Indice 
Testi approvati
Mercoledì 12 marzo 2014 - Strasburgo
Ruolo regionale e relazioni politiche del Pakistan con l'UE
 Scudo antimissile per l'Europa
 Settore della pesca europeo e accordo di libero scambio tra l'UE e la Thailandia
 Patrimonio gastronomico europeo
 Tutela delle persone fisiche con riguardo al trattamento dei dati personali ***I
 Protezione dell’euro contro la contraffazione (Pericle 2020) ***
 Accordo UE-Azerbaigian relativo alla facilitazione del rilascio dei visti ***
 Accordo UE-Azerbaigian relativo alla riammissione delle persone che soggiornano illegalmente ***
 Impegno umanitario dei soggetti armati non statali per la protezione dei minori
 Numero delle delegazioni interparlamentari, delle delegazioni alle commissioni parlamentari miste e delle delegazioni alle commissioni di cooperazione parlamentare e alle assemblee parlamentari multilaterali
 Fornitura di informazioni sugli alimenti ai consumatori, per quanto riguarda la definizione di "nanomateriali ingegnerizzati"
 Trattamento dei dati personali ai fini di prevenzione di reati ***I
 Istituzione del cielo unico europeo ***I
 Aeroporti, gestione del traffico aereo e servizi di navigazione aerea ***I
 Pacchetti turistici e servizi turistici assistiti ***I
 Gas fluorurati a effetto serra ***I
 Libera circolazione dei lavoratori ***I
 Valutazione dell’impatto ambientale di determinati progetti pubblici e privati ***I
 Statistiche del commercio estero con i paesi terzi (poteri delegati e di esecuzione) ***I
 Programma Copernicus ***I
 Agenzia del GNSS europeo ***I
 Priorità per le relazioni dell'UE con i paesi del partenariato orientale
 Programma di sorveglianza dell'Agenzia per la sicurezza nazionale degli Stati Uniti e impatto sui diritti fondamentali dei cittadini dell'UE
 Valutazione della giustizia in relazione alla giustizia penale e allo Stato di diritto
 Prepararsi a un mondo audiovisivo caratterizzato dalla piena convergenza
 Relazione 2013 sulla cittadinanza UE
 Procura europea
 Relazione 2013 sui progressi compiuti dalla Turchia
 Strategia dell'Unione europea per la regione artica

Ruolo regionale e relazioni politiche del Pakistan con l'UE
PDF 144kWORD 61k
Risoluzione del Parlamento europeo del 12 marzo 2014 sul ruolo regionale e le relazioni politiche del Pakistan con l'UE (2013/2168(INI))
P7_TA(2014)0208A7-0117/2014

Il Parlamento europeo,

–  visti l'articolo 2 del trattato sull'Unione europea e l'articolo 21 del trattato sul funzionamento dell'Unione europea,

–  visto il piano d'impegno quinquennale UE-Pakistan del febbraio 2012(1),

–  visti il quadro strategico e il piano d'azione dell'UE sui diritti umani e la democrazia (11855/2012) adottati dal Consiglio "Affari esteri" il 25 giugno 2012(2),

–  viste la strategia europea in materia di sicurezza "Un'Europa sicura in un mondo migliore", adottata dal Consiglio europeo il 12 dicembre 2003, e la relazione sulla sua attuazione "Garantire sicurezza in un mondo in piena evoluzione", approvata dal Consiglio europeo l'11 e 12 dicembre 2008,

–  visto il regolamento (UE) n. 978/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, relativo all'applicazione di un sistema di preferenze tariffarie generalizzate(3) e che prevede, segnatamente, il regime speciale di incentivazione per lo sviluppo sostenibile e il buon governo ("SPG+"),

–  visto l'allegato VIII del succitato regolamento, che elenca le convenzioni essenziali ONU/OIL sui diritti umani e sul diritto del lavoro e le convenzioni relative ai principi ambientali e di buon governo, che il Pakistan ha ratificato e a cui ha deciso di dare effettiva attuazione,

–  viste le conclusioni del Consiglio "Affari esteri" dell'11 marzo 2013 sul Pakistan,

–  viste la sua risoluzione del 7 febbraio 2013 sulle recenti aggressioni ai danni di operatori sanitari in Pakistan(4), la sua posizione del 13 settembre 2012 sulla proposta di regolamento del Parlamento europeo e del Consiglio recante preferenze commerciali autonome d'urgenza per il Pakistan(5), e la sua risoluzione del 15 dicembre 2011 sulla situazione delle donne in Afghanistan e in Pakistan(6), nonché la visita di una delegazione in Pakistan, del mese di agosto 2013, della sottocommissione per i diritti dell'uomo,

–  vista la relazione, del 18 settembre 2013, del relatore speciale delle Nazioni Unite sulla promozione e la protezione dei diritti umani e delle libertà fondamentali nell'ambito della lotta contro il terrorismo, Ben Emmerson, e vista la relazione, del 13 settembre 2013, del relatore speciale delle Nazioni Unite sulle esecuzioni extragiudiziali, sommarie o arbitrarie, Christof Heyns,

–  vista la risoluzione 68/178 dell'Assemblea generale delle Nazioni Unite del 18 dicembre 2013 sulla protezione dei diritti umani e delle libertà fondamentali nell'ambito della lotta contro il terrorismo,

–  visto l'articolo 48 del suo regolamento,

–  visti la relazione della commissione per gli affari esteri e il parere della commissione per lo sviluppo (A7-0117/2014),

A.  considerando che il ruolo strategico del Pakistan nella regione, le sue relazioni con i suoi vicini e le relazioni UE-Pakistan hanno un'importanza fondamentale e sempre più rilevante per l'UE, alla luce della posizione centrale del paese, che si colloca al cuore di un vicinato instabile, della sua centralità per la sicurezza e lo sviluppo in Asia centrale e meridionale e del suo ruolo cruciale nella lotta al terrorismo, nella promozione della non-proliferazione, nel contrasto del traffico di stupefacenti e di altre minacce transazionali, tutte con conseguenze sulla sicurezza e il benessere dei cittadini europei;

B.  considerando che le elezioni parlamentari del maggio 2013 hanno segnato il primo trasferimento di poteri da un governo civile eletto a un altro nella storia moderna del Pakistan; considerando che il processo democratico del Pakistan è sostenuto da ampi cambiamenti sociali, che includono una classe media urbana in crescita nonché una società civile sempre più vivace e mezzi di comunicazione indipendenti;

C.  considerando che il progresso politico ed economico del paese è ostacolato da pervasivi problemi di sicurezza interni e regionali, quali l'estremismo, le lotte settarie, i suicidi e le uccisioni mirate, e dall'assenza di legalità nelle aree tribali, amplificati dalla debolezza delle forze dell'ordine e del sistema della giustizia penale;

D.  considerando che il Pakistan ha uno dei più alti tassi di popolazione descolarizzata al mondo, con circa 12 milioni di bambini che non frequentano la scuola e circa i due terzi delle donne pakistane e la metà degli uomini pakistani analfabeti; che il paese occupa tuttora il 134o posto su 135 paesi nella relazione del Forum economico mondiale sul divario di genere;

E.  considerando che, secondo l'indice di rischio globale sul clima, il Pakistan è tra i dodici paesi maggiormente colpiti dal cambiamento climatico negli ultimi vent'anni, ha subito violente inondazioni e crisi idriche ed è direttamente colpito dal ritiro dei ghiacciai sulle catene dell'Himalaya e del Karakorum;

F.  considerando che il Pakistan è un paese semi-industrializzato, a reddito medio-basso, e che un terzo della sua popolazione vive al di sotto della soglia di povertà; che nel 2012 si collocava al 146esimo posto sui 187 paesi elencati nell'indice di sviluppo umano (ISU), in discesa rispetto alla 145esima posizione occupata nel 2011; che la situazione economica del paese è stata compromessa dal susseguirsi di calamità naturali e che il livello elevato d'insicurezza e instabilità, nonché la diffusa corruzione, indeboliscono la sua crescita economica e limitano la capacità del governo di sviluppare lo Stato;

G.  considerando che il Pakistan è esposto a una molteplicità di rischi, prevalentemente inondazioni e terremoti; che l'instabilità della situazione sul fronte della sicurezza, insieme alle sfide sociali del paese, agiscono da catalizzatori, accrescendone la vulnerabilità; che le catastrofi susseguitesi per molti anni hanno esaurito le strategie di reazione messe in campo da comunità già impoverite e hanno ridotto drasticamente la capacità di resilienza di queste ultime dinanzi a nuove catastrofi;

H.  considerando che il contributo costruttivo del Pakistan è vitale per la riconciliazione, la pace e la stabilità politica nei paesi limitrofi e, soprattutto, in Afghanistan, specialmente nel contesto del ritiro delle truppe da combattimento della NATO, previsto per il 2014;

I.  considerando che il Pakistan è uno dei principali destinatari dell'assistenza umanitaria e allo sviluppo dell'UE e che l'UE è il principale mercato di esportazione del Pakistan;

J.  considerando che il Pakistan è un partner sempre più importante dell'UE nella lotta al terrorismo, alla proliferazione nucleare, al traffico di droga e alla tratta di esseri umani, nonché alla criminalità organizzata e nella ricerca della stabilità regionale;

K.  considerando che l'UE e il Pakistan hanno recentemente deciso di ampliare e di approfondire i loro legami bilaterali, come esemplificato dal piano d'impegno quinquennale, lanciato nel mese di febbraio 2012, e dal primo dialogo strategico UE-Pakistan, tenutosi nel mese di giugno 2012;

L.  considerando che l'obiettivo del piano d'impegno quinquennale UE-Pakistan adottato nel 2012 è di instaurare una relazione strategica e di creare un partenariato per la pace e lo sviluppo fondato su valori e principi condivisi;

M.  considerando che, dal 1° gennaio 2014, il Pakistan è integrato nel sistema speciale di preferenze tariffarie generalizzate (SPG+);

N.  considerando che, nel settembre 2012, lo stabilimento della Ali Enterprises di Karachi, che produce jeans per il mercato europeo, è stato devastato da un incendio che ha provocato la morte di 286 lavoratori, rimasti intrappolati; che l'integrazione del Pakistan nel sistema SPG Plus potrebbe incrementare la produzione nel settore tessile e rendere il miglioramento dei diritti dei lavoratori e delle condizioni di produzione sempre più importante;

1.  sottolinea l'importanza delle elezioni del maggio 2013 per il consolidamento della democrazia e del governo civile in Pakistan; incoraggia le élite politiche pakistane a dare seguito a tale slancio per consolidare ulteriormente le istituzioni democratiche, lo Stato di diritto e il controllo civile in tutti i settori della pubblica amministrazione, segnatamente le forze di sicurezza e la magistratura, promuovere la sicurezza interna e regionale, attuare riforme della governance per rianimare la crescita economica, potenziare la trasparenza e la lotta alla criminalità organizzata e alleviare le ingiustizie sociali, e per arrestare e porre rimedio a tutte le violazioni dei diritti umani;

2.  ritiene, tuttavia, che la costruzione di una democrazia sostenibile e di una società pluralista – nonché la realizzazione di una maggiore giustizia sociale, lo sradicamento della povertà profonda e della malnutrizione in parti del paese, l'innalzamento del livello di istruzione di base la preparazione del paese agli effetti del cambiamento climatico - comporterà riforme profonde e difficili del sistema politico e socioeconomico pakistano, che resta caratterizzato da strutture feudali di proprietà terriera e alleanze politiche e da squilibri nelle priorità tra la spesa militare da un lato e le prestazioni previdenziali, lo sviluppo educativo ed economico dall’altro, e da un sistema disfunzionale di riscossione delle entrate fiscali che mina sistematicamente la capacità dello Stato di fornire beni pubblici;

3.  sostiene e incoraggia gli sforzi del governo pakistano volti a sviluppare mezzi efficaci per prevenire e monitorare la possibilità di futuri disastri naturali e per un coordinamento e una cooperazione più efficaci degli aiuti umanitari con gli attori locali, le ONG internazionali e i finanziatori;

4.  ribadisce che il buon governo, l'esistenza di istituzioni responsabili e inclusive, la separazione dei poteri e il rispetto dei diritti fondamentali sono elementi importanti per risolvere il nesso tra sviluppo e sicurezza in Pakistan; ritiene inoltre che i governi civili eletti, dotati di legittimità democratica, il decentramento del potere alle province e un governo locale efficace siano gli strumenti migliori per contenere l'ondata di violenza ed estremismo, ripristinare l'autorità statale nelle aree tribali ad amministrazione federale e garantire la sovranità e l'integrità territoriale del Pakistan;

5.  sostiene, in tal senso, l'intenzione del governo pakistano di intraprendere un dialogo di pace con il movimento Tehreek-e-Taliban Pakistan (TTP), purché ciò spiani la strada a una soluzione politica e durevole alle rivolte e a un ordine democratico stabile, nel rispetto dei diritti umani; Fa appello ai negoziatori, tuttavia, affinché tengano conto del fatto che il livello di istruzione - in particolare delle donne - è un fattore assolutamente decisivo per il progresso delle società e affinché trasformino la scolarizzazione delle ragazze in un elemento essenziale nell'ambito dei negoziati;

6.  apprezza il costante impegno del Pakistan nella lotta al terrorismo su entrambi i lati della sua frontiera e incoraggia le autorità a intraprendere azioni più decise per limitare ulteriormente le possibilità di reclutamento e addestramento di terroristi sul territorio pakistano, un fenomeno che sta trasformando alcune zone del Pakistan in un rifugio sicuro per le organizzazioni terroristiche il cui obiettivo è quello di destabilizzare il paese e la regione, innanzitutto l'Afghanistan;

7.  prende atto che il leader talebano pachistano Hakimullah Mehsud è stato ucciso da un drone operato dagli Stati Uniti il 1° novembre 2013 e che il parlamento pachistano e il nuovo governo si sono formalmente opposti a questi interventi e che è necessario disciplinarne i limiti d'uso in modo più chiaro nel contesto del diritto internazionale;

8.  chiede al governo pachistano di adempiere ai propri obblighi e di assumersi le proprie responsabilità in materia di sicurezza, impegnandosi ulteriormente nella lotta all'estremismo, al terrorismo e alla radicalizzazione attraverso l'applicazione della legge e di misure di sicurezza rigorose e intransigenti, nonché affrontando i problemi socio-economici e dell'ineguaglianza che rischiano di alimentare la radicalizzazione dei giovani pachistani;

9.  prende atto del fatto che il governo pakistano ha manifestato chiaramente la propria opposizione alle incursioni dei droni americani sul proprio territorio; plaude alla risoluzione dell’Assemblea generale delle Nazioni Unite che invita a un ulteriore chiarimento in merito al quadro giuridico che disciplina l'utilizzo dei droni armati;

10.  plaude al contributo del Pakistan ai processi di costruzione dello Stato e riconciliazione in Afghanistan, inclusa l'assistenza fornita per facilitare il riavvio dei negoziati di pace; auspica che tale atteggiamento positivo del Pakistan proseguirà nel periodo precedente alle elezioni presidenziali afghane e oltre; manifesta preoccupazione nei confronti della competizione geopolitica tra i poteri vicini per l'influenza in Afghanistan, dopo il ritiro delle truppe di combattimento della NATO;

11.  ripone la propria speranza nel fatto che il Pakistan svolga un ruolo costruttivo nel promuovere la stabilità regionale, anche con riferimento alla presenza della NATO e degli Stati membri dell'UE in Afghanistan dopo il 2014, promuovendo ulteriormente la modalità di impegno del dialogo a tre in Afghanistan con India, Turchia, Cina, Russia e Regno Unito, e stimolando la cooperazione regionale nella lotta al traffico di esseri umani, stupefacenti e beni;

12.  è incoraggiato dai recenti, tangibili progressi nel dialogo tra Pakistan e India, specialmente per quanto riguarda gli scambi commerciali e i contatti interpersonali, resi possibili dall'atteggiamento costruttivo di entrambe le parti; lamenta che i successi del dialogo siano ancora vulnerabili agli eventi contingenti, come i continui incidenti sulla linea di controllo che separa la parte del Kashmir occupata dal Pakistan da quella occupata dall'India; invita entrambi i governi ad assicurare la presenza di catene di comando adeguate, la responsabilità del personale militare e il dialogo tra forze le militari, così da evitare incidenti simili in futuro;

13.  riconosce l'interesse legittimo del Pakistan a costruire legami strategici, economici ed energetici con la Cina; ritiene importante che le più strette relazioni tra Pakistan e Cina rafforzino la stabilità geopolitica in Asia meridionale;

14.  prende atto dell'intenzione del Pakistan di ottenere una piena adesione alla Shanghai Cooperation Organization (SCO) quale gradito segnale dell'ambizione del paese di essere maggiormente coinvolto nelle iniziative multilaterali; rileva, tuttavia, l'assenza di un qualsivoglia meccanismo di cooperazione formale tra la SCO e l'UE e mette in luce le differenze per quanto riguarda i rispettivi quadri normativi e punti di vista sulle questioni globali;

15.  esprime preoccupazione per le informazioni secondo cui il Pakistan starebbe valutando la possibilità di esportare armi nucleari in paesi terzi; auspica che l'UE e i suoi Stati membri, nonostante le smentite ufficiali di tali informazioni, chiariscano al Pakistan che l'esportazione di armi nucleari è inaccettabile; invita il Pakistan, in qualità di Stato dotato di armi nucleari, a vietare legalmente le esportazioni di tutti i materiali o di tutte le conoscenze legati alle armi nucleari e a contribuire attivamente agli sforzi internazionali di non proliferazione; ritiene che la firma e la ratifica del Trattato di non proliferazione (TNP) da parte del Pakistan - così come dell'India - dimostrerebbe un forte impegno a favore di una pacifica coesistenza regionale e contribuirebbe enormemente alla sicurezza dell'intera regione;

16.  ritiene che la lotta contro l'estremismo e il radicalismo sia direttamente connessa ad un processo democratico più forte e ribadisce il forte interesse e il continuo sostegno dell'UE per un Pakistan democratico, sicuro e ben governato, caratterizzato dall'indipendenza del sistema giudiziario e dalla buona governance, che rispetti lo Stato di diritto e i diritti umani, che abbia relazioni amichevoli con i vicini e che dia stabilità alla regione;

17.  ricorda che le relazioni UE-Pakistan si sono storicamente sviluppate in un quadro incentrato sullo sviluppo e sugli scambi commerciali; apprezza il significativo e continuo contributo della cooperazione allo sviluppo e umanitaria dell'UE, e plaude alla decisione di permettere al Pakistan di beneficiare del sistema di preferenze SPG+ dell'UE a partire dal 2014; esorta il Pakistan a rispettarne pienamente le relative condizioni ed invita la Commissione a garantire l'applicazione rigorosa di una vigilanza rafforzata come previsto dal nuovo regolamento SPG e sottolinea il fatto che si dovrebbe continuare a privilegiare la cooperazione, in particolare nei settori dell'istruzione, della costruzione della democrazia e dell’adattamento al cambiamento climatico;

18.  è convinto che le relazioni UE-Pakistan debbano essere approfondite e rese più globali sviluppando il dialogo politico e mantenendo al contempo un rapporto di interesse reciproco tra partner con pari diritti; si compiace, in tal senso, dell'adozione del piano d'impegno quinquennale e dell'avvio del dialogo strategico UE-Pakistan, che riflettono il maggior peso della cooperazione politica e di sicurezza, anche nella politica antiterrorismo, nel disarmo e nella non proliferazione, nonché nella migrazione, nell'istruzione e nella cultura; auspica tuttavia maggiori progressi in tutti gli ambiti del piano d'impegno;

19.  incoraggia tanto l'Unione europea quanto il Pakistan a cooperare nel processo di attuazione e a monitorare con regolarità i progressi, potenziando il dialogo tra le parti nel lungo termine;

20.  ritiene che la transizione democratica del Pakistan abbia rappresentato per l'UE un'opportunità per seguire un approccio politico più esplicito nelle relazioni bilaterali e nella fornitura di assistenza; ritiene che il sostegno dell'UE nei confronti del Pakistan debba dare la priorità al consolidamento delle istituzioni democratiche a tutti i livelli, al potenziamento delle capacità e della buona governance dello Stato, alla costruzione di efficaci strutture di applicazione della legge e contrasto al terrorismo, compresa una magistratura indipendente, e all'acquisizione di potere da parte della società civile e mezzi di comunicazione liberi;

21.  plaude, al riguardo, ai programmi globali a favore della democrazia già esistenti nell'ambito dell'attuazione delle raccomandazioni del 2008 e del 2013 delle missioni europee di osservazione elettorale;

22.  invita il SEAE e la Commissione a perseguire una politica modulata e multidimensionale nei confronti del Pakistan, che crei una sinergia tra tutti gli strumenti pertinenti a disposizione dell'UE come il dialogo politico, la cooperazione in materia di sicurezza, il commercio e l'assistenza, conformemente all'approccio globale dell'UE all'azione esterna e in vista dei preparativi per il prossimo vertice UE-Pakistan;

23.  chiede al SEAE, alla Commissione e al Consiglio, inoltre, di garantire che la politica dell'UE nei confronti del Pakistan sia contestualizzata e inserita in una più ampia strategia per la regione, rafforzando così gli interessi dell'UE in Asia meridionale e centrale; reputa importante che le relazioni bilaterali dell'UE con il Pakistan e i paesi limitrofi, in particolare l'India, la Cina e l'Iran, possano anche contribuire a discutere e coordinare politiche in relazione alla situazione in Afghanistan, al fine di garantire un approccio mirato; sottolinea, in tal senso, la necessità di potenziare il coordinamento e il dialogo politico UE-USA più intensi sui temi regionali;

24.  ritiene che le future relazioni UE-Pakistan debbano anche essere considerate nel contesto dell'evolversi degli strumenti istituzionali dell'UE per quanto riguarda l'impegno con i paesi terzi, specialmente attraverso la modalità dei partenariati strategici; ribadisce il suo invito a raffinare tale modalità da un punto di vista concettuale e a dotarsi di parametri di riferimento più chiari e coerenti per valutare, tra le altre cose, se e a quali condizioni il Pakistan potrebbe essere considerato un partner strategico dell'UE in futuro;

25.  ribadisce fermamente che i progressi nelle relazioni bilaterali dipendono dal miglioramento della situazione dei diritti umani in Pakistan, in particolare per quanto riguarda l'eliminazione del lavoro forzato, del lavoro minorile e del traffico di esseri umani, la riduzione della violenza di genere, la promozione dei diritti delle donne e delle ragazze, incluso l’accesso all'istruzione, la garanzia della libertà di espressione e dell'indipendenza dei media, la promozione della tolleranza e la protezione delle minoranze vulnerabili lottando efficacemente contro ogni forma di discriminazione; riconosce che ciò esige la fine della cultura dell’impunità e lo sviluppo di un sistema giuridico e giudiziario affidabile a tutti i livelli, che sia accessibile a tutti;

26.  continua a nutrire profonda preoccupazione per la qualità dell'istruzione e per l'allarmante situazione delle donne in numerose regioni del Pakistan, che sono due aspetti correlati; chiede misure concrete e visibili per garantire il rispetto dei diritti fondamentali delle donne nella società, tra cui la promulgazione di leggi contro la violenza domestica, l'adozione di provvedimenti per migliorare le indagini e i procedimenti penali in relazione ai delitti d'onore e alle aggressioni con l'acido, nonché una revisione della legislazione che favorisce l'impunità; sottolinea la necessità di migliorare l'accesso all'istruzione, così come l'integrazione delle donne nel mercato del lavoro e l'assistenza sanitaria per le madri;

27.  ribadisce la sua profonda preoccupazione per il fatto che le leggi pachistane sulla blasfemia – che possono condurre alla pena di morte e sono spesso utilizzate per giustificare la censura, la criminalizzazione, la persecuzione e, in alcuni casi, l'uccisione di membri di minoranze politiche o religiose – diano adito ad abusi che colpiscono le persone di qualsiasi confessione in Pakistan; sottolinea che il rifiuto di riformare o abrogare tali leggi sulla blasfemia crea un ambiente di persistente vulnerabilità per le comunità minoritarie; invita il governo pachistano ad applicare una moratoria sull'uso di tali leggi, come primo passo verso la loro revisione o revoca, nonché a svolgere indagini e procedimenti penali, in forma adeguata, in merito alle campagne intimidatorie, alle minacce e alle violenze nei confronti di cristiani, ahmadi e altri gruppi vulnerabili.

28.  invita, in particolare, le autorità pakistane: ad arrestare e a perseguire coloro i quali incitano alla violenza o sono responsabili di attacchi violenti nei confronti delle scuole o dei gruppi minoritari quali gli sciiti, inclusa la comunità hazara, gli ahmadi e i cristiani, e a incaricare le forze di sicurezza di proteggere attivamente le persone che subiscono attacchi da parte dei gruppi estremisti; ad adottare leggi contro la violenza domestica; a porre fine alle sparizioni forzate, alle esecuzioni extragiudiziali e alle detenzioni arbitrarie, segnatamente nel Baluchistan;

29.   Condanna tutti gli attacchi nei confronti di cristiani e di altre minoranze religiose che vivono in Pakistan ed auspica che il Pakistan intensifichi i propri sforzi per salvaguardare la libertà di religione e credo, anche rendendo meno rigida la legislazione anti-blasfemia, e il progresso verso l'eliminazione della pena di morte;

30.  plaude all'adozione nel 2012 del progetto di legge inteso a creare una commissione nazionale per i diritti umani ed esorta il governo a istituire la commissione in modo che possa iniziare ad essere operativa;

31.  rileva che l'UE è il principale destinatario delle esportazioni di merci pachistane (22,6 % nel 2012); ritiene che il sostegno dell'UE al Pakistan nel settore del commercio debba contribuire a promuovere la diversificazione e lo sviluppo dei modi di produzione, anche in materia di trasformazione, nonché fornire sostegno all'integrazione regionale e ai trasferimenti di tecnologia, oltre ad agevolare la creazione o lo sviluppo di capacità produttive interne e ridurre le disuguaglianze di reddito;

32.  ricorda che il sistema di preferenze SPG + dell'UE, di cui il Pakistan beneficia dal 2014, è concesso soltanto ai paesi che hanno acconsentito in modo vincolante ad attuare le convenzioni internazionali in materia di diritti umani, diritti dei lavoratori, ambiente e buona governance; sottolinea, in particolare, gli obblighi del Pakistan nel quadro delle convenzioni di cui all'allegato VIII e rammenta alla Commissione l'obbligo di monitorarne l'effettiva attuazione; ricorda inoltre che, qualora un paese non rispetti i suoi impegni vincolanti, il sistema SPG + è temporaneamente revocato;

33.  invita le autorità pachistane ad adottare misure efficaci in vista dell'attuazione delle 36 convenzioni dell'Organizzazione internazionale del lavoro (OIL) ratificate dal paese, in particolare al fine di consentire l'attività dei sindacati, migliorare le condizioni di lavoro e le norme di sicurezza, eliminare il lavoro minorile e combattere le forme più gravi di sfruttamento che interessano tre milioni di lavoratrici domestiche;

34.  invita il governo del Pakistan ad aderire, come promesso, al programma "Better Work" dell'OIL/IFC, al fine di dare ulteriore impulso ai miglioramenti delle norme relative alla salute e alla sicurezza dei lavoratori; invita coloro i quali sono direttamente o indirettamente responsabili dell'incendio sviluppatosi presso la fabbrica tessile Ali Enterprises, inclusa la società di audit della responsabilità sociale e i dettaglianti europei coinvolti, a versare infine ai superstiti dell'incendio un pieno ed equo risarcimento a lungo termine;

35.  incarica il suo Presidente di trasmettere la presente risoluzione al governo e all'assemblea nazionale del Pakistan, al Consiglio, alla Commissione, al vicepresidente della Commissione/alto rappresentante dell'Unione per gli affari esteri e la politica di sicurezza, al rappresentante speciale dell'UE per i diritti umani e ai governi degli Stati membri.

(1) http://eeas.europa.eu/pakistan/docs/2012_feb_eu_pakistan_5_year_engagement_plan_en.pdf
(2) http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/EN/foraff/131181.pdf
(3) GU L 303 del 31.10.2012, pag. 1.
(4) Testi approvati, P7_TA(2013)0060.
(5) GU C 353 E del 3.12.2013, pag. 323.
(6) GU C 168 E del 14.6.2013, pag. 119.


Scudo antimissile per l'Europa
PDF 110kWORD 38k
Risoluzione del Parlamento europeo del 12 marzo 2014 su uno scudo antimissile per l'Europa e sulle sue implicazioni politiche e strategiche (2013/2170(INI))
P7_TA(2014)0209A7-0109/2014

Il Parlamento europeo,

–  visti l'articolo 42, paragrafo 7, del trattato sull'Unione europea (TUE) e l'articolo 222 del trattato sul funzionamento dell'Unione europea (TFUE),

–  visti gli articoli 24 e 42, paragrafo 2, del TUE, gli articoli 122 e 196 del TFUE e la dichiarazione 37 relativa all'articolo 222 TFUE,

–  viste la strategia europea in materia di sicurezza, adottata dal Consiglio europeo del 12 dicembre 2003, e la relazione sull'attuazione della stessa, approvata dal Consiglio europeo dell'11 e 12 dicembre 2008,

–  vista la strategia di sicurezza interna dell'Unione europea, approvata dal Consiglio europeo del 25-26 marzo 2010,

–  viste le conclusioni del Consiglio europeo del 19 dicembre 2013 sulla politica di sicurezza e di difesa comune,

–  visto il concetto strategico per la difesa e la sicurezza dei membri dell'Organizzazione del trattato nordatlantico (NATO), adottato in occasione del vertice della NATO di Lisbona del 19-20 novembre 2010,

–  vista la dichiarazione del vertice di Chicago rilasciata dai capi di Stato e di governo che hanno partecipato alla riunione del Consiglio del Nord Atlantico a Chicago il 20 maggio 2012,

–  visto l'articolo 48 del suo regolamento,

–  vista la relazione della commissione per gli affari esteri (A7-0109/2014),

A.  considerando che la questione della difesa antimissili balistici (Ballistic Missile Defence - BMD) era già stata sollevata in passato ma è diventata ancor più attuale negli ultimi anni in considerazione del moltiplicarsi delle minacce derivanti dalla proliferazione delle armi nucleari e di altre armi di distruzione di massa e dalla proliferazione dei missili balistici cui l'Organizzazione del trattato nordatlantico (NATO) e gli alleati europei devono essere in grado di rispondere in maniera efficace;

B.  considerando che la difesa dagli attacchi di missili balistici o di altro tipo può costituire uno sviluppo positivo nella sicurezza europea nel contesto di una rapida dinamica della sicurezza internazionale, con diversi attori statali e non statali che sviluppano tecnologie missilistiche e varie capacità di difesa chimica, biologica, radiologica e nucleare (CBRN) con il potenziale per raggiungere il territorio europeo;

C.  considerando che la NATO sta sviluppando una capacità di difesa antimissili balistici (BMD) per conseguire il suo obiettivo principale di difesa collettiva, al fine di fornire piena copertura e protezione per tutte le popolazioni, i territori e le forze europei che sono membri della NATO nei confronti delle crescenti minacce rappresentate dalla proliferazione di missili balistici;

D.  considerando che il contributo essenziale degli Stati Uniti al BMD è la conferma del suo impegno per la NATO e la sicurezza dell'Europa e degli alleati europei e sottolinea l'importanza del legame transatlantico, con dispositivi già presenti in Romania ed altri dispositivi da collocare in Polonia nel prossimo futuro;

E.  considerando che la politica di sicurezza e di difesa comune sarà elaborata in totale complementarità con la NATO, nel quadro concordato per il partenariato strategico UE-NATO, come confermato dal Consiglio europeo del 19 dicembre 2013;

1.  sostiene che mentre si sviluppano e vengono applicate le tecnologie BMD, vengono realizzate nuove dinamiche nella sicurezza europea, con la conseguente necessità per gli Stati membri di prendere in considerazione le implicazioni della BMD per la loro sicurezza;

2.  ricorda che le misure BMD della NATO sono sviluppate e costruite per difendere i suoi Stati membri da potenziali attacchi di missili balistici; invita la vicepresidente /alto rappresentante a perseguire un partenariato strategico con la NATO, tenendo conto della questione della BMD, che dovrebbe permettere di fornire piena copertura e protezione per tutti gli Stati membri dell'UE, evitando così una situazione in cui la sicurezza concessa loro sarebbe in qualche modo differenziata;

3.  accoglie con favore la realizzazione di una capacità interlocutoria BMD della NATO, che fornirà la massima copertura nell’ambito dei mezzi a disposizione per difendere le popolazioni, i territori e le forze di tutti gli stati membri NATO dell’Europa meridionale contro un attacco di missili balistici; accoglie, inoltre, l'obiettivo di fornire una piena copertura e protezione agli stati membri europei della NATO entro la fine del decennio;

4.  sottolinea che le iniziative dell'Unione, come quelle di Pooling & Sharing, possono risultare utili per rafforzare la cooperazione tra gli Stati membri nel campo dei sistemi BMD e svolgere attività di ricerca e sviluppo in comune; rileva che a lungo termine tale cooperazione può anche condurre a un ulteriore consolidamento dell'industria europea della difesa;

5.  invita il Servizio europeo per l'azione esterna, la Commissione, l'Agenzia europea per la difesa e il Consiglio a inserire le questioni relative alla BMD nelle strategie, negli studi e nei libri bianchi futuri in materia di sicurezza;

6.  evidenzia che, a causa della crisi finanziaria e dei tagli ai bilanci, non vengono utilizzate abbastanza risorse per mantenere sufficienti capacità di difesa, provocando in tal modo una riduzione delle capacità militari e della capacità industriale dell'UE;

7.  sottolinea che il piano BMD della NATO non è in alcun modo diretto alla Russia e che la NATO è pronta a cooperare con la Russia sulla base del presupposto della cooperazione tra due sistemi di difesa antimissilistica indipendenti – la BMD della NATO e il sistema della Russia; ribadisce il fatto che, sebbene un'efficace cooperazione con la Russia possa determinare vantaggi tangibili, tale cooperazione deve essere portata avanti sulla base della piena reciprocità e trasparenza, dal momento che il rafforzamento della fiducia reciproca è fondamentale per il graduale sviluppo di tale cooperazione; rileva, a questo proposito, che l’avvicinamento di missili russi ai confini della NATO e dell'UE è controproducente;

8.  incarica il suo Presidente di trasmettere la presente risoluzione al presidente del Consiglio europeo, al vicepresidente della Commissione/alto rappresentante dell'Unione per gli affari esteri e la politica di sicurezza, al Consiglio, alla Commissione, ai parlamenti degli Stati membri, all'Assemblea parlamentare della NATO e al Segretario generale delle Nazioni Unite.


Settore della pesca europeo e accordo di libero scambio tra l'UE e la Thailandia
PDF 157kWORD 50k
Risoluzione del Parlamento europeo del 12 marzo 2014 sulla situazione e le prospettive future del settore della pesca europeo nel quadro dell'accordo di libero scambio tra l'UE e la Thailandia (2013/2179(INI))
P7_TA(2014)0210A7-0130/2014

Il Parlamento europeo,

–  visto l'articolo 3, paragrafo 5, del trattato sull'Unione europea sulle relazioni dell'Unione con il resto del mondo,

–  visto il regolamento (CE) n. 1005/2008 del Consiglio, del 29 settembre 2008, che istituisce un regime comunitario per prevenire, scoraggiare ed eliminare la pesca illegale, non dichiarata e non regolamentata(1) (regolamento INN),

–  vista la comunicazione della Commissione del 25 ottobre 2011 su "Una strategia rinnovata dell'UE per il periodo 2011-14 in materia di responsabilità sociale delle imprese" (COM(2011)0681),

–  viste le interrogazioni orali E-000618/2013, del 22 gennaio 2013, sugli abusi nella catena di approvvigionamento del commercio al dettaglio ed E-002894/2013, del 13 marzo 2013, sull'accordo di libero scambio con la Thailandia e il lavoro minorile nell'industria conserviera, e le relative risposte della Commissione,

–  vista la sua risoluzione del 22 novembre 2012 sulla dimensione esterna della politica comune della pesca(2),

–  visto l'articolo 48 del suo regolamento,

–  vista la relazione della commissione per la pesca e il parere della commissione per il commercio internazionale (A7-0130/2014),

A.  considerando che il settore della pesca dell'Unione europea sta uscendo da un periodo di crisi che interessa i settori estrattivo, della trasformazione e dell'acquacoltura; che questa situazione indebolisce drammaticamente la sua posizione competitiva, soprattutto quando il mercato globale si sta liberalizzando e alcuni paesi in via di sviluppo dotati di abbondanti risorse marine stanno emergendo quali nuove potenze nel settore della pesca;

B.  considerando che l'industria europea della pesca e della trasformazione è essenziale per l'approvvigionamento alimentare dei cittadini europei e per la sussistenza delle zone costiere, che dipendono ampiamente da tali attività; che la sopravvivenza del settore sarebbe messa a repentaglio se l'Unione liberalizzasse il commercio dei prodotti della pesca con paesi in via di sviluppo interessati a esportare i loro prodotti nell'importante mercato unionale, specialmente se tali paesi beneficiano di esenzioni dai dazi doganali;

C.  considerando che l'Unione europea è il principale importatore mondiale di prodotti della pesca e che la dipendenza dalle importazioni rende il mercato unionale molto appetibile per gli esportatori, in particolare tenendo conto del fatto che la domanda di prodotti della pesca dell'Unione cresce dell'1,5% ogni anno;

D.  considerando che la Thailandia è il più importante paese produttore di conserve di tonno del mondo, con un 46% della produzione mondiale, e che le sue esportazioni di conserve di tonno nell'Unione europea (superiori a 90 000 tonnellate l'anno) rappresentano quasi il 20% del totale delle importazioni unionali da paesi terzi giacché gli Stati Uniti, l'Unione europea e il Giappone sono i principali mercati di destinazione delle esportazioni di prodotti della pesca thailandesi;

E.  considerando che la Thailandia è il principale importatore mondiale di tonno fresco, refrigerato e congelato per la sua industria conserviera;

F.  considerando che l'80% del tonno è consumato in scatola e che, secondo i più recenti dati disponibili della banca dati FISHSTAT dell'Organizzazione delle Nazioni Unite per l'alimentazione e l'agricoltura (FAO), il 21% della produzione mondiale di conserve e preparati di tonno avviene nell'Unione europea, mentre il rimanente 79% è lavorato in paesi terzi, perlopiù paesi in via di sviluppo;

G.  considerando l'importanza commerciale, economica e strategica della Thailandia per l'Unione europea e i vantaggi sostanziali che l'accordo di libero scambio tra l'Unione europea e la Thailandia apporta all'economia dell'Unione nel suo insieme;

H.  considerando che l'Unione europea sostiene l'integrazione regionale tra i paesi membri dell'ASEAN (Associazione delle nazioni del Sud-est asiatico); che l'accordo di libero scambio con la Thailandia costituisce un pilastro essenziale di tale processo, il cui obiettivo ultimo è la conclusione, in futuro, di un accordo interregionale;

I.  considerando che, per l'Unione europea, la conclusione di un accordo di libero scambio UE-ASEAN è dal 2007 un obiettivo prioritario, che mira all'inclusione di Indonesia, Malesia, Filippine, Singapore, Thailandia, Brunei e Vietnam; che la mancanza di progressi nei negoziati relativi a tale accordo regionale ha portato all'avvio di negoziati bilaterali con paesi membri dell'ASEAN, inclusa la Thailandia, e all'impegno politico di concludere un accordo di libero scambio entro due anni;

J.  considerando che, includendo la Thailandia, l'Indonesia e le Filippine nella regione del Pacifico centro-occidentale, la produzione di conserve di tonno in tale regione rappresenta quasi la metà della produzione mondiale;

K.  considerando che le modifiche che interessano i produttori di conserve di tonno e la produzione di filetti vanno di pari passo con la tendenza all'approvvigionamento globale in paesi trasformatori con bassi costi di produzione, situati in prossimità delle materie prime (per esempio Thailandia, Filippine, Indonesia, Papua Nuova Guinea ed Ecuador); che il numero di paesi impegnati nella produzione ed esportazione di conserve di tonno sta aumentando;

L.  considerando che la Thailandia e le Filippine sono i principali paesi esportatori di preparati e conserve di tonno nell'Unione europea e che le importazioni thailandesi sono aumentate del 20%, mentre quelle filippine sono diminuite del 5%;

M.  considerando che qualunque riduzione tariffaria per le conserve e i preparati di tonno potrebbe avere ripercussioni sulle preferenze di cui godono i paesi del gruppo di Africa, Caraibi e Pacifico (ACP) e i beneficiari del sistema di preferenze generalizzate (SPG+), in base al quale i paesi terzi s'impegnano, in cambio della concessione di preferenze tariffarie, a rispettare determinate politiche in materia di rispetto dei diritti umani e del lavoro, politiche ambientali e buon governo;

N.  considerando cha una riduzione tariffaria distorcerebbe altresì il mercato unionale, visto che la maggior parte dell'industria conserviera del tonno dell'Unione è collocata in regioni altamente dipendenti dalla pesca come la Galizia, la Bretagna francese, le Azzorre (una regione ultraperiferica), i Paesi Baschi e la Sardegna; che l'industria unionale del tonno è la seconda produttrice mondiale di conserve di tonno e che la sua attività, consolidata negli anni, è di importanza vitale per creare valore aggiunto e posti di lavoro nel territorio dell'Unione garantendo i più elevati standard sociali, ambientali e igienico-sanitari;

O.  considerando che le norme preferenziali sull'origine mirano essenzialmente a stabilire l'esistenza di un legame economico sufficiente tra i prodotti importati nell'Unione europea e i paesi beneficiari delle preferenze che essa accorda, onde garantire che tali preferenze non siano indebitamente sfruttate a vantaggio di altri paesi ai quali non erano destinate;

P.  considerando che una discussione del commercio di prodotti della pesca riguarda il commercio di una risorsa naturale, la cui sostenibilità dipende da un'ampia varietà di fattori, tra cui la gestione equilibrata e lo sfruttamento sostenibile delle risorse della pesca, il controllo della pesca illegale, l'inquinamento, i cambiamenti climatici e la domanda di mercato; che tutti questi fattori esterni incidono sul commercio internazionale di prodotti della pesca e che, pertanto, tali prodotti dovrebbero essere considerati sensibili e potenzialmente oggetto di una protezione speciale;

Q.  considerando che un approvvigionamento di materie prime sufficiente e costante è essenziale per il mantenimento e lo sviluppo economico delle imprese di lavorazione del tonno dell'Unione europea;

R.  considerando che, secondo l'Organizzazione mondiale del commercio (OMC), il libero scambio è uno strumento di crescita finalizzato allo sviluppo sostenibile e fondato sulle tre dimensioni sociale, economica e ambientale;

S.  considerando a questo proposito che le norme commerciali strumenti basilari e fondamentali per assicurare che il commercio sia vantaggioso e conseguire gli obiettivi di protezione della salute e dell'ambiente, assicurando un'adeguata gestione delle risorse naturali;

T.  considerando che la globalizzazione ha comportato un aumento sostanziale della quantità di pesce commercializzato a livello internazionale e che vi è una preoccupazione generalizzata circa la mancanza, in molti paesi produttori, dei mezzi sufficienti a gestire e/o sfruttare gli stock in maniera sostenibile, assicurare un livello di protezione igienico-sanitaria adeguato, mitigare l'impatto ambientale della pesca e dell'acquacoltura, garantire il rispetto dei diritti umani in generale e promuovere i diritti dei lavoratori e le condizioni sociali in particolare;

U.  considerando che alcuni partner commerciali dell'Unione europea mostrano deficienze riguardo allo sviluppo sostenibile della pesca nelle sue tre dimensioni sociale, economica e ambientale;

V.  considerando che la gestione sostenibile degli stock di tonno è assicurata dalle cinque organizzazioni regionali di pesca del tonno; che la cooperazione internazionale tra gli Stati e con le organizzazioni regionali di pesca è imprescindibile per assicurare la sostenibilità degli stock di tonno;

W.  considerando che, recentemente, sia l'OIL sia diverse ONG hanno messo in evidenza le gravi carenze delle condizioni sociali, lavorative e del rispetto dei diritti umani nell'industria thailandese della pesca; che, come sottolineato dai mezzi di comunicazione e riconosciuto dal governo thailandese, parte dell'industria della pesca thailandese si avvale del lavoro forzato di immigrati vittime della tratta di esseri umani, e che due multinazionali thailandesi che producono conserve di tonno utilizzano manodopera infantile;

X.  considerando che, secondo la FAO, è frequente che i pescherecci thailandesi siano confiscati da Stati costieri vicinanti e che i loro capitani siano accusati di pesca illegale o di intrusione illecita nella zona economica esclusiva;

Y.  considerando che, nel 2013, le autorità spagnole hanno negato il permesso di scarico e di commercializzazione di tonni provenienti da tonniere battenti bandiera ghanese perché queste erano coinvolte in attività di pesca illegale, non dichiarata e non regolamentata (INN) avendo violato le misure di gestione della ICCAT (Commissione internazionale per la conservazione del tonno atlantico); che aziende private thailandesi detenevano partecipazioni nella maggior parte di queste tonniere;

Z.  considerando che, negli ultimi mesi, l'Unione europea ha respinto numerose partite di conserve di tonno importate dalla Thailandia a causa del loro inadeguato trattamento termico, fondamentale per neutralizzare microrganismi che, diversamente, rappresenterebbero un rischio per la salute umana;

1.  chiede che prodotti ittici come il tonno in scatola importato dalla Thailandia, suscettibili di interferire con la produzione e il mercato unionali di tali prodotti, siano trattati come prodotti sensibili; ritiene inoltre che qualunque decisione relativa a un maggiore accesso delle conserve e preparati di tonno thailandesi dovrebbe essere presa solo dopo aver effettuato rigorose valutazioni d'impatto e in stretta collaborazione con l'industria, al fine di analizzare e valutare il potenziale impatto di tale maggiore accesso sull'industria di lavorazione e sulla commercializzazione di prodotti a base di pesce nell'Unione;

2.  chiede che l'accesso di conserve e preparati di pesce e frutti di mare thailandesi al mercato dell'Unione rimanga soggetto alle tariffe attuali e sia pertanto escluso dalle riduzioni tariffarie; qualora siano introdotte riduzioni tariffarie, raccomanda che si instaurino lunghi periodi di transizione e si prendano impegni a una liberalizzazione parziale, anche mediante l'imposizione di contingenti, per le conserve e i preparati di pesce e frutti di mare thailandesi, in modo da garantire la sostenibilità e la competitività dell'industria del tonno dell'Unione europea, preservando questa importante attività e la sua dimensione sociale nell'Unione, rappresentata da 25 000 posti di lavoro diretti e 54 000 posti di lavoro indiretti;

3.  chiede che, se del caso e prima di procedere a qualunque tipo di concessione tariffaria o altra normativa, siano realizzate valutazioni d'impatto rigorose, che analizzino e valutino l'impatto che tali concessioni o normative possono avere sull'industria di trasformazione e commercializzazione dei prodotti del mare nell'Unione europea;

4.  chiede che per i prodotti sensibili si assicuri la piena conformità con norme di origine coerenti e rigorose, senza eccezioni, e che per i prodotti per i quali la Thailandia è principalmente un paese di lavorazione e non quello dove avviene l'attività di pesca, la possibilità di cumulo sia rigorosamente limitata;

5.  chiede che le importazioni di tonno in scatola e di altri prodotti ittici provenienti dalla Thailandia siano nella misura del possibile soggette alle stesse condizioni di concorrenza previste per i prodotti ittici dell'Unione europea; ritiene che ciò implichi, in particolare, che l'accordo deve comprendere un ambizioso capitolo in materia di commercio e sviluppo sostenibile, ai sensi del quale la Thailandia si impegni a rispettare, promuovere e attuare le norme sul lavoro riconosciute a livello internazionale come sancite dalle convenzioni fondamentali dell'OIL, comprese quelle sul lavoro forzato e sul lavoro minorile; ritiene inoltre che il rispetto per i diritti umani, la protezione dell'ambiente, la conservazione e lo sfruttamento sostenibile delle risorse di pesca, la lotta contro la pesca illegale, non dichiarata e non regolamentata e la conformità alle norme sanitarie e fitosanitarie dell'Unione europea dovrebbe essere rigorosamente assicurato; reputa pertanto che la Commissione dovrebbe riferire a scadenze regolari al Parlamento sul rispetto, da parte della Thailandia, degli obblighi sopra indicati;

6.  esorta la Commissione a garantire l'attuazione effettiva del regolamento INN e ad assicurare che i negoziati relativi all'accordo di libero scambio si traducano in un esplicito riferimento allo stesso nel corpo del testo dell'accordo;

7.  ritiene che il modo migliore per assicurare la piena cooperazione della Thailandia alla lotta contro la pesca illegale, non dichiarata e non regolamentata sia l'inserimento di un riferimento esplicito al regolamento INN nel testo dell'accordo di libero scambio;

8.  sollecita l'inclusione, nell'accordo di libero scambio, della necessità di rispettare le convenzioni dell'OIL e di una maggiore trasparenza, sorveglianza, vigilanza e tracciabilità nel settore della pesca thailandese, così da consentire il monitoraggio delle attività di pesca;

9.  invita a garantire la tracciabilità dei prodotti quale elemento essenziale per la tutela della salute umana e dell'ambiente e strumento fondamentale per il controllo della pesca illegale;

10.  chiede che l'accordo di libero scambio mantenga la coerenza con le altre politiche unionali e con la promozione di strategie relative alla responsabilità sociale delle imprese; chiede l'introduzione di clausole di salvaguardia;

11.  sottolinea che la decisione del Parlamento europeo di dare la sua approvazione all'accordo di libero scambio terrà conto dei risultati globali dei negoziati, anche nel settore della pesca.

12.  chiede reciprocità nell'accesso ai mercati e l'eliminazione di qualunque tipo di discriminazione nel settore dei servizi;

13.  auspica che la Thailandia, in quanto principale paese esportatore di tonno in scatola al mondo, partecipi e cooperi con le tre organizzazioni regionali di pesca della regione, vale a dire la commissione interamericana per il tonno tropicale, la commissione per la pesca del Pacifico occidentale e l'organizzazione regionale di gestione della pesca del Pacifico meridionale, alle quali appartiene;

14.  chiede una politica di conservazione e gestione sostenibile delle risorse della pesca;

15.  incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio e alla Commissione.

(1) GU L 286 del 29.10.2008, pag. 1.
(2) Testi approvati, P7_TA(2012)0461.


Patrimonio gastronomico europeo
PDF 141kWORD 59k
Risoluzione del Parlamento europeo del 12 marzo 2014 sul patrimonio gastronomico europeo: aspetti culturali ed educativi (2013/2181(INI))
P7_TA(2014)0211A7-0127/2014

Il Parlamento europeo,

–  vista la relazione della commissione per l'ambiente, la sanità pubblica e la sicurezza alimentare sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo alla fornitura di informazioni alimentari ai consumatori (COM(2008)0040),

–  vista la relazione sulla nutrizione dell'Organizzazione delle Nazioni Unite per l'educazione, la scienza e la cultura (UNESCO) del 2002,

–  vista la relazione dell'Organizzazione mondiale della sanità (OMS) dal titolo "Politiche alimentari e nutrizionali per la scuola",

–  visto il Libro bianco della Commissione del 30 maggio 2007 dal titolo "Una strategia europea sugli aspetti sanitari connessi all'alimentazione, al sovrappeso e all'obesità" (COM(2007)0279),

–  viste le conclusioni della Conferenza ministeriale europea dell'OMS sull'alimentazione e le malattie non trasmissibili nel contesto della strategia Salute 2020, tenutasi a Vienna il 4 e 5 luglio 2013,

–  vista la Convenzione per la salvaguardia del patrimonio culturale immateriale dell'UNESCO del 17 ottobre 2003,

–  visto l'inserimento della dieta mediterranea nella lista rappresentativa del patrimonio culturale immateriale dell'umanità dell'UNESCO, del 16 novembre 2010 e del 4 dicembre 2013,

–  visto l'inserimento del pasto gastronomico dei francesi nella lista rappresentativa del patrimonio culturale immateriale dell'umanità dell'UNESCO (decisione 5.COM 6.14),

–  visto l'articolo 48 del suo regolamento,

–  vista la relazione della commissione per la cultura e l'istruzione (A7-0127/2014),

Aspetti educativi

A.  considerando che lo stato di salute e il benessere della popolazione, presenti e futuri, sono condizionati dal tipo di alimentazione e dall'ambiente, e perciò dal tipo di agricoltura, pesca e allevamento;

B.  considerando che, nell'ambito della sua iniziativa globale sulla salute nelle scuole, l'OMS ritiene che i centri d'istruzione costituiscano uno spazio significativo per acquisire conoscenze teoriche e pratiche sulla salute, la nutrizione, il cibo e la gastronomia;

C.  considerando che la cattiva alimentazione può avere conseguenze drammatiche; che, in occasione della Conferenza ministeriale europea dell'OMS del luglio 2013, i ministri europei della Salute hanno lanciato un appello per un'azione coordinata tesa a combattere l'obesità e la cattiva alimentazione, le quali all'origine della diffusione di malattie non trasmissibili come le patologie cardiovascolari, il diabete o il cancro;

D.  considerando che gli stereotipi legati all'aspetto fisico e all'alimentazione diffusi nella società possono provocare gravi disturbi alimentari e psicologici, quali l'anoressia o la bulimia; che è quindi importante affrontare tali problematiche, in particolare con gli adolescenti;

E.  considerando che, secondo lo European Food Information Council (EUFIC), nel 2006 circa 33 milioni di persone in Europa erano soggette al rischio di malnutrizione, e che la situazione si è ulteriormente aggravata dall'inizio della crisi;

F.  considerando che l'infanzia è un periodo determinante per educare a comportamenti sani e fornire conoscenze utili ad adottare uno stile di vita salutare, e che la scuola rappresenta uno dei luoghi dove sviluppare azioni efficaci per formare comportamenti salutari nel lungo periodo per le nuove generazioni;

G.  considerando che gli istituti scolastici hanno a disposizione spazi e strumenti in grado di contribuire a far conoscere e utilizzare gli alimenti e ad adottare comportamenti alimentari tali da permettere, assieme a un'attività fisica moderata e continua, di avere uno stile di vita sano;

H.  considerando che l'informazione, l'istruzione e la sensibilizzazione fanno parte della strategia dell'UE volta ad affiancare gli Stati membri nei loro sforzi per ridurre i danni derivanti dal consumo di alcol (COM(2006)0625), e che detta strategia riconosce corretti modelli di consumo; che il 5 giugno 2001 il Consiglio ha emesso una raccomandazione sul consumo di alcol da parte dei giovani, in particolare di bambini e adolescenti, nella quale prevedeva la promozione di un approccio multisettoriale all'istruzione;

I.  considerando che, in occasione della riunione della European Nutrition Foundations Network (rete europea delle fondazioni sulla nutrizione) sulla "nutrizione nelle scuole europee: il ruolo delle fondazioni", si è preso atto della necessità di integrare l'alimentazione, nel suo duplice aspetto di nutrizione e gastronomia, nel curriculum scolastico e si è convenuto all'unanimità di trasmettere tale necessità a organismi quali il Parlamento europeo e la Commissione;

J.  considerando che vari paesi hanno incoraggiato, attraverso varie istituzioni interne, il riconoscimento della dieta mediterranea quale elemento del patrimonio culturale immateriale dell'umanità dell'UNESCO, con la conseguente promozione e definizione di modelli di comportamento che garantiscano uno stile di vita salutare grazie a un approccio olistico che tenga conto degli aspetti educativi, alimentari, scolastici, familiari, nutrizionali, territoriali, paesaggistici ecc.;

K.  considerando che la dieta mediterranea offre una combinazione equilibrata e salutare di abitudini alimentari e stile di vita che è direttamente correlata alla prevenzione di malattie croniche e alla promozione della salute sia in ambito scolastico che familiare;

L.  considerando che i programmi europei relativi all'alimentazione nelle scuole mirano ad assicurare che i cibi offerti nelle mense scolastiche contengano tutti gli ingredienti necessari per un'alimentazione di elevata qualità ed equilibrata; che l'istruzione nel suo significato più ampio, anche nell'ambito alimentare, consolida tra gli scolari il concetto di stile di vita salutare basato su una dieta equilibrata;

M.  considerando che una seria educazione nutrizionale forma i cittadini anche sulla correlazione fra alimenti, sostenibilità alimentare e stato di salute del pianeta;

N.  considerando che l'aumento dei prezzi delle mense scolastiche e degli alimenti in generale nega a molte famiglie, in particolare ai bambini, l'accesso a un'alimentazione equilibrata e di elevata qualità;

O.  considerando che i mezzi di comunicazione e la pubblicità influenzano i comportamenti di consumo dei cittadini;

P.  considerando che, per permettere alle persone di acquisire un'esatta conoscenza dei prodotti utilizzati e della relativa qualità e gusto intrinseci, è essenziale mettere a punto sistemi di etichettatura idonei che forniscano a tutti i consumatori informazioni chiare per quanto riguarda la composizione e l'origine dei prodotti;

Q.  considerando che la formazione dei lavoratori del settore della gastronomia contribuisce alla trasmissione, alla valorizzazione, alla tutela e allo sviluppo della gastronomia europea;

Aspetti culturali

R.  considerando che la gastronomia è l'insieme di conoscenze, esperienze, arte e artigianalità che consentono di mangiare in modo sano e gradevole;

S.  considerando che la gastronomia fa parte della nostra identità ed è un elemento essenziale del patrimonio culturale europeo e di quello degli Stati membri;

T.  considerando che l'Unione europea ha promosso l'identificazione, la difesa e la protezione internazionale delle indicazioni geografiche, delle denominazioni d'origine e delle specialità tradizionali dei prodotti agroalimentari;

U.  considerando che la gastronomia non è soltanto una forma d'arte elitaria basata sulla preparazione attenta del cibo, ma riflette anche il riconoscimento del valore delle materie prime di cui si serve, della loro qualità e della necessità di raggiungere l'eccellenza in tutte le fasi di trasformazione degli alimenti, concetto a cui è legato il rispetto degli animali e della natura;

V.  considerando che la gastronomia è strettamente correlata alle pratiche agricole delle diverse regioni europee e ai relativi prodotti locali;

W.  considerando che è importante preservare i riti e le usanze legati anche alla gastronomia locale e regionale e incoraggiare lo sviluppo della gastronomia europea;

X.  considerando che la gastronomia rappresenta una delle manifestazioni culturali più importanti dell'essere umano e che il termine non si riferisce esclusivamente alla cosiddetta "alta cucina", ma abbraccia anche tutte le espressioni culinarie delle diverse regioni e dei diversi ceti sociali, anche quelle provenienti dalla cucina locale tradizionale;

Y.  considerando che la sopravvivenza della cucina tipica è un patrimonio culinario e culturale molto spesso messo a rischio dall'invasione di cibi standardizzati;

Z.  considerando che la qualità, la reputazione e la diversità della gastronomia europea richiedono che una quantità sufficiente di alimenti di adeguata qualità sia prodotta in Europa;

AA.  considerando che la gastronomia è associata ai diversi aspetti dell'alimentazione e che i suoi tre pilastri fondamentali sono la salute, le abitudini alimentari e il piacere; che l'arte della tavola è in molti paesi un aspetto importante dei rapporti umani e contribuisce ad avvicinare le persone; che conoscere culture gastronomiche diverse è una forma di scambio e di condivisione; che ciò ha anche effetti positivi sulla vita sociale e i rapporti familiari;

AB.  considerando che il riconoscimento da parte dell'UNESCO della dieta mediterranea quale patrimonio culturale immateriale è importante poiché considera tale dieta come costituita da un insieme di conoscenze, competenze, pratiche, rituali, tradizioni e simboli correlati alle colture agricole, alla pesca e all'allevamento del bestiame, nonché alle modalità di conservazione, trasformazione, cottura, condivisione e consumo degli alimenti;

AC.  considerando che le abitudini alimentari dei popoli europei costituiscono una ricca eredità socioculturale che è d'obbligo trasmettere alle generazioni future; che le scuole, assieme alle famiglie, rappresentano il luogo ideale per acquisire tali conoscenze;

AD.  considerando che la gastronomia si sta trasformando in una delle principali attrattive turistiche e che l'interazione fra turismo, gastronomia e nutrizione sortisce un effetto molto positivo sulla promozione del turismo;

AE.  considerando che è importante trasmettere alle generazioni future le ricchezze della gastronomia della loro regione e di quella europea in generale;

AF.  considerando che la gastronomia contribuisce a promuovere il patrimonio regionale;

AG.  considerando che è essenziale promuovere i prodotti locali e regionali per preservare, da un lato, il patrimonio gastronomico e, dall'altro, garantire un'equa remunerazione ai produttori e la massima accessibilità a tali prodotti;

AH.  considerando che la gastronomia è fonte di ricchezza culturale ed economica per le regioni dell'Unione europea;

AI.  considerando che il patrimonio europeo è costituito da un insieme di elementi materiali e immateriali e che, nel caso della gastronomia e dell'alimentazione, è anche rappresentato dal territorio e dal paesaggio da dove provengono i prodotti consumati;

AJ.  considerando che la longevità, la diversità e la ricchezza culturale della gastronomia europea si basano sulla disponibilità di prodotti locali di elevata qualità;

Aspetti educativi

1.  chiede agli Stati membri di includere nei percorsi educativi fin dalla prima infanzia le conoscenze e le esperienze sensoriali in materia di alimentazione, salute nutrizionale e abitudini alimentari, includendo aspetti storici, territoriali, culturali ed esperienziali, in modo da migliorare lo stato di salute e il benessere della popolazione, la qualità degli alimenti e il rispetto dell'ambiente; accoglie con favore i programmi di educazione gastronomica condotti nelle scuole da vari Stati membri, in alcuni casi in collaborazione con grandi chef; sottolinea l'importanza di coniugare l'educazione a un'alimentazione sana con la lotta a stereotipi capaci di scatenare gravi disturbi alimentari e psicologici come l'anoressia o la bulimia;

2.  sottolinea, inoltre, quanto sia importante attuare le raccomandazioni dell'OMS sulla lotta contro l'obesità e la cattiva alimentazione; è allarmato riguardo al problema ricorrente della malnutrizione in Europa e alla sua accresciuta diffusione sin dall'inizio della crisi ed esorta gli Stati membri ad adoperarsi affinché tutti possano avere un'alimentazione sana, in particolare garantendo che le mense scolastiche o comunali offrano cibo di qualità e siano accessibili a tutti;

3.  sottolinea la necessità di arricchire ulteriormente il curriculum scolastico con informazioni sulla cultura gastronomica (soprattutto a livello locale), sul processo di preparazione, produzione, conservazione e distribuzione degli alimenti, sulle loro influenze socioculturali e sui diritti dei consumatori; esorta gli Stati membri a integrare nei loro programmi scolastici laboratori orientati allo sviluppo dei sensi, in particolare del gusto, che combinino i benefici nutrizionali degli alimenti con il patrimonio gastronomico regionale e nazionale;

4.  ricorda che in alcuni paesi europei la nutrizione è già stata integrata nel curriculum scolastico, mentre in altri non è una materia obbligatoria, ma viene insegnata in modalità diverse, come ad esempio attraverso i programmi delle autorità locali o di enti privati;

5.  ribadisce l'esigenza dell'educazione in materia di nutrizione e di una buona, sana e gustosa alimentazione nelle scuole;

6.  segnala che la pratica sportiva e l'attività fisica dovrebbero essere intensificate negli istituti primari e secondari di tutta l'Unione;

7.  ricorda che una buona nutrizione migliora il benessere dei bambini e potenzia le loro capacità di apprendimento, oltre a rafforzare il loro sistema immunitario e a favorire un sano sviluppo;

8.  evidenzia che le abitudini alimentari acquisite nell'infanzia possono influire sulle preferenze e sulla scelta degli alimenti, come pure sulle loro modalità di cottura e consumo, in età adulta; sottolinea pertanto che l'infanzia rappresenta un momento chiave per educare al gusto e che la scuola è il luogo ideale per far scoprire agli alunni la diversità dei prodotti e delle gastronomie;

9.  ritiene che i programmi offerti dovrebbero essere intesi a educare e sensibilizzazione sulle conseguenze legate al consumo smodato di bevande alcoliche, e a favorire modalità di consumo corrette e intelligenti grazie alla conoscenza delle caratteristiche particolari dei vini, delle loro indicazioni geografiche, delle varietà di uva, dei processi di produzione e del significato delle diciture tradizionali;

10.  invita la Commissione a promuovere progetti di scambio di informazioni e pratiche in materia di nutrizione, alimentazione e gastronomie, per esempio nel quadro della componente Comenius (istruzione scolastica) del programma Erasmus+; invita inoltre l'UE e i suoi Stati membri a favorire gli scambi interculturali nei settori della ristorazione, dell'alimentazione e della gastronomia, sfruttando le opportunità offerte dal programma Erasmus+ in termini di formazione di elevata qualità, mobilità e tirocini per apprendisti e professionisti;

11.  segnala che l'educazione in materia di nutrizione e gastronomia, compreso il rispetto della natura e dell'ambiente, dovrebbe contare sulla partecipazione delle famiglie, degli insegnanti, della comunità educativa, dei canali di informazione e di tutti i professionisti dell'istruzione;

12.  sottolinea l'importanza delle tecnologie dell'informazione e della comunicazione (TIC) quali utili strumenti didattici ai fini dell'apprendimento; esorta a creare piattaforme interattive che agevolino l'accesso al patrimonio gastronomico europeo, nazionale e regionale nonché la sua diffusione, per favorire la conservazione e la trasmissione delle conoscenze tradizionali tra professionisti, artigiani e cittadini;

13.  chiede alla Commissione, al Consiglio e agli Stati membri di prendere in considerazione controlli più rigorosi su contenuti e pubblicità che riguardano gli alimenti, in particolare per quanto attiene all'aspetto nutrizionale;

14.  ricorda agli Stati membri di assicurare il divieto di qualunque pubblicità o sponsorizzazione di "cibo spazzatura" nelle scuole;

15.  chiede agli Stati membri di assicurare un'adeguata formazione degli insegnanti, in collaborazione con nutrizionisti e medici, affinché possano insegnare correttamente le "scienze dell'alimentazione" nelle scuole e nelle università; fa notare che la nutrizione e l'ambiente sono interdipendenti e chiede pertanto l'aggiornamento delle conoscenze in materia di ambiente naturale;

16.  invita la Commissione e il Consiglio a studiare programmi per la formazione di professionisti della gastronomia; incoraggia gli Stati membri a promuovere tali formazioni; sottolinea che è importante che tali formazioni trattino la gastronomia locale ed europea, la diversità dei prodotti nonché i processi di preparazione, produzione, conservazione e distribuzione degli alimenti;

17.  insiste sull'importanza che la formazione dei professionisti della gastronomia ponga l'accento sui prodotti "fatti in casa", oltre che su una produzione locale e varia;

18.  invita gli Stati membri a operare uno scambio di conoscenze e buone pratiche nell'ambito delle attività legate alla gastronomia attraverso l'istruzione, e a favorire la conoscenza della gastronomia tra le varie regioni; chiede altresì che siano realizzati scambi delle migliori pratiche o che si rifletta sull'eventualità di accorciare la catena alimentare, insistendo sulla produzione locale e di stagione;

19.  segnala la necessità di utilizzare i programmi di finanziamento nell'ambito della politica agricola comune per il periodo 2014-2020 al fine di promuovere un'alimentazione sana nelle scuole;

20.  ricorda che lo stimolo dato dal riconoscimento della dieta mediterranea e della gastronomia francese quale patrimonio culturale immateriale dell'umanità dell'UNESCO ha portato alla creazione di istituti e organismi che promuovono la conoscenza, la pratica e l'educazione in relazione ai valori e alle abitudini di una dieta alimentare equilibrata e salutare;

Aspetti culturali

21.  sottolinea la necessità di far conoscere la varietà e la qualità delle regioni, dei paesaggi e dei prodotti che sono alla base della gastronomia europea, che fa parte del nostro patrimonio culturale e costituisce inoltre uno stile di vita unico e riconosciuto a livello internazionale; sottolinea che ciò richiede, talvolta, il rispetto delle usanze locali;

22.  indica che la gastronomia è uno strumento utile allo sviluppo della crescita e dell'occupazione in numerosi settori economici, come ad esempio l'industria della ristorazione, il turismo, il settore agroalimentare e la ricerca; osserva che la gastronomia può, inoltre, sensibilizzare in merito alla tutela della natura e dell'ambiente, garantendo così che gli alimenti abbiano un gusto più autentico, meno alterato da additivi o conservanti;

23.  sottolinea l'importanza della gastronomia nella promozione del settore della ricettività in Europa e viceversa;

24.  riconosce il ruolo svolto dai nostri cuochi qualificati e di talento nel preservare ed esportare il nostro patrimonio gastronomico e l'importanza di conservare le nostre competenze culinarie come fattore essenziale che aggiunge valore in termini sia educativi sia economici;

25.  accoglie con favore le iniziative destinate a promuovere il patrimonio gastronomico europeo, quali ad esempio le fiere e i festival gastronomici a livello locale e regionale che rafforzano il concetto di vicinanza come elemento di rispetto dell'ambiente e del contesto in cui viviamo e costituiscono una garanzia di maggiore fiducia da parte del consumatore; incoraggia a includere in tali iniziative una dimensione europea;

26.  plaude ai tre regimi dell'Unione europea relativi alle indicazioni geografiche e alle specialità tradizionali quali la denominazione di origine protetta (DOP), l'indicazione geografica protetta(IGP) e la specialità tradizionale garantita(STG), che accrescono il valore dei prodotti agricoli europei a livello di Unione e internazionale; invita gli Stati membri e le regioni a sviluppare etichette DOP, in particolare etichette DOP comuni per prodotti dello stesso tipo provenienti da zone geografiche transfrontaliere;

27.  accoglie favorevolmente iniziative quali il movimento "Slow Food", che contribuiscono a far in modo che le persone imparino ad apprezzare l'importanza sociale e culturale del cibo, nonché l'iniziativa "Wine in Moderation" che promuove uno stile di vita e un livello di consumo di bevande alcoliche associato alla moderazione;

28.  sottolinea inoltre il ruolo svolto dalle accademie di gastronomia, dalla federazione europea delle fondazioni della nutrizione e dall'accademia internazionale della cucina, con sede a Parigi, nello studio e nella diffusione del patrimonio gastronomico;

29.  invita gli Stati membri a formulare e attuare politiche destinate al miglioramento qualitativo e quantitativo dell'industria gastronomica, di per sé e in relazione alla sua offerta turistica, nel quadro dello sviluppo culturale ed economico delle diverse regioni;

30.  sottolinea che la gastronomia costituisce un'importante esportazione culturale per l'UE e per i singoli Stati membri;

31.  invita gli Stati membri a sostenere iniziative collegate al turismo rurale che favoriscano la conoscenza del patrimonio culturale e paesaggistico, offrano sostegno regionale e promuovano lo sviluppo rurale;

32.  chiede agli Stati membri e alla Commissione di sviluppare gli aspetti culturali della gastronomia e di promuovere abitudini alimentari che tutelino la salute dei consumatori, agevolino gli scambi e la condivisione tra culture e promuovano le regioni, tenendo vivo, al contempo, il piacere derivante dal cibo, dalla convivialità e dalla socializzazione;

33.  invita gli Stati membri a collaborare tra di loro e a sostenere le iniziative destinate a tutelare l'elevata qualità, la diversità, l'eterogeneità e la singolarità dei prodotti artigianali locali, regionali e nazionali al fine di lottare contro l'omogeneizzazione che, alla lunga, porterebbe all'impoverimento del patrimonio gastronomico europeo;

34.  esorta la Commissione, il Consiglio e gli Stati membri a integrare nelle loro riflessioni in materia di politiche alimentari l'importanza di sostenere una produzione alimentare europea sostenibile, variata, di qualità e in quantità sufficiente, allo scopo di promuovere la diversità culinaria europea;

35.  chiede alla Commissione e agli Stati membri di rafforzare il processo di riconoscimento e di etichettatura dei prodotti alimentari europei, per consentire la valorizzazione di tali prodotti, una migliore informazione dei consumatori e la tutela della diversità della gastronomia europea;

36.  sottolinea l'importanza di riconoscere e valorizzare le produzioni gastronomiche di qualità; invita la Commissione, il Consiglio e gli Stati membri a valutare la possibilità di prevedere che i consumatori ricevano informazioni dai ristoratori riguardo a piatti preparati sul posto partendo da prodotti non trasformati;

37.  esorta la Commissione, il Consiglio e gli Stati membri a studiare gli effetti delle legislazioni adottate sulle capacità, la diversità e la qualità della produzione alimentare nell'Unione europea, e di intraprendere provvedimenti per contrastare la contraffazione dei prodotti;

38.  sostiene le iniziative che possono essere sviluppate dagli Stati membri e dalle loro regioni per promuovere e tutelare tutti i territori, i paesaggi e i prodotti che costituiscono il loro patrimonio gastronomico locale; invita le regioni a promuovere la gastronomia locale e dietetica nella ristorazione scolastica e collettiva in collaborazione con i produttori locali, al fine di preservare e valorizzare il patrimonio gastronomico regionale, stimolare l'agricoltura locale e accorciare le catene di approvvigionamento;

39.  invita gli Stati membri ad adottare misure per tutelare il patrimonio europeo collegato alla gastronomia, come ad esempio la tutela del patrimonio architettonico dei mercati tradizionali di alimenti, delle aziende vinicole o di altre strutture, nonché degli strumenti e dei macchinari correlati all'alimentazione e alla gastronomia;

40.  insiste sull'importanza di individuare, registrare, trasmettere e diffondere la ricchezza culturale della gastronomia europea; esorta a istituire un osservatorio europeo della gastronomia;

41.  propone alla Commissione di includere la gastronomia europea nei suoi programmi e nelle sue iniziative culturali;

42.  accoglie con favore l'inserimento nella lista del patrimonio culturale immateriale dell'umanità dell'UNESCO della gastronomia francese, della dieta mediterranea, del pan di zenzero croato e della cucina tradizionale del Messico, e ed esorta gli Stati membri a chiedere l'inserimento delle loro tradizioni e pratiche gastronomiche nella Convenzione per la salvaguardia del patrimonio culturale immateriale dell'UNESCO, al fine di contribuire alla loro tutela;

43.  propone alle città europee di presentare la loro candidatura a città UNESCO della gastronomia, nell'ambito del programma relativo alla rete delle città creative;

o
o   o

44.  incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio e alla Commissione nonché ai governi e ai parlamenti degli Stati membri.


Tutela delle persone fisiche con riguardo al trattamento dei dati personali ***I
PDF 1313kWORD 810k
Risoluzione
Testo consolidato
Risoluzione legislativa del Parlamento europeo del 12 marzo 2014 sulla proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))
P7_TA(2014)0212A7-0402/2013
RETTIFICHE

(Procedura legislativa ordinaria: prima lettura)

Il Parlamento europeo,

–  vista la proposta della Commissione al Parlamento europeo e al Consiglio (COM(2012)0011),

–  visti l'articolo 294, paragrafo 2, l'articolo 16, paragrafo 2, e l'articolo 114, paragrafo 1, del trattato sul funzionamento dell'Unione europea, a norma dei quali la proposta gli è stata presentata dalla Commissione (C7-0025/2012),

–  visto l'articolo 294, paragrafo 3, del trattato sul funzionamento dell'Unione europea,

–  visti i pareri motivati presentati, nel quadro del protocollo n. 2 sull'applicazione dei principi di sussidiarietà e di proporzionalità, dalla Camera dei rappresentanti belga, dal Bundesrat tedesco, dal Senato francese, dalla Camera dei deputati italiana e dal Parlamento svedese, ove si afferma che il progetto di atto legislativo non è conforme al principio di sussidiarietà,

–  visto il parere del Comitato economico e sociale europeo del 23 maggio 2012(1),

–  previa consultazione del Comitato delle regioni,

–  visto il parere del Garante europeo della protezione dei dati del 7 marzo 2012(2),

–  visto il parere dell'Agenzia dell'Unione europea per i diritti fondamentali del 1° ottobre 2012,

–  visto l'articolo 55 del suo regolamento,

–  visti la relazione della commissione per le libertà civili, la giustizia e gli affari interni e i pareri della commissione per l'occupazione e gli affari sociali, della commissione per l'industria, la ricerca e l'energia, della commissione per il mercato interno e la protezione dei consumatori e della commissione giuridica (A7-0402/2013),

1.  adotta la posizione in prima lettura figurante in appresso;

2.  chiede alla Commissione di presentargli nuovamente la proposta qualora intenda modificarla sostanzialmente o sostituirla con un nuovo testo;

3.  incarica il suo Presidente di trasmettere la posizione del Parlamento al Consiglio e alla Commissione nonché ai parlamenti nazionali.

