Testo della Commissione

Emendamento

(1)  La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea ("Carta") e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea ("TFUE") stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

(1)  La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea ("Carta") e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea ("TFUE") stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Questo diritto è garantito inoltre dall'articolo 8 della Convenzione europea dei diritti dell'uomo.

Testo della Commissione

Emendamento

(5)  È nell'interesse di un approccio coerente alla protezione dei dati in tutta l'Unione e alla libera circolazione dei dati personali all'interno dell'Unione allineare per quanto possibile le norme sulla protezione dei dati per le istituzioni e gli organi dell'Unione a quelle adottate per il settore pubblico degli Stati membri. Quando le disposizioni del presente regolamento si basano sullo stesso concetto su cui si basano le disposizioni del regolamento (UE) 2016/679, le disposizioni dei due regolamenti dovrebbero essere interpretate in modo omogeneo, in particolare in considerazione del fatto che il regime del presente regolamento dovrebbe essere inteso come equivalente a quello del regolamento (UE) 2016/679.

(5)  È nell'interesse di un approccio coerente alla protezione dei dati in tutta l'Unione e alla libera circolazione dei dati personali all'interno dell'Unione allineare le norme sulla protezione dei dati per le istituzioni, gli organi, gli uffici e le agenzie dell'Unione a quelle adottate per il settore pubblico degli Stati membri. Quando le disposizioni del presente regolamento si basano sullo stesso concetto su cui si basano le disposizioni del regolamento (UE) 2016/679, le disposizioni dei due regolamenti dovrebbero, conformemente alla giurisprudenza della Corte di giustizia dell'Unione europea1 bis, essere interpretate in modo omogeneo, in particolare in considerazione del fatto che il regime del presente regolamento dovrebbe essere inteso come equivalente a quello del regolamento (UE) 2016/679.

_________________

1 bis Sentenza della Corte di giustizia del 9 marzo 2010, Commissione/Germania, C-518/07, ECLI:EU:C:2010:125, punti 26 e 28.

Testo della Commissione

Emendamento

(7 bis)  Il quadro giuridico per la protezione dei dati applicabile al trattamento di dati effettuato nel corso delle attività delle istituzioni e degli organi dell'Unione nei settori della libertà, sicurezza e giustizia e della politica estera e di sicurezza comune continua a essere frammentato ed è fonte di incertezza giuridica. Il presente regolamento dovrebbe pertanto stabilire norme armonizzate per la protezione e la libera circolazione dei dati personali trattati dalle istituzioni e dagli organi dell'Unione nell'esercizio di attività che rientrano nel campo di applicazione della parte terza, titolo V, capi 4 e 5, TFUE e del titolo V, capo 2, TUE.

Testo della Commissione

Emendamento

(8)  Nella dichiarazione n. 21, relativa alla protezione dei dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, allegata all'atto finale della conferenza intergovernativa che ha adottato il trattato di Lisbona, la conferenza riconosce che potrebbero rivelarsi necessarie, in considerazione della specificità dei settori in questione, norme specifiche sulla protezione dei dati personali e sulla libera circolazione di dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, in base all'articolo 16 del TFUE. Il presente regolamento dovrebbe pertanto applicarsi alle agenzie dell'Unione che svolgono attività nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia soltanto nella misura in cui il diritto dell'Unione applicabile a tali agenzie non preveda norme specifiche sul trattamento dei dati personali.

(8)  Nella dichiarazione n. 21, relativa alla protezione dei dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, allegata all'atto finale della conferenza intergovernativa che ha adottato il trattato di Lisbona, la conferenza riconosce che potrebbero rivelarsi necessarie, in considerazione della specificità dei settori in questione, norme specifiche sulla protezione dei dati personali e sulla libera circolazione di dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, in base all'articolo 16 del TFUE. Inoltre, in considerazione della specificità della politica estera e di sicurezza comune e delle sue norme specifiche in materia di protezione dei dati personali, potrebbe rivelarsi necessario assicurare la libera circolazione dei dati personali anche in tale ambito. È pertanto opportuno regolamentare il trattamento dei dati personali operativi da parte delle agenzie dell'Unione istituite sulla base della parte terza, titolo V, capi 4 e 5, TFUE e delle missioni di cui all'articolo 42, paragrafo 1, e agli articoli 43 e 43 TUE, mediante la definizione di norme specifiche che derogano da una serie di disposizioni generali del presente regolamento.

Testo della Commissione

Emendamento

(14)  Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.

(14)  Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso. Tuttavia, l'interessato dovrebbe avere il diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso espresso prima della revoca.

Testo della Commissione

Emendamento

(15)  Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l'informazione degli interessati sull'identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che le riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l'obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne un'adeguata sicurezza e riservatezza, anche per impedire l'accesso o l'utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento.

(15)  Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto ed essere effettuato con finalità chiare e ben definite Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l'informazione degli interessati sull'identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che le riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l'obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne un'adeguata sicurezza e riservatezza, anche per impedire l'accesso, la comunicazione durante la trasmissione o l'utilizzo non autorizzati dei dati personali e delle attrezzature impiegate per il trattamento.

Testo della Commissione

Emendamento

(18)  Il diritto dell'Unione, comprese le norme interne di cui al presente regolamento, dovrebbe essere chiaro e preciso, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell'Unione europea e della Corte europea dei diritti dell'uomo.

(18)  Il diritto dell'Unione di cui al presente regolamento dovrebbe essere chiaro e preciso, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità dei requisiti previsti dalla Carta e dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali.

Testo della Commissione

Emendamento

(20)  Per i trattamenti basati sul consenso dell'interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l'interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un'altra questione dovrebbero esistere garanzie che assicurino che l'interessato sia consapevole del fatto di esprimere un consenso e della misura in cui ciò avviene. In conformità della direttiva 93/13/CEE del Consiglio14 è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive. Ai fini di un consenso informato, l'interessato dovrebbe essere posto a conoscenza almeno dell'identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non dovrebbe essere considerato liberamente espresso se l'interessato non è in grado di operare una scelta autenticamente libera o è nell'impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.

(20)  Per i trattamenti basati sul consenso dell'interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l'interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un'altra questione dovrebbero esistere garanzie che assicurino che l'interessato sia consapevole del fatto di esprimere un consenso e della misura in cui ciò avviene. In conformità della direttiva 93/13/CEE del Consiglio14 è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive. Ai fini di un consenso informato, l'interessato dovrebbe essere posto a conoscenza almeno dell'identità del titolare del trattamento, delle finalità del trattamento cui sono destinati i dati personali e delle categorie di destinatari dei dati nonché essere informato del diritto di accesso ai dati e di intervento sugli stessi. Il consenso non dovrebbe essere considerato liberamente espresso se l'interessato non è in grado di operare una scelta autenticamente libera o è nell'impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.

_________________

_________________

14 Direttiva 93/13/CEE del Consiglio, del 5 aprile 1993, concernente le clausole abusive nei contratti stipulati con i consumatori (GU L 95 del 21.4.1993, pag. 29).

14 Direttiva 93/13/CEE del Consiglio, del 5 aprile 1993, concernente le clausole abusive nei contratti stipulati con i consumatori (GU L 95 del 21.4.1993, pag. 29).

Testo della Commissione

Emendamento

(22)  I destinatari stabiliti nell'Unione e soggetti al regolamento (UE) 2016/679 e alla direttiva (UE) 2016/680 che desiderano che le istituzioni e gli organi dell'Unione trasmettano loro dati personali dovrebbero dimostrare che la trasmissione è necessaria per conseguire il loro obiettivo, è proporzionata e si limita a quanto necessario per il conseguimento di quell'obiettivo. Nel rispetto del principio della trasparenza, le istituzioni e gli organi dell'Unione dovrebbero dimostrare tale necessità quando danno origine alla trasmissione.

(22)  I destinatari stabiliti nell'Unione e soggetti al regolamento (UE) 2016/679 e alla direttiva (UE) 2016/680 che desiderano che le istituzioni e gli organi dell'Unione trasmettano loro dati personali dovrebbero fornire al titolare del trattamento una richiesta di trasmissione motivata, che il titolare del trattamento dovrebbe utilizzare come base per valutare se la trasmissione è necessaria per conseguire il loro obiettivo, è proporzionata e si limita a quanto necessario per il conseguimento di quell'obiettivo. Nel rispetto del principio della trasparenza, le istituzioni e gli organi dell'Unione dovrebbero dimostrare tale necessità quando danno origine alla trasmissione.

Testo della Commissione

Emendamento

(23)  Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l'origine razziale o etnica, essendo inteso che l'utilizzo dei termini «origine razziale» nel presente regolamento non implica l'accettazione da parte dell'Unione di teorie che tentano di dimostrare l'esistenza di razze umane distinte. Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l'identificazione univoca o l'autenticazione di una persona fisica. Oltre ai requisiti specifici per il trattamento dei dati sensibili, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l'altro se l'interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l'esercizio delle libertà fondamentali.

(23)  Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l'origine razziale o etnica, essendo inteso che l'utilizzo dei termini «origine razziale» nel presente regolamento non implica l'accettazione da parte dell'Unione di teorie che tentano di dimostrare l'esistenza di razze umane distinte. Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l'identificazione univoca o l'autenticazione di una persona fisica. Oltre ai requisiti specifici per il trattamento dei dati sensibili, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l'altro se l'interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l'esercizio delle libertà fondamentali.

Testo della Commissione

Emendamento

(23 bis)  Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell'intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale. Pertanto il presente regolamento dovrebbe prevedere condizioni armonizzate per il trattamento di categorie particolari di dati personali relativi alla salute in relazione a esigenze specifiche, in particolare qualora il trattamento di tali dati sia svolto da persone vincolate dal segreto professionale per talune finalità connesse alla salute. Il diritto dell'Unione dovrebbe prevedere misure specifiche e appropriate a protezione dei diritti fondamentali e dei dati personali delle persone fisiche.

Testo della Commissione

Emendamento

(24)  Il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell'interessato. Tale trattamento dovrebbe essere soggetto a misure appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche. In tale contesto, la nozione di «sanità pubblica» dovrebbe essere interpretata secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio15: tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all'assistenza sanitaria, la prestazione di assistenza sanitaria e l'accesso universale a essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità. Il trattamento dei dati relativi alla salute effettuato per motivi di interesse pubblico non dovrebbe comportare il trattamento dei dati personali per altre finalità da parte di terzi.

(24)  Il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell'interessato. Tale trattamento dovrebbe essere soggetto a misure appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche. In tale contesto, la nozione di «sanità pubblica» dovrebbe essere interpretata secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio15: tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all'assistenza sanitaria, la prestazione di assistenza sanitaria e l'accesso universale a essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità. Il trattamento dei dati relativi alla salute effettuato per motivi di interesse pubblico non dovrebbe comportare il trattamento dei dati personali per altre finalità.

__________________

__________________

15 Regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008, relativo alle statistiche comunitarie in materia di sanità pubblica e di salute e sicurezza sul luogo di lavoro (GU L 354 del 31.12.2008, pag. 70).

15 Regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008, relativo alle statistiche comunitarie in materia di sanità pubblica e di salute e sicurezza sul luogo di lavoro (GU L 354 del 31.12.2008, pag. 70).

Testo della Commissione

Emendamento

Gli atti giuridici adottati sulla base dei trattati o le norme interne delle istituzioni e degli organi dell'Unione possono imporre limitazioni a specifici principi e ai diritti di informazione, accesso e rettifica o cancellazione dei dati personali, al diritto alla portabilità dei dati, alla riservatezza delle comunicazioni elettroniche nonché alla comunicazione di una violazione di dati personali all'interessato e ad alcuni obblighi connessi in capo ai titolari del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica, delle attività di prevenzione, indagine e perseguimento di reati o dell'esecuzione di sanzioni penali, tra cui la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, ivi comprese la tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, la sicurezza interna delle istituzioni e degli organi dell'Unione, altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, in particolare un interesse economico o finanziario rilevante dell'Unione o di uno Stato membro, la tenuta di registri pubblici per ragioni di interesse pubblico generale o la tutela dell'interessato o dei diritti e delle libertà altrui, compresi la protezione sociale, la sanità pubblica e gli scopi umanitari.

Gli atti giuridici adottati sulla base dei trattati possono imporre limitazioni a specifici principi e ai diritti di informazione, accesso e rettifica o cancellazione dei dati personali, al diritto alla portabilità dei dati, alla riservatezza delle comunicazioni elettroniche nonché alla comunicazione di una violazione di dati personali all'interessato e ad alcuni obblighi connessi in capo ai titolari del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica, delle attività di prevenzione, indagine e perseguimento di reati o dell'esecuzione di sanzioni penali, tra cui la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, ivi comprese la tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, la sicurezza interna delle istituzioni e degli organi dell'Unione, altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, in particolare un interesse economico o finanziario rilevante dell'Unione o di uno Stato membro, la tenuta di registri pubblici per ragioni di interesse pubblico generale o la tutela dell'interessato o dei diritti e delle libertà altrui, compresi la protezione sociale, la sanità pubblica e gli scopi umanitari.

