proposta della Commissione contiene disposizioni riguardanti la riservatezza delle comunicazioni. Il relatore ritiene che, in generale, la legislazione dell'Unione in questo settore dovrebbe essere applicabile anche alle istituzioni, agli organismi, agli uffici e alle agenzie dell'Unione. In questa sede dovrebbero essere inserite solamente norme supplementari volte a precisare e integrare il quadro generale. Tali norme dovrebbero far parte di una sezione separata del testo.

Infine, il relatore accoglie con favore l'inclusione della possibilità per il GEPD di imporre sanzioni alle istituzioni, agli organi e alle agenzie dell'Unione che non rispettano la disposizioni rigorose del regolamento, inviando così un segnale forte agli interessati e vincolando l'Unione a un obbligo morale e giuridico pari a quello delle amministrazioni degli Stati membri.

PARERE della commissione giuridica (5.10.2017)

destinato alla commissione per le libertà civili, la giustizia e gli affari interni

sulla proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell’Unione, nonché la libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE
(COM(2017)0008 – C8-0008/2017 – 2017/0002(COD))

Relatore per parere: Angel Dzhambazki

BREVE MOTIVAZIONE

Il principio secondo il quale ogni persona ha diritto alla protezione dei dati personali che la riguardano è stabilito dall'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea (TFUE). Una base giuridica specifica per l'adozione di norme in materia di protezione dei dati personali è introdotta nell'articolo 16, paragrafo 2, TFUE. Inoltre, l'articolo 8 della Carta dei diritti fondamentali dell'Unione europea annovera la protezione dei dati personali tra i diritti fondamentali.

Il 27 aprile 2016, il Parlamento europeo e il Consiglio hanno adottato il regolamento (UE) 2016/697 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Il regolamento generale sulla protezione dei dati sarà applicabile dal 25 maggio 2018. Il presente regolamento richiede che il regolamento (CE) n. 45/2001 sia adeguato ai principi e alle norme stabiliti nel regolamento (UE) 2016/679 al fine di fornire un quadro di protezione dei dati solido e coerente nell'Unione e consentire di applicare contemporaneamente entrambi gli strumenti.

Nella proposta, la Commissione ha fissato le modifiche necessarie per l'adeguamento del regolamento del 2001 al regolamento generale sulla protezione dei dati in modo equo ed equilibrato. Tuttavia, in un punto la proposta si discosta in modo immotivato dal regolamento generale sulla protezione dei dati, vale a dire in relazione all'età del consenso per i minori.

EMENDAMENTI

La commissione giuridica invita la commissione per le libertà civili, la giustizia e gli affari interni, competente per il merito, a prendere in considerazione i seguenti emendamenti:

Emendamento 1

Proposta di regolamento

Considerando 1

Testo della Commissione

Emendamento

(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea (“Carta”) e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea (“TFUE”) stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea (“Carta”) e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea (“TFUE”) stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Tale diritto è garantito inoltre dall'articolo 8 della Convenzione europea dei diritti dell'uomo.

Emendamento 2

Proposta di regolamento

Considerando 2

Testo della Commissione

Emendamento

(2) Il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio¹¹ conferisce alle persone fisiche diritti giuridicamente tutelati, precisa gli obblighi dei titolari del trattamento in seno alle istituzioni e agli organi dell'Unione e istituisce un'autorità di controllo indipendente, il garante europeo della protezione dei dati, incaricata di sorvegliare il trattamento dei dati personali effettuato dalle istituzioni e dagli organi dell'Unione. Tuttavia esso non si applica al trattamento dei dati personali nel corso di un'attività delle istituzioni e degli organi dell'Unione che esuli dall'ambito di applicazione del diritto dell'Unione.

(2) Il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio¹¹ conferisce alle persone fisiche diritti giuridicamente tutelati, precisa gli obblighi dei titolari del trattamento in seno alle istituzioni e agli organi dell'Unione e istituisce un'autorità di controllo indipendente, il garante europeo della protezione dei dati, incaricata di sorvegliare il trattamento dei dati personali effettuato dalle istituzioni e dagli organi dell'Unione. Inoltre, il regolamento (CE) n. 45/2001 persegue due obiettivi: salvaguardare il diritto fondamentale alla protezione dei dati e garantire la libera circolazione dei dati personali in tutta l'Unione. Tuttavia esso non si applica al trattamento dei dati personali nel corso di un'attività delle istituzioni e degli organi dell'Unione che esuli dall'ambito di applicazione del diritto dell'Unione.