Posizione del Parlamento europeo definita in prima lettura il 12 marzo 2014 in vista dell'adozione del regolamento (UE) n. .../2014 del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)

P7_TC1-COD(2012)0011


(Testo rilevante ai fini del SEE)

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16, paragrafo 2, e l’articolo 114, paragrafo 1,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo(3),

previa consultazione del Comitato delle regioni,

visto il parere del Garante europeo della protezione dei dati(4)

deliberando secondo la procedura legislativa ordinaria(5),

considerando quanto segue:

(1)  La tutela delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea ("Carta") e l’articolo 16, paragrafo 1, del trattato stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

(2)  Il trattamento dei dati personali è al servizio dell’uomo; i principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali devono rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali, a prescindere dalla nazionalità o dalla residenza dell’interessato. Il trattamento dei dati personali dovrebbe contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone.

(3)  Obiettivo della direttiva 95/46/CE del Parlamento europeo e del Consiglio(6) è armonizzare la protezione dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati e assicurare la libera circolazione dei dati personali tra gli Stati membri.

(4)  L’integrazione economica e sociale conseguente al funzionamento del mercato interno ha portato a un considerevole aumento dei flussi transfrontalieri e quindi anche dei dati scambiati, in tutta l’Unione, tra gli operatori economici e sociali, pubblici e privati. Il diritto dell’Unione impone alle autorità nazionali degli Stati membri di cooperare e scambiarsi dati personali per essere in grado di svolgere le rispettive funzioni o eseguire compiti per conto di un’autorità di un altro Stato membro.

(5)  La rapidità dell’evoluzione tecnologica e la globalizzazione comportano anche nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati è aumentata in modo vertiginoso; la tecnologia attuale consente alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività e, sempre più spesso, gli stessi privati rendono pubbliche sulla rete mondiale informazioni personali che li riguardano. Le nuove tecnologie hanno trasformato non solo l’economia ma anche le relazioni sociali e impongono che si faciliti ancora di più la libera circolazione dei dati all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali; al tempo stesso, però, occorre garantire un elevato livello di protezione dei dati personali.

(6)  Tale evoluzione richiede un quadro giuridico più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno. È necessario che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per i privati che per i operatori economici e le autorità pubbliche.

(7)  Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione delle modalità di applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica e la percezione, largamente diffusa nel pubblico, che soprattutto le operazioni on line comportino notevoli rischi. La compresenza di diversi livelli di tutela dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, riservata al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Il divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la direttiva 95/46/CE.

(8)  Al fine di garantire un livello coerente ed elevato di protezione delle persone e rimuovere gli ostacoli alla circolazione dei dati personali, il livello di tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati deve essere equivalente in tutti gli Stati membri. Occorre pertanto garantire un’applicazione coerente ed omogenea delle norme a tutela delle libertà e dei diritti fondamentali delle persone fisiche con riguardo al trattamento dei dati personali su tutto il territorio dell’Unione.

(9)  Ai fini di un’efficace protezione dei dati personali in tutta l’Unione è necessario rafforzare e precisare i diritti degli interessati e gli obblighi di coloro che effettuano e determinano il trattamento dei dati, dotare gli Stati membri di poteri equivalenti per monitorare e garantire il rispetto delle norme di protezione dei dati personali, e prevedere sanzioni equivalenti per i trasgressori.

(10)  L’articolo 16, paragrafo 2, del trattato conferisce al Parlamento europeo e al Consiglio il mandato di stabilire le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale e le norme relative alla libera circolazione di tali dati.

(11)  Per garantire un livello uniforme di protezione delle persone in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese, offra alla persona in tutti gli Stati membri il medesimo livello di diritti giuridicamente tutelati, definisca obblighi e responsabilità dei responsabili del trattamento e degli incaricati del trattamento e assicuri un monitoraggio costante del trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri. Per tener conto della specifica situazione delle micro, piccole e medie imprese, il presente regolamento prevede una serie di deroghe. Inoltre, le istituzioni e gli organi dell’Unione, gli Stati membri e le loro autorità di controllo sono invitati a considerare le esigenze specifiche delle micro, piccole e medie imprese nell’applicare il presente regolamento. Il concetto di micro, piccola e media impresa deve ispirarsi alla raccomandazione 2003/361/CE della Commissione(7).

(12)  La protezione prevista dal presente regolamento si applica alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei dati personali. La protezione offerta dal presente regolamento non potrà essere invocata per il trattamento dei dati relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compreso il nome, la forma giuridica e i contatti. Ciò vale anche quando il nome della persona giuridica contiene il nome di una o più persone fisiche.

(13)  La protezione delle persone fisiche deve essere neutrale sotto il profilo tecnologico e non dipendere dalle tecniche impiegate; in caso contrario, si correrebbero gravi rischi di elusione. La protezione delle persone fisiche deve applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati sono contenuti o destinati ad essere contenuti in un archivio. Non dovrebbero rientrare nel campo di applicazione del presente regolamento i fascicoli o le serie di fascicoli, e le rispettive copertine, non strutturati secondo criteri specifici.

(14)  Il presente regolamento non si applica a questioni di tutela dei diritti e delle libertà fondamentali o di libera circolazione dei dati riferite ad attività che non rientrano nell’ambito di applicazione del diritto dell’Unione europea, né si applica al trattamento dei dati personali effettuato da istituzioni, organi, uffici e agenzie dell’Unione, che sono soggetti al. È opportuno che il regolamento (CE) n. 45/2001, e nemmeno al trattamento effettuato dagli Stati membri nell’esercizio di attività relative alla politica estera e di sicurezza comune dell’Unione del Parlamento europeo e del Consiglio(8) sia allineato al presente regolamento e sia applicato in conformità dello stesso. [Em. 1]

(15)  Il presente regolamento non deve applicarsi al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività esclusivamente personali, di natura familiare o domestiche, quali la corrispondenza e gli indirizzari o una vendita tra privati, e senza scopo di lucro, vale a dire senza alcuna connessione con un’attività commerciale o professionale. Tale deroga nonTuttavia, il presente regolamento deve valere per i responsabili del trattamento o gli incaricati del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività personali o domestiche. [Em. 2]

(16)  La tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati sono oggetto di uno specifico strumento giuridico a livello di Unione. Il presente regolamento non si applica pertanto ai trattamenti effettuati per queste finalità. I dati trattati dalle autorità pubbliche in forza del presente regolamento per queste finalità dovranno invece essere disciplinati dal più specifico strumento giuridico a livello di Unione (direttiva 2014/.../UE del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati).

(17)  Il presente regolamento non deve pregiudicare l’applicazione della direttiva 2000/31/CE del Parlamento europeo e del Consiglio(9), in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui ai suoi articoli da 12 a 15.

(18)  Il presente regolamento ammette, nell’applicazione delle sue disposizioni, che si tenga conto del principio del pubblico accesso ai documenti ufficiali. I dati personali contenuti in documenti conservati da un'autorità pubblica o da un organismo pubblico possono essere divulgati da tale autorità o organismo in conformità della legislazione dell'Unione o di uno Stato membro in materia di accesso del pubblico ai documenti ufficiali, che concilia il diritto alla protezione dei dati con il diritto dell'accesso pubblico ai documenti ufficiali e costituisce un'equa ponderazione dei vari interessi coinvolti. [Em. 3]

(19)  Qualsiasi trattamento di dati personali effettuato nell’ambito delle attività di uno stabilimento di un responsabile del trattamento o incaricato del trattamento nel territorio dell’Unione deve essere conforme al presente regolamento, che il trattamento avvenga all’interno dell’Unione o al di fuori. Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.

(20)  Onde evitare che una persona venga privata della tutela cui ha diritto in base al presente regolamento, è necessario che questo disciplini anche il trattamento dei dati personali di residentiinteressati nell’Unione effettuato da un responsabile del trattamento non stabilito nell’Unione, quando le attività di trattamento sono finalizzate all’offerta di beni o servizi, a prescindere che siano legati a un pagamento o meno, a dette persone o al controllo del loro comportamento. Per determinare se tale responsabile del trattamento stia offrendo beni o servizi a dette persone nell'Unione, occorre verificare se risulta che il responsabile del trattamento intenda fornire tali servizi agli interessati in uno o più Stati membri dell'Unione. [Em. 4]

(21)  Per stabilire se un’attività di trattamento sia assimilabile al “controllo del comportamento” dell’interessato, occorre verificare se le operazioni che questi esegue su Internet sono sottoposte atracciate, a prescindere dall'origine dei dati, o se altri dati che lo riguardano sono raccolti, anche da registri pubblici e comunicazioni a livello dell'Unione accessibili al suo esterno, compreso il previsto utilizzo o il potenziale utilizzo successivo di tecniche di trattamento dei dati volte alla “profilazione” dell’utente, in particolare per prendere decisioni che lilo riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali. [Em. 5]

(22)  Laddove vige la legislazione nazionale di uno Stato membro in virtù del diritto internazionale pubblico, ad esempio nella rappresentanza diplomatica o consolare di uno Stato membro, il presente regolamento deve applicarsi anche a un responsabile del trattamento non stabilito nell’Unione.

(23)  È necessario applicare i principi di protezione dei dati a tutte le informazioni relative ad una persona fisica identificata o identificabile. Per stabilire l’identificabilità di una persona, è opportuno considerare tutti i mezzi di cui può ragionevolmente avvalersi il responsabile del trattamento o un terzo per identificare o individuare detta persona direttamente o indirettamente. Per accertare la ragionevole probabilità che i mezzi siano utilizzati per identificare la persona, è opportuno prendere in considerazione tutti i fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento sia dello sviluppo tecnologico. Non è quindi necessario applicare i principi di protezione ai dati resi sufficientemente anonimi da impedire l’identificazione dell’interessato, vale a dire le informazioni che non riguardano una persona fisica identificata o identificabile. Il presente regolamento non si applica pertanto al trattamento di tali dati anonimi, anche per finalità statistiche e di ricerca. [Em. 6]

(24)  Navigando on line, accade che si sia associati aOccorre che il presente regolamento si applichi al trattamento di identificativi on line prodotti daida dispositivi, dalle applicazioni, dagli strumenti e protocolli utilizzati, quali gli indirizzi IP o i marcatori temporanei (cookies). Tali identificativi possono lasciare tracce che, combinate con altri identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili e identificare gli utenti. Ne consegue che numeri di identificazione, dati relativi all’ubicazione, identificativi on line o altri fattori specifici non debbano di per sé essere necessariamente considerati dati personali in tutte le circostanze e i tag di identificazione a radiofrequenza, salvo il caso in cui tali identificativi non si riferiscono a una persona fisica identificata o identificabile. [Em. 7]

(25)  Il consenso dovrebbe essere prestato esplicitamente con qualsiasi modalità appropriata che permetta all’interessato di manifestare una volontà libera, specifica e informata, mediante dichiarazione o azione positiva inequivocabile che sia il risultato di una scelta, da cui si evinca che consapevolmente acconsente al trattamento dei suoi dati personali, anche selezionando. Un'azione positiva inequivocabile potrebbe comprendere la selezione di un’apposita casella in un sito Internet o con altra dichiarazione o comportamento che indichi chiaramente in questo contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il consenso tacito o passivo o il semplice utilizzo di un servizio. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per lo stesso o gli stessi scopi. Se il consenso dell’interessato è richiesto con modalità elettronica, la richiesta deve essere chiara, concisa e non disturbare inutilmente il servizio per il quale è espresso. [Em. 8]

(26)  Nei dati personali relativi alla salute dovrebbero rientrare, in particolare, tutti i dati riguardanti lo stato di salute dell’interessato; le informazioni sulle richieste di prestazione di servizi sanitari; le informazioni sui pagamenti o l’ammissibilità all’assistenza sanitaria; un numero, simbolo o elemento specifico attribuito per identificare l’interessato in modo univoco a fini sanitari; qualsiasi informazione raccolta nel corso della prestazione di servizi sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i campioni biologici; l’identificazione di una persona come prestatore di assistenza sanitaria all’interessato; qualsiasi informazione riguardante, ad esempio, una malattia, l’invalidità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o l’effettivo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, ad esempio un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.

(27)  È necessario che lo stabilimento principale di un responsabile del trattamento dell’Unione sia determinato in base a criteri obiettivi e implichi l’effettivo e reale svolgimento di attività di gestione finalizzate alle principali decisioni sulle finalità, le condizioni e i mezzi del trattamento nel quadro di un’organizzazione stabile. Tale criterio non deve dipendere dal fatto che i dati personali siano effettivamente trattati in quella sede; la presenza o l’uso di mezzi tecnici e tecnologie di trattamento di dati personali o di attività di trattamento non costituiscono di per sé lo stabilimento principale né sono quindi criteri determinanti della sua esistenza. Per quanto riguarda l’incaricato del trattamento, per “stabilimento principale” deve intendersi il luogo in cui ha sede la sua amministrazione centrale nell’Unione.

(28)  Un gruppo di imprese dovrebbe costituirsi di un’impresa controllante e delle sue controllate, là dove l’impresa controllante sarebbe quella che può esercitare un’influenza dominante sulle controllate in forza, ad esempio, della proprietà, della partecipazione finanziaria o delle norme societarie o del potere di fare applicare le norme di protezione dei dati personali.

(29)  I minori necessitano di una specifica protezione dei loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze, delle misure di protezione e dei loro diritti in relazione al trattamento dei dati personali. Per determinare chi è minore, è opportuno che il presente regolamento riprenda la definizione stabilita dalla convenzione delle Nazioni Unite sui diritti del fanciulloQualora il trattamento dei dati sia basato consenso dell'interessato in relazione all'offerta di beni o servizi direttamente a un minore, è opportuno che il consenso sia espresso o autorizzato dal genitore o dal tutore legale del minore nel caso in cui il egli abbia un'età inferiore ai tredici anni. Se i destinatari previsti sono minori, è necessario utilizzare un linguaggio adeguato all'età. Occorre che continuino a essere applicabili altri criteri di legittimità del trattamento, quali i motivi di interesse pubblico, ad esempio per il trattamento nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore. [Em. 9]

(30)  Qualsiasi trattamento di dati personali deve essere lecito, equo e trasparente nei confronti dell’interessato. In particolare, le finalità specifiche del trattamento dei dati devono essere esplicite e legittime e precisate al momento della raccolta. I dati devono essere adeguati, pertinenti e limitati al minimo necessario per le finalità del trattamento, donde l’obbligo, soprattutto, di garantire che la raccolta non sia eccessiva e che il periodo di conservazione dei dati sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è conseguibile con altri mezzi. Occorre prendere tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. Onde garantire che i dati non siano conservati più a lungo del necessario, il responsabile del trattamento dovrebbe fissare un termine per la cancellazione o per la verifica periodica.

(31)  Perché sia lecito il trattamento dati deve fondarsi sul consenso dell’interessato o su altra base legittima prevista per legge, dal presente regolamento o in altro atto legislativo dell’Unione o degli Stati membri, come indicato nel presente regolamento. Nel caso di un minore o di una persona priva di capacità giuridica, è opportuno che il pertinente diritto dell'Unione o dello Stato membro determini le condizioni alle quali il consenso è espresso o autorizzato da tale persona. [Em. 10]

(32)  Per i trattamenti basati sul consenso dell’interessato, dovrebbe incombere al responsabile del trattamento dimostrare che l’interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un’altra materia, occorrono garanzie che assicurino che l’interessato sia consapevole di esprimere un consenso e in qual misura. Ai fini della conformità al principio della minimizzazione dei dati, l'onere della prova non deve essere interpretato come richiesta di accertamento dell'identità degli interessati, a meno che ciò non sia necessario. Analogamente a quanto avviene nell'ambito dei contratti di diritto civile (ad esempio direttiva 93/13/CEE del Consiglio(10)), è necessario che le politiche di protezione dei dati siano quanto più chiare e trasparenti possibile. Esse non dovrebbero contenere clausole nascoste o svantaggiose. Non è possibile esprimere il consenso per il trattamento dei dati personali di terzi. [Em. 11]

(33)  Perché il consenso sia libero, occorre chiarire che non costituisce una valida base giuridica qualora l’interessato non sia in grado di operare una scelta autenticamente libera e non possa, pertanto, rifiutare o ritirare il consenso senza subire pregiudizio. Ciò vale specialmente se il responsabile del trattamento è un'autorità pubblica che può imporre un obbligo in forza dei suoi pubblici poteri; in tal caso, il consenso non può essere considerato libero. L'utilizzo di opzioni predefinite che l'interessato deve modificare per opporsi al trattamento dei dati, come le caselle preselezionate, non esprime il consenso libero. Il consenso al trattamento di dati personali supplementari non necessari ai fini della fornitura di un servizio non dovrebbe essere richiesto per poter fruire del servizio. L'eventuale revoca del consenso può consentire la cessazione o la mancata esecuzione di un servizio che dipenda dai dati. Se la conclusione dello scopo previsto non è chiara, occorre che il responsabile del trattamento a intervalli regolari fornisca all'interessato informazioni relative al trattamento e richieda una conferma del consenso. [Em. 12]

(34)  Il consenso non costituisce una valida base giuridica per il trattamento dei dati personali quando esiste un evidente squilibrio tra l’interessato e il responsabile del trattamento. Ciò avviene, in particolare, quando l’interessato si trova in situazione di dipendenza dal responsabile del trattamento, tra l’altro quando i dati personali di un dipendente sono trattati dal suo datore di lavoro nel contesto dei rapporti di lavoro. Se il responsabile del trattamento è un’autorità pubblica, vi è squilibrio soltanto nelle specifiche operazioni di trattamento in cui l’autorità pubblica può imporre un obbligo in forza dei suoi pubblici poteri; in tal caso, il consenso non può essere considerato libero, tenuto conto degli interessi dell’interessato. [Em. 13]

(35)  Il trattamento dati deve essere considerato lecito se è necessario nell’ambito di un contratto o ai fini della conclusione di un contratto.

(36)  È opportuno che il trattamento effettuato per adempiere un obbligo legale che incombe al responsabile del trattamento o necessario per l’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri abbia una base giuridica tratta dal diritto dell’Unione o di uno Stato membro che soddisfi i requisiti della per eventuali limitazionelimitazioni dei diritti e delle libertà. Ciò dovrebbe includere altresì contratti collettivi la cui validità generale potrebbe essere riconosciuta nel quadro del diritto nazionale. Spetta altresì al diritto dell’Unione o alle legislazioni nazionali stabilire se il responsabile del trattamento che esegue un compito di interesse pubblico o connesso all’esercizio di pubblici poteri debba essere una pubblica amministrazione o altra persona fisica o giuridica di diritto pubblico o privato, quale un’associazione professionale. [Em. 14]

(37)  Il trattamento di dati personali deve essere parimenti considerato lecito quando è necessario per tutelare un interesse essenziale per la vita dell’interessato.

(38)  I legittimi interessi di undel responsabile del trattamento, o in caso di divulgazione, del terzo cessionario dei dati, possono costituire una base giuridica del trattamento, a condizione che soddisfino le ragionevoli aspettative dell'interessato sulla base dei suoi rapporti con il responsabile del trattamento e che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato. Ciò richiede un’attenta valutazione specie se l’interessato è un minore, dato che i minori necessitano di una specifica protezione. A condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, si presume che il trattamento limitato ai dati pseudonimi soddisfi le ragionevoli aspettative dell'interessato sulla base dei suoi rapporti con il responsabile del trattamento. L’interessato deve potersi opporsiopporre al trattamento, per motivi inerenti alla sua situazione particolare, e gratuitamente. Per garantire la trasparenza, il responsabile del trattamento deve essere obbligato a informare esplicitamente l’interessato sui legittimi interessi perseguiti, che deve documentare, e sul diritto di opporsi al trattamento dei dati. Gli interessi e i diritti fondamentali dell'interessato potrebbero in particolare prevalere sugli interessi del responsabile del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati. Posto che spetta al legislatore prevedere la base giuridica che autorizza le autorità pubbliche a trattare i dati, questo motivo non dovrebbe valere per il trattamento dati effettuato dalle autorità pubbliche nell’esercizio delle loro funzioni. [Em. 15]

(39)  Costituisce legittimo interesse del responsabile del trattamento trattare dati relativi al traffico, in misura strettamente proporzionata e necessaria a garantire la sicurezza delle reti e dell’informazione, vale a dire la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, ad eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza. Ciò potrebbe, ad esempio, includere misure atte a impedire l’accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da blocco di servizio e ai danni ai sistemi informatici e di comunicazione elettronica. Tale principio si applica altresì al trattamento di dati personali volto a limitare l'accesso non autorizzato e l'utilizzo di reti o di sistemi di informazione accessibili al pubblico, come l'iscrizione in liste nere degli identificativi elettronici. [Em. 16]

(39 bis)  A condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, si dovrebbe presumere che la prevenzione o la limitazione dei danni del responsabile del trattamento sia eseguita nel legittimo interesse del responsabile stesso o, in caso di divulgazione, del terzo cessionario dei dati, nonché che soddisfi le ragionevoli aspettative dell'interessato sulla base dei suoi rapporti con il responsabile dei dati. Lo stesso principio si applica altresì in caso di azioni legali nei confronti di un interessato, quali il recupero del credito o il risarcimento danni. [Em. 17]

(39 ter)  A condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, si dovrebbe presumere che il trattamento dei dati personali per finalità di marketing diretto per prodotti e servizi propri o analoghi o per finalità di marketing postale diretto sia eseguito nel legittimo interesse del responsabile del trattamento o, in caso di divulgazione, del terzo cessionario dei dati, e che soddisfi le ragionevoli aspettative dell'interessato sulla base dei suoi rapporti con il responsabile se sono fornite informazioni aventi grande visibilità in merito al diritto di opporsi e alla fonte dei dati personali. Si dovrebbe generalmente presumere che il trattamento dei dati di contatto professionali sia eseguito nel legittimo interesse del responsabile del trattamento o, in caso di divulgazione, del terzo cessionario dei dati, e che soddisfi le ragionevoli aspettative dell'interessato sulla base dei suoi rapporti con il responsabile del trattamento. Ciò dovrebbe valere anche per il trattamento dei dati personali resi manifestamente pubblici dall'interessato. [Em. 18]

(40)  Il trattamento dei dati personali per altri fini dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati sono stati inizialmente raccolti, in particolare se il trattamento è necessario per finalità storiche, statistiche o di ricerca scientifica. Se l’ulteriore finalità non è compatibile con la finalità iniziale della raccolta dati, sarebbe opportuno che il responsabile del trattamento ottenga il consenso specifico dell’interessato per tale finalità o basi il trattamento dati su un altro motivo legittimo, in particolare ove previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento. In ogni caso, dovrebbe essere garantita l’applicazione dei principi stabiliti dal presente regolamento, in particolare l’obbligo di informare l’interessato di tali altre finalità. [Em. 19]

(41)  Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili e vulnerabili sotto il profilo dei diritti fondamentali o della vita privata. Tali dati non devono essere oggetto di trattamento, salvo esplicito consenso dell’interessato. Tuttavia occorre prevedere espressamente deroghe a questo divieto nei casi di necessità specifiche, segnatamente laddove il trattamento viene eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l’esercizio delle libertà fondamentali. [Em. 20]

(42)  La deroga al divieto di trattare dati sensibili deve essere consentita anche quando è prevista per legge, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, quando un interesse pubblico rilevante lo giustifichi, in particolare per finalità inerenti alla salute, compresa la pubblica sanità, la protezione sociale e la gestione dei servizi sanitari, soprattutto al fine di assicurare la qualità e l’economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito del regime di assicurazione sanitaria, o per finalità storiche, statistiche e di ricerca scientifica o per servizi di archiviazione. [Em. 21]

(43)  Inoltre, è effettuato per motivi di interesse pubblico il trattamento di dati personali a cura di autorità pubbliche diretto a realizzare scopi, previsti dal diritto costituzionale o dal diritto internazionale pubblico, di associazioni religiose ufficialmente riconosciute.

(44)  Se, nel corso di attività elettorali, il funzionamento del sistema democratico presuppone, in alcuni Stati membri, che i partiti politici raccolgano dati sulle opinioni politiche delle persone, può esserne consentito il trattamento per motivi di interesse pubblico, purché siano predisposte congrue garanzie.

(45)  Se i dati che tratta non gli consentono di identificare una persona fisica, il responsabile del trattamento non deve essere obbligato ad acquisire ulteriori informazioni per identificare l’interessato al solo fine di rispettare una disposizione del presente regolamento. Quando riceve una richiesta di accesso, il responsabile del trattamento deve poter chiedere all’interessato ulteriori informazioni per poter localizzare i dati personali richiesti. Se l'interessato può fornire tali dati, i responsabili del trattamento non devono poter invocare la mancanza di informazioni per rifiutare una richiesta di accesso. [Em. 22]

(46)  Il principio della trasparenza impone che le informazioni destinate al pubblico o all’interessato siano facilmente accessibili e di facile comprensione e che sia utilizzato un linguaggio semplice e chiaro. Ciò è particolarmente utile in situazioni quali la pubblicità on line, in cui la molteplicità degli operatori coinvolti e la complessità tecnologica dell’operazione fanno sì che sia difficile per l’interessato comprendere se vengono raccolti dati personali, da chi e a quale scopo. Dato che i minori necessitano di una protezione specifica, quando il trattamento dati li riguarda specificamente, qualsiasi informazione e comunicazione deve utilizzare il linguaggio semplice e chiaro che un minore possa capire facilmente.

(47)  Occorre prevedere modalità volte ad agevolare l’esercizio dei diritti di cui al presente regolamento, compresi i meccanismi per la richiestaottenere, gratuitagratuitamente, di accederel'accesso ai dati, rettificarlila rettifica e cancellarlila cancellazione in particolare, e per l’esercizio delesercitare il diritto di opposizione. Il responsabile del trattamento deve essere tenuto a rispondere alle richieste dell’interessato entro un termine prestabilitoragionevole e a motivare l’eventuale rifiuto. [Em. 23]

(48)  I principi di trattamento equo e trasparente implicano che l’interessato sia informato in particolare dell’esistenza del trattamento e delle sue finalità, del probabile periodo di conservazione dei dati per ciascuna finalità, dell'eventuale trasferimento dei dati a soggetti o paesi terzi, dell'esistenza di misure di opposizione, del diritto di accesso, rettifica o cancellazione e del diritto di proporre reclamo. In caso di dati raccolti direttamente presso l’interessato, questi deve inoltre essere informato dell’eventuale obbligo di fornire i propri dati e delle conseguenze a cui va incontro se si rifiuta di fornirli. Tali informazioni vanno fornite all'interessato, anche mettendole rapidamente a sua disposizione, dopo la fornitura di informazioni semplificate in forma di icone standardizzate. Ciò dovrebbe altresì implicare che i dati personali sono trattati in modo tale da consentire efficacemente all'interessato di esercitare i propri diritti. [Em. 24]

(49)  L’interessato deve ricevere le informazioni relative al trattamento di dati personali al momento della raccolta o, se i dati non sono raccolti direttamente presso l’interessato, entro un termine ragionevole, in funzione delle circostanze del caso. Se i dati possono essere legittimamente comunicati a un altro destinatario, l’interessato deve esserne informato al momento in cui il destinatario riceve la prima comunicazione dei dati.

(50)  Per contro, non è necessario imporre tale obbligo se l’interessato dispone già conosce dell’l'informazione, se la registrazione o la comunicazione è prevista per legge o se informare l’interessato si rivela impossibile o richiederebbe risorse sproporzionate. Ciò potrebbe verificarsi in particolare con i trattamenti per finalità storiche, statistiche o di ricerca scientifica, nel qual caso si può tener conto del numero di interessati, dell’antichità dei dati e di eventuali misure di compensazione. [Em. 25]

(51)  Ogni persona deve avere il diritto di accedere ai dati raccolti che la riguardano e di esercitare tale diritto facilmente, per essere consapevole del trattamento e verificarne la liceità. Occorre pertanto che ogni interessato abbia il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità del trattamento, al periodo di conservazione previsto, ai destinatari, alla logica generale che presiede al trattamento e alle possibili conseguenze, almeno quando i dati si basato sul profilo dell’interessato. Tale diritto non deve ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente iad esempio in relazione ai diritti d’autore che tutelano il software. Tuttavia, queste considerazioni non devono portare a negare all’interessato l’accesso a tutte le informazioni. [Em. 26]

(52)  Il responsabile del trattamento deve prendere tutte le misure ragionevoli per verificare l’identità di un interessato che chieda l’accesso, in particolare nel contesto di servizi on line e di identificativi on line. Il responsabile del trattamento non deve conservare dati personali al solo scopo di poter rispondere a potenziali richieste.

(53)  Ogni persona deve avere il diritto di rettificare i dati personali che la riguardano e il “diritto all’oblioalla cancellazione”, se la conservazione di tali dati non è conforme al presente regolamento. In particolare, l’interessato deve avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al presente regolamento. Tale diritto è particolarmente rilevante se l’interessato ha dato il consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminare questo tipo di dati personali, in particolare da Internet. Tuttavia, occorre consentire l’ulteriore conservazione dei dati qualora sia necessario per finalità storiche, statistiche e di ricerca scientifica, per motivi di interesse pubblico nel settore della sanità pubblica, per l’esercizio del diritto alla libertà di espressione, ove richiesto per legge o quando sia giustificata una limitazione del trattamento dei dati anziché una loro cancellazione. Inoltre, il diritto alla cancellazione non si dovrebbe applicare quando la conservazione di dati personali è necessaria per l'esecuzione di un contratto con l'interessato o quando vi sia l'obbligo giuridico di conservare tali dati. [Em. 27]

(54)  Per rafforzare il “diritto all’oblioalla cancellazione” nell’ambiente on line, è necessario che il diritto di cancellazione sia esteso in modo da obbligare il responsabile del trattamento che ha pubblicato dati personali a informare i terzi che stanno trattando tali dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Per garantire tale informazione, è necessario che il responsabile del trattamento prenda tutte le misure ragionevoli, anche di natura tecnica, in relazione ai dati della cui pubblicazione è responsabile. Se ha autorizzato un terzo a pubblicare dati personali, il responsabile del trattamento deve essere ritenuto responsabile di tale pubblicazionesenza una giustificazione legittima ad adottare tutti i provvedimenti necessari affinché i dati siano cancellati, anche dai terzi, fatto salvo il diritto dell'interessato di esigere il risarcimento. [Em. 28]

(54 bis)  I dati contestati dall'interessato per i quali non sia possibile stabilire se sono esatti o meno sono bloccati fino al chiarimento della questione. [Em. 29]

(55)  Per rafforzare ulteriormente il controllo sui propri dati e il diritto di accedervi, occorre che l’interessato abbia il diritto, se i dati personali sono trattati con mezzi elettronici e in un formato strutturato e di uso comune, di ottenere una copia dei dati che lo riguardano ugualmente in formato elettronico di uso comune. Occorre anche che l’interessato sia autorizzato a trasferire i dati che ha fornito da un’applicazione automatizzata, ad esempio un social network, ad un’altra. È necessario incoraggiare i responsabili del trattamento a sviluppare formati interoperabili che permettano la portabilità dei dati. Tale diritto dovrebbe applicarsi quando l’interessato ha fornito i dati al sistema di trattamento automatizzato acconsentendo al trattamento o in esecuzione di un contratto. È opportuno che i fornitori di servizi della società dell'informazione non rendano obbligatorio il trasferimento di tali dati per la fornitura dei loro servizi. [Em. 30]

(56)  Anche nei casi in cui i dati personali possano essere lecitamente trattati per proteggere interessi vitali dell’interessato, oppure per motivi di pubblico interesse, nell’esercizio di pubblici poteri o per il legittimo interesse di un responsabile del trattamento, l’interessato deve comunque avere il diritto di opporsi al trattamento dei dati che lo riguardano, gratuitamente e con modalità facili ed effettive. È opportuno che incomba al responsabile del trattamento dimostrare che i suoi legittimi interessi possono prevalere sull’interesse o sui diritti e sulle libertà fondamentali dell’interessato. [Em. 31]

(57)  Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato deve avere abbia il diritto di opporsi a taleal trattamento, gratuitamente e con una modalità facili e effettiveil responsabile dovrebbe comunicarlo esplicitamente all'interessato in modo e forma per lui intelligibili usando una formulazione chiara e semplice, e distinguerlo chiaramente dalle altre informazioni. [Em. 32]

(58)  Fatta salva la liceità del trattamento dei dati, ogni persona deve avere il diritto di non essere sottoposta a una misura basata sulla opporsi alla profilazione mediante trattamento automatizzato. Tuttavia, è opportuno che tale misura siaLa profilazione avente come conseguenza misure che producono effetti giuridici sull'interessato o che, parimenti, incidono significativamente sugli interessi, sui diritti o sulle libertà dello stesso dovrebbe essere consentita solamente se è espressamente prevista per legge, se è applicata nel contesto della conclusione o dell’esecuzione di un contratto o se l’interessato ha espresso il proprio consenso. In ogni caso, tale trattamento deve essere subordinato a garanzie adeguate, compresa la specifica informazione dell’interessato e il diritto di ottenere l’intervento umanouna valutazione umana, e la misura non deve riguardare un minore. Tali misure non devono condurre alla discriminazione degli individui fondata sulla razza o sull'origine etnica, sulle opinioni politiche, sulla religione o sulle convinzioni personali, sull'appartenenza sindacale, sull'orientamento sessuale o sull'identità di genere. [Em. 33]

(58 bis)   Si deve presumere che la profilazione basata esclusivamente sul trattamento dei dati pseudonimi non incida significativamente sugli interessi, sui diritti o sulle libertà dell'interessato. Qualora la profilazione, sia essa basata su una singola fonte di dati pseudonimi o sull'aggregazione dei dati pseudonimi da diverse fonti, consenta al responsabile del trattamento di attribuire i dati pseudonimi a un soggetto specifico, i dati trattati non vanno più considerati pseudonimi. [Em. 34]

(59)  Il diritto dell’Unione o di uno Stato membro può imporre limitazioni a specifici principi e ai diritti di informazione, accesso, rettifica e cancellazione di dati, al diritto alla portabilitàall'accesso e all'ottenimento dei dati, al diritto di opporsi, alle misure basate sullaalla profilazione, alla comunicazione di una violazione di dati personali all’interessato e ad alcuni obblighi connessi in capo ai responsabili del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della pubblica sicurezza, ivi comprese la protezione della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, e le attività di prevenzione, indagine e perseguimento di reati o di violazioni della deontologia professionale, per la tutela di altri interessi pubblici specifici e ben definiti, tra cui un interesse economico o finanziario rilevante dell’Unione o di uno Stato membro, o per la protezione dell’interessato o dei diritti e delle libertà altrui. Tali limitazioni devono essere conformi alla Carta e alla convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. [Em. 35]

(60)  Occorre stabilire una responsabilità generale del responsabile del trattamento per qualsiasi trattamento di dati personali che abbia effettuato direttamente o altri abbia effettuato per suo conto, in particolare per quanto concerne la documentazione, la sicurezza dei dati, le valutazioni d'impatto, il responsabile della protezione dei dati e la vigilanza da parte delle autorità per la protezione dei dati. In particolare, il responsabile del trattamento deve garantire ed essere tenuto ain grado di dimostrare la conformità di ogni trattamento con il presente regolamento. È necessario che tali aspetti siano verificati da revisori interni o esterni indipendenti. [Em. 36]

(61)  La tutela dei diritti e delle libertà degli interessati con riguardo al trattamento dei dati personali richiede l’attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell’esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del presente regolamento. Al fine di garantire e dimostrare la conformità con il presente regolamento, il responsabile del trattamento deve adottare politiche interne e attuare misure adeguate, che soddisfino in particolare i principi della protezione fin dalla progettazione e della protezione di default. Il principio della protezione dei dati sin dalla progettazione prevede che la protezione dei dati sia integrata nell'intero ciclo di vita della tecnologia, dalla primissima fase di progettazione fino alla sua ultima distribuzione, all'utilizzo e allo smaltimento finale. Va altresì inclusa la responsabilità per i prodotti e i servizi utilizzati dal responsabile o dall'incaricato del trattamento. Il principio della protezione dei dati di default prevede che le impostazioni di tutela della vita privata relative ai servizi e prodotti rispettino di default i principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità. [Em. 37]

(62)  La protezione dei diritti e delle libertà dell’interessato così come le responsabilità del responsabile del trattamento e dell’incaricato del trattamento, anche in relazione al monitoraggio e alle misure delle autorità di controllo, esigono una chiara attribuzione delle responsabilità ai sensi del presente regolamento, compresi i casi in cui un responsabile del trattamento stabilisca le finalità, le condizioni e i mezzi del trattamento congiuntamente con altri responsabili del trattamento o quando l’operazione viene eseguita per conto del responsabile del trattamento. Occorre che gli accordi tra i corresponsabili del trattamento riflettano i loro ruoli e rapporti effettivi. È necessario che il trattamento dei dati personali a norma del presente regolamento preveda la possibilità per un responsabile del trattamento di trasmettere i dati a un corresponsabile o a un incaricato del trattamento affinché esegua il trattamento per suo conto. [Em. 38]

(63)  Quando un responsabile del trattamento non stabilito nell’Unione tratta dati personali di residentiinteressati nell’Unione e la sua attività di trattamento è finalizzata all’offerta di beni o alla prestazione di servizi a tali interessati o al controllo del loro comportamento, è opportuno che tale responsabile del trattamento designi un rappresentante, salvo che non sia stabilito in un paese terzo che garantisce un livello di protezione adeguato, non sia una piccola o media impresa oo che il trattamento riguardi un numero inferiore a 5000 interessati in un periodo di 12 mesi consecutivi e non sia eseguito su categorie particolari di dati personali, o che sia un’autorità o organismo pubblico oppure non offra beni o servizi agli interessati solo occasionalmente. Il rappresentante deve agire per conto del responsabile del trattamento e può essere interpellato da qualsiasi autorità di controllo. [Em. 39]

(64)  Per determinare se un responsabile del trattamento offre solo occasionalmente beni e servizi agli interessati residenti nell’Unione, occorre verificare se dalle sue attività complessive risulta che l’offerta di beni o servizi agli interessati sia solo accessoria rispetto alle attività principali. [Em. 40]

(65)  Per essere in grado di dimostrare che si conforma al presente regolamento, il responsabile del trattamento o l’incaricato del trattamento deve documentare ciascuna operazione di trattamentoconservare la documentazione necessaria al fine di soddisfare i requisiti previsti dal presente regolamento. Bisognerebbe obbligare tutti i responsabili del trattamento e gli incaricati del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detta documentazione a sua disposizione affinché possa servire per monitorare i trattamentivalutare il rispetto del presente regolamento. Tuttavia, occorre attribuire pari enfasi e importanza alle buone prassi e all'ottemperanza, e non solo alla compilazione della documentazione. [Em. 41]

(66)  Per mantenere la sicurezza e prevenire trattamenti contrari al presente regolamento, il responsabile del trattamento o l’incaricato del trattamento deve valutare i rischi inerenti al trattamento e provvedere a limitarli. Tali provvedimenti devono assicurare un adeguato livello di sicurezza, tenuto conto degli sviluppi tecnici e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati da proteggere. Nel definire le norme tecniche e le misure organizzative atte a garantire la sicurezza del trattamento, la Commissione deveoccorre promuovere la neutralità tecnologica, l’interoperabilità e l’innovazione e, ove opportuno, incoraggiare la cooperazione con i paesi terzi. [Em. 42]

(67)  Una violazione di dati personali può, se non affrontata in modo adeguato e tempestivo, provocare un grave danno economico e sociale all’interessato, tra cui l’usurpazione dell’identità. Pertanto, non appena viene a conoscenza di una violazione, il responsabile del trattamento la deve notificare la violazione all’autorità di controllo senza ritardo e, quando possibile, vale a dire, presubilmente, entro 2472 ore. Oltre il termine di 24 oreOve applicabile, la notificazione deve essere corredata di una giustificazione motivata. È opportuno che le persone i cui dati o la cui vita privata potrebbero essere compromessi da una siffatta violazione siano informate tempestivamente affinché possano prendere le precauzioni del caso. Si considera che una violazione pregiudica i dati personali o la vita privata dell’interessato quando comporta, ad esempio, il furto o l’usurpazione d’identità, un danno fisico, un’umiliazione grave o attenta alla sua reputazione. La notifica deve descrivere la natura della violazione dei dati personali e formulare raccomandazioni per l’interessato intese ad attenuare i potenziali effetti negativi. La notifica deve essere trasmessa non appena possibile, in stretta collaborazione con l’autorità di controllo e nel rispetto degli orientamenti impartiti da questa o da altre autorità competenti (come le autorità incaricate dell’applicazione della legge). Ad esempio, affinché gli interessati possano attenuare un rischio immediato di pregiudizio è opportuno che la notifica sia tempestiva, ma la necessità di attuare misure adeguate per contrastare violazioni ripetute o analoghe potrebbe giustificare tempi più lunghi. [Em. 43]

(68)  Per determinare se una violazione dei dati personali è notificata all’autorità di controllo e all’interessato senza ingiustificato ritardo, occorre verificare se il responsabile del trattamento ha predisposto e applicato un’adeguata protezione tecnologica e le misure organizzative necessarie a stabilire immediatamente se c’e stata violazione di dati personali e a informare tempestivamente l’autorità di controllo e l’interessato, prima che ne vengano pregiudicati gli interessi personali ed economici, tenendo conto in particolare della natura e della gravità della violazione e delle sue conseguenze e effetti negativi per l’interessato.

(69)  Nel definire modalità dettagliate relative al formato e alle procedure applicabili alla notificazione delle violazioni di dati personali, è opportuno tenere debitamente conto delle circostanze della violazione, ad esempio stabilire se i dati personali fossero o meno protetti con opportuni dispositivi tecnici atti a limitare efficacemente il rischio di furto d’identità o altre forme di abuso. Inoltre, è opportuno che tali modalità e procedure tengano conto dei legittimi interessi delle autorità giudiziarie e di polizia, nei casi in cui una divulgazione prematura possa ostacolare inutilmente l’indagine sulle circostanze di una violazione di sicurezza.

(70)  La direttiva 95/46/CE ha introdotto un obbligo generale di notificare alle autorità di controllo il trattamento dei dati personali. Tale obbligo comporta oneri amministrativi e finanziari senza per questo aver mai veramente contribuito a migliorare la protezione dei dati personali. È pertanto necessario abolire tale obbligo generale e indiscriminato di notificazione e sostituirlo con meccanismi e procedure efficaci che si concentrino piuttosto su quelle operazioni di trattamento che potenzialmente presentano rischi specifici per i diritti e le libertà degli interessati, per loro natura, portata o finalità. In tali casi, è opportuno che il responsabile del trattamento o l’incaricato del trattamento effettui una valutazione d’impatto sulla protezione dei dati prima del trattamento, che verta in particolare anche sulle misure, sulle garanzie e sui meccanismi previsti per assicurare la protezione dei dati personali e per comprovare il rispetto del presente regolamento.

(71)  Ciò deve applicarsi in particolare ai nuovi sistemi di archiviazione su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati.

(71 bis)  Le valutazioni d'impatto rappresentano la componente essenziale di qualsiasi quadro sostenibile in materia di protezione dei dati, garantendo che le imprese siano consapevoli sin dall'inizio di tutte le possibili conseguenze delle operazioni di trattamento dei dati che effettuano. L'esecuzione di valutazioni d'impatto meticolose limita in modo significativo la probabilità di una violazione dei dati o di un'operazione di intrusione nella vita privata. Le valutazioni d'impatto sulla protezione dei dati devono pertanto considerare la gestione dell'intero ciclo di vita dei dati personali, dalla raccolta al trattamento fino alla cancellazione, descrivendo nel dettaglio le operazioni di trattamento previste, i rischi per i diritti e le libertà degli interessati, le misure previste per affrontare i rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la conformità al presente regolamento. [Em. 44]

(71 ter)  I responsabili del trattamento devono concentrarsi sulla protezione dei dati personali durante l'intero ciclo di vita, dalla raccolta al trattamento fino alla cancellazione, investendo sin dall'inizio in un quadro sostenibile per la gestione dei dati corredato da un meccanismo globale di conformità. [Em. 45]

(72)  Vi sono circostanze in cui può essere ragionevole ed economico effettuare una valutazione d’impatto sulla protezione dei dati che verta su un oggetto più ampio di un unico progetto, per esempio quando autorità o enti pubblici intendono istituire un’applicazione o una piattaforma di trattamento comune o quando diversi responsabili del trattamento progettano di introdurre un’applicazione o un ambiente di trattamento comune in un settore o segmento industriale o per una attività trasversale ampiamente utilizzata.

(73)  È necessario che un’autorità pubblica o un ente pubblico procedano a una valutazione d’impatto sulla protezione dei dati se ciò non è già stato fatto in vista dell’adozione della legge nazionale che disciplina i compiti dell’autorità pubblica o dell’ente pubblico e lo specifico trattamento o insieme di trattamenti. [Em. 46]

(74)  Se dalla valutazione d’impatto sulla protezione dei dati risulta che operazioni di trattamento o l’uso di nuove particolari tecnologie espongono i diritti e le libertà degli interessati a un grado elevato di rischi specifici, privandoli ad esempio di un diritto, il responsabile della protezione dei dati o l’autorità di controllo devedevono essere consultataconsultati prima dell’inizio delle operazioni, affinché verifichiverifichino se un trattamento rischioso sia conforme al presente regolamento e formuliformulino proposte per ovviare a tale situazione. SiffattaUna consultazione dell'autorità di controllo deve aver luogo anche durante l’elaborazione di una proposta legislativa del parlamento nazionale o di una misura basata su quella proposta legislativa, che definisca la natura del trattamento e precisi le garanzie appropriate. [Em. 47]

(74 bis)  Le valutazioni d'impatto possono essere utili solo se i responsabili del trattamento assicurano il rispetto dei propositi inizialmente formulati. I responsabili del trattamento dei dati devono pertanto effettuare controlli periodici della conformità della protezione dei dati da cui risulti che i meccanismi di trattamento dei dati che vengono utilizzati sono conformi alle garanzie espresse nella valutazione d'impatto sulla protezione dei dati. Dalla valutazione deve inoltre emergere la capacità del responsabile del trattamento di rispettare le scelte autonome degli interessati. Infine, se dal controllo dovessero emergere incongruenze in relazione alla conformità, esse devono essere evidenziate e devono essere presentate raccomandazioni su come ottenere la piena conformità. [Em. 48]

(75)  Per i trattamenti effettuati nel settore pubblico o per i trattamenti effettuati nel settore privato da una grande impresariguardanti un numero superiore a 5000 interessati in 12 mesi, o per i trattamenti effettuati o da un’impresa, a prescindere dalle sue dimensioni, le cui attività principali implicano operazioni di trattamento su dati sensibili o operazioni che richiedono un monitoraggio regolare e sistematico, il responsabile del trattamento o l’incaricato del trattamento deve essere assistito da un’altra persona nel controllo del rispetto interno del presente regolamento. Nel valutare se i dati concernenti un vasto numero di interessati siano oggetto di trattamento, è opportuno non prendere in considerazione i dati archiviati limitati a tal punto da non essere soggetti al normale accesso ai dati e ai trattamenti del responsabile del trattamento e da non potere più essere modificati. Tali “responsabili della protezione dei dati”, dipendenti o meno del responsabile del trattamento e che svolgono o meno tale compito a tempo pieno, devono essere in grado di esercitare le loro funzioni e compiti in modo indipendente e beneficiare di una tutela specifica contro il licenziamento. La responsabilità finale deve rimanere di competenza della direzione di un'organizzazione. Il responsabile della protezione dei dati deve, in particolare, essere consultato anteriormente alla progettazione, all'approvvigionamento, allo sviluppo e alla messa a punto di sistemi per il trattamento automatizzato dei dati personali, al fine di garantire i principi della protezione della vita privata fin dalla progettazione e della protezione della vita privata di default. [Em. 49]

75 bis)  Il responsabile della protezione dei dati deve avere almeno le seguenti qualifiche: conoscenza approfondita del contenuto e dell'applicazione della normativa sulla protezione dei dati, incluse le misure e le procedure tecniche e organizzative; padronanza dei requisiti tecnici in materia di protezione della vita privata fin dalla progettazione, protezione della vita privata di default e sicurezza dei dati; specifica conoscenza del settore a seconda della dimensione del responsabile del trattamento o dell'incaricato del trattamento e della sensibilità dei dati da sottoporre a trattamento; capacità di effettuare ispezioni, consultazioni, attività di documentazione e analisi dei file di registro; capacità di collaborare con i rappresentanti dei lavoratori. Il responsabile del trattamento deve autorizzare il responsabile della protezione dei dati a partecipare a misure di formazione avanzate intese a mantenere le conoscenze specifiche necessarie per svolgere le proprie mansioni. L'incarico di responsabile della protezione dei dati non richiede necessariamente un'occupazione a tempo pieno del dipendente in questione. [Em. 50]

(76)  Le associazioni o altre organizzazioni rappresentative dei responsabili del trattamento devono essere incoraggiate, previa consultazione dei rappresentanti dei lavoratori, ad elaborare codici di condotta, nei limiti del presente regolamento, in modo da facilitarne l’effettiva applicazione, tenendo conto delle caratteristiche specifiche delle operazioni effettuate in alcuni settori. Detti codici devono semplificare la conformità dell'industria con il presente regolamento. [Em. 51]

(77)  Al fine di migliorare la trasparenza e il rispetto del presente regolamento deve essere incoraggiata l’istituzione di meccanismi di certificazione, sigilli e marchi standardizzati di protezione dei dati che consentano agli interessati di valutare rapidamente e in maniera affidabile e verificabile il livello di protezione dei dati dei relativi prodotti e servizi. È necessario istituire un "sigillo europeo per la protezione dei dati" a livello europeo al fine di creare fiducia tra gli interessati, certezza giuridica per i responsabili del trattamento e al tempo stesso esportare le norme europee per la protezione dei dati, permettendo a società non europee di accedere con maggiore facilità ai mercati europei in forza della certificazione. [Em. 52]

(78)  I flussi transfrontalieri di dati personali sono necessari per l’espansione del commercio internazionale e della cooperazione internazionale. L’aumento di tali flussi ha posto nuove sfide e problemi riguardanti la protezione dei dati personali. È importante però che quando i dati personali sono trasferiti dall’Unione a paesi terzi o a organizzazioni internazionali non sia compromesso il livello di protezione delle persone garantito nell’Unione dal presente regolamento. In ogni caso, i trasferimenti di dati verso paesi terzi possono soltanto essere effettuati nel pieno rispetto del presente regolamento.

(79)  Il presente regolamento lascia impregiudicate le disposizioni degli accordi internazionali conclusi tra l’Unione e i paesi terzi che disciplinano il trasferimento di dati personali, comprese adeguate garanzie per gli interessati in grado di assicurare un livello adeguato di tutela dei diritti fondamentali dei cittadini. [Em. 53]

(80)  La Commissione può decidere, con effetto nell’intera Unione europea, che taluni paesi terzi, o un territorio o settore di trattamento all’interno di un paese terzo, o un’organizzazione internazionale offrono un livello adeguato di protezione dei dati, garantendo in tal modo la certezza del diritto e l’uniformità in tutta l’Unione nei confronti dei paesi terzi o delle organizzazioni internazionali che si ritiene offrano un livello di protezione adeguato. In questi casi, i trasferimenti di dati personali possono avere luogo senza ulteriori autorizzazioni.La Commissione può inoltre decidere, dopo aver fornito una comunicazione e una motivazione completa al paese terzo, di revocare una tale decisione. [Em. 54]

(81)  In linea con i valori fondamentali su cui è fondata l’Unione, in particolare la tutela dei diritti dell’uomo, è opportuno che la Commissione, nella sua valutazione del paese terzo, tenga conto del modo in cui tale paese rispetta lo stato di diritto, l’accesso alla giustizia e le norme e gli standard internazionali in materia di diritti dell’uomo.

(82)  La Commissione può anche riconoscere che un paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o un’organizzazione internazionale non offra un adeguato livello di protezione dei dati, nel qual caso. Qualsiasi legge che preveda un accesso extraterritoriale ai dati personali trattati nell'Unione senza un'autorizzazione a norma del diritto dell'Unione o dello Stato membro è da considerarsi indice di una mancanza di adeguatezza. Di conseguenza, il trasferimento di dati personali verso tale paese terzo deve essere vietato. È altresì opportuno prevedere consultazioni tra la Commissione e detti paesi terzi od organizzazioni internazionali. [Em. 55]

(83)  In mancanza di una decisione di adeguatezza, il responsabile del trattamento o l’incaricato del trattamento deve provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell’interessato. Tali adeguate garanzie possono consistere nell’applicazione di norme vincolanti d’impresa, clausole di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un’autorità di controllo o clausole contrattuali autorizzate da un’autorità di controllo, o altre opportune misure proporzionate e giustificate alla luce di tutte le circostanze relative ad un trasferimento o ad un insieme di trasferimenti di dati e nei casi autorizzati da un’autorità di controllo.. Tali garanzie appropriate devono assicurare un rispetto dei diritti degli interessati adeguato ai trattamenti all'interno dell'UE, in particolare per quanto riguarda la limitazione delle finalità, il diritto di accesso, rettifica, cancellazione e richiesta di risarcimento. Tali garanzie devono, in particolare, assicurare il rispetto dei principi di trattamento dei dati personali, tutelare i diritti degli interessati e fornire meccanismi di ricorso efficaci, garantire il rispetto dei principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default nonché garantire la presenza di un responsabile della protezione dei dati. [Em. 56]

(84)  La possibilità che il responsabile del trattamento o l’incaricato del trattamento utilizzi clausole tipo di protezione dei dati adottate dalla Commissione o da un’autorità di controllo non deve precludere ai responsabili del trattamento o agli incaricati del trattamento la possibilità di includere tali clausole tipo in un contratto più ampio né di aggiungere altre clausole o garanzie supplementari, purché non contraddicano, direttamente o indirettamente, le clausole contrattuali tipo adottate dalla Commissione o da un’autorità di controllo o ledano i diritti o le libertà fondamentali degli interessati. Le clausole tipo di protezione dei dati adottate dalla Commissione potrebbero interessare situazioni diverse, in particolare le operazioni di trasferimento dai responsabili del trattamento stabiliti nell'Unione ai responsabili del trattamento stabiliti al suo esterno nonché dai responsabili del trattamento stabiliti nell'Unione agli incaricati del trattamento, compresi i sub-incaricati, stabiliti al suo esterno. Occorre incoraggiare i responsabili del trattamento e gli incaricati del trattamento affinché forniscano garanzie ancora più solide attraverso impegni contrattuali supplementari che integrino le clausole tipo di protezione. [Em. 57]

(85)  Un gruppo di imprese deve poter applicare le norme vincolanti d’impresa approvate per i trasferimenti internazionali dall’Unione agli organismi dello stesso gruppo di imprese, purché tali norme contemplino tutti i principi fondamentali e diritti azionabili in giudizio che costituiscano adeguate garanzie per i trasferimenti o categorie di trasferimenti di dati personali. [Em. 58]

(86)  È opportuno prevedere la possibilità di trasferire dati in alcune circostanze se l’interessato ha acconsentito, se il trasferimento è necessario in relazione ad un contratto o un’azione legale, se sussistono motivi di rilevante interesse pubblico previsti dalla legislazione di uno Stato membro o dell’Unione o se i dati sono trasferiti da un registro stabilito per legge e destinato ad essere consultato dal pubblico o dalle persone aventi un legittimo interesse. In quest’ultimo caso, il trasferimento non deve riguardare la totalità dei dati o delle categorie di dati contenuti nel registro; inoltre, quando il registro è destinato ad essere consultato dalle persone aventi un legittimo interesse, i dati possono essere trasferiti soltanto se tali persone lo richiedono o ne sono destinatarie, tenendo pienamente conto degli interessi e dei diritti fondamentali dell'interessato. [Em. 59]

(87)  Tali deroghe devono in particolare valere per i trasferimenti di dati richiesti e necessari per la protezione di motivi di interesse pubblico rilevante, ad esempio nel caso di trasferimenti internazionali di dati tra autorità garanti della concorrenza, amministrazioni fiscali o doganali, autorità di controllo finanziario, tra i servizi competenti in materia di sicurezza sociale o sanità pubblica, o verso autorità pubbliche competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, compresi la prevenzione del riciclaggio di denaro e la lotta contro il finanziamento del terrorismo. Il trasferimento di dati personali dovrebbe essere parimenti considerato lecito quando è necessario per tutelare un interesse essenziale per la vita dell'interessato o di un'altra persona, qualora l'interessato si trovi nell'incapacità di dare il proprio consenso. Il trasferimento dei dati personali per motivi rilevanti di interesse pubblico deve essere utilizzato solo per trasferimenti occasionali. In tutti i casi, è necessario effettuare un'attenta valutazione di tutte le circostanze del trasferimento. [Em. 60]

(88)  Potrebbero altresì essere autorizzati anche i trasferimenti non qualificabili come frequenti o massicci Ai fini dei legittimi interessi del responsabile del trattamento o dell’incaricato del trattamento, dopo che questi abbia valutato tutte le circostanze relative al trasferimento. Ai fini del trattamento per finalità storiche, statistiche e di ricerca scientifica, si deve tener conto delle legittime aspettative della società nei confronti di un miglioramento delle conoscenze. [Em. 61]

(89)  In ogni caso, se la Commissione non ha preso alcuna decisione circa il livello adeguato di protezione dei dati di un paese terzo, il responsabile del trattamento o l’incaricato del trattamento deve ricorrere a soluzioni che diano all’interessato la garanzia giuridicamente vincolante che continuerà a beneficiare dei diritti e delle garanzie fondamentali previste dall’Unione in relazione al trattamento dei dati personali, anche dopo il trasferimento, purché il trattamento non sia massiccio, ripetitivo e strutturale. Tale garanzia deve includere l'indennizzo finanziario in caso di perdita o di accesso o trattamento non autorizzato dei dati e l'obbligo, indipendentemente dalla legislazione nazionale, di fornire tutti i dettagli relativi all'accesso ai dati da parte delle autorità pubbliche nel paese terzo. [Em. 62]

(90)  Alcuni paesi terzi adottano leggi, regolamenti e altri strumenti legislativi finalizzati a disciplinare direttamente le attività di trattamento dati di persone fisiche e giuridiche poste sotto la giurisdizione degli Stati membri. L’applicazione extraterritoriale di tali leggi, regolamenti e altri strumenti legislativi potrebbe essere contraria al diritto internazionale e ostacolare il conseguimento della tutela delle persone garantita nell’Unione con il presente regolamento. I trasferimenti dovrebbero quindi essere consentiti solo se ricorrono le condizioni previste dal presente regolamento per i trasferimenti a paesi terzi. Ciò vale tra l’altro quando la divulgazione è necessaria per un motivo di interesse pubblico rilevante riconosciuto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento. Occorre che la Commissione precisi le condizioni in cui sussiste un motivo di interesse pubblico rilevante con un atto delegato. Laddove i responsabili del trattamento o gli incaricati del trattamento si trovino di fronte a requisiti di conformità contrastanti tra la giurisdizione dell'Unione, da una parte, e quella di un paese terzo, dall'altra, la Commissione deve garantire che il diritto dell'Unione prevalga in ogni circostanza. La Commissione ha il compito di fornire consulenza e assistenza al responsabile del trattamento e all'incaricato del trattamento nonché di cercare di risolvere il conflitto di giurisdizione con il paese terzo interessato. [Em. 63]

(91)  Con il trasferimento transfrontaliero di dati personali aumenta il rischio che l’interessato non eserciti i propri diritti alla protezione dei dati, in particolare per tutelarsi da usi o divulgazioni illecite di tali informazioni. Allo stesso tempo, le autorità di controllo possono concludere di non essere in grado di dar corso alle denunce o svolgere indagini relative ad attività condotte oltre frontiera. I loro sforzi di collaborazione nel contesto transfrontaliero possono anche scontrarsi con poteri insufficienti per prevenire e correggere, regimi giuridici incoerenti e difficoltà pratiche quali la limitatezza delle risorse disponibili. Pertanto vi è la necessità di promuovere una più stretta cooperazione tra le autorità di controllo della protezione dei dati affinché possano scambiare informazioni e condurre indagini di concerto con le loro controparti internazionali.

(92)  La designazione di autorità di controllo che agiscano in totale indipendenza in ciascuno Stato membro è un elemento essenziale della protezione delle persone con riguardo al trattamento di dati personali. Gli Stati membri possono istituire più di una autorità di controllo, al fine di rispecchiare la loro struttura costituzionale, organizzativa e amministrativa. Le autorità dispongono delle risorse finanziarie e di personale adeguate per svolgere appieno il proprio ruolo, tenendo conto dell'entità della popolazione e della quantità di dati personali sottoposti a trattamento. [Em. 64]

(93)  Laddove siano istituite più autorità di controllo, lo Stato membro deve stabilire per legge meccanismi atti ad assicurare la partecipazione effettiva di dette autorità al meccanismo di coerenza. Lo Stato membro deve in particolare designare l’autorità di controllo che funge da punto di contatto unico per l’effettiva partecipazione di tutte le autorità al meccanismo, onde garantire la rapida e agevole cooperazione con altre autorità di controllo, il comitato europeo per la protezione dei dati e la Commissione.

(94)  Ciascuna autorità di controllo deve disporre di risorse umane e finanziarie adeguate, prestando particolare attenzione a garantire che il personale abbia le competenze tecniche e giuridiche adeguate, dei locali e delle infrastrutture necessarienecessari per l’effettivo svolgimento dei propri compiti, compresi i compiti di assistenza reciproca e cooperazione con altre autorità di controllo in tutta l’Unione. [Em. 65]

(95)  Le condizioni generali applicabili ai membri dell’autorità di controllo devono essere stabilite da ciascuno Stato membro e devono in particolare prevedere che i membri siano nominati dal parlamento o dal governo dello Stato membro, prestando la debita attenzione a ridurre al minimo la possibilità d'interferenza politica, e contenere disposizioni sulle qualifiche dei membri, sulla prevenzione dei conflitti d'interesse e sulle funzioni di tali membri. [Em. 66]

(96)  Spetterebbe alle autorità di controllo controllare l’applicazione delle disposizioni del presente regolamento e contribuire alla sua coerente applicazione in tutta l’Unione, così da tutelare le persone fisiche in relazione al trattamento dei dati personali e facilitare la libera circolazione di tali dati nel mercato interno. A tal fine le autorità di controllo cooperano tra loro e con la Commissione.

(97)  Qualora il trattamento dei dati personali nell’ambito delle attività di uno stabilimento di un responsabile del trattamento o incaricato del trattamento nell’Unione abbia luogo in più di uno Stato membro, è opportuno che un’unica autorità di controllo sia competente afunga da punto di contatto unico e da autorità di riferimento incaricata di controllare le attività delil responsabile del trattamento o dell’l'incaricato del trattamento in tutta l’Unione e addi prendere le relative decisioni, in modo da aumentare la coerenza nell’applicazione, garantire la certezza giuridica e ridurre gli oneri amministrativi per tali responsabili del trattamento e incaricati del trattamento. [Em. 67]

(98)  È necessario che l’autorità competentedi riferimento, che funge da “sportello unico”, sia l’autorità di controllo dello Stato membro in cui il responsabile del trattamento o l’incaricato del trattamento ha lo stabilimento principale o il suo rappresentante. Il comitato europeo per la protezione dei dati può in alcuni casi nominare l'autorità di riferimento mediante il meccanismo di coerenza su richiesta di un'autorità competente. [Em. 68]

(98 bis)  Gli interessati i cui dati personali sono sottoposti a trattamento da un responsabile del trattamento o incaricato del trattamento in un altro Stato membro devono poter sporgere reclamo presso l'autorità di controllo di loro scelta. L'autorità di protezione dei dati di riferimento deve coordinare le proprie attività con quelle delle altre autorità coinvolte. [Em. 69]

(99)  Sebbene il presente regolamento si applichi anche alle attività dei giudici nazionali, non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali, al fine di salvaguardarne l’indipendenza. Tuttavia, tale esenzione deve essere rigorosamente limitata all’attività autenticamente giurisdizionale e non applicarsi ad altre attività a cui i giudici potrebbero partecipare in forza del diritto nazionale.

(100)  Al fine di garantire un monitoraggio e un’applicazione coerenti del presente regolamento in tutta l’Unione, le autorità di controllo devono godere in ciascuno Stato membro degli stessi diritti e poteri effettivi, fra cui poteri di indagine e d’intervento giuridicamente vincolanti, di decisione e sanzione, segnatamente in caso di reclamo, così come di agire in giudizio. I poteri d’indagine delle autorità di controllo con riferimento all’accesso ai locali devono essere esercitati nel rispetto del diritto dell’Unione e della legislazione nazionale. Ciò riguarda in particolare l’obbligo di ottenere una preventiva autorizzazione giudiziaria.

(101)  È necessario che ciascuna autorità di controllo tratti i reclami proposti da qualsiasi interessato o associazione che agisce nel pubblico interesse e svolga le relative indagini; che a seguito di reclamo vada condotta un’indagine, soggetta a controllo giurisdizionale, nella misura in cui ciò sia opportuno nella fattispecie; che l’autorità di controllo informi gli interessati o l'associazione dei progressi e dei risultati del ricorso entro un termine ragionevole. Se il caso richiede un’ulteriore indagine o il coordinamento con un’altra autorità di controllo, l’interessato deve ricevere informazioni interlocutorie. [Em. 70]

(102)  Le attività di sensibilizzazione delle autorità di controllo nei confronti del pubblico devono comprendere misure specifiche per i responsabili del trattamento e gli incaricati del trattamento, comprese le micro, piccole e medie imprese, e per gli interessati.

(103)  Le autorità di controllo devono prestarsi reciproca assistenza nell’esercizio delle loro funzioni, in modo da garantire la coerente applicazione e attuazione del presente regolamento nel mercato interno.

(104)  Ciascuna autorità di controllo deve avere il diritto di partecipare alle operazioni congiunte tra autorità di controllo. L’autorità di controllo che riceve una richiesta dovrebbe darvi seguito entro un termine definito.

(105)  È necessario istituire un meccanismo di coerenza per la cooperazione tra le autorità di controllo e con la Commissione, al fine di assicurare un’applicazione coerente del presente regolamento in tutta l’Unione. Tale meccanismo deve applicarsi in particolare quando un’autorità di controllo intenda adottare una misura relativa ad attività di trattamento finalizzate all’offerta di beni o servizi agli interessati in vari Stati membri o al controllo degli stessi, o che possono incidere significativamente sulla libera circolazione dei dati personali. È opportuno che il meccanismo si attivi anche quando un’autorità di controllo o la Commissione chiede che una questione sia trattata nell’ambito del meccanismo di coerenza. Inoltre, gli interessati dovrebbero avere il diritto di ottenere coerenza, qualora ritengano che una misura adottata dall'autorità per la protezione dei dati di uno Stato membro non soddisfi questo criterio. Tale meccanismo non deve pregiudicare le misure che la Commissione può adottare nell’esercizio dei suoi poteri a norma dei trattati. [Em. 71]

(106)  In applicazione del meccanismo di coerenza il comitato europeo per la protezione dei dati deve emettere un parere entro un termine determinato, se i suoi membri lo decidono a maggioranza semplice o se a richiederlo sono un’autorità di controllo o la Commissione.

(106 bis)  Al fine di garantire l'applicazione coerente del presente regolamento, il comitato europeo per la protezione dei dati può, in singoli casi, adottare una decisione vincolante per le autorità di controllo competenti. [Em. 72]

(107)  Al fine di garantire il rispetto del presente regolamento, la Commissione può adottare un parere sulla questione, o una decisione volta a ingiungere all’autorità di controllo di sospendere il progetto di misura. [Em. 73]

(108)  Potrebbe essere necessario intervenire urgentemente per tutelare gli interessi degli interessati, in particolare quando sussiste il pericolo che l’esercizio di un diritto possa essere gravemente ostacolato. Pertanto, un’autorità di controllo deve essere in grado di prendere misure provvisorie con un periodo di validità determinato quando applica il meccanismo di coerenza.

(109)  L’applicazione di tale meccanismo deve essere un requisito indispensabile ai fini della validità giuridica e dell’esecuzione della rispettiva decisione a cura dell’autorità di controllo. In altri casi di rilevanza transfrontaliera, le autorità di controllo possono prestarsi reciproca assistenza ed effettuare indagini congiunte, su base bilaterale o multilaterale, senza attivare il meccanismo di coerenza.

(110)  Occorre istituire a livello di Unione un comitato europeo per la protezione dei dati che sostituisca il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito con direttiva 95/46/CE. Il comitato deve essere composto dal responsabile dell’autorità di controllo di ciascuno Stato membro e dal garante europeo della protezione dei dati. È necessario che la Commissione partecipi alle attività del comitato. Il comitato europeo per la protezione dei dati deve contribuire all’applicazione uniforme del presente regolamento in tutta l’Unione, in particolare dando consulenza alla Commissionealle istituzioni dell'Unione e promuovendo la cooperazione delle autorità di controllo in tutta l’Unione, ivi compreso il coordinamento delle operazioni congiunte. Esso deve svolgere le sue funzioni in piena indipendenza. È necessario che il comitato europeo per la protezione dei dati rafforzi il dialogo con le parti interessate, come le associazioni degli interessati, le organizzazioni dei consumatori, i responsabili del trattamento nonché altri attori pertinenti e gli esperti. [Em. 74]

(111)  Ciascun interessato deveGli interessati devono avere il diritto di proporre reclamo a un’autorità di controllo di qualunque Stato membro e il diritto di proporre un ricorso giurisdizionale effettivo a norma dell'articolo 47 della Carta qualora ritengaritengano che siano stati violati i diritti di cui godegodono a norma del presente regolamento o se l’autorità di controllo non dà seguito a un reclamo o non agisce quando è necessario intervenire per proteggere i suoiloro diritti di interessatointeressati. [Em. 75]

(112)  L’organismo, l’organizzazione o associazione che intenda tutelare i diritti e gli interessi degli interessati in relazione alla protezione dei dati personaliagisce nell'interesse pubblico e sia istituito o istituita a norma della legislazione di uno Stato membro deve avere il diritto di proporre reclamo a un’autorità di controllo di qualunque Stato membroper conto degli interessati con il loro consenso o esercitare il diritto a un ricorso giurisdizionale per conto degli interessatise autorizzato o autorizzata dall'interessato, o di proporre un proprio reclamo indipendente dall’azione dell’interessato, se ritiene che sussista violazione dei dati personalidel presente regolamento. [Em. 76]

(113)  Ogni persona fisica o giuridica deve avere il diritto di proporre ricorso giurisdizionale avverso la decisione dell’autorità di controllo che la riguarda. Le azioni contro l’autorità di controllo devono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita.

(114)  Al fine di potenziare la tutela giurisdizionale dell’interessato nei casi in cui l’autorità di controllo competente è stabilita in uno Stato membro diverso da quello in cui risiede l’interessato, questi può chiedere aautorizzare qualsiasi organismo, organizzazione o associazione mirante a tutelare i diritti e gli interessi degli interessati in relazione alla protezione dei dati personali diche agisce nel pubblico interesse a proporre un ricorso giurisdizionale per suo conto contro tale autorità di controllo davanti all’autorità giurisdizionale competente nell’altro Stato membro. [Em. 77]

(115)  Nei casi in cui l’autorità di controllo competente stabilita in un altro Stato membro non agisca o abbia adottato misure insufficienti a seguito di un reclamo, l’interessato può chiedere all’autorità di controllo dello Stato membro in cui ha la residenza abituale di proporre un ricorso giurisdizionale contro tale autorità di controllo davanti all’autorità giurisdizionale competente nell’altro Stato membro. Tale disposizione non si applica ai soggetti non residenti nell'Unione. L’autorità di controllo richiesta può decidere, con atto impugnabile in via giurisdizionale, se sia opportuno dare seguireseguito alla richiesta. [Em. 78]

(116)  Nei ricorsi contro un responsabile del trattamento o incaricato del trattamento, il ricorrente deve poter avviare un’azione legale dinanzi al giudice dello Stato membro in cui il responsabile del trattamento o l’incaricato del trattamento ha uno stabilimento o, in caso di residenza nell'Unione, in cui risiede l’interessato, salvo che il responsabile del trattamento sia un ente pubblico dell'Unione o di uno Stato membro che agisce nell’esercizio dei suoi poteri pubblici. [Em. 79]

(117)  Qualora vi siano fondati motivi di ritenere che in un altro Stato membro sia in corso un procedimento parallelo, le autorità giurisdizionali interessate devono prendere contatti. L’autorità giurisdizionale deve poter sospendere un procedimento quando sia in corso un procedimento parallelo in un altro Stato membro. Gli Stati membri devono assicurare che i ricorsi giurisdizionali, per essere efficaci, consentano di adottare rapidamente provvedimenti per porre fine alla violazione del presente regolamento o per prevenirla.

(118)  Il responsabile del trattamento o l’incaricato del trattamento deve risarcire i danni, pecuniari o meno, cagionati da un trattamento illecito mae può essere esonerato da tale responsabilità soltanto se prova che l’evento dannoso non gli è imputabile, segnatamente se dimostra che a causare l’errore è stato l’interessato o in caso di forza maggiore. [Em. 80]

(119)  Dovrebbe essere punibile chiunque, persona di diritto pubblico o di diritto privato, non ottemperi alle disposizioni del presente regolamento. Gli Stati membri devono garantire sanzioni efficaci, proporzionate e dissuasive e adottare tutte le misure necessarie per la loro applicazione. Le sanzioni per violazione devono essere soggette ad adeguate garanzie procedurali conformemente ai principi generali del diritto dell'Unione e della Carta, comprese quelle riguardanti il diritto a un ricorso giurisdizionale effettivo, al giusto processo e il principio "ne bis in idem". [Em. 81]

(119 bis)  Nell'applicare le sanzioni gli Stati membri sono tenuti a rispettare appieno le garanzie procedurali adeguate, compreso il diritto a un ricorso giurisdizionale effettivo e al giusto processo e il principio "ne bis in idem". [Em. 82]

(120)  Al fine di rafforzare e armonizzare le sanzioni amministrative applicabili per violazione del presente regolamento, ogni autorità di controllo deve poter sanzionare gli illeciti amministrativi. Il presente regolamento deve specificare detti illeciti e indicare il limite massimo della relativa sanzione amministrativa, che va stabilita in misura proporzionata alla situazione specifica, tenuto conto in particolare della natura, gravità e durata dell’infrazione. Il meccanismo di coerenza può essere utilizzato anche per colmare divergenze nell’applicazione delle sanzioni amministrative.

(121)  Ove necessario, occorre prevedere per il trattamento di dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria dovrebbe poter derogareesenzioni e deroghe ad alcune disposizioni del presente regolamento per conciliare il diritto alla protezione dei dati personali con il diritto alla libertà d’espressione, in particolare la libertà di ricevere e comunicare informazioni garantita in particolare dall’articolo 11 della Carta. Ciò dovrebbe applicarsi in particolare al trattamento dei dati personali nel settore audiovisivo, negli archivi stampa e nelle emeroteche. È necessario pertanto che gli Stati adottino misure legislative che prevedano le deroghe e le esenzioni necessarie ai fini di un equilibrio tra questi diritti fondamentali. Gli Stati membri dovrebbero adottare tali esenzioni e deroghe con riferimento alle disposizioni concernenti i principi generali, i diritti dell’interessato, il responsabile del trattamento e l’incaricato del trattamento, il trasferimento di dati a paesi terzi o a organizzazioni internazionali, le autorità di controllo indipendenti, la cooperazione e la coerenza nonché situazioni di trattamento dei dati specifiche. Tuttavia ciò non deve indurre gli Stati membri a prevedere deroghe alle altre disposizioni del presente regolamento. Per tenere conto dell’importanza del diritto alla libertà di espressione in tutte le società democratiche è necessario interpretare in modo esteso i concetti relativi a detta libertà, quali la nozione di giornalismo. Pertanto, ai fini delle esenzioni e deroghe da stabilire nel presente regolamento, gli Stati membri dovrebbero classificare come “giornalistiche” al fine di includere tutte le attività finalizzate alla diffusione al pubblico di informazioni, pareri o idee, indipendentemente dal canale utilizzato per la loro trasmissione, anche considerando lo sviluppo tecnologico, senza limitarle alle imprese operanti nel settore dei media ma includendovi le attività intraprese con o senza scopo di lucro. [Em. 83]

(122)  Il trattamento dei dati personali relativi alla salute, particolare categoria di dati che necessita di una maggiore protezione, può spesso essere giustificato da diversi motivi legittimi a beneficio delle persone e dell’intera società, in particolare se l’obiettivo è garantire la continuità dell’assistenza sanitaria transfrontaliera. Pertanto il presente regolamento deve prevedere condizioni armonizzate per il trattamento dei dati relativi alla salute, fatte salve garanzie appropriate e specifiche a tutela dei diritti fondamentali e dei dati personali delle persone fisiche. Ciò include il diritto di accedere ai propri dati personali relativi alla salute, ad esempio le cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, parere di medici curanti o eventuali terapie o interventi praticati.