Testo della Commissione

Emendamento

Qualora gli atti giuridici adottati sulla base dei trattati o le norme interne non prevedano una limitazione, le istituzioni e gli organi dell'Unione possono, in casi specifici, imporre una limitazione ad hoc concernente specifici principi e i diritti dell'interessato se tale limitazione rispetta l'essenza dei diritti e delle libertà fondamentali e, in relazione a un trattamento specifico, è necessaria e proporzionata in una società democratica per salvaguardare uno o più degli obiettivi di cui al paragrafo 1. La limitazione dovrebbe essere comunicata al responsabile della protezione dei dati. Tutte le limitazioni dovrebbero essere conformi alla Carta e alla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali.

soppresso

Testo della Commissione

Emendamento

(39 bis)  Il regolamento (UE) 2016/679 prevede che i titolari del trattamento dimostrino il rispetto degli obblighi ad essi incombenti attraverso l'adesione a meccanismi di certificazione approvati. Allo stesso modo, le istituzioni e gli organi dell'Unione dovrebbero essere in grado di dimostrare la conformità al presente regolamento ottenendo la certificazione di cui all'articolo 42 del regolamento (UE) 2016/679.

Testo della Commissione

Emendamento

(42)  Per dimostrare che si conformano al presente regolamento, i titolari del trattamento dovrebbero tenere un registro delle attività di trattamento effettuate sotto la propria responsabilità e i responsabili del trattamento dovrebbero tenere un registro delle categorie di attività di trattamento effettuate sotto la propria responsabilità. Sarebbe necessario obbligare le istituzioni e gli organi dell'Unione a cooperare con il garante europeo della protezione dei dati e a mettere, su richiesta, i propri registri a sua disposizione affinché possano servire per monitorare detti trattamenti. È opportuno che le istituzioni e gli organi dell'Unione siano in grado di istituire un registro centrale in cui registrare le proprie attività di trattamento. Per motivi di trasparenza, dovrebbero poter rendere tale registro pubblico.

(42)  Per dimostrare che si conformano al presente regolamento, i titolari del trattamento dovrebbero tenere un registro delle attività di trattamento effettuate sotto la propria responsabilità e i responsabili del trattamento dovrebbero tenere un registro delle categorie di attività di trattamento effettuate sotto la propria responsabilità. Sarebbe necessario obbligare le istituzioni e gli organi dell'Unione a cooperare con il garante europeo della protezione dei dati e a mettere, su richiesta, i propri registri a sua disposizione affinché possano servire per monitorare detti trattamenti. È opportuno che le istituzioni e gli organi dell'Unione istituiscano un registro centrale in cui registrare le proprie attività di trattamento. Per motivi di trasparenza, dovrebbero rendere tale registro pubblico.

Testo della Commissione

Emendamento

(47)  Il regolamento (CE) n. 45/2001 ha introdotto l'obbligo generale in capo al titolare del trattamento di notificare il trattamento dei dati personali al responsabile della protezione dei dati, che a sua volta terrà un registro dei trattamenti notificati. Mentre tale obbligo comporta oneri amministrativi e finanziari, non ha sempre contribuito a migliorare la protezione dei dati personali. È pertanto opportuno abolire tali obblighi generali e indiscriminati di notifica e sostituirli con meccanismi e procedure efficaci che si concentrino piuttosto su quei tipi di trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità. Tali tipi di trattamenti includerebbero, in particolare, quelli che comportano l'utilizzo di nuove tecnologie o quelli che sono di nuovo tipo e in relazione ai quali il titolare del trattamento non ha ancora effettuato una valutazione d'impatto sulla protezione dei dati, o la valutazione d'impatto sulla protezione dei dati si riveli necessaria alla luce del tempo trascorso dal trattamento iniziale. In tali casi, è opportuno che il titolare del trattamento effettui una valutazione d'impatto sulla protezione dei dati prima del trattamento, per valutare la particolare probabilità e gravità del rischio, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio. La valutazione di impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare tale rischio assicurando la protezione dei dati personali e dimostrando la conformità al presente regolamento.

(47)  Il regolamento (CE) n. 45/2001 ha introdotto l'obbligo generale in capo al titolare del trattamento di notificare il trattamento dei dati personali al responsabile della protezione dei dati, che a sua volta tiene un registro dei trattamenti notificati. Oltre a tale obbligo generale, è opportuno istituire meccanismi e procedure efficaci per monitorare i trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità. Tali procedure dovrebbero essere altresì poste in essere, in particolare, quando i tipi di trattamenti comportano l'utilizzo di nuove tecnologie o sono di nuovo tipo e in relazione ai quali il titolare del trattamento non ha ancora effettuato una valutazione d'impatto sulla protezione dei dati, o laddove la valutazione d'impatto sulla protezione dei dati si riveli necessaria alla luce del tempo trascorso dal trattamento iniziale. In tali casi, è opportuno che il titolare del trattamento effettui una valutazione d'impatto sulla protezione dei dati prima del trattamento, per valutare la particolare probabilità e gravità del rischio, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio. La valutazione di impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare tale rischio assicurando la protezione dei dati personali e dimostrando la conformità al presente regolamento.

Testo della Commissione

Emendamento

(50)  Il regolamento (UE) 2016/679 istituisce il comitato europeo per la protezione dei dati quale organo indipendente dell'Unione dotato di personalità giuridica. Il comitato dovrebbe contribuire all'applicazione coerente del regolamento (UE) 2016/679 e della direttiva (UE) 2016/680 in tutta l'Unione, fornendo anche consulenza alla Commissione. Nel contempo il garante europeo della protezione dei dati dovrebbe continuare a esercitare le proprie funzioni di controllo e consulenza in relazione a tutte le istituzioni e tutti gli organi dell'Unione, di propria iniziativa o su richiesta. Per garantire la coerenza delle norme sulla protezione dei dati in tutta l'Unione, la Commissione dovrebbe avere l'obbligo di condurre una consultazione a seguito dell'adozione di atti legislativi o durante la preparazione di atti delegati e atti di esecuzione di cui agli articoli 289, 290 e 291 del TFUE e a seguito dell'adozione di raccomandazioni e proposte relative ad accordi con paesi terzi e organizzazioni internazionali di cui all'articolo 218 del TFUE se questi incidono sul diritto alla protezione dei dati personali. In tali casi la Commissione dovrebbe avere l'obbligo di consultare il garante europeo della protezione dei dati, tranne nei casi in cui il regolamento (UE) 2016/679 stabilisce la consultazione obbligatoria del comitato europeo per la protezione dei dati, ad esempio per le decisioni di adeguatezza o gli atti delegati riguardanti le icone standardizzate e i requisiti dei meccanismi di certificazione. Qualora l'atto in questione sia di particolare rilevanza per la tutela dei diritti e delle libertà fondamentali delle persone in relazione al trattamento di dati personali, la Commissione dovrebbe altresì poter consultare il comitato europeo per la protezione dei dati. In tali casi il garante europeo della protezione dei dati, in quanto membro del comitato europeo per la protezione dei dati, dovrebbe coordinare le proprie attività con quest'ultimo al fine di emettere un parere congiunto. Il garante europeo della protezione dei dati e, ove applicabile, il comitato europeo per la protezione dei dati dovrebbero fornire la propria consulenza per iscritto entro otto settimane. Tale termine dovrebbe essere più breve in caso di urgenza o ove altrimenti appropriato, ad esempio quando la Commissione elabora atti delegati o di esecuzione.

(50)  Il regolamento (UE) 2016/679 istituisce il comitato europeo per la protezione dei dati quale organo indipendente dell'Unione dotato di personalità giuridica. Il comitato dovrebbe contribuire all'applicazione coerente del regolamento (UE) 2016/679 e della direttiva (UE) 2016/680 in tutta l'Unione, fornendo anche consulenza alla Commissione. Nel contempo il garante europeo della protezione dei dati dovrebbe continuare a esercitare le proprie funzioni di controllo e consulenza in relazione a tutte le istituzioni e tutti gli organi dell'Unione, di propria iniziativa o su richiesta. Per garantire la coerenza delle norme sulla protezione dei dati in tutta l'Unione, la Commissione dovrebbe avere l'obbligo di condurre una consultazione in sede di adozione di proposte di atti legislativi o durante la preparazione di atti delegati e atti di esecuzione di cui agli articoli 289, 290 e 291 del TFUE e in sede di adozione di raccomandazioni e proposte relative ad accordi con paesi terzi e organizzazioni internazionali di cui all'articolo 218 del TFUE se questi incidono sul diritto alla protezione dei dati personali. In tali casi la Commissione dovrebbe avere l'obbligo di consultare il garante europeo della protezione dei dati, tranne nei casi in cui il regolamento (UE) 2016/679 stabilisce la consultazione obbligatoria del comitato europeo per la protezione dei dati, ad esempio per le decisioni di adeguatezza o gli atti delegati riguardanti le icone standardizzate e i requisiti dei meccanismi di certificazione. Qualora l'atto in questione sia di particolare rilevanza per la tutela dei diritti e delle libertà fondamentali delle persone in relazione al trattamento di dati personali, la Commissione dovrebbe altresì poter consultare il comitato europeo per la protezione dei dati. In tali casi il garante europeo della protezione dei dati, in quanto membro del comitato europeo per la protezione dei dati, dovrebbe coordinare le proprie attività con quest'ultimo al fine di emettere un parere congiunto. Il garante europeo della protezione dei dati e, ove applicabile, il comitato europeo per la protezione dei dati dovrebbero fornire la propria consulenza per iscritto entro otto settimane. Tale termine dovrebbe essere più breve in caso di urgenza o ove altrimenti appropriato, ad esempio quando la Commissione elabora atti delegati o di esecuzione.

Testo della Commissione

Emendamento

(50 bis)  In conformità dell'articolo 75 del regolamento (UE) 2016/679, il garante europeo della protezione dei dati mette a disposizione la segreteria del comitato europeo per la protezione dei dati.

Testo della Commissione

Emendamento

(52)  È opportuno che, quando i dati personali sono trasferiti da istituzioni e organi dell'Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di tutela delle persone fisiche assicurato nell'Unione dal presente regolamento non sia compromesso, anche nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall'organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo o presso un'altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali potrebbero essere effettuati soltanto nel pieno rispetto del presente regolamento. Il trasferimento potrebbe aver luogo soltanto se, fatte salve le altre disposizioni del presente regolamento, il titolare del trattamento o il responsabile del trattamento rispetta le condizioni stabilite dalle disposizioni del presente regolamento in relazione al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali.

(52)  È opportuno che, quando i dati personali sono trasferiti da istituzioni e organi dell'Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di tutela delle persone fisiche assicurato nell'Unione dal presente regolamento sia garantito, anche nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall'organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo o presso un'altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali potrebbero essere effettuati soltanto nel pieno rispetto del presente regolamento e in conformità con il regolamento (UE) 2016/679 nonché con i diritti e le libertà fondamentali sanciti dalla Carta. Il trasferimento potrebbe aver luogo soltanto se, fatte salve le altre disposizioni del presente regolamento, il titolare del trattamento o il responsabile del trattamento rispetta le condizioni stabilite dalle disposizioni del presente regolamento in relazione al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali.

Testo della Commissione

Emendamento

(53)  A norma dell'articolo 45 del regolamento (UE) 2016/679 la Commissione può riconoscere che un paese terzo, un territorio o un settore specifico all'interno di un paese terzo, o un'organizzazione internazionale offre un livello adeguato di protezione dei dati. In tali casi, i trasferimenti di dati personali verso tale paese terzo o organizzazione internazionale da parte di un'istituzione o di un organo dell'Unione possono avere luogo senza ulteriori autorizzazioni.

(53)  A norma dell'articolo 45 del regolamento (UE) 2016/679 o dell'articolo 36 della direttiva (UE) 2016/680 la Commissione può riconoscere che un paese terzo, un territorio o un settore specifico all'interno di un paese terzo, o un'organizzazione internazionale offre un livello adeguato di protezione dei dati. In tali casi, i trasferimenti di dati personali verso tale paese terzo o organizzazione internazionale da parte di un'istituzione o di un organo dell'Unione possono avere luogo senza ulteriori autorizzazioni.

Testo della Commissione

Emendamento

(64 bis)  La Commissione ha proposto di modificare il regolamento (UE) n. 1024/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, relativo alla cooperazione amministrativa attraverso il sistema di informazione del mercato interno e che abroga la decisione 2008/49/CE della Commissione ("regolamento IMI") per far sì che il sistema IMI possa essere utilizzato non solo dalle autorità competenti degli Stati membri e dalla Commissione, ma anche dagli organi, dagli uffici e dalle agenzie dell'Unione1 bis. In attesa di tale revisione, il garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati dovrebbero poter utilizzare il sistema di informazione del mercato interno a fini di cooperazione amministrativa e scambio di informazioni come previsto dal regolamento generale sulla protezione dei dati, in vista della sua entrata in applicazione il 25 maggio 2018.