_________________

_______________

¹¹ Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

Emendamento 3

Proposta di regolamento

Considerando 5

Testo della Commissione

Emendamento

_________________

^{1 bis}Sentenza della Corte di giustizia del 9 marzo 2010, Commissione/Germania, C-518/07, ECLI:EU:C:2010:125, punti 26 e 28;

Emendamento 4

Proposta di regolamento

Considerando 10

Testo della Commissione

Emendamento

(10) Laddove l'atto istitutivo di un'agenzia dell'Unione che svolge attività rientranti nell'ambito di applicazione del titolo V, capi 4 e 5, del trattato stabilisca un regime di protezione dei dati indipendente per quanto riguarda il trattamento dei dati personali operativi, tale regime non dovrebbe essere interessato dal presente regolamento. Tuttavia, in conformità all'articolo 62 della direttiva (UE) 2016/680, la Commissione, entro il 6 maggio 2019, dovrebbe riesaminare gli atti dell'Unione che disciplinano il trattamento da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica e formulare, ove opportuno, le proposte necessarie per modificarli in modo da garantire un approccio coerente alla protezione dei dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia.

(10) Laddove l'atto istitutivo di un'agenzia dell'Unione che svolge attività rientranti nell'ambito di applicazione del titolo V, capi 4 e 5, del trattato stabilisca un regime di protezione dei dati indipendente per quanto riguarda il trattamento dei dati personali operativi, tale regime non dovrebbe essere interessato dal presente regolamento, purché sia coerente con le disposizioni del regolamento (UE) 2016/679. Tuttavia, in conformità all'articolo 62 della direttiva (UE) 2016/680, la Commissione, entro il 6 maggio 2019, dovrebbe riesaminare gli atti dell'Unione che disciplinano il trattamento da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica e formulare, ove opportuno, le proposte necessarie per modificarli in modo da garantire un approccio coerente alla protezione dei dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia.

Motivazione

Qualsiasi regime di protezione dei dati deve essere coerente con il regolamento generale sulla protezione dei dati.

Emendamento 5

Proposta di regolamento

Considerando 14

Testo della Commissione

Emendamento

Emendamento 6

Proposta di regolamento

Considerando 18

Testo della Commissione

Emendamento

(18) Il diritto dell'Unione dovrebbe essere chiaro e preciso, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell'Unione europea e della Corte europea dei diritti dell'uomo.

Emendamento 7

Proposta di regolamento

Considerando 23

Testo della Commissione

Emendamento

(23) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l'origine razziale o etnica, essendo inteso che l'utilizzo dei termini «origine razziale» nel presente regolamento non implica l'accettazione da parte dell'Unione di teorie che tentano di dimostrare l'esistenza di razze umane distinte. Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l'identificazione univoca o l'autenticazione di una persona fisica. Oltre ai requisiti specifici per il trattamento dei dati sensibili, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l'altro se l'interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l'esercizio delle libertà fondamentali.

Emendamento 8

Proposta di regolamento

Considerando 23 bis (nuovo)

Testo della Commissione

Emendamento

(23 bis) Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate per finalità connesse alla salute soltanto qualora necessario per conseguire tali finalità a beneficio delle persone fisiche e dell'intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale. Pertanto il presente regolamento dovrebbe prevedere condizioni armonizzate per il trattamento di categorie particolari di dati personali relativi alla salute in relazione a esigenze specifiche, in particolare qualora il trattamento di tali dati sia effettuato da persone vincolate dal segreto professionale per talune finalità connesse alla salute. Il diritto dell'Unione dovrebbe prevedere misure specifiche e appropriate a protezione dei diritti fondamentali e dei dati personali delle persone fisiche.

Emendamento 9

Proposta di regolamento

Considerando 24

Testo della Commissione

Emendamento

(24) Il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell'interessato. Tale trattamento dovrebbe essere soggetto a misure proporzionate, appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche. In tale contesto, la nozione di «sanità pubblica» dovrebbe essere interpretata secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio¹⁵: tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all'assistenza sanitaria, la prestazione di assistenza sanitaria e l'accesso universale a essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità. Il trattamento dei dati relativi alla salute effettuato per motivi di interesse pubblico non dovrebbe condurre ad ulteriore trattamento per altre finalità.