(122 bis)   Un professionista che tratta dati personali relativi alla salute dovrebbe ricevere, se possibile, dati resi anonimi o presentati con l'uso di pseudonimi, in modo che l'identità dell'interessato sia nota solo al medico generico o allo specialista che ha chiesto il trattamento dei dati. [Em. 84]

(123)  Il trattamento dei dati relativi alla salute può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell’interessato. In questo contesto, il concetto di “sanità pubblica” va interpretato secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008, relativo alle statistiche comunitarie in materia di sanità pubblica e di salute e sicurezza sul luogo di lavoro(11): tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all’assistenza sanitaria, la prestazione di assistenza sanitaria e l’accesso universale ad essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità. Il trattamento dei dati personali relativi alla salute effettuato per motivi di interesse pubblico non deve comportare il trattamento dei dati per altre finalità da parte di terzi, quali datori di lavoro, compagnie di assicurazione e istituti di credito. [Em. 85]

(123 bis)   Il trattamento dei dati personali relativi alla salute, in quanto categoria particolare di dati, può essere necessario per finalità storiche, statistiche o di ricerca scientifica. Il presente regolamento prevede pertanto una deroga all'obbligo di prestare il consenso nel caso della ricerca che serve interessi pubblici elevati. [Em. 86]

(124)  I principi generali della protezione delle persone fisiche con riguardo al trattamento dei dati personali devono trovare applicazione anche nei rapporti di lavoro. Pertanto, al fine di e nell'ambito della sicurezza sociale. Gli Stati membri devono poter disciplinare il trattamento dei dati personali dei lavoratori in tale nell'ambito, gli Stati membri devono avere facoltà, nei limiti del presente regolamento, di emanare specifiche disposizioni applicabili al trattamento dei dati personali nel settore del lavoro dei rapporti di lavoro e il trattamento dei dati personali nell'ambito della sicurezza sociale conformemente alle disposizioni e alle norme minime fissate nel presente regolamento. Nella misura in cui nello Stato membro in questione è prevista una base giuridica per la regolamentazione di questioni relative ai rapporti di lavoro tramite accordi tra i rappresentanti dei lavoratori e la direzione dell'impresa o dell'impresa controllante di un gruppo di imprese (accordo collettivo) o a norma della direttiva 2009/38/CE del Parlamento europeo e del Consiglio44quater(12), il trattamento dei dati personali nel contesto dei rapporti di lavoro può essere regolamentato anche tramite un accordo analogo. [Em. 87]

(125)  Il trattamento dei dati personali per finalità storiche, statistiche o di ricerca scientifica deve, per essere lecito, rispettare anche altre normative pertinenti, ad esempio quelle sulle sperimentazioni cliniche.

(125 bis)  I dati personali possono essere altresì trattati successivamente da servizi di archiviazione aventi come compito principale o obbligo la raccolta, la conservazione, la fornitura di informazioni, la valorizzazione e la diffusione degli archivi nell'interesse pubblico. La legislazione dello Stato membro deve conciliare il diritto alla protezione dei dati personali e le norme sugli archivi e sull'accesso del pubblico alle informazioni amministrative. Gli Stati membri sono tenuti a incoraggiare l'elaborazione, soprattutto da parte del gruppo "Archivi europei", di norme volte a garantire la riservatezza dei dati nei confronti di terzi nonché l'autenticità, l'integrità e la corretta conservazione dei dati. [Em. 88]

(126)  La ricerca scientifica nell’ambito del presente regolamento deve includere la ricerca fondamentale, la ricerca applicata e la ricerca finanziata da privati e deve, inoltre, tenere conto dell’obiettivo dell’Unione di istituire uno spazio europeo della ricerca ai sensi dell’articolo 179, paragrafo 1, del trattato sul funzionamento dell’Unione europea. Il trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica non deve portare al trattamento dei dati per finalità diverse, salvo che con il consenso dell'interessato o sulla base del diritto dell'Unione o di uno Stato membro. [Em. 89]

(127)  Per quanto riguarda il potere delle autorità di controllo di ottenere, dal responsabile del trattamento o dall’incaricato del trattamento, accesso ai dati personali e accesso ai locali, gli Stati membri possono stabilire per legge, nei limiti del presente regolamento, norme specifiche per tutelare il segreto professionale o altri obblighi equivalenti di segretezza, qualora si rendano necessarie per conciliare il diritto alla protezione dei dati personali con l’obbligo di segretezza.

(128)  Il presente regolamento rispetta e non pregiudica lo status di cui godono le chiese e le associazioni o comunità religiose negli Stati membri in virtù del diritto nazionale, in conformità dell’articolo 17 del trattato sul funzionamento dell’Unione europea. Di conseguenza, se in uno Stato membro una chiesa applica, al momento dell’entrata in vigore del presente regolamento, un corpus completo di norme adeguate a tutela delle persone fisiche con riguardo al trattamento dei dati personali, è opportuno che tali norme continuino ad applicarsi purché siano conformi alle disposizioni del presente regolamento e la loro conformità sia riconosciuta. Dette chiese e associazioni religiose dovrebbero essere tenute a istituire un’autorità di controllo pienamente indipendente. [Em. 90]

(129)  Al fine di conseguire gli obiettivi del regolamento, segnatamente tutelare i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali, e garantire la libera circolazione di tali dati nell’Unione, occorre conferire alla Commissione il potere di adottare atti a norma dell’articolo 290 del trattato sul funzionamento dell’Unione europea. In particolare, dovrebbero essere adottati atti delegati riguardanti la liceità del trattamento; i criteri e le condizioni relativi al consenso dei minori; il trattamento di categorie particolari di dati; i criteri e le condizioni per le richieste manifestamente eccessive e il contributo spese per l’esercizio dei diritti dell’interessato; i criteri e i requisiti applicabili all’informazione dell’interessato e al diritto di accessodella modalità sotto forma di icone per la diffusione delle informazioni; il diritto all’oblio e alla cancellazione; le misure basate sulla profilazione; i criteri e i requisiti relativi alla responsabilità del responsabile del trattamento e alla protezione sin dalla progettazione e alla protezione di default; l’incaricato del trattamento; i criteri e i requisiti per la documentazione e la sicurezza dei trattamenti; i criteri e requisiti per accertare una violazione dei dati personali e notificarla all’autorità di controllo e per stabilire le circostanze in cui una violazione di dati personali rischia di danneggiare l’interessato; i criteri e le condizioni perché le operazioni di trattamento richiedano una valutazione d’impatto sulla protezione dei dati; i criteri e i requisiti per determinare se sussistano rischi specifici tali da giustificare una consultazione preliminare; la designazione e il mandato del responsabile della protezione dei dati; la dichiarazione che i codici di condotta sono conformi al presente regolamento; i criteri e i requisiti dei meccanismi di certificazione; i criteri e requisiti per i trasferimenti in presenza di norme vincolanti d’impresa; le deroghe al trasferimento; le sanzioni amministrative; il trattamento a fini sanitari e il trattamento nel contesto del rapporto di lavoro e il trattamento per finalità storiche, statistiche e di ricerca scientifica. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, in particolare con il comitato europeo per la protezione dei dati. Nel contesto della preparazione e della stesura degli atti delegati, occorre che la Commissione garantisca contemporaneamente una trasmissione corretta e tempestiva dei documenti pertinenti al Parlamento europeo e al Consiglio. [Em. 91]

(130)  Al fine di garantire condizioni uniformi per l’attuazione del presente regolamento, è necessario attribuire alla Commissione competenze di esecuzione affinché definisca moduli standard riguardanti le modalità specifiche per ottenere un consenso verificabile in relazione al trattamento dei dati personali di un minore; procedure e moduli standard per l’le comunicazioni agli interessati in relazione all'esercizio dei loro diritti dell’interessato; moduli standard per l’informazione dell’interessato; moduli standard e procedure in relazione al diritto di accessoe il diritto alla portabilità dei dati, anche per comunicare i dati personali all'interessato; moduli standard relativi alla responsabilità del responsabile del trattamento in relazione alla protezione sin dalla progettazione e alla protezione di default e alla documentazione che il responsabile del trattamento e l'incaricato del trattamento devono conservare; requisiti specifici per la sicurezza dei trattamenti; il formatomodulo standard e le procedure per la notificazione di una violazione dei dati personali all’autorità di controllo e per la comunicazionedocumentazione di taleuna violazione all’interessatodei dati personali; norme e procedure per la valutazione d’impatto sulla protezione dei dati; moduli e procedure di autorizzazione preventiva e di consultazione preventiva e di informazione dell'autorità di controllo; norme tecniche e meccanismi di certificazione; l’adeguatezza della protezione offerta da un paese terzo, o da un territorio o settore di trattamento dati all’interno del paese terzo, o da un’organizzazione internazionale; la divulgazione non autorizzata dal diritto dell’Unione; l’assistenza reciproca; le operazioni congiunte; le decisioni nel quadro del meccanismo di coerenza. Tali competenze devono essere esercitate in conformità del regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione(13). A tal fine, la Commissione dovrebbe contemplare misure specifiche per le micro, piccole e medie imprese. [Em. 92]

(131)  La procedura d’esame dovrebbe applicarsi per l’adozione di moduli standard in relazione al; per modalità specifiche per ottenere un consenso verificabile in relazione al trattamento dei dati personali di un minore; di procedure e moduli standard per le comunicazioni agli interessati in relazione all'l’esercizio dei loro diritti dell’interessato; di moduli standard per l’informazione dell’interessato; di moduli standard e procedure in relazione al diritto di accesso e al diritto alla portabilità dei dati, anche per comunicare i dati personali all'interessato; di moduli standard relativi alla responsabilità del responsabile del trattamento in relazione alla protezione sin dalla progettazione e alla protezione di default e alla documentazione che il responsabile del trattamento e l'incaricato del trattamento devono conservare; di requisiti specifici per la sicurezza dei trattamenti; del formato modulo standard e delle procedure per la notificazione di una violazione dei dati personali all’autorità di controllo e per la comunicazione documentazione di una violazione dei dati personali all’interessato; delle norme e procedure per la valutazione d’impatto sulla protezione dei dati; di moduli e procedure di autorizzazione preventiva e per la consultazione preventiva; delle norme tecniche e dei meccanismi di certificazione; per l’adeguatezza della protezione offerta da un paese terzo, o da un territorio o settore di trattamento dati all’interno del paese terzo, o da un’organizzazione internazionale; per la divulgazione non autorizzata dal diritto dell’Unione; per l’assistenza reciproca; per le operazioni congiunte e per le decisioni nel quadro del meccanismo di coerenzae e per l'informazione dell'autorità di controllo, in considerazione della portata generale di tali atti. [Em. 93]

(132)  È opportuno che la Commissione adotti atti di esecuzione immediatamente applicabili quando, in casi debitamente giustificati relativi ad un paese terzo, o a un territorio o settore di trattamento dati all’interno del paese terzo, o a un’organizzazione internazionale che non garantisce un livello di protezione adeguato e concernenti questioni comunicate dalle autorità di controllo conformemente al meccanismo di coerenza, ciò sia reso necessario da imperativi motivi di urgenza. [Em. 94]

(133)  Poiché gli obiettivi del presente regolamento, ossia garantire un livello equivalente di tutela delle persone fisiche e la libera circolazione dei dati nell’Unione, non possono essere conseguiti in misura sufficiente dagli Stati membri e possono dunque, a motivo della portata e degli effetti dell’azione in questione, essere conseguiti meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(134)  Il presente regolamento dovrebbe abrogare la direttiva 95/46/CE. Ciò nondimeno, è opportuno che rimangano in vigore le decisioni della Commissione e le autorizzazioni delle autorità di controllo basate sulla direttiva 95/46/CE. È opportuno che le decisioni della Commissione e le autorizzazioni delle autorità di controllo relative al trasferimento di dati personali a paesi terzi a norma dell'articolo 41, paragrafo 8, restino in vigore per un periodo transitorio di cinque anni dalla data di entrata in vigore del presente regolamento a meno che non vengono modificate, sostituite o abrogate dalla Commissione prima della fine di tale periodo. [Em. 95]

(135)  È opportuno che il presente regolamento si applichi a tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali con riguardo al trattamento dei dati personali che non rientrino in obblighi specifici, aventi lo stesso obiettivo, di cui alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio(14), compresi gli obblighi del responsabile del trattamento e i diritti delle persone fisiche. Per chiarire il rapporto tra il presente regolamento e la direttiva 2002/58/CE, occorre modificare quest’ultima di conseguenza.

(136)  Per quanto riguarda l’Islanda e la Norvegia, il presente regolamento costituisce uno sviluppo delle disposizioni dell’acquis di Schengen, nella misura in cui si applica al trattamento dei dati personali da parte di autorità coinvolte nell’attuazione dell’acquis, ai sensi dell’accordo concluso dal Consiglio dell’Unione europea con la Repubblica d’Islanda e il Regno di Norvegia sulla loro associazione all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen(15)..

(137)  Per quanto riguarda la Svizzera, il presente regolamento costituisce uno sviluppo delle disposizioni dell’acquis di Schengen, nella misura in cui si applica al trattamento dei dati personali da parte di autorità coinvolte nell’attuazione dell’acquis, ai sensi dell’accordo tra l’Unione europea, la Comunità europea e la Confederazione svizzera riguardante l’associazione di quest’ultima all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen(16).

(138)  Per quanto riguarda il Liechtenstein, il presente regolamento costituisce uno sviluppo delle disposizioni dell’acquis di Schengen, nella misura in cui si applica al trattamento dei dati personali da parte di autorità coinvolte nell’attuazione dell’acquis, ai sensi del protocollo sottoscritto tra l’Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull’adesione del Principato del Liechtenstein all’accordo tra l’Unione europea, la Comunità europea e la Confederazione svizzera riguardante l’associazione della Confederazione svizzera all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen(17).

(139)  In considerazione del fatto che, come sottolinea la Corte di giustizia dell’Unione europea, il diritto alla protezione dei dati personali non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ottemperanza al principio di proporzionalità, il presente regolamento rispetta tutti i diritti fondamentali e osserva i principi riconosciuti dalla Carta e sanciti dai trattati, in particolare il diritto al rispetto della vita privata e familiare, del domicilio e delle comunicazioni, il diritto alla protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, così come la diversità culturale, religiosa e linguistica,

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

CAPO I

DISPOSIZIONI GENERALI

Articolo 1

Oggetto e finalità

1.  Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale e norme relative alla libera circolazione di tali dati.

2.  Il presente regolamento tutela i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

3.  La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.

Articolo 2

Campo di applicazione materiale

1.  Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali, indipendentemente dalla modalità di trattamento, e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

2.  Le disposizioni del presente regolamento non si applicano ai trattamenti di dati personali:

a)  effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, concernenti in particolare la sicurezza nazionale;

b)  effettuati da istituzioni, organi e organismi dell’Unione;

c)  effettuati dagli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del capo 2 del titolo V del trattato sull’Unione europea;

d)  effettuati da una persona fisica senza finalità di lucro per l’esercizio di attività esclusivamente personali o domestiche. Tale deroga si applica altresì alla pubblicazione di dati personali qualora si possa ragionevolmente prevedere che vi avrà accesso solamente un numero limitato di persone;

e)  effettuati dalle autorità pubbliche competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali.

3.  Il presente regolamento lascia impregiudicata l’applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui ai suoi articoli da 12 a 15. [Em. 96]

Articolo 3

Campo di applicazione territoriale

1.  Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento di un responsabile del trattamento o di un incaricato del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione.

2.  Il presente regolamento si applica al trattamento dei dati personali di residentiinteressati nell’Unione effettuato da un responsabile del trattamento o da un incaricato del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:

a)  l’offerta di beni o la prestazione di servizi ai suddetti residentiinteressati nell’Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato, oppure

b)  il controllo del loro comportamentodi tali interessati.

3.  Il presente regolamento si applica al trattamento dei dati personali effettuato da un responsabile del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto nazionale di uno Stato membro in virtù del diritto internazionale pubblico. [Em. 97]

Articolo 4

Definizioni

Ai fini del presente regolamento s’intende per:

(1)  “interessato”: la persona fisica identificata o identificabile, direttamente o indirettamente, con mezzi che il responsabile del trattamento o altra persona fisica o giuridica ragionevolmente può utilizzare, con particolare riferimento a un numero di identificazione, a dati relativi all’ubicazione, a un identificativo on line o a uno o più elementi caratteristici della sua identità genetica, fisica, fisiologica, psichica, economica, culturale o sociale;

(2)  “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile l’("interessato"); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un identificativo come il nome, a un numero di identificazione, ai dati relativi all'ubicazione, a un identificativo unico o a uno o più elementi caratteristici dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale, o dell'identità di genere di tale persona

(2 bis)  "dati pseudonimi": i dati personali che non possono essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, purché tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire la non attribuzione;

(2 ter)  "dati cifrati": i dati personali che, mediante misure tecnologiche di protezione, sono resi inintelligibili a chiunque non sia autorizzato ad accedervi;

(3)  “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la memorizzazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la cancellazione o la distruzione;

(3 bis)   "profilazione": qualsiasi forma di trattamento automatizzato di dati personali destinata a valutare taluni aspetti della personalità di una persona fisica o ad analizzarne o prevederne in particolare il rendimento professionale, la situazione economica, l'ubicazione, lo stato di salute, le preferenze personali, l'affidabilità o il comportamento;

(4)  “archivio”: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

(5)  “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità, le condizioni e i mezzi del trattamento di dati personali; quando le finalità, le condizioni e i mezzi del trattamento sono determinati dal diritto dell’Unione o dal diritto di uno Stato membro, il responsabile del trattamento o i criteri specifici applicabili alla sua nomina possono essere designati dal diritto dell’Unione o dal diritto dello Stato membro;

(6)  “incaricato del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;

(7)  “destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati personali;

(7 bis)  "terzo": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo diverso dall'interessato, il responsabile del trattamento, l'incaricato del trattamento e le persone autorizzate al trattamento dei dati sotto l'autorità diretta del responsabile e dell'incaricato;

(8)  “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata ed esplicita con la quale l’interessato accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

(9)  “violazione dei dati personali”: violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso, in modo accidentale o illecito, ai dati personali trasmessi, memorizzati o comunque elaborati;

(10)  “dati genetici”: tutti i dati, di qualsiasi natura,personali riguardanti le caratteristiche genetiche di una persona fisica che siano ereditariestate ereditate o acquisite in uno stadio precoce di sviluppo prenatale, ottenuti dall'analisi di un campione biologico della persona in questione, in particolare dall'analisi dei cromosomi, dell'acido desossiribonucleico (DNA) o dell'acido ribonucleico (RNA) ovvero dall'analisi di qualsiasi altro elemento che consenta di ottenere informazioni equivalenti;

(11)  “dati biometrici”: i dati personali relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona che ne consentono l’identificazione univoca, quali l’immagine facciale o i rilievi dattiloscopici;

(12)  “dati relativi alla salute”: qualsiasi informazione attinentei dati personali attinenti alla salute fisica o mentale di una persona o alla prestazione di servizi sanitari a detta persona;

(13)  “stabilimento principale”: per quanto riguarda il responsabile del trattamento, il luogo di stabilimento dell'impresa o di un gruppo di imprese nell’Unione, siano essi responsabili oppure incaricati del trattamento, in cui sono prese le principali decisioni sulle finalità, le condizioni e i mezzi del trattamento di dati personali; se non sono prese decisioni di questo tipo nell’Unione, il luogo in cui sono condotte le principali attività di trattamento nell’ambito delle attività di uno stabilimento di un responsabile del trattamento nell’Unione. Con riferimento all’incaricato del trattamento, per “stabilimento principale” si intende il luogo in cui ha sede la sua amministrazione centrale nell’Unione. Fra gli altri possono essere presi in considerazione i seguenti criteri oggettivi: l'ubicazione della sede centrale del responsabile o dell'incaricato del trattamento; l'ubicazione dell'entità all'interno del gruppo di imprese che si trova nella posizione migliore, in termini di funzioni di gestione e responsabilità amministrative, per occuparsi delle disposizioni stabilite nel presente regolamento e garantirne l'applicazione; il luogo in cui avviene l'effettivo e reale svolgimento delle attività di gestione finalizzate a determinare il trattamento dei dati nel quadro di un'organizzazione stabile;

(14)  “rappresentante”: la persona fisica o giuridica stabilita nell’Unione che, espressamente designata dal responsabile del trattamento, agisce e può,lo rappresenta per quanto concerne gli obblighi incombenti al responsabile del trattamento a norma del presente regolamento, essere interpellata al suo posto dalle autorità di controllo e da altri organismi nell’Unione;

(15)  “impresa”: ogni entità, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente pertanto, in particolare, le persone fisiche e giuridiche, le società di persone o le associazioni che esercitano un’attività economica;

(16)  “gruppo di imprese”: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;

(17)  “norme vincolanti d’impresa”: le politiche in materia di protezione dei dati personali applicate da un responsabile del trattamento o incaricato del trattamento stabilito nel territorio di uno Stato membro dell’Unione al trasferimento o al complesso di trasferimenti di dati personali a un responsabile del trattamento o incaricato del trattamento in uno o più paesi terzi, nell’ambito di un gruppo di imprese;

(18)  “minore”: persona di età inferiore agli anni diciotto;

(19)  “autorità di controllo”: l’autorità pubblica istituita da uno Stato membro in conformità dell’articolo 46. [Em. 98]

CAPO II

PRINCIPI

Articolo 5

Principi applicabili al trattamento di dati personali

I dati personali devono esseresono:

a)  trattati in modo lecito, equo e trasparente nei confronti dell’interessato(liceità, equità e trasparenza);

b)  raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità (limitazione delle finalità);

c)  adeguati, pertinenti e limitati al minimo necessario rispetto alle finalità perseguite; i dati possono essere trattati solo se e nella misura in cui le finalità non sono conseguibili attraverso il trattamento di informazioni che non contengono dati personali (minimizzazione dei dati);

d)  esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (esattezza);

e)  conservati in una forma che consenta l’identificazione diretta o indiretta degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati per finalità storiche, statistiche o di ricerca scientifica oppure a fini archivistici, nel rispetto delle norme e delle condizioni di cui all’articoloagli articoli 83 e 83 bis e se periodicamente è effettuato un riesame volto a valutare la necessità di conservarli, nonché se sono messe in atto adeguate misure tecniche e organizzative per limitare l'accesso ai dati esclusivamente per tali finalità (minimizzazione dell'archiviazione);

e bis)  trattati in modo da consentire all'interessato di esercitare efficacemente i propri diritti (efficacia);

e ter)  trattati in modo da proteggere, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (integrità);

f)  trattati sotto la responsabilità del responsabile del trattamento, che assicura e comprova, per ciascuna operazione,ed è in grado di comprovare la conformità alle disposizioni del presente regolamento (responsabilità). [Em. 99]

Articolo 6

Liceità del trattamento

1.  Il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)  l’interessato ha manifestato il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b)  il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali prese su richiesta dello stesso;

c)  il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento;

d)  il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato;

e)  il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il responsabile del trattamento;

f)  il trattamento è necessario per il perseguimento del legittimo interesse del responsabile del trattamento o, in caso di divulgazione, del terzo cessionario dei dati, e soddisfa le ragionevoli aspettative dell'interessato sulla base dei suoi rapporti con il responsabile dei dati, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. Ciò non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esercizio dei loro compiti.

2.  Il trattamento dei dati personali relativi alla salute che risulti necessario per finalità storiche, statistiche o di ricerca scientifica è lecito, fatte salve le condizioni e le garanzie di cui all’articolo 83.

3.  La base su cui si fonda il trattamento dati di cui al paragrafo 1, lettere c) ed e), deve essere prevista:

a)  dal diritto dell’Unione, o

b)  dalla legislazione dello Stato membro cui è soggetto il responsabile del trattamento.

Il diritto dello Stato membro deve perseguire un obiettivo di interesse pubblico o essere necessario per proteggere i diritti e le libertà altrui, rispettare il contenuto essenziale del diritto alla protezione dei dati personali ed essere proporzionato all’obiettivo legittimo. Nei limiti del presente regolamento, il diritto dello Stato membro può fornire gli aspetti specifici della liceità del trattamento, in particolare per quanto concerne i responsabili del trattamento, le finalità del trattamento e la limitazione delle finalità, la natura dei dati e gli interessati, le operazioni e le procedure di trattamento, i destinatari e il periodo di conservazione.

4.  Se lo scopo dell’ulteriore trattamento non è compatibile con quello per il quale i dati personali sono stati raccolti, il trattamento deve avere come base giuridica almeno uno dei motivi di cui al paragrafo 1, lettere da a) ad e). Ciò si applica in particolare ad eventuali cambiamenti dei termini e delle condizioni generali del contratto.

5.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare le condizioni di cui al paragrafo 1, lettera f), per vari settori e situazioni di trattamento dei dati, anche con riferimento al trattamento dei dati personali concernenti un minore. [Em. 100]

Articolo 7

Condizioni per il consenso

1.  Se il trattamento si basa sul consenso, l’onere di dimostrare che l’interessato ha espresso il consenso al trattamento dei suoi dati personali per scopi specifici incombe sul responsabile del trattamento.

2.  Se il consenso dell’interessato deve essere fornito nel contesto di una dichiarazione scritta che riguarda anche altre materie, l’obbligo di prestare il consenso deve essere presentato in forma chiaramente distinguibile dalle altre materie. Le disposizioni relative al consenso dell'interessato che violano in parte il presente regolamento sono nulle.

3.  Fatte salve le altre basi giuridiche per il trattamento, l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Il consenso è revocato con la stessa facilità con cui è accordato. L'interessato è informato dal responsabile del trattamento qualora la revoca del consenso determini la cessazione dei servizi forniti o del rapporto con il responsabile del trattamento.

4.  Il consenso non costituisce una base giuridica per il trattamento ove vi sia un notevole squilibrio tra la posizione dell’interessato e del responsabile del trattamentoè limitato alle finalità e perde la propria validità nel momento in cui vengono meno tali finalità o non appena il trattamento dei dati personali non è più necessario per il perseguimento delle finalità per cui i dati erano stati originariamente raccolti. L'esecuzione di un contratto o la prestazione di un servizio non dipendono dal consenso al trattamento di dati che non siano necessari all'esecuzione del contratto o alla prestazione del servizio conformemente all'articolo 6, paragrafo 1, lettera b). [Em. 101]

Articolo 8

Trattamento dei dati personali dei minori

1.  Ai fini del presente regolamento, per quanto riguarda l’offerta diretta di beni o servizi della società dell’informazione ai minori, il trattamento di dati personali di minori di età inferiore ai tredici anni è lecito se e nella misura in cui il consenso è espresso o autorizzato dal genitore o dal tutore legale del minore. Il responsabile del trattamento si adopera in ogni modo ragionevole per ottenere unverificare tale consenso verificabile, in considerazione delle tecnologie disponibili senza causare un inutile trattamento di dati personali.

1 bis.  È opportuno che le informazioni fornite ai minori, ai genitori e ai tutori legali al fine di esprimere il consenso, anche in relazione alla raccolta e all'utilizzo dei dati da parte del responsabile del trattamento, siano formulate in un linguaggio chiaro e adeguato ai destinatari previsti.

2.  Il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore.

3.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernentiAl comitato europeo per la protezione dei dati è affidato il compito di emettere orientamenti, raccomandazioni e migliori prassi per le modalità per ottenere ildi verifica del consenso verificabile di cui al paragrafo 1. A tal fine, la Commissione contempla misure specifiche per le micro, piccole e medie imprese, conformemente all'articolo 66.

4.  La Commissione può stabilire moduli standard per specifiche modalità di ottenimento del consenso verificabile di cui al paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. [Em. 102]

Articolo 9

Trattamento di Categorie particolari di dati personali

1.  È vietato trattare dati personali che rivelino la razza, l’origine etnica, le opinioni politiche, la religione o le convinzioni personalifilosofiche, l'orientamento sessuale o l'identità di genere, l’appartenenza sindacalee le attività sindacali, come pure trattare dati genetici o biometrici o dati relativi alla salute e alla vita sessuale, alle sanzioni amministrative, alle sentenze, ai reati penali o alle presunzioni di reato, o a condanne penali o a connesse misure di sicurezza.

2.  Il paragrafo 1 non si applica quandoin uno dei seguenti casi:

a)  l’interessato ha dato il proprio consenso al trattamento di tali dati personali per una o più finalità specifiche, alle condizioni di cui agli articoli 7 e 8, salvo i casi in cui il diritto dell’Unione o di uno Stato membro dispone che l’interessato non può revocare il divieto di cui al paragrafo 1, oppure

a bis)  il trattamento è necessario per le prestazioni o l'esecuzione di un contratto di cui l'interessato è parte o per l'esecuzione di misure precontrattuali prese su richiesta dello stesso;

b)  il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del responsabile del trattamento in materia di diritto del lavoro, nella misura in cui sia autorizzato dal diritto dell’Unione o di uno Stato membro o da contratti collettivi in presenza di congrue garanzie per i diritti fondamentali e gli interessi dell'interessato quali il diritto alla non discriminazione, fatte salve le condizioni e le garanzie di cui all'articolo 82, oppure

c)  il trattamento è necessario per salvaguardare un interesse vitale dell’interessato o di un terzo qualora l’interessato si trovi nell’incapacità fisica o giuridica di dare il proprio consenso, oppure

d)  il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati non siano comunicati a terzi senza il consenso dell’interessato, oppure

e)  il trattamento riguarda dati resi manifestamente pubblici dall’interessato, oppure

f)  il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, oppure

g)  il trattamento è necessario per l’esecuzione di un compito per motivi di elevato interesse pubblico sulla base del diritto dell’Unione o del diritto degli Stati membri, che deve essere proporzionato all'obiettivo perseguito, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate per tutelare i legittimidiritti fondamentali e gli interessi dell’interessato, oppure

h)  il trattamento di dati relativi alla salute è necessario a fini sanitari, fatte salve le condizioni e le garanzie di cui all’articolo 81, oppure

i)  il trattamento è necessario per finalità storiche, statistiche o di ricerca scientifica, fatte salve le condizioni e le garanzie di cui all’articolo 83, oppure

i bis)  il trattamento è necessario per servizi di archiviazione, fatte salve le condizioni e le garanzie di cui all'articolo 83 bis, oppure

j)  il trattamento dei dati relativi a sanzioni amministrative, a sentenze, a illeciti penali, a condanne penali o a connesse misure di sicurezza è effettuato sotto il controllo dell’autorità pubblica, oppure il trattamento è necessario per ottemperare a un obbligo legale o regolamentare cui è soggetto il responsabile del trattamento o per l’esecuzione di un compito di interesse pubblico rilevante, purché sia autorizzato dal diritto dell’Unione o di uno Stato membro, che deve prevedere garanzie adeguate per quanto concerne i diritti fondamentali e gli interessi dell'interessato. Un Qualsiasi registro completo delle condanne penali può essere tenuto solo sotto il controllo dell’autorità pubblica.

3.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri, le condizioni e le garanzie adeguateAl comitato europeo per la protezione dei dati è affidato il compito di emettere orientamenti, raccomandazioni e migliori prassi per il trattamento delle categorie particolari di dati personali di cui al paragrafo 1, e le deroghe di cui al paragrafo 2, conformemente all'articolo 66. [Em. 103]

Articolo 10

Trattamento che non consente identificazione

1 Se i dati trattati da un responsabile del trattamento non consentono al responsabile o all'incaricato del trattamento di identificare direttamente o indirettamente una persona fisica, o sono composti esclusivamente da dati pseudonimi, il responsabile del trattamento non è obbligato ad acquisiretratta o acquisisce ulteriori informazioni per identificare l’interessato al solo fine di rispettare una disposizione del presente regolamento.

2.  Il responsabile del trattamento dei dati che non sia in grado di rispettare una disposizione del presente regolamento a causa del paragrafo 1 non è obbligato a rispettare quella particolare disposizione del presente regolamento. Se a seguito di ciò il responsabile del trattamento non è in grado di soddisfare una richiesta dell'interessato, lo informa di conseguenza. [Em. 104]

Articolo 10 bis

Principi generali in materia di diritti dell'interessato

1.  Il fondamento della protezione dei dati è costituito da diritti chiari e inequivocabili relativi all'interessato che sono rispettati dal responsabile del trattamento. Le disposizioni del presente regolamento mirano a rafforzare, chiarire, garantire e, se del caso, codificare tali diritti.

2.  Tali diritti includono, tra l'altro, la fornitura di informazioni chiare e di facile comprensione in materia di trattamento dei dati personali, il diritto di accesso, rettifica e cancellazione dei dati, il diritto di ottenere dati, il diritto di opporsi alla profilazione, il diritto di proporre reclamo presso la competente autorità di protezione dei dati e di intentare azioni giudiziarie nonché il diritto al risarcimento e all'indennizzo del danno cagionato da un'operazione di trattamento illecita. Tali diritti sono esercitati in generale a titolo gratuito. Il responsabile del trattamento risponde alle richieste dell'interessato entro un termine ragionevole. [Em. 105]

CAPO III

DIRITTI DELL’INTERESSATO

SEZIONE 1

TRASPARENZA E MODALITÀ

Articolo 11

Informazioni e comunicazioni trasparenti

1.  Il responsabile del trattamento applica politiche concise, trasparenti, chiare e facilmente accessibili con riguardo al trattamento dei dati personali e ai fini dell’esercizio dei diritti dell’interessato.

2.  Il responsabile del trattamento fornisce all’interessato tutte le informazioni e le comunicazioni relative al trattamento dei dati personali in forma intelligibile, con linguaggio semplice e chiaro e adeguato all’interessato, in particolare se le informazioni sono destinate ai minori. [Em. 106]

Articolo 12

Procedure e meccanismi per l’esercizio dei diritti dell’interessato

1.  Il responsabile del trattamento stabilisce le procedure d’informazione di cui all’articolo 14 e le procedure per l’esercizio dei diritti dell’interessato di cui all’articolo 13 e agli articoli da 15 a 19. Il responsabile del trattamento predispone in particolare i meccanismi per agevolare le richieste di cui all’articolo 13 e agli articoli da 15 a 19. Qualora i dati personali siano trattati con modalità automatizzate, il responsabile del trattamento predispone altresì i mezzi per inoltrare le richieste per via elettronica ove possibile.

2.  Il responsabile del trattamento informa l’interessato tempestivamente e al più tardi entro un mese40 giorni di calendario dal ricevimento della richiesta, se è stata adottata un’azione ai sensi dell’articolo 13 e degli articoli da 15 a 19, e fornisce le informazioni richieste. Tale termine può essere prorogato di un ulteriore mese se più interessati esercitano i loro diritti e la loro cooperazione è necessaria in misura ragionevole per evitare un impiego di risorse inutile e sproporzionato al responsabile del trattamento. Queste informazioni sono confermate per iscrittoiscritto o, ove possibile, il responsabile del trattamento può fornire l'accesso remoto a un sistema online sicuro che consenta all'interessato di consultare direttamente i propri dati personali. Se l’interessato presenta la richiesta in forma elettronica, le informazioni sono fornite, ove possibile, in formato elettronico, salvo indicazione diversa dell’interessato.

3.  Se rifiuta di ottemperarenon interviene in seguito alla richiesta dell’interessato, il responsabile del trattamento informa l’interessato dei motivi di tale rifiutomancato intervento e delle possibilità di proporre reclamo all’autorità di controllo e anche ricorso giurisdizionale.

4.  Le informazioni e le azioni intraprese a seguito delle richieste di cui al paragrafo 1 sono gratuite. Se le richieste sono manifestamente eccessive, in particolare per il loro carattere ripetitivo, il responsabile del trattamento può esigere un contributo spese ragionevole che tenga conto dei costi amministrativi sostenuti per fornire le informazioni o intraprendere l’azione richiesta; in alternativa, può non effettuare quanto richiesto. In tale caso, incombe al responsabile del trattamento dimostrare il carattere manifestamente eccessivo della richiesta.

5.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e le condizioni concernenti le richieste manifestamente eccessive, e il contributo spese di cui al paragrafo 4.

6.  La Commissione può stabilire moduli e procedure standard per la comunicazione di cui al paragrafo 2, anche in formato elettronico. A tal fine, la Commissione prende misure adeguate per le micro, piccole e medie imprese. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. [Em. 107]

Articolo 13

Diritti relativi ai destinatariObbligo di notifica in caso di rettifica e cancellazione

Il responsabile del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessitrasferiti i dati, le eventuali rettifiche o cancellazioni effettuate conformemente alle disposizioni degli articoli 16 e 17, salvo che ciò si riveli impossibile o implichi risorse sproporzionate. Il responsabile del trattamento comunica all'interessato tali destinatari qualora l'interessato lo richieda. [Em. 108]

Articolo 13 bis

Politiche in materia di informazioni standardizzate

1.  In caso di raccolta di dati personali relativi a un interessato, il responsabile del trattamento comunica all'interessato i seguenti dettagli prima di fornire informazioni ai sensi dell'articolo 14:

a)  se i dati personali sono raccolti oltre il minimo necessario per ciascuna finalità specifica del trattamento;

b)  se i dati personali sono memorizzati oltre il minimo necessario per ciascuna finalità specifica del trattamento;

c)  se i dati personali sono trattati per finalità diverse dalle finalità per cui sono stati raccolti;

d)  se i dati personali sono forniti a terze parti commerciali;

e)  se i dati personali sono venduti o affittati;

f)  se i dati personali sono memorizzati in forma cifrata.

2.  I dettagli di cui al paragrafo 1 vengono presentati a norma dell'allegato del presente regolamento in un formato tabulare allineato, utilizzando testo e simboli, nelle tre seguenti colonne:

a)  la prima colonna rappresenta forme grafiche che simboleggiano i dettagli in oggetto;

b)  la seconda colonna contiene informazioni essenziali che descrivono i dettagli in oggetto;

c)  la terza colonna rappresenta forme grafiche che indicano il verificarsi o meno di un dettaglio specifico.

3.  Le informazioni di cui ai paragrafi 1 e 2 sono presentate in modo da essere facilmente visibili e chiaramente leggibili e sono fornite in una lingua facilmente compresa dai consumatori degli Stati membri a cui si rivolgono. Se i dettagli vengono presentati elettronicamente, sono a lettura ottica.

4.  Non è necessario fornire dettagli aggiuntivi. Le spiegazioni dettagliate o le ulteriori osservazioni concernenti i dettagli di cui al paragrafo 1 possono essere fornite insieme alle altre informazioni ai sensi dell'articolo 14.

5.  Alla Commissione è conferito il potere di adottare, previa richiesta di parere al comitato europeo per la protezione dei dati, atti delegati conformemente all'articolo 86 al fine di precisare i dettagli di cui al paragrafo 1 e la loro modalità di presentazione di cui al paragrafo 2 e all'allegato del presente regolamento. [Em. 109]

SEZIONE 2

INFORMAZIONE E ACCESSO AI DATI

Articolo 14

Informazione dell’interessato

1.  In caso di raccolta di dati personali, il responsabile del trattamento fornisce all’interessato almeno le seguenti informazioni, dopo che sono stati forniti i dettagli di cui all'articolo 13 bis:

a)  l’identità e le coordinate di contatto del responsabile del trattamento e, eventualmente, del suo rappresentante e del responsabile della protezione dei dati;

b)  le finalità specifiche del trattamento cui sono destinati i dati personali, nonché le informazioni concernenti la sicurezza del trattamento dei dati personali, compresi i termini contrattuali e le condizioni generali nel caso di un trattamento basato sull’articolo 6, paragrafo 1, lettera b), e i legittimi interessi perseguiti dal responsabile del trattamento qualora il trattamento si basi sull’, ove applicabile, le informazioni su come attuare e rispettare le condizioni di cui all'articolo 6, paragrafo 1, lettera f);

c)  il periodo per il quale i dati personali saranno conservati oppure, se questo non è possibile, i criteri utilizzati per determinare questo periodo;

d)  l’esistenza del diritto dell’interessato di chiedere al responsabile del trattamento l’accesso ai dati e la rettifica o la cancellazione dei dati personali che lo riguardano o di opporsi al loro trattamento o di ottenere dati;

e)  il diritto di proporre reclamo all’autorità di controllo e le coordinate di contatto di detta autorità;

f)  i destinatari o le categorie di destinatari dei dati personali;

g)  se del caso, l’intenzione del responsabile del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e il livello di protezione garantito dal paese terzo o organizzazione internazionale, richiamandol'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso di trasferimenti di cui all'articolo 42 o all'articolo 43, il riferimento alle garanzie adeguate e i mezzi per ottenere una copia di tali dati;

g bis)  se del caso, informazioni sull'esistenza o meno della profilazione, delle misure basate sulla profilazione e gli effetti previsti della profilazione sull'interessato;

g ter)  informazioni pertinenti sulla logica che regola il trattamento automatico;

h)  ogni altra informazione necessaria per garantire un trattamento equo nei confronti dell’interessato, in considerazione delle specifiche circostanze in cui i dati personali vengono raccolti o trattati, in particolare l'esistenza di alcune attività e operazioni di trattamento per le quali una valutazione di impatto dei dati personali abbia indicato che sussiste un rischio elevato;

h bis)  se del caso, informazioni sul fatto che i dati personali siano stati tramessi o meno alle autorità pubbliche durante l'ultimo periodo di dodici mesi consecutivi.

2.  Quando i dati personali sono raccolti direttamente presso l’interessato, il responsabile del trattamento lo informa, in aggiunta a quanto disposto al paragrafo 1, dell’obbligatorietà o menodel carattere obbligatorio o facoltativo della comunicazione dei dati personali e delle possibili conseguenze di una mancata comunicazione.

2 bis.  Nel decidere le ulteriori informazioni necessarie per rendere equo il trattamento ai sensi del paragrafo 1, lettera h), i responsabili del trattamento tengono conto di tutti gli orientamenti applicabili a norma dell'articolo 34.

3.  Quando i dati personali non sono raccolti direttamente presso l’interessato, il responsabile del controllo lo informa, in aggiunta a quanto disposto al paragrafo 1, della fonte da cui sono tratti i dati personali specifici. Se i dati personali provengono da fonti accessibili al pubblico, occorre fornire un'indicazione generale.

4.  Il responsabile del trattamento fornisce le informazioni di cui ai paragrafi 1, 2 e 3:

a)  al momento in cui i dati personali sono ottenuti dall’interessato o senza indebito ritardo qualora quanto sopra non sia fattibile, oppure

a bis)  su richiesta di un ente, di un'organizzazione o di un'associazione di cui all'articolo 73,

b)  quando i dati personali non sono raccolti direttamente presso l’interessato, al momento della registrazione o entro un termine ragionevole dopo la raccolta, in considerazione delle specifiche circostanze in cui i dati vengono raccolti o altrimenti trattati, o, se si prevede la divulgazioneil trasferimento dei dati a un altro destinatario, al più tardi al momento del primo trasferimento o, se i dati vengono utilizzati per comunicare con la persona interessata, al più tardi al momento della prima comunicazione dei medesimicon la stessa, oppure

b bis)  solo su richiesta se i dati sono trattati da una piccola o una micro impresa per la quale il trattamento dei dati personali rappresenta un'attività accessoria.

5.  I paragrafi da 1 a 4 non si applicano nelle seguenti circostanze:

a)  l’interessato dispone già delle informazioni di cui ai paragrafi 1, 2 e 3, oppure

b)  i dati sono trattati a fini di ricerca storica, statistica o scientifica, alle condizioni e garanzie di cui agli articoli 81 e 83, non sono raccolti presso l’interessato e comunicare tali informazioni risulta impossibile o implicherebbe risorse sproporzionate e il responsabile del trattamento ha pubblicato le informazioni per permetterne il recupero, oppure

c)  i dati non sono raccolti presso l’interessato e la registrazione o la comunicazione dei dati è prevista espressamente per legge, oppure

d)  i dati non sono raccolti presso l’interessato e la comunicazione di tali informazioni pregiudicherebbe i diritti e le libertà altruidi altre persone fisiche, ai sensi del diritto dell’Unione o di uno Stato membro in conformità dell’articolo 21;

d bis)  i dati sono trattati da una persona, nell'esercizio della sua professione, ovvero sono affidati o resi noti a tale persona, soggetta a un obbligo di segreto professionale disciplinato dal diritto dell'Unione o dello Stato membro o ad un obbligo legale di segretezza, a meno che i dati non siano raccolti direttamente dall'interessato.

6.  Nel caso di cui al paragrafo 5, lettera b), il responsabile del trattamento predispone adeguate misure per proteggere i diritti o i legittimi interessi dell’interessato.

7.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri per le categorie di destinatari di cui al paragrafo 1, lettera f), l’obbligo di informare circa gli accessi potenziali di cui al paragrafo 1, lettera g), i criteri per le ulteriori informazioni necessarie di cui al paragrafo 1, lettera h), per settori e situazioni specifiche, e le condizioni e garanzie adeguate per le eccezioni di cui al paragrafo 5, lettera b). A tal fine, la Commissione prende misure adeguate per le micro, piccole e medie imprese.

8.  La Commissione può predisporre moduli standard per la comunicazione delle informazioni di cui ai paragrafi da 1 a 3, tenendo conto se necessario delle caratteristiche e delle esigenze specifiche dei diversi settori e situazioni di trattamento dei dati. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. [Em. 110]

Articolo 15

Diritto di accesso dell’e di ottenere dati per l'interessato

1.  L'Fatto salvo l'articolo 12, paragrafo 4, l'interessato che ne faccia richiesta ha il diritto di ottenere in qualsiasi momento, dal responsabile del trattamento, la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in un linguaggio semplice e chiaro,. Se è in corso un trattamento, il responsabile del trattamento fornisce le seguenti informazioni:

a)  le finalità del trattamento per ogni categoria di dati personali;

b)  le categorie di dati personali in questione;

c)  i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare seinclusi i destinatari di paesi terzi;

d)  il periodo per il quale saranno conservati i dati personali oppure, se questo non è possibile, i criteri utilizzati per determinare questo periodo;

e)  l’esistenza del diritto dell’interessato di chiedere al responsabile del trattamento la rettifica o la cancellazione dei dati personali che lo riguardano o di opporsi al loro trattamento;

f)  il diritto di proporre reclamo all’autorità di controllo e le coordinate di contatto di detta autorità;

g)  la comunicazione dei dati personali oggetto del trattamento e di tutte le informazioni disponibili sulla loro origine;

h)  l’importanza e le conseguenze di tale trattamento, almeno nel caso delle misure di cui all’articolo 20.

h bis)  informazioni pertinenti sulla logica che regola il trattamento automatico;

h ter)  fatto salvo l'articolo 21, in caso di divulgazione dei dati personali a un'autorità pubblica su richiesta di quest'ultima, la conferma dell'avvenuta richiesta.

2.  L’interessato ha il diritto di ottenere dal responsabile del trattamento la comunicazione dei dati personali oggetto del trattamento. Se l’interessato presenta la richiesta in forma elettronica, le informazioni sono fornite in un formato elettronico e strutturato, salvo indicazione diversa dell’interessato. Fatto salvo l'articolo 10, il responsabile del trattamento prende tutte le iniziative necessarie per verificare che la persona che ha richiesto l'accesso ai dati sia l'interessato.

2 bis.  Se ha fornito i dati personali e se tali dati sono trattati con mezzi elettronici, l'interessato ha il diritto di ottenere dal responsabile del trattamento copia dei dati personali forniti in un formato elettronico e interoperabile che sia di uso comune e gli consenta di farne ulteriore uso, senza impedimenti da parte del responsabile del trattamento da cui sono richiamati i dati. Ove tecnicamente fattibile e ove vi siano i mezzi disponibili, i dati sono trasferiti direttamente da un responsabile del trattamento a un altro su richiesta dell'interessato.

2 ter.  Il presente articolo non pregiudica l'obbligo di cancellare i dati ove non più necessari ai sensi dell'articolo 5, paragrafo 1, lettera e).

2 quater.  Il diritto di accesso non sussiste, in conformità dei paragrafi 1 e 2, quando sono interessati i dati ai sensi dell'articolo 14, paragrafo 5, lettera d bis), salvo se l'interessato è autorizzato a rimuovere il segreto in questione e agisce di conseguenza.

3.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti per la comunicazione all’interessato del contenuto dei dati personali di cui al paragrafo 1, lettera g).

4.  La Commissione può predisporre moduli standard e procedure per la richiesta e la concessione dell’accesso alle informazioni di cui al paragrafo 1, anche ai fini di verificare l’identità dell’interessato e di comunicare i dati personali all’interessato, tenendo conto delle specificità e delle esigenze dei diversi settori e situazioni di trattamento dei dati. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. [Em. 111]

SEZIONE 3

RETTIFICA E CANCELLAZIONE

Articolo 16

Diritto di rettifica

L’interessato ha il diritto di ottenere dal responsabile del trattamento la rettifica di dati personali inesatti. L’interessato ha il diritto di ottenere l’integrazione di dati personali incompleti, anche mediante una dichiarazione rettificativa.

Articolo 17

Diritto all’oblio e alla cancellazione

1.  L’interessato ha il diritto di ottenere dal responsabile del trattamento la cancellazione di dati personali che lo riguardano e la rinuncia a un’ulteriore diffusione di tali dati, in particolare in relazione ai dati personali resi pubblici quando l’interessato era un minoree di ottenere da terzi la cancellazione di qualsiasi link, copia o riproduzione di tali dati, se sussiste uno dei motivi seguenti:

a)  i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

b)  l’interessato revoca il consenso su cui si fonda il trattamento, di cui all’articolo 6, paragrafo 1, lettera a), oppure il periodo di conservazione dei dati autorizzato è scaduto e non sussiste altro motivo legittimo per trattare i dati;

c)  l’interessato si oppone al trattamento di dati personali ai sensi dell’articolo 19;

c bis)  un tribunale o autorità di regolamentazione dell'Unione ha deliberato in maniera definitiva e assoluta che i dati in questione devono essere cancellati;

d)  il trattamento dei i dati non è conforme al presente regolamento per altri motivisono stati trattati illecitamente.

1 bis.  L'applicazione del paragrafo 1 dipende dalla capacità del responsabile del trattamento di verificare che la persona che richiede la cancellazione sia l'interessato.

2.  Quando ha reso pubblici dati personali ingiustificatamente in base all'articolo 6, paragrafo1, il responsabile del trattamento di cui al paragrafo 1 prende tutte le misure ragionevoli per far cancellare i dati, anche tecniche, in relazione ai dati della cui pubblicazione è responsabile per informare i terzi che stanno trattando tali dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Se ha autorizzato un terzo a pubblicare dati personali, da parte di terzi, fatto salvo l'articolo 77. Il responsabile del trattamento è ritenuto responsabile di tale pubblicazioneinforma l'interessato, ove possibile, dell'azione intrapresa da parte dei terzi interessati.

3.  Il responsabile del trattamento provvedetrattamento e, se del caso, i terzi provvedono senza ritardo alla cancellazione, a meno che conservare i dati personali non sia necessario:

a)  per l’esercizio del diritto alla libertà di espressione in conformità dell’articolo 80;

b)  per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 81;

c)  per finalità storiche, statistiche e di ricerca scientifica in conformità dell’articolo 83;

d)  per adempiere un obbligo legale di conservazione di dati personali previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento; il diritto dello Stato membro deve perseguire un obiettivo di interesse pubblico, rispettare il contenuto essenziale del diritto alla protezione dei dati personali ed essere proporzionato all’obiettivo legittimo;

e)  nei casi di cui al paragrafo 4.

4.  Invece di provvedere alla cancellazione, il responsabile del trattamento limita il trattamento dei dati personali in modo tale che non siano sottoposti al normale accesso ai dati e alle operazioni di trattamento e che non possano più essere modificati:

a)  quando l’interessato ne contesta l’esattezza, per il periodo necessario ad effettuare le opportune verifiche;

b)  quando, benché non ne abbia più bisogno per l’esercizio dei suoi compiti, i dati devono essere conservati a fini probatori;

c)  quando il trattamento è illecito e l’interessato si oppone alla loro cancellazione e chiede invece che ne sia limitato l’utilizzo;

c bis)  quando un tribunale o autorità di regolamentazione dell'Unione ha deliberato in maniera definitiva e assoluta che il trattamento in questione deve essere limitato;

d)  quando l’interessato chiede di trasmettere i dati personali a un altro sistema di trattamento automatizzato, in conformità dell’articolo 1815, paragrafo 2 bis;

d bis)  quando la particolare tecnologia di memorizzazione non consente la cancellazione ed è stata installata prima dell'entrata in vigore del presente regolamento.

5.  I dati personali di cui al paragrafo 4 possono essere trattati, salvo che per la conservazione, soltanto a fini probatori o con il consenso dell’interessato oppure per tutelare i diritti di un’altra persona fisica o giuridica o per un obiettivo di pubblico interesse.

6.  Quando il trattamento dei dati personali è limitato a norma del paragrafo 4, il responsabile del trattamento informa l’interessato prima di eliminare la limitazione al trattamento.

7.  Il responsabile del trattamento predispone i meccanismi per assicurare il rispetto dei termini fissati per la cancellazione dei dati personali e/o per un esame periodico della necessità di conservare tali dati.

8.  Quando provvede alla cancellazione, il responsabile del trattamento si astiene da altri trattamenti di tali dati personali.

8 bis.  Il responsabile del trattamento predispone i meccanismi per assicurare il rispetto dei termini fissati per la cancellazione dei dati personali e/o per un esame periodico della necessità di conservare tali dati.

9.  Alla Commissione è conferito il potere di adottare, previa richiesta di parere al comitato europeo per la protezione dei dati, atti delegati in conformità all’articolo 86 al fine di precisare:

a)  i criteri e i requisiti per l’applicazione del paragrafo 1 per specifici settori e situazioni di trattamento dei dati;

b)  le condizioni per la cancellazione di link, copie o riproduzioni di dati personali dai servizi di comunicazione accessibili al pubblico, come previsto al paragrafo 2;

c)  i criteri e le condizioni per limitare il trattamento dei dati personali, di cui al paragrafo 4. [Em. 112]

Articolo 18

Diritto alla portabilità dei dati

1.  L’interessato ha il diritto, ove i dati personali siano trattati con mezzi elettronici e in un formato strutturato e di uso comune, di ottenere dal responsabile del trattamento copia dei dati trattati in un formato elettronico e strutturato che sia di uso comune e gli consenta di farne ulteriore uso.

2.  Se ha fornito i dati personali e il trattamento si basa sul consenso o su un contratto, l’interessato ha il diritto di trasmettere tali dati personali e ogni altra informazione fornita e conservata in un sistema di trattamento automatizzato a un altro sistema in un formato elettronico di uso comune, senza impedimenti da parte del responsabile del trattamento da cui sono richiamati i dati.

3.  La Commissione può specificare il formato elettronico di cui al paragrafo 1 e le norme tecniche, le modalità e le procedure di trasmissione dei dati personali a norma del paragrafo 2. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. [Em. 113]

SEZIONE 4

DIRITTO DI OPPOSIZIONE E PROFILAZIONE

Articolo 19

Diritto di opposizione

1.  L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali ai sensi dell’articolo 6, paragrafo 1, lettere d), e) e f)ed e), salvo che il responsabile del trattamento dimostri l’esistenza di motivi preminenti e legittimi per procedere al trattamento che prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato.

2.  Qualora iil trattamento dei dati personali siano trattati per finalità di marketing direttosi basi sull'articolo 6, paragrafo 1, lettera f), l’interessato ha il diritto, in qualsiasi momento e senza alcuna ulteriore giustificazione, di opporsi gratuitamente, in generale o per qualsiasi fine particolare, al trattamento dei dati personali effettuato per tali finalità. Tale diritto è comunicato esplicitamente all’interessato in modo intelligibile ed è chiaramente distinguibile dalle altre informazioni.

2 bis.  Il diritto di cui al paragrafo 2 è offerto esplicitamente all'interessato in un modo e in una forma intellegibili, con un linguaggio semplice e chiaro, in particolare se destinato specificamente a minori, ed è chiaramente distinguibile dalle altre informazioni.

2 ter.  Nell'ambito dell'utilizzo di servizi della società dell’informazione e fatta salva la direttiva 2002/58/CE, il diritto di opposizione può essere esercitato mediante modalità automatizzate, utilizzando una norma tecnica che consenta all'interessato di esprimere chiaramente la propria volontà.

3.  Qualora l’interessato si opponga ai sensi dei paragrafi 1 e 2, il responsabile del trattamento non può più usare né altrimenti trattare i dati personali in questione per le finalità determinate nell'opposizione. [Em. 114]

Articolo 20

Misure basate sulla profilazione

1.  Fatte salve le disposizioni di cui all'articolo 6, chiunque ha il diritto di non essere sottoposto a una misura che produca effetti giuridici o significativamente incida sulla sua persona, basata unicamente su un trattamento automatizzato destinato a valutare taluni aspetti della sua personalità o ad analizzarne o prevederne in particolare il rendimento professionale, la situazione economica, l’ubicazione, lo stato di salute, le preferenze personali, l’affidabilità o il comportamentoopporsi alla profilazione ai sensi dell'articolo 19. L'interessato è informato in merito al diritto di opporsi alla profilazione in modo chiaro ed evidente.

2.  Fatte salve le altre disposizioni del presente regolamento, chiunque può essere sottoposto a una misura di cui al paragrafo 1alla profilazione avente come conseguenza misure che producono effetti giuridici sull'interessato o che, parimenti, incidono significativamente sugli interessi, sui diritti o sulle libertà dello stesso, soltanto se il trattamento:

a)  è effettuato nel contestonecessario ai fini della conclusione o dell’esecuzione di un contratto, a condizione che la domanda di concludere o eseguire il contratto, presentata dall’interessato, sia stata accolta oppure, a condizione che siano state offerte misure adeguate, fra le quali il diritto di ottenere l’intervento umano, a salvaguardia dei suoi legittimi interessi, oppure

b)  è espressamente autorizzato da disposizioni del diritto dell’Unione o di uno Stato membro che precisi altresì misure adeguate a salvaguardia dei legittimi interessi dell’interessato, oppure

c)  si basa sul consenso dell’interessato, fatte salve le condizioni di cui all’articolo 7 e l’esistenza di garanzie adeguate.

3.  È vietata la profilazione che porta alla discriminazione di persone sulla base della razza, dell'origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell'appartenenza sindacale, dell'orientamento sessuale o dell'identità di genere o risulta in misure aventi tali effetti discriminatori. Il responsabile del trattamento automatizzato di dati personali destinato a valutare taluni aspetti della personalità dell’interessatoattua un'efficace protezione contro la possibile discriminazione risultante dalla profilazione. La profilazione non può basarsi unicamente sulle categorie particolari di dati personali di cui all’articolo 9.

4.  Nei casi di cui al paragrafo 2, le informazioni che il responsabile del trattamento è tenuto a fornire ai sensi dell’articolo 14 ricomprendono l’esistenza di un trattamento relativo a una misura di cui al paragrafo 1 e gli effetti previsti di tale trattamento sull’interessato.

5.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e le condizioni concernenti le La profilazione avente come conseguenza misure che producono effetti giuridici sull'interessato o che, parimenti, incide significativamente sugli interessi, sui diritti o sulle libertà dello stesso non si basa unicamente o in modo predominante sul trattamento automatizzato e include una valutazione umana, compresa una spiegazione della decisione conseguita dopo tale valutazione. Le misure adeguate a salvaguardia dei legittimi interessi dell’interessato di cui al paragrafo 2 includono il diritto di ottenere una valutazione umana e una spiegazione della decisione conseguita dopo tale valutazione.

5 bis.  Al comitato europeo per la protezione dei dati è affidato il compito di emettere orientamenti, raccomandazioni e buone prassi in linea con l'articolo 66, paragrafo 1, lettera b), per specificare ulteriormente i criteri e le condizioni per la profilazione ai sensi del paragrafo 2. [Em. 115]

SEZIONE 5

Limitazioni

Articolo 21

Limitazioni

1.  L’Unione o gli Stati membri possono limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui all’articolo 5, lettere da a) a e), agli articoli da 11 a 20a 19 e all’articolo 32, qualora tale limitazione persegua un obiettivo di interesse pubblico chiaramente definito, rispetti il contenuto essenziale del diritto alla protezione dei dati personali, sia proporzionato all'obiettivo legittimo perseguito e costituisca una misura necessaria e proporzionata in una società democratica per salvaguardare:

a)  la pubblica sicurezza;

b)  le attività volte a prevenire, indagare, accertare e perseguire reati;

c)  altri interessi pubblici dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, e la stabilità e l’integrità del mercatoquestioni tributarie;

d)  le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;

e)  una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’nell'ambito dell'esercizio di pubblici poteridei poteri di un'autorità pubblica competente nei casi di cui alle lettere a), b), c), e d);

f)  la tutela dell’interessato o dei diritti e delle libertà altrui;

2.  In particolare, le misure legislative di cui al paragrafo 1 devono essere necessarie e proporzionate in una società democratica e contengono disposizioni specifiche riguardanti almeno gli obiettivi perseguiti dal trattamento e la determinazione del responsabile del trattamento:

a)  gli obiettivi perseguiti dal trattamento;

b)  la determinazione del responsabile del trattamento;

c)  le finalità specifiche e i mezzi di trattamento;

d)  le garanzie per prevenire abusi o l'accesso o il trattamento illeciti;

e)  il diritto degli interessati di essere informati delle restrizioni.

2 bis.  Le misure legislative di cui al paragrafo 1 non consentono né impongono l'obbligo ai responsabili del trattamento privati di conservare dati aggiuntivi rispetto a quelli strettamente necessari per la finalità originaria. [Em. 116]

CAPO IV

RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL TRATTAMENTO

SEZIONE 1

OBBLIGHI GENERALI

Articolo 22

Responsabilità e doveri del responsabile del trattamento

1.  Il responsabile del trattamento adotta politiche appropriate e attua misure adeguate e misure tecniche e organizzative dimostrabili per garantire ed essere in grado di dimostrare in modo trasparente che il trattamento dei dati personali effettuato è conforme al presente regolamento, tenuto conto dell'evoluzione tecnica, della natura del trattamento dei dati personali, del contesto, dell'ambito e delle finalità del trattamento, dei rischi per i diritti e le libertà degli interessati e del tipo di organizzazione, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso.

1 bis.  Tenuto conto dell'evoluzione tecnica e dei costi di attuazione, il responsabile del trattamento adotta tutte le misure ragionevoli per attuare politiche e procedure in materia di conformità che rispettino costantemente le scelte autonome degli interessati. Dette politiche sono riesaminate almeno ogni due anni e aggiornate, se necessario.

2.  Le misure di cui al paragrafo 1 comprendono, in particolare:

a)  la conservazione della documentazione ai sensi dell’articolo 28;

b)  l’attuazione dei requisiti di sicurezza dei dati di cui all’articolo 30;

c)  l’esecuzione della valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 33;

d)  il rispetto dei requisiti di autorizzazione preventiva o di consultazione preventiva dell’autorità di controllo ai sensi dell’articolo 34, paragrafi 1 e 2;

e)  la designazione di un responsabile della protezione dei dati ai sensi dell’articolo 35, paragrafo 1.

3.  Il responsabile del trattamento mette in atto meccanismi per assicurare la verifica dell’è in grado di dimostrare l'adeguatezza e l'efficacia delle misure di cui ai paragrafi 1 e 2. Qualora ciò sia proporzionato, la verifica è effettuata da revisori interni o esterni indipendentiTutte le relazioni generali periodiche delle attività del responsabile del trattamento, quali le relazioni obbligatorie delle società quotate in borsa, contengono una descrizione sintetica delle politiche e delle misure di cui al paragrafo 1.

3 bis.  Il responsabile del trattamento ha il diritto di trasmettere dati personali all'interno dell'Unione nell'ambito del gruppo di imprese di cui egli fa parte, qualora tale trattamento sia necessario a fini amministrativi legittimi interni tra settori commerciali correlati del gruppo di imprese e purché un livello adeguato di protezione dei dati e gli interessi degli interessati siano tutelati da disposizioni interne di protezione dei dati o da codici di condotta equivalenti ai sensi dell'articolo 38.

4.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le misure adeguate di cui al paragrafo 1 diverse da quelle specificate al paragrafo 2, le condizioni riguardanti i meccanismi di verifica e di audit di cui al paragrafo 3 e il criterio di proporzionalità di cui al paragrafo 3, e al fine di contemplare misure specifiche per le micro, piccole e medie imprese. [Em. 117]

Articolo 23

Protezione fin dalla progettazione e protezione di default

1.  Al momento di determinare le finalità e i mezzi del trattamento e all’atto del trattamento stesso, ill'eventuale responsabile del trattamento e incaricato del trattamento, tenuto conto dell’evoluzione tecnica, delle migliori prassi internazionali e dei costi di attuazionerischi rappresentati dal trattamento dei dati, mette in atto adeguate misure e procedure tecniche e organizzative adeguate e proporzionate, in modo tale che il trattamento sia conforme al presente regolamento e assicuri la tutela dei diritti dell’interessato, con particolare riguardo ai principi di cui all'articolo 5. La protezione dei dati fin dalla progettazione presta particolare attenzione alla gestione dell'intero ciclo di vita dei dati personali dalla raccolta al trattamento alla cancellazione, incentrandosi sistematicamente sulle garanzie procedurali generali in merito all'esattezza, alla riservatezza, all'integrità, alla sicurezza fisica e alla cancellazione dei dati personali. Se il responsabile del trattamento ha effettuato una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 33, è opportuno prenderne in considerazione i risultati in fase di sviluppo delle misure e delle procedure di cui sopra.

1 bis.  Al fine di promuoverne una vasta attuazione in diversi settori economici, la protezione dati fin dalla progettazione costituisce un requisito indispensabile per gli appalti pubblici a norma della direttiva 2004/18/CE del Parlamento europeo e del Consiglio(18) nonché a norma della direttiva 2004/17/CE del Parlamento europeo e del Consiglio(19) (direttiva sui settori di pubblica utilità).

2.  Il responsabile del trattamento mette in atto meccanismi per garantiregarantisce che siano trattati, di default, solo i dati personali necessari per ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione o diffusione non vadano oltre il minimo necessario per le finalità perseguite. In particolare detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone e che gli interessati siano in grado di controllare la distribuzione dei propri dati personali.

3.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le misure e i meccanismi adeguati di cui ai paragrafi 1 e 2, in particolare i requisiti riguardanti la protezione dei dati fin dalla progettazione applicabili in materia trasversale a vari settori, prodotti e servizi.

4.  La Commissione può stabilire norme tecniche riguardanti i requisiti di cui ai paragrafi 1 e 2. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. [Em. 118]

Articolo 24

Corresponsabili del trattamento

Se il responsabilevari responsabili del trattamento determinadeterminano congiuntamente le finalità, le condizioni e i mezzi del trattamento dei dati personali insieme ad altri, i corresponsabili del trattamento determinano, mediante accordi interniun accordo interno, le rispettive responsabilità in merito al rispetto degli obblighi derivanti dal presente regolamento, con particolare riguardo alle procedure e ai meccanismi per l’esercizio dei diritti dell’interessato. L'accordo riflette adeguatamente i rispettivi ed effettivi ruoli dei corresponsabili e i loro rapporti nei confronti degli interessati e il contenuto essenziale dell'accordo è messo a disposizione dell'interessato. In caso di incertezze circa la responsabilità, i responsabili del trattamento sono solidalmente responsabili. [Em. 119]

Articolo 25

Rappresentanti di responsabili del trattamento non stabiliti nell’Unione

1.  Nel caso di cui all’articolo 3, paragrafo 2, il responsabile del trattamento designa un rappresentante nell’Unione.

2.  Quest’obbligo non si applica:

a)  ai responsabili del trattamento stabiliti in un paese terzo qualora la Commissione abbia deciso che il paese terzo garantisce un livello di protezione adeguato in conformità dell’articolo 41, oppure

b)  alle imprese conai responsabili che trattano dati personali che riguardano meno di 2505 000 interessati durante qualsiasi periodo di 12 mesi consecutivi e che non trattano categorie speciali di dati personali come indicato all'articolo 9, paragrafo 1, dati relativi all'ubicazione o dati relativi a minori o dipendenti in sistemi di archiviazione su larga scala; oppure

c)  alle autorità pubbliche e agli organismi pubblici, oppure

d)  ai responsabili del trattamento che offrono solo occasionalmente beni o servizi a interessati che risiedono nell’Unione, a meno che il trattamento di dati personali non riguardi categorie speciali di dati personali come indicato all'articolo 9, paragrafo 1, dati relativi all'ubicazione o dati relativi a minori o dipendenti in sistemi di archiviazione su larga scala.

3.  Il rappresentante è stabilito in uno degli Stati membri in cui risiedono gli interessati i cui dati personali sono trattati nell’ambito dell’è attuata l'offerta di beni o servizi o il cui comportamento è controllatoloro monitoraggio per gli interessati. [Em. 120]

4.  La designazione di un rappresentante a cura del responsabile del trattamento fa salve le azioni legali che potrebbero essere promosse contro lo stesso responsabile del trattamento.

Articolo 26

Incaricato del trattamento

1.  Qualora il trattamento debba essere effettuato per conto del responsabile del trattamento, questi sceglie un incaricato del trattamento che presenti garanzie sufficienti per mettere in atto misure e procedure tecniche e organizzative adeguate in modo tale che il trattamento sia conforme al presente regolamento e assicuri la tutela dei diritti dell’interessato, con particolare riguardo alle misure di sicurezza tecnica e organizzative in relazione ai trattamenti da effettuare, e si assicura del rispetto di tali misure.

2.  L’esecuzione dei trattamenti su commissione è disciplinata da un contratto o altro atto giuridico che vincoli l’incaricato del trattamento al responsabile del trattamento. Il responsabile del trattamento e l'incaricato del trattamento sono liberi di stabilire i rispettivi ruoli e compiti per quanto concerne i requisiti previsti dal presente regolamento, e garantiscono che preveda segnatamente che l’incaricato del trattamento:

a)  agisca soltantoproceda al trattamento di dati personali solo su istruzione del responsabile del trattamento, in particolare qualora sia vietato il trasferimento dei dati personali usatia meno che non diversamente richiesto dal diritto unionale o nazionale;

b)  impieghi soltanto personale che si sia impegnato alla riservatezza o abbia l’obbligo legale di riservatezza;

c)  prenda tutte le misure richieste ai sensi dell’articolo 30;

d)  ricorrastabilisca le condizioni per ricorrere ad un altro incaricato del trattamento solo previa autorizzazione del responsabile del trattamento, a meno che non sia diversamente stabilito;

e)  per quanto possibile tenuto conto della natura del trattamento, crei d’intesa con il responsabile del trattamento le condizioni tecniche e organizzative appropriate e pertinenti,necessarie per l’adempimento dell’obbligo del responsabile del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

f)  aiuti il responsabile del trattamento a garantire il rispetto degli obblighi di cui agli articoli da 30 a 34, tenendo conto della natura del trattamento e delle informazioni a disposizione dell'incaricato del trattamento;

g)  ultimato il trattamento, trasmetta tutti i risultati al responsabile del trattamento e si astenga dal trattare altrimenti i dati personali e cancelli le copie a meno che il diritto dell'Unione o la legislazione degli Stati membri non richiedano la memorizzazione dei dati;

h)  metta a disposizione del responsabile del trattamento e dell’autorità di controllo tutte le informazioni necessarie per controllaredimostrare il rispetto degli obblighi di cui al presente articolo e consentire ispezioni in loco.

3.  Il responsabile del trattamento e l’incaricato del trattamento documentano per iscritto le istruzioni del responsabile del trattamento e gli obblighi dell’incaricato del trattamento di cui al paragrafo 2.

3 bis.  Le garanzie sufficienti di cui al paragrafo 1 possono essere dimostrate mediante il rispetto dei codici di condotta o meccanismi di certificazione a norma degli articoli 38 o 39 del presente regolamento.

4.  L’incaricato del trattamento che tratta i dati personali diversamente da quanto indicato nelle istruzioni del responsabile del trattamento o che diventa parte determinante in relazione alle finalità e ai mezzi del trattamento è considerato responsabile del trattamento per tale trattamento ed è soggetto alle norme sui corresponsabili del trattamento di cui all’articolo 24.

5.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le responsabilità, gli obblighi e i compiti dell’incaricato del trattamento conformemente al paragrafo 1, e le condizioni che consentono di facilitare il trattamento dei dati personali all’interno di un gruppo di imprese, in particolare ai fini del controllo e della rendicontazione. [Em. 121]

Articolo 27

Trattamento sotto l’autorità del responsabile del trattamento e dell’incaricato del trattamento

L’incaricato del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del responsabile del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal responsabile del trattamento, salvo che lo richieda il diritto dell’Unione o di uno Stato membro.

Articolo 28

Documentazione

1.  Ogni responsabile del trattamento, incaricato del trattamento ed eventuale rappresentante del responsabile del trattamento conserva regolarmente aggiornata la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità, necessaria per soddisfare i requisiti di cui al presente regolamento.

2.  Inoltre, ogni responsabile del trattamento e incaricato del trattamento conserva la documentazione contiene almeno ledocumentazione relativa alle seguenti informazioni:

a)  nome e coordinate di contatto del responsabile del trattamento, o di ogni corresponsabile del trattamento o incaricato del trattamento, e dell’eventuale rappresentante del responsabile del trattamento;

b)  nome e coordinate di contatto dell’eventuale responsabile della protezione dei dati;

c)  finalità del trattamento, compresi i legittimi interessi perseguiti dal responsabile del trattamento qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f);

d)  descrizione delle categorie di interessati e delle pertinenti categorie di dati personali;

e)  indicazione dei destinatari o delle categorie di destinatari dei dati personali, compresi inome e coordinate di contatto degli eventuali responsabili del trattamento cui sono comunicati i dati personali ai fini del perseguimento dei loro legittimi interessi;

f)  se del caso, indicazione dei trasferimenti di dati verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui all’articolo 44, paragrafo 1, lettera h), la documentazione delle garanzie adeguate;

g)  indicazione generale dei termini ultimi per cancellare le diverse categorie di dati;

h)  descrizione dei meccanismi di cui all’articolo 22, paragrafo 3.

3.  Il responsabile del trattamento, l’incaricato del trattamento e l’eventuale rappresentante del responsabile del trattamento mettono la documentazione a disposizione dell’autorità di controllo, su richiesta.

4.  Gli obblighi di cui ai paragrafi 1 e 2 non si applicano ai seguenti responsabili del trattamento e incaricati del trattamento:

a)  persone fisiche che trattano dati personali senza un interesse commerciale, oppure

b)  imprese o organizzazioni con meno di 250 dipendenti che trattano dati personali solo accessoriamente rispetto alle attività principali.

5.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti la documentazione di cui al paragrafo 1, per tener conto in particolare delle responsabilità del responsabile del trattamento, dell’incaricato del trattamento e dell’eventuale rappresentante del responsabile del trattamento.

6.  La Commissione può stabilire moduli standard per la documentazione di cui al paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. [Em. 122]

Articolo 29

Cooperazione con l’autorità di controllo

1.  Il responsabile del trattamento e, se del caso, l’incaricato del trattamento e l’eventualeil rappresentante del responsabile del trattamento cooperano, su richiesta, con l’autorità di controllo nell’esercizio delle sue funzioni, fornendo in particolare le informazioni di cui all’articolo 53, paragrafo 2, lettera a), e accordando l’accesso di cui all’articolo 52, paragrafo 2, lettera b). [Em. 123]

2.  Quando l’autorità di controllo esercita i poteri a norma dell’articolo 53, paragrafo 2, il responsabile del trattamento e l’incaricato del trattamento rispondono a una sua richiesta entro un termine ragionevole da quella fissato. La risposta comprende una descrizione delle misure prese a seguito delle osservazioni dell’autorità di controllo e dei risultati raggiunti.

SEZIONE 2

SICUREZZA DEI DATI

Articolo 30

Sicurezza del trattamento

1.  Tenuto conto dei risultati della valutazione di impatto in materia di protezione dei dati a norma dell'articolo 33 e dell’evoluzione tecnica e dei costi di attuazione, il responsabile del trattamento e l’incaricato del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta e alla natura dei dati personali da proteggere.