_________________

1 bis Cfr. l'articolo 36 della proposta di regolamento del Parlamento europeo e del Consiglio che istituisce uno sportello digitale unico di accesso a informazioni, procedure e servizi di assistenza e di risoluzione dei problemi e che modifica il regolamento (UE) n. 1024/2012, COM(2017) 256 final, 2017/0086(COD).

Testo della Commissione

Emendamento

(65)  In taluni casi, il diritto dell'Unione prevede un modello di controllo coordinato, condiviso tra il garante europeo della protezione dei dati e le autorità di controllo nazionali. Inoltre, il garante europeo della protezione dei dati è l'autorità di controllo di Europol e un modello specifico di cooperazione con le autorità di controllo nazionali è istituito mediante un consiglio di cooperazione con funzione consultiva. Per migliorare l'efficacia del controllo e dell'applicazione delle norme sostanziali in materia di protezione dei dati, è opportuno introdurre nell'Unione un singolo modello coerente di controllo coordinato. Pertanto la Commissione dovrebbe, se del caso, presentare proposte legislative volte a modificare gli atti giuridici dell'Unione che prevedono un modello di controllo coordinato, onde allinearli al modello di controllo coordinato del presente regolamento. Il comitato europeo per la protezione dei dati dovrebbe costituire un forum unico per garantire un controllo coordinato efficace sistematico.

(65)  In taluni casi, il diritto dell'Unione prevede un modello di controllo coordinato, condiviso tra il garante europeo della protezione dei dati e le autorità di controllo nazionali. Inoltre, il garante europeo della protezione dei dati è l'autorità di controllo di Europol e un modello specifico di cooperazione con le autorità di controllo nazionali è istituito mediante un consiglio di cooperazione con funzione consultiva. Per migliorare l'efficacia del controllo e dell'applicazione delle norme sostanziali in materia di protezione dei dati, è opportuno che il presente regolamento introduca un singolo modello coerente di controllo coordinato. Il comitato europeo per la protezione dei dati dovrebbe costituire un forum unico per garantire un controllo coordinato efficace sistematico.

Testo della Commissione

Emendamento

2.  Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

2.  Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche sanciti dalla Carta, in particolare il diritto alla protezione dei dati personali.

Testo della Commissione

Emendamento

1.  Il presente regolamento si applica al trattamento di dati personali da parte di tutte le istituzioni e di tutti gli organi dell'Unione, nella misura in cui detto trattamento è effettuato nell'esercizio di attività che rientrano in tutto o in parte nell'ambito di applicazione del diritto dell'Unione.

1.  Il presente regolamento si applica al trattamento di dati personali da parte di tutte le istituzioni e di tutti gli organi dell'Unione.

Testo della Commissione

Emendamento

2 bis.  Il presente regolamento si applica altresì alle agenzie dell'Unione che svolgono attività rientranti nel campo di applicazione della parte terza, titolo V, capi 4 e 5 TFUE, inclusi i casi in cui gli atti istitutivi di tali agenzie dell'Unione stabiliscano un regime di protezione dei dati indipendente per quanto riguarda il trattamento dei dati personali operativi. L'applicazione del presente regolamento può essere precisata e integrata da disposizioni concernenti il trattamento specifico dei dati personali operativi contenuti negli atti costitutivi di tali agenzie.

Testo della Commissione

Emendamento

a)  le definizioni di cui al regolamento (UE) 2016/679, ad eccezione della definizione di "titolare del trattamento" di cui all'articolo 4, punto 7, di tale regolamento;

a)  le definizioni di cui al regolamento (UE) 2016/679, ad eccezione delle definizioni di “titolare del trattamento” di cui all’articolo 4, punto 7, "stabilimento principale" di cui all'articolo 4, punto 16, "impresa" di cui all'articolo 4, punto 18, "gruppo imprenditoriale" di cui all'articolo 4, punto 19, di tale regolamento; la definizione di “comunicazione elettronica” di cui all’articolo 4, punto 2, lettera a), del regolamento (UE) XX/XXXX [regolamento relativo alla vita privata e alle comunicazioni elettroniche];

Testo della Commissione

Emendamento

d bis)  "dati personali operativi": i dati personali trattati dalle agenzie dell'Unione istituite sulla base della parte terza, titolo V, capi 4 e 5, TFUE e dalle missioni di cui all'articolo 42, paragrafo 1, e agli articoli 43 e 44 TUE per conseguire gli obiettivi stabiliti negli atti che istituiscono tali agenzie o missioni.

Testo della Commissione

Emendamento

1.  I dati personali devono essere:

1.  I dati personali sono:

Testo della Commissione

Emendamento

d)  esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti o incompleti rispetto alle finalità per le quali sono raccolti o successivamente trattati ("esattezza");

d)  esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati personali inesatti rispetto alle finalità per le quali sono trattati ("esattezza");

Testo della Commissione

Emendamento

2.  I compiti di cui al paragrafo 1, lettera a), sono stabiliti dal diritto dell'Unione.

2.  I compiti di cui al paragrafo 1, lettera a), sono stabiliti dal diritto dell'Unione. La base su cui si fonda il trattamento di cui al paragrafo 1, lettera b), è stabilita dal diritto dell'Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento.

Testo della Commissione

Emendamento

Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione

(Non concerne la versione italiana)

Testo della Commissione

Emendamento

Articolo 8 bis

Trasferimento di dati personali fra istituzioni e organi dell'Unione

Fatti salvi gli articoli 4, 5, 6 e 10:

1. Il trasferimento di dati personali ad altre istituzioni o ad altri organi dell'Unione ovvero al loro interno è consentito unicamente se i dati sono necessari per il legittimo esercizio delle funzioni che rientrano nelle competenze del destinatario.

2. Se i dati sono trasferiti su richiesta del destinatario, il titolare del trattamento e il destinatario sono entrambi responsabili della legittimità del trasferimento.

Il titolare del trattamento è tenuto a verificare le competenze del destinatario e ad effettuare una valutazione provvisoria della necessità del trasferimento dei dati. Qualora emergano dubbi su tale necessità, il titolare del trattamento chiede ulteriori spiegazioni al destinatario.

Il destinatario provvede a che si possa successivamente verificare la necessità del trasferimento dei dati.

3. Nel procedere al trattamento dei dati personali il destinatario persegue unicamente le finalità per cui questi gli sono stati trasmessi.

.

Testo della Commissione

Emendamento

1.  Fatti salvi gli articoli 4, 5, 6 e 10, i dati personali possono essere trasmessi a destinatari stabiliti nell'Unione e soggetti al regolamento (UE) 2016/679 o alla legislazione nazionale adottata a norma della direttiva (UE) 2016/680 solo se il destinatario dimostra che:

1.  Fatti salvi gli articoli 4, 5, 6, 10 e 14, l'articolo 15, paragrafo 3, e l'articolo 16, paragrafo 4, i dati personali possono essere trasmessi a destinatari stabiliti nell'Unione e soggetti al regolamento (UE) 2016/679 o alla legislazione nazionale adottata a norma della direttiva (UE) 2016/680 solo se il titolare del trattamento dimostra, sulla base di una richiesta motivata del destinatario, che:

Testo della Commissione

Emendamento

b)  la trasmissione dei dati è necessaria e proporzionata alle finalità cui è destinata e non sussistono motivi per presumere che i diritti, le libertà e i legittimi interessi dell'interessato possano subire pregiudizio.

b)  la trasmissione dei dati è proporzionata e necessaria al fine di servire un interesse pubblico, quale la trasparenza o la buona amministrazione, e sussistono motivi per presumere che i legittimi interessi dell'interessato possano subire pregiudizio dopo aver chiaramente soppesato i vari interessi in conflitto;

Testo della Commissione

Emendamento

a)  l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1;

a)  l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1;

Testo della Commissione

Emendamento

3.  I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione.

3.  I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.

Testo della Commissione

Emendamento

Il trattamento di dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 5, paragrafo 1, può avvenire solo se autorizzato dal diritto dell'Unione, che può comprendere norme interne che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

Il trattamento di dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 5, paragrafo 1, avviene solo se autorizzato dal diritto dell'Unione, che prevede garanzie appropriate per i diritti e le libertà degli interessati.

Testo della Commissione

Emendamento

Le informazioni fornite ai sensi degli articoli 15 e 16 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 17 a 24 e dell'articolo 38 sono gratuite. Se le richieste dell'interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può rifiutare di soddisfare la richiesta.

Le informazioni fornite ai sensi degli articoli 15 e 16 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 17 a 24 e dell'articolo 38 sono gratuite.

Testo della Commissione

Emendamento

8.  Se la Commissione adotta atti delegati conformemente all'articolo 12, paragrafo 8, del regolamento (UE) 2016/679 che stabiliscono le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate, le istituzioni e gli organi dell'Unione forniscono, se del caso, le informazioni di cui agli articoli 15 e 16 in combinazione con le icone standardizzate.

8.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 12, paragrafo 8, del regolamento (UE) 2016/679 che stabiliscono le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate; le istituzioni e gli organi dell'Unione forniscono, se del caso, le informazioni di cui agli articoli 15 e 16 in combinazione con le icone standardizzate.

Testo della Commissione

Emendamento

b)  comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento;

b)  comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento.

Testo della Commissione

Emendamento

c)  l'ottenimento o la comunicazione sono espressamente previsti dal diritto dell'Unione; oppure

c)  l'ottenimento o la comunicazione sono espressamente previsti dal diritto dell'Unione cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell'interessato; oppure

Testo della Commissione

Emendamento

d)  qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell'Unione.

d)  qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell'Unione, compreso un obbligo di segretezza previsto per legge.

Testo della Commissione

Emendamento

5 bis.   Nei casi di cui al paragrafo 5, lettera b), il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e il legittimo interesse dell'interessato, anche rendendo pubbliche le informazioni;

Testo della Commissione

Emendamento

b)  il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo;

(Non concerne la versione italiana)  

Testo della Commissione

Emendamento

1.  Gli atti giuridici adottati sulla base dei trattati oppure, per le questioni relative al funzionamento delle istituzioni e degli organi dell'Unione, le norme interne stabilite da questi ultimi possono limitare l'applicazione degli articoli da 14 a 22 e degli articoli 34 e 38, nonché dell'articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22, qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:

1.  Gli atti giuridici adottati sulla base dei trattati possono limitare l'applicazione degli articoli da 14 a 22 e dell'articolo 38, nonché dell'articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22, qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:

Testo della Commissione

Emendamento

1 bis.   Gli atti adottati a norma del paragrafo 1 sono chiari e precisi. La loro applicazione è prevedibile per le persone che vi sono sottoposte.

Testo della Commissione

Emendamento

1 ter.  In particolare, qualsiasi atto giuridico adottato a norma del paragrafo 1 contiene disposizioni specifiche riguardanti almeno, se del caso:

a) le finalità del trattamento o le categorie di trattamento;

b) le categorie di dati personali;

c) la portata della limitazione introdotta;

d) le garanzie per prevenire abusi o l'accesso o il trasferimento illeciti;

e) l'indicazione precisa del titolare del trattamento o delle categorie di titolari;

f) i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell'ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento;

g) i rischi per i diritti e le libertà degli interessati; e

h) il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa.

Testo della Commissione

Emendamento

2.  Se non è prevista alcuna limitazione da un atto giuridico adottato sulla base dei trattati o da una norma interna conformemente al paragrafo 1, le istituzioni e gli organi dell'Unione possono limitare l'applicazione degli articoli da 14 a 22 e degli articoli 34 e 38, nonché dell'articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22, qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali, in relazione a un trattamento specifico, e sia una misura necessaria e proporzionata in una società democratica per salvaguardare uno o più degli obiettivi di cui al paragrafo 1. La limitazione è comunicata al responsabile della protezione dei dati competente.

soppresso

Testo della Commissione

Emendamento

3.  Se i dati personali sono trattati a fini di ricerca scientifica o storica o a fini statistici, il diritto dell'Unione, che può comprendere norme interne, può prevedere deroghe ai diritti di cui agli articoli 17, 18, 20 e 23, fatte salve le condizioni e le garanzie di cui all'articolo 13, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.

3.  Se i dati personali sono trattati a fini di ricerca scientifica o storica o a fini statistici, il diritto dell'Unione può prevedere deroghe ai diritti di cui agli articoli 17, 18, 20 e 23, fatte salve le condizioni e le garanzie di cui all'articolo 13, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.

Testo della Commissione

Emendamento

4.  Se i dati personali sono trattati per finalità di archiviazione nel pubblico interesse, il diritto dell'Unione, che può comprendere norme interne, può prevedere deroghe ai diritti di cui agli articoli 17, 18, 20, 21, 22 e 23, fatte salve le condizioni e le garanzie di cui all'articolo 13, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.

4.  Se i dati personali sono trattati per finalità di archiviazione nel pubblico interesse, il diritto dell'Unione può prevedere deroghe ai diritti di cui agli articoli 17, 18, 20, 21, 22 e 23, fatte salve le condizioni e le garanzie di cui all'articolo 13, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.