_________________

Motivazione

I dati relativi alla salute sono particolarmente sensibili e il trattamento di tali dati sensibili necessita di specifiche limitazioni a quanto strettamente necessario. In particolare, tali dati non possono finire in possesso di terzi che li tratterebbero ulteriormente.

Emendamento 10

Proposta di regolamento

Considerando 37 – comma 1

Testo della Commissione

Emendamento

Emendamento 11

Proposta di regolamento

Considerando 37 – comma 2

Testo della Commissione

Emendamento

soppresso

Emendamento 12

Proposta di regolamento

Considerando 42

Testo della Commissione

Emendamento

Emendamento 13

Proposta di regolamento

Considerando 46

Testo della Commissione

Emendamento

(46) Il titolare del trattamento dovrebbe comunicare all'interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie. La comunicazione dovrebbe descrivere la natura della violazione dei dati personali e formulare raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi. Tali comunicazioni agli interessati dovrebbero essere effettuate non appena ragionevolmente possibile e in stretta collaborazione con il garante europeo della protezione dei dati e nel rispetto degli orientamenti impartiti da questo o da altre autorità competenti quali le autorità incaricate dell'applicazione della legge.

(46) Il titolare del trattamento dovrebbe comunicare all'interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie. La comunicazione dovrebbe essere riservata e dovrebbe descrivere la natura della violazione dei dati personali e formulare raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi. Tali comunicazioni agli interessati dovrebbero essere effettuate non appena ragionevolmente possibile e in stretta collaborazione con il garante europeo della protezione dei dati e nel rispetto degli orientamenti impartiti da questo o da altre autorità competenti quali le autorità incaricate dell'applicazione della legge.

Emendamento 14

Proposta di regolamento

Considerando 52

Testo della Commissione

Emendamento

(52) È opportuno che, quando i dati personali sono trasferiti da istituzioni e organi dell'Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di tutela delle persone fisiche assicurato nell'Unione dal presente regolamento sia garantito, anche nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall'organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo o presso un'altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali potrebbero essere effettuati soltanto nel pieno rispetto del presente regolamento e in conformità con il regolamento (UE) 2016/679 nonché con i diritti e le libertà fondamentali sanciti dalla Carta. Il trasferimento potrebbe aver luogo soltanto se, fatte salve le altre disposizioni del presente regolamento, il titolare del trattamento o il responsabile del trattamento rispetta le condizioni stabilite dalle disposizioni del presente regolamento in relazione al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali.

Emendamento 15

Proposta di regolamento

Considerando 54

Testo della Commissione

Emendamento

(54) In mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento dovrebbe provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell'interessato. Tali adeguate garanzie possono consistere nell'applicazione di clausole tipo di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate dal garante europeo della protezione dei dati o clausole contrattuali autorizzate dal garante europeo della protezione dei dati. Quando il responsabile del trattamento non è un'istituzione o un organo dell'Unione tali adeguate garanzie possono anche consistere in norme vincolanti d'impresa, codici di condotta e meccanismi di certificazione utilizzati per i trasferimenti internazionali a norma del regolamento (UE) 2016/679. Tali garanzie dovrebbero assicurare un rispetto dei requisiti in materia di protezione dei dati e dei diritti degli interessati adeguato ai trattamenti all'interno dell'Unione, compresa la disponibilità di diritti azionabili degli interessati e di mezzi di ricorso effettivi, fra cui il ricorso effettivo in sede amministrativa o giudiziale e la richiesta di risarcimento, nell'Unione o in un paese terzo. Esse dovrebbero riguardare, in particolare, la conformità rispetto ai principi generali in materia di trattamento dei dati personali e ai principi di protezione dei dati fin dalla progettazione e di protezione dei dati di default. I trasferimenti possono essere effettuati anche da istituzioni e organi dell'Unione ad autorità pubbliche o organismi pubblici di paesi terzi, o organizzazioni internazionali con analoghi compiti o funzioni, anche sulla base di disposizioni da inserire in accordi amministrativi, quali un memorandum d'intesa, che prevedano per gli interessati diritti effettivi e azionabili. L'autorizzazione del garante europeo della protezione dei dati dovrebbe essere ottenuta quando le garanzie sono offerte nell'ambito di accordi amministrativi giuridicamente non vincolanti.

soppresso

Emendamento 16

Proposta di regolamento

Articolo 1 – paragrafo 1

Testo della Commissione

Emendamento

1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell'Unione, nonché norme relative alla libera circolazione dei dati personali tra tali istituzioni, organi, uffici e agenzie o verso destinatari stabiliti nell'Unione e soggetti al regolamento (UE) 2016/679¹⁸ o alle disposizioni della legislazione nazionale adottata a norma della direttiva (UE) 2016/68019.