1 bis.  Tenuto conto dell’evoluzione tecnica e dei costi di attuazione, una simile politica di sicurezza deve includere:

a)  la capacità di assicurare che sia convalidata l’integrità dei dati personali;

b)  la capacità di assicurare l’attuale riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;

c)  la capacità di ripristinare la disponibilità e l’accesso ai dati in modo tempestivo, in caso di incidente fisico o tecnico che abbia un impatto sulla disponibilità, sull’integrità e sulla riservatezza dei sistemi e dei servizi di informazione;

d)  in caso di trattamento di dati personali sensibili, a norma degli articoli 8 e 9, misure di sicurezza aggiuntive per garantire la consapevolezza situazionale dei rischi e la capacità di adottare azioni di prevenzione, correzione e attenuazione, praticamente in tempo reale, contro le vulnerabilità riscontrate o gli incidenti verificatisi, che potrebbero costituire un rischio per i dati;

e)  un processo per provare, verificare e valutare regolarmente l’efficacia delle politiche, delle procedure e dei piani di sicurezza attuati per assicurare la continua efficacia.

2.  Previa valutazione dei rischi, il responsabile del trattamento e l’incaricato del trattamento prendono Le misure di cui al paragrafo 1 per proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita accidentale e per impedire qualsiasi forma illegittima di trattamento, in particolare la comunicazione, la divulgazione o l’accesso non autorizzati o la modifica dei dati personalidevono come minimo.

a)  garantire che ai dati personali possa accedere soltanto il personale autorizzato agli scopi autorizzati dalla legge;

b)  proteggere i dati personali conservati o trasmessi dalla distruzione accidentale o illegale, dalla perdita o dalla modifica accidentale e dalla conservazione, trattamento, accesso o comunicazione non autorizzati o illegali; nonché

c)  assicurare l’attuazione di una politica di sicurezza in relazione con il trattamento dei dati personali.

3.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’Il comitato europeo per la protezione dei dati è incaricato di emettere orientamenti, raccomandazioni e migliori prassi a norma dell'articolo 86 al fine di precisare i criteri e le condizioni concernenti le66, paragrafo 1, lettera b), per misure tecniche e organizzative di cui ai paragrafi 1 e 2, compresa la determinazione di ciò che costituisce evoluzione tecnica, per settori specifici e in specifiche situazioni di trattamento dei dati, in particolare tenuto conto degli sviluppi tecnologici e delle soluzioni per la protezione fin dalla progettazione e per la protezione di default, salvo che si applichi il paragrafo 4.

4.  Se necessario, la Commissione può adottare atti di esecuzione per precisare i requisiti di cui ai paragrafi 1 e 2 in varie situazioni, in particolare per:

a)  impedire l’accesso non autorizzato ai dati personali;

b)  impedire qualunque forma non autorizzata di divulgazione, lettura, copia, modifica, cancellazione o rimozione dei dati personali;

c)  garantire la verifica della liceità del trattamento.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. [Em. 124]

Articolo 31

Notificazione di una violazione dei dati personali all’autorità di controllo

1.  In caso di violazione dei dati personali, il responsabile del trattamento notifica la violazione all’autorità di controllo senza ritardo, ove possibile entro 24 ore dal momento in cui ne è venuto a conoscenza. Qualora non sia effettuata entro 24 ore, la notificazione all’autorità di controllo è corredata di una giustificazione motivata.

2.  In conformità dell’articolo 26, paragrafo 2, lettera f), L’incaricato del trattamento allerta e informa il responsabile del trattamento immediatamentesenza indebito ritardo dopo aver accertato la violazione.

3.  La notificazione di cui al paragrafo 1 deve come minimo:

a)  descrivere la natura della violazione dei dati personali, compresi le categorie e il numero di interessati in questione e le categorie e il numero di registrazioni dei dati in questione;

b)  indicare l’identità e le coordinate di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c)  elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione dei dati personali;

d)  descrivere le conseguenze della violazione dei dati personali;

e)  descrivere le misure proposte o adottate dal responsabile del trattamento per porre rimedio alla violazione dei dati personali e attenuarne gli effetti.

Se necessario le informazioni possono essere fornite in diverse fasi.

4.  Il responsabile del trattamento documenta la violazione dei dati personali, incluse le circostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi rimedio. La documentazione deve essere sufficiente al fine di consentire all’autorità di controllo di verificare il rispetto del presente articolo. In essa figurano unicamente le informazioni necessarie a tal fine.

4 bis.  L’autorità di controllo dovrà conservare un registro pubblico delle tipologie di violazione notificate.

5.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’Al comitato europeo per la protezione dei dati è affidato il compito di emettere orientamenti, raccomandazioni e migliori prassi in linea con l'articolo 86 al fine di precisare i criteri e i requisiti concernenti l’accertamento della66, paragrafo 1, lettera b), per accertare la violazione di dati personali e determinare l'indebito ritardo di cui ai paragrafi 1 e 2 e le circostanze particolari in cui il responsabile del trattamento e l’incaricato del trattamento sono tenuti a notificare la violazione.

6.  La Commissione può stabilire il formato standard di tale notificazione all’autorità di controllo, le procedure applicabili all’obbligo di notificazione e la forma e le modalità della documentazione di cui al paragrafo 4, compresi i termini per la cancellazione delle informazioni ivi contenute. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. [Em. 125]

Articolo 32

Comunicazione di una violazione dei dati personali all’interessato

1.  Quando la violazione dei dati personali rischia di pregiudicare i dati personali o di attentare alla vita privata, ai diritti o agli interessi legittimi dell’interessato, il responsabile del trattamento, dopo aver provveduto alla notificazione di cui all’articolo 31, comunica la violazione all’interessato senza ingiustificato ritardo.

2.  La comunicazione all’interessato di cui al paragrafo 1 è esaustiva e redatta in un linguaggio semplice e chiaro. Essa descrive la natura della violazione dei dati personali e contiene almeno le informazioni e le raccomandazioni di cui all’articolo 31, paragrafo 3, lettere b) e, c) e d) e le informazioni relative ai diritti dell'interessato, incluso il ricorso.

3.  Non è richiesta la comunicazione di una violazione dei dati personali all’interessato se il responsabile del trattamento dimostra in modo convincente all’autorità di controllo che ha utilizzato le opportune misure tecnologiche di protezione e che tali misure erano state applicate ai dati violati. Tali misure tecnologiche di protezione devono rendere i dati incomprensibili a chiunque non sia autorizzato ad accedervi.

4.  Fatto salvo l’obbligo per il responsabile del trattamento di comunicare all’interessato la violazione dei dati personali, se il responsabile del trattamento non ha provveduto a comunicare all’interessato la violazione dei dati personali, l’autorità di controllo, considerate le presumibili ripercussioni negative della violazione, può obbligare il responsabile del trattamento a farlo.

5.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti leIl comitato europeo per la protezione dei dati è incaricato di emettere orientamenti, raccomandazioni e migliori prassi a norma dell'articolo 66, paragrafo 1, lettera b), per le misure tecniche e organizzative di cui ai paragrafi 1 e 2, in relazione alle circostanze in cui una violazione di dati personali rischia di pregiudicare la protezione dei dati personali, la vita privata, i diritti o gli interessi legittimi dell'interessato di cui al paragrafo 1.

6.  La Commissione può stabilire il formato della comunicazione all’interessato di cui al paragrafo 1, e le procedure applicabili a tale comunicazione. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. [Em. 126]

Articolo 32 bis

Analisi dei rischi

1.  Il responsabile del trattamento o, se del caso, l'incaricato del trattamento procede ad un'analisi dei rischi dell'impatto potenziale del trattamento dati previsto sui diritti e le libertà degli interessati, in cui valuta se le operazioni di trattamento possono presentare rischi specifici.

2.  Possono presentare rischi specifici i seguenti trattamenti:

a)  trattamento di dati personali relativi ad oltre 5 000 interessati per un periodo di 12 mesi consecutivi;

b)  trattamento di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, dati relativi all'ubicazione o dati riguardanti minori o dipendenti in archivi su larga scala;

c)  profilazione da cui discendono misure che hanno effetti giuridici o che allo stesso modo incidono significativamente sull'interessato;

d)  trattamento di dati personali per la prestazione di servizi sanitari, ricerche epidemiologiche o indagini su malattie mentali o infettive, qualora i dati siano trattati per prendere misure o decisioni su larga scala riguardanti persone specifiche;

e)  sorveglianza automatizzata di zone accessibili al pubblico su larga scala;

f)  qualunque altro trattamento che richiede la consultazione del responsabile della protezione dei dati o dell'autorità di controllo ai sensi dell'articolo 34, paragrafo 2, lettera b);

g)  qualora una violazione dei dati personali potrebbe incidere negativamente sulla protezione dei dati personali, sulla vita privata, sui diritti o sui legittimi interessi dell'interessato;

h)  le attività principali del responsabile del trattamento o dell’incaricato del trattamento consistono in trattamenti che, per la loro natura, il loro oggetto o le loro finalità richiedono il controllo regolare e sistematico degli interessati;

i)  Qualora i dati personali siano messi a disposizione di un certo numero di persone che non si può ragionevolmente prevedere sia limitato.

3.  In base all'esito dell'analisi dei rischi:

a)  se non esiste alcuna operazione di trattamento di cui al paragrafo 2, lettere a) o b), i responsabili del trattamento non stabiliti nell’Unione designano un rappresentante nell'Unione in linea con i requisiti e le esenzioni di cui all'articolo 25;

b)  se non esiste alcuna operazione di trattamento di cui al paragrafo 2, lettere a), b) o h), il responsabile del trattamento designa un responsabile della protezione dei dati in linea con i requisiti e le esenzioni di cui all'articolo 35;

c)  se non esiste alcuna operazione di trattamento di cui al paragrafo 2, lettere a), b), c), d), e), f), g) o h), il responsabile del trattamento o l'incaricato del trattamento che agisce in sua vece esegue una valutazione di impatto della protezione dei dati a norma dell'articolo 33;

d)  se le operazioni di trattamento di cui al paragrafo 2, lettera f), esistono, il responsabile del trattamento consulta il responsabile della protezione dei dati o, qualora questi non sia stato nominato, l'autorità di controllo a norma dell'articolo 34.

4.  L’analisi dei rischi deve essere rivista almeno dopo un anno, oppure immediatamente, se la natura, la portata o gli obiettivi dei trattamenti cambiano in modo significativo. Se, a norma del paragrafo 3, lettera c), il responsabile del trattamento non è tenuto ad eseguire una valutazione di impatto di protezione dei dati, l'analisi dei rischi è documentata. [Em. 127]

SEZIONE 3

VALUTAZIONE D’IMPATTO SULLAGESTIONE DELLA PROTEZIONE DEI DATI E AUTORIZZAZIONE PREVENTIVADURANTE TUTTO IL CICLO DI VITA [Em. 128]

Articolo 33

Valutazione d’impatto sulla protezione dei dati

1.  Quando il trattamento, per la sua natura, il suo oggetto o le sue finalità, presenta rischi specifici per i diritti e le libertà degli interessati, il richiesto ai sensi dell’articolo 32 bis, paragrafo 3, lettera c), responsabile del trattamento o l’incaricato del trattamento che agisce per conto del responsabile del trattamento effettua una valutazione dell’impatto del trattamento previsto sullasui diritti e le libertà degli interessati, specie il loro diritto alla protezione dei dati personali. . Una singola valutazione sarà sufficiente per esaminare una serie di trattamenti simili che presentano rischi analoghi.

2.  Presentano rischi specifici ai sensi del paragrafo 1 in particolare i seguenti trattamenti:

a)  la valutazione sistematica e globale di aspetti della personalità dell’interessato o volta ad analizzarne o prevederne in particolare la situazione economica, l’ubicazione, lo stato di salute, le preferenze personali, l’affidabilità o il comportamento, basata su un trattamento automatizzato e da cui discendono misure che hanno effetti giuridici o significativamente incidono sull’interessato;

b)  il trattamento di informazioni concernenti la vita sessuale, lo stato di salute, la razza e l’origine etnica oppure destinate alla prestazione di servizi sanitari o a ricerche epidemiologiche o indagini su malattie mentali o infettive qualora i dati siano trattati per prendere misure o decisioni su larga scala riguardanti persone specifiche;

c)  la sorveglianza di zone accessibili al pubblico, in particolare se effettuata mediante dispositivi ottico-elettronici (videosorveglianza) su larga scala;

d)  il trattamento di dati personali in archivi su larga scala riguardanti minori, dati genetici o dati biometrici;

e)  qualunque altro trattamento che richiede la consultazione dell’autorità di controllo ai sensi dell’articolo 34, paragrafo 2, lettera b).

3.  La valutazione contiene almeno una descrizione generale del trattamento previsto, una valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare i rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la protezioneterrà conto della gestione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e dei legittimi interessi degli interessati e delle altre persone in questionedurante tutto il loro ciclo di vita, dalla raccolta, al trattamento fino alla cancellazione. Essa contiene almeno:

a)  una descrizione sistematica dei trattamenti previsti, le finalità del trattamento e, se del caso, gli interessi legittimi perseguiti dal responsabile del trattamento;

b)  una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c)  una valutazione dei rischi per i diritti e le libertà degli interessati, inclusi il rischio di discriminazione insito o rafforzato dal trattamento;

d)  una descrizione delle misure previste per affrontare i rischi e ridurre al minimo il volume dei dati personali trattati;

e)  un elenco delle garanzie, delle misure di sicurezza e dei meccanismi per garantire la protezione dei dati personali, quali la pseudonimizzazione, e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e dei legittimi interessi degli interessati e delle altre persone in questione;

f)  un'indicazione generale dei termini ultimi per cancellare le diverse categorie di dati;

g)  una spiegazione delle prassi di protezione dei dati fin dalla progettazione e di protezione di default ai sensi dell’articolo 23 che sono state applicate;

h)  un elenco dei destinatari o delle categorie di destinatari dei dati personali;

i)  se del caso, un'indicazione dei trasferimenti di dati previsti verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale;

;

j)  una valutazione del contesto del trattamento dei dati.

3 bis.  Se il responsabile del trattamento o l’incaricato del trattamento ha nominato un responsabile della protezione dei dati, quest’ultimo partecipa alle procedure di valutazione d’impatto.

3 ter.  La valutazione dovrà essere documentata e dovrà stabilire un calendario delle normali verifiche periodiche della conformità relativa alla protezione dei dati, ai sensi dell’articolo 33 bis, paragrafo 1. La valutazione dovrà essere aggiornata quanto prima, qualora i risultati della verifica della conformità relativa alla protezione dei dati, di cui all’articolo 33 bis, rivelino incoerenze dal punto di vista della conformità. Il responsabile del trattamento, l’incaricato del trattamento e l’eventuale rappresentante del responsabile del trattamento mettono la valutazione a disposizione dell’autorità di controllo, su richiesta.

4.  Il responsabile del trattamento raccoglie le osservazioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza del trattamento.

5.  Qualora il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico e il trattamento sia effettuato in forza di un obbligo legale ai sensi dell’articolo 6, paragrafo 1, lettera c), che prevede norme e procedure riguardanti il trattamento e sia stabilito dal diritto dell’Unione, i paragrafi da 1 a 4 non si applicano salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.

6.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e le condizioni concernenti i trattamenti che possono presentare rischi specifici di cui ai paragrafi 1 e 2 e i requisiti riguardanti la valutazione di cui paragrafo 3, comprese le condizioni di scalabilità, verifica e controllabilità. A tal fine, la Commissione contempla misure specifiche per le micro, piccole e medie imprese.

8.  La Commissione può specificare norme e procedure per l’esecuzione, la verifica e il controllo della valutazione di cui al paragrafo 3. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. [Em. 129]

Articolo 33 bis

Verifica della conformità della protezione dei dati

1.  Entro e non oltre due anni dallo svolgimento di una valutazione d’impatto ai sensi dell’articolo 33, paragrafo 1, il responsabile del trattamento o l’incaricato del trattamento che agisce per conto del responsabile del trattamento esegue una verifica della conformità. Tale verifica della conformità è volta a dimostrare che il trattamento dei dati personali è svolto in linea con la valutazione di impatto della protezione dei dati.

2.  La verifica della conformità deve essere effettuata periodicamente almeno una volta ogni due anni, o immediatamente quando vi sia un cambiamento dei rischi specifici derivanti dai trattamenti.

3.  Qualora i risultati della verifica della conformità rivelino incoerenze, la revisione della conformità dovrà includere raccomandazioni sulle modalità per il raggiungimento della piena conformità.

4.  La revisione della conformità e le relative raccomandazioni sono documentate. Il responsabile del trattamento, l’incaricato del trattamento e l’eventuale rappresentante del responsabile del trattamento mettono la revisione della conformità a disposizione dell’autorità di controllo, su richiesta.

5.  Se il responsabile del trattamento o l’incaricato del trattamento ha nominato un responsabile della protezione dei dati, quest’ultimo partecipa alla procedura di verifica della conformità. [Em. 130]

Articolo 34

Autorizzazione preventiva e Consultazione preventiva

1.  Il responsabile del trattamento o l’incaricato del trattamento, a seconda del caso, che adotti le clausole contrattuali di cui all’articolo 42, paragrafo 2, lettera d), o non offra garanzie adeguate in uno strumento giuridicamente vincolante ai sensi dell’articolo 42, paragrafo 5, per il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, prima di procedere al trattamento dei dati personali ottiene l’autorizzazione dell’autorità di controllo al fine di garantire la conformità del trattamento previsto al presente regolamento e, in particolare, attenuare i rischi per gli interessati.

2.  Il responsabile del trattamento, o l’incaricato del trattamento che agisce per conto del responsabile del trattamento, prima di procedere al trattamento dei dati personali consulta il responsabile della protezione dei dati o, nel caso in cui quest'ultimo non sia stato nominato, l’autorità di controllo al fine di garantire la conformità del trattamento previsto al presente regolamento e, in particolare, attenuare i rischi per gli interessati qualora:

a)  la valutazione d’impatto sulla protezione dei dati di cui all’articolo 33 indichi che il trattamento, per la sua natura, il suo oggetto o le sue finalità, può presentare un alto grado di rischi specifici, oppure

b)  il responsabile della protezione dei dati o l’autorità di controllo ritenga necessario effettuare una consultazione preventiva sui trattamenti precisati conformemente al paragrafo 4 che, per la loro natura, il loro oggetto o le loro finalità, possono presentare rischi specifici per i diritti e le libertà degli interessati.

3.  Se ritiene, conformemente alla sua competenza, determina che il trattamento previsto non sia conforme al presente regolamento, in particolare qualora i rischi non siano sufficientemente identificati o attenuati, l’autorità di controllo competente vieta il trattamento previsto e presenta opportune proposte per ovviare al difetto di conformità.

4.  L’autorità di controlloIl comitato europeo per la protezione dei dati redige e rende pubblico un elenco dei trattamenti soggetti a consultazione preventiva ai sensi del paragrafo 2, lettera b). L’autorità di controllo comunica tali elenchi al comitato europeo per la protezione dei dati.

5.  Se l’elenco di cui al paragrafo 4 comprende attività di trattamento finalizzate all’offerta di beni o servizi a interessati in più Stati membri o al controllo del loro comportamento, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione, l’autorità di controllo; prima di adottare tale elenco, applica il meccanismo di coerenza di cui all’articolo 57.

6.  Il responsabile del trattamento o l’incaricato del trattamento, su richiesta, trasmette all’autorità di controllo la valutazione d’impatto sulla protezione dei dati di cui all’ai sensi dell'articolo 33 e, se richiesta, ogni altra informazione al fine di consentire all’autorità di controllo di effettuare una valutazione della conformità del trattamento, in particolare dei rischi per la protezione dei dati personali dell’interessato e delle relative garanzie.

7.  Quando elaborano un atto legislativo che deve essere adottato dai parlamenti nazionali o una misura basata su un atto di questo tipo, in cui venga definita la natura del trattamento, gli Stati membri consultano l’autorità di controllo per garantire la conformità del trattamento previsto al presente regolamento e, in particolare, attenuare i rischi per gli interessati.

8.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti per determinare l’alto grado di rischi specifici di cui al paragrafo 2, lettera a).

9.  La Commissione può stabilire moduli standard e procedure per l’autorizzazione preventiva e la consultazione preventiva di cui ai paragrafi 1 e 2, e per l’informativa all’autorità di controllo ai sensi del paragrafo 6. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. [Em. 131]

SEZIONE 4

RESPONSABILE DELLA PROTEZIONE DEI DATI

Articolo 35

Designazione del responsabile della protezione dei dati

1.  Il responsabile del trattamento e l’incaricato del trattamento designano sistematicamente un responsabile della protezione dei dati quando:

a)  il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, oppure

b)  il trattamento è effettuato da un’impresa con 250 o più dipendenti, una persona giuridica e riguarda più di 5 000 interessati in qualsiasi periodo di 12 mesi consecutivi; oppure

c)  le attività principali del responsabile del trattamento o dell’incaricato del trattamento consistono in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati; oppure

d)  le attività principali del responsabile del trattamento o dell'incaricato del trattamento consistono nel trattamento di categorie particolari di dati ai sensi dell'articolo 9, paragrafo 1, nell'affitto di dati o riguardano dati su minori o dipendenti in archivi su larga scala.

2.  Nei casi di cui al paragrafo 1, lettera b), Un gruppo di imprese può nominare un unico responsabile principale della protezione dei dati , a condizione che sia garantito che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.

3.  Qualora il responsabile del trattamento o l’incaricato del trattamento sia un’autorità pubblica o un organismo pubblico, il responsabile della protezione dei dati può essere designato per più enti, tenuto conto della struttura organizzativa dell’autorità pubblica o dell’organismo pubblico.

4.  Nei casi diversi da quelli di cui al paragrafo 1, il responsabile del trattamento, l’incaricato del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di responsabili del trattamento o di incaricati del trattamento possono designare un responsabile della protezione dei dati.

5.  Il responsabile del trattamento o l’incaricato del trattamento designa il responsabile della protezione dei dati in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti di cui all’articolo 37. Il livello necessario di conoscenza specialistica è determinato in particolare in base al trattamento di dati effettuato e alla protezione richiesta per i dati personali trattati dal responsabile del trattamento o dall’incaricato del trattamento.

6.  Il responsabile del trattamento o l’incaricato del trattamento si assicura che ogni altra funzione professionale del responsabile della protezione dei dati sia compatibile con i compiti e le funzioni dello stesso in qualità di responsabile della protezione dei dati e non dia adito a conflitto di interessi.

7.  Il responsabile del trattamento o l’incaricato del trattamento designa un responsabile della protezione dei dati per un periodo di almeno duequattro anni in caso di un contraente di servizi esterno. Il mandato del responsabile della protezione dei dati è rinnovabile. Durante il suo mandato può essere destituito dalla carica solo se non soddisfa più le condizioni richieste per l’esercizio delle sue funzioni.

8.  Il responsabile della protezione dei dati può essere assunto dal responsabile del trattamento o dall’incaricato del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi.

9.  Il responsabile del trattamento o l’incaricato del trattamento comunica il nome e le coordinate di contatto del responsabile della protezione dei dati all’autorità di controllo e al pubblico.

10.  Gli interessati hanno il diritto di contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e presentare richieste per esercitare i diritti riconosciuti dal presente regolamento.

11.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le attività principali del responsabile del trattamento o dell’incaricato del trattamento di cui al paragrafo 1, lettera c), e i criteri relativi alle qualità professionali del responsabile della protezione dei dati di cui al paragrafo 5. [Em. 132]

Articolo 36

Posizione del responsabile della protezione dei dati

1.  Il responsabile del trattamento o l’incaricato del trattamento si assicura che il responsabile della protezione dei dati sia prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

2.  Il responsabile del trattamento o l’incaricato del trattamento si assicura che il responsabile della protezione dei dati adempia alle funzioni e ai compiti in piena indipendenza e non riceva alcuna istruzione per quanto riguarda il loro esercizio. Il responsabile della protezione dei dati riferisce direttamente ai superiori gerarchici esecutivi del responsabile del trattamento o dell’incaricato del trattamento. Il responsabile del trattamento o l'incaricato del trattamento designa a tal fine un membro della direzione esecutiva che sarà responsabile della conformità alle disposizioni del presente regolamento.

3.  Il responsabile del trattamento o l’incaricato del trattamento sostiene il responsabile della protezione dei dati nell’esecuzione dei suoi compiti e gli fornisce tutti i mezzi, inclusi il personale, i locali, le attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cui all’articolo 37 e per mantenere la propria conoscenza professionale.

4.  I responsabili della protezione dei dati sono tenuti alla segretezza per quanto riguarda l'identità degli interessati e le circostanze che ne consentono l'identificazione, a meno che non siano esentati da tale obbligo dall'interessato. [Em. 133]

Articolo 37

Compiti del responsabile della protezione dei dati

1.  Il responsabile del trattamento o l’incaricato del trattamento conferisce al responsabile della protezione dei dati almeno i seguenti compiti:

a)  sensibilizzare, informare e consigliare il responsabile del trattamento o l’incaricato del trattamento in merito agli obblighi derivanti dal presente regolamento, segnatamente per quanto attiene alle misure e procedure tecniche e organizzative, e conservare la documentazione relativa a tale attività e alle risposte ricevute;

b)  sorvegliare l’attuazione e l’applicazione delle politiche del responsabile del trattamento o dell’incaricato del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;

c)  sorvegliare l’attuazione e l’applicazione del presente regolamento, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l’informazione dell’interessato e le richieste degli interessati di esercitare i diritti riconosciuti dal presente regolamento;

d)  garantire la conservazione della documentazione di cui all’articolo 28;

e)  controllare che le violazioni dei dati personali siano documentate, notificate e comunicate ai sensi degli articoli 31 e 32;

f)  controllare che il responsabile del trattamento o l’incaricato del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti dagli articoli 32 bis, 33 e 34;

g)  controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell’ambito delle sue competenze, cooperare con l’autorità di controllo di propria iniziativa o su sua richiesta;

h)  fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l’autorità di controllo di propria iniziativa;

i)  verificare la conformità con il presente regolamento ai sensi del meccanismo di consultazione preventiva di cui all'articolo 34;

j)  informare i rappresentanti del personale in merito al trattamento dei dati che riguardano i dipendenti.

2.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti i compiti, la certificazione, lo status, i poteri e le risorse del responsabile della protezione dei dati di cui al paragrafo 1. [Em. 134]

SEZIONE 5

CODICI DI CONDOTTA E CERTIFICAZIONE

Articolo 38

Codici di condotta

1.  Gli Stati membri, le autorità di controllo e la Commissione incoraggiano l’elaborazione di codici di condotta o l'adozione di codici di condotta elaborati dall'autorità di vigilanza destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità settoriali, in particolare per quanto riguarda:

a)  il trattamento equo e trasparente dei dati;

a bis)  il rispetto dei diritti del consumatore;

b)  la raccolta dei dati;

c)  l’informazione del pubblico e dell’interessato;

d)  le richieste dell’interessato per l’esercizio dei suoi diritti;

e)  l’informazione e la protezione del minore;

f)  il trasferimento di dati verso paesi terzi o organizzazioni internazionali;

g)  i meccanismi per monitorare e garantire il rispetto del codice da parte dei responsabili del trattamento che vi aderiscono;

h)  le procedure stragiudiziali e di altro tipo per comporre le controversie tra responsabili del trattamento e interessati in materia di trattamento dei dati personali, fatti salvi i diritti dell’interessato ai sensi degli articoli 73 e 75.

2.  Le associazioni e gli altri organismi rappresentanti le categorie di responsabili del trattamento o incaricati del trattamento in uno Stato membro, che intendono elaborare i progetti di codice di condotta o modificare o prorogare i codici di condotta esistenti, possono sottoporli all’esame dell’autorità di controllo dello Stato membro interessato. L’autorità di controllo può esprimereesprime senza indebito ritardo un parere sulla conformità al presente regolamento del progetto di codice di condotta o della modifica proposta. L’autorità di controllo raccoglie le osservazioni degli interessati o dei loro rappresentanti su tali progetti.

3.  Le associazioni e gli altri organismi che rappresentano le categorie di responsabili del trattamento o incaricati del trattamento in più Stati membri possono sottoporre alla Commissione i progetti di codice di condotta e le modifiche o proroghe dei codici di condotta esistenti.

4.  La Commissione può Alla Commissione è conferito il potere di adottare atti delegati ai sensi dell'articolo 86, dopo aver richiesto il parere del comitato europeo per la protezione dei dati, ai fini di decidere con atto di esecuzione che i codici di condotta e le modifiche o proroghe dei codici di condotta esistenti che le sono stati sottoposti ai sensi del paragrafo 3 sono in linea con il presente regolamento ed hanno validità generale all’interno dell’Unione. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2 delegati attribuiscono diritti opponibili agli interessati.

5.  La Commissione provvede ad un’appropriata divulgazione dei codici per i quali è stata decisa la validità generale ai sensi del paragrafo 4.[Em. 135]

Articolo 39

Certificazione

1.  Gli Stati membri e la Commissione incoraggiano, in particolare a livello europeo, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati garantito dai responsabili del trattamento e dagli incaricati del trattamento. I meccanismi di certificazione della protezione dei dati contribuiscono alla corretta applicazione del presente regolamento, in funzione delle specificità settoriali e dei diversi trattamenti.

1 bis.  Qualsiasi responsabile del trattamento o incaricato del trattamento può chiedere a qualsiasi autorità di vigilanza dell'Unione, per un contributo spese ragionevole tenendo conto dei costi amministrativi, di certificare che il trattamento dei dati personali è eseguito in conformità del presente regolamento, in particolare con i principi di cui agli articoli 5, 23 e 30, gli obblighi del responsabile del trattamento e dell'incaricato del trattamento e i diritti dell'interessato.

1 ter.  La certificazione è volontaria, economicamente sostenibile e accessibile tramite una procedura trasparente e non indebitamente gravosa.

1 quater.  Le autorità di vigilanza e il comitato europeo per la protezione dei dati cooperano nell'ambito del meccanismo di coerenza di cui all'articolo 57, al fine di garantire un meccanismo armonizzato di certificazione della protezione dei dati, comprendente contributi spese armonizzati nell'ambito dell'Unione.

1 quinquies.  Durante la procedura di certificazione, l'autorità di controllo può accreditare revisori esterni con competenze specialistiche per eseguire un audit del responsabile o dell'incaricato del trattamento per suo conto. I revisori esterni dispongono di personale con qualifiche sufficienti, sono imparziali e liberi da qualsiasi conflitto di interessi concernente i loro doveri. Le autorità di controllo revocano l'accreditamento qualora abbiano motivo di ritenere che il revisore non adempia correttamente ai suoi doveri. La certificazione definitiva è rilasciata dall'autorità di controllo.

1 sexies.  Le autorità di controllo assegnano ai responsabili del trattamento ed agli incaricati del trattamento che, in seguito alla revisione, hanno ottenuto la certificazione che trattano i dati personali in conformità con il presente regolamento, il marchio uniformato di protezione dei dati, denominato "sigillo europeo di protezione dei dati".

1 septies.  Il "sigillo europeo di protezione dei dati" è valido per tutto il periodo in cui le operazioni di trattamento dei dati del responsabile o dell'incaricato del trattamento certificato continua ad essere pienamente conforme al presente regolamento.

1 octies.  In deroga al paragrafo 1 septies, la certificazione è valida per un massimo di cinque anni.

1 nonies.  Il comitato europeo per la protezione dei dati predispone un registro pubblico elettronico in cui tutti i certificati validi e nulli che sono stati emessi negli Stati membri sono messi a disposizione del pubblico.

1 decies.  Il comitato europeo per la protezione dei dati può certificare di propria iniziativa che una norma tecnica volta a rafforzare la protezione dei dati è conforme al presente regolamento.

2.  Alla Commissione è conferito il potere di adottare, previa richiesta di parere al comitato europeo per la protezione dei dati e consultazione delle parti interessate, in particolare l'industria e le organizzazioni non governative, atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti i meccanismi di certificazione della protezione dei dati di cui al paragrafo 1ai paragrafi da 1 bis a 1 nonies, comprese le condizioni di accreditamento dei revisori, le condizioni di rilascio e ritiro e i requisiti per il riconoscimento e la promozione nell’Unione e in paesi terzi. Tali atti delegati attribuiscono diritti opponibili agli interessati.

3.  La Commissione può stabilire norme tecniche riguardanti i meccanismi di certificazione e i sigilli e marchi di protezione dei dati e le modalità per promuovere e riconoscere i meccanismi di certificazione e i sigilli e marchi di protezione dei dati. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. [Em. 136]

CAPO V

TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI O ORGANIZZAZIONI INTERNAZIONALI

Articolo 40

Principio generale per il trasferimento

Il trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compreso il trasferimento successivo di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, è ammesso soltanto se il responsabile del trattamento e l’incaricato del trattamento rispettano le condizioni indicate nel presente capo, fatte salve le altre disposizioni del presente regolamento.

Articolo 41

Trasferimento previa decisione di adeguatezza

1.  Il trasferimento è ammesso se la Commissione ha deciso che il paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o l’organizzazione internazionale in questione garantisce un livello di protezione adeguato. In tal caso il trasferimento non necessita di ulteriorispecifiche autorizzazioni.

2.  Nel valutare l’adeguatezza del livello di protezione la Commissione prende in considerazione i seguenti elementi:

a)  lo stato di diritto, la pertinente legislazione generale e settoriale vigente, anche in materia penale, di pubblica sicurezza, difesa e sicurezza nazionale, come anche l'attuazione di tale legislazione, le regole professionali e le misure di sicurezza osservate nel paese terzo o dall’organizzazione internazionale in questione, la giurisprudenza precedente nonché i diritti effettivi e azionabili, compreso il diritto degli interessati a un ricorso effettivo in sede amministrativa e giudiziaria, in particolare quelli che risiedono nell’Unione e i cui dati personali sono oggetto di trasferimento;

b)  l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o nell’organizzazione internazionale in questione, incaricate di garantire il rispetto delle norme di protezione dei dati, anche con sufficienti poteri sanzionatori, assistere e consigliare gli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo dell’Unione e degli Stati membri, e

c)  gli impegni internazionali assunti dal paese terzo o dall’organizzazione internazionale in questione, in particolare ogni convenzione o strumento giuridicamente vincolante in relazione alla protezione dei dati personali.

3.  LaAlla Commissione puòè conferito il potere di adottare atti delegati conformemente all'articolo 86 al fine di decidere che un paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o un’organizzazione internazionale garantisce un livello di protezione adeguato ai sensi del paragrafo 2. Tali atti esecuzionedelegati prevedono una clausola di estinzione se riguardano un settore di trattamento e sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2revocati a norma del paragrafo 5 qualora non sia più garantito un livello adeguato di protezione in conformità del presente regolamento.

4.  L’atto di esecuzionedelegato specifica il proprio campo di applicazione geograficoterritoriale e settoriale e, se del caso, identifica l’autorità di controllo di cui al paragrafo 2, lettera b).

4 bis.  La Commissione controlla, su base continuativa, gli sviluppi nei paesi terzi e nelle organizzazioni internazionali che potrebbero incidere sugli elementi di cui al paragrafo 2 qualora sia stato adottato un atto delegato ai sensi del paragrafo 3.

5.  LaAlla Commissione puòè conferito il potere di adottare atti delegati conformemente all'articolo 86 al fine di decidere che un paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o un’organizzazione internazionale non garantisce o non garantisce più un livello di protezione adeguato ai sensi del paragrafo 2, in particolare nei casi in cui la pertinente legislazione generale e settoriale vigente nel paese terzo o per l’organizzazione internazionale in questione non garantisce diritti effettivi e azionabili, compreso il diritto degli interessati a un ricorso effettivo in sede amministrativa e giudiziaria, in particolare quelli residenti nell’Unione i cui dati personali sono oggetto di trasferimento. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2, o, in casi di estrema urgenza per gli interessati relativamente al loro diritto alla protezione dei dati, secondo la procedura cui all’articolo 87, paragrafo 3.

6.  Quando la Commissione decide ai sensi del paragrafo 5, è vietato il trasferimento di dati personali verso il paese terzo, o un territorio o settore di trattamento all’interno del paese terzo, o verso l’organizzazione internazionale in questione, fatti salvi gli articoli da 42 a 44. La Commissione avvia, al momento opportuno, consultazioni con il paese terzo o l’organizzazione internazionale per porre rimedio alla situazione risultante dalla decisione di cui al paragrafo 5.

6 bis.  Prima di adottare atti delegati a norma dei paragrafi 3 e 5, la Commissione chiede al comitato europeo per la protezione dei dati di formulare un parere sull'adeguatezza del livello di protezione. A tal fine, la Commissione fornisce al comitato europeo per la protezione dei dati tutta la documentazione necessaria, inclusa la corrispondenza con il governo del paese terzo, il territorio o il settore di trattamento all'interno del paese terzo o l'organizzazione internazionale.

7.  La Commissione pubblica nella Gazzetta ufficiale dell’Unione europea e sul suo sito Internet l’elenco dei paesi terzi, dei territori e settori di trattamento all’interno di un paese terzo, e delle organizzazioni internazionali per i quali ha deciso che è o non è garantito un livello di protezione adeguato.

8.  Le decisioni adottate dalla Commissione in base all’articolo 25, paragrafo 6, o all’articolo 26, paragrafo 4, della direttiva 95/46/CE restano in vigore fino a quando non vengonoper cinque anni dall'entrata in vigore del presente regolamento a meno che non siano modificate, sostituite o abrogate dalla Commissione entro la fine di tale periodo. [Em. 137]

Articolo 42

Trasferimento in presenza di garanzie adeguate

1.  Se la Commissione non ha preso alcuna decisione ai sensi dell’articolo 41, ovvero decide che un paese terzo, un territorio o un settore di trattamento nel paese terzo, o un'organizzazione internazionale non garantiscono adeguati livelli di protezione in conformità dell'articolo 41, paragrafo 5, il responsabile del trattamento o l’incaricato del trattamento non può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se haa meno che non abbia offerto garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante.

2.  Costituiscono in particolare garanzie adeguate di cui al paragrafo 1:

a)  le norme vincolanti d’impresa conformi all’articolo 43, oppure

a bis)  un valido "sigillo europeo di protezione dei dati" per il responsabile del trattamento e il destinatario a norma dell'articolo 39, oppure

b)  le clausole tipo di protezione dei dati adottate dalla Commissione. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2, oppure

c)  le clausole tipo di protezione dei dati adottate da un’autorità di controllo in conformità del meccanismo di coerenza di cui all’articolo 57, qualora siano dichiarate generalmente valide dalla Commissione ai sensi dell’articolo 62, paragrafo 1, lettera b), oppure

d)  le clausole contrattuali tra il responsabile del trattamento o l’incaricato del trattamento e il destinatario dei dati autorizzate da un’autorità di controllo in conformità del paragrafo 4.

3.  Il trasferimento basato sulle norme vincolanti d’impresa, sul "sigillo europeo di protezione dei dati" o sulle clausole tipo di protezione dei dati o sulle norme vincolanti d’impresa di cui al paragrafo 2, lettere a), b)a bis) o c) non necessita di ulteriorispecifiche autorizzazioni.

4.  Se il trasferimento si basa sulle clausole contrattuali di cui paragrafo 2, lettera d), il responsabile del trattamento o l’incaricato del trattamento deve ottenere l’autorizzazione preventiva dell’autorità di controllo in relazione alle clausole contrattuali in conformità dell’articolo 34, paragrafo 1, lettera a). Se il trasferimento è connesso ad attività di trattamento riguardanti interessati in un altro Stato membro o in altri Stati membri, o che incidono significativamente sulla libera circolazione dei dati personali all’interno dell’Unione, l’autorità di controllo applica il meccanismo di coerenza di cui all’articolo 57.

5.  Se non sono offerte garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante, il responsabile del trattamento o l’incaricato del trattamento deve ottenere l’autorizzazione preventiva al trasferimento o a un complesso di trasferimenti, o all’inserimento di disposizioni in accordi amministrativi costituenti la base del trasferimento. Tale autorizzazione dell’autorità di controllo è conforme all’articolo 34, paragrafo 1, lettera a). Se il trasferimento è connesso ad attività di trattamento riguardanti interessati in un altro Stato membro o in altri Stati membri, o che incidono significativamente sulla libera circolazione dei dati personali all’interno dell’Unione, l’autorità di controllo applica il meccanismo di coerenza di cui all’articolo 57. Le autorizzazioni emesse dall’autorità di controllo sulla base dell’articolo 26, paragrafo 2, della direttiva 95/46/CE restano valide fino a quando per due anni dall'entrata in vigore del presente regolamento a meno che non vengonovengano modificate, sostituite o abrogate dalla medesima autorità di controllo prima della fine di tale periodo. [Em. 138]

Articolo 43

Trasferimento in presenza di norme vincolanti d’impresa

1.  L’autorità di controllo approva, in conformità del meccanismo di coerenza di cui all’articolo 58, le norme vincolanti d’impresa, a condizione che queste:

a)  siano giuridicamente vincolanti e si applichino a tutti i membri del gruppo d’imprese del responsabile del trattamento o dell’incaricato del trattamento, nonché ai subappaltatori esterni coperti dall'ambito di applicazione delle norme vincolanti d'impresa, compresi i loro dipendenti, e siano da questi rispettate;

b)  conferiscano espressamente agli interessati diritti opponibili;

c)  soddisfino i requisiti di cui al paragrafo 2.

1 bis.  Per quanto riguarda i dati relativi all'occupazione, i rappresentanti del personale ne sono informati e, in conformità del diritto e della prassi dell'Unione o dello Stato membro, sono coinvolti nell'elaborazione di norme vincolanti d'impresa a norma dell'articolo 43.

2.  Le norme vincolanti d’impresa specificano almeno:

a)  la struttura e le coordinate di contatto del gruppo d’imprese e dei suoi membri e dei subappaltatori esterni coperti dall'ambito di applicazione delle norme vincolanti d'impresa;

b)  i trasferimenti o l’insieme di trasferimenti di dati, in particolare le categorie di dati personali, il tipo di trattamento e relative finalità, il tipo di interessati cui si riferiscono i dati e l’identificazione del paese terzo o dei paesi terzi in questione;

c)  la loro natura giuridicamente vincolante, a livello sia interno che esterno;

d)  i principi generali di protezione dei dati, in particolare in relazione alla finalità, alla minimizzazione dei dati, alla limitazione dei periodi di conservazione, alla qualità dei dati, alla protezione dei dati fin dalla progettazione e alla protezione di default, alla base giuridica del trattamento e al trattamento di dati personali sensibili, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organizzazioni che non sono vincolate dalle politiche;

e)  i diritti dell’interessato e i mezzi per esercitarli, compresi il diritto di non essere sottoposto a misure basate sulla profilazione ai sensi dell’articolo 20, il diritto di proporre reclamo all’autorità di controllo competente e di ricorrere alle autorità giurisdizionali competenti degli Stati membri conformemente all’articolo 75, e il diritto di ottenere riparazione e, se del caso, il risarcimento per violazione delle norme vincolanti d’impresa;

f)  il fatto che il responsabile del trattamento o l’incaricato del trattamento stabilito nel territorio di uno Stato membro si assume la responsabilità per qualunque violazione delle norme vincolanti d’impresa commesse da un membro del gruppo di imprese non stabilito nell’Unione; il responsabile del trattamento o l’incaricato del trattamento può essere esonerato in tutto o in parte da tale responsabilità solo se prova che l’evento dannoso non è imputabile al membro in questione;

g)  le modalità in base alle quali sono fornite all’interessato, in conformità dell’articolo 11, le informazioni sulle norme vincolanti d’impresa, in particolare sulle disposizioni di cui alle lettere d), e) e f);

h)  i compiti del responsabile della protezione dei dati designato ai sensi dell’articolo 35, compreso il controllo del rispetto delle norme vincolanti d’impresa all’interno del gruppo di imprese e il controllo della formazione e della gestione dei reclami;

i)  i meccanismi all’interno del gruppo di imprese diretti a garantire la verifica della conformità alle norme vincolanti d’impresa;

j)  i meccanismi per riferire e registrare le modifiche delle politiche e comunicarle all’autorità di controllo;

k)  il meccanismo di cooperazione con l’autorità di controllo per garantire la conformità da parte di ogni membro del gruppo di imprese, in particolare la messa a disposizione dell’autorità di controllo dei risultati delle verifiche delle misure di cui alla lettera i).

3.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare il formato, le procedure, i criteri e i requisiti concernenti le norme vincolanti d’impresa ai sensi del presente articolo, in particolare i criteri per la loro approvazione, compresa la trasparenza per gli interessati, l’applicazione del paragrafo 2, lettere b), d), e) e f) alle norme vincolanti d’impresa cui gli incaricati del trattamento aderiscono e gli ulteriori requisiti per garantire la protezione dei dati personali degli interessati in questione.

4.  La Commissione può specificare il formato e le procedure per lo scambio di informazioni con mezzi elettronici tra responsabili del trattamento, incaricati del trattamento e autorità di controllo in merito alle norme vincolanti d’impresa ai sensi del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. [Em. 139]

Articolo 43 bis

Trasferimento o divulgazione non autorizzati dal diritto dell'Unione

1.  Nessuna sentenza di una corte o tribunale, né alcuna decisione presa da un'autorità amministrativa di un paese terzo che disponga la divulgazione, da parte di un responsabile del trattamento o incaricato del trattamento, di dati personali, è riconosciuta o assume in alcun modo un carattere esecutivo, fatti salvi i trattati di mutua assistenza legale ovvero gli accordi internazionali in vigore tra il paese terzo richiedente e l'Unione o un suo Stato membro.

2.  Qualora una sentenza di un tribunale o decisione di un'autorità amministrativa di un paese terzo imponga al responsabile del trattamento o all'incaricato del trattamento di divulgare dati personali, il responsabile del trattamento o l'incaricato del trattamento e, se del caso, il rappresentante del responsabile del trattamento, notificano senza ritardo la richiesta all'autorità di controllo competente e devono ottenere l'autorizzazione preventiva per il trasferimento o la divulgazione da parte dell'autorità di controllo.

3.  L'autorità di controllo valuta la conformità con il presente regolamento della richiesta di divulgazione e, in particolare, se la divulgazione sia necessaria e prescritta dalla legge in conformità dell'articolo 44, paragrafo 1, lettere d) ed e), e dell'articolo 44, paragrafo 5. Qualora ciò riguardi gli interessati di altri Stati membri, l'autorità di controllo applica il meccanismo di coerenza di cui all'articolo 57.

4.  L'autorità di controllo informa della richiesta la competente autorità nazionale. Fatto salvo l'articolo 21, il responsabile del trattamento o l'incaricato del trattamento informa altresì gli interessati della richiesta e dell'autorizzazione da parte dell'autorità di controllo e, ove applicabile, comunica all'interessato se sono stati forniti dati personali alle autorità pubbliche durante l'ultimo periodo di 12 mesi consecutivi, a norma dell'articolo 14, paragrafo 1, lettera h bis). [Em. 140]

Articolo 44

Deroghe

1.  In mancanza di una decisione di adeguatezza ai sensi dell’articolo 41 o di garanzie adeguate ai sensi dell’articolo 42, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale soltanto a condizione che:

a)  l’interessato abbia acconsentito al trasferimento proposto, dopo essere stato informato dei rischi connessi a siffatti trasferimenti dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate, oppure

b)  il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il responsabile del trattamento ovvero all’esecuzione di misure precontrattuali prese su istanza dell’interessato, oppure

c)  il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il responsabile del trattamento e un terzo a favore dell’interessato, oppure

d)  il trasferimento sia necessario per motivi di interesse pubblico rilevante, oppure

e)  il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, oppure

f)  il trasferimento sia necessario per salvaguardare un interesse vitale dell’interessato o di un terzo, qualora l’interessato si trovi nell’incapacità fisica o giuridica di dare il proprio consenso, oppure

g)  il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o di uno Stato membro, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, purché sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o dello Stato membro, oppure.

h)  il trasferimento sia necessario per il perseguimento dei legittimi interessi del responsabile del trattamento o dell’incaricato del trattamento, che non possano definirsi frequenti o ingenti, e qualora il responsabile del trattamento o l’incaricato del trattamento abbia valutato tutte le circostanze relative ad un trasferimento o ad un complesso di trasferimenti e sulla base di tale valutazione abbia offerto garanzie adeguate per la protezione dei dati personali, ove necessario.

2.  Il trasferimento di cui al paragrafo 1, lettera g), non può riguardare la totalità dei dati personali o intere categorie di dati personali contenute nel registro. Se il registro è destinato ad essere consultato da persone aventi un legittimo interesse, il trasferimento è ammesso soltanto su richiesta di tali persone o qualora ne siano i destinatari.

3.  Qualora il trasferimento si basi sul paragrafo 1, lettera h), il responsabile del trattamento o l’incaricato del trattamento prende in considerazione la natura dei dati, la finalità e la durata del trattamento previsto, nonché la situazione nel paese d’origine, nel paese terzo e nel paese di destinazione finale, e offre garanzie adeguate per la protezione dei dati personali, ove necessario.

4.  Il paragrafo 1, lettere b), c) e h) e c), non si applicano alle attività svolte dalle autorità pubbliche nell’esercizio dei pubblici poteri.

5.  L’interesse pubblico di cui al paragrafo 1, lettera d), deve essere riconosciuto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento.

6.  Il responsabile del trattamento o l’incaricato del trattamento attesta nella documentazione di cui all’articolo 28 la valutazione e le garanzie adeguate offerte di cui al paragrafo 1, lettera d), e informa l’autorità di controllo del trasferimento.

7.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’Al comitato europeo per la protezione dei dati è affidato il compito di emettere orientamenti, raccomandazioni e buone prassi in linea con l'articolo 86 al fine di precisare i “motivi di interesse pubblico rilevante” ai sensi del66 paragrafo 1, lettera d)b, eper specificare ulteriormente i criteri e i requisiti concernenti le garanzie adeguate di cui alper il trasferimento dei dati sulla base del paragrafo 1, lettera h). [Em. 141]

Articolo 45

Cooperazione internazionale per la protezione dei dati personali

1.  In relazione ai paesi terzi e alle organizzazioni internazionali, la Commissione e le autorità di controllo adottano misure appropriate per:

a)  sviluppare efficaci meccanismi di cooperazione internazionale per facilitaregarantire l’applicazione della legislazione sulla protezione dei dati personali; [Em. 142]

b)  prestare assistenza reciproca a livello internazionale nell’applicazione della legislazione sulla protezione dei dati personali, in particolare mediante notificazione, deferimento dei reclami, assistenza alle indagini e scambio di informazioni, fatte salve garanzie adeguate per la protezione dei dati personali e gli altri diritti e libertà fondamentali;

c)  coinvolgere le parti interessate pertinenti in discussioni e attività dirette a promuovere la cooperazione internazionale nell’applicazione della legislazione sulla protezione dei dati personali;

d)  promuovere lo scambio e la documentazione delle legislazioni e pratiche in materia di protezione dei dati personali;

d bis)  chiarire e consultarsi su conflitti giurisdizionali con paesi terzi. [Em. 143]

2.  Ai fini del paragrafo 1, la Commissione adotta le misure appropriate per intensificare i rapporti con quei paesi terzi e quelle organizzazioni internazionali, in particolare le loro autorità di controllo, per cui abbia deciso che garantiscono un livello adeguato di protezione ai sensi dell’articolo 41, paragrafo 3.

Articolo 45 bis

Relazione della Commissione

La Commissione presenta periodicamente al Parlamento europeo e al Consiglio, per la prima volta entro quattro anni dalla data di cui all'articolo 91, paragrafo 1, una relazione sull'applicazione degli articoli da 40 a 45. A tal fine, la Commissione può chiedere agli Stati membri e alle autorità di controllo informazioni che devono esserle fornite senza indugio. La relazione viene pubblicata. [Em. 144]

CAPO VI

AUTORITÀ DI CONTROLLO INDIPENDENTI

SEZIONE 1

INDIPENDENZA

Articolo 46

Autorità di controllo

1.  Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare l’applicazione del presente regolamento e di contribuire alla sua coerente applicazione in tutta l’Unione, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali e di agevolare la libera circolazione dei dati personali all’interno dell’Unione. A tale scopo le autorità di controllo cooperano tra loro e con la Commissione.

2.  Qualora in uno Stato membro siano istituite più autorità di controllo, detto Stato membro designa l’autorità di controllo che funge da punto di contatto unico per l’effettiva partecipazione di tali autorità al comitato europeo per la protezione dei dati e stabilisce il meccanismo in base al quale le altre autorità si conformano alle norme relative al meccanismo di coerenza di cui all’articolo 57.

3.  Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del presente capo entro la data di cui all’articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica.

Articolo 47

Indipendenza

1.  L’autorità di controllo esercita le sue funzioni e i suoi poteri in piena indipendenza e imparzialità, fatti salvi gli accordi di cooperazione e coerenza di cui al capo VII del presente regolamento. [Em. 145]

2.  Nell’adempimento delle loro funzioni i membri dell’autorità di controllo non sollecitano né accettano istruzioni da alcuno.

3.  Per tutta la durata del mandato, i membri dell’autorità di controllo si astengono da qualunque azione incompatibile con le loro funzioni e non possono esercitare alcuna altra attività professionale incompatibile, remunerata o meno.

4.  Al termine del mandato i membri dell’autorità di controllo agiscono con integrità e discrezione nell’accettazione di nomine e altri benefici.

5.  Ogni Stato membro provvede affinché l’autorità di controllo sia dotata di risorse umane, tecniche e finanziarie adeguate, dei locali e delle infrastrutture necessarie per l’effettivo esercizio delle sue funzioni e dei suoi poteri, compresi quelli nell’ambito dell’assistenza reciproca, della cooperazione e della partecipazione al comitato europeo per la protezione dei dati.

6.  Ogni Stato membro provvede affinché l’autorità di controllo abbia il proprio personale, nominato dal responsabile dell’autorità di controllo e soggetto alla direzione di quest’ultimo.

7.  Gli Stati membri garantiscono che l’autorità di controllo sia soggetta a un controllo finanziario che non ne pregiudichi l’indipendenza. Gli Stati membri garantiscono che l’autorità di controllo disponga di bilanci annuali separati. I bilanci sono pubblicati.

7 bis.  Ogni Stato membro garantisce che l'autorità di controllo debba rendere conto al parlamento nazionale a fini di controllo di bilancio. [Em. 146]

Articolo 48

Condizioni generali per i membri dell’autorità di controllo

1.  Ogni Stato membro dispone che a nominare i membri dell’autorità di controllo debba essere il proprio parlamento o governo.

2.  I membri sono scelti tra personalità che offrono ogni garanzia di indipendenza e che possiedono un’esperienza e competenze notorie per l’esercizio delle loro funzioni, in particolare nel settore della protezione dei dati personali.

3.  Il mandato dei membri cessa alla scadenza del termine o in caso di dimissioni o di provvedimento d’ufficio, a norma del paragrafo 5.

4.  I membri possono essere rimossi o privati del diritto a pensione o di altri vantaggi sostitutivi dall’autorità giurisdizionale nazionale competente qualora non siano più in possesso dei requisiti necessari per l’esercizio delle loro funzioni o abbiano commesso una colpa grave.

5.  Allo scadere del mandato o qualora rassegni le sue dimissioni, il membro continua a esercitare le sue funzioni fino alla nomina di un nuovo membro.

Articolo 49

Norme sull’istituzione dell’autorità di controllo

Ogni Stato membro prevede con legge, nei limiti del presente regolamento:

a)  l’istituzione e lo status dell’autorità di controllo;

b)  le qualifiche, l’esperienza e le competenze richieste per l’esercizio delle funzioni di membro dell’autorità di controllo;

c)  le norme e le procedure per la nomina dei membri dell’autorità di controllo, e le norme sulle attività o professioni incompatibili con le loro funzioni;

d)  la durata del mandato dei membri dell’autorità di controllo, che non può essere inferiore a quattro anni, salvo per le prime nomine dopo l’entrata in vigore del presente regolamento, alcune delle quali possono avere una durata inferiore qualora ciò sia necessario per tutelare l’indipendenza dell’autorità di controllo mediante una procedura di nomina scaglionata;

e)  l’eventuale rinnovabilità del mandato dei membri dell’autorità di controllo;

f)  le regole e le condizioni comuni che disciplinano le funzioni dei membri e del personale dell’autorità di controllo;

g)  le norme e le procedure relative alla cessazione delle funzioni dei membri dell’autorità di controllo, anche per il caso in cui non siano più in possesso dei requisiti necessari per l’esercizio delle loro funzioni o abbiano commesso una colpa grave.

Articolo 50

Segreto professionale

Durante e dopo il mandato, e in conformità con la legislazione e la prassi nazionale, i membri e il personale dell'autorità di controllo sono tenuti al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso nell'esercizio delle loro funzioni, e a svolgere le loro funzioni con indipendenza e trasparenza, come indicato nel regolamento. [Em. 147]

SEZIONE 2

FUNZIONI E POTERI

Articolo 51

Competenza

1.  Ogni autorità di controllo esercita, nel territorio del suo Stato membro, è competente a svolgere i compiti e ad esercitare i poteri di cui gode a norma del presente regolamento sul territorio del proprio Stato membro, fatti salvi gli articoli 73 e 74. La vigilanza sul trattamento dei dati da parte di una pubblica autorità compete unicamente all'autorità di controllo di tale Stato membro. [Em. 148]

2.  Qualora il trattamento dei dati personali abbia luogo nell’ambito delle attività di uno stabilimento di un responsabile del trattamento o incaricato del trattamento nell’Unione, e il responsabile del trattamento o l’incaricato del trattamento sia stabilito in più Stati membri, l’autorità competente dello stabilimento principale del responsabile del trattamento o dell’incaricato del trattamento è competente per il controllo delle attività di trattamento del responsabile del trattamento o dell’incaricato del trattamento in tutti gli Stati membri, fatte salve le disposizioni di cui al capo VII del presente regolamento.

3.  L’autorità di controllo non è competente per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali.[Em. 149]

Articolo 52

Funzioni

1.  L’autorità di controllo:

a)  sorveglia e garantisce l’applicazione del presente regolamento;

b)  tratta i reclami proposti dagli interessati o da associazioni che li rappresentano ai sensi dell’articolo 73, svolge le indagini opportune e informa l’interessato o l’associazione dello stato e dell’esito del reclamo entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un’altra autorità di controllo; [Em. 150]

c)  scambia le informazioni con le altre autorità di controllo, presta assistenza reciproca e garantisce l’applicazione e l’attuazione coerente del presente regolamento;

d)  svolge indagini di propria iniziativa oppure a seguito di un reclamo o di informazioni specifiche e documentate ricevute che asseriscano un trattamento illecito, o su richiesta di un’altra autorità di controllo, ed entro un termine ragionevole ne comunica l’esito all’interessato che abbia proposto reclamo alla sua autorità di controllo; [Em. 151]

e)  sorveglia gli sviluppi che presentano un interesse, se ed in quanto incidenti sulla protezione dei dati personali, in particolare l’evoluzione delle tecnologie dell’informazione e della comunicazione e le pratiche commerciali;

f)  è consultata dalle istituzioni e dagli organismi degli Stati membri in merito alle misure legislative e amministrative relative alla tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali;

g)  autorizza i è consultata riguardo ai trattamenti di cui all’articolo 34;

h)  esprime un parere sui progetti di codici di condotta ai sensi dell’articolo 38, paragrafo 2;

i)  approva le norme vincolanti d’impresa ai sensi dell’articolo 43;

j)  partecipa alle attività del comitato europeo per la protezione dei dati;

j bis)  certifica i responsabili del trattamento e gli incaricati del trattamento ai sensi dell'articolo 39. [Em. 152]

2.  Ogni autorità di controllo promuove la sensibilizzazione del pubblico ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali e alle misure adeguate per la protezione dei dati personali. Sono oggetto di particolare attenzione le attività destinate specificamente ai minori. [Em. 153]

2 bis.  Ogni autorità di controllo promuove, insieme al comitato europeo per la protezione dei dati, la sensibilizzazione dei responsabili del trattamento e incaricati del trattamento riguardo ai rischi, alle regole, alle garanzie e ai diritti riguardanti il trattamento dei dati personali. Ciò comprende un registro di sanzioni e violazioni. Tale registro deve contenere tutti gli avvertimenti e le sanzioni con il massimo livello di dettaglio possibile nonché la risoluzione delle violazioni. Ogni autorità di controllo offre ai responsabili del trattamento e agli incaricati del trattamento di micro, piccole e medie imprese, su richiesta, informazioni generali sulle loro responsabilità e i loro obblighi conformemente al presente regolamento. [Em. 154]

3.  L’autorità di controllo, su richiesta, consiglia l’interessato in merito all’esercizio dei diritti derivanti dal presente regolamento e, se del caso, coopera a tal fine con le autorità di controllo di altri Stati membri.

4.  L’autorità di controllo fornisce un modulo compilabile elettronicamente per la proposizione dei reclami di cui al paragrafo 1, lettera b), senza escludere altri mezzi di comunicazione.

5.  L’autorità di controllo svolge le proprie funzioni senza spese per l’interessato.

6.  Qualora le richieste siano manifestamente eccessive, in particolare per il carattere ripetitivo, l’autorità di controllo può esigere un contributo spese ragionevole o non effettuare quanto richiesto dall’interessato. Tale contributo spese non supera i costi di esecuzione dell'azione richiesta. Incombe all’autorità di controllo dimostrare il carattere manifestamente eccessivo della richiesta. [Em. 155]

Articolo 53

Poteri

1.  Ogni autorità di controllo, in linea con il presente regolamento, ha il potere di:

a)  notificare al responsabile del trattamento o all’incaricato del trattamento le asserite violazioni delle disposizioni sul trattamento dei dati personali e, all’occorrenza, ingiungere al responsabile del trattamento o all’incaricato del trattamento di porre rimedio alle violazioni con misure specifiche, al fine di migliorare la protezione degli interessati o, se necessario, ingiungere al responsabile del trattamento di comunicare la violazione dei dati personali agli interessati;

b)  ingiungere al responsabile del trattamento o all’incaricato del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti derivanti dal presente regolamento;

c)  ingiungere al responsabile del trattamento e all’incaricato del trattamento e, se del caso, al rappresentante di fornirgli ogni informazione utile per l’esercizio delle sue funzioni;

d)  assicurare il rispetto dell’obbligo di autorizzazione preventiva e di consultazione preventiva di cui all’articolo 34;

e)  rivolgere avvertimenti o moniti al responsabile del trattamento o all’incaricato del trattamento;

f)  ordinare la rettifica, la cancellazione o la distruzione di tutti i dati trattati in violazione delle disposizioni del presente regolamento e la notificazione di tali misure ai terzi cui sono stati trasmessi i dati;

g)  vietare trattamenti, a titolo provvisorio o definitivo;

h)  sospendere la circolazione dei dati verso un destinatario in un paese terzo o un’organizzazione internazionale;

i)  esprimere pareri su questioni riguardanti la protezione dei dati personali;

i bis)  certificare i responsabili del trattamento e gli incaricati del trattamento a norma dell'articolo 39;

j)  informare i parlamenti nazionali, i governi o altre istituzioni politiche, nonché il pubblico, di qualunque questione riguardante la protezione dei dati personali;

j bis)  istituire meccanismi efficaci per incoraggiare le segnalazioni confidenziali di violazioni del presente regolamento, tenendo conto degli orientamenti elaborati dal comitato europeo per la protezione dei dati a norma dell'articolo 66, paragrafo 4, lettera b).

2.  Ogni autorità di controllo dispone dei poteri investigativi necessari per ottenere dal responsabile del trattamento o dall’incaricato del trattamento senza preavviso:

a)  l’accesso a tutti i dati personali e a tutte letutti i documenti e informazioni necessarie per l’esercizio delle sue funzioni;

b)  l’accesso a tutti i locali, compresi tutti gli strumenti e mezzi di trattamento dei dati, se si può ragionevolmente supporre che vi è in corso un’attività contraria al presente regolamento.

I poteri di cui alla lettera b) sono esercitati conformemente al diritto dell’Unione e degli Stati membri.

3.  Ogni autorità di controllo ha il diritto di agire in sede giudiziale o stragiudiziale in caso di violazione del presente regolamento, in particolare ai sensi dell’articolo 74, paragrafo 4, e dell’articolo 75, paragrafo 2.

4.  Ogni autorità di controllo ha il potere di sanzionare gli illeciti amministrativi, in particolare quelli di cui conformemente all'articolo 79, paragrafi 4, 5 e 6.Tale potere è esercitato in maniera effettiva, proporzionata e dissuasiva. [Em. 156]

Articolo 54

Relazione di attività

Ogni autorità di controllo elabora una relazione annualealmeno ogni due anni sulla propria attività. La relazione è trasmessa al parlamento nazionalerispettivo ed è messa a disposizione del pubblico, della Commissione e del comitato europeo per la protezione dei dati. [Em. 157]

Articolo 54 bis

Autorità capofila

1.  Qualora il trattamento dei dati personali sia effettuato nell'ambito delle attività di uno stabilimento di un responsabile del trattamento o incaricato del trattamento nell'Unione, e il responsabile del trattamento o l'incaricato del trattamento sia stabilito in più Stati membri, o qualora siano trattati i dati personali dei residenti in più Stati membri, l'autorità competente dello stabilimento principale del responsabile del trattamento o dell'incaricato del trattamento funge da autorità capofila responsabile del controllo delle attività di trattamento del responsabile del trattamento o dell'incaricato del trattamento in tutti gli Stati membri, in linea con le disposizioni di cui al capo VII del presente regolamento.

2.  L'autorità capofila adotta misure appropriate per il controllo delle attività di trattamento del responsabile del trattamento o dell'incaricato del trattamento di cui è responsabile, solo dopo aver consultato tutte le altre autorità di controllo competenti ai sensi dell'articolo 51, paragrafo 1, nell'intento di pervenire ad un consenso. A tal fine, fornisce in particolare informazioni pertinenti e consulta le altre autorità prima di adottare misure intese a sortire effetti giuridici sui responsabili del trattamento o gli incaricati del trattamento ai sensi dell'articolo 51, paragrafo 1. L'autorità capofila tiene nella massima considerazione i pareri delle autorità coinvolte. L'autorità capofila è l'unica autorità autorizzata a decidere in merito a misure volte a sortire effetti giuridici per quanto riguarda le attività di trattamento del responsabile del trattamento o dell'incaricato del trattamento di cui è responsabile.

3.  Il comitato europeo per la protezione dei dati, su richiesta di un'autorità di controllo competente, emette un parere sull'identificazione dell'autorità capofila responsabile di un responsabile del trattamento o incaricato del trattamento, nei casi in cui:

a)  non risulti chiaro dove sia ubicata la sede principale del responsabile o incaricato del trattamento; oppure

b)  le autorità competenti non concordino su quale autorità di controllo debba fungere da autorità capofila; oppure

c)  il responsabile del trattamento non sia stabilito nell'Unione e i trattamenti riguardino interessati in più Stati membri ai sensi del presente regolamento.

3 bis.  Qualora il responsabile del trattamento svolga anche attività in qualità di incaricato del trattamento, l'autorità di controllo dello stabilimento principale del responsabile del trattamento può agire in qualità di autorità capofila per il controllo delle attività di trattamento.

4.  Il comitato europeo per la protezione dei dati può decidere in merito all'identificazione dell'autorità capofila. [Em. 158]

CAPO VII

COOPERAZIONE E COERENZA

Sezione 1

Cooperazione

Articolo 55

Assistenza reciproca

1.  Le autorità di controllo si trasmettono le informazioni utili e si prestano assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente, e prendono misure per cooperare efficacemente tra loro. L’assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di autorizzazione preventiva e di consultazione preventiva, le ispezioni e la comunicazione rapida dell’apertura di casi e dei loro sviluppi qualora i trattamenti possano riguardare interessati in più Stati membri. L'autorità capofila, quale definita all'articolo 54 bis, garantisce il coordinamento con le autorità di controllo coinvolte e funge da punto di contatto unico per il responsabile del trattamento o l'incaricato del trattamento. [Em. 159]

2.  Ogni autorità di controllo prende tutte le misure opportune necessarie per dare seguito alle richieste delle altre autorità di controllo senza ritardo, al più tardi entro un mese dal ricevimento della richiesta. Tali misure possono consistere, in particolare, nella trasmissione di informazioni utili sull’andamento di un’indagine o dirette a far cessare o vietare i trattamenti contrari al presente regolamento.

3.  La richiesta di assistenza contiene tutte le informazioni necessarie, compresi lo scopo e i motivi della richiesta. Le informazioni scambiate sono utilizzate ai soli fini per cui sono state richieste.

4.  L’autorità di controllo cui è presentata una richiesta di assistenza non può rifiutare di darvi seguito, salvo che:

a)  non sia competente per trattarla, oppure

b)  l’intervento richiesto sia incompatibile con le disposizioni del presente regolamento.

5.  L’autorità di controllo richiesta informa l’autorità di controllo richiedente dell’esito o, se del caso, dei progressi o delle misure prese per rispondere alla sua richiesta.

6.  Le autorità di controllo forniscono al più presto e per via elettronica, con modulo standard, le informazioni richieste da altre autorità di controllo.

7.  Non è imposta alcuna spesa all'autorità di controllo richiedente per le misure prese a seguito di una richiesta di assistenza reciproca. [Em. 160]

8.  Qualora l’autorità di controllo non dia seguito alla richiesta di un’altra autorità di controllo entro un mese, l’autorità di controllo richiedente è competente a prendere misure provvisorie nel territorio del suo Stato membro ai sensi dell’articolo 51, paragrafo 1, e sottopone la questione al comitato europeo per la protezione dei dati conformemente alla procedura di cui all’articolo 57. L'autorità di controllo richiedente può adottare misure provvisorie nel territorio del suo Stato membro ai sensi dell'articolo 53, qualora non sia ancora possibile adottare una misura definitiva a causa dell'assistenza non ancora conclusa. [Em. 161]

9.  L’autorità di controllo specifica il periodo di validità delle misure provvisorie. Detto periodo non può essere superiore a tre mesi. L’autorità di controllo comunica senza ritardo tali misure, debitamente motivate, al comitato europeo per la protezione dei dati e alla Commissione, in conformità con la procedura di cui all’articolo 57. [Em. 162]

10.  Il comitato europeo per la Commissioneprotezione dei dati può specificare il formato e le procedure per l’assistenza reciproca di cui al presente articolo e le modalità per lo scambio di informazioni per via elettronica tra autorità di controllo e tra le autorità di controllo e il comitato europeo per la protezione dei dati, in particolare il modulo standard di cui al paragrafo 6. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. [Em. 163]

Articolo 56

Operazioni congiunte delle autorità di controllo

1.  Per potenziare la cooperazione e l’assistenza reciproca, le autorità di controllo possono svolgere indagini congiunte, mettere in atto misure di contrasto congiunte e condurre altre operazioni congiunte in cui sono coinvolti membri o personale designato di autorità di controllo di altri Stati membri.

2.  Nell’eventualità che il il responsabile del trattamento o l'incaricato del trattamento siano stabiliti in più Stati membri e che il trattamento riguardi interessati in più Stati membri, l’autorità di controllo di ogni Stato membro in questione ha il diritto di partecipare alle indagini congiunte o alle operazioni congiunte, a seconda del caso. L’autorità capofila di controllo competente invita l’cui all'articolo 54 bis coinvolge l'autorità di controllo di ogni Stato membro in questione a partecipare all’nell'indagine congiunta o all’nell'operazione congiunta, e risponde senza ritardo alle richieste di partecipazione delle autorità di controllo. L'autorità capofila ha facoltà di agire da punto di contatto unico per il responsabile del trattamento o l'incaricato del trattamento. [Em. 164]

3.  L’autorità di controllo che ospiti un’operazione congiunta può, nel rispetto della legislazione nazionale e con l’autorizzazione dell’autorità di controllo ospitata, conferire poteri esecutivi, anche d’indagine, ai membri o al personale dell’autorità di controllo ospitata che partecipano all’operazione congiunta, o consentire a detti membri o personale, ove la propria legislazione nazionale lo consenta, di esercitare i loro poteri esecutivi in conformità della legislazione nazionale dell’autorità di controllo ospitata. Tali poteri esecutivi possono essere esercitati unicamente sotto il controllo e, di norma, in presenza di membri o personale dell’autorità di controllo ospite. I membri o il personale dell’autorità di controllo ospitata sono soggetti alla legislazione nazionale dell’autorità di controllo ospite. Quest’ultima risponde del loro operato.

4.  Le autorità di controllo stabiliscono gli aspetti pratici delle specifiche azioni di cooperazione.

5.  Qualora un’autorità di controllo non si conformi entro un mese all’obbligo di cui al paragrafo 2, le altre autorità di controllo sono competenti a prendere misure provvisorie nel territorio del loro Stato membro ai sensi dell’articolo 51, paragrafo 1.

6.  L’autorità di controllo specifica il periodo di validità delle misure provvisorie di cui al paragrafo 5. Detto periodo non può essere superiore a tre mesi. L’autorità di controllo comunica senza ritardo tali misure, debitamente motivate, al comitato europeo per la protezione dei dati e alla Commissione, e sottopone la questione nell’ambito del meccanismo di cui all’articolo 57.

Sezione 2

Coerenza

Articolo 57

Meccanismo di coerenza

Ai fini di cui all’articolo 46, paragrafo 1, le autorità di controllo cooperano tra loro e con la Commissione nell’ambito del meccanismo di coerenza specificato nellasia su questioni di portata generale sia su casi individuali, in conformità delle disposizioni di cui alla presente sezione. [Em. 165]

Articolo 58

Parere del comitato europeo per la protezione dei dati Coerenza su questioni di applicazione generale

1.  Prima di adottare una misura di cui al paragrafo 2, l’autorità di controllo comunica il progetto di misura al comitato europeo per la protezione dei dati e alla Commissione.

2.  L’obbligo di cui al paragrafo 1 si applica alle misure destinate a produrre effetti giuridici e che:

a)  riguardano attività di trattamento finalizzate all’offerta di beni o servizi a interessati in più Stati membri o al controllo del loro comportamento, oppure

b)  possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione, oppure

c)  sono finalizzate a stabilire un elenco di trattamenti soggetti a consultazione preventiva ai sensi dell’articolo 34, paragrafo 5, oppure

d)  sono finalizzate a determinare clausole tipo di protezione dei dati ai sensi dell’articolo 42, paragrafo 2, lettera c), oppure

e)  sono finalizzate ad autorizzare clausole contrattuali ai sensi dell’articolo 42, paragrafo 2, lettera d), oppure

f)  sono finalizzate ad approvare norme vincolanti d’impresa ai sensi dell’articolo 43.

3.  Ogni autorità di controllo o il comitato europeo per la protezione dei dati può chiedere che una questione di applicazione generale sia trattata nell’ambito del meccanismo di coerenza, in particolare qualora un’autorità di controllo non comunichi un progetto relativo a una misura di cui al paragrafo 2 o non si conformi agli obblighi relativi all’assistenza reciproca ai sensi dell’articolo 55 o alle operazioni congiunte ai sensi dell’articolo 56.

4.  Al fine di garantire l’applicazione corretta e coerente del presente regolamento, la Commissione può chiedere che una questione di applicazione generale sia trattata nell’ambito del meccanismo di coerenza.

5.  Le autorità di controllo e la Commissione comunicano senza indebito ritardo per via elettronica, con modulo standard, tutte le informazioni utili, in particolare, a seconda del caso, una sintesi dei fatti, il progetto di misura e i motivi che la rendono necessaria.

6.  Il presidente del comitato europeo per la protezione dei dati informa immediatamentesenza indebito ritardo per via elettronica, con modulo standard, i membri del comitato europeo per la protezione dei dati e la Commissione di tutte le informazioni utili che gli sono state comunicate. Se necessario, la segreteria del comitato europeo per la protezione dei dati fornisce una traduzione delle informazioni.

6 bis.  Il comitato europeo per la protezione dei dati adotta un parere sulle questioni che gli sono deferite a norma del paragrafo 2.

7.  Se i suoi membri lo decidono a maggioranza semplice, o su richiesta di un’autorità di controllo, Il comitato europeo per la protezione dei dati esprime un parere sulla questione entro una settimana dalla comunicazione delle informazioni utili ai sensi del paragrafo 5. Il parere è adottato entro un mese può decidere a maggioranza semplice se adottare un parere su qualsiasi questione presentatagli a norma dei membri del comitato europeo per la protezione dei dati. Il presidente del comitato europeo per la protezione dei dati informa del parere, senza ingiustificato ritardo, l’autorità di controllo di cui al paragrafo 1 o al paragrafo 3, a seconda del caso, la Commissione e l’autorità di controllo competente ai sensi dell’articolo 51, e lo rende pubblico.paragrafi 3 e 4, valutando:

a)  se la questione presenta elementi di novità, tenendo conto di sviluppi giuridici o fattuali, in particolare nel settore delle tecnologie dell'informazione e alla luce dello stato dei progressi nella società dell'informazione; e

b)  se il comitato europeo per la protezione dei dati ha già emesso un parere sulla stessa questione.