Testo della Commissione

Emendamento

5.  Le norme interne di cui ai paragrafi 1, 3 e 4, sono sufficientemente chiare, precise e oggetto di una pubblicazione adeguata.

soppresso

Testo della Commissione

Emendamento

6.  Qualora si applichi una delle limitazioni di cui ai paragrafi 1 o 2, l'interessato è informato, conformemente al diritto dell'Unione, dei principali motivi della limitazione e del suo diritto di proporre reclamo al garante europeo della protezione dei dati.

6.  Qualora si applichi una delle limitazioni di cui al paragrafo 1, l'interessato è informato, conformemente al diritto dell'Unione, dei principali motivi della limitazione e del suo diritto di proporre reclamo al garante europeo della protezione dei dati.

Testo della Commissione

Emendamento

7.  Qualora si applichino le limitazioni previste ai paragrafi 1 e 2 per negare all'interessato l'accesso ai dati che lo riguardano, il garante europeo della protezione dei dati, nell'esaminare il reclamo, gli comunica solo se i dati sono stati trattati correttamente ovvero, in caso contrario, se sono state apportate tutte le rettifiche necessarie.

7.  Qualora si applichino le limitazioni previste al paragrafo 1 per negare all'interessato l'accesso ai dati che lo riguardano, il garante europeo della protezione dei dati, nell'esaminare il reclamo, gli comunica solo se i dati sono stati trattati correttamente ovvero, in caso contrario, se sono state apportate tutte le rettifiche necessarie.

Testo della Commissione

Emendamento

8.  La comunicazione delle informazioni di cui ai paragrafi 6 e 7 e all'articolo 46, paragrafo 2, può essere rinviata, omessa o negata qualora annulli l'effetto della limitazione imposta in forza dei paragrafi 1 o 2.

8.  La comunicazione delle informazioni di cui ai paragrafi 6 e 7 e all'articolo 46, paragrafo 2, può essere rinviata, omessa o negata qualora annulli l'effetto della limitazione imposta in forza del paragrafo 1.

Testo della Commissione

Emendamento

2 bis.  L'adesione a meccanismi di certificazione approvati di cui all'articolo 42 del regolamento (UE) 2016/679 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

Testo della Commissione

Emendamento

2 bis.  Un meccanismo di certificazione approvato ai sensi dell'articolo 42 del regolamento (UE) 2016/679 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Testo della Commissione

Emendamento

3.  L'interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun contitolare del trattamento, tenendo conto dei loro ruoli stabiliti nelle disposizioni dell'accordo di cui al paragrafo 1.

3.  Indipendentemente dalle disposizioni dell'accordo di cui al paragrafo 1, l'interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.

Testo della Commissione

Emendamento

5.  Le istituzioni e gli organi dell'Unione possono decidere di conservare i loro registri delle attività di trattamento in un registro centrale. In tal caso, possono decidere anche di rendere il registro accessibile al pubblico.

5.  Le istituzioni e gli organi dell'Unione conservano i loro registri delle attività di trattamento in un registro centrale e rendono il registro accessibile al pubblico.

Testo della Commissione

Emendamento

SICUREZZA DEI DATI PERSONALI E RISERVATEZZA DELLE COMUNICAZIONI ELETTRONICHE

SICUREZZA DEI DATI PERSONALI

Testo della Commissione

Emendamento

3 bis.  L'adesione a un meccanismo di certificazione approvato ai sensi dell'articolo 42 del regolamento (UE) 2016/679 può essere utilizzata come elemento per dimostrare il rispetto dei requisiti di cui al paragrafo 1 del presente articolo.

Testo della Commissione

Emendamento

Articolo 33 bis

La conformità a un codice di condotta approvato ai sensi dell'articolo 42 del regolamento (UE) 2016/679 può essere utilizzato come elemento tramite il quale dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Testo della Commissione

Emendamento

Articolo 34

soppresso

Riservatezza delle comunicazioni elettroniche

Le istituzioni e gli organi dell'Unione garantiscono la riservatezza delle comunicazioni elettroniche, in particolare proteggendo le proprie reti di comunicazione elettronica.

Testo della Commissione

Emendamento

Articolo 36

soppresso

Elenchi di utenti

1.  I dati personali contenuti in elenchi di utenti e l'accesso a detti elenchi sono limitati allo stretto necessario ai fini specifici degli elenchi.

2.  Le istituzioni e gli organi dell'Unione prendono le misure necessarie per impedire che i dati personali contenuti in tali elenchi siano utilizzati a fini di diffusione commerciale diretta, indipendentemente dal fatto che gli elenchi siano o meno accessibili al pubblico.

Testo della Commissione

Emendamento

RISERVATEZZA DELLE COMUNICAZIONI ELETTRONICHE

Testo della Commissione

Emendamento

Articolo 38 bis

Riservatezza delle comunicazioni elettroniche

Le istituzioni e gli organi dell'Unione garantiscono la riservatezza delle comunicazioni elettroniche, in particolare proteggendo le proprie reti di comunicazione elettronica.

Testo della Commissione

Emendamento

Articolo 38 ter

Elenchi di utenti

1. I dati personali contenuti in elenchi di utenti e l'accesso a detti elenchi sono limitati allo stretto necessario ai fini specifici degli elenchi.

2. Le istituzioni e gli organi dell'Unione prendono le misure necessarie per impedire che i dati personali contenuti in tali elenchi siano utilizzati a fini di diffusione commerciale diretta, indipendentemente dal fatto che gli elenchi siano o meno accessibili al pubblico.

Testo della Commissione

Emendamento

Le istituzioni e gli organi dell'Unione informano il garante europeo della protezione dei dati al momento di elaborare provvedimenti amministrativi e norme interne in tema di trattamento di dati personali che interessino un'istituzione o un organo dell'Unione singolarmente o congiuntamente.

Le istituzioni e gli organi dell'Unione informano il garante europeo della protezione dei dati al momento di elaborare provvedimenti amministrativi in tema di trattamento di dati personali che interessino un'istituzione o un organo dell'Unione singolarmente o congiuntamente.

Testo della Commissione

Emendamento

1.  Dopo l'adozione di proposte di atti legislativi e di raccomandazioni o proposte al Consiglio a norma dell'articolo 218 del TFUE e durante la stesura di atti delegati o di esecuzione, che incidono sulla tutela dei diritti e delle libertà delle persone in relazione al trattamento dei dati personali, la Commissione consulta il garante europeo della protezione dei dati.

1.  In sede di adozione di proposte di atti legislativi e di raccomandazioni o proposte al Consiglio a norma dell'articolo 218 del TFUE e durante la stesura di atti delegati o di esecuzione sulla tutela dei diritti e delle libertà delle persone fisiche in relazione al trattamento dei dati personali, la Commissione consulta il garante europeo della protezione dei dati.

Testo della Commissione

Emendamento

4.  Il responsabile della protezione dei dati può essere un membro del personale dell'istituzione o dell'organo dell'Unione oppure assolvere i suoi compiti in base a un contratto di servizi.

4.  Il responsabile della protezione dei dati è un membro del personale dell'istituzione o dell'organo dell'Unione. In circostanze eccezionali, tenuto conto della loro dimensione e se le condizioni di cui al paragrafo 2 non sono soddisfatte, le istituzioni e gli organi dell'Unione possono designare un responsabile della protezione dei dati che assolve i suoi compiti in base a un contratto di servizi.

Testo della Commissione

Emendamento

5.  Il responsabile della protezione dei dati e il suo personale sono tenuti al segreto o alla riservatezza in merito all'adempimento dei propri compiti, in conformità del diritto dell'Unione.

5.  Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all'adempimento dei propri compiti, in conformità del diritto dell'Unione.

Testo della Commissione

Emendamento

(g bis)  garantire che i trattamenti non arrechino pregiudizio ai diritti e alle libertà degli interessati.

Testo della Commissione

Emendamento

1.  Il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale è ammesso se la Commissione ha deciso, ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679, che è garantito un livello di protezione adeguato nel paese terzo, in un territorio o in uno o più settori specifici all'interno del paese terzo o all'interno dell'organizzazione internazionale, e che i dati personali sono trasferiti esclusivamente per consentire lo svolgimento dei compiti che rientrano nelle competenze del titolare del trattamento.

1.  Il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale è ammesso se la Commissione ha deciso, ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 o dell'articolo 36 della direttiva (UE) 2016/680, che è garantito un livello di protezione adeguato nel paese terzo, in un territorio o in uno o più settori specifici all'interno del paese terzo o all'interno dell'organizzazione internazionale, e che i dati personali sono trasferiti esclusivamente per consentire lo svolgimento dei compiti che rientrano nelle competenze del titolare del trattamento. In tal caso il trasferimento non necessita di autorizzazioni specifiche.

Testo della Commissione

Emendamento

1.  In mancanza di una decisione ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un'organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

1.  In mancanza di una decisione ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 o dell'articolo 36, paragrafo 3, della direttiva (UE) 2016/680, nel rispettivo ambito di applicazione di tali atti legislativi, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un'organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

Testo della Commissione

Emendamento

1.  In mancanza di una decisione ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 o di garanzie adeguate ai sensi dell'articolo 49, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale soltanto se si verifica una delle seguenti condizioni:

1.  In mancanza di una decisione ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 o dell'articolo 36, paragrafo 3, della direttiva (UE) 2016/680, nel rispettivo ambito di applicazione di tali atti legislativi, o di garanzie adeguate ai sensi dell'articolo 49, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale soltanto se si verifica una delle seguenti condizioni:

Testo della Commissione

Emendamento

1.  Il Parlamento europeo e il Consiglio nominano di comune accordo il garante europeo della protezione dei dati, per un periodo di cinque anni, in base a un elenco predisposto dalla Commissione dopo un invito pubblico a presentare candidature. Tale invito consente a tutte le parti interessate nell'insieme dell'Unione di presentare la propria candidatura. L'elenco di candidati elaborato dalla Commissione è pubblico. Sulla base dell'elenco elaborato dalla Commissione, la commissione competente del Parlamento europeo può decidere di organizzare un'audizione per poter esprimere una preferenza.

1.  Il Parlamento europeo e il Consiglio nominano di comune accordo il garante europeo della protezione dei dati, per un periodo di cinque anni, in base a un elenco predisposto congiuntamente dal Parlamento europeo, dal Consiglio e dalla Commissione dopo un invito pubblico a presentare candidature. Tale invito consente a tutte le parti interessate nell'insieme dell'Unione di presentare la propria candidatura. L'elenco di candidati è pubblico e include almeno cinque candidati. La commissione competente del Parlamento europeo può decidere di organizzare un'audizione dei candidati che figurano nell'elenco per poter esprimere una preferenza.

Testo della Commissione

Emendamento

2.  L'elenco elaborato dalla Commissione da cui viene scelto il garante europeo della protezione dei dati è composto da personalità che offrono ogni garanzia di indipendenza e che possiedono un'esperienza e delle competenze notorie per l'esercizio delle funzioni di garante europeo della protezione dei dati, come ad esempio il far parte o l'aver fatto parte delle autorità di controllo di cui all'articolo 41 del regolamento (UE) 2016/679.

2.  L'elenco elaborato congiuntamente dal Parlamento europeo, dal Consiglio e dalla Commissione da cui viene scelto il garante europeo della protezione dei dati è composto da personalità che offrono ogni garanzia di indipendenza e che possiedono una conoscenza specialistica nel settore della protezione dei dati come pure un'esperienza e delle competenze notorie per l'esercizio delle funzioni di garante europeo della protezione dei dati, come ad esempio il far parte o l'aver fatto parte delle autorità di controllo di cui all'articolo 41 del regolamento (UE) 2016/679.

Testo della Commissione

Emendamento

4.  Il garante europeo della protezione dei dati è assistito da un segretariato. I funzionari e gli altri agenti del segretariato sono nominati dal garante europeo della protezione dei dati, che è il loro superiore gerarchico. Essi sono tenuti a conformarsi alle sue istruzioni. Il numero di detti funzionari e agenti è stabilito ogni anno nell'ambito della procedura di bilancio.

4.  Il garante europeo della protezione dei dati è assistito da un segretariato. I funzionari e gli altri agenti del segretariato sono nominati dal garante europeo della protezione dei dati, che è il loro superiore gerarchico. Essi sono tenuti a conformarsi alle sue istruzioni. Il numero di detti funzionari e agenti è stabilito ogni anno nell'ambito della procedura di bilancio. L'articolo 75, paragrafo 2, del regolamento (UE) 2016/679 si applica al personale del garante europeo della protezione dei dati incaricato di svolgere i compiti attribuiti al comitato europeo per la protezione dei dati in virtù del diritto dell'Unione.

Testo della Commissione

Emendamento

(e)  ottenere accesso a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell'Unione o il diritto processuale degli Stati membri.

(e)  ottenere accesso a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell'Unione.