_________________

¹⁸ Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (Testo rilevante ai fini del SEE) (GU L 119 del 4.5.2016, pag. 1).

¹⁹ Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).

Emendamento 17

Proposta di regolamento

Articolo 1 – paragrafo 2

Testo della Commissione

Emendamento

2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche sanciti dalla Carta, in particolare il diritto alla protezione dei dati personali.

Emendamento 18

Proposta di regolamento

Articolo 2 – paragrafo 2 bis (nuovo)

Testo della Commissione

Emendamento

2 bis. Il presente regolamento si applica altresì alle agenzie dell'Unione che svolgono attività rientranti nel campo di applicazione della parte terza, titolo V, capi 4 e 5 TFUE, inclusi i casi in cui gli atti istitutivi di tali agenzie dell'Unione stabiliscano un regime di protezione dei dati indipendente per quanto riguarda il trattamento dei dati personali operativi. Le disposizioni del presente regolamento prevalgono sulle disposizioni contrarie degli atti istitutivi di tali agenzie dell'Unione.

Emendamento 19

Proposta di regolamento

Articolo 4 – paragrafo 1 – lettera d

Testo della Commissione

Emendamento

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati personali inesatti o incompleti rispetto alle finalità per le quali sono trattati ("esattezza");

Emendamento 20

Proposta di regolamento

Articolo 8 – titolo

Testo della Commissione

Emendamento

Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione

(Non concerne la versione italiana)

Motivazione

(Non concerne la versione italiana)

Emendamento 21

Proposta di regolamento

Articolo 8 – paragrafo 1


Testo della Commissione	Emendamento
1. Qualora si applichi l'articolo 5, paragrafo 1, lettera d), per quanto riguarda l'offerta diretta di servizi della società dell'informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 13 anni. Ove il minore abbia un'età inferiore ai 13 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.	1. Qualora si applichi l'articolo 5, paragrafo 1, lettera d), per quanto riguarda l'offerta diretta di servizi della società dell'informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un'età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Emendamento 22

Proposta di regolamento

Articolo 9 – titolo

Testo della Commissione

Emendamento

Trasmissione di dati personali a destinatari, diversi dalle istituzioni e dagli organi dell'Unione, stabiliti nell'Unione e soggetti al regolamento (UE) 2016/679 o alla direttiva (UE) 2016/680.

Trasmissione di dati personali a destinatari, diversi dalle istituzioni e dagli organi dell'Unione, stabiliti nell'Unione

Emendamento 23

Proposta di regolamento

Articolo 9 – paragrafo 1 – lettera b

Testo della Commissione

Emendamento

b) la trasmissione dei dati è strettamente necessaria, tenuto conto degli obiettivi del destinatario, e non sussiste alcun motivo per presumere che i diritti, le libertà e i legittimi interessi dell'interessato possano subire pregiudizio a causa del trasferimento dei dati richiesti o dell'ulteriore uso ragionevolmente prevedibile di tali dati personali da parte del destinatario.

Emendamento 24

Proposta di regolamento

Articolo 11

Testo della Commissione

Emendamento

Il trattamento di dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 5, paragrafo 1, può avvenire solo se autorizzato dal diritto dell'Unione che prevede garanzie appropriate per i diritti e le libertà degli interessati.

Emendamento 25

Proposta di regolamento

Articolo 16 – paragrafo 5 – lettera b

Testo della Commissione

Emendamento

b) comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e il legittimo interesse dell'interessato, anche rendendo pubbliche le informazioni;

Emendamento 26

Proposta di regolamento

Articolo 25 – paragrafo 1 – parte introduttiva

Testo della Commissione

Emendamento

1. Gli atti giuridici adottati sulla base dei trattati possono limitare l'applicazione degli articoli da 14 a 22 e degli articoli 34 e 38, nonché dell'articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22, qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:

Motivazione

L'emendamento intende allineare le disposizioni del presente regolamento alle disposizioni del regolamento generale per la protezione dei dati, in seguito al parere del GEPD.