8.  L’autorità di controllo di cui al paragrafo 1 e l’autorità di controllo competente ai sensi dell’articolo 51 tengono conto del parere delIl comitato europeo per la protezione dei dati adotta parere a norma dei paragrafi 6 bis e, entro due settimane dacché il presidente del comitato europeo per la protezione dei dati le ha informate del parere, comunicano per via elettronica, con modulo standard, a detto presidente e alla Commissione se mantengono o se modificano il progetto di misura e, se del caso, il progetto di misura modificato7 a maggioranza semplice dei suoi membri. Tali pareri sono resi pubblici. [Em. 166]

Articolo 58 bis

Coerenza in casi individuali

1.  Prima di adottare misure intese a sortire effetti giuridici ai sensi dell'articolo 54 bis, l'autorità capofila condivide tutte le informazioni pertinenti e presenta il progetto di misura a tutte le altre autorità competenti. L'autorità capofila non adotta la misura se un'autorità competente emette, entro un termine di tre settimane, serie obiezioni alla misura.

2.  Qualora un'autorità competente emetta serie obiezioni ad un progetto di misura dell'autorità capofila o qualora quest'ultima non presenti un progetto di misura a norma del paragrafo 1 o non rispetti gli obblighi di assistenza reciproca a norma dell'articolo 55 o per operazioni congiunte a norma dell'articolo 56, la questione è esaminata dal comitato europeo per la protezione dei dati.

3.  L'autorità capofila e/o altre autorità competenti coinvolte e la Commissione comunicano per via elettronica, senza indebito ritardo, al comitato europeo per la protezione dei dati utilizzando un formato standard tutte le informazioni pertinenti, inclusi se del caso una sintesi dei fatti, il progetto di misura, i motivi che hanno reso necessaria tale misura, le obiezioni sollevate contro di essa ed i pareri di altre autorità di controllo interessate.

4.  Il comitato europeo per la protezione dei dati esamina la questione, tenendo conto dell'impatto del progetto di misura dell'autorità capofila sui diritti e le libertà fondamentali degli interessati e decide, con votazione a maggioranza semplice dei suoi membri, se emettere un parere sulla questione entro due settimane dopo che le informazioni pertinenti sono state trasmesse a norma del paragrafo 3.

5.  Nel caso in cui il comitato europeo per la protezione dei dati decida di emettere un parere, lo fa entro sei settimane e pubblica il parere.

6.  L'autorità capofila tiene nel massimo conto il parere del comitato europeo per la protezione dei dati e, entro due settimane dacché il presidente del comitato europeo per la protezione dei dati l'ha informata del parere, comunica per via elettronica, con modulo standard, a detto presidente e alla Commissione se mantiene o se modifica il progetto di misura e, se del caso, il progetto di misura modificato. Qualora l'autorità capofila non intenda seguire il parere del comitato europeo per la protezione dei dati, fornisce una giustificazione motivata.

7.  Qualora il comitato europeo per la protezione dei dati contesti la misura dell'autorità di controllo di cui al paragrafo 5, può adottare entro un mese una misura vincolante per l'autorità di controllo su decisione della maggioranza dei due terzi dei suoi membri. [Em. 167]

Articolo 59

Parere della Commissione

1.  Entro dieci settimane dacché è stata sollevata una questione ai sensi dell’articolo 58, o entro sei settimane nel caso di cui all’articolo 61, la Commissione può adottare un parere sulla questione sollevata ai sensi degli articoli 58 o 61 al fine di garantire l’applicazione corretta e coerente del presente regolamento.

2.  Qualora la Commissione abbia adottato un parere ai sensi del paragrafo 1, l’autorità di controllo in questione lo tiene nella massima considerazione e informa la Commissione e il comitato europeo per la protezione dei dati della sua intenzione di mantenere o modificare il progetto di misura.

3.  Durante il periodo di cui al paragrafo 1, l’autorità di controllo si astiene dall’adottare il progetto di misura.

4.  Qualora non intenda conformarsi al parere della Commissione, l’autorità di controllo ne informa la Commissione e il comitato europeo per la protezione dei dati entro il termine di cui al paragrafo 1, motivando la sua decisione. In tal caso il progetto di misura non può essere adottato per un ulteriore periodo di un mese. [Em. 168]

Articolo 60

Sospensione di un progetto di misura

1.  Qualora dubiti seriamente che il progetto di misura garantisca la corretta applicazione del presente regolamento e rischi invece di portare a una sua applicazione non coerente, la Commissione, entro un mese dalla comunicazione di cui all’articolo 59, paragrafo 4, può adottare una decisione motivata e ingiungere all’autorità di controllo di sospendere l’adozione del progetto di misura, tenuto conto del parere reso dal comitato europeo per la protezione dei dati ai sensi dell’articolo 58, paragrafo 7, o dell’articolo 61, paragrafo 2, qualora tale sospensione risulti necessaria per:

a)  conciliare le posizioni divergenti dell’autorità di controllo e del comitato europeo per la protezione dei dati, ove tale conciliazione appaia ancora possibile, oppure

b)  adottare una misura ai sensi dell’articolo 62, paragrafo 1, lettera a).

2.  La Commissione specifica la durata della sospensione, che non può essere superiore a dodici mesi.

3.  Durante il periodo di cui al paragrafo 2, l’autorità di controllo si astiene dall’adottare il progetto di misura. [Em. 169]

Articolo 60 bis

Notifica al Parlamento europeo e al Consiglio

La Commissione informa regolarmente il Parlamento europeo e il Consiglio, con cadenza almeno semestrale, in base a una relazione del presidente del comitato europeo per la protezione dei dati, in merito alle questioni trattate nell'ambito del meccanismo di coerenza, mostrando le conclusioni addotte dalla Commissione e dal comitato europeo per la protezione dei dati al fine di garantire un'esecuzione e un'applicazione coerenti del presente regolamento. [Em. 170]

Articolo 61

Procedura d’urgenza

1.  In circostanze eccezionali, qualora ritenga che urga intervenire per tutelare gli interessi degli interessati, in particolare quando sussiste il pericolo che l’esercizio di un diritto possa essere gravemente ostacolato da un cambiamento della situazione esistente, oppure per evitare importanti inconvenienti o per altri motivi, l’autorità di controllo può, in deroga alla procedura di cui all’articolo 5858 bis, prendere misure provvisorie immediate con un periodo di validità determinato. L’autorità di controllo comunica senza ritardo tali misure, debitamente motivate, al comitato europeo per la protezione dei dati e alla Commissione. [Em. 171]

2.  Qualora abbia preso una misura ai sensi del paragrafo 1 e ritenga che sia urgente prendere misure definitive, l’autorità di controllo può chiedere un parere d’urgenza al comitato europeo per la protezione dei dati, motivando la richiesta, in particolare l’urgenza di misure definitive.

3.  Ogni autorità di controllo può chiedere un parere d’urgenza qualora l’autorità di controllo competente non abbia preso misure adeguate in una situazione in cui urge intervenire per tutelare gli interessi degli interessati, motivando la richiesta, in particolare l’urgenza dell’intervento.

4.  In deroga all’articolo 58, paragrafo 7, Il parere d’urgenza di cui ai paragrafi 2 e 3 è adottato entro due settimane a maggioranza semplice dei membri del comitato europeo per la protezione dei dati. [Em. 172]

Articolo 62

Atti di esecuzione

1.  La Commissione può adottare atti di esecuzione di applicazione generale, previa richiesta di parere al comitato europeo per la protezione dei dati, per:

a)  decidere in merito alla corretta applicazione del presente regolamento, conformemente ai suoi obiettivi e requisiti, in relazione alle questioni sollevate dalle autorità di controllo ai sensi dell’articolo 58 o dell’articolo 61, a una questione per la quale è stata adottata una decisione motivata ai sensi dell’articolo 60, paragrafo 1, o a una questione per la quale un’autorità di controllo non ha comunicato un progetto di misura e ha indicato che non intende conformarsi al parere adottato dalla Commissione ai sensi dell’articolo 59;

b)  decidere, entro il termine di cui all’articolo 59, paragrafo 1, sulla validità generale di progetti di clausole tipo di protezione dei dati ai sensi dell’articolo 58articolo 42, paragrafo 2, lettera d);

c)  specificare il formato e le procedure per l’applicazione del meccanismo di coerenza di cui alla presente sezione;

d)  specificare le modalità per lo scambio di informazioni per via elettronica tra autorità di controllo e tra le autorità di controllo e il comitato europeo per la protezione dei dati, in particolare il modulo standard di cui all’articolo 58, paragrafi 5, 6 e 8.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

2.  Per motivi imperativi d’urgenza debitamente giustificati, connessi agli interessi degli interessati nei casi di cui al paragrafo 1, lettera a), la Commissione adotta atti di esecuzione immediatamente applicabili conformemente alla procedura di cui all’articolo 87, paragrafo 3. Tali atti rimangono in vigore per un periodo non superiore a dodici mesi.

3.  L’adozione o meno di una misura ai sensi della presente sezione lascia impregiudicata la possibilità per la Commissione di adottare altre misure in virtù dei trattati. [Em. 173]

Articolo 63

Esecuzione

1.  Ai fini del presente regolamento, le misure esecutive adottate dall’autorità di controllo di uno Stato membro sono eseguite in tutti gli Stati membri interessati.

2.  Qualora un’autorità di controllo ometta di comunicare un progetto di misura nell’ambito del meccanismo di coerenza in violazione dell’articolo 58, paragrafi da 1 a 5,paragrafo 1 e 2, o adotti una misura nonostante l'emissione di serie obiezioni a norma dell'articolo 58 bis, paragrafo 1, la misura dell’autorità di controllo è priva di validità giuridica e di carattere esecutivo. [Em. 174]

Sezione 3

Comitato europeo per la protezione dei dati

Articolo 64

Comitato europeo per la protezione dei dati

1.  È istituito un comitato europeo per la protezione dei dati.

2.  Il comitato europeo per la protezione dei dati è composto dal responsabile di un’autorità di controllo di ciascuno Stato membro e dal garante europeo della protezione dei dati.

3.  Qualora, in uno Stato membro, più autorità di controllo siano incaricate di sorvegliare l’applicazione delle disposizioni del presente regolamento, queste nominano a rappresentante comune un loro responsabile.

4.  La Commissione ha il diritto di partecipare alle attività e alle riunioni del comitato europeo per la protezione dei dati e designa un rappresentante. Il presidente del comitato europeo per la protezione dei dati informa senza ritardo la Commissione di tutte le attività del comitato europeo per la protezione dei dati.

Articolo 65

Indipendenza

1.  Nell’esercizio dei suoi compiti ai sensi degli articoli 66 e 67, il comitato europeo per la protezione dei dati opera con indipendenza.

2.  Fatte salve le richieste della Commissione di cui all’articolo 66, paragrafo 1, lettera b), e all’articolo 66, paragrafo 2, nell’esercizio dei suoi compiti il comitato europeo per la protezione dei dati non sollecita né accetta istruzioni da alcuno.

Articolo 66

Compiti del comitato europeo per la protezione dei dati

1.  Il comitato europeo per la protezione dei dati garantisce l’applicazione coerente del presente regolamento. A tal fine, di propria iniziativa o su richiesta del Parlamento europeo, del Consiglio o della Commissione:

a)  consiglia la Commissionele istituzioni europee in merito a qualsiasi questione relativa al trattamento dei dati personali nell’Unione, comprese eventuali proposte di modifica del presente regolamento;

b)  esamina, di propria iniziativa o su richiesta di uno dei suoi membri o del Parlamento europeo, del Consiglio o della Commissione, qualsiasi questione relativa all’applicazione del presente regolamento e pubblica linee direttrici, raccomandazioni e migliori pratiche destinate alle autorità di controllo al fine di promuovere l’applicazione coerente del presente regolamento, anche relativamente all'impiego dei poteri esecutivi;

c)  valuta l’applicazione pratica delle linee direttrici, raccomandazioni e migliori pratiche di cui alla lettera b), riferendo regolarmente alla Commissione;

d)  esprime pareri sui progetti di decisione delle autorità di controllo conformemente al meccanismo di coerenza di cui all’articolo 57;

d bis)  fornisce un parere su quale autorità considerare capofila ai sensi dell'articolo 54 bis, paragrafo 3;

e)  promuove la cooperazione e l’effettivo scambio di informazioni e pratiche tra le autorità di controllo a livello bilaterale e multilaterale, incluso il coordinamento delle operazioni congiunte e delle altre attività congiunte, se decide in tal senso su richiesta di una o più autorità di controllo;

f)  promuove programmi comuni di formazione e facilita lo scambio di personale tra le autorità di controllo e, se del caso, con le autorità di controllo di paesi terzi o di organizzazioni internazionali;

g)  promuove lo scambio di conoscenze e documentazione sulla legislazione e sulle pratiche in materia di protezione dei dati tra autorità di controllo di tutto il mondo;

g bis)  comunica alla Commissione il suo parere nella preparazione di atti delegati e di esecuzione in base al presente regolamento;

g ter)  esprime un parere sui codici di condotta redatti a livello dell'UE a norma dell'articolo 38, paragrafo 4;

g quater)  esprime un parere sui criteri e i requisiti per i meccanismi di certificazione della protezione dei dati a norma dell'articolo 39, paragrafo 3;

g quinquies)  mantiene un registro elettronico pubblico dei certificati validi e non validi a norma dell'articolo 39, paragrafo 1, lettera h);

g sexies)  fornisce assistenza, su richiesta, alle autorità di controllo nazionali;

g septies)  redige e pubblica un elenco delle operazioni di trattamento soggette a previa consultazione a norma dell'articolo 34;

g octies)  conserva un registro delle sanzioni irrogate ai responsabili del trattamento o agli incaricati del trattamento da parte delle autorità di controllo competenti.

2.  Qualora chiedachiedano consulenza al comitato europeo per la protezione dei dati, il Parlamento europeo, il Consiglio o la Commissione puòpossono fissare un termine entro il quale questo deve rispondere alla richiesta, tenuto conto dell’urgenza della questione.

3.  Il comitato europeo per la protezione dei dati trasmette pareri, linee direttrici, raccomandazioni e migliori pratiche al Parlamento europeo, al Consiglio e alla Commissione e al comitato di cui all’articolo 87, e li pubblica.

4.  La Commissione informa il comitato europeo per la protezione dei dati del seguito dato ai suoi pareri, linee direttrici, raccomandazioni e migliori pratiche.

4 bis.  Il comitato europeo per la protezione dei dati consulta, se del caso, le parti interessate e offre loro la possibilità di esprimere commenti entro un termine ragionevole. Fatto salvo l'articolo 72, i risultati della procedura di consultazione sono pubblicati dal comitato europeo per la protezione dei dati.

4 ter.  Al comitato europeo per la protezione dei dati è affidato il compito di emettere orientamenti, raccomandazioni e migliori prassi in linea con l'articolo 66, paragrafo 1, lettera b), per stabilire procedure comuni per la ricezione e la verifica di informazioni relative a presunti trattamenti illeciti e salvaguardando la riservatezza nonché le fonti delle informazioni ricevute. [Em. 175]

Articolo 67

Relazioni

1.  Il comitato europeo per la protezione dei dati informa tempestivamente e regolarmente il Parlamento europeo, il Consiglio e la Commissione dell’esito delle proprie attività. Redige almeno ogni due anni una relazione annuale sullo stato della tutela delle persone fisiche con riguardo al trattamento dei dati personali nell’Unione e nei paesi terzi.

La relazione include la valutazione dell’applicazione pratica delle linee direttrici, raccomandazioni e migliori pratiche di cui all’articolo 66, paragrafo 1, lettera c). [Em. 176]

2.  La relazione è pubblicata e trasmessa al Parlamento europeo, al Consiglio e alla Commissione.

Articolo 68

Procedura

1.  Il comitato europeo per la protezione dei dati decide a maggioranza semplice dei suoi membri, salvo se diversamente previsto dal suo regolamento interno. [Em. 177]

2.  Il comitato europeo per la protezione dei dati adotta il proprio regolamento interno e fissa le modalità del proprio funzionamento. In particolare, adotta disposizioni concernenti la continuazione dell’esercizio delle funzioni in caso di scadenza del mandato di un membro o di sue dimissioni, la creazione di sottogruppi per questioni o settori specifici e la procedura applicabile nell’ambito del meccanismo di coerenza di cui all’articolo 57.

Articolo 69

Presidenza

1.  Il comitato europeo per la protezione dei dati elegge un presidente e almeno due vicepresidenti tra i suoi membri. Uno dei vicepresidenti è il garante europeo della protezione dei dati, salvo che sia stato eletto presidente. [Em. 178]

2.  Il presidente e i vicepresidenti hanno un mandato di cinque anni, rinnovabile.

2 bis.  La carica di presidente è un impiego a tempo pieno. [Em. 179]

Articolo 70

Compiti del presidente

1.  Il presidente ha il compito di:

a)  convocare le riunioni del comitato europeo per la protezione dei dati e stabilirne l’ordine del giorno;

b)  garantire l’adempimento dei compiti del comitato europeo per la protezione dei dati, in particolare in relazione al meccanismo di coerenza di cui all’articolo 57.

2.  Il comitato europeo per la protezione dei dati fissa nel proprio regolamento interno la ripartizione dei compiti tra presidente e vicepresidenti.

Articolo 71

Segreteria

1.  Il comitato europeo per la protezione dei dati dispone di una segreteria. Alle funzioni di segreteria provvede il garante europeo della protezione dei dati.

2.  La segreteria, sotto la direzione del presidente, presta assistenza analitica, giuridica, amministrativa e logistica al comitato europeo per la protezione dei dati. [Em. 180]

3.  La segreteria è incaricata in particolare:

a)  della gestione ordinaria del comitato europeo per la protezione dei dati;

b)  della comunicazione tra i membri del comitato europeo per la protezione dei dati, il suo presidente e la Commissione, e della comunicazione con le altre istituzioni e il pubblico;

c)  dell’uso di mezzi elettronici per la comunicazione interna ed esterna;

d)  della traduzione delle informazioni rilevanti;

e)  della preparazione delle riunioni del comitato europeo per la protezione dei dati e del relativo seguito;

f)  della preparazione, redazione e pubblicazione dei pareri e di altri testi adottati dal comitato europeo per la protezione dei dati.

Articolo 72

Riservatezza

1.  Le deliberazioni del comitato europeo per la protezione dei dati hannopossono se necessario avere carattere riservato, salvo qualora sia altrimenti previsto nel suo regolamento. L'ordine del giorno delle riunioni del comitato europeo per la protezione dei dati è reso pubblico. [Em. 181]

2.  I documenti trasmessi ai membri del comitato europeo per la protezione dei dati, agli esperti e ai rappresentanti di terzi sono riservati, tranne qualora sia stato concesso l’accesso a tali documenti a norma del regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio(20) o il comitato europeo per la protezione dei dati li abbia resi pubblici in altro modo.

3.  I membri del comitato europeo per la protezione dei dati nonché gli esperti e i rappresentanti di terzi sono tenuti a rispettare gli obblighi di riservatezza stabiliti al presente articolo. Il presidente si assicura che gli esperti e i rappresentanti di terzi siano messi a conoscenza degli obblighi di riservatezza cui sono tenuti.

CAPO VIII

RICORSI, RESPONSABILITÀ E SANZIONI

Articolo 73

Diritto di proporre reclamo all’autorità di controllo

1.  Fatto salvo ogni altro ricorso amministrativo o giurisdizionale e il meccanismo di coerenza, l’interessato che ritenga che il trattamento dei suoi dati personali non sia conforme al presente regolamento ha il diritto di proporre reclamo all’autorità di controllo di qualunque Stato membro.

2.  Ogni organismo, organizzazione o associazione che tuteli i diritti e gli interessi degli interessati in relazione alla protezione dei loro dati personali agisca nell'interesse pubblico e che sia debitamente costituito o costituita secondo la legislazione di uno Stato membro ha il diritto di proporre reclamo all’autorità di controllo di qualunque Stato membro per conto di uno o più interessati qualora ritenga che siano stati violati diritti derivanti dal presente regolamento a seguito del trattamento di dati personali.

3.  Indipendentemente dall’eventuale reclamo dell’interessato, ogni organismo, organizzazione o associazione di cui al paragrafo 2 che ritenga che sussista violazione dei dati personalidel presente regolamento ha il diritto di proporre reclamo all’autorità di controllo di qualunque Stato membro. [Em. 182]

Articolo 74

Diritto a un ricorso giurisdizionale contro l’autorità di controllo

1.  Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre ricorso giurisdizionale avverso le decisioni dell’autorità di controllo che la riguardano.

2.  Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni interessato ha il diritto di proporre ricorso giurisdizionale per obbligare l’autorità di controllo a dare seguito a un reclamo qualora tale autorità non abbia preso una decisione necessaria per tutelarne i diritti o non lo abbia informato entro tre mesi dello stato o dell’esito del reclamo ai sensi dell’articolo 52, paragrafo 1, lettera b).

3.  Le azioni contro l’autorità di controllo sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita.

4.  Fatto salvo il meccanismo di coerenza, l’interessato che abbia formato oggetto di una decisione dell’autorità di controllo di uno Stato membro diverso da quello in cui risiede abitualmente può chiedere all’autorità di controllo dello Stato membro in cui risiede abitualmente di agire in giudizio per suo conto nell’altro Stato membro nei confronti dell’autorità di controllo competente.

5.  Gli Stati membri eseguono le decisioni definitive delle autorità giurisdizionali di cui al presente articolo. [Em. 183]

Articolo 75

Diritto a un ricorso giurisdizionale contro il responsabile del trattamento o l’incaricato del trattamento

1.  Fatto salvo ogni altro ricorso amministrativo disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo di cui all’articolo 73, chiunque ha il diritto di proporre ricorso giurisdizionale qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento in seguito a un trattamento dei suoi dati personali non conforme al presente regolamento.

2.  Le azioni contro il responsabile del trattamento o l’incaricato del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il responsabile del trattamento o l’incaricato del trattamento ha uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente, salvo che il responsabile del trattamento sia un’autorità pubblica dell'Unione o di uno Stato membro nell’esercizio dei pubblici poteri. [Em. 184]

3.  Qualora nell’ambito del meccanismo di coerenza di cui all’articolo 58 sia in corso un procedimento riguardante la stessa misura, decisione o pratica, l’autorità giurisdizionale può sospendere il procedimento di cui è stata investita, salvo qualora l’urgenza del caso per la protezione dei diritti dell’interessato non permetta di aspettare l’esito del procedimento nell’ambito del meccanismo di coerenza.

4.  Gli Stati membri eseguono le decisioni definitive delle autorità giurisdizionali di cui al presente articolo.

Articolo 76

Norme comuni per i procedimenti giurisdizionali

1.  Ogni organismo, organizzazione o associazione di cui all’artico 73, paragrafo 2, ha il diritto di esercitare i diritti di cui agli articoli 74 e 75 per conto di, 75 e 77 se autorizzato da uno o più interessati. [Em. 185]

2.  Ogni autorità di controllo ha il diritto di agire in sede giudiziale o stragiudiziale per far rispettare le disposizioni del presente regolamento o garantire la coerenza della protezione dei dati personali all’interno dell’Unione.

3.  L’autorità giurisdizionale competente di uno Stato membro che abbia fondati motivi di ritenere che in un altro Stato membro sia in corso un procedimento parallelo contatta l’autorità giurisdizionale competente dell’altro Stato membro per ottenere conferma dell’esistenza del procedimento parallelo.

4.  Se il procedimento parallelo nell’altro Stato membro riguarda la stessa misura, decisione o pratica l’autorità giurisdizionale, può sospendere il procedimento.

5.  Gli Stati membri provvedono affinché i ricorsi giurisdizionali previsti dal diritto nazionale consentano di prendere rapidamente provvedimenti, anche provvisori, atti a porre fine alle asserite violazioni e impedire ulteriori danni agli interessi in causa.

Articolo 77

Diritto al risarcimento e responsabilità

1.  Chiunque subisca un danno, incluso un danno non pecuniario, cagionato da un trattamento illecito o da altro atto incompatibile con il presente regolamento ha il diritto di ottenerechiedere il risarcimento del danno dal responsabile del trattamento o dall’incaricato del trattamento. [Em. 186]

2.  Qualora il trattamento coinvolga più responsabili del trattamento o incaricati del trattamento, ogni responsabile del trattamento o incaricato del trattamento risponde in solido per l’intero ammontare del danno, a meno che non sussista un adeguato accordo scritto tra di essi che stabilisce le responsabilità a norma dell'articolo 24. [Em. 187]

3.  Il responsabile del trattamento o l’incaricato del trattamento può essere esonerato in tutto o in parte da tale responsabilità se prova che l’evento dannoso non gli è imputabile.

Articolo 78

Sanzioni

1.  Gli Stati membri determinano le sanzioni per violazione delle disposizioni del presente regolamento, compresa l’omessa designazione del rappresentante a cura del responsabile del trattamento, e prendono tutti i provvedimenti necessari per la loro applicazione. Le sanzioni previste devono essere efficaci, proporzionate e dissuasive.

2.  Qualora il responsabile del trattamento abbia designato un rappresentante, le sanzioni si applicano al rappresentante, fatte salve le sanzioni applicabili al responsabile del trattamento.

3.  Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cui all’articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica.

Articolo 79

Sanzioni amministrative

1.  Ogni autorità di controllo è abilitata a imporre sanzioni amministrative conformemente al presente articolo. Le autorità di controllo collaborano ai sensi degli articoli 46 e 57 per garantire un livello di sanzioni armonizzato all'interno dell'Unione.

2.  La sanzione amministrativa deve essere efficace, proporzionata e dissuasiva. L’ammontare è fissato tenuto debito conto della natura, della gravità e della durata della violazione, del carattere doloso o colposo dell’illecito, del grado di responsabilità della persona fisica o giuridica, delle precedenti violazioni da questa commesse, delle misure e procedure tecniche e organizzative messe in atto ai sensi dell’articolo 23 e del grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione.

2 bis.  A chiunque non si attenga agli obblighi delineati nel presente regolamento, l'autorità di controllo impone almeno una delle seguenti sanzioni:

a)  un avvertimento scritto in caso di prima inosservanza non intenzionale;

b)  verifiche della protezione dei dati a intervalli regolari;

c)  una sanzione amministrativa pecuniaria fino a 100 000 000 EUR o fino al 5% del fatturato mondiale annuo nel caso di un'impresa, se superiore.

2 ter.  Se il responsabile del trattamento dei dati o l'incaricato del trattamento dei dati è in possesso di un "sigillo europeo per la protezione dei dati" valido in conformità dell'articolo 39, nei casi di mancata conformità, intenzionale o dovuta a negligenza è imposta solo una sanzione ai sensi del paragrafo 2 bis, lettera c).

2 quater.  La sanzione amministrativa tiene conto dei seguenti fattori:

a)  la natura, la gravità e la durata dell'inosservanza;

b)  il carattere doloso o colposo della violazione;

c)  il grado di responsabilità della persona fisica o giuridica e delle precedenti violazioni da questa commesse;

d la natura ripetitiva della violazione;

e)  il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuare i possibili effetti avversi della violazione;

f)  le categorie specifiche di dati personali interessate dalla violazione;

g)  il livello del danno, incluso il danno non pecuniario, subito dagli interessati;

h)  le misure prese dal responsabile del trattamento o dall'incaricato del trattamento per attenuare il danno subito dagli interessati;

i)  qualsiasi beneficio finanziario ottenuto o qualsiasi perdita evitata, direttamente o indirettamente, dalla violazione;

j)  il grado delle misure tecniche e organizzative nonché delle procedure poste in essere in conformità di:

i)  Art. 23 - Protezione fin dalla progettazione e protezione di default

ii)  Articolo 30 - Sicurezza del trattamento

iii)  Articolo 33 - Valutazione d’impatto sulla protezione dei dati

iv)  Articolo 33 bis - Verifica della conformità della protezione dei dati

v)  Articolo 35 - Designazione del responsabile della protezione dei dati

k)  il rifiuto di cooperare con le ispezioni, le revisioni e i controlli eseguiti dall'autorità di controllo ai sensi dell'articolo 53, ovvero il porvi ostacolo;

l)  altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.

3.  In caso di prima inosservanza non intenzionale del presente regolamento può essere inviato un avvertimento scritto, senza l’imposizione di sanzioni, qualora:

(f)  una persona fisica tratti dati personali senza un interesse commerciale, oppure

(g)  un’impresa o un’organizzazione con meno di 250 dipendenti tratti dati personali solo accessoriamente rispetto alle attività principali.

4.  L’autorità di controllo irroga sanzioni amministrative pecuniarie fino a 250 000 EUR o, per le imprese, fino allo 0,5% del fatturato mondiale annuo, a chiunque, con dolo o colpa:

a)  non predispone i meccanismi per consentire all’interessato di presentare richieste o non risponde all’interessato prontamente o nella forma dovuta, in violazione dell’articolo 12, paragrafi 1 e 2;

b)  fa pagare un contributo spese per le informazioni o le risposte alle richieste dell’interessato, in violazione dell’articolo 12, paragrafo 4.

5.  L’autorità di controllo irroga sanzioni amministrative pecuniarie fino a 500 000 EUR o, per le imprese, fino all’1% del fatturato mondiale annuo, a chiunque, con dolo o colpa:

a)  non fornisce le informazioni, fornisce informazioni incomplete o non fornisce le informazioni in modo sufficientemente trasparente all’interessato, in violazione dell’articolo 11, dell’articolo 12, paragrafo 3, e dell’articolo 14;

b)  non dà l’accesso all’interessato o non rettifica i dati personali, in violazione degli articoli 15 e 16, oppure non comunica al destinatario le informazioni pertinenti, in violazione dell’articolo 13,

c)  non rispetta il diritto all’oblio o alla cancellazione, omette di predisporre meccanismi che garantiscano il rispetto dei termini o non prende tutte le misure necessarie per informare i terzi della richiesta dell’interessato di cancellare tutti i link verso i dati personali, copiare tali dati o riprodurli, in violazione dell’articolo 17;

d)  non fornisce copia dei dati personali in formato elettronico oppure impedisce all’interessato di trasmettere i dati personali a un’altra applicazione, in violazione dell’articolo 18;

e)  omette di determinare o non determina in modo sufficiente le rispettive responsabilità dei corresponsabili del trattamento, in violazione dell’articolo 24;

f)  omette di conservare o non conserva in modo sufficiente la documentazione di cui all’articolo 28, all’articolo 31, paragrafo 4, e all’articolo 44, paragrafo 3;

g)  nei casi che non riguardano categorie particolari di dati, non rispetta le norme sulla libertà di espressione o sul trattamento dei dati nei rapporti di lavoro o le condizioni per il trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica, in violazione degli articoli 80, 82 e 83.

6.  L’autorità di controllo irroga sanzioni amministrative pecuniarie fino a 1 000 000 EUR o, per le imprese, fino al 2% del fatturato mondiale annuo, a chiunque, con dolo o colpa:

a)  tratta dati personali senza una base giuridica o una base giuridica sufficiente a tal fine o non rispetta le condizioni relative al consenso, in violazione degli articoli 6, 7 e 8;

b)  tratta categorie particolari di dati, in violazione degli articoli 9 e 81;

c)  non rispetta il diritto di opposizione o l’obbligo di cui all’articolo 19;

d)  non rispetta le condizioni relative alle misure basate sulla profilazione di cui all’articolo 20;

e)  non adotta politiche interne o non attua misure adeguate per garantire e dimostrare la conformità del trattamento, in violazione degli articoli 22, 23 e 30;

f)  non designa un rappresentante, in violazione dell’articolo 25;

g)  tratta o dà istruzione di trattare dati personali in violazione degli obblighi relativi al trattamento per conto di un responsabile del trattamento di cui agli articoli 26 e 27;

h)  omette di allertare o notificare all’autorità di controllo o all’interessato una violazione di dati personali, oppure non la notifica tempestivamente o integralmente, in violazione degli articoli 31 e 32;

i)  non effettua una valutazione d’impatto sulla protezione dei dati o tratta dati personali senza l’autorizzazione preventiva o la consultazione preventiva dell’autorità di controllo, in violazione degli articoli 33 e 34;

j)  non designa un responsabile della protezione dei dati o non garantisce le condizioni per l’adempimento dei compiti del responsabile della protezione dei dati, in violazione degli articoli 35, 36 e 37;

k)  fa un uso illecito di un sigillo o marchio di protezione dei dati di cui all’articolo 39;

l)  effettua o dà istruzione di effettuare un trasferimento di dati verso un paese terzo o un’organizzazione internazionale senza che tale trasferimento sia stato autorizzato da una decisione di adeguatezza, senza offrire garanzie adeguate o senza che il trasferimento sia previsto da una deroga, in violazione degli articoli da 40 a 44;

m)  non si conforma a un ordine, a un divieto provvisorio o definitivo di trattamento o a un ordine di sospensione dei flussi di dati dell’autorità di controllo, di cui all’articolo 53, paragrafo 1;

n)  non si conforma all’obbligo di prestare assistenza, rispondere o fornire informazioni utili o l’accesso ai locali all’autorità di controllo, in violazione dell’articolo 28, paragrafo 3, dell’articolo 29, dell’articolo 34, paragrafo 6, o dell’articolo 53, paragrafo 2;

o)  non si conforma alle norme di salvaguardia del segreto professionale di cui all’articolo 84.

7.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di aggiornare l’importo assoluto delle sanzioni amministrative pecuniarie di cui ai paragrafi 4, 5 e 6,al paragrafo 2 bis, tenuto conto dei criteri e dei fattori di cui al paragrafoai paragrafi 2 e 2 quater. [Em. 188]

CAPO IX

DISPOSIZIONI RELATIVE A SPECIFICHE SITUAZIONI DI TRATTAMENTO DEI DATI

Articolo 80

Trattamento di dati personali e libertà d’espressione

1.  Gli Stati membri prevedono, per il trattamento dei dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letterariaogniqualvolta sia necessario, le esenzioni o le deroghe alle disposizioni concernenti i principi generali di cui al capo II, i diritti dell’interessato di cui al capo III, il responsabile del trattamento e l’incaricato del trattamento di cui al capo IV, il trasferimento di dati personali verso paesi terzi e organizzazioni internazionali di cui al capo V, le autorità di controllo indipendenti di cui al capo VI e la cooperazione e la coerenza di cui al capo VII e situazioni specifiche relative al trattamento dei dati di cui al presente capo, al fine di conciliare il diritto alla protezione dei dati personali e le norme sulla libertà d’espressione, conformemente alla Carta. [Em. 189]

2.  Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cui all’articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica.

Articolo 80 bis

Accesso ai documenti

1.  I dati personali contenuti in documenti conservati da un'autorità pubblica o da un organismo pubblico possono essere divulgati da tale autorità pubblica od organismo, in conformità della legislazione dello Stato membro in materia di accesso del pubblico a documenti ufficiali, che riconcilia il diritto alla protezione dei dati personali con il principio dell'accesso del pubblico a documenti ufficiali.

2.  Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cui all'articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica. [Em. 190]

Articolo 81

Trattamento di dati personali relativi alla salute

1.  Nei limitiIn conformità delle disposizioni del presente regolamento e in conformità, segnatamente dell’articolo 9, paragrafo 2, lettera h), il trattamento di dati personali relativi alla salute deve essere effettuato sulla base di disposizioni del diritto dell’Unione o degli Stati membri che prevedano misure appropriate, coerenti e specifiche a tutela degli interessi e dei legittimi interessidiritti fondamentali dell’interessato, nella misura in cui esse siano necessarie e proporzionate, ed essere necessarioi cui effetti siano prevedibili da parte dell'interessato:

a)  per finalità di medicina del lavoro, prevenzione medica, diagnosi, assistenza sanitaria o terapia ovvero gestione dei servizi sanitari, e quando il trattamento dei medesimi dati è effettuato da un professionista della sanità vincolato da segreto professionale o altra persona del pari soggetta a un equivalente obbligo di segretezza ai sensi della legislazione degli Stati membri o di norme stabilite dagli organismi nazionali competenti, oppure

b)  per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza, tra l’altro dei medicinali e dei dispositivi medici, e quando il trattamento dei medesimi dati è effettuato da una persona soggetta all'obbligo di riservatezza, oppure

c)  per altri motivi di interesse pubblico in settori quali la protezione sociale, soprattutto al fine di assicurare la qualità e l’economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito del regime di assicurazione sanitaria e prestazione di servizi sanitari. Il trattamento dei dati personali relativi alla salute per motivi di interesse pubblico non deve portare al trattamento dei dati per finalità diverse, salvo che con il consenso dell'interessato o sulla base del diritto dell'Unione o di uno State membro.

1 bis.  Qualora le finalità di cui alle lettere da a) a c) del paragrafo 1 possano essere conseguite senza l'utilizzo di dati personali, tali dati non saranno utilizzati per dette finalità, salvo che con il consenso dell'interessato o sulla base del diritto di uno State membro.

1 ter.  Qualora il consenso dell'interessato sia richiesto per il trattamento di dati medici esclusivamente a fini sanitari pubblici di ricerca scientifica, il consenso può essere fornito per una o più ricerche scientifiche e simili. Tuttavia l'interessato può ritirare il suo consenso il qualsiasi momento.

1 quater.  Al fine di autorizzare la partecipazione ad attività di ricerca scientifica nell'ambito di test clinici, si applicano le disposizioni della direttiva 2001/20/CE del Parlamento europeo e del Consiglio(21).

2.  Il trattamento di dati personali relativi alla salute che risulti necessario per finalità storiche, statistiche o di ricerca scientifica, come la creazione di registri dei pazienti per migliorare le diagnosi, distinguere tra tipi simili di malattie e condurre studi sulle terapie, è autorizzato soltanto con il consenso dell'interessato ed è soggetto alle condizioni e garanzie di cui all’articolo 83.

2 bis.  Il diritto degli Stati membri può prevedere deroghe all'obbligo di prestare consenso a scopo di ricerca, di cui al paragrafo 2, per quanto attiene alla ricerca che riveste un interesse pubblico elevato qualora quest'ultima non possa essere condotta in altro modo. I dati in questione sono resi anonimi o, laddove ciò non fosse possibile per le finalità della ricerca, pseudonimizzati ricorrendo agli standard tecnici più elevati e vengono adottate tutte le misure necessarie per evitare la reidentificazione ingiustificata degli interessati. L'interessato ha tuttavia il diritto di opporre obiezioni in qualsiasi momento a norma dell'articolo 19.

3.  Alla Commissione è conferito il potere di adottare, previa richiesta di parere al comitato europeo per la protezione dei dati, atti delegati conformemente all’articolo 86 al fine di precisare altri motivi di interesse pubblico nel settore della sanità pubblica di cui al paragrafo 1, lettera b), e i criteri e i requisiti concernenti le garanzie per il trattamento dei dati personali per le finalità di cuidi interesse pubblico elevato nel settore della ricerca come indicato al paragrafo 12 bis.

3 bis.  Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cui all’articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica. [Em. 191]

Articolo 82

Norme minime per il trattamento dei dati nei rapporti di lavoro

1.  Nei limitiIn conformità delle norme del presente regolamento e nel rispetto del principio di proporzionalità, gli Stati membri possono adottare con leggetramite disposizioni giuridiche norme specifiche per il trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare, ma non esclusivamente, per finalità di assunzione e candidatura all'interno di un gruppo di imprese, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge oe da accordi collettivi, in linea con il diritto e le prassi nazionali, di gestione, pianificazione e organizzazione del lavoro, salute e sicurezza sul lavoro, e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro. Gli Stati membri possono acconsentire a che gli accordi collettivi specifichino ulteriormente le disposizioni di cui al presente articolo.

1 bis.  Le finalità del trattamento di tali dati devono essere collegate al motivo per cui tali dati sono stati raccolti e rimanere nell'ambito dei rapporti di lavoro. L'elaborazione di profili o l'uso per secondi fini non sono autorizzati.

1 ter.  Il consenso di un impiegato non costituisce una base giuridica per il trattamento dei dati da parte del datore di lavoro.

1 quater.  Fatte salve le altre disposizioni del presente regolamento, le disposizioni giuridiche degli Stati membri di cui al paragrafo 1 includono almeno le seguenti norme minime:

a)  non è consentito il trattamento dei dati dei lavoratori senza che essi ne siano a conoscenza. In deroga alla prima frase e previa fissazione di adeguati termini di cancellazione dei dati, gli Stati membri possono prevedere per legge che il trattamento dei dati sia autorizzato nel caso in cui indizi da documentare giustifichino il sospetto che il lavoratore abbia compiuto un reato o un altro grave illecito nel rapporto di lavoro, e nel caso in cui la raccolta sia necessaria per l'indagine e la natura e la portata della raccolta siano necessarie e proporzionate rispetto all'obiettivo. La vita privata e l'intimità dei lavoratori sono costantemente tutelate. L'accertamento dei fatti spetta alle autorità competenti.

b)  Non è consentita una sorveglianza ottico-elettronica e/o acustico-elettronica aperta delle parti dell'impresa non accessibili al pubblico che sono prevalentemente adibite a usi privati dei lavoratori, in particolare in locali sanitari, spogliatoi, aree di riposo e camere da letto. Il controllo furtivo non è consentito in nessun caso.

c)  Qualora le imprese o le autorità procedano alla raccolta o al trattamento di dati personali nell'ambito di visite mediche e/o test attitudinali, esse sono tenute a comunicare anticipatamente al candidato o al dipendente le finalità di utilizzo di tali dati e ad assicurarsi di trasmettere successivamente tali dati al candidato o al dipendente insieme ai risultati, illustrandone il contenuto su richiesta. La raccolta di dati a fini di analisi e test genetici è in linea di massima vietata.

d)  Tramite accordi collettivi è possibile disciplinare se e in che misura è anche consentito l'utilizzo del telefono, della posta elettronica, di Internet e di altri servizi di telecomunicazione a scopi personali. Se non vi è regolamentazione tramite accordo collettivo, il datore di lavoro conclude un accordo analogo direttamente con il lavoratore. Nella misura in cui è permesso un utilizzo privato, il trattamento dei risultanti dati sul traffico è consentito in particolare al fine di garantire la sicurezza dei dati, il funzionamento regolare delle reti e dei servizi di telecomunicazione e a fini di fatturazione.

In deroga alla terza frase e previa fissazione di adeguati termini di cancellazione dei dati, gli Stati membri possono prevedere per legge che il trattamento dei dati sia autorizzato nel caso in cui indizi da documentare giustifichino il sospetto che il lavoratore abbia compiuto un reato o un altro grave illecito nel rapporto di lavoro, e nel caso in cui la raccolta sia necessaria per l'indagine e la natura e la portata della raccolta siano necessarie e proporzionate rispetto all'obiettivo. La vita privata e l'intimità dei lavoratori sono costantemente tutelate. L'accertamento dei fatti spetta alle autorità competenti.

e)  I dati personali dei lavoratori, soprattutto i dati sensibili come quelli relativi all'orientamento politico, all'affiliazione ai sindacati e alle attività sindacali, non possono in alcun caso essere utilizzati per inserire i lavoratori nelle cosiddette "liste nere", sottoporli a indagine o escluderli da impieghi futuri. Sono vietati il trattamento, l'uso in ambito lavorativo, l'elaborazione e la trasmissione di liste nere riguardanti i lavoratori o altre forme di discriminazione. Gli Stati membri effettuano controlli e adottano sanzioni adeguate a norma dell'articolo 79, paragrafo 6, per garantire l'efficace attuazione del presente punto.

1 quinquies.  La trasmissione e il trattamento dei dati personali dei lavoratori tra imprese giuridicamente indipendenti all'interno di un gruppo di imprese e con i professionisti del settore della consulenza legale e fiscale sono ammissibili nella misura in cui siano pertinenti al funzionamento dell'impresa e siano utili per la realizzazione di operazioni o di procedure amministrative specifiche e non siano in contrasto con gli interessi e i diritti fondamentali del lavoratore. Se i dati dei lavoratori vengono trasmessi a un paese terzo e/o a un'organizzazione internazionale, si applica il capo V.

2.  Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafodei paragrafi 1 e 1 ter, entro la data di cui all’articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica.

3.  Alla Commissione è conferito il potere di adottare, previa richiesta di parere al comitato europeo per la protezione dei dati, atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le garanzie per il trattamento dei dati personali per le finalità di cui al paragrafo 1. [Em. 192]

Articolo 82 bis

Trattamento dei dati nell'ambito della sicurezza sociale

1.  Gli Stati membri possono, nel rispetto delle norme stabilite dal presente regolamento, adottare norme legislative specifiche che descrivono dettagliatamente le condizioni alla base del trattamento dei dati personali effettuato nell'interesse pubblico da parte delle istituzioni e dei dipartimenti pubblici nell'ambito della sicurezza sociale.

2.  Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cui all'articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica. [Em. 193]

Articolo 83

Trattamento per finalità storiche, statistiche e di ricerca scientifica

1.  Nei limiti del In conformità delle regole stabilite nel presente regolamento, i dati personali possono essere trattati per finalità storiche, statistiche e di ricerca scientifica solo se:

a)  tali finalità non possono essere altrimenti conseguite trattando dati che non consentono o non consentono più di identificare l’interessato;

b)  i dati che permettono di associare informazioni a un interessato identificato o identificabile sono conservati separatamente dalle altre informazioni, nella misura in cui tali finalità possano essere conseguite in questo modo ricorrendo agli standard tecnici più elevati e sono adottate tutte le misure necessarie per evitare la reidentificazione ingiustificata degli interessati.

2.  Gli organismi che svolgono ricerche storiche, statistiche o scientifiche possono pubblicare o divulgare altrimenti al pubblico i dati personali solo se:

a)  l’interessato ha espresso il proprio consenso, fatte salve le condizioni di cui all’articolo 7;

b)  la pubblicazione dei dati personali è necessaria per presentare i risultati della ricerca o per facilitarla, nella misura in cui gli interessi o i diritti o le libertà fondamentali dell’interessato non prevalgano sull’interesse della ricerca, oppure

c)  l’interessato ha reso pubblici i dati.

3.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti il trattamento dei dati personali per le finalità di cui ai paragrafi 1 e 2, e ogni limitazione necessaria dei diritti di informazione e accesso dell’interessato, e di specificare le condizioni e le garanzie per i diritti dell’interessato in tali circostanze. [Em. 194]

Articolo 83 bis

Trattamento dei dati personali da parte dei servizi di archiviazione

1.  Oltre il termine del periodo necessario alla realizzazione delle finalità del trattamento iniziale, i dati personali possono essere trattati dai servizi di archiviazione aventi come funzione principale od obbligo giuridico la raccolta, memorizzazione, classificazione, comunicazione, valorizzazione e diffusione degli archivi nell'interesse generale, segnatamente a giustificazione dei diritti delle persone o per finalità storiche, statistiche o scientifiche. Tali compiti sono eseguiti in conformità delle norme stabilite dagli Stati membri in materia di accesso, comunicabilità e diffusione dei documenti amministrativi o d'archivio e delle norme previste dal presente regolamento, specie per quanto riguarda il consenso e il diritto di opposizione.

2.  Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro la data di cui all'articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica. [Em. 195]

Articolo 84

Obblighi di segretezza

1.  Nei limiti delIn conformità delle norme stabilite nel presente regolamento, gli Stati membri possono adottaregarantiscono che vi siano norme specifiche per stabilireche stabiliscono i poteri investigativi delle autorità di controllo di cui all’articolo 53, paragrafo 2, in relazione ai responsabili del trattamento o agli incaricati del trattamento che sono soggetti, ai sensi della legislazione nazionale o di norme stabilite dagli organismi nazionali competenti, al segreto professionale o a un obbligo di segreto equivalente, ove siano necessarie e proporzionate per conciliare il diritto alla protezione dei dati personali e l’obbligo di segretezza. Tali norme si applicano solo ai dati personali che il responsabile del trattamento o l’incaricato del trattamento ha ricevuto o ha ottenuto nel corso di un’attività protetta dal segreto professionale.

2.  Ogni Stato membro notifica alla Commissione le norme adottate ai sensi del paragrafo 1 entro la data di cui all’articolo 91, paragrafo 2, e comunica senza ritardo ogni successiva modifica. [Em. 196]

Articolo 85

Norme di protezione dei dati vigenti presso chiese e associazioni religiose

1.  Qualora in uno Stato membro chiese e associazioni o comunità religiose applichino, al momento dell’entrata in vigore del presente regolamento, corpus completi di norme adeguate a tutela delle persone fisiche con riguardo al trattamento dei dati personali, tali corpus possono continuare ad applicarsi purché siano conformi alle disposizioni del presente regolamento.

2.  Le chiese e le associazioni religiose che applicano i corpus completi di norme adeguate in linea con il di cui al paragrafo 1 provvedono a istituire un’autorità di controllo indipendenteottengono un parere sulla conformità ai sensi del capo VI del presente regolamentodell'articolo 38. [Em. 197]

Articolo 85 bis

Rispetto dei diritti fondamentali

Il presente regolamento non pregiudica l'obbligo di rispettare i diritti fondamentali e i principi giuridici fondamentali sanciti dall'articolo 6 del TUE. [Em. 198]

Articolo 85 ter

Formulari standard

1.  La Commissione può, tenendo conto delle specificità e delle esigenze dei diversi settori e situazioni di trattamento dei dati, stabilire formulari standard per:

a)   specifiche modalità di ottenimento del consenso verificabile di cui all'articolo 8, paragrafo 1;

b)  la comunicazione di cui all'articolo 12, paragrafo 2, anche in formato elettronico;

c)  la fornitura delle informazioni di cui all'articolo 14, paragrafi da 1 a 3;

d)  la richiesta e la concessione dell'accesso alle informazioni di cui all'articolo 15, paragrafo 1, anche per comunicare i dati personali all'interessato;

e)  la documentazione di cui all'articolo 28, paragrafo 1;

f)  la notifica di violazioni a norma dell'articolo 31 all'autorità di controllo e la documentazione di cui all'articolo 31, paragrafo 4;

g)  le consultazioni preventive di cui all'articolo 34 e per informare le autorità di controllo a norma dell'articolo 34, paragrafo 6.

2.  A tal fine, la Commissione prende misure adeguate per le micro, piccole e medie imprese.

3.  Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2. [Em. 199]

CAPO X

ATTI DELEGATI E ATTI DI ESECUZIONE

Articolo 86

Esercizio della delega

1.  Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

2.  La delegaIl potere di potereadottare gli atti delegati di cui all’articolo 613 bis, paragrafo 5, all’articolo 8, paragrafo 3, all’articolo 9, paragrafo 3, all’articolo 12, paragrafo 5, all’articolo 14, paragrafo 7, all’articolo 15, paragrafo 3, all’articolo 17, paragrafo 9, all’articolo 2038, paragrafo 6, all’articolo 22, paragrafo 4, all’articolo 23, paragrafo 3, all’articolo 26, paragrafo 5, all’articolo 28, paragrafo 5, all’articolo 30, paragrafo 3, all’articolo 31, paragrafo 5, all’articolo 32, paragrafo 5, all’articolo 33, paragrafo 6, all’articolo 34, paragrafo 8, all’articolo 35, paragrafo 11, all’articolo 37, paragrafo 2, all’articolo 39, paragrafo 2, all’articolo 41, paragrafo 3, all'articolo 41, paragrafo 5, all'articolo 43, paragrafo 3, all’articolo 4479, paragrafo 7, all’articolo 79, paragrafo 6, all’articolo 81, paragrafo 3, e all’articolo 82, paragrafo 3 e all’articolo 83, paragrafo 3, è conferitaconferito alla Commissione per un periodo indeterminato a decorrere dalla data di entrata in vigore del presente regolamento. [Em. 200]

3.  La delega di potere di cui all’articolo 613 bis, paragrafo 5, all’articolo 8, paragrafo 3, all’articolo 9, paragrafo 3, all’articolo 12, paragrafo 5, all’articolo 14, paragrafo 7, all’articolo 15, paragrafo 3, all’articolo 17, paragrafo 9, all’articolo 2038, paragrafo 6, all’articolo 22, paragrafo 4, all’articolo 23, paragrafo 3, all’articolo 26, paragrafo 5, all’articolo 28, paragrafo 5, all’articolo 30, paragrafo 3, all’articolo 31, paragrafo 5, all’articolo 32, paragrafo 5, all’articolo 33, paragrafo 6, all’articolo 34, paragrafo 8, all’articolo 35, paragrafo 11, all’articolo 37, paragrafo 2, all’articolo 39, paragrafo 2, all’articolo 41, paragrafo 3, all'articolo 41, paragrafo 5, all'articolo 43, paragrafo 3, all’articolo 4479, paragrafo 7, all’articolo 79, paragrafo 6, all’articolo 81, paragrafo 3, e all’articolo 82, paragrafo 3 e all’articolo 83, paragrafo 3, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell’Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore. [Em. 201]

4.  Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

5.  L’Un atto delegato adottato ai sensi dell’articolo 613 bis, paragrafo 5, dell’articolo 8, paragrafo 3,17, paragrafo 9, all'articolo 38, paragrafo 4, dell’articolo 939, paragrafo 2, dell'articolo 41, paragrafo 3, dell’articolo 1241, paragrafo 5, dell’articolo 14, paragrafo 7, dell’articolo 15, paragrafo 3, dell’articolo 17, paragrafo 9, dell’articolo 20, paragrafo 6, dell’articolo 22, paragrafo 4, dell’articolo 23, paragrafo 3, dell’articolo 26, paragrafo 5, dell’articolo 28, paragrafo 5, dell’articolo 30, paragrafo 3, dell’articolo 31, paragrafo 5, dell’articolo 32, paragrafo 5, dell’articolo 33, paragrafo 6, dell’articolo 34, paragrafo 8, dell’articolo 35, paragrafo 11, dell’articolo 37, paragrafo 2, dell’articolo 39, paragrafo 2, dell’articolo 43, paragrafo 3, dell’articolo 44, paragrafo 7, dell’articolo 79, paragrafo 67, dell’articolo 81, paragrafo 3, dell’articolo 82, paragrafo 3 e dell’articolo 83, paragrafo 3, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di duesei mesi su iniziativa del Parlamento europeo o del Consiglio. [Em. 202]

Articolo 87

Procedura di comitato

1.  La Commissione è assistita da un comitato. Tale comitato è un comitato ai sensi del regolamento (UE) n. 182/2011.

2.  Nel caso in cui è fatto riferimento al presente paragrafo, si applica l’articolo 5 del regolamento (UE) n. 182/2011.

3.  Nel caso in cui è fatto riferimento al presente paragrafo, si applica l’articolo 8 del regolamento (UE) n. 182/2011, in combinato disposto con l’articolo 5 del medesimo regolamento. [Em. 203]

CAPO XI

DISPOSIZIONI FINALI

Articolo 88

Abrogazione della direttiva 95/46/CE

1.  La direttiva 95/46/CE è abrogata.

2.  I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento. I riferimenti al gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall’articolo 29 della direttiva 95/46/CE si intendono fatti al comitato europeo per la protezione dei dati istituito dal presente regolamento.

Articolo 89

Rapporto con la direttiva 95/46/CE e sue modifiche

1.  Il presente regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento dei dati personali nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE.

2 L’articoloGli articoli 1, paragrafo 2, 4 e 15, della direttiva 2002/58/CE è soppressosono soppressi. [Em. 204]

2 bis.   La Commissione presenta tempestivamente ed entro la data di cui all'articolo 91, paragrafo 2, una proposta di revisione del quadro legislativo applicabile al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, onde conformarlo al presente regolamento nell'ottica di garantire norme giuridiche coerenti e omogenee in materia di diritto fondamentale alla protezione dei dati personali nell'Unione. [Em. 205]

Articolo 89 bis

Rapporto con il regolamento (CE) n. 45/2001 e sue modifiche

1.  Le norme previste dal presente regolamento si applicano al trattamento dei dati personali effettuato da istituzioni, organi, uffici e agenzie dell’Unione in relazione a questioni per le quali non sono soggetti alle norme supplementari stabilite dal regolamento (CE) n. 45/2001.

2.  La Commissione presenta, senza indugio ed entro la data specificata all'articolo 91, paragrafo 2, una proposta di revisione del quadro giuridico applicabile al trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell'Unione. [Em. 206]

Articolo 90

Valutazione

La Commissione trasmette al Parlamento europeo e al Consiglio, a scadenze regolari, relazioni di valutazione e sul riesame del presente regolamento. La prima relazione è trasmessa entro quattro anni dall’entrata in vigore del presente regolamento, le successe sono trasmesse ogni quattro anni. Se del caso, la Commissione presenta opportune proposte di modifica del presente regolamento e per l’allineamento di altri strumenti giuridici tenuto conto, in particolare, degli sviluppi delle tecnologie dell’informazione e dei progressi della società dell’informazione. Le relazioni sono pubblicate.

Articolo 91

Entrata in vigore e applicazione

1.  Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

2.  Esso si applica a decorrere da ...(22).

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a ..., il

Per il Parlamento europeo Per il Consiglio

Il presidente Il presidente

Allegato – Presentazione delle specifiche di cui all'articolo 13 bis

1)  Viste le proporzioni di cui al punto 6, le specifiche si forniscono come di seguito indicato:

20140312-P7_TA(2014)0212_IT-p0000001.png

2)  I seguenti termini nelle righe della seconda colonna del tabella al punto 1, intitolata "INFORMAZIONI ESSENZIALI", sono formattati in grassetto:

a)  il termine "raccolta" nella prima riga della seconda colonna;

b)  il termine "memorizzazione" nella seconda riga della seconda colonna;

c)  il termine "trattamento" nella terza riga della seconda colonna;

d)  il termine "forniti" nella quarta riga della seconda colonna;

e)  i termini "la vendita o l'affitto" nella quinta riga della seconda colonna;

f)  il termine "non cifrata" nella sesta riga della seconda colonna.

3)  Viste le proporzioni di cui al punto 6, le righe nella terza colonna della tabella al punto 1, intitolata "SÌ/NO", sono completate con una delle due icone conformemente alle condizioni di cui al punto 4:

a)

20140312-P7_TA(2014)0212_IT-p0000002.png

b)

20140312-P7_TA(2014)0212_IT-p0000003.png

4)  

a)  Se la raccolta di dati personali è limitata al minimo necessario per ogni specifica finalità del trattamento, la prima riga della terza colonna della tabella al punto 1 è completata con l'icona di cui al punto 3, lettera a).

b)  Se la raccolta di dati personali non è limitata al minimo necessario per ogni specifica finalità del trattamento, la prima riga della terza colonna della tabella al punto 1 è completata con l'icona di cui al punto 3, lettera b).

c)  Se la memorizzazione di dati personali è limitata al minimo necessario per ogni specifica finalità del trattamento, la seconda riga della terza colonna della tabella al punto 1 è completata con l'icona di cui al punto 3, lettera a).

d)  Se la memorizzazione di dati personali non è limitata al minimo necessario per ogni specifica finalità del trattamento, la seconda riga della terza colonna della tabella al punto 1 è completata con l'icona di cui al punto 3, lettera b).

e)  Se il trattamento di dati personali è limitato alle finalità per le quali sono stati raccolti, la terza riga della terza colonna della tabella al punto 1 è completata con l'icona di cui al punto 3, lettera a).

f)  Se il trattamento di dati personali non è limitato alle finalità per le quali sono stati raccolti, la terza riga della terza colonna della tabella al punto 1 è completata con l'icona di cui al punto 3, lettera b).

g)  Se non sono forniti dati personali a terze parti commerciali, la quarta riga della terza colonna della tabella al punto 1 è completata con l'icona di cui al punto 3, lettera a).

h)  Se sono forniti dati personali a terze parti commerciali, la quarta riga della terza colonna della tabella al punto 1 è completata con l'icona di cui al punto 3, lettera b).

i)  Se non sono effettuati la vendita o l'affitto dei dati personali, la quinta riga della terza colonna della tabella al punto 1 è completata con l'icona di cui al punto 3, lettera a).

j)  Se i dati personali sono venduti o affittati, la quinta riga della terza colonna della tabella al punto 1 è completata con l'icona di cui al punto 3, lettera b).

k)  Se i dati personali non sono memorizzati in forma non cifrata, la sesta riga della terza colonna della tabella al punto 1 è completata con l'icona di cui al punto 3, lettera a).

l)  Se i dati personali sono conservati in forma non cifrata, la sesta riga della terza colonna della tabella al punto 1 è completata con l'icona di cui al punto 3, lettera b).

5)  I colori di riferimento delle icone al punto 1 nel catalogo Pantone sono Pantone Nero n. 7547 e Pantone Rosso n. 485. Il colore di riferimento dell'icona al punto 3, lettera a), nel catalogo Pantone è Pantone Verde n. 370. Il colore di riferimento dell'icona al punto 3, lettera b), nel catalogo Pantone è Pantone Rosso n. 485.

6)  Le proporzioni fornite nel seguente grafico graduato sono rispettate anche in caso di riduzione o ingrandimento della tabella:

20140312-P7_TA(2014)0212_IT-p0000004.png

[Em. 207]

(1) GU C 229 del 31.7.2012, pag. 90.
(2) GU C 192 del 30.6.2012, pag. 7.
(3)GU C 229 del 31.7.2012, pag. 90.
(4)GU C 192 del 30.6.2012, pag. 7.
(5) Posizione del Parlamento europeo del 12 marzo 2014.
(6)Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).
(7) Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36).
(8)Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).
(9) Direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell'8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno (Direttiva sul commercio elettronico) (GU L 178 del 17.7.2000, pag. 1).
(10) Direttiva 93/13/CEE del Consiglio, del 5 aprile 1993, concernente le clausole abusive nei contratti stipulati con i consumatori (GU L 95 del 21.4.1993, pag. 29).
(11) Regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008, relativo alle statistiche comunitarie in materia di sanità pubblica e di salute e sicurezza sul luogo di lavoro (GU L 354 del 31.12.2008, pag. 70).
(12) Direttiva 2009/38/CE del Parlamento europeo e del Consiglio, del 6 maggio 2009, riguardante l'istituzione di un comitato aziendale europeo o di una procedura per l'informazione e la consultazione dei lavoratori nelle imprese e nei gruppi di imprese di dimensioni comunitarie (GU L 122 del 16.5.2009, pag. 28).
(13)Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).
(14) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002,relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).
(15)GU L 176 del 10.7.1999, pag. 36.
(16)GU L 53 del 27.2.2008, pag. 52.
(17)GU L 160 del 18.6.2011, pag. 21.
(18) Direttiva 2004/18/CE del Parlamento europeo e del Consiglio, del 31 marzo 2004, relativa al coordinamento delle procedure di aggiudicazione degli appalti pubblici di lavori, di forniture e di servizi (GU L 134 del 30.4.2004, pag. 114).
(19) Direttiva 2004/17/CE del Parlamento europeo e del Consiglio, del 31 marzo 2004, che coordina le procedure di appalto degli enti erogatori di acqua e di energia, degli enti che forniscono servizi di trasporto e servizi postali (GU L 134 del 30.4.2004, pag. 1).
(20) Regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001, pag. 43).
(21) Direttiva 2001/20/CE del Parlamento europeo e del Consiglio, del 4 aprile 2001, concernente il ravvicinamento delle disposizioni legislative, regolamentari ed amministrative degli Stati membri relative all'applicazione della buona pratica clinica nell'esecuzione della sperimentazione clinica di medicinali ad uso umano (GU L 121 dell'1.5.2001, pag. 34).
(22) Due anni dalla data di entrata in vigore del presente regolamento.


Protezione dell’euro contro la contraffazione (Pericle 2020) ***
PDF 183kWORD 33k
Risoluzione legislativa del Parlamento europeo del 12 marzo 2014 sul progetto di regolamento del Consiglio che estende agli Stati membri non partecipanti l'applicazione del regolamento (UE) n. .../2012 che istituisce un programma di azione in materia di scambi, assistenza e formazione per la protezione dell'euro contro la contraffazione monetaria (programma "Pericle 2020") (16616/2013 – C7-0463/2013 – 2011/0446(APP))
P7_TA(2014)0213A7-0152/2014

(Procedura legislativa speciale – approvazione)

Il Parlamento europeo,

–  visto il progetto di regolamento del Consiglio (16616/2013),

–  vista la richiesta di approvazione presentata dal Consiglio a norma dell'articolo 352 del trattato sul funzionamento dell'Unione europea (C7-0463/2013),

–  visto l'articolo 81, paragrafo 1, primo e terzo comma, del suo regolamento,

–  vista la raccomandazione della commissione per le libertà civili, la giustizia e gli affari interni (A7-0152/2014),

1.  dà la sua approvazione al progetto di regolamento del Consiglio;

2.  incarica il suo Presidente di trasmettere la posizione del Parlamento al Consiglio e alla Commissione nonché ai parlamenti nazionali.


Accordo UE-Azerbaigian relativo alla facilitazione del rilascio dei visti ***
PDF 185kWORD 33k
Risoluzione legislativa del Parlamento europeo del 12 marzo 2014 relativa al progetto di decisione del Consiglio concernente la conclusione dell'accordo di facilitazione del rilascio dei visti tra l'Unione europea e la Repubblica dell'Azerbaigian (17846/2013 – C7-0078/2014 – 2013/0356(NLE))
P7_TA(2014)0214A7-0155/2014

(Approvazione)

Il Parlamento europeo,

–  visto il progetto di decisione del Consiglio (17846/2013),

–  visto il progetto di accordo sulla facilitazione del rilascio dei visti tra l'Unione europea e la Repubblica dell'Azerbaigian (15554/2013),

–  vista la richiesta di approvazione presentata dal Consiglio a norma dell'articolo 77, paragrafo 2, lettera a), e dell'articolo 218, paragrafo 6, secondo comma, lettera a), del trattato sul funzionamento dell'Unione europea (C7-0078/2014),

–  visti l'articolo 81 e l'articolo 90, paragrafo 7, del suo regolamento,

–  visti la raccomandazione della commissione per le libertà civili, la giustizia e gli affari interni e il parere della commissione per gli affari esteri (A7-0155/2014),

1.  dà la sua approvazione alla conclusione dell'accordo;

2.  incarica il suo Presidente di trasmettere la posizione del Parlamento al Consiglio e alla Commissione nonché ai governi e ai parlamenti degli Stati membri e della Repubblica dell'Azerbaigian.


Accordo UE-Azerbaigian relativo alla riammissione delle persone che soggiornano illegalmente ***
PDF 184kWORD 33k
Risoluzione legislativa del Parlamento europeo del 12 marzo 2014 relativa al progetto di decisione del Consiglio sulla conclusione dell'accordo di riammissione delle persone che soggiornano illegalmente tra l'Unione europea e la Repubblica dell'Azerbaigian (15596/2013 – C7-0079/2014 – 2013/0358(NLE))
P7_TA(2014)0215A7-0154/2014

(Approvazione)

Il Parlamento europeo,

–  visto il progetto di decisione del Consiglio (15596/2013),

–  visto il progetto di accordo di riammissione delle persone che soggiornano illegalmente tra l'Unione europea e la Repubblica dell'Azerbaigian (15594/2013),

–  vista la richiesta di approvazione presentata dal Consiglio a norma dell'articolo 79, paragrafo 3, e dell'articolo 218, paragrafo 6, secondo comma, lettera a), del trattato sul funzionamento dell'Unione europea (C7-0079/2014),

–  visti l'articolo 81 e l'articolo 90, paragrafo 7, del suo regolamento,

–  visti la raccomandazione della commissione per le libertà civili, la giustizia e gli affari interni e il parere della commissione per gli affari esteri (A7-0154/2014),

1.  dà la sua approvazione alla conclusione dell'accordo;

2.  incarica il suo Presidente di trasmettere la posizione del Parlamento al Consiglio e alla Commissione nonché ai governi e ai parlamenti degli Stati membri e della Repubblica dell'Azerbaigian.


Impegno umanitario dei soggetti armati non statali per la protezione dei minori
PDF 116kWORD 43k
Raccomandazione del Parlamento europeo destinata al Consiglio del 12 marzo 2014 sull'impegno umanitario dei soggetti armati non statali per la protezione dei minori (2014/2012(INI))
P7_TA(2014)0216A7-0160/2014

Il Parlamento europeo,

–  vista la proposta di raccomandazione destinata al Consiglio di Catherine Grèze, Eva Joly, Isabella Lövin, Judith Sargentini, Bart Staes e Keith Taylor, a nome del gruppo Verts/ALE, sull'impegno umanitario dei soggetti armati non statali per la protezione dei minori (B7-0585/2013),

–  viste la relazione del Segretario generale delle Nazioni Unite sui minori e i conflitti armati del 2013 e altre relazioni di soggetti competenti,

–  visti gli orientamenti dell'Unione europea sui bambini e i conflitti armati del 2008, la strategia di attuazione degli orientamenti dell'Unione europea sui bambini e i conflitti armati del 2010 e la lista di controllo per l'integrazione della protezione dei bambini confrontati ai conflitti armati nelle operazioni PESD del 2008,

–  viste le conclusioni del Consiglio del 2008 sulla promozione e tutela dei diritti dei minori nell'azione esterna dell'Unione europea – dimensione dello sviluppo e dimensione umanitaria,

–  viste le sue risoluzioni del 19 febbraio 2009 dal titolo "Riservare ai minori un posto speciale nella politica esterna dell'UE"(1), del 16 gennaio 2008 dal titolo "Verso una strategia dell'Unione europea sui diritti dei minori"(2), del 3 luglio 2003 dal titolo "La tratta dei bambini e i bambini soldato"(3), del 6 luglio 2000 sul rapimento dei bambini da parte dell'Esercito di liberazione del Signore (LRA)(4), e del 17 dicembre 1998 sui bambini soldato(5),

–  viste le risoluzioni delle Nazioni Unite sui diritti dei minori, in particolare la risoluzione 1612 (2005) del Consiglio di sicurezza,

–  visto il protocollo opzionale alla Convenzione sui diritti del fanciullo concernente il coinvolgimento dei bambini nei conflitti armati del 2002,

–  visti gli impegni di Parigi per la protezione dei bambini contro il reclutamento illegale o l'impiego in forze o gruppi armati e i principi e le linee direttrici di Parigi sui bambini associati alle forze armate o ai gruppi armati, adottati il 6 febbraio 2007,

–  visti l'articolo 121, paragrafo 3, e l'articolo 97 del suo regolamento,

–  vista la relazione della commissione per lo sviluppo (A7-0160/2014),

A.  considerando che la maggior parte dei conflitti armati contemporanei vedono lo scontro tra uno o più soggetti armati non statali e i governi o altri gruppi armati, e che i civili e in particolare i minori sono le principali vittime di tali guerre;

B.  considerando che il raggio d'azione dei soggetti non statali è molto ampio e include una moltitudine di identità e di motivazioni nonché di livelli differenti di volontà e capacità di rispettare il diritto umanitario internazionale e altri principi del diritto internazionale, ma che tutti devono essere sottoposti a un controllo in proposito;

C.  considerando che al fine di migliorare la protezione dei civili, e in particolare dei minori, è necessario tener conto di tutte le parti coinvolte nei conflitti;

D.  considerando che le norme umanitarie internazionali si applicano in maniera vincolante a tutte le parti coinvolte in un conflitto armato;

E.  considerando che i conflitti armati hanno un impatto particolarmente devastante sullo sviluppo fisico e mentale dei minori, con conseguenze a lungo termine sulla sicurezza umana e sullo sviluppo sostenibile;

F.  considerando che lo statuto del Tribunale penale internazionale stabilisce che il reclutamento o l'arruolamento di minori di età inferiore ai 15 anni nelle forze armate o in gruppi armati o il loro coinvolgimento attivo nelle ostilità costituisce un crimine;

G.  considerando che il diritto internazionale vieta qualsiasi forma di violenza sessuale, in particolare nei confronti dei minori, e che gli atti di violenza sessuale possono costituire crimini di guerra, crimini contro l'umanità o genocidio;

H.  considerando che l'utilizzo delle mine antipersona è diminuito successivamente all'adozione della Convenzione sul divieto delle mine nel 1997, ma che rappresenta tuttora una minaccia per i minori, in particolare nei conflitti armati non di carattere internazionale;

I.  considerando che la comunità internazionale ha il dovere morale di attivarsi affinché tutte le parti coinvolte nei conflitti, sia gli Stati che i soggetti armati non statali, si impegnino al fine di tutelare i minori;

J.  considerando che la smobilitazione, la riabilitazione e il reinserimento dei bambini soldato devono essere incluse in qualsiasi negoziato e conseguente accordo di pace, nonché essere affrontate nel corso del conflitto stesso;

K.  considerando che una smobilitazione e un reinserimento dei bambini soldato soddisfacenti possono contribuire a prevenire i cicli continui di violenza;

1.  rivolge al Commissario allo sviluppo e al Vicepresidente della Commissione/Alto rappresentante dell'Unione per gli affari esteri e la politica di sicurezza le seguenti raccomandazioni:

   a) incoraggiare la firma, da parte degli Stati e dei soggetti armati non statali interessati, di piani d'azione per la protezione dei minori nei conflitti armati, con il Rappresentante speciale del Segretario generale delle Nazioni Unite, rammentando che tale impegno non implica un sostegno ai soggetti stessi né alle loro attività, né tanto meno un riconoscimento di legittimità;
   b) riconoscere gli sforzi compiuti dalle Nazioni Unite e dalle organizzazioni internazionali e non governative per persuadere i soggetti armati non statali a proteggere i minori, ribadendo tuttavia che ciò non implica il sostegno alle attività di tali soggetti né un riconoscimento di legittimità;
   c) includere nei dialoghi politici con i paesi terzi, ad esempio nel quadro dell'Accordo di Cotonou, l'obiettivo di prevenire e di arrestare il reclutamento e il coinvolgimento forzato di minori di età inferiore ai 18 anni e di garantire la loro liberazione e il loro reinserimento nella società;
   d) ribadire che gli Stati e i soggetti armati non statali devono rispettare il diritto umanitario internazionale e il diritto umanitario internazionale consuetudinario e sostenerli nell'adozione di misure specifiche volte a proteggere i civili, in particolare i minori, rammentando che tale impegno non implica un sostegno ai soggetti stessi né alle loro attività, né tanto meno un riconoscimento di legittimità;
   e) rammentare che il diritto umanitario internazionale rappresenta un quadro giuridico vincolante per i gruppi armati non statali e che l'articolo 3 comune delle convenzioni di Ginevra e il secondo protocollo addizionale del 1977 servono entrambi a tale scopo, al pari di un numero elevato di norme del diritto umanitario internazionale consuetudinario; esaminare, dato che ciò riveste un'importanza notevole, se le norme del diritto umanitario internazionale esistenti siano adeguate per trattare con i soggetti non statali o se sia necessario pervenire a un'ulteriore regolamentazione;
   f) impegnarsi direttamente, o indirettamente per il tramite di ONG e di organizzazioni umanitarie specializzate, con i soggetti armati non statali sulla questione della protezione delle ragazze e dei ragazzi, allo scopo di alleviare la sofferenza dei minori nei conflitti armati e di esortare i soggetti armati non statali a sottoscrivere l'Atto di impegno ad aderire all'appello di Ginevra per la protezione dei minori dagli effetti dei conflitti armati;
   g) sostenere le organizzazioni umanitarie impegnate nel dialogo con i soggetti armati non statali al fine di promuovere il rispetto delle norme umanitarie internazionali nei conflitti armati, e in particolare la protezione dei minori attraverso strumenti politici, diplomatici e finanziari;
   h) invitare gli Stati membri a unire gli sforzi internazionali per impedire gli attacchi contro le scuole e il loro utilizzo per scopi militari da parte di soggetti armati, attraverso la sottoscrizione del testo preliminare degli orientamenti Lucens per prevenire l'uso militare delle scuole e delle università durante i conflitti armati (Draft Lucens Guidelines for Protecting Schools and Universities from Military Use during Armed Conflict);

2.  incarica il suo Presidente di trasmettere la presente raccomandazione al Commissario allo sviluppo, al Vicepresidente della Commissione/Alto rappresentante dell'Unione per gli affari esteri e la politica di sicurezza, alla Commissione, al Consiglio e al Servizio europeo per l'azione esterna.

(1) GU C 76 E del 25.3.2010, pag. 3.
(2) GU C 41 E del 19.2.2009, pag. 24.
(3) GU C 74 E del 24.3.2004, pag. 854.
(4) GU C 121 del 24.4.2001, pag..401.
(5) GU C 98 del 9.4.1999, pag. 297.