Testo della Commissione

Emendamento

(b bis)  autorizzare o meno il trattamento di cui all'articolo 40, paragrafo 4;

Testo della Commissione

Emendamento

Cooperazione con le autorità di controllo nazionali

Cooperazione tra il garante europeo della protezione dei dati e le autorità di controllo nazionali

Testo della Commissione

Emendamento

Il garante europeo per la protezione dei dati coopera con le autorità di controllo istituite ai sensi dell'articolo 41 del regolamento (UE) 2016/679 e dall'articolo 51 della direttiva (UE) 2016/680 (in seguito "autorità di controllo nazionali") e con l'autorità comune di controllo istituita dall'articolo 25 della decisione 2009/917/GAI del Consiglio21 nella misura necessaria all'esecuzione delle rispettive funzioni, in particolare fornendosi reciprocamente informazioni pertinenti, chiedendo alle autorità di controllo nazionali di esercitare i loro poteri o rispondendo alle richieste formulate da tali autorità.

Il garante europeo per la protezione dei dati coopera con le autorità di controllo istituite ai sensi dell'articolo 51 del regolamento (UE) 2016/679 e dall'articolo 41 della direttiva (UE) 2016/680 (in seguito "autorità di controllo nazionali") nella misura necessaria all'esecuzione delle rispettive funzioni, in particolare fornendosi reciprocamente informazioni pertinenti, chiedendosi reciprocamente di esercitare i rispettivi poteri o rispondendo alle reciproche richieste.

_________________

21 Decisione 2009/917/GAI del Consiglio, del 30 novembre 2009, sull'uso dell'informatica nel settore doganale (GU L 323 del 10.12.2009, pag. 20).

Testo della Commissione

Emendamento

Il garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati possono utilizzare il sistema di informazione del mercato interno istituito dal regolamento (UE) n. 1024/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, relativo alla cooperazione amministrativa attraverso il sistema di informazione del mercato interno e che abroga la decisione 2008/49/CE della Commissione ("regolamento IMI") a fini di cooperazione amministrativa e scambio di informazioni ai sensi degli articoli da 60 a 62 e degli articoli 64, 65 e 70 del regolamento (UE) 2016/679.

Testo della Commissione

Emendamento

1.  Quando un atto dell'Unione rinvia al presente articolo, il garante europeo della protezione dei dati coopera attivamente con le autorità di controllo nazionali al fine di garantire un controllo efficace dei sistemi IT su larga scala o delle agenzie dell'Unione.

1.  Quando un atto dell'Unione prevede che il garante europeo della protezione dei dati vigili sul trattamento dei dati personali a livello di Unione e le autorità di controllo nazionali vigilino sul trattamento dei dati personali a livello nazionale, il garante europeo della protezione dei dati e le autorità di controllo nazionali, agendo ciascuno nei limiti delle proprie competenze, cooperano attivamente nell'ambito delle proprie responsabilità al fine di garantire un controllo efficace e coordinato dei sistemi IT su larga scala o degli organi, degli uffici e delle agenzie dell'Unione.

Testo della Commissione

Emendamento

2.  Il garante europeo della protezione dei dati, agendo nei limiti delle proprie competenze e nell'ambito delle proprie responsabilità, scambia informazioni pertinenti, fornisce assistenza nello svolgimento di revisioni e ispezioni, esamina difficoltà di interpretazione o applicazione del presente regolamento e di altri atti dell'Unione applicabili, studia problemi inerenti all'esercizio di un controllo indipendente o all'esercizio dei diritti degli interessati, elabora proposte armonizzate per soluzioni di eventuali problemi e promuove la sensibilizzazione del pubblico in materia di diritto alla protezione dei dati, in funzione delle necessità, insieme alle autorità di controllo nazionali.

2.  Essi, agendo ciascuno nei limiti delle proprie competenze e nell'ambito delle proprie responsabilità, scambiano informazioni pertinenti, forniscono assistenza reciproca nello svolgimento di revisioni e ispezioni, esaminano difficoltà di interpretazione o applicazione del presente regolamento e di altri atti dell'Unione applicabili, studiano problemi inerenti all'esercizio di un controllo indipendente o all'esercizio dei diritti degli interessati, elaborano proposte armonizzate per soluzioni di eventuali problemi e promuovono la sensibilizzazione del pubblico in materia di diritto alla protezione dei dati, in funzione delle necessità.

Testo della Commissione

Emendamento

3.  Ai fini di cui al paragrafo 2, il garante europeo della protezione dei dati si incontra con le autorità di controllo nazionali almeno due volte all'anno nell'ambito del comitato europeo per la protezione dei dati. I costi e la gestione di tali riunioni sono a carico del comitato europeo per la protezione dei dati. Nella prima riunione è adottato un regolamento interno. Ulteriori metodi di lavoro sono elaborati congiuntamente, se necessario.

3.  Ai fini di cui al paragrafo 2, il garante europeo della protezione dei dati e le autorità di controllo nazionali si incontrano almeno due volte all'anno nell'ambito del comitato europeo per la protezione dei dati. I costi e la gestione di tali riunioni sono a carico del comitato europeo per la protezione dei dati. A tali fini, il comitato europeo per la protezione dei dati può elaborare ulteriori metodi di lavoro, se necessario.

Testo della Commissione

Emendamento

Articolo 69 bis

Ambito d'applicazione

In deroga agli articoli 4, 5, 6, 7, 8, 10, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 41, 43, 49, 50 e 51, le disposizioni del presente capo si applicano al trattamento di dati operativi da parte delle agenzie dell'Unione istituite sulla base della parte terza, titolo V, capi 4 e 5, TFUE e delle missioni di cui all'articolo 42, paragrafo 1, e agli articoli 43 e 44 TUE.

L'applicazione del presente regolamento può essere precisata e integrata da disposizioni concernenti il trattamento specifico dei dati personali operativi contenuti negli atti costitutivi di tali agenzie.

Testo della Commissione

Emendamento

Articolo 69 ter

Principi applicabili al trattamento dei dati personali operativi

1.  I dati personali operativi sono:

a)  trattati in modo lecito e corretto ("liceità e correttezza");

b)  raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è considerato incompatibile con le finalità iniziali, purché le agenzie e missioni dell'Unione forniscano garanzie adeguate, in particolare per assicurare che i dati non siano trattati per altri fini ("limitazione delle finalità");

c)  adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati ("minimizzazione dei dati");

d)  esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per garantire che i dati personali operativi inesatti rispetto alle finalità per le quali sono trattati siano cancellati o rettificati tempestivamente ("esattezza");

e)  conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;

f) trattati in modo da garantire un'adeguata sicurezza dei dati personali operativi, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali ("integrità e riservatezza").

2.  Le agenzie o missioni dell'Unione rendono accessibile al pubblico un documento che delinea in modo comprensibile le disposizioni relative al trattamento dei dati personali operativi e ai mezzi a disposizione degli interessati per l'esercizio dei loro diritti.

Testo della Commissione

Emendamento

Capo IX bis

Riesame

Testo della Commissione

Emendamento

Articolo 70 bis

Clausola di riesame

1.  Entro il 1° giugno 2021, e successivamente ogni cinque anni, la Commissione presenta al Parlamento europeo una relazione sull'applicazione del presente regolamento, corredata, se necessario, di proposte legislative adeguate.

2.  La valutazione ex post di cui al paragrafo 1 dedica particolare attenzione all'adeguatezza dell'ambito di applicazione del presente regolamento e alla sua coerenza con altri atti legislativi in materia di protezione dei dati e valuta, in particolare, l'attuazione del capo V del presente regolamento.

3.  Entro il 1° giugno 2021, e successivamente ogni cinque anni, la Commissione riferisce al Parlamento europeo in merito all'applicazione del capo VIII del presente regolamento e alle sanzioni applicate.

Motivazione

Alla luce della volontà di "legiferare meglio" e in particolare dell'uso efficace delle valutazioni ex post al fine di comprendere l'intero ciclo legislativo, riveste particolare interesse seguire il recepimento, l'attuazione e l'applicazione del diritto dell'Unione e, più in generale, controllare l'impatto, il funzionamento e l'efficacia di tale diritto. Una clausola di riesame esaustiva, che richiede una valutazione adeguata dell'applicazione del regolamento, del suo ambito di applicazione e della deroga di poteri prevista e che prevede obblighi di relazione adeguati assolve a questo scopo.

Testo della Commissione

Emendamento

Articolo 70 ter

Riesame degli atti giuridici dell'Unione

Entro il 25 maggio 2021, la Commissione riesamina gli altri atti giuridici adottati a norma dei trattati che disciplinano il trattamento dei dati personali, in particolare da parte delle agenzie istituite conformemente alla parte terza, titolo V, capi 4 e 5, TFUE, al fine di valutare la necessità di allinearli al presente regolamento e formulare, ove opportuno, le proposte necessarie per modificarli in modo da garantire un approccio coerente alla protezione dei dati personali nell'ambito del presente regolamento.

Testo della Commissione

Emendamento

Articolo 71 bis

Modifiche del regolamento (CE) n. 1987/2006

Il regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio1 bis è così modificato:

l'articolo 46 è sostituito dal seguente:

"Le autorità di controllo nazionali e il garante europeo della protezione dei dati, agendo ciascuno nei limiti delle proprie competenze, cooperano tra loro conformemente all'articolo 62 del [nuovo regolamento (CE) n. 45/2001]".

_________________

1 bis Regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio, del 20 dicembre 2006, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II) (GU L 381 del 28.12.2006, pag. 4).

Testo della Commissione

Emendamento

Articolo 71 ter

Modifiche della decisione 2007/533/GAI del Consiglio

La decisione 2007/533/GAI del Consiglio1 bis è così modificata:

l'articolo 62 è sostituito dal seguente:

"Le autorità di controllo nazionali e il garante europeo della protezione dei dati, agendo ciascuno nei limiti delle proprie competenze, cooperano tra loro conformemente all'articolo 62 del [nuovo regolamento (CE) n. 45/2001]".

_________________

1 bis Decisione 2007/533/GAI del Consiglio, del 12 giugno 2007, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II) (GU L 205 del 7.8.2007, pag. 63).

Testo della Commissione

Emendamento

Articolo 71 quater

Modifiche del regolamento (CE) n. 767/2008

Il regolamento (CE) n. 767/2008 del Parlamento europeo e del Consiglio1 bis è così modificato:

l'articolo 43 è sostituito dal seguente:

"Le autorità di controllo nazionali e il garante europeo della protezione dei dati, agendo ciascuno nei limiti delle proprie competenze, cooperano tra loro conformemente all'articolo 62 del [nuovo regolamento (CE) n. 45/2001]".

_________________

1 bis Regolamento (CE) n. 767/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, concernente il sistema di informazione visti (VIS) e lo scambio di dati tra Stati membri sui visti per soggiorni di breve durata (regolamento VIS) (GU L 218 del 13.8.2008, pag. 60).

Testo della Commissione

Emendamento

Articolo 71 quinquies

Modifiche del regolamento (CE) n. 515/97 del Consiglio

Il regolamento (CE) n. 515/97 del Consiglio1 bis è così modificato:

all'articolo 37, il paragrafo 4 è sostituito dal seguente:

"Le autorità di controllo nazionali e il garante europeo della protezione dei dati, agendo ciascuno nei limiti delle proprie competenze, cooperano tra loro conformemente all'articolo 62 del [nuovo regolamento (CE) n. 45/2001]".

_________________

1 bis Regolamento (CE) n. 515/97 del Consiglio, del 13 marzo 1997, relativo alla mutua assistenza tra le autorità amministrative degli Stati membri e alla collaborazione tra queste e la Commissione per assicurare la corretta applicazione delle normative doganale e agricola (GU L 82 del 22.3.1997, pag. 1).

Testo della Commissione

Emendamento

Articolo 71 sexies

Modifiche della decisione 2009/917/GAI del Consiglio

La decisione 2009/917/GAI del Consiglio1 bis è così modificata:

(1)  l'articolo 25 è soppresso;

(2)  all'articolo 26, i paragrafi 2 e 3 sono sostituiti dal seguente:

"Le autorità di controllo nazionali e il garante europeo della protezione dei dati, agendo ciascuno nei limiti delle proprie competenze, cooperano tra loro conformemente all'articolo 62 del [nuovo regolamento (CE) n. 45/2001]".

_________________

1 bis Decisione 2009/917/GAI del Consiglio, del 30 novembre 2009, sull'uso dell'informatica nel settore doganale (GU L 323 del 10.12.2009, pag. 20).

Testo della Commissione

Emendamento

Articolo 71 septies

Modifiche del regolamento (UE) n. 1024/2012

Il regolamento (UE) n. 1024/2012 del Parlamento europeo e del Consiglio1 bis è così modificato:

all'articolo 21, i paragrafi 3 e 4 sono soppressi.

_________________

1 bis Regolamento (UE) n. 1024/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, relativo alla cooperazione amministrativa attraverso il sistema di informazione del mercato interno e che abroga la decisione 2008/49/CE della Commissione ("regolamento IMI") (GU L 316 del 14.11.2012, pag. 1).