Emendamento 27

Proposta di regolamento

Articolo 25 – paragrafo 1 – lettera d


Testo della Commissione	Emendamento
d) la sicurezza interna delle istituzioni e degli organi dell'Unione, inclusa quella delle loro reti di comunicazione elettronica;	d) la sicurezza interna delle istituzioni e degli organi dell'Unione, inclusa quella delle loro reti informatiche e di comunicazione elettronica;

Emendamento 28

Proposta di regolamento

Articolo 25 – paragrafo 1 bis (nuovo)

Testo della Commissione

Emendamento

1 bis. In particolare, qualsiasi atto giuridico di cui al paragrafo 1 contiene disposizioni specifiche riguardanti almeno, se del caso:

a) le finalità del trattamento o delle categorie di trattamento;

b) le categorie di dati personali;

c) la portata della limitazione introdotta;

d) le garanzie per prevenire abusi o l'accesso o il trasferimento illeciti;

e) l'indicazione precisa del titolare del trattamento o delle categorie di titolari;

f) i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell'ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento;

g) i rischi per i diritti e le libertà degli interessati; e

h) il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa.

Emendamento 29

Proposta di regolamento

Articolo 25 – paragrafo 2

Testo della Commissione

Emendamento

soppresso

Emendamento 30

Proposta di regolamento

Articolo 25 – paragrafo 3

Testo della Commissione

Emendamento

Emendamento 31

Proposta di regolamento

Articolo 25 – paragrafo 4

Testo della Commissione

Emendamento

Emendamento 32

Proposta di regolamento

Articolo 25 – paragrafo 5

Testo della Commissione

Emendamento

5. Le norme interne di cui ai paragrafi 1, 3 e 4, sono sufficientemente chiare, precise e oggetto di una pubblicazione adeguata.

soppresso

Emendamento 33

Proposta di regolamento

Articolo 25 – paragrafo 6

Testo della Commissione

Emendamento

Emendamento 34

Proposta di regolamento

Articolo 25 – paragrafo 7

Testo della Commissione

Emendamento

Emendamento 35

Proposta di regolamento

Articolo 25 – paragrafo 8

Testo della Commissione

Emendamento

Emendamento 36

Proposta di regolamento

Articolo 31 – paragrafo 5

Testo della Commissione

Emendamento

5. Le istituzioni e gli organi dell'Unione conservano i loro registri delle attività di trattamento in un registro centrale. Per motivi di trasparenza, essi dovrebbero inoltre rendere pubblico tale registro in modo che gli interessati lo possano consultare senza che tale consultazione pregiudichi i diritti di altre parti interessate.

Emendamento 37

Proposta di regolamento

Articolo 31 – paragrafo 5 bis (nuovo)

Testo della Commissione

Emendamento

5 bis. Gli interessati hanno la possibilità di consultare il registro centrale di cui al paragrafo 5 attraverso il responsabile della protezione dei dati del titolare del trattamento.

Emendamento 38

Proposta di regolamento

Articolo 34

Testo della Commissione

Emendamento

Le istituzioni e gli organi dell'Unione garantiscono la riservatezza delle comunicazioni elettroniche, in particolare proteggendo le proprie reti di comunicazione elettronica.

Le istituzioni e gli organi dell'Unione garantiscono la riservatezza delle comunicazioni elettroniche, in ottemperanza al regolamento (UE) 2017/XXXX.

Motivazione

La proposta legislativa specifica relativa alla riservatezza della comunicazione elettronica sarà il regolamento basato sulla proposta della Commissione COM(2017)0010 e dovrebbe pertanto essere citata.

Emendamento 39

Proposta di regolamento

Articolo 36

Testo della Commissione

Emendamento

Articolo 36

soppresso

Elenchi di utenti

1. I dati personali contenuti in elenchi di utenti e l'accesso a detti elenchi sono limitati allo stretto necessario ai fini specifici degli elenchi.