Numero delle delegazioni interparlamentari, delle delegazioni alle commissioni parlamentari miste e delle delegazioni alle commissioni di cooperazione parlamentare e alle assemblee parlamentari multilaterali
PDF 115kWORD 39k
Decisione del Parlamento europeo del 12 marzo 2014 sul numero delle delegazioni interparlamentari, delle delegazioni alle commissioni parlamentari miste e delle delegazioni alle commissioni di cooperazione parlamentare e alle assemblee parlamentari multilaterali (2014/2632(RSO))
P7_TA(2014)0217B7-0240/2014

Il Parlamento europeo,

–  vista la proposta della Conferenza dei presidenti,

–  visti gli accordi di associazione e di cooperazione, nonché gli altri accordi conclusi dall'Unione europea con paesi terzi,

–  visti gli articoli 198 e 200 del suo regolamento,

A.  con l'intento di contribuire, mediante un costante dialogo interparlamentare, al rafforzamento della democrazia parlamentare,

1.  decide di fissare il numero delle delegazioni e i loro raggruppamenti regionali nel modo seguente:

   a) Europa, Balcani occidentali e Turchia
     Delegazioni alla:
   commissione parlamentare mista UE-ex Repubblica iugoslava di Macedonia
   commissione parlamentare mista UE-Turchia
     Delegazione per le relazioni con la Svizzera e la Norvegia, alla commissione parlamentare mista UE-Islanda e alla commissione parlamentare mista dello Spazio economico europeo (SEE)
     Delegazione alla commissione parlamentare di stabilizzazione e di associazione (SAPC) UE-Serbia
     Delegazione alla commissione parlamentare di stabilizzazione e di associazione (SAPC) UE-Albania
     Delegazione alla commissione parlamentare di stabilizzazione e di associazione (SAPC) UE-Montenegro
     Delegazione per le relazioni con la Bosnia-Erzegovina e il Kosovo
   b) Russia e Stati del Partenariato orientale
     Delegazione alla commissione di cooperazione parlamentare UE-Russia
     Delegazione alla commissione di cooperazione parlamentare UE-Ucraina
     Delegazione alla commissione di cooperazione parlamentare UE-Moldova
     Delegazione per le relazioni con la Bielorussia
     Delegazione alle commissioni di cooperazione parlamentare UE-Armenia, UE-Azerbaigian e UE-Georgia
   c) Maghreb, Mashreq, Israele e Palestina
     Delegazioni per le relazioni con:
   Israele
   il Consiglio legislativo palestinese
   i paesi del Maghreb e l'Unione del Maghreb arabo
   i paesi del Mashreq
   d) Penisola arabica, Iraq e Iran
     Delegazioni per le relazioni con:
   la penisola arabica
   l'Iraq
   l'Iran
   e) Americhe
     Delegazioni per le relazioni con:
   gli Stati Uniti
   il Canada
   la Repubblica federativa del Brasile
   i paesi dell'America centrale
   i paesi della Comunità andina
   il Mercosur
     Delegazione alla commissione parlamentare mista UE-Messico
     Delegazione alla commissione parlamentare mista UE-Cile
     Delegazione alla commissione parlamentare Cariforum-UE
   f) Asia/Pacifico
     Delegazioni per le relazioni con:
   il Giappone
   la Repubblica popolare cinese
   l'India
   l'Afghanistan
   i paesi dell'Asia meridionale
   i paesi del Sud-Est asiatico e l'Associazione delle nazioni del Sud-Est asiatico (ASEAN)
   la Penisola coreana
   l'Australia e la Nuova Zelanda
     Delegazione alle commissioni di cooperazione parlamentare UE-Kazakistan, UE-Kirghizistan, UE-Uzbekistan e UE-Tagikistan, e per le relazioni con il Turkmenistan e la Mongolia
   g) Africa
     Delegazioni per le relazioni con:
   il Sudafrica
   il Parlamento panafricano
   h) Assemblee multilaterali
     Delegazione all'Assemblea parlamentare paritetica ACP-UE
     Delegazione all'Assemblea parlamentare dell'Unione per il Mediterraneo
     Delegazione all'Assemblea parlamentare euro-latinoamericana
     Delegazione all'Assemblea parlamentare Euronest
     Delegazione per le relazioni con l'Assemblea parlamentare della NATO;

2.  decide che alle commissioni parlamentari create sulla base dell'accordo di partenariato economico (APE) possano partecipare esclusivamente i membri della commissione per il commercio internazionale e della commissione per lo sviluppo – garantendo che la commissione per il commercio internazionale, in quanto commissione competente, conservi il ruolo guida – e che esse coordinino attivamente i propri lavori con l'Assemblea parlamentare paritetica ACP-UE;

3.  decide che all'Assemblea parlamentare dell'Unione per il Mediterraneo, all'Assemblea parlamentare euro-latinoamericana e all'Assemblea parlamentare Euronest possano partecipare esclusivamente i membri delle rispettive delegazioni bilaterali o subregionali;

4.  decide che alla delegazione per le relazioni con l'Assemblea parlamentare della NATO possano partecipare esclusivamente i membri della sottocommissione per la sicurezza e la difesa;

5.  decide che la Conferenza dei presidenti di delegazione rediga un progetto di calendario semestrale, che deve essere approvato dalla Conferenza dei presidenti previa consultazione della commissione per gli affari esteri, della commissione per lo sviluppo e della commissione per il commercio internazionale, fermo restando tuttavia che la Conferenza dei presidenti può modificare il calendario per reagire agli eventi politici;

6.  decide che i gruppi politici e i deputati non iscritti designino, per ciascuna delegazione, un numero di supplenti permanenti che non potrà superare il numero dei membri titolari che rappresentano i gruppi o i deputati non iscritti;

7.  decide di intensificare la cooperazione e la consultazione con le commissioni interessate dall'attività delle delegazioni organizzando riunioni congiunte tra tali organi nei luoghi di lavoro abituali;

8.  dichiara che si adopererà per garantire concretamente che uno o più relatori o presidenti di commissione possano parimenti partecipare ai lavori delle delegazioni, delle commissioni interparlamentari miste, delle commissioni di cooperazione parlamentare e delle assemblee parlamentari multilaterali; decide che il Presidente, su richiesta congiunta dei presidenti della delegazione e della commissione interessate, autorizzi tali missioni;

9.  stabilisce che la presente decisione entrerà in vigore alla prima tornata dell'ottava legislatura;

10.  incarica il suo Presidente di trasmettere la presente decisione al Consiglio, alla Commissione e al Servizio europeo per l'azione esterna.


Fornitura di informazioni sugli alimenti ai consumatori, per quanto riguarda la definizione di "nanomateriali ingegnerizzati"
PDF 200kWORD 41k
Risoluzione del Parlamento europeo del 12 marzo 2014 sul regolamento delegato della Commissione del 12 dicembre 2013, che modifica il regolamento (UE) n. 1169/2011 del Parlamento europeo e del Consiglio relativo alla fornitura di informazioni sugli alimenti ai consumatori, per quanto concerne la definizione di "nanomateriali ingegnerizzati" (C(2013)08887 – 2013/2997(DEA))
P7_TA(2014)0218B7-0185/2014

Il Parlamento europeo,

–  visto il regolamento delegato della Commissione (C(2013)08887),

–  visto l'articolo 290 del trattato sul funzionamento dell'Unione europea,

–  visto il regolamento (UE) n. 1169/2011 del Parlamento europeo e del Consiglio, del 25 ottobre 2011, relativo alla fornitura di informazioni sugli alimenti ai consumatori(1), in particolare l'articolo 2, paragrafo 2, lettera t), l'articolo 18, paragrafi 3 e 5, e l'articolo 51, paragrafo 5,

–  vista la proposta di regolamento del Parlamento europeo e del Consiglio relativo ai nuovi prodotti alimentari, presentata dalla Commissione (COM(2013)0894),

–  visto il regolamento (CE) n. 1333/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008, relativo agli additivi alimentari(2),

–  visti gli elenchi dell'Unione istituiti dal regolamento (UE) n. 1129/2011 della Commissione, dell'11 novembre 2011, che modifica l'allegato II del regolamento (CE) n. 1333/2008 del Parlamento europeo e del Consiglio istituendo un elenco dell'Unione di additivi alimentari(3) e dal regolamento (UE) n. 1130/2011 della Commissione, dell'11 novembre 2011, che modifica l'allegato III del regolamento (CE) n. 1333/2008 del Parlamento europeo e del Consiglio relativo agli additivi alimentari istituendo un elenco dell'Unione degli additivi alimentari autorizzati negli additivi alimentari, negli enzimi alimentari, negli aromi alimentari e nei nutrienti(4),

–  visto il regolamento (UE) n. 257/2010 della Commissione, del 25 marzo 2010, che istituisce un programma per una nuova valutazione degli additivi alimentari autorizzati conformemente al regolamento (CE) n. 1333/2008 del Parlamento e del Consiglio relativo agli additivi alimentari(5),

–  vista la proposta di risoluzione della commissione per l'ambiente, la sanità pubblica e la sicurezza alimentare,

–  visto l'articolo 87 bis, paragrafo 3, del suo regolamento,

A.  considerando che l'articolo 18, paragrafo 3, del regolamento (UE) n. 1169/2011 relativo alla fornitura di informazioni sugli alimenti ai consumatori ("regolamento FIC") stabilisce che tutti gli ingredienti presenti sotto forma di nanomateriali ingegnerizzati devono essere chiaramente indicati nell'elenco degli ingredienti per garantire che i consumatori siano informati; che pertanto il regolamento FIC riporta una definizione di "nanomateriali ingegnerizzati";

B.  considerando che l'articolo 18, paragrafo 5, del regolamento FIC conferisce alla Commissione il potere di adeguare e adattare la definizione di "nanomateriali ingegnerizzati" ivi contenuta al progresso tecnico e scientifico o alle definizioni concordate a livello internazionale, mediante atti delegati, ai fini del conseguimento degli obiettivi di detto regolamento;

C.  considerando che la raccomandazione della Commissione 2011/696/UE stabilisce una definizione generale di nanomateriali;

D.  considerando che i regolamenti (UE) n. 1129/2011 e (UE) n. 1130/2011 della Commissione hanno istituito elenchi esaustivi dell'Unione contenenti gli additivi alimentari il cui uso era autorizzato prima dell'entrata in vigore del regolamento (CE) n. 1333/2008, in seguito alla revisione della loro conformità alle disposizioni ivi contenute;

E.  considerando che il regolamento delegato della Commissione esclude dalla nuova definizione di "nanomateriale ingegnerizzato" tutti gli additivi alimentari inclusi negli elenchi dell'Unione e suggerisce invece che la necessità di requisiti specifici di etichettatura in materia di nanotecnologia per tali additivi dovrebbe essere affrontata nel contesto del programma per una nuova valutazione di cui al regolamento (UE) n. 257/2010 della Commissione modificando, se necessario, le condizioni d'impiego dell'allegato II del regolamento (CE) n. 1333/2008 e le specifiche di tali additivi alimentari fissate nel regolamento (UE) n. 231/2012 della Commissione(6);

F.  considerando che attualmente sono proprio gli additivi alimentari che possono essere presenti negli alimenti sotto forma di nanomateriali;

G.  considerando che tale esenzione generale annulla i requisiti di etichettatura per tutti gli additivi alimentari che sono nanomateriali ingegnerizzati; che ciò priva l'atto legislativo del suo principale "effetto utile" ed è in contrasto con l'obiettivo fondamentale della direttiva ossia il conseguimento di un livello elevato di protezione della salute e degli interessi dei consumatori fornendo ai consumatori finali una base sulla quale operare scelte informate;

H.  considerando che la Commissione motiva l'esenzione generale per tutti gli additivi alimentari esistenti con l'affermazione secondo la quale "l'indicazione di tali additivi alimentari nell'elenco degli ingredienti seguita dalla dicitura "nano" fra parentesi può tuttavia confondere i consumatori, dato che può indurli a credere che gli additivi siano nuovi mentre in realtà sono stati utilizzati in tale forma nei prodotti alimentari per decenni";

I.  considerando che detta motivazione è errata e non pertinente poiché il regolamento FIC non introduce una distinzione tra nanomateriali esistenti e nanomateriali nuovi, ma prevede esplicitamente l'etichettatura di tutti gli ingredienti presenti sotto forma di nanomateriali ingegnerizzati;

J.  considerando che l'intenzione dichiarata dalla Commissione di affrontare la necessità di requisiti specifici di etichettatura in materia di nanotecnologia per gli additivi alimentari negli elenchi dell'Unione nel contesto del programma per una nuova valutazione è inadeguata poiché confonde le questioni di sicurezza con i requisiti generali di etichettatura volti a informare i consumatori; che ciò indica altresì che la Commissione mette in discussione la necessità stessa di requisiti specifici di nano-etichettatura violando così le disposizioni dell'articolo 18, paragrafo 3, del regolamento FIC; che un additivo alimentare o è un nanomateriale o non lo è, e che tali requisiti di etichettatura devono essere applicati a tutti gli additivi alimentari autorizzati che sono nanomateriali, indipendentemente dalle condizioni d'impiego o da altre specifiche;

K.  considerando inoltre che è inaccettabile fare riferimento a un programma isolato per una nuova valutazione, che esisteva già quando il legislatore ha deciso di introdurre requisiti espliciti di etichettatura nel regolamento FIC, nel tentativo di annullare tali requisiti di etichettatura tre anni dopo;

1.  solleva obiezioni al regolamento delegato della Commissione;

2.  ritiene che il regolamento delegato della Commissione non sia conforme allo scopo e al contenuto del regolamento (UE) n. 1169/2011 e che superi i poteri delegati conferiti alla Commissione a norma di quest'ultimo;

3.  chiede alla Commissione di presentare un nuovo atto delegato che tenga conto della posizione del Parlamento;

4.  incarica il suo Presidente di trasmettere la presente risoluzione alla Commissione e di comunicarle che il regolamento delegato non può entrare in vigore;

5.  incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio nonché ai governi e ai parlamenti degli Stati membri.

(1) GU L 304 del 22.11.2011, pag. 18.
(2) GU L 354 del 31.12.2008, pag. 16.
(3) GU L 295 del 12.11.2011, pag. 1.
(4) GU L 295 del 12.11.2011, pag. 178.
(5) GU L 80 del 26.3.2010, pag. 19.
(6) Regolamento (UE) n. 231/2012 della Commissione, del 9 marzo 2012, che stabilisce le specifiche degli additivi alimentari elencati negli allegati II e III del regolamento (CE) n. 1333/2008 del Parlamento europeo e del Consiglio (GU L 83 del 22.3.2012, pag. 1.).


Trattamento dei dati personali ai fini di prevenzione di reati ***I
PDF 720kWORD 326k
Risoluzione
Testo consolidato
Risoluzione legislativa del Parlamento europeo del 12 marzo 2014 sulla proposta di direttiva del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))
P7_TA(2014)0219A7-0403/2013

(Procedura legislativa ordinaria: prima lettura)

Il Parlamento europeo,

–  vista la proposta della Commissione al Parlamento europeo e al Consiglio (COM(2012)0010),

–  visti l'articolo 294, paragrafo 2, e l'articolo 16 del trattato sul funzionamento dell'Unione europea, a norma dei quali la proposta gli è stata presentata dalla Commissione (C7‑0024/2012),

–  visto l'articolo 294, paragrafo 3, del trattato sul funzionamento dell'Unione europea,

–  visti i pareri motivati inviati dal Bundesrat tedesco e dal Parlamento svedese, nel quadro del protocollo n. 2 sull'applicazione dei principi di sussidiarietà e di proporzionalità, in cui si dichiara la mancata conformità del progetto di atto legislativo al principio di sussidiarietà,

–  visto il parere del Garante europeo della protezione dei dati del 7 marzo 2012(1),

–  visto il parere dell'Agenzia dell'Unione europea per i diritti fondamentali del 1° ottobre 2012,

–  visto l'articolo 55 del suo regolamento,

–  visti la relazione della commissione per le libertà civili, la giustizia e gli affari interni e il parere della commissione giuridica (A7-0403/2013),

1.  adotta la posizione in prima lettura figurante in appresso;

2.  chiede alla Commissione di presentargli nuovamente la proposta qualora intenda modificarla sostanzialmente o sostituirla con un nuovo testo;

3.  incarica il suo Presidente di trasmettere la posizione del Parlamento al Consiglio e alla Commissione nonché ai parlamenti nazionali.

Posizione del Parlamento europeo definita in prima lettura il 12 marzo 2014 in vista dell'adozione della direttiva 2014/.../UE del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati

P7_TC1-COD(2012)0010


IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16, paragrafo 2,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Garante europeo della protezione dei dati(2)

deliberando secondo la procedura legislativa ordinaria(3),

considerando quanto segue:

(1)  La tutela delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea ("Carta") e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. L'articolo 8, paragrafo 2, della Carta sancisce che tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e previo consenso della persona interessata o in base ad altro legittimo fondamento previsto dalla legge. [Em. 1]

(2)  Il trattamento dei dati personali è al servizio dell'uomo; i principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali devono rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali, a prescindere dalla nazionalità o dalla residenza dell'interessato. Il trattamento dei dati personali dovrebbe contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia.

(3)  La rapidità dell'evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati è aumentata in modo vertiginoso e la tecnologia attuale consente alle competenti autorità di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività.

(4)  Tale evoluzione impone, se necessario e conforme al principio di proporzionalità, di agevolare la libera circolazione dei dati tra le autorità competenti all'interno dell'Unione e il trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali. Ciò richiede un quadro giuridico più solido e coerente in materia di protezione dei dati nell'Unione, affiancato da efficaci misure di attuazione. [Em. 2]

(5)  La direttiva 95/46/CE del Parlamento europeo e del Consiglio(4), si applica a tutte le attività di trattamento di dati personali negli Stati membri nel settore pubblico e in quello privato. Non si applica invece ai trattamenti di dati personali effettuati per l'esercizio di attività che non rientrano nell'ambito di applicazione del diritto comunitario quali le attività nei settori della cooperazione di polizia e la cooperazione giudiziaria in materia penale.

(6)  La decisione quadro 2008/977/GAI del Consiglio(5) si applica ai settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia. Il campo di applicazione della decisione quadro si limita al trattamento dei dati personali trasmessi o resi disponibili tra Stati membri.

(7)  Assicurare un livello uniforme ed elevato di protezione dei dati personali delle persone fisiche e facilitare lo scambio di dati personali tra le autorità competenti degli Stati membri è essenziale al fine di garantire un'efficace cooperazione di polizia e giudiziaria in materia penale. Per questo occorre un livello di tutela equivalente in tutti gli Stati membri dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione delle sanzioni penali. Occorre pertanto garantire un'applicazione coerente e omogenea delle norme a tutela delle libertà e dei diritti fondamentali delle persone fisiche con riguardo al trattamento dei dati personali su tutto il territorio dell'Unione. Un'efficace protezione dei dati personali in tutta l'Unione presuppone il rafforzamento dei diritti delle persone cui si riferiscono i dati e degli obblighi di coloro che trattano dati personali, ma anche poteri equivalenti per controllare e garantire il rispetto delle norme di protezione dei dati personali negli Stati membri. [Em. 3]

(8)  L'articolo 16, paragrafo 2, del trattato sul funzionamento dell'Unione europea conferisce al Parlamento europeo e al Consiglio il mandato di stabilire le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale e le norme relative alla libera circolazione dei loro dati personali. [Em. 4]

(9)  Su tale base, il regolamento (UE) n. …/2014 del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) stabilisce norme generali per la tutela delle persone fisiche in relazione al trattamento dei dati personali e per la libera circolazione dei dati personali nell'Unione.

(10)  Nella dichiarazione n. 21, relativa alla protezione dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia, allegata all'atto finale della conferenza intergovernativa che ha adottato il trattato di Lisbona, la conferenza riconosce che potrebbero rivelarsi necessarie, in considerazione della specificità dei settori in questione, norme specifiche sulla protezione dei dati personali e sulla libera circolazione di tali dati nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, in base all'articolo 16 del trattato sul funzionamento dell'Unione europea.

(11)  Occorre pertanto che una distinta direttiva specifica, conforme alla specificità dei settori in questione, stabilisca le norme relative alla tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. [Em. 5]

(12)  Per garantire un medesimo livello di protezione alle persone fisiche attraverso diritti azionabili in tutta l'Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati tra le autorità competenti, è necessario che la presente direttiva stabilisca norme armonizzate per la protezione e la libera circolazione dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia.

(13)  La presente direttiva ammette, nell'applicazione delle sue disposizioni, che si tenga conto del principio del pubblico accesso ai documenti ufficiali.

(14)  È necessario che la protezione prevista dalla presente direttiva si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei dati personali.

(15)  La protezione delle persone fisiche deve essere neutrale sotto il profilo tecnologico e non dipendere dalle tecniche impiegate; in caso contrario, si correrebbero gravi rischi di elusione. La protezione delle persone fisiche deve applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati sono contenuti o destinati a essere contenuti in un archivio. Non dovrebbero rientrare nell'ambito di applicazione della presente direttiva i fascicoli o le serie di fascicoli, e le rispettive copertine, non strutturati secondo criteri specifici. La presente direttiva non dovrebbe applicarsi al trattamento di dati personali effettuato nell'ambito di un'attività che non rientra nell'ambito di applicazione del diritto dell'Unione, in particolare la sicurezza nazionale, né ai dati trattati da istituzioni, organi, uffici e agenzie dell'Unione, quali Europol o Eurojust . Il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio(6) e gli strumenti giuridici specifici per le agenzie, gli organi e gli uffici dell'Unione devono essere allineati e applicati in modo conforme alla presente direttiva. [Em. 6]

(16)  È necessario applicare i principi di protezione a tutte le informazioni relative a una persona fisica identificata o identificabile. Per stabilire l'identificabilità di una persona fisica, è opportuno considerare tutti i mezzi di cui il responsabile del trattamento o un terzo può ragionevolmente avvalersi per identificare o individuare detta persona. Non è necessario applicare i principi di protezione ai dati resi sufficientemente anonimi da impedire l'identificazione dell'interessato. La presente direttiva non dovrebbe applicarsi ai dati anonimi, ossia ai dati che non possono essere riferiti, direttamente o indirettamente, da soli o in combinazione con dati associati, a una persona fisica. Considerata l'importanza degli sviluppi tecnologici in atto nell'ambito della società dell'informazione, delle tecniche impiegate per acquisire, trasmettere, manipolare, registrare, archiviare o comunicare dati relativi all'ubicazione di persone fisiche che possono essere utilizzati per finalità diverse tra cui la sorveglianza o la creazione di profili, la presente direttiva dovrebbe essere applicabile al trattamento di tali dati personali. [Em. 7]

(16 bis)  Qualsiasi trattamento di dati personali deve essere lecito, equo e trasparente nei confronti dell'interessato. In particolare, le finalità specifiche del trattamento dei dati dovrebbero essere esplicite e legittime e precisate al momento della raccolta dei dati. I dati personali dovrebbero essere adeguati, pertinenti e limitati al minimo necessario per le finalità del trattamento, donde l'obbligo, soprattutto, di limitare la raccolta e il periodo di conservazione dei dati al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è conseguibile con altri mezzi. Occorre adottare ogni ragionevole misura per garantire che i dati personali inesatti siano rettificati o cancellati. Onde garantire che i dati non siano conservati più a lungo del necessario, il responsabile del trattamento dovrebbe fissare un termine per la cancellazione o per la verifica periodica. [Em. 8]

(17)  Nei dati personali relativi alla salute dovrebbero rientrare, in particolare, tutti i dati riguardanti lo stato di salute di un interessato, le informazioni sulle richieste di prestazione di servizi sanitari; le informazioni sui pagamenti o l'ammissibilità all'assistenza sanitaria; un numero, simbolo o elemento specifico attribuito per identificare l'interessato in modo univoco a fini sanitari; qualsiasi informazione raccolta nel corso della prestazione di servizi sanitari a detta persona; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i campioni biologici; l'identificazione di una persona come prestatore di assistenza sanitaria all'interessato; qualsiasi informazione riguardante, ad esempio, una malattia, l'invalidità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o l'effettivo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, ad esempio un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.

(18)  Qualsiasi trattamento di dati personali deve essere lecito ed equo nei confronti dell'interessato. In particolare, dovrebbero essere esplicitati gli scopi specifici per cui i dati sono trattati. [Em. 9]

(19)  Nell'interesse della prevenzione, dell'indagine e del perseguimento di reati, è necessario che le autorità competenti conservino e trattino i dati personali raccolti a fini di prevenzione, indagine, accertamento o perseguimento di specifici reati al di là di tale contesto, per sviluppare conoscenze dei fenomeni e delle tendenze criminali, raccogliere intelligence sulle reti del crimine organizzato e mettere in collegamento diversi reati. [Em. 10]

(20)  I dati personali non devono essere trattati per finalità incompatibili con la finalità per la quale sono stati raccolti. I dati personali devono essere adeguati, pertinenti e non eccedere le finalità per le quali sono elaborati. Occorre adottate tutte le misure ragionevoli per garantire che i dati personali inesatti siano rettificati o cancellati. [Em. 11]

(20 bis)  Il semplice fatto che due finalità riguardino entrambe la prevenzione, l'indagine, l'accertamento e il perseguimento di reati o l'esecuzione di sanzioni penali non significa necessariamente che siano compatibili. Tuttavia, in taluni casi dovrebbe essere possibile consentire un ulteriore trattamento per finalità incompatibili, qualora risulti necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, per proteggere gli interessi vitali dell'interessato o di un terzo o per prevenire un'immediata e grave minaccia alla sicurezza pubblica. È necessario quindi che gli Stati membri adottino leggi nazionali che prevedono tali deroghe nella misura strettamente necessaria. Tali leggi nazionali dovrebbero prevedere garanzie adeguate. [Em. 12]

(21)  Il principio dell'esattezza dei dati deve essere applicato tenendo conto della natura e della finalità del trattamento in questione. In particolare nei procedimenti giudiziari, le dichiarazioni contenenti dati personali sono basate sulla percezione soggettiva delle persone e non sempre sono verificabili. Il requisito dell'esattezza non deve pertanto riferirsi all'esattezza di una dichiarazione ma al semplice fatto che è stata rilasciata.

(22)  Nell'interpretare e applicare i principi generali di trattamento dei dati personali a cura delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, occorre tener conto delle specificità del settore, compresi gli obiettivi specifici perseguiti. [Em. 13]

(23)  È inerente al trattamento dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia, che siano elaborati dati personali relativi a diverse categorie di interessati. Pertanto deve essere operata, per quanto possibile, una chiara distinzione tra i dati personali relativi a diverse categorie di interessati: indiziati, condannati, vittime di reato e terzi (testimoni, persone informate, persone in contatto o collegate a indiziati o condannati). È necessario che gli Stati membri prevedano norme specifiche sulle conseguenze di tale distinzione in categorie, prendendo in considerazione le diverse finalità per le quali i dati sono raccolti e fornendo garanzie specifiche per le persone non sospettate di aver commesso o non condannate per reati penali. [Em. 14]

(24)  Per quanto possibile i dati di carattere personale vanno distinti in base al loro livello di accuratezza e affidabilità. Occorre che i fatti rimangano distinti dalle valutazioni personali, al fine di garantire la protezione delle persone così come la qualità e l'affidabilità delle informazioni trattate dalle autorità competenti.

(25)  Per essere lecito, il trattamento dei dati dovrebbe essere consentito soltanto quando è necessario per l'esecuzione di un compito di un'autorità competente in base al diritto nazionale dell'Unione o degli Stati membri e, per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, per proteggere gli interessi vitali dell'interessato o di un terzo o per prevenire un'immediata e grave minaccia alla sicurezza pubblica. Le disposizioni unionali o nazionali dovrebbero essere esplicite e dettagliate quanto meno riguardo alle finalità, ai dati personali e agli obiettivi e mezzi specifici; dovrebbero designare o consentire di designare il responsabile del trattamento ed indicare le procedure da seguire, l'uso e le limitazioni dell'ambito di discrezionalità eventualmente concesso alle autorità competenti in relazione alle operazioni di trattamento. [Em. 15]

(25 bis)  I dati personali non dovrebbero essere trattati per finalità incompatibili con quelle per cui sono stati raccolti. L'ulteriore trattamento da parte delle autorità competenti per una finalità rientrante nell'ambito di applicazione della presente direttiva ed incompatibile con la finalità iniziale dovrebbe essere autorizzato solo in casi specifici per adempiere un obbligo legale al quale il responsabile del trattamento è soggetto in base al diritto di uno Stato membro o dell'Unione, per proteggere gli interessi vitali dell'interessato o di un terzo o per prevenire un'immediata e grave minaccia alla sicurezza pubblica. Il fatto che i dati siano trattati per applicare la legge non significa necessariamente che tale scopo sia compatibile con la finalità iniziale. Il concetto di uso compatibile dovrebbe essere interpretato in modo restrittivo. [Em. 16]

(25 ter)  I dati personali trattati in violazione delle disposizioni nazionali adottate ai sensi della presente direttiva non dovrebbero più essere trattati. [Em. 17]

(26)  Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili e vulnerabili sotto il profilo dei diritti fondamentali o della vita privata, compresi i dati genetici. Tali dati non devono essere oggetto di trattamento, salvo che tale operazione sia espressamente autorizzata per legge, che preveda esplicitamente necessaria per l'adempimento di un compito eseguito nel pubblico interesse, sulla base di disposizioni del diritto unionale o di uno Stato membro che prevedano adeguate garanzie a tutela dei diritti fondamentali e degli interessi legittimi dell'interessato, oppure quando il trattamento è necessario per salvaguardare un interesse vitale dell'interessato o di un terzo, o riguardi dati resi manifestamente pubblici dall'interessato. I dati personali sensibili dovrebbero essere trattati solo se integrano altri dati personali già oggetto di trattamento per finalità inerenti all'applicazione di disposizioni legislative. Le deroghe al divieto di trattamento di dati sensibili dovrebbero essere interpretate in modo restrittivo, senza determinare trasferimenti frequenti, ingenti o strutturali di dati personali sensibili. [Em. 18]

(26 bis)  Il trattamento dei dati genetici dovrebbe essere consentito unicamente in presenza di un collegamento genetico che emerga durante un'indagine penale o un procedimento giudiziario. I dati genetici dovrebbero essere archiviati soltanto per il tempo strettamente necessario ai fini dell'indagine e dei procedimenti, mentre gli Stati membri possono prevedere un'archiviazione più lunga alle condizioni precisate nella presente direttiva. [Em. 19]

(27)  Ogni persona ha dovrebbe avere il diritto di non essere oggetto di una misura basata unicamente su un , in tutto o in parte, sulla profilazione mediante trattamento automatizzato se ciò . Tale trattamento, che produce conseguenze giuridiche pregiudizievoli nei suoi confrontinei confronti della persona interessata o la danneggia significativamente, dovrebbe essere vietato, salvo quando autorizzato da una legge che precisi le misure atte a salvaguardare i diritti fondamentali e gli interessi legittimi dell'interessato, compreso il diritto a ricevere informazioni significative sulla ratio sottesa alla profilazione. Il trattamento non dovrebbe in nessun caso contenere, generare o discriminare in base a particolari categorie di dati. [Em. 20]

(28)  Affinché l'interessato possa esercitare i propri diritti, qualsiasi informazione a questi destinata deve essere di facile accesso e comprensione, il che presuppone l'utilizzo di un linguaggio semplice e chiaro. Le informazioni dovrebbero essere adattate alle esigenze dell'interessato, in particolare quando sono destinate specificamente a un minore. [Em. 21]

(29)  Occorre predisporre modalità volte ad agevolare l'esercizio dei diritti di cui alla presente direttiva, compresi i meccanismi per la richiesta, gratuita, di accedere ai dati, rettificarli e cancellarli. Il responsabile del trattamento dovrebbe essere tenuto a rispondere alle richieste dell'interessato senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta. Qualora i dati personali siano trattati con modalità automatizzate, il responsabile del trattamento dovrebbe altresì predisporre i mezzi per inoltrare le richieste per via elettronica. [Em. 22]

(30)  Il principio di trattamento equo e trasparente implica che l'interessato sia informato in particolare dell'esistenza del trattamento e delle sue finalità, della sua base giuridica, del periodo di conservazione dei dati, del diritto di accesso, rettifica o cancellazione e del diritto di proporre un reclamo. L'interessato dovrebbe anche sapere se viene effettuata una profilazione e con quali risultati previsti. In caso di dati raccolti direttamente presso l'interessato, questi deve inoltre essere informato dell'eventuale obbligo di fornire i propri dati e delle conseguenze a cui va incontro se si rifiuta di fornirli. [Em. 23]

(31)  L'interessato dovrebbe ricevere le informazioni relative al trattamento di dati personali al momento della raccolta o, se i dati non sono raccolti direttamente presso l'interessato, all'atto della registrazione o entro un termine ragionevole, in funzione delle circostanze del caso.

(32)  Ogni persona dovrebbe avere il diritto di accedere ai dati raccolti che la riguardano e di esercitare tale diritto facilmente, per essere consapevole del trattamento e verificarne la liceità. Occorre pertanto che ogni interessato abbia il diritto di conoscere e ottenere comunicazioni specie in relazione alla finalità del trattamento, alla base giuridica, al periodo di conservazione e ai destinatari, anche nei paesi terzi. Dovrebbe avere anche informazioni chiare sulla ratio sottesa a ogni trattamento automatizzato e sulla rilevanza dei risultati per esso previsti nonché il diritto di proporre reclamo all'autorità di controllo e di avere i dati per contattarla. L'interessato deve poter ricevere copia dei dati personali oggetto del trattamento. [Em. 24]

(33)  Gli Stati membri devono poter adottare misure legislative intese a ritardare, o limitare o escludere la comunicazione di informazioni all'interessato o l'accesso di questi ai suoi dati personali nella misura e per la durata in cui tale limitazione totale o parziale costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi dell'interessato, per non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari, per non compromettere la prevenzione, l'indagine, l'accertamento o il perseguimento di reati o l'esecuzione di sanzioni penali, per proteggere la sicurezza pubblica o la sicurezza dello Stato, o per proteggere l'interessato o i diritti e le libertà altrui. È opportuno che il responsabile del trattamento valuti, mediante un esame concreto di ogni singolo caso, se si applichi una limitazione parziale o completa del diritto di accesso. [Em. 25]

(34)  Qualsiasi rifiuto o limitazione di accesso è comunicato per iscritto all'interessato indicando i motivi di fatto o di diritto sui quali si basa la decisione.

(34 bis)  Qualsiasi limitazione dei diritti dell'interessato deve avvenire conformemente alla Carta e alla Convenzione europea per la salvaguardia dei diritti dell'uomo, come chiarito dalla giurisprudenza della Corte di giustizia dell'Unione europea e della Corte europea dei diritti dell'uomo, e rispettare in particolare la sostanza dei diritti e delle libertà. [Em. 26]

(35)  Nei casi in cui gli Stati membri hanno adottato disposizioni legislative volte a limitare, in tutto o in parte, il suo diritto di accesso, l'interessato deve avere il diritto di chiedere all'autorità di controllo nazionale di verificare la liceità del trattamento. È opportuno che l'interessato sia informato di tale diritto. Quando esercita il diritto di accesso per conto dell'interessato, l'autorità di controllo deve informarlo, perlomeno, di aver eseguito tutte le verifiche necessarie e comunicargli l'esito riguardo alla liceità del trattamento in questione. È inoltre opportuno che l'autorità di controllo informi l'interessato del diritto di proporre ricorso giurisdizionale. [Em. 27]

(36)  Ogni persona dovrebbe avere il diritto di ottenere la rettifica di dati personali inesatti o trattati in modo illecito che la riguardano e il diritto alla cancellazione quando il trattamento di tali dati non è conforme ai principi fondamentali previsti alle disposizioni previste dalla presente direttiva. Rettifiche, integrazioni o cancellazioni dovrebbero essere comunicate ai destinatari cui tali dati sono stati resi noti e ai soggetti terzi da cui i dati inesatti provengono. I responsabili del trattamento dovrebbero inoltre astenersi dal diffondere ulteriormente tali dati. Se i dati personali sono trattati nel corso di un'indagine penale e di un procedimento penale, la rettifica, i diritti di informazione, accesso, cancellazione e limitazione di trattamento possono essere esercitati in conformità delle norme nazionali sui procedimenti giudiziari. [Em. 28]

(37)  Occorre stabilire una responsabilità generale del responsabile del trattamento per qualsiasi trattamento di dati personali che abbia effettuato direttamente o altri abbia effettuato per suo conto. In particolare, il responsabile del trattamento dovrebbe garantire ed essere tenuto a comprovare la conformità delle di ciascuna attività di trattamento alle disposizioni adottate in applicazione della presente direttiva. [Em. 29]

(38)  La tutela dei diritti e delle libertà dell'interessato con riguardo al trattamento dei dati personali richiede l'attuazione di adeguate misure tecniche e organizzative per garantire il rispetto delle disposizioni della presente direttiva. Al fine di garantire la conformità con le disposizioni adottate in applicazione della presente direttiva, il responsabile del trattamento dovrebbe adottare politiche e attuare misure adeguate, che soddisfino in particolare i principi della protezione fin dalla progettazione e della protezione di default.

(39)  La protezione dei diritti e delle libertà dell'interessato così come le responsabilità dei responsabili del trattamento e degli incaricati del trattamento, esigono una chiara attribuzione delle responsabilità ai sensi della presente direttiva, compresi i casi in cui un responsabile del trattamento stabilisca le condizioni, le finalità e i mezzi del trattamento congiuntamente con altri responsabili del trattamento o quando l'operazione viene eseguita per conto del responsabile del trattamento. È opportuno che l'interessato abbia il diritto di esercitare i propri diritti ai sensi della presente direttiva nei confronti di ciascun corresponsabile del trattamento. [Em. 30]

(40)  Le attività di trattamento dovrebbero essere documentate dal responsabile del trattamento o dall'incaricato del trattamento, al fine di monitorare il rispetto della presente direttiva. Bisognerebbe obbligare tutti i responsabili del trattamento e gli incaricati del trattamento a cooperare con l'autorità di controllo e a mettere, su richiesta, detta documentazione a sua disposizione affinché possa servire per monitorare i trattamenti.

(40 bis)  Ogni trattamento di dati personali dovrebbe essere registrato ai fini della verifica della liceità del trattamento, dell'autocontrollo e dell'integrità e sicurezza dei dati. Tale registrazione dovrebbe essere messa a disposizione, su richiesta, dell'autorità di controllo, per il monitoraggio del rispetto delle disposizioni della presente direttiva. [Em. 31]

(40 ter)  Nei casi in cui le operazioni di trattamento possano comportare rischi specifici per i diritti e le libertà degli interessati in considerazione della natura, della portata o delle finalità delle operazioni stesse, è opportuno che il responsabile o l'incaricato del trattamento effettui una valutazione d'impatto sulla protezione dei dati, che verta in particolare anche sulle misure, sulle garanzie e sui meccanismi previsti per assicurare la protezione dei dati personali e per comprovare il rispetto della presente direttiva. Le valutazioni d'impatto dovrebbero riguardare i sistemi e i processi delle operazioni di trattamento, non singoli casi. [Em. 32]

(41)  Al fine di garantire un'efficace protezione dei diritti e delle libertà dell'interessato a titolo preventivo, il responsabile del trattamento o l'incaricato del trattamento dovrebbe consultare l'autorità di controllo in alcuni casi prima del trattamento. Inoltre, laddove una valutazione d'impatto sulla protezione dei dati indichi che le operazioni di trattamento possono presentare elevati rischi specifici per i diritti e le libertà degli interessati, l'autorità di vigilanza dovrebbe essere in grado di impedire un trattamento rischioso non conforme alla presente direttiva prima dell'avvio delle operazioni e presentare proposte per rimediare alla situazione. Tale consultazione può aver luogo anche durante l'elaborazione di una proposta legislativa del parlamento nazionale o di una misura basata su quella proposta legislativa, che definisca la natura del trattamento e precisi le garanzie appropriate. [Em. 33]

(41 bis)  Per mantenere la sicurezza e prevenire trattamenti contrari alla presente direttiva, il responsabile del trattamento o l'incaricato del trattamento dovrebbe valutare i rischi inerenti al trattamento e provvedere a limitarli. Tali provvedimenti devono assicurare un adeguato livello di sicurezza, tenuto conto degli sviluppi tecnici e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati da proteggere. Nel definire le norme tecniche e le misure organizzative atte a garantire la sicurezza del trattamento, è opportuno favorire la neutralità tecnologica. [Em. 34]

(42)  Una violazione di dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni all' un notevole danno economico e sociale all'interessato, compreso alla sua reputazione tra cui l'usurpazione d'identità. Pertanto, non appena viene a conoscenza di un'avvenuta violazione, il responsabile del trattamento deve notificarla all'autorità nazionale competente. È opportuno che le persone i cui dati o la cui vita privata potrebbero essere compromessi da una siffatta violazione siano informate tempestivamente ricevano una comunicazione tempestiva affinché possano prendere le precauzioni del caso. Si considera che una violazione pregiudica i dati personali o la vita privata dell'interessato quando ad esempio comporta, in connessione con il trattamento dei dati, il furto o l'usurpazione d'identità, un danno fisico, un'umiliazione grave o attenta alla sua reputazione. È opportuno che la comunicazione includa informazioni sulle misure adottate dal fornitore per affrontare la violazione così come raccomandazioni per gli abbonati o le persone coinvolte. Le comunicazioni agli interessati dovrebbero essere effettuate non appena possibile e in stretta collaborazione con l'autorità di controllo, nel rispetto delle indicazioni fornite da quest'ultima. [Em. 35]

(43)  Nel definire modalità dettagliate relative al formato e alle procedure applicabili alla notificazione delle violazioni di dati personali, è opportuno tenere debitamente conto delle circostanze della violazione, in particolare stabilire se i dati personali fossero o meno protetti con opportuni dispositivi tecnici atti a limitare efficacemente il rischio di furto d'identità o altre forme di abuso. Inoltre, è opportuno che tali modalità e procedure tengano conto degli interessi legittimi delle competenti autorità, nei casi in cui una diffusione prematura rischi di ostacolare inutilmente l'indagine sulle circostanze della violazione.

(44)  Il responsabile del trattamento o l'incaricato del trattamento deve designare una persona che lo assiste assista nel controllare e comprovare il rispetto delle disposizioni adottate in applicazione della presente direttiva. Se più autorità competenti agiscono sotto il controllo di un'autorità centrale, un responsabile della protezione dei dati può dovrebbe essere designato congiuntamente per più enti dell' almeno dall'autorità competente centrale. I responsabili della protezione dei dati dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in piena indipendenza e in modo efficace, in particolare stabilendo norme per evitare conflitti di interessi con altre attività svolte dal responsabile della protezione dei dati. [Em. 36]

(45)  Gli Stati membri dovrebbero garantire che un trasferimento verso un paese terzo avvenga unicamente se tale particolare trasferimento è necessario ai fini di prevenzione, indagine, accertamento o perseguimento dei reati o di esecuzione delle sanzioni penali, e il responsabile del trattamento nel paese terzo o l'organizzazione internazionale è un'autorità pubblica competente ai sensi della presente direttiva. Il trasferimento è ammesso se la Commissione ha deciso che il paese terzo o l'organizzazione internazionale in questione garantisce un livello di protezione adeguato, o se sono state previste idonee garanzie mediante uno strumento giuridicamente vincolante. I dati trasferiti alle autorità pubbliche competenti di paesi terzi non dovrebbero essere sottoposti a ulteriori trattamenti per finalità diverse da quelle per cui sono stati trasferiti. [Em. 37]

(45 bis)  L'inoltro di dati personali effettuato da autorità competenti di paesi terzi o da organizzazioni internazionali cui i dati sono stati trasferiti dovrebbe essere consentito soltanto se l'inoltro è necessario per la stessa particolare finalità del trasferimento originario e se il successivo destinatario è anch'esso un'autorità pubblica competente. Non dovrebbero essere consentiti inoltri per finalità generali di contrasto. Per procedere all'inoltro è necessario il consenso dell'autorità competente che ha effettuato il trasferimento originario. [Em. 38]

(46)  La Commissione può decidere, con effetto nell'intera Unione europea, che taluni paesi terzi, o un territorio o settore di trattamento all'interno di un paese terzo o un'organizzazione internazionale offrono un livello adeguato di protezione dei dati, garantendo in tal modo la certezza del diritto e l'uniformità in tutta l'Unione nei confronti dei paesi terzi o delle organizzazioni internazionali che si ritiene offrano un livello di protezione adeguato. In questi casi, i trasferimenti di dati personali possono avere luogo senza ulteriori autorizzazioni.

(47)  In linea con i valori fondamentali su cui è fondata l'Unione, in particolare la tutela dei diritti dell'uomo, è opportuno che la Commissione tenga conto del modo in cui tale paese rispetta lo stato di diritto, l'accesso alla giustizia e le norme e gli standard internazionali in materia di diritti dell'uomo.

(48)  Occorre che la Commissione sia altresì in grado di riconoscere che un paese terzo o un territorio o settore di trattamento all'interno di un paese terzo o un'organizzazione internazionale non offre un adeguato livello di protezione dei dati, nel qual caso il trasferimento di dati personali verso tale paese terzo deve essere vietato, salvo se effettuato sulla base di un accordo internazionale, in presenza di adeguate garanzie o di una deroga. È opportuno prevedere procedure di consultazione tra la Commissione e detti paesi terzi o organizzazioni internazionali. Tuttavia, la decisione della Commissione non deve pregiudicare la possibilità di procedere a trasferimenti sulla base di adeguate garanzie previste mediante strumenti giuridicamente vincolanti o sulla base di una deroga prevista dalla direttiva. [Em. 39]

(49)  I trasferimenti non effettuati sulla base di una decisione di adeguatezza devono essere autorizzati unicamente qualora siano offerte adeguate garanzie in uno strumento giuridicamente vincolante, atto ad assicurare la protezione dei dati personali, o qualora il responsabile del trattamento o l'interessato del trattamento abbia valutato tutte le circostanze relative a un'operazione o a un insieme di operazioni di trasferimento dei dati e, sulla base di tale valutazione, ritenga che esistano adeguate garanzie in materia di protezione dei dati personali. Qualora non esistano motivi per autorizzare un trasferimento, devono essere ammesse deroghe se necessario per salvaguardare i legittimi interessi dell'interessato, qualora lo preveda la legislazione dello Stato membro che trasferisce i dati personali o quando sia indispensabile per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo, o in singoli casi per prevenire, indagare, accertare o perseguire reati o eseguire sanzioni penali, o in singoli casi per accertare, esercitare o difendere un diritto in sede giudiziaria. [Em. 40]

(49 bis)  Quando non esistano motivi per autorizzare un trasferimento, in caso di necessità devono essere ammesse deroghe per salvaguardare i legittimi interessi dell'interessato o di altri soggetti, se previste dal diritto dello Stato membro che trasferisce i dati personali o quando ciò sia indispensabile per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo. Le deroghe dovrebbero essere ammesse, in casi determinati, anche per prevenire, indagare, accertare o perseguire reati o eseguire sanzioni penali o per accertare, esercitare o difendere un diritto in sede giudiziaria. Tali deroghe dovrebbero essere interpretate in modo restrittivo e non consentire trasferimenti frequenti, ingenti e strutturali di dati personali o trasferimenti indiscriminati di dati, che vanno invece limitati ai dati strettamente necessari. La decisione del trasferimento, inoltre, dovrebbe essere presa da una persona debitamente autorizzata e il trasferimento deve essere documentato e reso disponibile all'autorità di controllo su richiesta, per consentire il monitoraggio della liceità del trasferimento. [Em. 41]

(50)  Con il trasferimento transfrontaliero di dati personali aumenta il rischio che l'interessato non possa esercitare il proprio diritto alla protezione dei dati per tutelarsi da usi o divulgazioni illecite di tali dati. Allo stesso tempo, le autorità di controllo possono concludere di non essere in grado di dar corso ai reclami o svolgere indagini relative ad attività condotte oltre frontiera. I loro sforzi di collaborazione nel contesto transfrontaliero possono anche scontrarsi con poteri insufficienti per prevenire e correggere e con regimi giuridici incoerenti. Pertanto vi è la necessità di promuovere una più stretta cooperazione tra le autorità di controllo della protezione dei dati affinché possano scambiare informazioni con le loro controparti all'estero.

(51)  La designazione di un'autorità di controllo che agisca in totale indipendenza in ciascuno Stato membro è un elemento essenziale della protezione delle persone con riguardo al trattamento di dati personali. Spetterebbe alle autorità di controllo controllare l'applicazione delle disposizioni della presente direttiva e contribuire alla sua coerente applicazione in tutta l'Unione, così da tutelare le persone fisiche in relazione al trattamento dei dati personali. A tal fine le autorità di controllo cooperano tra loro e con la Commissione. [Em. 42]

(52)  Gli Stati membri possono prevedere che l'autorità di controllo già istituita negli Stati membri ai sensi del regolamento (UE) …./2014 possa assolvere anche i compiti che devono essere adempiuti dalle autorità di controllo nazionali da istituirsi a norma della presente direttiva.

(53)  È necessario che gli Stati membri possano istituire più di una autorità di controllo, al fine di rispecchiare la loro struttura costituzionale, organizzativa e amministrativa. Ciascuna autorità di controllo deve disporre di risorse umane e finanziarie adeguate, dei locali e delle infrastrutture come pure dell'esperienza e delle competenze tecniche necessarie, per l'effettivo svolgimento dei propri compiti, compresi i compiti di assistenza reciproca e cooperazione con altre autorità di controllo in tutta l'Unione. [Em. 43]

(54)  Le condizioni generali applicabili ai membri dell'autorità di controllo devono essere stabilite da ciascuno Stato membro e devono in particolare prevedere che i membri siano nominati dal parlamento o, previa consultazione del parlamento, dal governo dello Stato membro e contenere disposizioni sulle qualifiche e sulle funzioni di tali membri. [Em. 44]

(55)  Sebbene la presente direttiva si applichi anche alle attività dei giudici nazionali, non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell'esercizio delle loro funzioni giurisdizionali, al fine di salvaguardarne l'indipendenza. Tuttavia, tale esenzione deve essere limitata all'attività autenticamente giurisdizionale e non applicarsi ad altre attività a cui i giudici potrebbero partecipare in forza del diritto nazionale.

(56)  Al fine di garantire un monitoraggio e un'applicazione coerenti della presente direttiva in tutta l'Unione, le autorità di controllo devono godere in ciascuno Stato membro degli stessi diritti e poteri effettivi, fra cui effettivi poteri di indagine, il potere di accedere a tutti i dati personali e a tutte le informazioni necessari all'esercizio di ciascuna funzione di controllo, il potere di accedere ai locali del responsabile o dell'incaricato del trattamento - ricomprendendo in tale ambito le attrezzature per il trattamento dati - e poteri d'intervento giuridicamente vincolanti, di decisione e sanzione, segnatamente in caso di reclamo, così come di agire in giudizio. [Em. 45]

(57)  È necessario che ciascuna autorità di controllo tratti i reclami proposti da qualsiasi interessato e svolga le relative indagini; che a seguito di reclamo vada condotta un'indagine, soggetta a controllo giurisdizionale, nella misura in cui ciò sia opportuno nella fattispecie; che l'autorità di controllo informi l'interessato dei progressi e dei risultati del ricorso entro un termine ragionevole. Se il caso richiede un'ulteriore indagine o il coordinamento con un'altra autorità di controllo, l'interessato deve ricevere informazioni interlocutorie.

(58)  Le autorità di controllo devono prestarsi reciproca assistenza nell’esercizio delle loro funzioni, in modo da garantire la coerente applicazione e attuazione delle disposizioni adottate in conformità della presente direttiva. Ogni autorità di controllo dovrebbe essere pronta a partecipare a operazioni congiunte. L'autorità di controllo che riceve una richiesta in tal senso dovrebbe darvi seguito entro un termine definito. [Em. 46]

(59)  Il comitato europeo per la protezione dei dati istituito con regolamento (UE) n. …/2012 …/2014 deve contribuire all'applicazione uniforme della presente direttiva in tutta l'Unione, in particolare dando consulenza alla Commissione e alle sue istituzioni, promuovendo la cooperazione delle autorità di controllo in tutta l'Unione e dando il proprio parere alla Commissione nella preparazione di atti delegati e atti di esecuzione basati sulla presente direttiva. [Em. 47]

(60)  Ciascun interessato deve avere il diritto di proporre reclamo a un'autorità di controllo di qualunque Stato membro e il diritto di proporre ricorso giurisdizionale qualora ritenga che siano stati violati i diritti di cui gode a norma della presente direttiva o se l'autorità di controllo non dà seguito a un reclamo o non agisce quando è necessario intervenire per proteggere i suoi diritti di interessato.

(61)  L'organismo, l'organizzazione o associazione che intenda tutelare i diritti e gli interessi di un interessato in relazione alla protezione dei dati personali e sia agisce nel pubblico interesse, istituito o istituita a norma del diritto di uno Stato membro dovrebbe avere il diritto di proporre reclamo o esercitare il diritto a un ricorso giurisdizionale per conto dell'interessato, su suo espresso mandato, o di proporre un proprio reclamo indipendente dall'azione dell'interessato, se ritiene che sussista violazione dei dati personali. [Em. 48]

(62)  Ogni persona fisica o giuridica deve avere diritto di proporre ricorso giurisdizionale avverso la decisione dell'autorità di controllo che la riguarda. Le azioni contro l'autorità di controllo devono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l'autorità di controllo è stabilita.

(63)  Gli Stati membri devono assicurare che i ricorsi giurisdizionali, per essere efficaci, consentano di adottare rapidamente provvedimenti per porre fine a una violazione della presente direttiva o per prevenirla.

(64)  Il responsabile del trattamento o l'incaricato del trattamento deve risarcire i danni, anche di carattere non pecuniario, cagionati da un trattamento illecito ma può essere esonerato da tale responsabilità se prova che l'evento dannoso non gli è imputabile, segnatamente se dimostra che a causare l'errore è stato l'interessato o in caso di forza maggiore. [Em. 49]

(65)  Dovrebbe essere punibile chiunque, persona di diritto pubblico o di diritto privato, non ottemperi alle disposizioni della presente direttiva. Gli Stati membri devono garantire sanzioni efficaci, proporzionate e dissuasive e adottare tutte le misure necessarie per la loro applicazione.

(65 bis)  La trasmissione di dati personali ad altre autorità o a privati nell'Unione è vietata, salvo nel caso in cui la trasmissione sia conforme alla legge e il destinatario sia stabilito in uno Stato membro; non vi siano specifici interessi legittimi che impediscano la trasmissione e quest'ultima sia necessaria in determinati casi al responsabile del trattamento che trasmette i dati per adempiere un compito assegnatogli legalmente; per prevenire una minaccia grave e immediata alla sicurezza pubblica o per prevenire un grave danno per i diritti delle persone. Il responsabile del trattamento dovrebbe informare il destinatario della finalità del trattamento e l'autorità di controllo della trasmissione. Il destinatario dovrebbe inoltre essere informato delle limitazioni di trattamento e garantirne il rispetto. [Em. 50]

(66)  Al fine di conseguire gli obiettivi della direttiva, segnatamente tutelare i diritti fondamentali e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali, e garantire il libero scambio di tali dati nell’Unione tra autorità competenti, occorre conferire alla Commissione il potere di adottare atti a norma dell’articolo 290 del trattato sul funzionamento dell’Unione europea. In particolare, è necessario adottare atti delegati con riferimento alle notificazioni relative a violazioni di dati personali alle autorità di controllo per precisare i criteri e le condizioni applicabili alle operazioni di trattamento che richiedono una valutazione d'impatto sulla protezione dei dati, per i criteri e i requisiti relativi all'accertamento della violazione di dati e per l'adeguatezza del livello di protezione offerto da un paese terzo - o da un suo territorio o settore di trattamento - o da un'organizzazione internazionale. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, in particolare con il Garante europeo della protezione dei dati. Nel contesto della preparazione e della stesura degli atti delegati, occorre che la Commissione garantisca contemporaneamente una trasmissione corretta e tempestiva dei documenti pertinenti al Parlamento europeo e al Consiglio. [Em. 51]

(67)  Occorre conferire alla Commissione competenze di esecuzione al fine di garantire condizioni uniformi di applicazione della presente direttiva per quanto riguarda la documentazione conservata dai responsabili del trattamento e incaricati del trattamento, la sicurezza del trattamento con particolare riferimento agli standard di cifratura e la notificazione di una violazione di dati personali all'autorità di controllo e l'adeguato livello di protezione offerto da un paese terzo o da un territorio o settore di trattamento nel paese terzo o un'organizzazione internazionale. Tali competenze dovrebbero essere esercitate in conformità del regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione(7). [Em. 52]

(68)  È opportuno applicare la procedura d'esame per l'adozione di misure concernenti la documentazione conservata dai responsabili del trattamento e incaricati del trattamento, la sicurezza del trattamento con particolare riferimento agli standard di cifratura e la notificazione di una violazione di dati personali all'autorità di controllo e l'adeguato livello di protezione offerto da un paese terzo o da un territorio o settore di trattamento nel paese terzo o un'organizzazione internazionale, data la portata generale di tali atti. [Em. 53]

(69)  È opportuno che la Commissione adotti atti di esecuzione immediatamente applicabili quando, in casi debitamente giustificati relativi a un paese terzo, o a un territorio o settore di trattamento dati nel paese terzo, o un'organizzazione internazionale che non garantisce un livello di protezione adeguato, ciò sia reso necessario da imperativi motivi di urgenza. [Em. 54]

(70)  Poiché gli obiettivi della presente direttiva, segnatamente tutelare i diritti fondamentali e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali, e garantire il libero scambio di tali dati nell'Unione tra autorità competenti, non possono essere conseguiti in misura sufficiente dagli Stati membrie, ma, a motivo della portata e degli effetti dell'azione in questione, possono essere conseguiti meglio a livello di Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. La presente direttiva si limita a quanto è necessario per conseguire tale obiettivo tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo. Gli Stati membri possono prevedere standard più rigorosi di quelli introdotti dalla presente direttiva. [Em. 55]

(71)  La presente direttiva dovrebbe abrogare la decisione quadro 2008/977/GAI.

(72)  Occorre che rimangano impregiudicate le disposizioni specifiche relative al trattamento dei dati personali a cura delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione delle sanzioni penali, contenute in atti dell'Unione adottati prima della data di adozione della presente direttiva e che disciplinano il trattamento dei dati personali tra Stati membri e l'accesso delle autorità nazionali designate ai sistemi di informazione istituiti ai sensi dei trattati. Dato che l'articolo 8 della Carta e l'articolo 16 TFUE implicano che il diritto fondamentale alla protezione dei dati personali deve essere garantito in modo uniforme e omogeneo in tutta l'Unione, è necessario che la Commissione, entro due anni dall'entrata in vigore della presente direttiva, valuti la situazione sotto il profilo del rapporto tra la presente direttiva e gli atti adottati precedentemente alla data di adozione della presente direttiva che disciplinano il trattamento dei dati personali tra Stati membri e l'accesso delle autorità nazionali designate ai sistemi d'informazione istituiti ai sensi dei trattati, al fine di verificare se sia necessario allineare dette specifiche disposizioni alla e presenti proposte idonee a garantire norme giuridiche uniformi e omogenee per quanto riguarda il trattamento dei dati personali da parte delle autorità competenti o l'accesso delle autorità nazionali degli Stati membri all'uopo designate ai sistemi di informazione istituiti ai sensi dei trattati, e l'elaborazione dei dati personali da parte delle istituzioni, organi, uffici e agenzie dell'Unione, a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nell'ambito di applicazione della presente direttiva. [Em. 56]

(73)  Per garantire una sistematica e coerente protezione dei dati personali nell'Unione, gli accordi internazionali conclusi dall'Unione o dagli Stati membri prima dell'entrata in vigore della presente direttiva devono essere modificati e resi conformi alla presente direttiva. [Em. 57]

(74)  La presente direttiva non pregiudica l'applicazione delle norme relative alla lotta contro l'abuso e lo sfruttamento sessuale dei minori e la pornografia minorile stabilite dalla direttiva 2011/93/UE del Parlamento europeo e del Consiglio(8).

(75)  A norma dell'articolo 6 bis del protocollo n. 21 sulla posizione del Regno Unito e dell'Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al trattato sull'Unione europea e al trattato sul funzionamento dell'Unione europea, il Regno Unito o l'Irlanda non saranno vincolati da norme stabilite nella presente direttiva laddove il Regno Unito o l'Irlanda non siano vincolati da norme dell'Unione che disciplinano forme di cooperazione giudiziaria in materia penale o di cooperazione di polizia nell'ambito delle quali devono essere rispettate le disposizioni stabilite in base all'articolo 16 del trattato sul funzionamento dell'Unione europea.

(76)  A norma degli articoli 2 e 2 bis del protocollo n. 22 sulla posizione della Danimarca, allegato al trattato sull'Unione europea e al trattato sul funzionamento dell'Unione europea, la Danimarca non è vincolata dalla presente direttiva né è soggetta alla sua applicazione. Dato che la presente direttiva si basa sull'acquis di Schengen in applicazione della parte terza, titolo V, del trattato sul funzionamento dell'Unione europea, la Danimarca decide, ai sensi dell'articolo 4 di tale protocollo, entro un periodo di sei mesi dall'adozione della presente direttiva, se intende recepirla nel proprio diritto interno. [Em. 58]

(77)  Per quanto riguarda l'Islanda e la Norvegia, la presente direttiva costituisce uno sviluppo delle disposizioni dell'acquis di Schengen ai sensi dell'accordo concluso dal Consiglio dell'Unione europea con la Repubblica d'Islanda e il Regno di Norvegia sulla loro associazione all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen(9).

(78)  Per quanto riguarda la Svizzera, la presente direttiva costituisce uno sviluppo delle disposizioni dell'acquis di Schengen ai sensi dell'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardante l'associazione di quest'ultima all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen(10).

(79)  Per quanto riguarda il Liechtenstein, la presente direttiva costituisce uno sviluppo delle disposizioni dell'acquis di Schengen, ai sensi del protocollo sottoscritto tra l'Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull'adesione del Principato del Liechtenstein all'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardante l'associazione della Confederazione svizzera all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen(11).

(80)  La presente direttiva rispetta i diritti fondamentali e osserva i principi riconosciuti dalla Carta sanciti dai trattati, in particolare il diritto al rispetto della vita privata e familiare, il diritto alla protezione dei dati personali e il diritto a un ricorso effettivo e a un giudice imparziale. Conformemente all'articolo 52, paragrafo 1, della Carta, eventuali limitazioni di tali diritti possono essere apportate solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall'Unione o all'esigenza di proteggere i diritti e le libertà altrui.

(81)  Conformemente alla dichiarazione politica congiunta del 28 settembre 2011 degli Stati membri e della Commissione sui documenti esplicativi(12), gli Stati membri si sono impegnati ad accompagnare, ove ciò sia giustificato, la notifica delle loro misure di recepimento con uno o più documenti intesi a chiarire il rapporto tra gli elementi di una direttiva e le parti corrispondenti degli strumenti nazionali di recepimento. Per quanto riguarda la presente direttiva, il legislatore ritiene che la trasmissione di tali documenti sia giustificata.

(82)  La presente direttiva non dovrebbe pregiudicare la facoltà degli Stati membri di dare attuazione all'esercizio del diritto dell'interessato di informazione, accesso, rettifica, cancellazione e limitazione dei dati personali trattati nel corso di un procedimento penale, e alle loro eventuali limitazioni nelle norme nazionali di procedura penale,

HANNO ADOTTATO LA PRESENTE DIRETTIVA:

CAPO I

DISPOSIZIONI GENERALI

Articolo 1

Oggetto e finalità

1.  La presente direttiva stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati e di esecuzione di sanzioni penali nonché le condizioni relative alla libera circolazione dei dati personali.

2.  In conformità della presente direttiva gli Stati membri:

a)  tutelano i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali e alla privacy, e

b)  garantiscono che lo scambio dei dati personali da parte delle autorità competenti all'interno dell'Unione non sia limitato né vietato per motivi attinenti alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.

2 bis.  La presente direttiva non osta a che gli Stati membri possano prevedere garanzie più rigorose di quelle introdotte dalle sue disposizioni. [Em. 59]

Articolo 2

Ambito di applicazione

1.  La presente direttiva si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all'articolo 1, paragrafo 1.

2.  La presente direttiva si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

3.  Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali:

a)  effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione, concernenti in particolare la sicurezza nazionale;

b)  effettuati da istituzioni, organi e organismi dell'Unione. [Em. 60]

Articolo 3

Definizioni

Ai fini della presente direttiva si intende per:

(1)  "interessato": la persona fisica identificata o identificabile, direttamente o indirettamente, con mezzi che il responsabile del trattamento o altra persona fisica o giuridica ragionevolmente può utilizzare, con particolare riferimento a un numero di identificazione, a dati relativi all'ubicazione, a un identificativo on line o a uno o più elementi caratteristici della sua identità genetica, fisica, fisiologica, psichica, economica, culturale o sociale;

(2)  "dati personali": qualsiasi informazione concernente l' una persona fisica identificata o identificabile (l'"interessato"); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un identificativo quale il nome, un numero di identificazione, i dati relativi all'ubicazione, un identificativo unico o ad uno o più elementi caratteristici dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale, o dell'identità di genere di tale persona;

(2 bis)  "dati pseudonimi": i dati personali che non possono essere attribuiti ad un interessato specifico senza l'utilizzo di informazioni aggiuntive, sempre che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire la non attribuzione;

(3)  "trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la memorizzazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

(3 bis)  "profilazione": qualsiasi forma di trattamento automatizzato di dati personali destinata a valutare taluni aspetti della personalità di una persona fisica o ad analizzarne o prevederne in particolare il rendimento professionale, la situazione economica, l'ubicazione, lo stato di salute, le preferenze personali, l'affidabilità o il comportamento;

(4)  "limitazione di trattamento": contrassegno dei dati personali memorizzati con l'obiettivo di limitarne il trattamento in futuro;

(5)  "archivio": qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

(6)  "responsabile del trattamento": l'autorità pubblica competente che, singolarmente o insieme ad altri, determina le finalità, le condizioni e i mezzi del trattamento di dati personali; quando le finalità, le condizioni e i mezzi del trattamento sono determinati dal diritto dell'Unione o dal diritto di uno Stato membro, il responsabile del trattamento o i criteri specifici applicabili alla sua nomina possono essere designati dal diritto dell'Unione o dal diritto dello Stato membro;

(7)  "incaricato del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;

(8)  "destinatario": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati personali;

(9)  "violazione dei dati personali": violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso, in modo accidentale o illecito, ai dati personali trasmessi, memorizzati o comunque elaborati;

(10)  "dati genetici": tutti i dati, di qualsiasi natura, riguardanti le caratteristiche di una persona fisica che siano ereditarie o acquisite in uno stadio precoce di sviluppo prenatale;

(11)  "dati biometrici": i dati personali relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona che ne consentono l'identificazione univoca, quali l'immagine facciale o i rilievi dattiloscopici;

(12)  "dati relativi alla salute":qualsiasi informazione attinente i dati personali attinenti alla salute fisica o mentale di una persona o alla prestazione di servizi sanitari a detta persona;

(13)  "minore": persona di età inferiore agli anni diciotto;

(14)  "autorità competenti": qualsiasi autorità pubblica competente a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali;

(15)  "autorità di controllo": l'autorità pubblica istituita da uno Stato membro in conformità dell'articolo 39. [Em. 61]

CAPO II

PRINCIPI

Articolo 4

Principi applicabili al trattamento di dati personali

Gli Stati membri dispongono che i dati personali siano:

a)  trattati in modo lecito ed, equo, trasparente e verificabile in relazione all'interessato;

b)  raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità;

c)  adeguati, pertinenti e limitati al minimo necessario rispetto alle finalità perseguite e trattati solo se e nella misura in cui le finalità non possono essere conseguite attraverso il trattamento di informazioni che non contengono dati personali;

d)  esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;

e)  conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;

f)  trattati sotto la responsabilità del responsabile del trattamento, che assicura deve garantire e poter dimostrare la conformità alle disposizioni adottate ai sensi della presente direttiva.

f bis)  trattati in modo da consentire effettivamente all'interessato di esercitare i suoi diritti ex articoli da 10 a 17;

f ter)  trattati in modo da proteggere, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali;

f quater)  trattati solo dal personale, debitamente autorizzato, delle autorità competenti che necessiti dei dati nell'ambito delle proprie funzioni. [Em. 62]

Articolo 4 bis

Accesso a dati inizialmente trattati per finalità diverse da quelle indicate all'articolo 1, paragrafo 1

1.  Gli Stati membri dispongono che le autorità competenti possano avere accesso a dati personali inizialmente trattati per finalità diverse da quelle indicate all'articolo 1, paragrafo 1, solo se specificamente autorizzate da disposizioni legislative dell'Unione o degli Stati membri che rispondano ai requisiti di cui all'articolo 7, paragrafo 1 bis e che stabiliscano che:

a)  possa accedervi solo personale debitamente autorizzato delle autorità competenti operante nell'ambito delle proprie funzioni quando, in casi determinati, vi siano ragionevoli motivi per ritenere che il trattamento dei dati personali contribuisca notevolmente alla prevenzione, indagine, accertamento e perseguimento di reati o all'esecuzione di sanzioni penali;

b)  le richieste di accesso siano presentate per iscritto e facciano riferimento alla base giuridica che le giustifica;

c)  le richieste scritte siano documentate, e

d)  siano poste in essere garanzie adeguate per assicurare la protezione dei diritti e delle libertà fondamentali in relazione al trattamento di dati personali. Tali garanzie lasciano impregiudicate e integrano le condizioni specifiche di accesso ai dati personali quali l'autorizzazione giudiziaria emessa secondo il diritto degli Stati membri.

2.  I dati personali detenuti da soggetti privati o pubbliche autorità sono accessibili solo a fini di indagine e perseguimento di reati, in conformità dei criteri di necessità e di proporzionalità da definirsi nel diritto dell'Unione o nel diritto interno di ciascuno Stato membro, in piena conformità dell'articolo 7 bis. [Em. 63]

Articolo 4 ter

Termini per l'archiviazione e la verifica

1.  Gli Stati membri dispongono che i dati personali trattati ai sensi della presente direttiva siano cancellati dalle autorità competenti quando non sono più necessari per le finalità per cui sono stati trattati.

2.  Gli Stati membri dispongono che le autorità competenti adottino meccanismi atti a garantire la definizione di termini di tempo conformi all'articolo 4 per la cancellazione dei dati personali e per una verifica periodica dell'esigenza di archiviare tali dati, compresa la fissazione di periodi di archiviazione per le diverse categorie di dati personali. Vengono definite misure procedurali per garantire l'osservanza di tali limiti temporali o intervalli di verifica periodica. [Em. 64]

Articolo 5

Distinzione tra Diverse categorie di interessati

1.  Gli Stati membri dispongono che, nella misura del possibile per le finalità di cui all'articolo 1, paragrafo 1, le autorità competenti possano trattare solo i dati personali delle seguenti categorie di interessati e che il responsabile del trattamento operi una chiara distinzione tra i dati personali di diverse fra tali categorie di interessati, quali:

a)  le persone per le quali vi sono fondati ragionevoli motivi di per ritenere che abbiano commesso o stiano per commettere un reato;

b)  le persone condannate per un reato;

c)  le vittime di reato o le persone che alcuni fatti autorizzano a considerare potenziali vittime di reato;

e

d)  i terzi coinvolti nel reato, quali le persone che potrebbero essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti, le persone che possono fornire informazioni su reati, o le persone in contatto o collegate alle persone di cui alle lettere a) e b), e.

e)  le persone che non rientrano in nessuna delle precedenti categorie.

2.  I dati personali di interessati diversi da quelli di cui al paragrafo 1 possono essere trattati soltanto:

a)  se è necessario per l'indagine o il perseguimento di un particolare reato penale al fine di valutare la pertinenza dei dati per una delle categorie di cui al paragrafo 1, oppure

b)  se il trattamento è indispensabile per finalità mirate, preventive o a scopo di analisi criminale, purché tale finalità sia legittima, ben definita e specifica e il trattamento sia strettamente limitato a valutare la pertinenza dei dati per una delle categorie di cui al paragrafo 1. Tale circostanza viene riesaminata periodicamente almeno ogni sei mesi. Non sono consentiti ulteriori utilizzi.

3.  Gli Stati membri dispongono che al trattamento dei dati personali relativi agli interessati di cui al paragrafo 1, lettere c) e d), si applicano limiti e garanzie supplementari conformemente al diritto degli Stati membri. [Em. 65]

Articolo 6

Diverso grado di esattezza e affidabilità dei dati personali

1.  Gli Stati membri provvedono affinché, nella misura del possibile, sia effettuata una distinzione tra diverse categorie di a che siano garantiti l'attendibilità e l'accuratezza dei dati personali oggetto di trattamento in base al loro grado di esattezza e affidabilità.

2.  Gli Stati membri provvedono affinché, nella misura del possibile, i dati personali fondati su fatti siano differenziati da quelli fondati su valutazioni personali, in base al loro grado di attendibilità e accuratezza.

2 bis.  Gli Stati membri provvedono affinché i dati personali inesatti, incompleti o non più aggiornati non siano trasmessi o resi disponibili. A tal fine le autorità competenti valutano la qualità dei dati personali prima che vengano trasmessi o resi disponibili. Nei limiti del possibile, tutte le trasmissioni di dati sono corredate di informazioni aggiuntive che consentano allo Stato membro destinatario di valutarne il livello di esattezza, completezza, aggiornamento e affidabilità. I dati personali non sono trasmessi senza previa richiesta di un'autorità competente, in particolare i dati originariamente in possesso di soggetti privati.

2 ter.  Qualora risulti che sono stati trasmessi dati inesatti o che sono stati trasmessi dati illegalmente, il destinatario deve esserne informato quanto prima. Il destinatario è tenuto a rettificare immediatamente tali dati in conformità del paragrafo 1 e dell'articolo 15 oppure a cancellarli in conformità dell'articolo 16. [Em. 66]

Articolo 7

Liceità del trattamento

1.  Gli Stati membri dispongono che il trattamento dei dati personali sia lecito solo se e nella misura in cui è previsto dalla normativa dell'Unione o degli Stati membri per le finalità di cui all'articolo 1, paragrafo 1 ed è necessario:

a)  per l'esecuzione di un compito di un'autorità competente, previsto per legge per le finalità di cui all'articolo 1, paragrafo 1, oppure

b)  per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, oppure

c)  per la salvaguardia degli interessi vitali dell'interessato o di un terzo, oppure

d)  per la prevenzione di un'immediata e grave minaccia alla sicurezza pubblica.

1 bis.  Il diritto degli Stati membri che disciplina il trattamento di dati personali nei limiti della presente direttiva contiene disposizioni esplicite e dettagliate che specificano almeno:

a)  obiettivi del trattamento;

b)  dati personali da trattare;

c)  finalità specifiche e mezzi di trattamento;

d)  nomina del responsabile del trattamento o specifici criteri per la sua nomina;

e)  categorie di personale debitamente autorizzato delle autorità competenti ai fini del trattamento di dati personali;

f)  procedura da seguire per il trattamento;

g)  uso possibile dei dati personali ottenuti;

h)  limitazioni dell'ambito di discrezionalità eventualmente concesso alle autorità competenti in relazione alle operazioni di trattamento. [Em. 67]

Articolo 7 bis

Ulteriore trattamento per finalità incompatibili

1.  Gli Stati membri dispongono che i dati personali possano essere trattati ulteriormente per un'altra finalità ex articolo 1, paragrafo 1 non compatibile con le finalità per cui i dati sono stati inizialmente raccolti, solo se e nella misura in cui:

a)  la finalità sia strettamente necessaria e proporzionata in una società democratica e prevista dal diritto dell'Unione o dello Stato membro per scopi legittimi, precisi e ben definiti;

b)  il trattamento sia strettamente limitato a un periodo che non supera il tempo necessario per il trattamento specifico dei dati;

c)  qualsiasi ulteriore utilizzo per finalità diverse sia vietato.

Prima di procedere a qualsiasi trattamento, gli Stati membri consultano l'autorità nazionale di vigilanza competente ed effettuano una valutazione di impatto sulla protezione dei dati.

2.  In aggiunta ai requisiti di cui all'articolo 7, paragrafo 1 bis, il diritto degli Stati membri che autorizza l'ulteriore trattamento di cui al paragrafo 1 contiene disposizioni esplicite e dettagliate che specificano almeno:

a)  finalità specifiche e mezzi del particolare trattamento;

b)  che l'accesso è esclusivamente riservato al personale debitamente autorizzato delle autorità competenti operante nell'ambito delle proprie funzioni quando, in casi determinati, vi siano ragionevoli motivi per ritenere che il trattamento dei dati personali contribuisca notevolmente alla prevenzione, indagine, accertamento e perseguimento di reati o all'esecuzione di sanzioni penali; e

c)  che siano adottate garanzie adeguate per assicurare la protezione dei diritti e delle libertà fondamentali in relazione al trattamento di dati personali.

Gli Stati membri possono richiedere che l'accesso ai dati personali sia soggetto a condizioni supplementari quali l'autorizzazione giudiziaria emessa in conformità del diritto nazionale.

3.  Gli Stati membri possono inoltre consentire l'ulteriore trattamento di dati personali per finalità storiche, statistiche o scientifiche a condizione di fornire garanzie adeguate, come l'anonimizzazione dei dati. [Em. 68]

Articolo 8

Trattamento di categorie particolari di dati personali

1.  Gli Stati membri vietano il trattamento di dati personali che rivelino la razza, l'origine etnica, le opinioni politiche, la religione o le convinzioni filosofiche personali, l'orientamento sessuale o l'identità di genere, l'appartenenza e l'attività sindacale, come pure e il trattamento di dati genetici biometrici o dati relativi alla salute e alla vita sessuale.