Testo della Commissione

Emendamento

Articolo 71 octies

Modifiche del regolamento di esecuzione (UE) 2015/2447 della Commissione

Il regolamento di esecuzione (UE) 2015/2447 della Commissione1 bis è così modificato:

all'articolo 83, il paragrafo 8 è soppresso.

_________________

1 bis Regolamento di esecuzione (UE) 2015/2447 della Commissione, del 24 novembre 2015, recante modalità di applicazione di talune disposizioni del regolamento (UE) n. 952/2013 del Parlamento europeo e del Consiglio che istituisce il codice doganale dell'Unione (GU L 343 del 29.12.2015, pag. 558).

Testo della Commissione

Emendamento

Articolo 71 nonies

Modifiche del regolamento (UE) 2016/794

Il regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio1 bis è così modificato:

(1)  gli articoli 25, 28, 30, 36, 37, 40, 41 e 46 sono soppressi;

(2)  l'articolo 44 è sostituito dal seguente:

"Le autorità di controllo nazionali e il garante europeo della protezione dei dati, agendo ciascuno nei limiti delle proprie competenze, cooperano tra loro conformemente all'articolo 62 del [nuovo regolamento (CE) n. 45/2001]".

_________________

1 bis Regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, che istituisce l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI (GU L 135 del 24.5.2016, pag. 53).

Testo della Commissione

Emendamento

Articolo 71 decies

Modifiche del regolamento (UE) 2017/XX del Consiglio

Il regolamento (UE) n. 2017/... del Consiglio1 bis è così modificato:

(1)  gli articoli 36 sexies, 36 septies, 37, 37 ter, 37 quater, 37 quater quater, 37 quater quater quater, 37 quinquies, 37 sexies, 37 septies, 37 octies, 37 nonies, 37 decies, 37 undecies, 37 duodecies, 37 quindecies, 37 sexdecies, 41, 41 bis, 41 ter, 43 bis, 43 ter, 43 quater, 43 quinquies, 43 sexies e 46 sono soppressi;

(2)  l'articolo 45 è sostituito dal seguente:

"Le autorità di controllo nazionali e il garante europeo della protezione dei dati, agendo ciascuno nei limiti delle proprie competenze, cooperano tra loro conformemente all'articolo 62 del [nuovo regolamento (CE) n. 45/2001]".

_________________

1 bis Regolamento (UE) 2017/... del Consiglio, del ..., relativo all'attuazione di una cooperazione rafforzata sull'istituzione della Procura europea ("EPPO") (GU L ...).

Testo della Commissione

Emendamento

Articolo 71 undecies

Modifiche del regolamento (UE) 2017/XX

Il regolamento (UE) 2017/... del Parlamento europeo e del Consiglio1 bis è così modificato:

(1)  gli articoli 27, 29, 30, 31, 33, 36 e 37 sono soppressi;

(2)  l'articolo 35 è sostituito dal seguente:

"Le autorità di controllo nazionali e il garante europeo della protezione dei dati, agendo ciascuno nei limiti delle proprie competenze, cooperano tra loro conformemente all'articolo 62 del [nuovo regolamento (CE) n. 45/2001]".

_________________

1 bis Regolamento (UE) 2017/... del Parlamento europeo e del Consiglio che istituisce l'Agenzia dell'Unione europea per la cooperazione giudiziaria penale (Eurojust) (GU L ...).

Testo della Commissione

Emendamento

Articolo 71 duodecies

Modifiche del regolamento Eurodac (UE) 2017/XX

Il regolamento (UE) 2017/... del Parlamento europeo e del Consiglio1 bis è così modificato:

(1)  gli articoli 29, 30, 31 e 39 sono soppressi;

(2)  l'articolo 34 è sostituito dal seguente:

"Le autorità di controllo nazionali e il garante europeo della protezione dei dati, agendo ciascuno nei limiti delle proprie competenze, cooperano tra loro conformemente all'articolo 62 del [nuovo regolamento (CE) n. 45/2001]".

_________________

1 bis Regolamento (UE) 2017/... del Parlamento europeo e del Consiglio che istituisce l'"Eurodac" per il confronto delle impronte digitali per l'efficace applicazione del [regolamento (UE) n. 604/2013 che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di paese terzo o da un apolide], per l'identificazione di cittadini di paesi terzi o apolidi il cui soggiorno è irregolare e per le richieste di confronto con i dati Eurodac presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto (GU L ...).

Testo della Commissione

Emendamento

(1)  La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea (“Carta”) e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea (“TFUE”) stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

(1)  La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea (“Carta”) e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea (“TFUE”) stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Tale diritto è garantito inoltre dall'articolo 8 della Convenzione europea dei diritti dell'uomo.

Testo della Commissione

Emendamento

(2)  Il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio11 conferisce alle persone fisiche diritti giuridicamente tutelati, precisa gli obblighi dei titolari del trattamento in seno alle istituzioni e agli organi dell'Unione e istituisce un'autorità di controllo indipendente, il garante europeo della protezione dei dati, incaricata di sorvegliare il trattamento dei dati personali effettuato dalle istituzioni e dagli organi dell'Unione. Tuttavia esso non si applica al trattamento dei dati personali nel corso di un'attività delle istituzioni e degli organi dell'Unione che esuli dall'ambito di applicazione del diritto dell'Unione.

(2)  Il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio11 conferisce alle persone fisiche diritti giuridicamente tutelati, precisa gli obblighi dei titolari del trattamento in seno alle istituzioni e agli organi dell'Unione e istituisce un'autorità di controllo indipendente, il garante europeo della protezione dei dati, incaricata di sorvegliare il trattamento dei dati personali effettuato dalle istituzioni e dagli organi dell'Unione. Inoltre, il regolamento (CE) n. 45/2001 persegue due obiettivi: salvaguardare il diritto fondamentale alla protezione dei dati e garantire la libera circolazione dei dati personali in tutta l'Unione. Tuttavia esso non si applica al trattamento dei dati personali nel corso di un'attività delle istituzioni e degli organi dell'Unione che esuli dall'ambito di applicazione del diritto dell'Unione.

_________________

_______________

11 Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

11 Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

Testo della Commissione

Emendamento

(5)  È nell'interesse di un approccio coerente alla protezione dei dati in tutta l'Unione e alla libera circolazione dei dati personali all'interno dell'Unione allineare per quanto possibile le norme sulla protezione dei dati per le istituzioni e gli organi dell'Unione a quelle adottate per il settore pubblico degli Stati membri. Quando le disposizioni del presente regolamento si basano sullo stesso concetto su cui si basano le disposizioni del regolamento (UE) 2016/679, le disposizioni dei due regolamenti dovrebbero essere interpretate in modo omogeneo, in particolare in considerazione del fatto che il regime del presente regolamento dovrebbe essere inteso come equivalente a quello del regolamento (UE) 2016/679.

(5)  È nell'interesse di un approccio coerente alla protezione dei dati in tutta l'Unione e alla libera circolazione dei dati personali all'interno dell'Unione allineare le norme sulla protezione dei dati per le istituzioni, gli organi, gli uffici e le agenzie dell'Unione a quelle adottate per il settore pubblico degli Stati membri. Quando le disposizioni del presente regolamento si basano sullo stesso concetto su cui si basano le disposizioni del regolamento (UE) 2016/679, le disposizioni dei due regolamenti dovrebbero, conformemente alla giurisprudenza della Corte di giustizia dell'Unione europea1 bis, essere interpretate in modo omogeneo, in particolare in considerazione del fatto che il regime del presente regolamento dovrebbe essere inteso come equivalente a quello del regolamento (UE) 2016/679.

_________________

1 bis Sentenza della Corte di giustizia del 9 marzo 2010, Commissione/Germania, C-518/07, ECLI:EU:C:2010:125, punti 26 e 28;

Testo della Commissione

Emendamento

(10)  Laddove l'atto istitutivo di un'agenzia dell'Unione che svolge attività rientranti nell'ambito di applicazione del titolo V, capi 4 e 5, del trattato stabilisca un regime di protezione dei dati indipendente per quanto riguarda il trattamento dei dati personali operativi, tale regime non dovrebbe essere interessato dal presente regolamento. Tuttavia, in conformità all'articolo 62 della direttiva (UE) 2016/680, la Commissione, entro il 6 maggio 2019, dovrebbe riesaminare gli atti dell'Unione che disciplinano il trattamento da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica e formulare, ove opportuno, le proposte necessarie per modificarli in modo da garantire un approccio coerente alla protezione dei dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia.

(10)  Laddove l'atto istitutivo di un'agenzia dell'Unione che svolge attività rientranti nell'ambito di applicazione del titolo V, capi 4 e 5, del trattato stabilisca un regime di protezione dei dati indipendente per quanto riguarda il trattamento dei dati personali operativi, tale regime non dovrebbe essere interessato dal presente regolamento, purché sia coerente con le disposizioni del regolamento (UE) 2016/679. Tuttavia, in conformità all'articolo 62 della direttiva (UE) 2016/680, la Commissione, entro il 6 maggio 2019, dovrebbe riesaminare gli atti dell'Unione che disciplinano il trattamento da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica e formulare, ove opportuno, le proposte necessarie per modificarli in modo da garantire un approccio coerente alla protezione dei dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia.

Motivazione

Qualsiasi regime di protezione dei dati deve essere coerente con il regolamento generale sulla protezione dei dati.

Testo della Commissione

Emendamento

(14)  Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.

(14)  Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso. Tuttavia, l'interessato dovrebbe avere il diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso espresso prima della revoca.

Testo della Commissione

Emendamento

(18)  Il diritto dell'Unione, comprese le norme interne di cui al presente regolamento, dovrebbe essere chiaro e preciso, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell'Unione europea e della Corte europea dei diritti dell'uomo.

(18)  Il diritto dell'Unione dovrebbe essere chiaro e preciso, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell'Unione europea e della Corte europea dei diritti dell'uomo.

Testo della Commissione

Emendamento

(23)  Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l'origine razziale o etnica, essendo inteso che l'utilizzo dei termini «origine razziale» nel presente regolamento non implica l'accettazione da parte dell'Unione di teorie che tentano di dimostrare l'esistenza di razze umane distinte. Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l'identificazione univoca o l'autenticazione di una persona fisica. Oltre ai requisiti specifici per il trattamento dei dati sensibili, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l'altro se l'interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l'esercizio delle libertà fondamentali.

(23)  Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l'origine razziale o etnica, essendo inteso che l'utilizzo dei termini «origine razziale» nel presente regolamento non implica l'accettazione da parte dell'Unione di teorie che tentano di dimostrare l'esistenza di razze umane distinte. Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l'identificazione univoca o l'autenticazione di una persona fisica. Oltre ai requisiti specifici per il trattamento dei dati sensibili, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l'altro se l'interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l'esercizio delle libertà fondamentali.

Testo della Commissione

Emendamento

(23 bis)  Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate per finalità connesse alla salute soltanto qualora necessario per conseguire tali finalità a beneficio delle persone fisiche e dell'intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale. Pertanto il presente regolamento dovrebbe prevedere condizioni armonizzate per il trattamento di categorie particolari di dati personali relativi alla salute in relazione a esigenze specifiche, in particolare qualora il trattamento di tali dati sia effettuato da persone vincolate dal segreto professionale per talune finalità connesse alla salute. Il diritto dell'Unione dovrebbe prevedere misure specifiche e appropriate a protezione dei diritti fondamentali e dei dati personali delle persone fisiche.

Testo della Commissione

Emendamento

(24)  Il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell'interessato. Tale trattamento dovrebbe essere soggetto a misure appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche. In tale contesto, la nozione di «sanità pubblica» dovrebbe essere interpretata secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio15: tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all'assistenza sanitaria, la prestazione di assistenza sanitaria e l'accesso universale a essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità. Il trattamento dei dati relativi alla salute effettuato per motivi di interesse pubblico non dovrebbe comportare il trattamento dei dati personali per altre finalità da parte di terzi.

(24)  Il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell'interessato. Tale trattamento dovrebbe essere soggetto a misure proporzionate, appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche. In tale contesto, la nozione di «sanità pubblica» dovrebbe essere interpretata secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio15: tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all'assistenza sanitaria, la prestazione di assistenza sanitaria e l'accesso universale a essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità. Il trattamento dei dati relativi alla salute effettuato per motivi di interesse pubblico non dovrebbe condurre ad ulteriore trattamento per altre finalità.

_________________

_________________

15 Regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008, relativo alle statistiche comunitarie in materia di sanità pubblica e di salute e sicurezza sul luogo di lavoro (GU L 354 del 31.12.2008, pag. 70).

15 Regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008, relativo alle statistiche comunitarie in materia di sanità pubblica e di salute e sicurezza sul luogo di lavoro (GU L 354 del 31.12.2008, pag. 70).

Motivazione

I dati relativi alla salute sono particolarmente sensibili e il trattamento di tali dati sensibili necessita di specifiche limitazioni a quanto strettamente necessario. In particolare, tali dati non possono finire in possesso di terzi che li tratterebbero ulteriormente.