Emendamento 40

Proposta di regolamento

Articolo 42 – paragrafo 2

Testo della Commissione

Emendamento

2. Se un atto di cui al paragrafo 1 è di particolare rilevanza per la tutela dei diritti e delle libertà fondamentali delle persone in relazione al trattamento di dati personali, la Commissione può consultare anche il comitato europeo per la protezione dei dati. In tali casi, il garante europeo per la protezione dei dati e il comitato europeo per la protezione dei dati coordinano le proprie attività al fine di emettere un parere congiunto.

2. Se un atto di cui al paragrafo 1 è di particolare rilevanza per la tutela dei diritti e delle libertà fondamentali delle persone in relazione al trattamento di dati personali, la Commissione consulta anche il comitato europeo per la protezione dei dati. In tali casi, il garante europeo per la protezione dei dati e il comitato europeo per la protezione dei dati coordinano le proprie attività al fine di emettere un parere congiunto.

Emendamento 41

Proposta di regolamento

Articolo 44 – paragrafo 4

Testo della Commissione

Emendamento

4. Il responsabile della protezione dei dati può essere un membro del personale dell'istituzione o dell'organo dell'Unione oppure assolvere i suoi compiti in base a un contratto di servizi.

4. Il responsabile della protezione dei dati è un membro del personale dell'istituzione, dell'organo, dell'ufficio o dell'agenzia dell'Unione.

Motivazione

L'esternalizzazione di un responsabile della protezione dei dati non risulta adeguata per un'istituzione dell'Unione.

Emendamento 42

Proposta di regolamento

Articolo 46 – paragrafo 1 – lettera b bis (nuova)

Testo della Commissione

Emendamento

b bis) garantire che le operazioni di trattamento non ledano i diritti e le libertà degli interessati;

Emendamento 43

Proposta di regolamento

Articolo 48 – paragrafo 1

Testo della Commissione

Emendamento

1. Il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale è ammesso se la Commissione ha adottato un atto di esecuzione, ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679, che sancisca un livello di protezione adeguato nel paese terzo, in un territorio o in uno o più settori specifici all'interno del paese terzo o all'interno dell'organizzazione internazionale, e che i dati personali sono trasferiti esclusivamente per consentire lo svolgimento dei compiti che rientrano nelle competenze del titolare del trattamento. L'atto di esecuzione prevede un meccanismo di riesame periodico, almeno ogni quattro anni, che tenga conto di tutti gli sviluppi pertinenti nel paese terzo o nell'organizzazione internazionale. L'atto di esecuzione indica inoltre il proprio ambito di applicazione geografico e settoriale e identifica l'autorità di controllo. Si applica il capo V del regolamento (UE) 2016/679.

Motivazione

Le norme relative al trasferimento di dati personali a paesi terzi o alle istituzioni di paesi terzi devono essere coerenti con le norme pertinenti contenute nel regolamento generale sulla protezione dei dati, al fine di non creare lacune o incoerenze giuridiche. Segnatamente, occorre sottolineare il meccanismo di riesame.

Emendamento 44

Proposta di regolamento

Articolo 54 – paragrafo 1

Testo della Commissione

Emendamento

1. Il Parlamento europeo e il Consiglio nominano di comune accordo il garante europeo della protezione dei dati, per un periodo di cinque anni, in base a un elenco predisposto congiuntamente dal Parlamento europeo, dal Consiglio e dalla Commissione dopo un invito pubblico a presentare candidature. Tale invito consente a tutte le parti interessate nell'insieme dell'Unione di presentare la propria candidatura. L'elenco di candidati è pubblico e consiste di almeno cinque candidati. La commissione competente del Parlamento europeo può decidere di organizzare un'audizione dei candidati per poter esprimere una preferenza.

Emendamento 45

Proposta di regolamento

Articolo 54 – paragrafo 2

Testo della Commissione

Emendamento

Emendamento 46

Proposta di regolamento

Articolo 63 – paragrafo 1 bis (nuovo)

Testo della Commissione

Emendamento

1 bis. Nei casi in cui l'interessato sia un minore, gli Stati membri prevedono garanzie specifiche, in particolare per quanto riguarda l'assistenza legale.

Motivazione

I minori possono essere più vulnerabili degli adulti e dovrebbero essere previste clausole di garanzia specifiche negli Stati membri, segnatamente per quanto riguarda l'assistenza legale, al fine di garantire i diritti dei minori.