2.  Il paragrafo 1 non si applica quando:

a)  il trattamento è autorizzato da disposizioni di legge che prevedono garanzie adeguate strettamente necessario e proporzionato per l'assolvimento di un compito delle autorità competenti per i fini di cui all'articolo 1, paragrafo 1, sulla base di disposizioni legislative dell'Unione o dello Stato membro che prevedano misure specifiche atte a salvaguardare i diritti legittimi dell'interessato, compresa una specifica autorizzazione da parte dell'autorità giudiziaria, laddove la normativa nazionale lo prescriva; oppure

b)  il trattamento è necessario per salvaguardare un interesse vitale dell'interessato o di un terzo; oppure

c)  il trattamento riguarda dati resi manifestamente pubblici dall'interessato, purché rilevanti e strettamente necessari al conseguimento dello scopo perseguito in un caso specifico. [Em. 69]

Articolo 8 bis

Trattamento di dati genetici ai fini di un'indagine penale o di un procedimento giudiziario

1.  Gli Stati membri si assicurano che i dati genetici possano essere utilizzati solo per stabilire un collegamento genetico nell'ambito della presentazione di elementi probatori, per prevenire una minaccia alla sicurezza pubblica o per prevenire la commissione di uno specifico reato. I dati genetici non possono essere utilizzati per determinare altre caratteristiche che possono essere geneticamente collegate.

2.  Gli Stati membri dispongono che i dati genetici o le informazioni ottenute dalla loro analisi possano essere conservati solo per il tempo necessario in funzione delle finalità per cui i dati sono trattati e quando la persona interessata sia stata condannata per reati gravi contro la vita, l'integrità o la sicurezza delle persone. I dati in questione sono soggetti a periodi di conservazione rigorosi, da determinarsi con apposite disposizioni normative degli Stati membri.

3.  Gli Stati membri provvedono a che i dati genetici o le informazioni ottenute dalla loro analisi siano archiviati per periodi più lunghi solo quando i dati genetici non possono essere attribuiti a una persona, in particolare quando sono raccolti sulla scena del reato. [Em. 70]

Articolo 9

Misure basate sulla profilazione e trattamento automatizzato

1.  Gli Stati membri dispongono che la misura che produca effetti giuridici negativi o significativamente incida sull'interessato e sia basata unicamente in tutto o in parte su un trattamento automatizzato di dati personali destinato a valutarne aspetti della personalità, sia vietata salvo che sia autorizzata da disposizioni di legge che precisino misure a salvaguardia dei legittimi interessi dell'interessato.

2.  Il trattamento automatizzato di dati personali destinato a valutare taluni aspetti della personalità dell'interessato non può basarsi unicamente sulle categorie particolari di dati personali di cui all'articolo 8.

2 bis.  Il trattamento automatizzato di dati personali volto ad individuare un interessato senza un sospetto iniziale che quest'ultimo possa aver commesso o commetterà un reato penale è lecito solo se e nella misura in cui sia strettamente necessario per indagare su un grave reato penale o per prevenire un pericolo chiaro e imminente, stabilito sulla base di indicazioni fattuali, per la sicurezza pubblica, l'esistenza dello Stato o la vita delle persone.

2 ter.  È vietata in tutti i casi la profilazione che, intenzionalmente o meno, dia luogo a discriminazioni basate su razza, origine etnica, opinioni politiche, religione o convinzioni personali, appartenenza sindacale, genere o orientamento sessuale, o che comporti, intenzionalmente o meno, misure aventi tali effetti discriminatori. [Em. 71]

Articolo 9 bis

Principi generali per i diritti dell'interessato

1.  Gli Stati membri provvedono a che la protezione dei dati si basi su fondamenti chiari che prevedano per l'interessato diritti inequivocabili che il responsabile del trattamento è tenuto a rispettare. Le disposizioni della presente direttiva mirano a rafforzare, chiarire, garantire e, se del caso, codificare tali diritti.

2.  Gli Stati membri provvedono a che tali diritti comprendano anche la fornitura di informazioni chiare e facilmente comprensibili sul trattamento dei dati personali dell'interessato; il diritto di accesso, rettifica e cancellazione dei dati; il diritto ad ottenere dati; il diritto di presentare reclamo presso l'autorità competente per la protezione dei dati e di agire in giudizio nonché il diritto a compensi e risarcimenti per danni cagionati da operazioni di trattamento illegittime. L'esercizio di tali diritti è in generale gratuito. Il responsabile del trattamento risponde alle richieste degli interessati in tempi ragionevoli. [Em. 72]

CAPO III

DIRITTI DELL'INTERESSATO

Articolo 10

Modalità per l'esercizio dei diritti dell'interessato

1.  Gli Stati membri dispongono che il responsabile del trattamento prenda tutte le misure ragionevoli per applicare applichi politiche agili, chiare, trasparenti e facilmente accessibili con riguardo al trattamento dei dati personali e ai fini dell'esercizio dei diritti dell'interessato.

2.  Gli Stati membri dispongono che il responsabile del trattamento fornisca all'interessato tutte le informazioni e le comunicazioni relative al trattamento dei dati personali in forma intelligibile, con linguaggio semplice e chiaro, in particolare nel caso in cui tali informazioni si rivolgono specificamente a un minore.

3.  Gli Stati membri dispongono che il responsabile del trattamento prenda tutte le misure ragionevoli per stabilire le stabilisca procedure d'informazione di cui all'articolo 11 e le procedure per l'esercizio dei diritti dell'interessato di cui agli articoli da 12 a 17. Qualora i dati personali siano trattati con modalità automatizzate, il responsabile del trattamento predispone i mezzi per inoltrare le richieste per via elettronica.

4.  Gli Stati membri dispongono che il responsabile del trattamento informi l'interessato senza ingiustificato ritardo del seguito dato alle sue richieste alla sua richiesta e comunque entro un mese dal suo ricevimento. Queste informazioni sono confermate per iscritto. Qualora l'interessato presenti la richiesta in formato elettronico, le informazioni saranno fornite in tale formato.

5.  Gli Stati membri dispongono che le informazioni e le misure prese dal responsabile del trattamento a seguito di una richiesta ai sensi dei paragrafi 3 e 4 siano gratuite. Se le richieste sono vessatorie manifestamente eccessive, in particolare per il loro carattere ripetitivo, la lunghezza o il volume, il responsabile del trattamento può esigere un contributo spese per le informazioni o l'azione richiesta; in alternativa, può non effettuare quanto richiesto, un contributo spese ragionevole che tenga conto dei costi amministrativi sostenuti. In tale caso, incombe al responsabile del trattamento dimostrare il carattere vessatorio manifestamente eccessivo della richiesta.

5 bis.  Gli Stati membri possono stabilire che l'interessato possa far valere i propri diritti contro il responsabile del trattamento direttamente o tramite l'autorità nazionale di controllo competente. Se l'autorità di controllo ha agito su richiesta dell'interessato, l'autorità lo informa delle verifiche effettuate. [Em. 73]

Articolo 11

Informazione dell'interessato

1.  In caso di raccolta di dati personali, gli Stati membri provvedono affinché il responsabile del trattamento predisponga adeguate misure per fornire fornisca all'interessato almeno le seguenti informazioni:

a)  l'identità e le coordinate di contatto del responsabile del trattamento e del responsabile della protezione dei dati;

b)  la base giuridica e le finalità del trattamento cui sono destinati i dati personali;

c)  il periodo per il quale i dati personali saranno conservati;

d)  l'esistenza del diritto dell'interessato di chiedere al responsabile del trattamento l'accesso ai dati e la rettifica o la cancellazione dei dati personali che lo riguardano o la limitazione di trattamento;

e)  il diritto di proporre reclamo all'autorità di controllo di cui all'articolo 39 e le coordinate di contatto di detta autorità;

f)  i destinatari o le categorie di destinatari dei dati personali, anche in paesi terzi o in seno a organizzazioni internazionali e i soggetti autorizzati a consultarli in base alle leggi del paese terzo o alle norme dell'organizzazione internazionale; l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso di trasferimenti di cui all'articolo 35 o 36, i mezzi per ottenere copia delle idonee garanzie utilizzate per i trasferimenti;

f bis)  qualora il responsabile del trattamento elabori i dati personali nel modo descritto all'articolo 9, paragrafo 1, informazioni circa l'esistenza di un trattamento relativo a una misura ex articolo 9, paragrafo 1, e gli effetti previsti di tale trattamento sull'interessato nonché informazioni sulla ratio sottesa alla profilazione e il diritto ad ottenere una valutazione effettuata da una persona;

f ter)  informazioni relative alle misure di sicurezza adottate per proteggere i dati personali;

g)  ogni altra informazione necessaria per garantire un trattamento equo nei confronti dell'interessato, in considerazione delle specifiche circostanze in cui i dati personali vengono trattati.

2.  Quando i dati personali sono raccolti direttamente presso l'interessato, il responsabile del trattamento lo informa, in aggiunta a quanto disposto al paragrafo 1, dell'obbligatorietà o o della facoltatività della comunicazione dei dati personali e delle possibili conseguenze di una mancata comunicazione.

3.  Il responsabile del trattamento fornisce le informazioni di cui al paragrafo 1:

a)  al momento in cui i dati personali sono ottenuti dall'interessato, oppure

b)  quando i dati personali non sono raccolti direttamente presso l'interessato, al momento della registrazione o entro un termine ragionevole dopo la raccolta, in considerazione delle specifiche circostanze in cui i dati vengono trattati.

4.  Gli Stati membri possono adottare misure legislative volte a ritardare, o limitare o omettere in casi particolari l'informazione dell'interessato nella misura e per la durata in cui tale limitazione totale o parziale costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi dell'interessato:

a)  per non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;

b)  per non compromettere la prevenzione, l'indagine, l'accertamento o il perseguimento di reati o l'esecuzione di sanzioni penali;

c)  per proteggere la sicurezza pubblica;

d)  per proteggere la sicurezza dello Stato;

e)  per proteggere i diritti e le libertà di terzi.

5.  Gli Stati membri dispongono che i responsabili del trattamento valutino, mediante un esame concreto e individuale di ciascun caso, se si applichi una restrizione parziale o totale per uno dei motivi di cui al paragrafo 4. Gli Stati membri hanno anche la facoltà di determinare per legge le categorie di trattamenti di dati cui possono applicarsi, in tutto o in parte, le deroghe di cui al paragrafo 4, lettere a), b), c) e d). [Em. 74]

Articolo 12

Diritto di accesso dell'interessato

1.  Gli Stati membri dispongono che l'interessato abbia il diritto di ottenere dal responsabile del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano. Se è in corso un trattamento, il responsabile del trattamento fornisce, se nessuno vi ha già provveduto, le seguenti informazioni:

—a)  i dati personali oggetto del trattamento e tutte le informazioni disponibili sulla loro origine e, se applicabile, informazioni chiare sulla ratio sottesa a qualsiasi trattamento automatizzato;

—  a bis) la rilevanza e le conseguenze contemplate di tale trattamento, almeno nel caso delle misure di cui all'articolo 9;

a)  le finalità e i fondamenti giuridici del trattamento;

b)  le categorie di dati personali in questione;

c)  i destinatari o le categorie di destinatari a cui i dati personali sono stati comunicati, in particolare se destinatari di paesi terzi;

d)  il periodo per il quale saranno conservati i dati personali;

e)  l'esistenza del diritto dell'interessato di chiedere al responsabile del trattamento la rettifica o la cancellazione dei dati personali che lo riguardano o la limitazione di trattamento;

f)  il diritto di proporre reclamo all'autorità di controllo e le coordinate di contatto di detta autorità;

g)  la comunicazione dei dati personali oggetto del trattamento e di tutte le informazioni disponibili sulla loro origine.

2.  Gli Stati membri dispongono che l'interessato abbia il diritto di ottenere dal responsabile del trattamento copia dei dati personali oggetto del trattamento. Se l'interessato presenta la richiesta in forma elettronica, le informazioni sono fornite in formato elettronico, salvo indicazione diversa dell'interessato. [Em. 75]

Articolo 13

Limitazioni del diritto di accesso

1.  Gli Stati membri possono adottare misure legislative volte a limitare, in tutto o in parte a seconda dei casi, il diritto e il periodo di accesso dell'interessato nella misura in cui tale limitazione totale o parziale costituisca una misura strettamente necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi dell'interessato:

a)  per non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;

b)  per non compromettere la prevenzione, l'indagine, l'accertamento o il perseguimento di reati o l'esecuzione di sanzioni penali;

c)  per proteggere la sicurezza pubblica;

d)  per proteggere la sicurezza dello Stato;

e)  per proteggere i diritti e le libertà di terzi.

2.  Gli Stati membri dispongono che il responsabile del trattamento valuti in ciascun caso, mediante un esame concreto e individuale, se si applichi una limitazione parziale o completa per uno dei motivi indicati al paragrafo 1. Gli Stati membri hanno anche la facoltà di determinare con legge le categorie di trattamenti di dati cui possono applicarsi, in tutto o in parte, le deroghe di cui al paragrafo 1, lettere da a) a d).

3.  Nei casi di cui ai paragrafi 1 e 2, gli Stati membri dispongono che il responsabile del trattamento informi per iscritto l'interessato senza indebiti ritardi di ogni rifiuto o limitazione dell'accesso, dei motivi delle motivazioni del rifiuto e delle possibilità di proporre reclamo all'autorità di controllo e di proporre ricorso giurisdizionale. Le informazioni sui motivi di fatto o di diritto su cui si basa la decisione possono essere omesse qualora la loro comunicazione rischi di compromettere una delle finalità di cui al paragrafo 1.

4.  Gli Stati membri provvedono affinché il responsabile del trattamento documenti la valutazione di cui al paragrafo 2 nonché i motivi per cui ha omesso di comunicare i limitato la comunicazione dei motivi di fatto o di diritto su cui si basa la decisione. Tali informazioni sono rese disponibili alle autorità nazionali di controllo. [Em. 76]

Articolo 14

Modalità per l'esercizio del diritto di accesso

1.  Gli Stati membri dispongono che l'interessato abbia sempre il diritto di chiedere, in particolare nei casi di cui all'articolo agli articoli 12 e 13, che l'autorità di controllo verifichi la liceità del trattamento.

2.  Gli Stati membri dispongono che il responsabile del trattamento informi l'interessato del diritto di chiedere l'intervento dell'autorità di controllo ai sensi del paragrafo 1.

3.  Qualora l'interessato eserciti il diritto di cui al paragrafo 1, l'autorità di controllo lo informa quanto meno dell'avvenuto espletamento di tutte le verifiche necessarie e del loro esito riguardo alla liceità del trattamento in questione. L'autorità di controllo, inoltre, informa l'interessato del diritto di proporre ricorso giurisdizionale.

3 bis.  Gli Stati membri possono stabilire che l'interessato possa far valere tale diritto contro il responsabile del trattamento direttamente o tramite l'autorità nazionale di controllo competente.

3 ter.   Gli Stati membri garantiscono che il responsabile del trattamento risponda entro tempi ragionevoli alle richieste dell'interessato concernenti l'esercizio del suo diritto di accesso. [Em. 77]

Articolo 15

Diritto di rettifica e di integrazione

1.  Gli Stati membri dispongono che l'interessato abbia il diritto di ottenere dal responsabile del trattamento la rettifica o l'integrazione di dati personali inesatti. L'interessato ha il diritto di ottenere l'integrazione di dati personali o incompleti, anche in particolare mediante una dichiarazione integrativa o rettificativa.

2.  Gli Stati membri dispongono che il responsabile del trattamento informi per iscritto l'interessato, fornendo le relative motivazioni, di ogni rifiuto di rettifica o integrazione, dei motivi del rifiuto e delle possibilità di proporre reclamo all'autorità di controllo e di proporre ricorso giurisdizionale.

2 bis.  Gli Stati membri provvedono a che il responsabile del trattamento comunichi le rettifiche apportate a ogni destinatario cui siano stati comunicati i dati, a meno che ciò non risulti impossibile o comporti uno sforzo sproporzionato.

2 ter.  Gli Stati membri provvedono a che il responsabile del trattamento comunichi le rettifiche dei dati personali inesatti al soggetto terzo da cui tali dati provengono.

2 quater.  Gli Stati membri stabiliscono che l'interessato possa far valere tale diritto anche per il tramite dell'autorità nazionale di controllo competente. [Em. 78]

Articolo 16

Diritto alla cancellazione

1.  Gli Stati membri dispongono che l'interessato abbia il diritto di ottenere dal responsabile del trattamento la cancellazione di dati personali qualora il trattamento non sia conforme alle disposizioni adottate ai sensi dell'articolo degli articoli 4, lettere da a) a e), dell'articolo 7 e dell'articolo 8, 6, 7 e 8 della presente direttiva.

2.  Il responsabile del trattamento provvede senza ritardo alla cancellazione. I responsabili del trattamento si astengono inoltre dal divulgare ulteriormente tali dati.

3.  Invece di provvedere alla cancellazione, il responsabile del trattamento contrassegna i limita il trattamento dei dati personali:

a)  quando l'interessato ne contesta l'esattezza, per il periodo necessario ad effettuare le opportune verifiche;

b)  quando i dati personali devono essere conservati a fini probatori o per la protezione degli interessi vitali dell'interessato o di un'altra persona;.

c)  quando l'interessato si oppone alla loro cancellazione e chiede invece che ne sia limitato l'utilizzo.

3 bis.  Quando il trattamento dei dati personali è limitato a norma del paragrafo 3, il responsabile del trattamento informa l'interessato prima di revocare la limitazione al trattamento.

4.  Gli Stati membri dispongono che il responsabile del trattamento informi per iscritto l'interessato, fornendo le relative motivazioni, di ogni rifiuto di cancellare o contrassegnare limitare i dati trattati, dei motivi del rifiuto e delle possibilità di proporre reclamo all'autorità di controllo e di proporre ricorso giurisdizionale.

4 bis.  Gli Stati membri dispongono che il responsabile del trattamento informi i destinatari dei dati di eventuali cancellazioni o restrizioni apportate a norma del paragrafo 1, salvo che ciò non risulti impossibile o comporti uno sforzo sproporzionato. Il responsabile del trattamento informa l'interessato in merito a tali soggetti terzi.

4 ter.  Gli Stati membri possono stabilire che l'interessato possa far valere tale diritto contro il responsabile del trattamento direttamente o tramite l'autorità nazionale di controllo competente. [Em. 79]

Articolo 17

Diritti dell'interessato nel corso di indagini e procedimenti penali

Gli Stati membri possono disporre che il diritto di informazione, accesso, rettifica, cancellazione e limitazione di trattamento di cui agli articoli da 11 a 16 sia esercitato in conformità delle norme nazionali sui procedimenti giudiziari qualora i dati personali figurino in una decisione giudiziaria o in un casellario giudiziario oggetto di trattamento nel corso di un'indagine o di un procedimento penale.

CAPO IV

RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL TRATTAMENTO

SEZIONE 1

OBBLIGHI GENERALI

Articolo 18

Responsabilità del responsabile del trattamento

1.  Gli Stati membri dispongono che il responsabile del trattamento adotti politiche e attui misure adeguate per garantire – e poter dimostrare in modo trasparente per ogni operazione di trattamento – che il trattamento dei dati personali effettuato sia conforme alle disposizioni adottate ai sensi della presente direttiva, al momento sia della determinazione dei mezzi di trattamento che del trattamento vero e proprio.

2.  Le misure di cui al paragrafo 1 comprendono, in particolare:

a)  la conservazione della documentazione ai sensi dell'articolo 23;

a bis)  l'esecuzione della valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 25 bis;

b)  il rispetto dei requisiti di consultazione preventiva ai sensi dell'articolo 26;

c)  l'attuazione dei requisiti di sicurezza dei dati di cui all'articolo 27;

d)  la designazione di un responsabile della protezione dei dati ai sensi dell'articolo 30;

d bis)  la definizione e la previsione, se del caso, di garanzie specifiche per il trattamento di dati personali concernenti minori.

3.  Il responsabile del trattamento mette in atto meccanismi per assicurare la verifica dell'adeguatezza ed efficacia delle misure di cui al paragrafo 1. Qualora ciò sia proporzionato, la verifica è effettuata da revisori interni o esterni indipendenti. [Em. 80]

Articolo 19

Protezione dei dati fin dalla progettazione e protezione di default

1.  Gli Stati membri dispongono che, al momento di determinare le finalità e i mezzi del trattamento e all'atto del trattamento stesso, il responsabile ed eventualmente l'incaricato del trattamento, tenuto conto dell'evoluzione tecnica e dei costi di attuazione, metta in atto adeguate , dello stato delle conoscenze tecniche, delle migliori prassi internazionali e dei rischi inerenti al trattamento dati, mettano in atto misure e procedure tecniche e organizzative tecnico-organizzative adeguate e proporzionate in modo tale che il trattamento sia conforme alle disposizioni adottate ai sensi della presente direttiva e assicuri la tutela dei diritti dell'interessato, in particolare avuto riguardo ai principi di cui all'articolo 4. La protezione dei dati fin dalla progettazione deve prestare particolare attenzione alla gestione dell'intero ciclo di vita dei dati personali dalla raccolta al trattamento alla cancellazione, incentrandosi sistematicamente sulle garanzie procedurali generali in merito all'esattezza, alla riservatezza, all'integrità, alla sicurezza fisica e alla cancellazione dei dati. Se il responsabile del trattamento ha effettuato una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 25 bis, è opportuno prenderne in considerazione i risultati in fase di sviluppo delle misure e procedure di cui sopra.

2.  Il responsabile del trattamento mette in atto meccanismi per garantire garantisce che siano trattati, di default, solo i dati personali necessari per le finalità del trattamento ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione o divulgazione non vadano oltre il minimo necessario per le finalità perseguite. In particolare detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone e che gli interessati siano in grado di controllare la distribuzione dei propri dati personali. [Em. 81]

Articolo 20

Corresponsabili del trattamento

1.  Gli Stati membri dispongono che se il responsabile del trattamento determina le finalità, i mezzi del trattamento dei dati personali insieme ad altri, i corresponsabili del trattamento determinino, mediante accordi interni giuridicamente vincolanti, le rispettive responsabilità in merito al rispetto delle disposizioni adottate ai sensi della presente direttiva, con particolare riguardo alle procedure e ai meccanismi per l'esercizio dei diritti dell'interessato.

2.   Se non è stato informato di quale fra i corresponsabili del trattamento sia il responsabile ai sensi del paragrafo 1, l'interessato può esercitare i propri diritti ai sensi della presente direttiva nei confronti di ciascuno dei due o più corresponsabili del trattamento. [Em. 82]

Articolo 21

Incaricato del trattamento

1.  Gli Stati membri dispongono che qualora il trattamento debba essere effettuato per conto del responsabile del trattamento, questi scelga un incaricato del trattamento che presenti garanzie sufficienti per mettere in atto misure e procedure tecniche e organizzative adeguate in modo tale che il trattamento sia conforme alle disposizioni adottate ai sensi della presente direttiva e assicuri la tutela dei diritti dell'interessato, con particolare riguardo alle misure tecniche di sicurezza e alle misure organizzative che presiedono al trattamento da effettuare, e per garantire il rispetto di tali misure.

2.  Gli Stati membri dispongono che l'esecuzione dei trattamenti su commissione sia disciplinata da un contratto o atto giuridico che vincoli l'incaricato del trattamento al responsabile del trattamento e che preveda segnatamente che l'incaricato del trattamentoagisca soltanto su istruzione del responsabile del trattamento, in particolare qualora sia vietato il trasferimento dei dati personali usati.:

a)  agisca soltanto su istruzione del responsabile del trattamento;

b)  impieghi esclusivamente personale che abbia accettato di essere vincolato da un obbligo di riservatezza o abbia l'obbligo legale di riservatezza;

c)  prenda tutte le misure richieste ai sensi dell'articolo 27;

d)  coinvolga un altro incaricato del trattamento solo con il permesso del responsabile del trattamento e informi pertanto tempestivamente quest'ultimo dell'intenzione di coinvolgere un altro incaricato affinché il responsabile del trattamento abbia la possibilità di sollevare obiezioni;

e)  per quanto possibile tenuto conto della natura del trattamento, adotti d'intesa con il responsabile del trattamento le condizioni tecniche e organizzative necessarie per l'adempimento dell'obbligo del responsabile del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III;

f)  aiuti il responsabile del trattamento a garantire il rispetto degli obblighi di cui agli articoli da 25 bis a 29;

g)  trasmetta a fine trattamento tutti i risultati al responsabile del trattamento, si astenga dal trattare altrimenti i dati personali e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri ne prescriva la conservazione;

h)  metta a disposizione del responsabile del trattamento e dell'autorità di controllo tutte le informazioni necessarie per verificare il rispetto degli obblighi di cui al presente articolo;

i)  tenga conto del principio della protezione dei dati fin dalla progettazione e per default.

2 bis.  Il responsabile del trattamento e l'incaricato del trattamento documentano per iscritto le istruzioni del responsabile del trattamento e gli obblighi dell'incaricato del trattamento di cui al paragrafo 2.

3.  L'incaricato del trattamento che tratta i dati personali diversamente da quanto indicato nelle istruzioni del responsabile del trattamento è considerato responsabile del trattamento per tale trattamento ed è soggetto alle norme sui corresponsabili del trattamento di cui all'articolo 20. [Em. 83]

Articolo 22

Trattamento sotto l'autorità del responsabile del trattamento e dell'incaricato del trattamento

1.  Gli Stati membri dispongono che l'incaricato del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del responsabile del trattamento, che abbia accesso a dati personali non possa trattare tali dati se non è istruito in tal senso dal responsabile del trattamento, salvo che lo richieda il diritto dell'Unione o di uno Stato membro.

1 bis.  L'incaricato del trattamento che sia o diventi la parte determinante rispetto alle finalità, ai mezzi o ai metodi di trattamento o che non agisca esclusivamente secondo le istruzioni del responsabile del trattamento è considerato un corresponsabile del trattamento ai sensi dell'articolo 20. [Em. 84]

Articolo 23

Documentazione

1.  Gli Stati membri dispongono che ogni responsabile del trattamento e incaricato del trattamento conservi la documentazione di tutti i sistemi e procedure di trattamento sotto la propria responsabilità.

2.  La documentazione contiene almeno le seguenti informazioni:

a)  nome e coordinate di contatto del responsabile del trattamento, o di ogni corresponsabile del trattamento o incaricato del trattamento;

a bis)  accordo giuridicamente vincolante, se vi sono corresponsabili del trattamento; elenco degli incaricati e delle attività di trattamento oggetto dell'incarico;

b)  finalità del trattamento;

b bis)  indicazione delle componenti dell'organizzazione del responsabile del trattamento o dell'incaricato del trattamento a cui è affidato il trattamento dei dati personali per una particolare finalità;

b ter)  descrizione della categoria o delle categorie di interessati e dei pertinenti dati o categorie di dati;

c)  indicazione dei destinatari o delle categorie di destinatari dei dati personali;

c bis)  ove applicabile, informazioni sull'esistenza della profilazione, sulle misure basate sulla profilazione e sui meccanismi per sollevare obiezioni alla profilazione;

c ter)  informazioni intellegibili sulla ratio sottesa al trattamento automatizzato dei dati;

d)  indicazione dei trasferimenti di dati verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale. e la base giuridica del trasferimento dei dati; quando un trasferimento si basa sull'articolo 35 o 36 della presente direttiva viene fornita una spiegazione esauriente;

d bis)  termini di tempo per cancellare le diverse categorie di dati;

d ter)  esiti delle verifiche delle misure di cui all'articolo 18, paragrafo 1;

d quater)  indicazione del fondamento giuridico del trattamento al quale sono destinati i dati.

3.  Il responsabile del trattamento e l'incaricato del trattamento mettono tutta la documentazione a disposizione dell'autorità di controllo, su richiesta. [Em. 85]

Articolo 24

Registrazione

1.  Gli Stati membri provvedono affinché siano registrati almeno i seguenti trattamenti: raccolta, modifica, consultazione, comunicazione, interconnessione e cancellazione. Le registrazioni delle consultazioni e delle comunicazioni indicano in particolare la finalità, la data e l'ora del trattamento e, nella misura del possibile, l'identificazione della persona che ha consultato o comunicato i dati personali, nonché l'identità del destinatario di tali dati.

2.  Le registrazioni sono usate esclusivamente ai fini della verifica della liceità del trattamento dei dati, dell'autocontrollo e per garantire l'integrità e la sicurezza dei dati o a fini di controllo, sia da parte del responsabile della protezione dei dati sia da parte dell'autorità di protezione dei dati.

2 bis.  Il responsabile del trattamento e l'incaricato del trattamento mettono su richiesta la documentazione a disposizione dell'autorità di controllo. [Em. 86]

Articolo 25

Cooperazione con l'autorità di controllo

1.  Gli Stati membri dispongono che il responsabile del trattamento e l'incaricato del trattamento cooperino, su richiesta, con l'autorità di controllo nell'esercizio delle sue funzioni, fornendo in particolare tutte le informazioni necessarie all'esercizio delle sue funzioni di cui all'articolo 46, paragrafo 2, lettera a), e garantendo l'accesso come disposto dall'articolo 46, paragrafo 2, lettera b).

2.  Quando l'autorità di controllo esercita i poteri a norma dell'articolo 46, paragrafo 1, lettere a) e b), il responsabile del trattamento e l'incaricato del trattamento rispondono a una a sua richiesta entro un termine ragionevole specificato dall'autorità di controllo. La risposta comprende una descrizione delle misure prese a seguito delle osservazioni dell'autorità di controllo e dei risultati raggiunti. [Em. 87]

Articolo 25 bis

Valutazione d'impatto sulla protezione dei dati

1.  Gli Stati membri garantiscono che, laddove le operazioni di trattamento presentino, per loro natura, campo di applicazione o finalità, rischi specifici per i diritti e le libertà degli interessati, il responsabile del trattamento o l'incaricato operante per conto del responsabile valutino l'impatto dei sistemi e delle procedure di trattamento contemplate sulla protezione dei dati personali, prima di nuovi trattamenti o al più presto possibile nel caso dei trattamenti già in essere.

2.  I seguenti trattamenti, in particolare, possono presentare i rischi specifici di cui al paragrafo 1:

a)  trattamento di dati personali in sistemi di archiviazione su vasta scala a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali;

b)  trattamento di categorie particolari di dati personali ex articolo 8, di dati personali riguardanti minori, di dati biometrici e di dati relativi all'ubicazione, a fini di prevenzione, indagine, accertamento e perseguimento di reati ed esecuzione di sanzioni penali.

c)  valutazione di taluni aspetti della personalità o analisi o previsioni relative in particolare al comportamento delle persone, basate su trattamenti automatizzati e che possono produrre effetti giuridici o significativamente incidere sulla sua persona;

d)  la sorveglianza di zone accessibili al pubblico, in particolare se effettuata mediante dispositivi ottico-elettronici (videosorveglianza); oppure

e)  qualunque altro trattamento che richieda la consultazione dell'autorità di controllo ai sensi dell'articolo 26, paragrafo 1.

3.  La valutazione contiene almeno:

a)  una descrizione sistematica del trattamento previsto;

b)  una valutazione della necessità e proporzionalità del trattamento previsto in rapporto alle sue finalità;

c)  una valutazione dei rischi per i diritti e le libertà degli interessati e le misure previste per rimediarvi e per ridurre al massimo il volume dei dati personali trattati;

d)  le misure di sicurezza e i meccanismi atti a garantire la protezione dei dati personali e a dimostrare la conformità alle disposizioni adottate in base alla presente direttiva, tenuto conto dei diritti e dei legittimi interessi degli interessati e di altri soggetti coinvolti.

e)  un'indicazione generale dei termini entro cui vanno cancellate le varie categorie di dati;

f)  se del caso, un'indicazione dei trasferimenti di dati previsti verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui all’articolo 36, paragrafo 2, la documentazione delle idonee garanzie;

4.  Se il responsabile o l'incaricato del trattamento ha nominato un responsabile della protezione dei dati, quest’ultimo partecipa alla procedura di valutazione d’impatto.

5.  Gli Stati membri dispongono che il responsabile del trattamento consulti il pubblico in merito al trattamento previsto, lasciando impregiudicata la tutela del pubblico interesse o la sicurezza del trattamento.

6.  Fatta salva la tutela del pubblico interesse o la sicurezza del trattamento, la valutazione sarà resa facilmente accessibile al pubblico.

7.  Alla Commissione è conferito il potere di adottare, previa richiesta del parere del comitato europeo per la protezione dei dati, atti delegati conformemente all'articolo 56 al fine di precisare i criteri e le condizioni concernenti i trattamenti che possono presentare rischi specifici ex paragrafi 1 e 2 e i requisiti riguardanti la valutazione ex paragrafo 3, comprese le condizioni di scalabilità, verifica e controllabilità. [Em. 88]

Articolo 26

Consultazione preventiva dell'autorità di controllo

1.  Gli Stati membri provvedono affinché, onde garantire che il trattamento previsto sia conforme alle disposizioni adottate ai sensi della presente direttiva e, in particolare, attenuare i rischi per gli interessati, il responsabile del trattamento o l'incaricato del trattamento consulti l'autorità di controllo prima di trattare dati personali che figureranno in un nuovo archivio di prossima creazione se qualora:

a)  si tratta delle categorie particolari di la valutazione d'impatto sulla protezione dei dati di cui all'articolo 8 25 bis indichi che le operazioni di trattamento, per la loro natura, il loro oggetto e/o le loro finalità, possono presentare un alto grado di rischi specifici, oppure;

b)  il tipo di trattamento, in particolare il ricorso a tecnologie, procedure o meccanismi nuovi, comporta per altri versi l'autorità di controllo ritenga necessario effettuare una consultazione preventiva su determinate operazioni di trattamento che, per la loro natura, il loro oggetto o le loro finalità, possono presentare rischi specifici per i diritti e le libertà fondamentali dell'interessato, segnatamente per quanto attiene alla protezione dei dati personali degli interessati.

1 bis.  Nel caso in cui in base alle sue prerogative l'autorità di controllo stabilisca che il trattamento previsto non è conforme alle disposizioni adottate ai sensi della presente direttiva, in particolare qualora i rischi non siano sufficientemente identificati o attenuati, essa vieta il trattamento previsto e presenta opportune proposte per ovviare al difetto di conformità.

2.  Gli Stati membri possono disporre dispongono che, dopo aver consultato il comitato europeo per la protezione dei dati, l'autorità di controllo stabilisca un elenco di trattamenti soggetti a consultazione preventiva ai sensi del paragrafo 1, lettera b).

2 bis.  Gli Stati membri prevedono che il responsabile del trattamento o l'incaricato del trattamento trasmetta all'autorità di controllo la valutazione d'impatto sulla protezione dei dati di cui all'articolo 25 bis e, se richiesta, ogni altra informazione, al fine di consentire all'autorità di controllo di effettuare una valutazione della conformità del trattamento, in particolare dei rischi per la protezione dei dati personali dell'interessato e delle relative garanzie.

2 ter.  Se ritiene che il trattamento previsto non sia conforme alle disposizioni adottate ai sensi della presente direttiva o che i rischi non siano sufficientemente identificati o attenuati, l'autorità di controllo presenta opportune proposte per ovviare al difetto di conformità.

2 quater.  Quando predispongono un atto legislativo da sottoporre ai parlamenti nazionali o una misura basata su tale atto in cui venga definita la natura del trattamento, gli Stati membri possono consultare l'autorità di controllo per garantire la conformità del trattamento previsto alla presente direttiva e, in particolare, attenuare i rischi per gli interessati. [Em. 89]

SEZIONE 2

SICUREZZA DEI DATI

Articolo 27

Sicurezza del trattamento

1.  Gli Stati membri dispongono che, tenuto conto dell'evoluzione tecnica e dei costi di attuazione, il responsabile del trattamento e l'incaricato del trattamento mettano in atto idonee misure e procedure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta e alla natura dei dati personali da proteggere.

2.  Ciascuno Stato membro dispone che per il trattamento automatizzato dei dati il responsabile del trattamento o l'incaricato del trattamento, previa valutazione dei rischi, metta in atto misure volte a:

a)  vietare alle persone non autorizzate l'accesso alle attrezzature utilizzate per il trattamento di dati personali (controllo dell'accesso alle attrezzature);

b)  impedire che supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate (controllo dei supporti di dati);

c)  impedire che i dati siano inseriti senza autorizzazione e che i dati personali memorizzati siano visionati, modificati o cancellati senza autorizzazione (controllo della memorizzazione);

d)  impedire che persone non autorizzate utilizzino sistemi di trattamento automatizzato di dati mediante attrezzature per la trasmissione di dati (controllo dell'utente);

e)  garantire che le persone autorizzate a usare un sistema di trattamento automatizzato di dati abbiano accesso solo ai dati cui si riferisce la loro autorizzazione d'accesso (controllo dell'accesso ai dati);

f)  garantire la possibilità di verificare e accertare a quali organismi siano stati o possano essere trasmessi o resi disponibili i dati personali utilizzando attrezzature per la trasmissione di dati (controllo della trasmissione);

g)  garantire la possibilità di verificare e accertare a posteriori quali dati personali sono stati introdotti nei sistemi di trattamento automatizzato dei dati, il momento dell'introduzione e la persona che l'ha effettuata (controllo dell'introduzione);

h)  impedire che i dati personali possano essere letti, copiati, modificati o cancellati da persone non autorizzate durante i trasferimenti di dati personali o il trasporto di supporti di dati (controllo del trasporto);

i)  garantire che, in caso di interruzione, i sistemi utilizzati possano essere ripristinati (recupero);

j)  garantire che le funzioni del sistema siano operative, che eventuali errori di funzionamento siano segnalati (affidabilità) e che i dati personali memorizzati non possano essere falsati da un errore di funzionamento del sistema (autenticità).;

j bis) assicurare che, in caso di trattamento di dati personali sensibili ex articolo 8, siano poste in essere misure di sicurezza aggiuntive per garantire la consapevolezza situazionale dei rischi e la capacità di adottare, praticamente in tempo reale, interventi di prevenzione, correzione e attenuazione contro vulnerabilità o incidenti che potrebbero costituire un rischio per i dati.

2 bis.  Gli Stati membri dispongono che siano nominati responsabili del trattamento solo organismi in grado di garantire il rispetto delle necessarie misure tecniche e organizzative di cui al paragrafo 1 nonché la conformità alle istruzioni di cui all'articolo 21, paragrafo 2, lettera a). L'autorità competente controlla l'operato dell'incaricato del trattamento sotto tali aspetti.

3.  Se necessario, la Commissione può adottare atti di esecuzione per precisare i requisiti di cui ai paragrafi 1 e 2 in varie situazioni, in particolare gli standard di cifratura. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 57, paragrafo 2. [Em. 90]

Articolo 28

Notificazione di una violazione dei dati personali all'autorità di controllo

1.  Gli Stati membri dispongono che, in caso di violazione dei dati personali, il responsabile del trattamento notifichi la violazione all'autorità di controllo senza ritardo, ove possibile entro le 24 ore dal momento in cui ne è venuto a conoscenza. Qualora non proceda alla notificazione entro 24 ore. In caso di ritardo, il responsabile del trattamento trasmette, su richiesta, all'autorità di controllo una giustificazione motivata.

2.  L'incaricato del trattamento allerta e informa senza ritardo il responsabile del trattamento immediatamente dopo aver accertato la violazione.

3.  La notificazione di cui al paragrafo 1 deve come minimo:

a)  descrivere la natura della violazione dei dati personali, compresi le categorie e il numero di interessati in questione e le categorie e il numero di registrazioni dei dati in questione;

b)  indicare l'identità e le coordinate di contatto del responsabile della protezione dei dati di cui all'articolo 30 o di altro punto di contatto presso cui ottenere più informazioni;

c)  elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione dei dati personali;

d)  descrivere le possibili conseguenze della violazione dei dati personali;

e)  descrivere le misure proposte o adottate dal responsabile del trattamento per porre rimedio alla violazione dei dati personali e mitigarne gli effetti.

Qualora non sia possibile fornire tutte le informazioni senza ritardi, il responsabile del trattamento può completare la notificazione in una fase successiva.

4.  Gli Stati membri dispongono che il responsabile del trattamento documenti la violazione dei dati personali, incluse le circostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi rimedio. La documentazione deve essere sufficiente per consentire all'autorità di controllo di verificare il rispetto del presente articolo. In essa figurano unicamente le informazioni necessarie a tal fine.

4 bis.  L'autorità di controllo tiene un registro pubblico dei tipi di violazioni ufficialmente comunicate.

5.  Alla Commissione è conferito il potere di adottare, previa richiesta del parere del comitato europeo per la protezione dei dati, atti delegati conformemente all'articolo 56 al fine di precisare i criteri e i requisiti concernenti l'accertamento della violazione di dati personali di cui ai paragrafi 1 e 2 e le circostanze particolari in cui il responsabile del trattamento e l'incaricato del trattamento sono tenuti a notificare la violazione.

6.  La Commissione può stabilire il formato standard di tale notificazione all'autorità di controllo, le procedure applicabili all'obbligo di notificazione e la forma e le modalità della documentazione di cui al paragrafo 4, compresi i termini per la cancellazione delle informazioni ivi contenute. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 57, paragrafo 2. [Em. 91]

Articolo 29

Comunicazione di una violazione dei dati personali all'interessato

1.  Gli Stati membri dispongono che quando la violazione dei dati personali rischia di pregiudicare i dati personali, di attentare alla vita privata, ai diritti o agli interessi legittimi dell'interessato, il responsabile del trattamento, dopo aver provveduto alla notificazione di cui all'articolo 28, comunichi la violazione all'interessato senza ingiustificato ritardo.

2.  La comunicazione all’interessato di cui al paragrafo 1 è completa e utilizza un linguaggio semplice e chiaro. Essa descrive la natura della violazione dei dati personali e contiene almeno le informazioni e le raccomandazioni di cui all'articolo 28, paragrafo 3, lettere b), c) e d) come pure le informazioni concernenti i diritti dell'interessato, incluso il ricorso.

3.  Non è richiesta la comunicazione di una violazione dei dati personali all'interessato se il responsabile del trattamento dimostra in modo convincente all'autorità di controllo che ha utilizzato le opportune misure tecnologiche di protezione e che tali misure erano state applicate ai dati violati. Tali misure tecnologiche di protezione devono rendere i dati incomprensibili a chiunque non sia autorizzato ad accedervi.

3 bis.  Fatto salvo l'obbligo per il responsabile del trattamento di comunicare all'interessato la violazione dei dati personali, se il responsabile del trattamento non ha provveduto a comunicare all'interessato la violazione dei dati personali, l'autorità di controllo, considerate le presumibili ripercussioni negative della violazione, può obbligare il responsabile del trattamento a provvedervi.

4.  La comunicazione all'interessato può essere ritardata, limitata od omessa per i motivi di cui all'articolo 11, paragrafo 4. [Em. 92]

SEZIONE 3

RESPONSABILE DELLA PROTEZIONE DEI DATI

Articolo 30

Designazione del responsabile della protezione dei dati

1.  Gli Stati membri dispongono che il responsabile del trattamento o l'incaricato del trattamento designi un responsabile della protezione dei dati.

2.  Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti di cui all’articolo 32. Il livello necessario di conoscenza specialistica è determinato in particolare in base al trattamento di dati effettuato e alla protezione richiesta per i dati personali trattati dal responsabile del trattamento o dall'incaricato del trattamento.

2 bis.  Gli Stati membri dispongono che il responsabile del trattamento o l'incaricato del trattamento si assicuri che ogni altra funzione professionale del responsabile della protezione dei dati sia compatibile con i compiti e le funzioni dello stesso in qualità di responsabile della protezione dei dati e non dia adito a conflitto di interessi.

2 ter.  Il responsabile della protezione dei dati viene nominato per un mandato di almeno quattro anni. Il mandato del responsabile della protezione dei dati è rinnovabile. Durante il mandato può essere destituito dalla carica solo se non soddisfa più le condizioni richieste per l'esercizio delle sue funzioni.

2 quater.  Gli Stati membri dispongono che l'interessato abbia il diritto di contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei suoi dati personali.

3.  Il responsabile della protezione dei dati può essere designato per più enti, tenuto conto della struttura organizzativa dell'autorità competente.

3 bis.  Gli Stati membri dispongono che il responsabile del trattamento o l'incaricato del trattamento comunichi il nome e le coordinate di contatto del responsabile della protezione dei dati all'autorità di controllo e al pubblico. [Em. 93]

Articolo 31

Posizione del responsabile della protezione dei dati

1.  Gli Stati membri dispongono che il responsabile del trattamento o l'incaricato del trattamento si assicuri che il responsabile della protezione dei dati sia prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

2.  Il responsabile del trattamento o l'incaricato del trattamento si assicura che il responsabile della protezione dei dati disponga dei mezzi per adempiere alle funzioni e ai compiti di cui all'articolo 32 in modo efficace ed indipendente e non riceva istruzione alcuna per quanto riguarda l'esercizio della carica.

2 bis.  Il responsabile del trattamento o l'incaricato del trattamento sostiene il responsabile della protezione dei dati nell'esecuzione dei suoi compiti e gli fornisce personale, locali, attrezzature, formazione professionale continua e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cui all'articolo 32, oltre che per mantenerne le competenze professionali. [Em. 94]

Articolo 32

Compiti del responsabile della protezione dei dati

Gli Stati membri dispongono che il responsabile del trattamento o l'incaricato del trattamento conferisca al responsabile della protezione dei dati almeno i seguenti compiti:

a)  sensibilizzare, informare e consigliare il responsabile del trattamento o l'incaricato del trattamento in merito agli obblighi derivanti dalle disposizioni adottate ai sensi della presente direttiva, in particolare riguardo alle misure tecniche e organizzative e alle procedure, e conservare la documentazione relativa a tale attività e alle risposte ricevute;

b)  sorvegliare l'attuazione e l'applicazione delle politiche in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;

c)  sorvegliare l'attuazione e l'applicazione delle disposizioni adottate ai sensi della presente direttiva, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l'informazione dell'interessato e le richieste degli interessati di esercitare i diritti riconosciuti dalle disposizioni adottate ai sensi della presente direttiva;

d)  garantire la conservazione della documentazione di cui all'articolo 23;

e)  controllare che le violazioni dei dati personali siano documentate, notificate e comunicate ai sensi degli articoli 28 e 29;

f)  controllare che la valutazione d'impatto sulla protezione dei dati sia richiesta dal responsabile o dall'incaricato del trattamento e che sia presentata domanda di consultazione preventiva all'autorità di controllo nei casi previsti dall'articolo 26, paragrafo 1;

g)  controllare che sia dato seguito alle richieste dell'autorità di controllo e, nell'ambito delle sue competenze, cooperare con l'autorità di controllo di propria iniziativa o su sua richiesta;

h)  fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l'autorità di controllo di propria iniziativa. [Em. 95]

CAPO V

TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI O ORGANIZZAZIONI INTERNAZIONALI

Articolo 33

Principi generali per il trasferimento

1.  Gli Stati membri dispongono che sia ammesso il trasferimento, a cura di un'autorità competente, di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un'organizzazione internazionale, compreso il trasferimento successivo verso un altro paese terzo o un'altra organizzazione internazionale, soltanto se:

a)  il trasferimento è necessario a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali; e

a bis)  i dati sono trasferiti al responsabile del trattamento in un paese terzo o un'organizzazione internazionale che sia una pubblica autorità competente ai fini dell'articolo 1, paragrafo 1; e

a ter)  il responsabile del trattamento e l'incaricato del trattamento rispettano le condizioni indicate nel presente capo, compreso il trasferimento successivo di dati personali da un paese terzo o un'organizzazione internazionale verso un altro paese terzo o un'altra organizzazione internazionale; e

b)  il responsabile del trattamento e l'incaricato del trattamento rispettano le condizioni indicate nel altre disposizioni adottate ai sensi della presente capo. direttiva; e

b bis)   il livello di protezione dei dati personali degli interessati garantito nell'Unione dalla presente direttiva non è compromesso; e

b ter)  la Commissione ha deciso, a norma delle condizioni e procedure di cui all'articolo 34, che il paese terzo o l'organizzazione internazionale in questione garantiscono un livello adeguato di protezione; oppure

b quater)  sono offerte garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante come indicato all'articolo 35.

2.  Gli Stati membri dispongono che i trasferimenti successivi di cui al primo paragrafo del presente articolo siano ammessi se, in aggiunta alle condizioni indicate in detto paragrafo:

a)  il trasferimento successivo è necessario per la stessa finalità specifica del trasferimento originale; e

b)  l'autorità competente che ha eseguito il trasferimento originale autorizza il trasferimento successivo. [Em. 96]

Articolo 34

Trasferimento previa decisione di adeguatezza

1.  Gli Stati membri dispongono che sia ammesso il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale se la Commissione ha deciso, conformemente all'articolo 41 del regolamento (UE) …./2012 o al paragrafo 3 del presente articolo, che il paese terzo, o un territorio o settore di trattamento all'interno del paese terzo, o l'organizzazione internazionale in questione garantisce un livello di protezione adeguato. In tal caso il trasferimento non necessita di ulteriori autorizzazioni particolari.

2.  In mancanza di decisione adottata conformemente all'articolo 41 del regolamento (UE) …./2012, la Commissione valuta Nel valutare l'adeguatezza del livello di protezione prendendo la Commissione prende in considerazione i seguenti elementi:

a)  lo stato di diritto, la pertinente legislazione generale e settoriale vigente, anche in materia penale, di pubblica sicurezza, difesa e sicurezza nazionale, l'attuazione di tale legislazione e le misure di sicurezza osservate nel paese terzo o dall'organizzazione internazionale in questione, i precedenti giurisprudenziali nonché i diritti effettivi e azionabili, compreso il diritto degli interessati a un ricorso effettivo in sede amministrativa e giudiziaria, in particolare quelli che risiedono nell'Unione e i cui dati personali sono oggetto di trasferimento;

b)  l'esistenza e l'effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o nell'organizzazione internazionale in questione, incaricate di garantire con sufficienti poteri sanzionatori il rispetto delle norme di protezione dei dati, assistere e consigliare gli interessati in merito all'esercizio dei loro diritti e cooperare con le autorità di controllo dell'Unione e degli Stati membri; e

c)  gli impegni internazionali assunti dal paese terzo o dall'organizzazione internazionale in questione, in particolare eventuali convenzioni o strumenti giuridicamente vincolanti concernenti la protezione dei dati personali.

3.  La Commissione può Alla Commissione è conferito il potere di adottare, previa richiesta del parere del comitato europeo per la protezione dei dati, atti delegati conformemente all'articolo 56 al fine di decidere, nei limiti della presente direttiva, che un paese terzo, o un territorio o settore di trattamento all'interno del paese terzo, o un'organizzazione internazionale garantisce un livello di protezione adeguato ai sensi del paragrafo 2. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 57, paragrafo 2.

4.  L'atto di esecuzione delegato specifica il proprio campo di applicazione geografico e settoriale e, se del caso, identifica l'autorità di controllo di cui al paragrafo 2, lettera b).

4 bis.  La Commissione controlla, su base continuativa, gli sviluppi che potrebbero incidere sull'attuazione degli elementi elencati al paragrafo 2 nei paesi terzi e organizzazioni internazionali in relazione ai quali è stato adottato un atto delegato ai sensi del paragrafo 3.

5.  La Alla Commissione può è conferito il potere di adottare atti delegati conformemente all'articolo 56 al fine di decidere, nei limiti della presente direttiva, che un paese terzo, o un territorio o settore di trattamento all'interno del paese terzo, o un'organizzazione internazionale non garantisce un livello di protezione adeguato ai sensi del paragrafo 2, in particolare nei casi in cui la pertinente legislazione generale e settoriale vigente nel paese terzo o per l'organizzazione internazionale in questione non garantisce diritti effettivi e azionabili, compreso il diritto degli interessati a un ricorso effettivo in sede amministrativa e giudiziaria, in particolare quelli i cui dati personali sono oggetto di trasferimento. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 57, paragrafo 2, o, in casi di estrema urgenza per gli interessati relativamente al loro diritto alla protezione dei dati, secondo la procedura cui all'articolo 57, paragrafo 3.

6.  Gli Stati membri provvedono affinché quando la Commissione decide, ai sensi del paragrafo 5, che è vietato il trasferimento di dati personali verso il paese terzo, o un territorio o settore di trattamento all'interno del paese terzo, o verso l'organizzazione internazionale in questione, tale decisione faccia salvi i trasferimenti ai sensi dell'articolo 35, paragrafo 1, o dell'articolo 36. La Commissione avvia, al momento opportuno, consultazioni con il paese terzo o l'organizzazione internazionale per porre rimedio alla situazione risultante dalla decisione di cui al paragrafo 5.

7.  La Commissione pubblica nella Gazzetta ufficiale dell'Unione europea l'elenco dei paesi terzi, dei territori e settori di trattamento all'interno di un paese terzo, e delle organizzazioni internazionali per i quali ha deciso che è o non è garantito un livello di protezione adeguato.

8.  La Commissione sorveglia l'applicazione degli atti di esecuzione delegati di cui ai paragrafi 3 e 5. [Em. 97]

Articolo 35

Trasferimento in presenza di garanzie adeguate

1.  Se la Commissione non ha preso alcuna decisione ai sensi dell'articolo 34, gli Stati membri dispongono che il trasferimento di dati personali a ovvero decide che un destinatario in un paese terzo, una sua regione o presso un'organizzazione internazionale possa aver luogo se: , non garantiscono adeguati livelli di protezione in conformità dell'articolo 34, paragrafo 5, il responsabile del trattamento o l'incaricato del trattamento può trasferire dati personali verso un paese terzo, una sua regione o un'organizzazione internazionale solo se ha offerto garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante.

a)  sono offerte garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante, oppure

b)  il responsabile del trattamento o l'incaricato del trattamento ha valutato tutte le circostanze relative al trasferimento dei dati personali e ritiene che sussistano garanzie adeguate per la protezione dei dati personali.

2.  La decisione di trasferimento ai sensi del paragrafo 1, lettera b), è presa da personale debitamente autorizzato. Il trasferimento è documentato e, su richiesta, la documentazione è messa a disposizione dell' deve essere preventivamente autorizzato dall'autorità di controllo. [Em. 98]

Articolo 36

Deroghe

1.  Se, ai sensi dell'articolo 34, paragrafo 5, la Commissione decide che non sussiste un adeguato livello di protezione, il trasferimento di dati personali verso il paese terzo interessato o verso l'organizzazione internazionale in questione non ha luogo se nel caso specifico i legittimi interessi delle persone interessate al non trasferimento dei dati prevalgono sull'interesse pubblico al trasferimento.

2.  In deroga agli articoli 34 e 35, gli Stati membri dispongono che sia ammesso il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale soltanto a condizione che:

a)  il trasferimento sia necessario per salvaguardare un interesse vitale dell'interessato o di un terzo, oppure

b)  il trasferimento sia necessario per salvaguardare i legittimi interessi dell'interessato qualora lo preveda il diritto dello Stato membro che trasferisce i dati personali, oppure

c)  il trasferimento dei dati sia essenziale per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo, oppure

d)  il trasferimento sia necessario, in singoli casi, per prevenire, indagare, accertare o perseguire reati o eseguire sanzioni penali, oppure

e)  il trasferimento sia necessario, in singoli casi, per accertare, esercitare o difendere un diritto in sede giudiziaria in relazione alla prevenzione, all'indagine, all'accertamento o al perseguimento di uno specifico reato o all'esecuzione di una specifica sanzione penale.

2 bis.  Il trattamento che si basa sull'articolo 2 deve avere una base giuridica nel diritto dell'Unione, o nel diritto dello Stato membro a cui è soggetto il responsabile del trattamento; la normativa in questione deve soddisfare un interesse pubblico o l'esigenza di protezione dei diritti e delle libertà di terzi, rispettare nella sostanza il diritto alla protezione dei dati personali ed essere proporzionata al legittimo obiettivo perseguito.

2 ter.  Tutti i trasferimenti di dati disposti mediante deroghe devono essere adeguatamente motivati e limitati allo stretto necessario. Non sono ammessi trasferimenti ingenti e frequenti di dati.

2 quater.  La decisione di trasferimento ai sensi del paragrafo 2 è presa da personale debitamente autorizzato. Il trasferimento è documentato e, su richiesta, la documentazione è messa a disposizione dell’autorità di controllo con l'indicazione della data e ora del trasferimento, delle informazioni sull'autorità ricevente, della motivazione del trasferimento, e dei dati trasferiti. [Em. 99]

Articolo 37

Condizioni specifiche per il trasferimento di dati personali

Gli Stati membri prevedono che il responsabile del trattamento informi il destinatario dei dati personali di ogni limitazione di trattamento e prenda tutte le misure ragionevoli per garantirne il rispetto. Il responsabile del trattamento comunica altresì al destinatario dei dati personali ogni aggiornamento, rettifica o cancellazione dei dati e il destinatario provvede, a sua volta, alla medesima comunicazione in caso di trasferimento successivo. [Em. 100]

Articolo 38

Cooperazione internazionale per la protezione dei dati personali

1.  In relazione ai paesi terzi e alle organizzazioni internazionali, la Commissione e gli Stati membri adottano misure appropriate per:

a)  sviluppare efficaci meccanismi di cooperazione internazionale per facilitare garantire l'applicazione della legislazione sulla protezione dei dati personali; [Em. 101]

b)  prestare assistenza reciproca a livello internazionale nell'applicazione della legislazione sulla protezione dei dati personali, in particolare mediante notificazione, deferimento dei reclami, assistenza alle indagini e scambio di informazioni, fatte salve garanzie adeguate per la protezione dei dati personali e gli altri diritti e libertà fondamentali;

c)  coinvolgere le parti interessate pertinenti in discussioni e attività dirette a promuovere la cooperazione internazionale nell'applicazione della legislazione sulla protezione dei dati personali;

d)  promuovere lo scambio e la documentazione delle legislazioni e pratiche in materia di protezione dei dati personali.

d bis)  chiarire e consultarsi sui conflitti giurisdizionali con paesi terzi. [Em. 102]

2.  Ai fini del paragrafo 1, la Commissione adotta le misure appropriate per intensificare i rapporti con quei paesi terzi e quelle organizzazioni internazionali, in particolare le loro autorità di controllo, per cui abbia deciso che garantiscono un livello adeguato di protezione ai sensi dell'articolo 34, paragrafo 3.

Articolo 38 bis

Relazione della Commissione

La Commissione presenta a intervalli regolari al Parlamento europeo e al Consiglio una relazione sull'applicazione degli articoli da 33 a 38. La prima relazione è trasmessa entro quattro anni dall'entrata in vigore della presente direttiva, A tale fine, la Commissione può chiedere informazioni - che devono esserle fornite senza indugio - agli Stati membri e alle autorità di controllo. Le relazioni sono pubblicate. [Em. 103]

CAPO VI

AUTORITÀ DI CONTROLLO INDIPENDENTI

SEZIONE 1

INDIPENDENZA

Articolo 39

Autorità di controllo

1.  Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare l'applicazione delle disposizioni adottate ai sensi della presente direttiva e di contribuire alla sua coerente applicazione in tutta l'Unione, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali e di agevolare la libera circolazione dei dati personali all'interno dell'Unione. A tale scopo le autorità di controllo cooperano tra loro e con la Commissione.

2.  Gli Stati membri possono disporre che l'autorità di controllo istituita negli Stati membri ai sensi del regolamento (UE) …./2014 assolva i compiti dell'autorità di controllo da istituirsi ai sensi del paragrafo 1

3.  Qualora in uno Stato membro siano istituite più autorità di controllo, detto Stato membro designa l'autorità di controllo che funge da punto di contatto unico per l'effettiva partecipazione di tali autorità al comitato europeo per la protezione dei dati.

Articolo 40

Indipendenza

1.  Gli Stati membri provvedono affinché l’autorità di controllo eserciti le sue funzioni e i suoi poteri in piena indipendenza, anche in presenza di accordi di cooperazione a norma del Capo VII della presente direttiva.[Em. 104]

2.  Ogni Stato membro dispone che nell'adempimento delle loro funzioni i membri dell'autorità di controllo non sollecitino né accettino istruzioni da alcuno e mantengano piena indipendenza e imparzialità. [Em. 105]

3.  Per tutta la durata del mandato, i membri dell'autorità di controllo si astengono da qualunque azione incompatibile con le loro funzioni e non possono esercitare alcuna altra attività professionale incompatibile, remunerata o meno.

4.  Al termine del mandato i membri dell'autorità di controllo agiscono con integrità e discrezione nell'accettazione di nomine e altri benefici.

5.  Ogni Stato membro provvede affinché l'autorità di controllo sia dotata di risorse umane, tecniche e finanziarie adeguate, dei locali e delle infrastrutture necessarie per l'effettivo esercizio delle sue funzioni e dei suoi poteri, compresi quelli nell'ambito dell'assistenza reciproca, della cooperazione e della partecipazione attiva al comitato europeo per la protezione dei dati.

6.  Ogni Stato membro provvede affinché l'autorità di controllo abbia il proprio personale, nominato dal responsabile dell'autorità di controllo e soggetto alla direzione di quest'ultimo.

7.  Gli Stati membri garantiscono che l'autorità di controllo sia soggetta a un controllo finanziario che non ne pregiudichi l'indipendenza. Gli Stati membri garantiscono che l'autorità di controllo disponga di bilanci annuali separati. I bilanci sono pubblicati.

Articolo 41

Condizioni generali per i membri dell'autorità di controllo

1.  Ogni Stato membro dispone che a nominare i membri dell'autorità di controllo debba essere il proprio parlamento o governo.

2.  I membri sono scelti tra personalità che offrono ogni garanzia di indipendenza e che possiedono un'esperienza e competenze notorie per l'esercizio delle loro funzioni.

3.  Il mandato dei membri cessa alla scadenza del termine o in caso di dimissioni o di provvedimento d'ufficio, a norma del paragrafo 5.

4.  I membri possono essere rimossi o privati del diritto a pensione o di altri vantaggi sostitutivi dall'autorità giurisdizionale nazionale competente qualora non siano più in possesso dei requisiti necessari per l'esercizio delle loro funzioni o abbiano commesso una colpa grave.

5.  Allo scadere del mandato o qualora rassegni le sue dimissioni, il membro continua a esercitare le sue funzioni fino alla nomina di un nuovo membro.

Articolo 42

Norme sull'istituzione dell'autorità di controllo

Ogni Stato membro prevede con legge:

a)  l'istituzione e lo status dell'autorità di controllo in conformità degli articoli 39 e 40;

b)  le qualifiche, l'esperienza e le competenze richieste per l'esercizio delle funzioni di membro dell'autorità di controllo;

c)  le norme e le procedure per la nomina dei membri dell'autorità di controllo, e le norme sulle attività o professioni incompatibili con le loro funzioni;

d)  la durata del mandato dei membri dell'autorità di controllo, che non può essere inferiore a quattro anni, salvo per le prime nomine dopo l'entrata in vigore della presente direttiva, alcune delle quali possono avere una durata inferiore;

e)  l'eventuale rinnovabilità del mandato dei membri dell'autorità di controllo;

f)  le regole e le condizioni comuni che disciplinano le funzioni dei membri e del personale dell'autorità di controllo;

g)  le norme e le procedure relative alla cessazione delle funzioni dei membri dell'autorità di controllo, anche per il caso in cui non siano più in possesso dei requisiti necessari per l'esercizio delle loro funzioni o abbiano commesso una colpa grave.

Articolo 43

Segreto professionale

Gli Stati membri dispongono, in conformità con le legislazioni e prassi nazionali, che durante e dopo il mandato i membri e il personale dell’autorità di controllo siano tenuti al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso nell’esercizio delle loro funzioni, funzioni che essi dovranno svolgere con indipendenza e trasparenza come prescritto dalla presente direttiva. [Em. 106]

SEZIONE 2

FUNZIONI E POTERI

Articolo 44

Competenza

1.  Gli Stati membri dispongono che ogni autorità di controllo eserciti abbia la competenza necessaria per svolgere i propri compiti e per esercitare, nel territorio del suo Stato membro, i poteri di cui gode a norma della presente direttiva. [Em. 107]

2.  Gli Stati membri dispongono che l'autorità di controllo non sia competente per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell'esercizio delle loro funzioni giurisdizionali.

Articolo 45

Funzioni

1.  Gli Stati membri dispongono che l'autorità di controllo:

a)  sorvegli e garantisca l'applicazione delle disposizioni adottate ai sensi della presente direttiva e delle relative misure di esecuzione;

b)  tratti i reclami proposti dagli interessati o da associazioni che li rappresentano e che siano da questi debitamente autorizzate ai sensi dell'articolo 50, svolga le indagini opportune e informi l'interessato o l'associazione dello stato e dell'esito del reclamo entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un'altra autorità di controllo;

c)  verifichi la liceità del trattamento dei dati ai sensi dell'articolo 14 e informi l'interessato entro un termine ragionevole dell'esito della verifica o dei motivi per cui non è stata effettuata;

d)  presti assistenza reciproca alle altre autorità di controllo e garantisca l'applicazione e l'attuazione coerente delle disposizioni adottate ai sensi della presente direttiva;

e)  svolga indagini, ispezioni e audit di propria iniziativa oppure a seguito di un reclamo o su richiesta di un'altra autorità di controllo, ed entro un termine ragionevole ne comunichi l'esito all'interessato che abbia proposto reclamo;

f)  sorvegli gli sviluppi che presentano un interesse, se ed in quanto incidenti sulla protezione dei dati personali, in particolare l'evoluzione delle tecnologie dell'informazione e della comunicazione;

g)  sia consultata dalle istituzioni e dagli organismi degli Stati membri in merito alle misure legislative e amministrative relative alla tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali;

h)  sia consultata in merito ai trattamenti conformemente all'articolo 26;

i)  participi alle attività del comitato europeo per la protezione dei dati.

2.  Ogni autorità di controllo promuove la sensibilizzazione del pubblico ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali. Sono oggetto di particolare attenzione le attività destinate specificamente ai minori.

3.  L'autorità di controllo, su richiesta, consiglia l'interessato in merito all'esercizio dei diritti derivanti dalle disposizioni adottate ai sensi della presente direttiva e, se del caso, coopera a tal fine con le autorità di controllo di altri Stati membri.

4.  L'autorità di controllo fornisce un modulo compilabile elettronicamente per la proposizione dei reclami di cui al paragrafo 1, lettera b), senza escludere altri mezzi di comunicazione.

5.  Gli Stati membri dispongono che l'autorità di controllo svolga le proprie funzioni senza spese per l'interessato.

6.  Qualora le richieste siano vessatorie manifestamente eccessive, in particolare per il loro carattere ripetitivo, l'autorità di controllo può esigere un contributo spese o non effettuare quanto richiesto dall'interessato ragionevole. Tale contributo spese non supera i costi di esecuzione dell'azione richiesta. Incombe all'autorità di controllo dimostrare il carattere vessatorio manifestamente eccessivo della richiesta. [Em. 108]

Articolo 46

Poteri

1.  Gli Stati membri dispongono che a ogni autorità di controllo siano riconosciuti in particolare abbia il potere di:

a)  poteri investigativi, come la facoltà di accedere ai dati oggetto di trattamento e di raccogliere qualsiasi informazione necessaria all'esercizio della sua funzione di controllo notificare al responsabile del trattamento o all'incaricato del trattamento le asserite violazioni delle disposizioni sul trattamento dei dati personali e, all'occorrenza, ingiungere al responsabile del trattamento o all'incaricato del trattamento di porre rimedio alle violazioni con misure specifiche, al fine di migliorare la protezione degli interessati;

b)  poteri effettivi d'intervento, come quello di esprimere pareri prima dell'avvio di trattamenti e di dar loro adeguata pubblicità, o quello di ordinare la limitazione, la cancellazione o la distruzione dei dati o di vietare a titolo provvisorio o definitivo un trattamento, oppure quello di rivolgere un avvertimento o un monito al responsabile del trattamento o di adire i parlamenti o altre istituzioni politiche nazionali di conformarsi alle richieste dell'interessato di esercitare i propri diritti ai sensi della presente direttiva, compresi quelli previsti dagli articoli da 12 a 17, laddove tali richieste siano state respinte in violazione di tali disposizioni;

c)  il potere di agire in sede giudiziale o stragiudiziale in caso di violazione delle disposizioni adottate ai sensi della presente direttiva.ordinare al responsabile del trattamento o all'incaricato del trattamento di fornire le informazioni di cui all'articolo 10, paragrafo 1 e 2, e agli articoli 11, 28 e 29;

d)  assicurare il rispetto dei pareri relativi alle precedenti consultazioni di cui all'articolo 26;

e)  rivolgere avvertimenti o moniti al responsabile del trattamento o all'incaricato del trattamento;

f)  ordinare la rettifica, la cancellazione o la distruzione di tutti i dati trattati in violazione delle disposizioni della presente direttiva e la notificazione di tali misure ai terzi cui sono stati trasmessi i dati;

g)  vietare trattamenti, a titolo provvisorio o definitivo;

h)  sospendere la circolazione dei dati verso un destinatario in un paese terzo o un'organizzazione internazionale;

i)  informare i parlamenti nazionali, il governo o altre istituzioni pubbliche e il pubblico in merito.

2.  Ogni autorità di controllo dispone dei poteri investigativi necessari per ottenere dal responsabile del trattamento o dall'incaricato del trattamento:

a)  l'accesso a tutti i dati personali e a tutte le informazioni necessarie per l'esercizio della sua funzione di controllo;

b)  l'accesso a tutti i suoi locali, comprese le attrezzature e i mezzi, conformemente al diritto nazionale, laddove vi siano motivi ragionevoli per presumere che vi si svolga un'attività in violazione delle disposizioni adottate ai sensi della presente direttiva, fatta salva l'eventuale autorizzazione giudiziaria prescritta dal diritto nazionale.

3.  Fatto salvo l'articolo 43, gli Stati membri dispongono che non siano prescritti ulteriori requisiti di segretezza su richiesta delle autorità di controllo.

4.  Gli Stati membri possono disporre che siano richieste ulteriori indagini di sicurezza in linea con il diritto nazionale per l'accesso a informazioni classificate a un livello pari o superiore a "EU CONFIDENTIAL". Se il diritto dello Stato membro della competente autorità di controllo non prescrive ulteriori indagini di sicurezza, la mancata previsione di tali indagini deve essere riconosciuta da tutti gli altri Stati membri.

5.  Ogni autorità di controllo ha il potere di adire le autorità giudiziarie per le violazioni delle disposizioni adottate ai sensi della presente direttiva e di agire in sede giudiziale ai sensi dell'articolo 53, paragrafo 2.

6.  Ogni autorità di controllo ha il potere di imporre sanzioni per violazioni amministrative. [Em. 109]

Articolo 46 bis

Segnalazione di violazioni

1.  Gli Stati membri dispongono che le autorità di controllo tengano conto delle linee guida emesse dal comitato europeo per la protezione dei dati a norma dell'articolo 66, paragrafo 4, lettera b del regolamento (UE) …/2014 e pongano in essere dispositivi efficaci per incoraggiare la segnalazione riservata di violazioni della presente direttiva.

2.  Gli Stati membri dispongono che le autorità competenti pongano in essere dispositivi efficaci per incoraggiare la segnalazione riservata di violazioni della presente direttiva. [Em. 110]

Articolo 47

Relazione di attività

Gli Stati membri dispongono che ogni autorità di controllo elabori una relazione annuale sulla propria attività almeno ogni due anni. La relazione è messa a disposizione del pubblico, del rispettivo parlamento nazionale, della Commissione e del comitato europeo per la protezione dei dati. Essa indica in che misura le autorità competenti, all'interno della loro giurisdizione, abbiano ottenuto dati in possesso di soggetti privati allo scopo di indagare o perseguire reati. [Em. 111]

CAPO VII

COOPERAZIONE

Articolo 48

Assistenza reciproca

1.  Gli Stati membri dispongono che le autorità di controllo si prestino assistenza reciproca al fine di attuare e applicare le disposizioni adottate ai sensi della presente direttiva in maniera coerente, e prendano misure per cooperare efficacemente tra loro. L'assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di consultazione preventiva, le ispezioni e le indagini.

2.  Gli Stati membri dispongono che l'autorità di controllo prenda tutte le misure opportune necessarie per dare seguito alle richieste delle altre autorità di controllo. Tali misure possono includere in particolare la trasmissione immediata, e comunque entro un mese dal ricevimento della richiesta, di informazioni pertinenti o gli interventi necessari per far cessare o vietare trattamenti contrari alla presente direttiva.

2 bis.  La richiesta di assistenza contiene tutte le informazioni necessarie, compresi lo scopo e i motivi della richiesta. Le informazioni scambiate sono utilizzate ai soli fini per cui sono state richieste.

2 ter.  L'autorità di controllo cui è presentata una richiesta di assistenza non può rifiutare di darvi seguito, salvo che:

a)  non sia competente per trattarla, oppure

b)  l'accoglimento della richiesta sarebbe incompatibile con le disposizioni adottate ai sensi della direttiva.

3.  L'autorità di controllo richiesta informa l'autorità di controllo richiedente dell'esito o, se del caso, dei progressi o delle misure prese per rispondere alla sua richiesta.

3 bis.  Le autorità di controllo forniscono al più presto e per via elettronica, con modulo standard, le informazioni richieste da altre autorità di controllo.

3 ter.  Non è imposta alcuna commissione per le misure prese a seguito di una richiesta di assistenza reciproca. [Em. 112]

Articolo 48 bis

Operazioni congiunte

1.  Per promuovere la cooperazione e la reciproca assistenza, gli Stati membri dispongono che le autorità di controllo possano adottare misure di applicazione e altre operazioni congiunte in cui i membri o il personale designati dalle autorità di controllo degli altri Stati membri partecipino a operazioni all'interno del territorio dello Stato membro.

2.  Gli Stati membri dispongono che nei casi in cui gli interessati di un altro Stato membro o di altri Stati membri possano essere interessati dai trattamenti, l'autorità di controllo competente possa essere invitata a partecipare alle operazioni congiunte. L'autorità di controllo competente invita l'autorità di controllo di ogni Stato membro in questione a partecipare alla rispettiva operazione e laddove sia invitata, a rispondere senza ritardi alla richiesta di un'autorità di controllo di partecipare alle operazioni.

3.  Gli Stati membri stabiliscono gli aspetti pratici delle specifiche azioni di cooperazione. [Em. 113]

Articolo 49

Compiti del comitato europeo per la protezione dei dati

1.  Il comitato europeo per la protezione dei dati istituito con regolamento (UE)…./2012 2014 esercita i seguenti compiti in relazione ai trattamenti rientranti nell'ambito di applicazione della presente direttiva:

a)  consiglia la Commissione le istituzioni dell'Unione in merito a qualsiasi questione relativa alla protezione dei dati personali nell'Unione, comprese eventuali proposte di modifica della presente direttiva;

b)  esamina, di propria iniziativa o su richiesta di uno dei suoi membri o della Commissione, del Parlamento europeo o del Consiglio, qualsiasi questione relativa all'applicazione delle disposizioni adottate ai sensi della presente direttiva e pubblica linee direttrici, raccomandazioni e migliori pratiche destinate alle autorità di controllo al fine di promuovere l'applicazione coerente di tali disposizioni, anche per quanto attiene all'utilizzo dei poteri di applicazione;

c)  valuta l'applicazione pratica delle linee direttrici, raccomandazioni e migliori pratiche di cui alla lettera b), riferendo regolarmente alla Commissione;

d)  fornisce alla Commissione pareri sul livello di protezione garantito da paesi terzi o organizzazioni internazionali;

e)  promuove la cooperazione e l'effettivo scambio di informazioni e pratiche tra le autorità di controllo a livello bilaterale e multilaterale, compreso il coordinamento di operazioni congiunte e di altre attività congiunte laddove decida in tal senso su richiesta di una o più autorità di controllo;

f)  promuove programmi comuni di formazione e facilita lo scambio di personale tra le autorità di controllo e, se del caso, con le autorità di controllo di paesi terzi o di organizzazioni internazionali;

g)  promuove lo scambio di conoscenze e documentazione sul diritto e sulle pratiche in materia di protezione dei dati tra autorità di controllo di tutto il mondo.;

g bis)  rende pareri alla Commissione nella preparazione di atti delegati e di esecuzione ai sensi della presente direttiva.

2.  Qualora chieda chiedano consulenza al comitato europeo per la protezione dei dati, il Parlamento europeo, il Consiglio o la Commissione può possono fissare un termine entro il quale questo deve rispondere alla richiesta, tenuto conto dell'urgenza della questione.