Testo della Commissione

Emendamento

Gli atti giuridici adottati sulla base dei trattati o le norme interne delle istituzioni e degli organi dell'Unione possono imporre limitazioni a specifici principi e ai diritti di informazione, accesso e rettifica o cancellazione dei dati personali, al diritto alla portabilità dei dati, alla riservatezza delle comunicazioni elettroniche nonché alla comunicazione di una violazione di dati personali all'interessato e ad alcuni obblighi connessi in capo ai titolari del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica, delle attività di prevenzione, indagine e perseguimento di reati o dell'esecuzione di sanzioni penali, tra cui la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, ivi comprese la tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, la sicurezza interna delle istituzioni e degli organi dell'Unione, altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, in particolare un interesse economico o finanziario rilevante dell'Unione o di uno Stato membro, la tenuta di registri pubblici per ragioni di interesse pubblico generale o la tutela dell'interessato o dei diritti e delle libertà altrui, compresi la protezione sociale, la sanità pubblica e gli scopi umanitari.

Gli atti giuridici adottati sulla base dei trattati possono imporre limitazioni a specifici principi e ai diritti di informazione, accesso e rettifica o cancellazione dei dati personali, al diritto alla portabilità dei dati, alla riservatezza delle comunicazioni elettroniche nonché alla comunicazione di una violazione di dati personali all'interessato e ad alcuni obblighi connessi in capo ai titolari del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica, delle attività di prevenzione, indagine e perseguimento di reati o dell'esecuzione di sanzioni penali, tra cui la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, ivi comprese la tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, la sicurezza interna delle istituzioni e degli organi dell'Unione, altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, in particolare un interesse economico o finanziario rilevante dell'Unione o di uno Stato membro, la tenuta di registri pubblici per ragioni di interesse pubblico generale o la tutela dell'interessato o dei diritti e delle libertà altrui, compresi la protezione sociale, la sanità pubblica e gli scopi umanitari.

Testo della Commissione

Emendamento

Qualora gli atti giuridici adottati sulla base dei trattati o le norme interne non prevedano una limitazione, le istituzioni e gli organi dell'Unione possono, in casi specifici, imporre una limitazione ad hoc concernente specifici principi e i diritti dell'interessato se tale limitazione rispetta l'essenza dei diritti e delle libertà fondamentali e, in relazione a un trattamento specifico, è necessaria e proporzionata in una società democratica per salvaguardare uno o più degli obiettivi di cui al paragrafo 1. La limitazione dovrebbe essere comunicata al responsabile della protezione dei dati. Tutte le limitazioni dovrebbero essere conformi alla Carta e alla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali.

soppresso

Testo della Commissione

Emendamento

(42)  Per dimostrare che si conformano al presente regolamento, i titolari del trattamento dovrebbero tenere un registro delle attività di trattamento effettuate sotto la propria responsabilità e i responsabili del trattamento dovrebbero tenere un registro delle categorie di attività di trattamento effettuate sotto la propria responsabilità. Sarebbe necessario obbligare le istituzioni e gli organi dell'Unione a cooperare con il garante europeo della protezione dei dati e a mettere, su richiesta, i propri registri a sua disposizione affinché possano servire per monitorare detti trattamenti. È opportuno che le istituzioni e gli organi dell'Unione siano in grado di istituire un registro centrale in cui registrare le proprie attività di trattamento. Per motivi di trasparenza, dovrebbero poter rendere tale registro pubblico.

(42)  Per dimostrare che si conformano al presente regolamento, i titolari del trattamento dovrebbero tenere un registro delle attività di trattamento effettuate sotto la propria responsabilità e i responsabili del trattamento dovrebbero tenere un registro delle categorie di attività di trattamento effettuate sotto la propria responsabilità. Sarebbe necessario obbligare le istituzioni e gli organi dell'Unione a cooperare con il garante europeo della protezione dei dati e a mettere, su richiesta, i propri registri a sua disposizione affinché possano servire per monitorare detti trattamenti. È opportuno che le istituzioni e gli organi dell'Unione siano in grado di istituire un registro centrale in cui registrare le proprie attività di trattamento. Per motivi di trasparenza, dovrebbero rendere tale registro pubblico. Gli interessati dovrebbero avere la possibilità di consultare tale registro attraverso il responsabile della protezione dei dati del titolare del trattamento.

Testo della Commissione

Emendamento

(46)  Il titolare del trattamento dovrebbe comunicare all'interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie. La comunicazione dovrebbe descrivere la natura della violazione dei dati personali e formulare raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi. Tali comunicazioni agli interessati dovrebbero essere effettuate non appena ragionevolmente possibile e in stretta collaborazione con il garante europeo della protezione dei dati e nel rispetto degli orientamenti impartiti da questo o da altre autorità competenti quali le autorità incaricate dell'applicazione della legge.

(46)  Il titolare del trattamento dovrebbe comunicare all'interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie. La comunicazione dovrebbe essere riservata e dovrebbe descrivere la natura della violazione dei dati personali e formulare raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi. Tali comunicazioni agli interessati dovrebbero essere effettuate non appena ragionevolmente possibile e in stretta collaborazione con il garante europeo della protezione dei dati e nel rispetto degli orientamenti impartiti da questo o da altre autorità competenti quali le autorità incaricate dell'applicazione della legge.

Testo della Commissione

Emendamento

(52)  È opportuno che, quando i dati personali sono trasferiti da istituzioni e organi dell'Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di tutela delle persone fisiche assicurato nell'Unione dal presente regolamento non sia compromesso, anche nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall'organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo o presso un'altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali potrebbero essere effettuati soltanto nel pieno rispetto del presente regolamento. Il trasferimento potrebbe aver luogo soltanto se, fatte salve le altre disposizioni del presente regolamento, il titolare del trattamento o il responsabile del trattamento rispetta le condizioni stabilite dalle disposizioni del presente regolamento in relazione al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali.

(52)  È opportuno che, quando i dati personali sono trasferiti da istituzioni e organi dell'Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di tutela delle persone fisiche assicurato nell'Unione dal presente regolamento sia garantito, anche nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall'organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo o presso un'altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali potrebbero essere effettuati soltanto nel pieno rispetto del presente regolamento e in conformità con il regolamento (UE) 2016/679 nonché con i diritti e le libertà fondamentali sanciti dalla Carta. Il trasferimento potrebbe aver luogo soltanto se, fatte salve le altre disposizioni del presente regolamento, il titolare del trattamento o il responsabile del trattamento rispetta le condizioni stabilite dalle disposizioni del presente regolamento in relazione al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali.

Testo della Commissione

Emendamento

(54)  In mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento dovrebbe provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell'interessato. Tali adeguate garanzie possono consistere nell'applicazione di clausole tipo di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate dal garante europeo della protezione dei dati o clausole contrattuali autorizzate dal garante europeo della protezione dei dati. Quando il responsabile del trattamento non è un'istituzione o un organo dell'Unione tali adeguate garanzie possono anche consistere in norme vincolanti d'impresa, codici di condotta e meccanismi di certificazione utilizzati per i trasferimenti internazionali a norma del regolamento (UE) 2016/679. Tali garanzie dovrebbero assicurare un rispetto dei requisiti in materia di protezione dei dati e dei diritti degli interessati adeguato ai trattamenti all'interno dell'Unione, compresa la disponibilità di diritti azionabili degli interessati e di mezzi di ricorso effettivi, fra cui il ricorso effettivo in sede amministrativa o giudiziale e la richiesta di risarcimento, nell'Unione o in un paese terzo. Esse dovrebbero riguardare, in particolare, la conformità rispetto ai principi generali in materia di trattamento dei dati personali e ai principi di protezione dei dati fin dalla progettazione e di protezione dei dati di default. I trasferimenti possono essere effettuati anche da istituzioni e organi dell'Unione ad autorità pubbliche o organismi pubblici di paesi terzi, o organizzazioni internazionali con analoghi compiti o funzioni, anche sulla base di disposizioni da inserire in accordi amministrativi, quali un memorandum d'intesa, che prevedano per gli interessati diritti effettivi e azionabili. L'autorizzazione del garante europeo della protezione dei dati dovrebbe essere ottenuta quando le garanzie sono offerte nell'ambito di accordi amministrativi giuridicamente non vincolanti.

soppresso

Testo della Commissione

Emendamento

1.  Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell'Unione, nonché norme relative alla libera circolazione dei dati personali tra tali istituzioni, organi, uffici e agenzie o verso destinatari stabiliti nell'Unione e soggetti al regolamento (UE) 2016/67918 o alle disposizioni della legislazione nazionale adottata a norma della direttiva (UE) 2016/68019.

1.  Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell'Unione, nonché norme relative alla libera circolazione dei dati personali tra tali istituzioni, organi, uffici e agenzie o verso destinatari stabiliti nell'Unione.

_________________

18 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (Testo rilevante ai fini del SEE) (GU L 119 del 4.5.2016, pag. 1).

19 Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).

Testo della Commissione

Emendamento

2.  Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

2.  Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche sanciti dalla Carta, in particolare il diritto alla protezione dei dati personali.

Testo della Commissione

Emendamento

2 bis.  Il presente regolamento si applica altresì alle agenzie dell'Unione che svolgono attività rientranti nel campo di applicazione della parte terza, titolo V, capi 4 e 5 TFUE, inclusi i casi in cui gli atti istitutivi di tali agenzie dell'Unione stabiliscano un regime di protezione dei dati indipendente per quanto riguarda il trattamento dei dati personali operativi. Le disposizioni del presente regolamento prevalgono sulle disposizioni contrarie degli atti istitutivi di tali agenzie dell'Unione.

Testo della Commissione

Emendamento

d)  esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti o incompleti rispetto alle finalità per le quali sono raccolti o successivamente trattati ("esattezza");

d)  esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati personali inesatti o incompleti rispetto alle finalità per le quali sono trattati ("esattezza");

Testo della Commissione

Emendamento

Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione

(Non concerne la versione italiana)

Motivazione

(Non concerne la versione italiana)

Testo della Commissione

Emendamento

Trasmissione di dati personali a destinatari, diversi dalle istituzioni e dagli organi dell'Unione, stabiliti nell'Unione e soggetti al regolamento (UE) 2016/679 o alla direttiva (UE) 2016/680.

Trasmissione di dati personali a destinatari, diversi dalle istituzioni e dagli organi dell'Unione, stabiliti nell'Unione

Testo della Commissione

Emendamento

b)  la trasmissione dei dati è necessaria e proporzionata alle finalità cui è destinata e non sussistono motivi per presumere che i diritti, le libertà e i legittimi interessi dell'interessato possano subire pregiudizio.

b)  la trasmissione dei dati è strettamente necessaria, tenuto conto degli obiettivi del destinatario, e non sussiste alcun motivo per presumere che i diritti, le libertà e i legittimi interessi dell'interessato possano subire pregiudizio a causa del trasferimento dei dati richiesti o dell'ulteriore uso ragionevolmente prevedibile di tali dati personali da parte del destinatario.

Testo della Commissione

Emendamento

Il trattamento di dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 5, paragrafo 1, può avvenire solo se autorizzato dal diritto dell'Unione, che può comprendere norme interne che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

Il trattamento di dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 5, paragrafo 1, può avvenire solo se autorizzato dal diritto dell'Unione che prevede garanzie appropriate per i diritti e le libertà degli interessati.

Testo della Commissione

Emendamento

b)  comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento;

b)  comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e il legittimo interesse dell'interessato, anche rendendo pubbliche le informazioni;

Testo della Commissione

Emendamento

1.  Gli atti giuridici adottati sulla base dei trattati oppure, per le questioni relative al funzionamento delle istituzioni e degli organi dell'Unione, le norme interne stabilite da questi ultimi possono limitare l'applicazione degli articoli da 14 a 22 e degli articoli 34 e 38, nonché dell'articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22, qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:

1.  Gli atti giuridici adottati sulla base dei trattati possono limitare l'applicazione degli articoli da 14 a 22 e degli articoli 34 e 38, nonché dell'articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22, qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:

Motivazione

L'emendamento intende allineare le disposizioni del presente regolamento alle disposizioni del regolamento generale per la protezione dei dati, in seguito al parere del GEPD.

Testo della Commissione

Emendamento

1 bis.  In particolare, qualsiasi atto giuridico di cui al paragrafo 1 contiene disposizioni specifiche riguardanti almeno, se del caso:

a)  le finalità del trattamento o delle categorie di trattamento;

b)  le categorie di dati personali;

c)  la portata della limitazione introdotta;

d)  le garanzie per prevenire abusi o l'accesso o il trasferimento illeciti;

e)  l'indicazione precisa del titolare del trattamento o delle categorie di titolari;

f)  i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell'ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento;

g)  i rischi per i diritti e le libertà degli interessati; e

h)  il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa.