Emendamento 47

Proposta di regolamento

Capo IX bis (nuovo)

Testo della Commissione

Emendamento

CAPO IX bis

Articolo 70 bis

Clausola di revisione

1. Al più tardi entro il 1° giugno 2021, e successivamente ogni cinque anni, la Commissione presenta al Parlamento europeo una relazione sull'applicazione del presente regolamento, corredata, se necessario, di opportune proposte legislative.

2. La valutazione ex-post di cui al paragrafo 1 dedica particolare attenzione all'adeguatezza dell'ambito di applicazione del presente regolamento, alla coerenza con altri atti legislativi in materia di protezione dei dati e valuta, in particolare, l'attuazione del capo V del presente regolamento.

3. Al più tardi entro il 1° giugno 2021, e successivamente ogni cinque anni, la Commissione presenta al Parlamento europeo una relazione sull'applicazione del capo VIII del presente regolamento e sulle penali e sanzioni applicate.

Motivazione

Alla luce della volontà di "legiferare meglio" e in particolare dell'uso efficace delle valutazioni ex-post al fine di comprendere l'intero ciclo legislativo, riveste particolare interesse seguire il recepimento, l'attuazione e l'applicazione del diritto dell'Unione e, più in generale, controllare l'impatto, il funzionamento e l'efficacia di tale diritto. Una clausola di revisione esaustiva, che richieda una valutazione adeguata dell'applicazione del regolamento, del suo ambito di applicazione e della deroga di poteri prevista e che preveda obblighi di relazione adeguati assolve a questo scopo.

Emendamento 48

Proposta di regolamento

Articolo 72 bis (nuovo)

Testo della Commissione

Emendamento

Articolo 72 bis

Riesame degli atti giuridici dell'Unione

Entro il 25 maggio 2021, la Commissione riesamina gli altri atti giuridici adottati a norma dei trattati che disciplinano il trattamento dei dati personali, in particolare da parte delle agenzie istituite conformemente alla parte terza, titolo V, capi 4 e 5 TFUE, al fine di valutare la necessità di allinearli al presente regolamento e avanzare, ove opportuno, le proposte necessarie per modificarli in modo da garantire un approccio coerente alla protezione dei dati personali nell'ambito del presente regolamento.

PROCEDURA DELLA COMMISSIONE COMPETENTE PER PARERE

Titolo	Tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organismi, degli uffici e delle agenzie dell’Unione nonché libera circolazione di tali dati
Riferimenti	COM(2017)0008 – C8-0008/2017 – 2017/0002(COD)
Commissione competente per il merito Annuncio in Aula	LIBE 3.4.2017
Parere espresso da Annuncio in Aula	JURI 3.4.2017
Relatore per parere Nomina	Angel Dzhambazki 28.2.2017
Esame in commissione	13.7.2017	7.9.2017
Approvazione	2.10.2017
Esito della votazione finale	+: –: 0:	17 0 4
Membri titolari presenti al momento della votazione finale	Max Andersson, Joëlle Bergeron, Marie-Christine Boutonnet, Jean-Marie Cavada, Mary Honeyball, Sylvia-Yvonne Kaufmann, Gilles Lebreton, Jiří Maštálka, Emil Radev, Julia Reda, Evelyn Regner, Pavel Svoboda, József Szájer, Axel Voss, Francis Zammit Dimech, Tadeusz Zwiefka
Supplenti presenti al momento della votazione finale	Isabella Adinolfi, Jens Rohde, Virginie Rozière, Tiemo Wölken
Supplenti (art. 200, par. 2) presenti al momento della votazione finale	Arne Lietz

VOTAZIONE FINALE PER APPELLO NOMINALEIN SEDE DI COMMISSIONE COMPETENTE PER PARERE

ALDE

EFDD

PPE

S&D

VERTS/ALE

Jean-Marie Cavada, Jens Rohde

Joëlle Bergeron

Emil Radev, Pavel Svoboda, József Szájer, Axel Voss, Francis Zammit Dimech, Tadeusz Zwiefka

Mary Honeyball, Sylvia-Yvonne Kaufmann, Arne Lietz, Evelyn Regner, Virginie Rozière, Tiemo Wölken

Max Andersson, Julia Reda

0	-

EFDD

ENF

GUE/NGL

Isabella Adinolfi

Marie-Christine Boutonnet, Gilles Lebreton

Jiri Mastálka

Significato dei simboli utilizzati:

+ : favorevoli

- : contrari

0 : astenuti

PROCEDURA DELLA COMMISSIONE COMPETENTE PER IL MERITO

Titolo	Tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell’Unione nonché libera circolazione di tali dati
Riferimenti	COM(2017)0008 – C8-0008/2017 – 2017/0002(COD)
Presentazione della proposta al PE	12.1.2017
Commissione competente per il merito Annuncio in Aula	LIBE 3.4.2017
Commissioni competenti per parere Annuncio in Aula	BUDG 3.4.2017	JURI 3.4.2017
Pareri non espressi Decisione	BUDG 26.1.2017
Relatori Nomina	Cornelia Ernst 9.3.2017
Esame in commissione	30.3.2017	21.6.2017	28.9.2017	12.10.2017
Approvazione	12.10.2017
Esito della votazione finale	+: –: 0:	45 7 6
Membri titolari presenti al momento della votazione finale	Asim Ahmedov Ademov, Jan Philipp Albrecht, Gerard Batten, Heinz K. Becker, Malin Björk, Michał Boni, Caterina Chinnici, Rachida Dati, Frank Engel, Cornelia Ernst, Laura Ferrara, Raymond Finch, Lorenzo Fontana, Kinga Gál, Ana Gomes, Nathalie Griesbeck, Sylvie Guillaume, Sophia in ‘t Veld, Dietmar Köster, Barbara Kudrycka, Cécile Kashetu Kyenge, Marju Lauristin, Juan Fernando López Aguilar, Monica Macovei, Roberta Metsola, Louis Michel, Claude Moraes, József Nagy, Soraya Post, Judith Sargentini, Birgit Sippel, Branislav Škripek, Csaba Sógor, Traian Ungureanu, Bodil Valero, Marie-Christine Vergiat, Udo Voigt, Kristina Winberg, Tomáš Zdechovský, Auke Zijlstra
Supplenti presenti al momento della votazione finale	Carlos Coelho, Ignazio Corrao, Gérard Deprez, Anna Hedh, Marek Jurek, Sylvia-Yvonne Kaufmann, Ska Keller, Andrejs Mamikins, Barbara Spinelli, Anders Primdahl Vistisen, Axel Voss
Supplenti (art. 200, par. 2) presenti al momento della votazione finale	Beatriz Becerra Basterrechea, Czesław Hoc, Christelle Lechevalier, Olle Ludvigsson, Maria Noichl, Stanisław Ożóg, José Ignacio Salafranca Sánchez-Neyra
Deposito	23.10.2017

VOTAZIONE FINALE PER APPELLO NOMINALEIN SEDE DI COMMISSIONE COMPETENTE PER IL MERITO

45	+
ALDE	Beatriz Becerra Basterrechea, Gérard Deprez, Nathalie Griesbeck, Sophia in 't Veld, Louis Michel
EFDD	Ignazio Corrao, Laura Ferrara
GUE/NGL	Malin Björk, Cornelia Ernst, Barbara Spinelli, Marie-Christine Vergiat
PPE	Asim Ahmedov Ademov, Heinz K. Becker, Michał Boni, Carlos Coelho, Rachida Dati, Frank Engel, Kinga Gál, Barbara Kudrycka, Roberta Metsola, József Nagy, José Ignacio Salafranca Sánchez-Neyra, Csaba Sógor, Traian Ungureanu, Axel Voss, Tomáš Zdechovský
S&D	Caterina Chinnici, Ana Gomes, Sylvie Guillaume, Anna Hedh, Sylvia-Yvonne Kaufmann, Cécile Kashetu Kyenge, Dietmar Köster, Marju Lauristin, Olle Ludvigsson, Juan Fernando López Aguilar, Andrejs Mamikins, Claude Moraes, Maria Noichl, Soraya Post, Birgit Sippel
VERTS/ALE	Jan Philipp Albrecht, Ska Keller, Judith Sargentini, Bodil Valero

7	-
ECR	Czesław Hoc, Marek Jurek, Monica Macovei, Stanisław Ożóg, Anders Primdahl Vistisen, Branislav Škripek
ENF	Auke Zijlstra

6	0
EFDD	Gerard Batten, Raymond Finch, Kristina Winberg
ENF	Lorenzo Fontana, Christelle Lechevalier
NI	Udo Voigt

Significato dei simboli utilizzati:

+ : favorevoli

- : contrari

0 : astenuti

Note legali - Informativa sulla privacy