Testo della Commissione

Emendamento

2.  Se non è prevista alcuna limitazione da un atto giuridico adottato sulla base dei trattati o da una norma interna conformemente al paragrafo 1, le istituzioni e gli organi dell'Unione possono limitare l'applicazione degli articoli da 14 a 22 e degli articoli 34 e 38, nonché dell'articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22, qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali, in relazione a un trattamento specifico, e sia una misura necessaria e proporzionata in una società democratica per salvaguardare uno o più degli obiettivi di cui al paragrafo 1. La limitazione è comunicata al responsabile della protezione dei dati competente.

soppresso

Testo della Commissione

Emendamento

3.  Se i dati personali sono trattati a fini di ricerca scientifica o storica o a fini statistici, il diritto dell'Unione, che può comprendere norme interne, può prevedere deroghe ai diritti di cui agli articoli 17, 18, 20 e 23, fatte salve le condizioni e le garanzie di cui all'articolo 13, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.

3.  Se i dati personali sono trattati a fini di ricerca scientifica o storica o a fini statistici, il diritto dell'Unione può prevedere deroghe ai diritti di cui agli articoli 17, 18, 20 e 23, fatte salve le condizioni e le garanzie di cui all'articolo 13, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.

Testo della Commissione

Emendamento

4.  Se i dati personali sono trattati per finalità di archiviazione nel pubblico interesse, il diritto dell'Unione, che può comprendere norme interne, può prevedere deroghe ai diritti di cui agli articoli 17, 18, 20, 21, 22 e 23, fatte salve le condizioni e le garanzie di cui all'articolo 13, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.

4.  Se i dati personali sono trattati per finalità di archiviazione nel pubblico interesse, il diritto dell'Unione può prevedere deroghe ai diritti di cui agli articoli 17, 18, 20, 21, 22 e 23, fatte salve le condizioni e le garanzie di cui all'articolo 13, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.

Testo della Commissione

Emendamento

5.  Le norme interne di cui ai paragrafi 1, 3 e 4, sono sufficientemente chiare, precise e oggetto di una pubblicazione adeguata.

soppresso

Testo della Commissione

Emendamento

6.  Qualora si applichi una delle limitazioni di cui ai paragrafi 1 o 2, l'interessato è informato, conformemente al diritto dell'Unione, dei principali motivi della limitazione e del suo diritto di proporre reclamo al garante europeo della protezione dei dati.

6.  Qualora si applichi una delle limitazioni di cui al paragrafo 1, l'interessato è informato, conformemente al diritto dell'Unione, dei principali motivi della limitazione e del suo diritto di proporre reclamo al garante europeo della protezione dei dati.

Testo della Commissione

Emendamento

7.  Qualora si applichino le limitazioni previste ai paragrafi 1 e 2 per negare all'interessato l'accesso ai dati che lo riguardano, il garante europeo della protezione dei dati, nell'esaminare il reclamo, gli comunica solo se i dati sono stati trattati correttamente ovvero, in caso contrario, se sono state apportate tutte le rettifiche necessarie.

7.  Qualora si applichino le limitazioni previste al paragrafo 1 per negare all'interessato l'accesso ai dati che lo riguardano, il garante europeo della protezione dei dati, nell'esaminare il reclamo, gli comunica solo se i dati sono stati trattati correttamente ovvero, in caso contrario, se sono state apportate tutte le rettifiche necessarie.

Testo della Commissione

Emendamento

8.  La comunicazione delle informazioni di cui ai paragrafi 6 e 7 e all'articolo 46, paragrafo 2, può essere rinviata, omessa o negata qualora annulli l'effetto della limitazione imposta in forza dei paragrafi 1 o 2.

8.  La comunicazione delle informazioni di cui ai paragrafi 6 e 7 e all'articolo 46, paragrafo 2, può essere rinviata, omessa o negata qualora annulli l'effetto della limitazione imposta in forza del paragrafo 1.

Testo della Commissione

Emendamento

5.  Le istituzioni e gli organi dell'Unione possono decidere di conservare i loro registri delle attività di trattamento in un registro centrale. In tal caso, possono decidere anche di rendere il registro accessibile al pubblico.

5.  Le istituzioni e gli organi dell'Unione conservano i loro registri delle attività di trattamento in un registro centrale. Per motivi di trasparenza, essi dovrebbero inoltre rendere pubblico tale registro in modo che gli interessati lo possano consultare senza che tale consultazione pregiudichi i diritti di altre parti interessate.

Testo della Commissione

Emendamento

5 bis.  Gli interessati hanno la possibilità di consultare il registro centrale di cui al paragrafo 5 attraverso il responsabile della protezione dei dati del titolare del trattamento.

Testo della Commissione

Emendamento

Le istituzioni e gli organi dell'Unione garantiscono la riservatezza delle comunicazioni elettroniche, in particolare proteggendo le proprie reti di comunicazione elettronica.

Le istituzioni e gli organi dell'Unione garantiscono la riservatezza delle comunicazioni elettroniche, in ottemperanza al regolamento (UE) 2017/XXXX.

Motivazione

La proposta legislativa specifica relativa alla riservatezza della comunicazione elettronica sarà il regolamento basato sulla proposta della Commissione COM(2017)0010 e dovrebbe pertanto essere citata.

Testo della Commissione

Emendamento

Articolo 36

soppresso

Elenchi di utenti

1.   I dati personali contenuti in elenchi di utenti e l'accesso a detti elenchi sono limitati allo stretto necessario ai fini specifici degli elenchi.

2.   Le istituzioni e gli organi dell'Unione prendono le misure necessarie per impedire che i dati personali contenuti in tali elenchi siano utilizzati a fini di diffusione commerciale diretta, indipendentemente dal fatto che gli elenchi siano o meno accessibili al pubblico.

Testo della Commissione

Emendamento

2.  Se un atto di cui al paragrafo 1 è di particolare rilevanza per la tutela dei diritti e delle libertà fondamentali delle persone in relazione al trattamento di dati personali, la Commissione può consultare anche il comitato europeo per la protezione dei dati. In tali casi, il garante europeo per la protezione dei dati e il comitato europeo per la protezione dei dati coordinano le proprie attività al fine di emettere un parere congiunto.

2.  Se un atto di cui al paragrafo 1 è di particolare rilevanza per la tutela dei diritti e delle libertà fondamentali delle persone in relazione al trattamento di dati personali, la Commissione consulta anche il comitato europeo per la protezione dei dati. In tali casi, il garante europeo per la protezione dei dati e il comitato europeo per la protezione dei dati coordinano le proprie attività al fine di emettere un parere congiunto.

Testo della Commissione

Emendamento

4.  Il responsabile della protezione dei dati può essere un membro del personale dell'istituzione o dell'organo dell'Unione oppure assolvere i suoi compiti in base a un contratto di servizi.

4.  Il responsabile della protezione dei dati è un membro del personale dell'istituzione, dell'organo, dell'ufficio o dell'agenzia dell'Unione.

Motivazione

L'esternalizzazione di un responsabile della protezione dei dati non risulta adeguata per un'istituzione dell'Unione.

Testo della Commissione

Emendamento

b bis)  garantire che le operazioni di trattamento non ledano i diritti e le libertà degli interessati;

Testo della Commissione

Emendamento

1.  Il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale è ammesso se la Commissione ha deciso, ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679, che è garantito un livello di protezione adeguato nel paese terzo, in un territorio o in uno o più settori specifici all'interno del paese terzo o all'interno dell'organizzazione internazionale, e che i dati personali sono trasferiti esclusivamente per consentire lo svolgimento dei compiti che rientrano nelle competenze del titolare del trattamento.

1.  Il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale è ammesso se la Commissione ha adottato un atto di esecuzione, ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679, che sancisca un livello di protezione adeguato nel paese terzo, in un territorio o in uno o più settori specifici all'interno del paese terzo o all'interno dell'organizzazione internazionale, e che i dati personali sono trasferiti esclusivamente per consentire lo svolgimento dei compiti che rientrano nelle competenze del titolare del trattamento. L'atto di esecuzione prevede un meccanismo di riesame periodico, almeno ogni quattro anni, che tenga conto di tutti gli sviluppi pertinenti nel paese terzo o nell'organizzazione internazionale. L'atto di esecuzione indica inoltre il proprio ambito di applicazione geografico e settoriale e identifica l'autorità di controllo. Si applica il capo V del regolamento (UE) 2016/679.

Motivazione

Le norme relative al trasferimento di dati personali a paesi terzi o alle istituzioni di paesi terzi devono essere coerenti con le norme pertinenti contenute nel regolamento generale sulla protezione dei dati, al fine di non creare lacune o incoerenze giuridiche. Segnatamente, occorre sottolineare il meccanismo di riesame.

Testo della Commissione

Emendamento

1.  Il Parlamento europeo e il Consiglio nominano di comune accordo il garante europeo della protezione dei dati, per un periodo di cinque anni, in base a un elenco predisposto dalla Commissione dopo un invito pubblico a presentare candidature. Tale invito consente a tutte le parti interessate nell'insieme dell'Unione di presentare la propria candidatura. L'elenco di candidati elaborato dalla Commissione è pubblico. Sulla base dell'elenco elaborato dalla Commissione, la commissione competente del Parlamento europeo può decidere di organizzare un'audizione per poter esprimere una preferenza.

1.  Il Parlamento europeo e il Consiglio nominano di comune accordo il garante europeo della protezione dei dati, per un periodo di cinque anni, in base a un elenco predisposto congiuntamente dal Parlamento europeo, dal Consiglio e dalla Commissione dopo un invito pubblico a presentare candidature. Tale invito consente a tutte le parti interessate nell'insieme dell'Unione di presentare la propria candidatura. L'elenco di candidati è pubblico e consiste di almeno cinque candidati. La commissione competente del Parlamento europeo può decidere di organizzare un'audizione dei candidati per poter esprimere una preferenza.

Testo della Commissione

Emendamento

2.  L'elenco elaborato dalla Commissione da cui viene scelto il garante europeo della protezione dei dati è composto da personalità che offrono ogni garanzia di indipendenza e che possiedono un'esperienza e delle competenze notorie per l'esercizio delle funzioni di garante europeo della protezione dei dati, come ad esempio il far parte o l'aver fatto parte delle autorità di controllo di cui all'articolo 41 del regolamento (UE) 2016/679.

2.  L'elenco elaborato congiuntamente dal Parlamento europeo, dal Consiglio e dalla Commissione da cui viene scelto il garante europeo della protezione dei dati è composto da personalità che offrono ogni garanzia di indipendenza e che possiedono una conoscenza specialistica nel settore della protezione dei dati come pure un'esperienza e delle competenze notorie per l'esercizio delle funzioni di garante europeo della protezione dei dati, come ad esempio il far parte o l'aver fatto parte delle autorità di controllo di cui all'articolo 41 del regolamento (UE) 2016/679.

Testo della Commissione

Emendamento

1 bis.  Nei casi in cui l'interessato sia un minore, gli Stati membri prevedono garanzie specifiche, in particolare per quanto riguarda l'assistenza legale.

Motivazione

I minori possono essere più vulnerabili degli adulti e dovrebbero essere previste clausole di garanzia specifiche negli Stati membri, segnatamente per quanto riguarda l'assistenza legale, al fine di garantire i diritti dei minori.

Testo della Commissione

Emendamento

CAPO IX bis

Articolo 70 bis

Clausola di revisione

1.  Al più tardi entro il 1° giugno 2021, e successivamente ogni cinque anni, la Commissione presenta al Parlamento europeo una relazione sull'applicazione del presente regolamento, corredata, se necessario, di opportune proposte legislative.

2.  La valutazione ex-post di cui al paragrafo 1 dedica particolare attenzione all'adeguatezza dell'ambito di applicazione del presente regolamento, alla coerenza con altri atti legislativi in materia di protezione dei dati e valuta, in particolare, l'attuazione del capo V del presente regolamento.

3.  Al più tardi entro il 1° giugno 2021, e successivamente ogni cinque anni, la Commissione presenta al Parlamento europeo una relazione sull'applicazione del capo VIII del presente regolamento e sulle penali e sanzioni applicate.

Motivazione

Alla luce della volontà di "legiferare meglio" e in particolare dell'uso efficace delle valutazioni ex-post al fine di comprendere l'intero ciclo legislativo, riveste particolare interesse seguire il recepimento, l'attuazione e l'applicazione del diritto dell'Unione e, più in generale, controllare l'impatto, il funzionamento e l'efficacia di tale diritto. Una clausola di revisione esaustiva, che richieda una valutazione adeguata dell'applicazione del regolamento, del suo ambito di applicazione e della deroga di poteri prevista e che preveda obblighi di relazione adeguati assolve a questo scopo.

Testo della Commissione

Emendamento

Articolo 72 bis

Riesame degli atti giuridici dell'Unione

Entro il 25 maggio 2021, la Commissione riesamina gli altri atti giuridici adottati a norma dei trattati che disciplinano il trattamento dei dati personali, in particolare da parte delle agenzie istituite conformemente alla parte terza, titolo V, capi 4 e 5 TFUE, al fine di valutare la necessità di allinearli al presente regolamento e avanzare, ove opportuno, le proposte necessarie per modificarli in modo da garantire un approccio coerente alla protezione dei dati personali nell'ambito del presente regolamento.