3.  Il Comitato europeo per la protezione dei dati trasmette i propri pareri, linee direttrici, raccomandazioni e migliori pratiche alla Commissione e al comitato di cui all'articolo 57, paragrafo 1, e li rende pubblici.

4.  La Commissione informa il comitato europeo per la protezione dei dati del seguito dato ai suoi pareri, linee direttrici, raccomandazioni e migliori pratiche. [Em. 114]

CAPO VIII

RICORSI, RESPONSABILITÀ E SANZIONI

Articolo 50

Diritto di proporre reclamo all'autorità di controllo

1.  Gli Stati membri dispongono che, fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento dei suoi dati personali non sia conforme alle disposizioni adottate ai sensi della presente direttiva abbia il diritto di proporre reclamo all'autorità di controllo di qualunque Stato membro.

2.  Gli Stati membri dispongono che ogni organismo, organizzazione o associazione che tuteli i diritti agisca nel pubblico interesse e gli interessi degli interessati in relazione alla protezione dei loro dati personali e che sia stato debitamente costituito o costituita secondo il diritto di uno Stato membro abbia il diritto di proporre reclamo all'autorità di controllo di qualunque Stato membro per conto di uno o più interessati qualora ritenga che siano stati violati diritti derivanti dalla presente direttiva a seguito del trattamento di dati personali. L'organizzazione o associazione deve essere debitamente autorizzata dall'interessato. [Em. 115]

3.  Gli Stati membri dispongono che, indipendentemente dall'eventuale reclamo dell'interessato, ogni organismo, organizzazione o associazione di cui al paragrafo 2 che ritenga che sussista violazione dei dati personali abbia il diritto di proporre reclamo all'autorità di controllo di qualunque Stato membro.

Articolo 51

Diritto a un ricorso giurisdizionale contro l'autorità di controllo

1.  Gli Stati membri prevedono il diritto di ogni persona fisica o giuridica di proporre ricorso giurisdizionale avverso le decisioni dell'autorità di controllo che la riguardino.

2.  Gli Stati membri dispongono che ogni interessato ha il diritto di proporre ricorso giurisdizionale per obbligare l'autorità di controllo a dare seguito a un reclamo qualora tale autorità non abbia preso una decisione necessaria per tutelarne i diritti o non lo abbia informato entro tre mesi dello stato o dell'esito del reclamo ai sensi dell'articolo 45, paragrafo 1, lettera b).

3.  Gli Stati membri dispongono che le azioni contro l'autorità di controllo siano promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l'autorità di controllo è stabilita.

3 bis.  Gli Stati membri provvedono a che le decisioni definitive delle autorità giurisdizionali di cui al presente articolo siano rese esecutive. [Em. 116]

Articolo 52

Diritto a un ricorso giurisdizionale contro il responsabile del trattamento o l'incaricato del trattamento

1.  Gli Stati membri dispongono che, fatto salvo ogni altro ricorso amministrativo disponibile, compreso il diritto di proporre reclamo a un'autorità di controllo, chiunque abbia il diritto di proporre ricorso giurisdizionale qualora ritenga che siano stati violati i diritti di cui gode a norma delle disposizioni adottate ai sensi della presente direttiva in seguito a un trattamento dei suoi dati personali non conforme a tali disposizioni.

1 bis.  Gli Stati membri provvedono a che le decisioni definitive delle autorità giurisdizionali di cui al presente articolo siano rese esecutive. [Em. 117]

Articolo 53

Norme comuni per i procedimenti giurisdizionali

1.  Gli Stati membri dispongono che ogni organismo, organizzazione o associazione di cui all'articolo 50, paragrafo 2, abbia il diritto di esercitare i diritti di cui agli articoli 51 e 52 per conto articoli 51, 52 e 54 su mandato di uno o più interessati. [Em. 118]

2.  Gli Stati membri dispongono che ogni autorità di controllo ha il diritto di agire in sede giudiziale o stragiudiziale per far rispettare le disposizioni adottate ai sensi della presente direttiva o garantire la coerenza della protezione dei dati personali all'interno dell'Unione. [Em. 119]

3.  Gli Stati membri provvedono affinché i ricorsi giurisdizionali previsti dal diritto nazionale consentano di prendere rapidamente provvedimenti, anche provvisori, atti a porre fine alle asserite violazioni e impedire ulteriori danni agli interessi in causa.

Articolo 54

Diritto al risarcimento e responsabilità

1.  Gli Stati membri dispongono che chiunque subisca un danno, anche non pecuniario, cagionato da un trattamento illecito o da altro atto incompatibile con le disposizioni adottate ai sensi della presente direttiva abbia il diritto di ottenere pretendere il risarcimento del danno dal responsabile del trattamento o dall'incaricato del trattamento. [Em. 120]

2.  Qualora il trattamento coinvolga più responsabili del trattamento o incaricati del trattamento, ogni responsabile del trattamento o incaricato del trattamento risponde in solido per l'intero ammontare del danno.

3.  Il responsabile del trattamento o l'incaricato del trattamento può essere esonerato in tutto o in parte da tale responsabilità se prova che l'evento dannoso non gli è imputabile.

Articolo 55

Sanzioni

Gli Stati membri determinano le sanzioni per violazione delle disposizioni adottate ai sensi della presente direttiva e prendono tutti i provvedimenti necessari per la loro applicazione. Le sanzioni previste devono essere efficaci, proporzionate e dissuasive.

CAPO VIII bis

TRASMISSIONE DI DATI PERSONALI A TERZI

Articolo 55 bis

Trasmissione di dati personali ad altre autorità o a privati nell'Unione europea

1.  Gli Stati membri dispongono che il responsabile del trattamento non trasmetta, neanche per il tramite dell'incaricato del trattamento, dati personali a una persona fisica o giuridica non soggetta alle disposizioni adottate ai sensi della presente direttiva, salvo nel caso in cui:

a)  la trasmissione sia conforme alla normativa dell'Unione o di uno Stato membro; e

b)  il destinatario sia stabilito in uno Stato membro dell'Unione europea; e

c)  nessun interesse specifico legittimo della persona interessata impedisca la trasmissione; e

d)  la trasmissione sia necessaria in determinati casi per il responsabile del trattamento che effettua la trasmissione dei dati personali per:

i)  l'adempimento di un compito assegnatogli legalmente; oppure

ii)  la prevenzione di un immediato e grave pericolo per la sicurezza pubblica; oppure

iii)  la prevenzione di un grave danno per i diritti delle persone.

2.  Il responsabile del trattamento informa il destinatario della finalità esclusiva per cui i dati personali possono essere trattati.

3.  Il responsabile del trattamento informa l'autorità di controllo di tali trasmissioni.

4.  Il responsabile del trattamento informa il destinatario delle limitazioni di trattamento e ne garantisce il rispetto. [Em. 121]

CAPO IX

ATTI DELEGATI E ATTI DI ESECUZIONE

Articolo 56

Esercizio della delega

1.  Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

2.  La delega di Il potere di adottare atti delegati di cui all'articolo 25 bis, paragrafo 7, all'articolo 28, paragrafo 5, e all'articolo 34, paragrafi 3 e 5, è conferita conferito alla Commissione per un periodo indeterminato a decorrere dalla data di entrata in vigore della presente direttiva.

3.  La delega di potere di cui all'articolo 25 bis, paragrafo 7, all'articolo 28, paragrafo 5, e all'articolo 34, paragrafi 3 e 5, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

4.  Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

5.  L'atto delegato adottato ai sensi dell'articolo 25 bis, paragrafo 7, dell'articolo 28, paragrafo 5 e dell'articolo 34, paragrafi 3 e 5, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due sei mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due sei mesi su iniziativa del Parlamento europeo o del Consiglio. [Em. 122]

Articolo 56 bis

Termine per l'adozione degli atti delegati

La Commissione adotta gli atti delegati di cui all'articolo 25 bis, paragrafo 7, e all'articolo 28, paragrafo 5 [sei mesi prima della data di cui all'articolo 62, paragrafo 1]. La Commissione può prorogare il termine di cui al presente paragrafo di sei mesi. [Em. 123]

Articolo 57

Procedura di comitato

1.  La Commissione è assistita da un comitato. Tale comitato è un comitato ai sensi del regolamento (UE) n. 182/2011.

2.  Nel caso in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011.

3.  Nel caso in cui è fatto riferimento al presente paragrafo, si applica l'articolo 8 del regolamento (UE) n. 182/2011, in combinato disposto con l'articolo 5 del medesimo regolamento. [Em. 124]

CAPO X

DISPOSIZIONI FINALI

Articolo 58

Abrogazione

1.  La decisione quadro 2008/977/GAI è abrogata.

2.  I riferimenti alla decisione quadro di cui al paragrafo 1 si intendono fatti alla presente direttiva.

Articolo 59

Rapporto con altri atti dell'Unione già adottati nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia

Rimangono impregiudicate le disposizioni specifiche per la protezione dei dati personali con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, contenute in atti dell'Unione adottati prima della data di adozione della presente direttiva e che disciplinano il trattamento dei dati personali tra Stati membri e l'accesso delle autorità nazionali designate ai sistemi d'informazione istituiti ai sensi dei trattati, nell'ambito della presente direttiva.

Articolo 60

Rapporto con gli accordi internazionali già conclusi nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia

Gli accordi internazionali conclusi dagli Stati membri prima dell'entrata in vigore della presente direttiva sono modificati, ove necessario, entro cinque anni dall'entrata in vigore della presente direttiva.

Articolo 61

Valutazione

1.  La Commissione, dopo aver richiesto il parere del comitato europeo per la protezione dei dati, valuta l'attuazione e applicazione della presente direttiva. Essa si coordina e coopera strettamente con gli Stati membri, prevedendo visite con e senza preavviso. Il Parlamento europeo e il Consiglio dovranno essere informati durante l'intero processo e avere accesso ai documenti pertinenti.

2.  Entro tre due anni dall'entrata in vigore della presente direttiva, la Commissione riesamina gli altri atti adottati dall'Unione europea che disciplinano il trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione delle sanzioni penali, in particolare quelli richiamati all'articolo 59, al fine di valutare la necessità di allinearli alla presente direttiva e formulare e formulerà, ove opportuno, le proposte necessarie per modificarli in modo da garantire un approccio coerente alla protezione garantire norme giuridiche uniformi e omogenee in materia di elaborazione dei dati personali da parte delle autorità competenti, a fini di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione delle sanzioni penali nell'ambito della presente direttiva.

2 bis.  Entro due anni dall'entrata in vigore della presente direttiva, la Commissione formulerà opportune proposte per la revisione del quadro giuridico applicabile al trattamento dei dati personali da parte di istituzioni, organismi, uffici e agenzie dell'Unione, a fini di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione di sanzioni penali, per garantire norme giuridiche uniformi e omogenee in materia di trattamento dei dati personali in relazione al diritto fondamentale alla protezione dei dati personali nell'Unione.

3.  La Commissione trasmette al Parlamento europeo e al Consiglio, a scadenze regolari, relazioni di valutazione e sul riesame della presente direttiva ai sensi del paragrafo 1. La prima relazione è presentata entro quattro anni dall'entrata in vigore della presente direttiva, le successive sono trasmesse ogni quattro anni. Se del caso, la Commissione presenta opportune proposte di modifica della presente direttiva e per l'allineamento di altri strumenti giuridici. Le relazioni sono pubblicate. [Em. 125]

Articolo 62

Attuazione

1.  Gli Stati membri adottano e pubblicano, entro …(13), le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva. Essi comunicano immediatamente alla Commissione il testo di tali disposizioni.

Gli Stati membri applicano tali disposizioni a decorrere da …*.

Quando gli Stati membri adottano tali disposizioni, queste contengono un riferimento alla presente direttiva o sono corredate di un siffatto riferimento all'atto della pubblicazione ufficiale. Le modalità del riferimento sono decise dagli Stati membri.

2.  Gli Stati membri comunicano alla Commissione il testo delle disposizioni essenziali di diritto interno adottate nella materia disciplinata dalla presente direttiva.

Articolo 63

Entrata in vigore e applicazione

La presente direttiva entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Articolo 64

Destinatari

Gli Stati membri sono destinatari della presente direttiva.

Fatto a …, il

Per il Parlamento europeo Per il Consiglio

Il presidente Il presidente

(1)GU C 192 del 30.6.2012, pag. 7.
(2) GU C 192 del 30.6.2012, pag. 7.
(3) Posizione del Parlamento europeo del 12 marzo 2014.
(4)Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).
(5)Decisione quadro 2008/977/GAI del Consiglio, del 27 novembre 2008, sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale (GU L 350 del 30.12.2008, pag. 60).
(6) Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8, del 12.1.2001, p. 1).
(7)Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione conferite alla Commissione (GU L 55 del 28.2.2011, pag. 13).
(8)Direttiva 2011/93/UE del Parlamento europeo e del Consiglio, del 13 dicembre 2011, relativa alla lotta contro l’abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, e che sostituisce la decisione quadro 2004/68/GAI del Consiglio (GU L 335 del 17.12.2011, pag. 1).
(9)GU L 176 del 10.7.1999, pag. 36.
(10)GU L 53 del 27.2.2008, pag. 52.
(11)GU L 160 del 18.6.2011, pag. 19.
(12) GU C 369 del 17.12.2011, pag. 14.
(13) Due anni dopo l'entrata in vigore della presente direttiva.


Istituzione del cielo unico europeo ***I
PDF 283kWORD 321k
Risoluzione
Testo consolidato
Risoluzione legislativa del Parlamento europeo del 12 marzo 2014 sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo all'istituzione del cielo unico europeo (rifusione) (COM(2013)0410 – C7-0171/2013 – 2013/0186(COD))
P7_TA(2014)0220A7-0095/2014

(Procedura legislativa ordinaria – rifusione)

Il Parlamento europeo,

–  vista la proposta della Commissione al Parlamento europeo e al Consiglio (COM(2013)0410),

–  visti l'articolo 294, paragrafo 2, e l'articolo 100, paragrafo 2 del trattato sul funzionamento dell'Unione europea, a norma dei quali la proposta gli è stata presentata dalla Commissione (C7-0171/2013),

–  visto l'articolo 294, paragrafo 3, del trattato sul funzionamento dell'Unione europea,

–  visto il parere motivato inviato dalla Camera dei rappresentanti maltese, nel quadro del protocollo n. 2 sull'applicazione dei principi di sussidiarietà e di proporzionalità, in cui si dichiara la mancata conformità del progetto di atto legislativo al principio di sussidiarietà,

–  visto il parere del Comitato economico e sociale europeo dell'11 dicembre 2013(1),

–  previa consultazione del Comitato delle regioni,

–  visto l'accordo interistituzionale del 28 novembre 2001 ai fini di un ricorso più strutturato alla tecnica della rifusione degli atti normativi(2),

–  vista la lettera del 28 novembre 2013della commissione giuridica alla commissione per i trasporti e il turismo a norma dell'articolo 87, paragrafo 3, del suo regolamento,

–  visti gli articoli 87 e 55 del suo regolamento,

–  vista la relazione della commissione per i trasporti e il turismo (A7-0095/2014),

A.  considerando che, secondo il gruppo consultivo dei servizi giuridici del Parlamento europeo, del Consiglio e della Commissione, la proposta in questione non contiene modificazioni sostanziali se non quelle espressamente indicate come tali e che, per quanto concerne la codificazione delle disposizioni immutate degli atti precedenti e di tali modificazioni, la proposta si limita a una mera codificazione degli atti esistenti, senza modificazioni sostanziali;

1.  adotta la posizione in prima lettura figurante in appresso, tenendo conto delle raccomandazioni del gruppo consultivo dei servizi giuridici del Parlamento europeo, del Consiglio e della Commissione;

2.  chiede alla Commissione di presentargli nuovamente la proposta qualora intenda modificarla sostanzialmente o sostituirla con un nuovo testo;

3.  incarica il suo Presidente di trasmettere la posizione del Parlamento al Consiglio e alla Commissione nonché ai parlamenti nazionali.

Posizione del Parlamento europeo definita in prima lettura il 12 marzo 2014 in vista dell'adozione del regolamento (UE) n. .../2014 del Parlamento europeo e del Consiglio relativo all'istituzione del cielo unico europeo (rifusione)

P7_TC1-COD(2013)0186


(Testo rilevante ai fini del SEE)

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato  sul funzionamento dell'Unione europea  , in particolare l'articolo  100, paragrafo 2 ,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo(3),

previa consultazione del Comitato delle regioni,

deliberando secondo la procedura legislativa ordinaria(4),

considerando quando segue:

(1)  Il regolamento (CE) n. 549/2004, del 10 marzo 2004, che stabilisce i principi generali per l'istituzione del cielo unico europeo ("regolamento quadro”)(5), il regolamento (CE) n. 550/2004, del 10 marzo 2004, sulla fornitura di servizi di navigazione aerea nel cielo unico europeo ("regolamento sulla fornitura di servizi”)(6), il regolamento (CE) n. 551/2004, del 10 marzo 2004, sull'organizzazione e l'uso dello spazio aereo nel cielo unico europeo ("regolamento sullo spazio aereo”)(7) e il regolamento (CE) n. 552/2004, del 10 marzo 2004, sull'interoperabilità della rete europea di gestione del traffico aereo ("regolamento sull'interoperabilità”)(8) sono stati sostanzialmente modificati. Poiché essi devono essere nuovamente modificati, è opportuno provvedere, per ragioni di chiarezza, alla loro rifusione.

(2)  L'attuazione della politica comune dei trasporti richiede un sistema di trasporto aereo efficace, che consenta l'esercizio in condizioni di sicurezza e regolarità dei servizi di trasporto aereo, agevolando così la libera circolazione delle merci, delle persone e dei servizi. [Em. 1]

(3)  L'adozione da parte del Parlamento europeo e del Consiglio del primo pacchetto sul cielo unico europeo, ossia del regolamento (CE) n. 549/2004, del regolamento (CE) n. 550/2004, del regolamento (CE) n. 551/2004 e del regolamento (CE) n. 552/2004, ha creato una solida base legislativa per un sistema di gestione del traffico aereo (ATM) privo di discontinuità, interoperabile e sicuro. L'adozione del secondo pacchetto, ovvero il regolamento (CE) n. 1070/2009, ha ulteriormente rafforzato l'iniziativa del cielo unico europeo grazie all'introduzione dei concetti di sistema di prestazioni e gestore della rete per migliorare ulteriormente le prestazioni del sistema europeo di gestione del traffico aereo.

(4)  Nell'articolo 1 della convenzione internazionale per l'aviazione civile di Chicago del 1944, gli Stati contraenti riconoscono che ciascuno Stato ha sovranità completa ed esclusiva sullo spazio aereo sovrastante il suo territorio. È nell'ambito di detta sovranità che gli Stati membri  dell'Unione  esercitano, nel rispetto delle convenzioni internazionali applicabili, i poteri di un'autorità pubblica allorché controllano il traffico aereo.

(5)  L'attuazione della politica comune dei trasporti richiede un sistema di trasporto aereo efficace, che consenta l'esercizio in condizioni di sicurezza, regolarità e sostenibilità dei servizi di trasporto aereo, ottimizzando la capacità e agevolando la libera circolazione delle merci, delle persone e dei servizi.

(5 bis)  Onde evitare che il previsto aumento del traffico aereo generi o accentui la congestione dello spazio aereo europeo, con tutti i costi che ne conseguono a livello economico, ambientale e di sicurezza, è opportuno porre fine alla frammentazione dello spazio aereo e dunque attuare quanto prima il presente regolamento. [Em. 2]

(5 ter)  L'attuazione del cielo unico europeo dovrebbe avere un ruolo positivo per la crescita, l'occupazione e la competitività in Europa, in particolare stimolando la domanda di posti di lavoro altamente qualificati. [Em. 3]

(6)  Il perseguimento parallelo degli obiettivi del potenziamento delle norme sulla sicurezza del traffico aereo e del miglioramento dell'efficienza globale della gestione del traffico aereo e dei servizi di navigazione aerea per il traffico aereo generale in Europa impone di tener conto del fattore umano. È quindi opportuno che gli Stati membri valutino l', oltre all'introduzione dei principi della "cultura di equità", il sistema di prestazioni del cielo unico europeo contenga degli indicatori di prestazione pertinenti. [Em. 4]

(7)  Gli Stati membri hanno adottato una dichiarazione generale sulle questioni militari connesse con il cielo unico europeo(9). Conformemente a tale dichiarazione, gli Stati membri dovrebbero, in particolare, rafforzare la cooperazione civile/militare e, se e nella misura ritenuta necessaria da tutti gli Stati membri interessati, facilitare la cooperazione tra le rispettive forze armate in tutte le questioni inerenti alla gestione del traffico aereo al fine di agevolare un uso flessibile dello spazio aereo. [Em. 5]

(8)  Le decisioni che incidono sul contenuto, sulla portata o sull'esecuzione delle operazioni e dell'addestramento militari esulano dalla sfera di competenze  dell'Unione ai sensi dell'articolo 100, paragrafo 2, del trattato sul funzionamento dell'Unione europea.

(9)  Gli Stati membri hanno proceduto a una ristrutturazione riguardante, a livelli diversi, i loro fornitori nazionali di servizi di navigazione aerea aumentandone il livello di autonomia e libertà nella fornitura dei servizi. È necessario garantire  l'esistenza di un mercato comune funzionante per i servizi che possono essere forniti a condizioni di mercato e  il rispetto di determinati requisiti minimi di interesse pubblico  per i servizi considerati monopoli naturali nelle attuali condizioni tecnologiche.

(10)  Per assicurare un controllo coerenteed, affidabile e indipendente della fornitura di servizi in Europa, è opportuno garantire alle autorità aeronautiche nazionali di vigilanza un grado sufficiente di indipendenza e le risorse sufficienti necessarie, sia sul piano finanziario che su quello del personale. Tale indipendenza non dovrebbe impedire a tali autorità di esercitare le loro funzioni nell'ambito di un quadro amministrativo. [Em. 6]

(11)  Le autorità nazionali di vigilanza aeronautiche hanno un ruolo fondamentale nella realizzazione del cielo unico europeo. e La Commissione dovrebbe e l'Agenzia dell'Unione europea per l'aviazione (EAA) dovrebbero pertanto agevolare la cooperazione tra di esse ai fini dello scambio di migliori prassi e lo sviluppo di un approccio comune, anche attraverso una maggiore cooperazione a livello regionale, predisponendo una piattaforma per tali scambi. Tale cooperazione dovrebbe avvenire periodicamente. [Em. 7]

(12)  Ai fini dell'attuazione del cielo unico europeo, è opportuno che le parti sociali siano meglio informate e consultate su qualsiasi provvedimento che abbia importanti ripercussioni sociali. A livello di Unione, è inoltre opportuno consultare il comitato del dialogo sociale, istituito in base alla decisione 98/500/CE della Commissione(10). [Em. 8]

(13)  La fornitura di servizi di comunicazione, navigazione e sorveglianza, nonché di servizi di informazione meteorologica, configurazione dello spazio aereo e aeronautica, dovrebbe unitamente ai servizi di formattazione e fornitura di dati al traffico aereo generale, potrebbe essere organizzata secondo condizioni di mercato, tenendo conto delle speciali caratteristiche di tali servizi e mantenendo, assicurando un livello elevato di sicurezza e riducendo l'impatto climatico. [Em. 9]

(14)  Non ci dovrebbero essere discriminazioni tra gli utenti dello spazio aereo nella fornitura di servizi di navigazione aerea equivalenti.

(15)  Il concetto di progetti comuni volti ad assistere gli utenti dello spazio aereo e/o i fornitori di servizi di navigazione aerea al fine di migliorare le infrastrutture collettive della navigazione aerea, la prestazione di servizi di navigazione aerea e l'uso dello spazio aereo, in particolare i progetti che potrebbero essere necessari per l'attuazione del piano generale ATM, quale approvato con decisione 2009/320/CE(11) del Consiglio conformemente all'articolo 1, paragrafo 2, del regolamento (CE) n. 219/2007 del Consiglio , non dovrebbe pregiudicare i progetti preesistenti, messi a punto da uno o più Stati membri con obiettivi analoghi. Le disposizioni sul finanziamento della realizzazione dei progetti comuni non dovrebbero pregiudicare le modalità secondo cui detti progetti vengono sono organizzati. La Commissione può proporre che i finanziamenti, quali i fondi delle reti transeuropee il Meccanismo per collegare l'Europa, l'Orizzonte 2020 o della Banca europea per gli investimenti siano utilizzati a sostegno di progetti comuni, in particolare per accelerare la realizzazione del programma SESAR, nell'ambito del quadro finanziario pluriennale. Fatto salvo l'accesso a tali finanziamenti, gli Stati membri dovrebbero essere liberi di decidere in merito all'utilizzo dei proventi della vendita all'asta delle quote del settore dell'aviazione ai sensi del Sistema di scambio di quote di emissione e di esaminare, in questo contesto, se una quota di tali proventi possa essere utilizzata per finanziare progetti comuni a livello dei blocchi funzionali di spazio aereo. Ove possibile, i progetti comuni mirano a garantire che un insieme di capacità interoperabili di base esistano in tutti gli Stati membri. [Em. 10]

(15 bis)  A meno che non siano istituiti meccanismi specifici, i progetti di investimento aerei e terrestri relativi al piano generale ATM possono svolgersi in modo non coordinato, il che potrebbe rallentare l'effettiva applicazione delle tecnologie SESAR. [Em. 11]

(16)  Il concetto di gestore della rete riveste un'importanza centrale per migliorare le prestazioni della gestione del traffico aereo a livello di rete, centralizzando la fornitura di determinati servizi che possono essere realizzati meglio a tale livello. In caso di crisi nel settore dell'aviazione è opportuno che il coordinamento della situazione delle misure da adottare per prevenire e reagire a tali situazioni sia affidato al gestore della rete. In tale contesto, spetta alla Commissione garantire che non sorgano conflitti d'interesse tra la fornitura di servizi centralizzati e il ruolo dell'organo di valutazione delle prestazioni. [Em. 12]

(17)  La Commissione è persuasa che l’utilizzo sicuro ed efficiente dello spazio aereo può essere conseguito soltanto grazie alla stretta cooperazione degli utenti civili e militari dello spazio stesso, basandosi principalmente sul concetto di uso flessibile dello spazio aereo e su un efficace coordinamento civile-militare quale stabilito dall’ICAO e sottolinea l’importanza di migliorare la cooperazione tra utenti civili e militari dello spazio aereo al fine di agevolare un uso flessibile dello spazio aereo. [Em. 13]

(18)  L'accuratezza delle informazioni sulla condizione dello spazio aereo e su specifiche situazioni di traffico aereo, oltre alla loro tempestiva comunicazione ai controllori di volo civili e militari, ha un impatto diretto sulla sicurezza ed efficienza delle operazioni e dovrebbe migliorarne la prevedibilità. L'accesso tempestivo ad informazioni aggiornate sulla condizione dello spazio aereo è un requisito essenziale per tutti i soggetti interessati che desiderano avvalersi delle strutture di spazio aereo rese disponibili al momento della compilazione o modifica dei loro piani di volo. [Em. 14]

(19)  La fornitura di informazioni aeronautiche moderne, complete, di elevata qualità e disponibili in tempo utile ha un impatto significativo sulla sicurezza e sull'agevolazione dell'accesso allo spazio aereo  dell'Unione  e della stessa libertà di movimento all'interno di quest'ultimo. Tenuto conto del piano generale ATM,  l'Unione  dovrebbe prendere l'iniziativa di modernizzare questo settore in cooperazione con  il gestore della rete  e garantire che gli utenti abbiano accesso a tali dati tramite un punto d'accesso pubblico unico che fornisca informazioni integrate moderne, facili da utilizzare e convalidate.

(20)  Al fine di tenere conto dei cambiamenti introdotti nei regolamenti (CE) n. 1108/2009 e (CE) n. 1070/2009, conformemente all'articolo 65 bis del regolamento (CE) n. 216/2008 del Parlamento europeo e del Consiglio, del 20 febbraio 2008, recante regole comuni nel settore dell'aviazione civile e che istituisce un'Agenzia europea per la sicurezza aerea(12) è necessario allineare il contenuto del presente regolamento a quello del regolamento (CE) n. 216/2008.

(21)  Inoltre, è necessario aggiornare i dettagli tecnici dei regolamenti (CE) n. 549/2004, (CE) n. 550/2004, (CE) n. 551/2004 e (CE) n. 552/2004, decisi nel 2004 e 2009, e inserire le correzioni tecniche effettuate per tenere conto dei progressi intervenuti.

(22)  È opportuno modificare la portata geografica del regolamento per quanto riguarda la regione NAT dell'ICAO per tenere conto degli accordi di fornitura di servizi esistenti e pianificati e della necessità di garantire la coerenza nell'applicazione della normativa ai fornitori di servizi di navigazione aerea e agli utenti dello spazio aereo operanti in tale zona. [Em. 15]

(23)  In linea con il suo ruolo di organismo operativo, e alla luce del continuo processo di riforma di Eurocontrol, è opportuno sviluppare ulteriormente la funzione del gestore della rete verso un partenariato guidato dal settore aeronautico.

(24)  Il concetto di blocchi funzionali di spazio aereo, finalizzato a migliorare la cooperazione tra fornitori di servizi di navigazione aerea, costituisce uno strumento importante per migliorare le prestazioni del sistema ATM europeo. Per svilupparlo ulteriormente è opportuno che i blocchi funzionali di spazio aereo siano maggiormente orientati alle prestazioni sulla base di un partenariato settoriale, lasciando al settore aeronautico un margine di manovra maggiore per modificare tali blocchi allo scopo di conseguire e, se possibile, superare gli obiettivi prestazionali completarlo, i fornitori di servizi di navigazione aerea possono aderire liberamente a partenariati settoriali basati sulle prestazioni che possono sovrapporsi ai blocchi funzionali di spazio aereo stabiliti. [Em. 16]

(25)  I blocchi funzionali di spazio aereo dovrebbero funzionare in modo flessibile così da riunire fornitori di servizi in tutta l'Europa e consentire loro di avvalersi dei rispettivi punti di forza. Grazie a tale flessibilità si dovrebbero perseguire sinergie tra fornitori di servizi, a prescindere dalla loro ubicazione geografica o nazionalità, ammettendo formati variabili di prestazione dei servizi finalizzati a migliorare le prestazioni.

(26)  Per migliorare l'orientamento al cliente dei fornitori di servizi di navigazione aerea e per consentire agli utenti dello spazio aereo di influire maggiormente sulle decisioni che li riguardano, è opportuno rendere più efficace la partecipazione consultazione dei soggetti interessati alle principali decisioni operative dei fornitori di servizi di navigazione aerea. [Em. 17]

(27)  Poiché il sistema di prestazioni costituisce lo strumento fondamentale per la regolamentazione economica dell'ATM, è opportuno mantenere e, se possibile, migliorare la qualità e l'indipendenza delle sue decisioni.

(28)  Allo scopo Al fine di tenere conto degli sviluppi tecnici o operativi, in particolare modificando gli allegati o integrando le disposizioni relative al gestore della rete e al sistema di prestazioni, selezionando il soggetto responsabile per l'attuazione del piano generale ATM (gestore della realizzazione) e definendone le responsabilità, è opportuno delegare alla Commissione il potere di adottare atti in conformità all'articolo 290 del trattato sul funzionamento dell'Unione europea. Il contenuto e la portata di ogni delega sono stabiliti in dettaglio nei pertinenti articoli. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti. Nella preparazione e nell'elaborazione degli atti delegati è necessario che la Commissione provveda alla contestuale, tempestiva e appropriata trasmissione dei documenti pertinenti al Parlamento europeo e al Consiglio. [Em. 18]

(29)  Se decide di ampliare la gamma di servizi del gestore della rete, è necessario che la Commissione si consulti adeguatamente con i soggetti interessati e le parti interessate sociali del settore aeronautico. [Em. 19]

(30)  Al fine di assicurare condizioni uniformi per l'attuazione del presente regolamento, in particolare per quanto riguarda i seguenti aspetti: l'esercizio delle competenze delle autorità aeronautiche nazionali di vigilanza, la fornitura di servizi su base esclusiva da parte di un prestatore o raggruppamenti di fornitori di servizi, le misure correttive necessarie per assicurare il conseguimento di obiettivi prestazionali a livello di Unione e locale, la revisione della conformità in relazione al sistema di tariffazione, la governance e l'adozione di progetti comuni per le funzioni relative alla rete, i blocchi funzionali di spazio aereo, le modalità di partecipazione dei soggetti interessati alle decisioni operative dei fornitori di servizi di navigazione aerea, l'accesso ai dati e la loro protezione, le informazioni aeronautiche in formato elettronico e lo sviluppo tecnologico e l'interoperabilità della gestione del traffico aereo, è opportuno conferire alla Commissione competenze di esecuzione. Tali competenze devono essere esercitate in conformità al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione(13). [Em. 20]

(31)  Conformemente al regolamento (UE) n. 182/2011, per gli atti di esecuzione adottati nell'ambito del presente regolamento è opportuno servirsi della procedura di esame utilizzata per l'adozione di atti di esecuzione di portata generale.

(32)  Per l'adozione di atti di esecuzione di portata individuale è opportuno, invece, utilizzare la procedura consultiva.

(33)  Le sanzioni previste per le violazioni del presente regolamento dovrebbero essere efficaci, proporzionate e dissuasive, e non ridurre la sicurezza.

(34)  Ove opportuno, l'appalto di servizi di assistenza dovrebbe avvenire, se pertinente, in conformità alla direttiva 2004/18/CE del Parlamento europeo e del Consiglio, del 31 marzo 2004, relativa al coordinamento delle procedure di aggiudicazione degli appalti pubblici di lavori, di forniture e di servizi(14) e alla direttiva 2004/17/CE del Parlamento europeo e del Consiglio, del 31 marzo 2004, che coordina le procedure di appalto degli enti erogatori di acqua e di energia, degli enti che forniscono servizi di trasporto e servizi postali(15). Se del caso, è opportuno tenere conto inoltre degli orientamenti di cui alla comunicazione interpretativa della Commissione relativa al diritto comunitario applicabile alle aggiudicazioni di appalti non o solo parzialmente disciplinate dalle direttive appalti pubblici(16). [Em. 21]

(35)  La dichiarazione ministeriale sull'aeroporto di Gibilterra, concordata a Cordova il 18 settembre 2006 durante la prima riunione ministeriale del forum di dialogo su Gibilterra ("la dichiarazione ministeriale"), sostituirà la Il 2 dicembre 1987 a Londra il Regno di Spagna e il Regno Unito hanno convenuto con una dichiarazione comune su detto aeroporto adottata a Londra il 2 dicembre 1987, e il pieno rispetto della dichiarazione ministeriale equivarrà al rispetto della dichiarazione del 1987 dei rispettivi ministri degli Affari esteri, accordi intesi a rafforzare la cooperazione sull'utilizzo dell'aeroporto di Gibilterra. Tali accordi non sono stati ancora applicati. [Em. 22]

(36)  Il presente regolamento si applica pienamente all'aeroporto di Gibilterra nel contesto e in virtù della dichiarazione ministeriale. Fatta salva la dichiarazione ministeriale, l'applicazione all'aeroporto di Gibilterra e tutte le misure connesse alla sua attuazione rispettano pienamente la dichiarazione e tutte le disposizioni in essa contenute. [Em. 23]

(37)  Poiché l'obiettivo del presente regolamento, vale a dire  l'attuazione  del cielo unico europeo, non può essere sufficientemente realizzato dagli Stati membri, a motivo della dimensione transnazionale dell'intervento stesso, e può dunque essere realizzato meglio a livello  dell'Unione ,  l'Unione  può adottare misure in base al principio di sussidiarietà sancito dall'articolo 5 del trattato. In ottemperanza al principio di proporzionalità enunciato nello stesso articolo, il presente regolamento non va al di là di quanto necessario per il raggiungimento di tale obiettivo,

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

CAPO I

DISPOSIZIONI GENERALI

Articolo 1

Oggetto  e ambito di applicazione

1.  Il presente regolamento fissa le norme per l'istituzione e l'adeguato funzionamento del cielo unico europeo allo scopo di garantire l'attuale livello di sicurezza del traffico aereo, di contribuire allo sviluppo sostenibile del sistema di trasporto aereo, ad esempio riducendone l'impatto climatico, e di migliorare l'efficienza globale della gestione del traffico aereo (ATM) e dei servizi di navigazione aerea (ANS) per il traffico aereo generale in Europa, al fine di rispondere alle esigenze di tutti gli utenti dello spazio aereo. Il cielo unico europeo prevede una rete paneuropea coerente di rotte paneuropea e comprendente tramite accordi specifici con paesi limitrofi anche paesi terzi, uno spazio aereo che operi in modo integrato, e una gestione della rete e del traffico aereo basata unicamente su considerazioni tecniche, di sicurezza, di efficienza e di interoperabilità, a beneficio di tutti utenti dello spazio aereo. [Em. 24]

2.  L'applicazione del presente regolamento lascia impregiudicate la sovranità degli Stati membri sul proprio spazio aereo e le esigenze degli stessi per quanto attiene all'ordine pubblico e alla sicurezza nazionale e in materia di difesa di cui all'articolo 38. Il presente regolamento non  contempla  operazioni e addestramento militari.

3.  L'applicazione del presente regolamento lascia impregiudicati i diritti e i doveri degli Stati membri derivanti dalla convenzione internazionale per l'aviazione civile di Chicago del 1944 ("la convenzione di Chicago"). In questo contesto, il presente regolamento mira a coadiuvare , nei settori che disciplina, gli Stati membri nell'adempimento degli obblighi ai quali sono soggetti ai sensi della convenzione di Chicago, fornendo una base per un'interpretazione comune e un'attuazione uniforme delle disposizioni della medesima, nonché assicurando che di dette disposizioni sia tenuto debito conto nel presente regolamento e nelle regole adottate per la sua attuazione.

4.  Il presente regolamento si applica allo spazio aereo nell'ambito delle regioni EUR, e AFI e NAT dell'ICAO, per il quale gli Stati membri sono responsabili della fornitura di servizi di traffico aereo, ai sensi del  presente  regolamento. Gli Stati membri possono altresì applicare il presente regolamento allo spazio aereo di loro responsabilità nell'ambito di altre regioni dell'ICAO, a condizione che essi ne informino la Commissione e gli altri Stati membri. [Em. 25]

5.  L'applicazione del presente regolamento all'aeroporto di Gibilterra non pregiudica le rispettive posizioni giuridiche del Regno di Spagna e del Regno Unito per quanto riguarda la in merito alla controversia relativa alla sovranità sul territorio in cui nel quale detto aeroporto è situato tale aeroporto. [Em. 26]

5 bis.  L'applicazione del presente regolamento all'aeroporto di Gibilterra è sospesa fino alla data in cui gli accordi definiti nella dichiarazione comune resa dai ministri degli Affari esteri del Regno di Spagna e del Regno Unito il 2 dicembre 1987 cominciano ad esercitare i loro effetti. I governi della Spagna e del Regno Unito comunicheranno al Consiglio tale data. [Em. 27]

Articolo 2

Definizioni

Ai fini del presente regolamento, s'intendono per:

1)  "servizio di controllo del traffico aereo": un servizio fornito al fine di:

a)  prevenire collisioni;

–  tra aeromobili, e

–  nell'area di manovra tra aeromobili e ostacoli; e

b)  accelerare il flusso di traffico aereo e mantenerlo ordinato;

2)  "servizi di controllo dell'aerodromo": i servizi di controllo del traffico aereo per il traffico dell'aerodromo;

3)  "servizio di informazioni aeronautiche": un servizio, istituito nell'ambito dell'area definita di copertura, incaricato di fornire informazioni e dati aeronautici necessari per la sicurezza, la regolarità e l'efficienza della navigazione aerea;

4)  "servizi di navigazione aerea": i servizi di traffico aereo, i servizi di comunicazione, navigazione e sorveglianza, i servizi meteorologici per la navigazione aerea e i servizi di informazione aeronautica;

5)  "fornitori di servizi di navigazione aerea": qualsiasi soggetto, pubblico o privato, che fornisce servizi di navigazione per il traffico aereo generale;

6)  "blocco di spazio aereo": uno spazio aereo di dimensioni definite, nello spazio e nel tempo, all'interno del quale sono forniti i servizi di navigazione aerea;

7)  "gestione dello spazio aereo": un servizio di pianificazione con l'obiettivo primario di massimizzare l'utilizzo dello spazio aereo disponibile mediante una ripartizione temporale dinamica (time-sharing) e, talvolta, la segregazione dello spazio aereo tra varie categorie di utenti dello spazio aereo in funzione di esigenze a breve termine e una funzione strategica legata alla progettazione dello spazio aereo; [Em. 28]

8)  "utenti dello spazio aereo": gli operatori degli aeromobili che operano quale traffico aereo generale;

9)  "gestione del flusso di traffico aereo": un servizio  istituito con l'obiettivo di contribuire al flusso sicuro, ordinato e veloce del traffico aereo garantendo la massima utilizzazione possibile della capacità di controllo del traffico aereo e la compatibilità del volume di traffico con le capacità dichiarate dai pertinenti fornitori di servizi di traffico aereo;

10)  "gestione del traffico aereo (ATM)": il complesso dei  servizi  aerei e terrestri (servizi di traffico aereo, gestione dello spazio aereo e gestione del flusso di traffico aereo) richiesti per garantire il movimento sicuro ed efficace degli aeromobili durante tutte le fasi delle operazioni;

11)  "servizi di traffico aereo": i vari servizi di informazione di volo, i servizi di allarme, i servizi consultivi sul traffico aereo e i servizi di controllo del traffico aereo (compresi servizi di controllo di area, dell'avvicinamento e dell'aerodromo);

12)  "servizio di controllo di area": il servizio di controllo del traffico aereo per voli controllati in una zona di controllo; [Em. 29]

13)  "servizio di controllo di avvicinamento": il servizio di controllo del traffico aereo per i voli controllati in arrivo o in partenza;

14)  "piano generale ATM": il piano approvato dalla decisione 2009/320/CE del Consiglio(17), conformemente all'articolo 1, paragrafo 2, del regolamento (CE) n. 219/2007 del Consiglio, del 27 febbraio 2007, relativo alla costituzione di un'impresa comune per la realizzazione del sistema europeo di nuova generazione per la gestione del traffico aereo (SESAR)(18);

15)  "crisi nel settore dell'aviazione": circostanze in cui la capacità dello spazio aereo è notevolmente ridotta a seguito di condizioni climatiche particolarmente sfavorevoli o dell'indisponibilità di ampie porzioni dello spazio aereo per motivi naturali, sanitari, legati alla sicurezza militare o politici; [Em. 30]

16)  "pacchetto di servizi":due o più servizi di navigazione aerea forniti dallo stesso soggetto; [Em. 31]

17)  "certificato": un documento rilasciato dall'Agenzia europea per l'aviazione (EAA) o da un'autorità aeronautica nazionale di vigilanza nella forma prevista dalla legislazione nazionale dal diritto pertinente che certifica l'idoneità di un fornitore di servizi di navigazione aerea a fornire un servizio specifico un'attività specifica; [Em. 32]

18)  "servizi di comunicazione": i servizi aeronautici fissi e mobili che consentono comunicazioni terra/terra, aria/terra e aria/aria a fini di controllo del traffico aereo;

18 bis)  "rete europea di gestione del traffico aereo": una rete paneuropea di sistemi e costituenti, nonché una tabella di marcia per le modifiche operative e tecnologiche essenziali esposte nel piano generale ATM, tale da consentire la fornitura di servizi di navigazione aerea integralmente interoperativi, tra cui interfacce alle frontiere con paesi terzi, al fine di conseguire gli obiettivi di efficienza stabiliti nel presente regolamento; [Em. 33]

19)  "costituenti": gli oggetti tangibili come hardware e gli oggetti intangibili come software dai quali dipende l'interoperabilità della rete europea di gestione del traffico aereo;

19 bis)  "gestore della realizzazione": un gruppo di soggetti operativi interessati selezionati dalla Commissione mediante un invito a presentare proposte responsabile per il livello gestionale della governance della realizzazione del piano generale ATM; [Em. 35]

20)  "dichiarazione": ai fini degli ATM/ANS, qualsiasi dichiarazione scritta:

–  sulla conformità o idoneità d'uso di sistemi e costituenti rilasciata da un'organizzazione attiva nella progettazione, costruzione e manutenzione dei sistemi e costituenti ATM/ANS;

–  sulla conformità ai requisiti applicabili di un servizio o sistema che deve essere immesso in servizio, rilasciata da un prestatore dei servizi;

–  sulla capacità e i mezzi di assolvere le responsabilità connesse con determinati servizi di informazione di volo;

21)  "uso flessibile dello spazio aereo": un concetto di gestione dello spazio aereo applicato nella zona della Conferenza europea dell'aviazione civile, sulla base del manuale di Eurocontrol "Airspace Management Handbook for the application of the Concept of the Flexible Use of Airspace" pubblicato  dall''Organizzazione europea per la sicurezza della navigazione aerea  (Eurocontrol)(19);

22)  "servizio informazioni volo": un servizio di fornitura di consulenza e informazioni utili per una condotta dei voli sicura ed efficiente;

23)  "servizio di allarme": un servizio di fornitura di informazioni alle competenti organizzazioni riguardo agli aeromobili che necessitano di servizi di ricerca e salvataggio e, se necessario, di assistenza a tali organizzazioni;

24)  "blocco funzionale di spazio aereo": un blocco di spazio aereo basato su requisiti operativi e istituito indipendentemente dai confini tra Stati, nel quale la fornitura dei servizi di navigazione aerea e le funzioni correlate sono orientate alle prestazioni e ottimizzate in vista dell'introduzione, in ciascun blocco funzionale di spazio aereo, di tramite una cooperazione rafforzata tra fornitori di servizi di navigazione aerea o, se del caso, un fornitore integrato; [Em. 36]

25)  "traffico aereo generale": l'insieme dei movimenti di aeromobili civili, nonché l'insieme dei movimenti di aeromobili statali (compresi gli aeromobili della difesa, dei servizi doganali e della polizia) quando questi movimenti sono svolti secondo le procedure dell' Organizzazione per l'aviazione civile internazionale (ICAO), istituita dalla Convenzione internazionale per l'aviazione civile di Chicago del 1944  ;

25 bis)  "fattore umano": le condizioni sociali, culturali e di personale nel settore ATM; [Em. 37]

26)  "interoperabilità": una serie di proprietà funzionali, tecniche ed operative richieste ai sistemi e ai costituenti della rete europea di gestione del traffico aereo e alle sue procedure operative, in modo da consentirne il funzionamento sicuro, ininterrotto ed efficiente. L'interoperabilità si realizza rendendo i sistemi ed i costituenti conformi ai requisiti essenziali;

27)  "servizi meteorologici": le apparecchiature e i servizi che forniscono agli aeromobili le previsioni meteorologiche, note e osservazioni nonché tutti gli altri informazioni ed i dati forniti dagli Stati per uso aeronautico;

28)  "servizi di navigazione": gli impianti e i servizi che forniscono agli aeromobili informazioni di posizionamento e datazione;

29)  "dati operativi": informazioni riguardo a tutte le fasi di volo necessarie affinché i fornitori di servizi di navigazione aerea, gli utenti dello spazio aereo, gli operatori aeroportuali e gli altri soggetti interessati possano prendere decisioni operative;

30)  "messa in servizio": la prima utilizzazione dopo l'installazione iniziale o il potenziamento di un sistema;

31)  "rete di rotte": una rete di rotte specificate per incanalare il flusso di traffico aereo generale come necessario per la fornitura più efficiente di servizi di controllo del traffico aereo; [Em. 38]

32)  "servizi di sorveglianza": gli impianti e i servizi utilizzati per determinare le rispettive posizioni degli aeromobili per consentirne la sicura separazione;

33)  "sistema": i costituenti terrestri e/o aerei nonché e/o l'attrezzatura spaziale, che fornisce un supporto ai servizi di navigazione aerea in tutte le fasi di volo; [Em. 39]

34)  "potenziamento": qualsiasi modifica che muta le caratteristiche operative di un sistema;

35)  "servizi transfrontalieri": tutte le situazioni in cui i servizi di navigazione aerea sono forniti in uno Stato membro da un fornitore di servizi certificato in un altro Stato membro ;

36)  "autorità aeronautica nazionale di vigilanza": l'organismo o gli organismi nazionali con accreditamento dell'EAA cui lo Stato membro ha affidato compiti di vigilanza a norma del presente regolamento e le autorità nazionali competenti responsabili delle mansioni previste dall'articolo 8 ter e del regolamento (CE) n. 216/2008; [Em. 40]

37)  "servizi di assistenza": servizi di CNS (comunicazione, navigazione aerea diversi dai servizi di traffico aereo e sorveglianza), MET (meteorologici) e AIS (informazioni aeronautiche), come pure altri servizi e attività collegati alla fornitura di servizi di navigazione aerea o prestati a supporto degli stessi; [Em. 41]

38)  "obiettivi prestazionali locali": obiettivi prestazionali fissati dagli Stati membri a livello locale, in particolare i blocchi funzionali di spazio aereo, a livello nazionale, di zona di tariffazione o di aeroporto;

38 bis)  "partenariato settoriale": accordi di cooperazione nel contesto di un contratto stipulato con la finalità di migliorare la gestione del traffico tra diversi fornitori di servizi di navigazione aerea, tra cui il gestore di rete, gli utenti dello spazio aereo, gli aeroporti e gli altri operatori economici comparabili; [Em. 42]

38 ter)  "spazio aereo operativo integrato": lo spazio aereo controllato di dimensioni definite comprendente lo spazio aereo europeo e, in virtù di adeguati accordi, di paesi terzi limitrofi in cui sono applicate una struttura dinamica di assegnazione e ripartizione temporale, risorse di controllo ottimizzate in termini di efficienza, servizi di navigazione aerea integralmente interoperabili e soluzioni combinate ai fini di un uso ottimale, prevedibile e sicuro dello spazio aereo nell'ottica di completare il cielo unico europeo; [Em. 43]

38 quater)  "piani locali di miglioramento delle prestazioni": piani elaborati da una o più autorità aeronautiche nazionali a livello locale, segnatamente a livello di blocchi funzionali di spazio aero, regionale o nazionale; [Em. 44]

38 quinquies)  "organizzazione riconosciuta": un organismo cui possono essere assegnati specifici compiti di certificazione o sorveglianza da parte, e sotto il controllo e la responsabilità, dell'Agenzia o di un'autorità aeronautica nazionale. [Em. 45]

CAPO II

autorità nazionali 

Articolo 3

Autorità aeronautiche nazionali di vigilanza [Em. 46]

1.  Gli Stati membri, congiuntamente o singolarmente, designano o istituiscono in qualità di autorità aeronautica nazionale di vigilanza uno o più enti un ente che assumano assuma le funzioni assegnate a detta autorità dal presente regolamento e dal regolamento (CE) n. 216/2008. [Em. 47]

2.  Le autorità aeronautiche nazionali di vigilanza sono giuridicamente distinte e indipendenti, in particolare per quanto riguarda l'organizzazione, la gerarchia e il processo decisionale, comprese dotazioni distinte nel bilancio annuale, da qualsiasi impresa, organizzazione, prestatore di servizi di navigazione aerea o da qualsiasi soggetto pubblico o privato o personale rientranti nell'ambito delle proprie attività a norma della articolo 1 del regolamento (CE) n. 216/2008 o che abbia un interesse nelle attività di tali fornitori soggetti. [Em. 48]

3.  Fatto salvo il paragrafo 2, le autorità aeronautiche nazionali di vigilanza possono essere accorpate a livello organizzativo con altri organismi di regolamentazione e/o autorità preposte alla sicurezza. [Em. 49]

4.  Le autorità aeronautiche nazionali di vigilanza che non sono giuridicamente distinte da fornitori di servizi di navigazione aerea o da soggetti pubblici o privati che hanno un interesse nelle attività di tali fornitori, come stabilito al paragrafo 2, provvedono all'osservanza delle disposizioni di cui al presente articolo alla data di entrata in vigore del presente regolamento, sono tenute al rispetto di tale requisito oppure entro il 1° gennaio 2020 2017. [Em. 50]

5.  Le autorità aeronautiche nazionali di vigilanza esercitano i propri poteri con imparzialità, indipendenza e trasparenza. In particolare dispongono di personale idoneo e sono organizzate, gestite e finanziate in modo da esercitare tali poteri con le modalità descritte. [Em. 51]

6.  Il personale delle autorità aeronautiche nazionali di vigilanza: [Em. 52]

a)  è assunto sulla base di norme chiare e criteri chiari e trasparenti che ne garantiscono l'indipendenza e, per quanto riguarda le figure chiamate ad adottare decisioni strategiche, è nominato dal governo o da un'altra autorità pubblica che non controlla direttamente fornitori di servizi di navigazione aerea, né trae beneficio dagli stessi; [Em. 53]

b)  è selezionato mediante una procedura trasparente sulla base delle sue qualifiche specifiche, comprese le competenze adeguate e un esperienza maturata, tra l'altro, negli ambiti dell'audit e dei sistemi e servizi di navigazione aerea pertinente; [Em. 54]

b bis)  non siano distaccati da fornitori di servizi di navigazione aerea o da società controllate da fornitori di servizi di navigazione aerea; [Em. 55]

c)  opera con indipendenza, in particolare non ha interessi relativi ai fornitori di servizi di navigazione aerea e, nello svolgimento dei compiti dell'autorità aeronautica nazionale di vigilanza, non chiede o prende istruzioni dall'amministrazione statale o da qualsiasi organismo pubblico o privato, fatta salva una stretta cooperazione con altre autorità nazionali competenti; [Em. 56]

d)  le persone chiamate ad adottare decisioni strategiche rilasciano ogni anno una dichiarazione di impegno e una dichiarazione di interessi in cui sono indicati tutti gli interessi diretti o indiretti che possono essere ritenuti pregiudizievoli per la loro indipendenza e che possono influenzare l'espletamento dei loro compiti; e

e)  le persone chiamate ad adottare decisioni strategiche e a svolgere audit o altre funzioni direttamente collegate a obiettivi di vigilanza o prestazionali dei fornitori di servizi di navigazione aerea, per un periodo di almeno un anno superiore a sei mesi dopo la fine del loro mandato presso l'autorità aeronautica nazionale di vigilanza non possono rivestire alcuna posizione o responsabilità professionale presso fornitori di servizi di navigazione aerea per un periodo pari a.: [Em. 57]

i)  almeno 12 mesi per il personale con compiti direttivi; [Em. 58]

ii)  almeno sei mesi per il personale con compiti non direttivi. [Em. 59]

e bis)  gli alti dirigenti dell'autorità sono nominati per un periodo determinato da tre a sette anni, rinnovabile una sola volta, e possono essere sollevati dall'incarico durante il loro mandato solo se non soddisfano più le condizioni previste dal presente articolo o se sono colpevoli di condotta scorretta ai sensi della normativa nazionale. [Em. 60]

7.  Gli Stati membri provvedono affinché le autorità aeronautiche nazionali di vigilanza dispongano delle risorse e capacità necessarie per svolgere i compiti loro assegnati dal presente regolamento in modo efficiente e tempestivo. Le autorità aeronautiche nazionali di vigilanza hanno piena autorità in materia di assunzione e gestione del personale sulla base dei loro stanziamenti che provengono, tra l'altro, dalle tariffe di rotta fissate in proporzione ai compiti che l'autorità è chiamata a svolgere in conformità all'articolo 4. [Em. 61]

8.  Gli Stati membri notificano alla Commissione i nomi e gli indirizzi delle autorità aeronautiche nazionali di vigilanza, nonché gli eventuali cambiamenti, e la informano delle misure adottate per garantire l'osservanza del presente articolo. [Em. 62]

9.  La Commissione definisce norme di esecuzione per stabilire le modalità delle procedure di selezione e assunzione ai fini del paragrafo 6, lettere a) e b). Tali atti di esecuzione sono adottati secondo la in conformità alla procedura d'esame di cui all'articolo 27, paragrafo 3., e precisano: [Em. 63]

a)  il livello di separazione richiesto dall'autorità di nomina per qualsiasi impresa, organizzazione, soggetto pubblico o privato o personale rientranti nell'ambito delle attività dell'autorità a norma della articolo 1 del regolamento (CE) n. 216/2008 o per un soggetto che abbia un interesse nelle attività di detti soggetti, al fine di salvaguardare l'equilibrio tra la prevenzione dei conflitti di interesse e l'efficienza amministrativa; [Em. 64]

b)  le pertinenti qualifiche tecniche richieste per il personale che svolge gli audit. [Em. 65]

Articolo 4

Compiti delle autorità aeronautiche nazionali di vigilanza [Em. 66]

1.  Alle autorità aeronautiche nazionali di vigilanza di cui all'articolo 3 sono sono affidati in particolare i seguenti compiti: [Em. 67]

a)  garantire un'adeguata vigilanza dell'applicazione del presente regolamento e del regolamento (CE) n. 216/2008, con particolare riguardo all'efficienza e alla sicurezza delle operazioni dei fornitori di servizi di navigazione aerea che forniscono servizi relativi allo spazio aereo di responsabilità dello Stato membro che ha designato o ha istituito l'autorità in questione; [Em. 68]

b)  rilasciare certificati ai fornitori di servizi di navigazione aerea in conformità all'articolo l'esecuzione o la delega, in tutto o in parte, dei compiti di cui agli articoli 8 ter, 8 quater e 10 del regolamento (CE) n. 216/2008 e vigilare sul rispetto delle condizioni che ne hanno determinato il rilascio l'esecuzione del compito di provvedere alla supervisione dell'applicazione del presente regolamento, in particolare per quanto riguarda lo svolgimento sicuro ed efficiente delle attività dei prestatori di servizi di navigazione aerea collegati allo spazio aereo di competenza degli Stati membri; [Em. 69]

c)  rilasciare licenze, abilitazioni, specializzazioni e certificati ai controllori del traffico aereo in conformità all'articolo 8 quater del regolamento (CE) n. 216/2008 e vigilare sul rispetto delle condizioni che ne hanno determinato il rilascio; [Em. 70]

d)  redigere piani prestazionali e monitorarne l'attuazione in conformità all'articolo 11;

e)  monitorare l'attuazione del sistema di tariffazione in conformità agli articoli 12 e 13, comprese le disposizioni sulle sovvenzioni trasversali di cui all'articolo 13, paragrafo 7; [Em. 71]

f)  approvare le condizioni di accesso ai dati operativi in conformità all'articolo 22; e

g)  verificare le dichiarazioni e la messa in servizio dei sistemi.

g bis)  presentare annualmente una relazione sull'attività svolta e sull'esecuzione dei suoi compiti alle autorità competenti degli Stati membri, all'EAA e alla Commissione. Tali relazioni descrivono le iniziative prese e i risultati ottenuti in ordine a ciascuno dei compiti indicati nel presente articolo; [Em. 72]

2.  Ogni autorità aeronautica nazionale di vigilanza svolge le opportune ispezioni e indagini per verificare l'osservanza delle norme del presente regolamento. Il fornitore del servizio di navigazione aerea interessato facilita tali operazioni e il pertinente Stato membro offre tutta l'assistenza necessaria per garantire l'efficacia del monitoraggio della conformità. [Em. 73]

Articolo 5

Cooperazione tra le autorità aeronautiche nazionali di vigilanza [Em. 74]

1.  Le autorità nazionali di vigilanza si scambiano informazioni sul rispettivo operato, sui loro principi, le pratiche e le procedure decisionali e sull'attuazione del diritto dell'Unione europea. Esse cooperano al fine di coordinare i loro processi decisionali all'interno dell'Unione. Le autorità aeronautiche nazionali di vigilanza partecipano e collaborano in seno a una rete che si riunisce a intervalli periodici e almeno una volta all'anno. La Commissione e l'Agenzia dell'Unione europea per l'aviazione (di seguito "EAA") sono membri di tale rete e ne coordinano e sostengono l'operato, oltre a formulare eventuali raccomandazioni. La Commissione e l'EAA facilitano la cooperazione attiva delle autorità aeronautiche nazionali di vigilanza e gli scambi e l'utilizzo di personale tra le stesse autorità sulla base di un pool di esperti che deve essere istituito dall'EAA in conformità all'articolo 17, paragrafo 2, lettera f), del regolamento (CE) n. 216/2008.

La rete può, tra l'altro:

a)  elaborare e divulgare metodologie e orientamenti semplificati per la realizzazione dei compiti dell'autorità di cui all'articolo 4;

b)  fornire assistenza alle singole autorità aeronautiche nazionali su questioni normative;

c)  formulare pareri alla Commissione e all'EAA in merito al processo normativo e alla certificazione;

d)  formulare pareri, orientamenti e raccomandazioni su come agevolare la fornitura transfrontaliera di servizi;

e)  elaborare soluzioni comuni da attuare a livello di uno o più Stati al fine di conseguire gli obiettivi del piano generale ATM o della convenzione di Chicago. [Em. 75]

Fatte salve le norme sulla protezione dei dati di cui all'articolo 22 del presente regolamento e al regolamento (CE) n. 45/2001, la Commissione sostiene predispone una piattaforma per lo scambio di informazioni, di cui al primo e secondo comma del presente paragrafo, tra i membri della rete, eventualmente mediante strumenti elettronici, nel rispetto della riservatezza dei segreti commerciali dei fornitori di servizi di navigazione aerea delle imprese, delle organizzazioni o dei soggetti coinvolti. [Em. 76]

2.  Le autorità aeronautiche nazionali di vigilanza cooperano strettamente, anche attraverso accordi di lavoro, a fini di assistenza reciproca nelle loro funzioni di monitoraggio e svolgimento di indagini e sondaggi. [Em. 77]

3.  Per quanto riguarda i blocchi funzionali di spazio aereo che si estendono nello spazio aereo che è di responsabilità di più Stati membri, gli Stati membri interessati concludono accordi sulla vigilanza prevista dal presente di cui all'articolo 4 nei confronti dei fornitori di servizi di navigazione aerea che forniscono servizi connessi ai suddetti blocchi. Le autorità aeronautiche nazionali di vigilanza interessate elaborano un piano in cui specificano le modalità della loro cooperazione allo scopo di concretizzare tale accordo. [Em. 78]

4.  Le autorità aeronautiche nazionali di vigilanza cooperano strettamente al fine di garantire una vigilanza adeguata dei fornitori di servizi di navigazione aerea, titolari di un certificato valido rilasciato in uno Stato membro, che forniscono altresì servizi nello spazio aereo di responsabilità di un altro Stato membro. Tale cooperazione include accordi per il trattamento di casi che implicano l'inosservanza del presente regolamento e  dei requisiti comuni applicabili adottati in conformità all'articolo 8 ter, paragrafo 1, del regolamento (CE) n. 216/2008. [Em. 79]

5.  In caso di fornitura di servizi di navigazione aerea in uno spazio aereo di pertinenza di un altro Stato membro, gli accordi di cui ai paragrafi 2, 3 e 4 comprendono un accordo relativo al reciproco riconoscimento dei compiti di vigilanza di cui all'articolo 4, paragrafi 1 e 2 e dei risultati degli stessi. Il mutuo riconoscimento si applica anche quando gli accordi di riconoscimento fra le autorità nazionali di vigilanza sono conclusi ai fini del processo di certificazione dei fornitori di servizi. [Em. 80]

6.  Se consentito dalla legislazione dal diritto nazionale, le autorità aeronautiche nazionali di vigilanza possono, a fini di cooperazione regionale, concludere anche accordi sulla ripartizione dei compiti in materia di vigilanza. [Em. 81]

Articolo 6

Organizzazioni riconosciute

1.  L'EAA e le autorità aeronautiche nazionali di vigilanza possono decidere di delegare interamente o in parte le ispezioni e, le indagini di cui all'articolo 4 , paragrafo 2, e altri compiti assegnati a norma del presente regolamento ad organizzazioni riconosciute che soddisfano i requisiti stabiliti nell'allegato I. [Em. 82]

2.  Tale delega concessa da un'autorità nazionale di vigilanza è valida nell'intera Unione per un periodo di tre anni rinnovabile. L'EAA e le autorità aeronautiche nazionali di vigilanza possono incaricare una qualsiasi delle organizzazioni riconosciute, con sede nell'Unione, di effettuare le ispezioni e le indagini. [Em. 83]

3.  Gli Stati membri L'EAA e le autorità aeronautiche nazionali notificano alla Commissione, all'EAA e agli altri Stati membri e, se del caso, all'EAA, le organizzazioni riconosciute cui hanno delegato compiti in conformità al paragrafo 1 indicando il settore di competenza di ciascuna organizzazione e i loro numeri di identificazione, nonché eventuali modifiche di tali informazioni. La Commissione pubblica nella Gazzetta ufficiale dell'Unione europea l'elenco delle organizzazioni riconosciute, i loro numeri di identificazione e settori di competenza e mantiene aggiornato tale elenco. [Em. 84]

4.  Gli Stati membri L'EAA e le autorità aeronautiche nazionali ritirano la delega alle organizzazioni riconosciute che non risultano più conformi ai requisiti di cui all'allegato I e ne informano senza indugio la Commissione, l'EAA e gli altri Stati membri. [Em. 85]

5.  Gli organismi designati prima dell'entrata in vigore del presente regolamento organismi notificati a norma dell'articolo 8 del regolamento (CE) n. 552/2004 sono considerati organizzazioni riconosciute ai fini del presente articolo.

Articolo 7

Consultazione delle parti interessate

1.  Le autorità aeronautiche nazionali di vigilanza che operano in conformità alle rispettive legislazioni nazionali, istituiscono meccanismi di consultazione per coinvolgere in modo appropriato le parti interessate, inclusi gli enti rappresentativi del personale per l'esercizio delle loro mansioni, nell'attuazione del cielo unico europeo. [Em. 86]

2.  Le parti interessate possono comprendere:

–  fornitori di servizi di navigazione aerea,

–  operatori aeroportuali,

–  utenti dello spazio aereo pertinenti o gruppi pertinenti rappresentanti tali utenti,

–  autorità militari,

–  industria manifatturiera

–  organismi rappresentativi del personale.

CAPO III

FORNITURA DI  SERVIZI

Articolo 8

Certificazione dei fornitori di servizi di navigazione aerea

1.  La fornitura di tutti i servizi di navigazione aerea all'interno dell'Unione è soggetta alla certificazione da parte delle autorità aeronautiche nazionali di vigilanza o dell'EAA o alla dichiarazione alle stesse, in conformità all'articolo 8 ter del regolamento (CE) n. 216/2008. [Em. 87]

2.  Il processo di certificazione assicura inoltre che i richiedenti possano dimostrare sufficiente solidità finanziaria e dispongano di copertura assicurativa e della responsabilità, qualora ciò non sia garantito dallo Stato membro interessato.

3.  La certificazione stabilisce  l'accesso non discriminatorio ai servizi per gli utenti dello spazio aereo, in particolare riguardo alla sicurezza. La certificazione  è  soggetta alle condizioni di cui all'allegato II.

4.  Il rilascio dei certificati conferisce ai fornitori di servizi di navigazione aerea la possibilità di offrire i loro servizi agli Stati membri a qualsiasi Stato membro, ad altri fornitori di servizi di navigazione aerea, agli utenti dello spazio aereo e agli aeroporti all'interno dell'Unione e nei paesi terzi confinanti, inclusi, se del caso, i blocchi funzionali di spazio aereo, soggetti a un accordo reciproco tra le parti interessate.Per quanto riguarda i servizi di assistenza, tale possibilità è subordinata alla conformità all'articolo 10, paragrafo 2. [Em. 88]

Articolo 9

Designazione dei fornitori di servizi aerei

1.  Gli Stati membri garantiscono la fornitura di servizi di traffico aereo in regime di esclusiva all'interno di specifici blocchi di spazio aereo per lo spazio aereo posto sotto la loro responsabilità. A tal fine gli Stati membri designano un prestatore di servizi di traffico aereo titolare di un certificato  o dichiarazione  validi  nell'Unione.

2.  Per la fornitura di servizi transfrontalieri, gli Stati membri garantiscono che la conformità al presente articolo e all'articolo 18 , paragrafo 3, non sia impedita dalla loro legislazione nazionale che impone che i fornitori di servizi del traffico aereo che forniscono servizi nello spazio aereo sotto la responsabilità dello Stato membro interessato  soddisfino una delle seguenti condizioni:

a)  siano detenuti, direttamente o attraverso una partecipazione maggioritaria, da tale Stato membro o dai suoi cittadini;

b)  abbiano la loro principale sede di attività o la sede legale nel territorio di tale Stato membro;

c)  utilizzino esclusivamente infrastrutture in detto Stato membro.

3.  Gli Stati membri definiscono i diritti e gli obblighi dei fornitori di servizi di traffico aereo designati. Gli obblighi possono comportare condizioni per la comunicazione tempestiva di informazioni rilevanti utili per identificare tutti i movimenti di aeromobili nello spazio aereo di loro responsabilità.

4.  Gli Stati membri hanno potere discrezionale sulla scelta di un prestatore di servizi di traffico aereo a condizione che quest'ultimo  sia certificato o dichiarato in conformità al regolamento (CE) No 216/2008 .

5.  Per i blocchi funzionali di spazio aereo, stabiliti a norma dell'articolo 16, che si estendono nello spazio aereo di responsabilità di più Stati membri, gli Stati membri interessati designano congiuntamente, conformemente al paragrafo 1 del presente articolo, uno o più fornitori di servizi di traffico aereo, almeno un mese prima dell'istituzione del blocco funzionale di spazio aereo. [Em. 89]

6.  Gli Stati membri informano immediatamente la Commissione e gli altri Stati membri in merito a qualsiasi decisione adottata nel quadro del presente articolo relativa alla designazione dei fornitori di servizi di traffico aereo in blocchi specifici di spazio aereo per lo spazio aereo di loro responsabilità.

Articolo 10

Fornitura di servizi di assistenza

1.  In conformità al presente articolo, gli Stati membri adottano tutte le misure necessarie per garantire che non vi siano ostacoli legali per i fornitori di servizi di assistenza possano che ne pregiudichino la capacità di competere all'interno dell'Unione per la fornitura di tali servizi sulla base di condizioni eque, non discriminatorie e trasparenti.

Il requisito di cui al presente articolo deve essere soddisfatto entro il 1° gennaio 2020.

2.  Gli Stati membri adottano tutte le misure necessarie per garantire che la fornitura che i fornitori di servizi di traffico aereo sia separata dalla fornitura navigazione aerea, all'atto dell'elaborazione dei loro piani aziendali, chiedano offerte a diversi fornitori di servizi di assistenza, al fine di scegliere il fornitore finanziariamente e qualitativamente più vantaggioso. L'organo di valutazione delle prestazioni previsto a norma dell'articolo 11, paragrafo 2, nel valutare i piani di miglioramento delle prestazioni, controlla il livello di conformità con le disposizioni del presente paragrafo. Ciò implica che i servizi di traffico aereo e i servizi di assistenza devono essere forniti da due imprese distinte.

3.  Nella scelta del prestatore esterno di servizi di assistenza si osservano le disposizioni della direttiva 2004/18/CE. Gli enti appaltatori tengono conto, in particolare, dell' si attengono a criteri vincolanti di selezione quali l'efficienza in rapporto ai costi e all'energia, della la qualità generale, l'interoperabilità e della la sicurezza dei servizi, nonché la trasparenza delle procedure di aggiudicazione.

4.  Un prestatore di servizi di assistenza può essere selezionato per fornire servizi nello spazio aereo di uno Stato membro soltanto se:

a)  è certificato a norma dell'articolo 8 ter del regolamento (CE) n. 216/2008;

b)  la sua sede principale di attività si trova nel territorio di uno Stato membro;

c)  gli Stati membri e/o i cittadini degli Stati membri detengono oltre il 50% del prestatore di servizi e lo controllano di fatto, direttamente o indirettamente, attraverso una o più imprese intermedie, salvo quanto previsto in un accordo con un paese terzo di cui l'Unione è parte contraente; e

d)  il prestatore di servizi è conforme ai requisiti in materia di difesa e sicurezza nazionale.

5.  I servizi di assistenza relativi al funzionamento della rete europea di gestione del traffico aereo (EATMN) possono essere forniti a livello centralizzato dal gestore della rete, aggiungendo tale servizi all'elenco di cui all'articolo 17, paragrafo 2, in conformità all'articolo 17, paragrafo 3. Tali servizi, e in particolare quelli relativi alla infrastrutture ATM, possono anche essere forniti su base esclusiva da un prestatore di servizi di navigazione aerea o da raggruppamenti di tali fornitori. La Commissione precisa le modalità per la selezione dei fornitori o gruppi di fornitori sulla base della capacità professionale e della capacità di fornire servizi in modo imparziale ed efficace sul piano dei costi e predispone una valutazione generale dei costi e benefici stimati della fornitura di servizi di assistenza a livello centralizzato. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 27, paragrafo 3. La Commissione designa i fornitori, o raggruppamenti di fornitori, in conformità agli atti di esecuzione citati.

5 bis.  La Commissione definisce norme dettagliate che chiariscono le modalità di selezione dei servizi di cui al presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 27, paragrafo 3.

5 ter.  La Commissione condurrà uno studio complessivo sugli impatti operativi, economici, di sicurezza e sociali dell'introduzione dei principi di mercato alla fornitura di servizi di assistenza e lo presenta al Parlamento europeo e al Consiglio entro il 1° gennaio 2016. Lo studio tiene in considerazione la realizzazione del piano generale ATM e l'impatto delle tecnologie SESAR sul settore dei servizi di assistenza. [Em. 90]

Articolo 11

Sistema di prestazioni

1.  È istituito un sistema di prestazioni per i servizi di navigazione aerea e  per i servizi  di rete al fine di migliorare l'efficienza dei servizi di navigazione aerea e  dei servizi  di rete nel cielo unico europeo. Il sistema comprende:

a)  obiettivi prestazionali a livello dell'Unione e obiettivi associati a livello locale relativi a settori di prestazione essenziali quali la sicurezza, l'ambiente, la capacità e l'efficacia sotto il profilo dei costi, conformemente agli obiettivi di alto livello del piano generale ATM fissati per un intero periodo di riferimento; [Em. 91]

b)  piani nazionali o piani per blocchi funzionali di spazio aereo locali di miglioramento delle prestazioni, comprendenti obiettivi prestazionali, a garanzia della conformità agli obiettivi prestazionali dell'Unione e agli obiettivi associati a livello locale; e [Em. 92]

c)  riesame periodico, monitoraggio e analisi comparativa delle prestazioni dei servizi di navigazione aerea e dei servizi di rete.

2.  La Commissione designa un organismo indipendente,imparziale e competente come "organo di valutazione delle prestazioni" (OVP). L'OVP è istituito come un regolatore economico europeo sotto la sorveglianza della Commissione, con effetto dal 1° luglio 2015. Il ruolo dell'organo di valutazione delle prestazioni dell'OVP consiste nel fornire consulenza alla Commissione, coordinandosi con le autorità aeronautiche nazionali di vigilanza, e, nell'assisterle su richiesta e nel monitorarle nell'attuazione del sistema di prestazioni di cui al paragrafo 1. All'organo di valutazione delle prestazioni L'OVP deve essere separato funzionalmente e giuridicamente da qualsiasi fornitore di servizi, a livello nazionale o paneuropeo. All'OVP può essere prestata assistenza tecnica dall'EAA, dal gestore della rete, e da Eurocontrol o da un altro organismo competente. [Em. 93]

3.  I piani nazionali o i piani per i blocchi funzionali di spazio aero locali di miglioramento delle prestazioni di cui al paragrafo 1, lettera b), sono elaborati dalle autorità aeronautiche nazionali di vigilanza e adottati dagli Stati membri. Detti piani includono obiettivi locali di carattere vincolante e un adeguato sistema di incentivi quale approvato dagli Stati membri. L'elaborazione dei piani è soggetta a consultazioni con la Commissione, l'OVP, i fornitori di servizi di navigazione aerea, con i rappresentanti degli utenti dello spazio aereo e, qualora opportuno, con gli operatori e i coordinatori aeroportuali. [Em. 94]

4.  La conformità La conformità degli obiettivi dei piani nazionali o di blocco funzionale di spazio aereo dei piani locali di miglioramento delle prestazioni e degli obiettivi locali agli obiettivi prestazionali a livello dell'Unione è valutata dalla Commissione in cooperazione con l'organo di valutazione delle prestazioni OVP. [Em. 95]

Qualora accerti che i piani nazionali o per blocco funzionale di spazio aereo locali di miglioramento delle prestazioni o gli obiettivi a livello locale non soddisfano gli obiettivi a livello di Unione, la Commissione, può esigere che gli Stati membri interessati adottino le necessarie misure correttive. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 27, paragrafo 2. [Em. 96]

5.  Il periodo di riferimento per il sistema di prestazioni di cui al paragrafo 1 copre da un minimo di tre anni fino a un massimo di cinque. Durante detto periodo e in caso di mancato conseguimento degli obiettivi a livello locale, gli Stati membri interessati definiscono e applicano misure finalizzate a rettificare la situazione. Se la Commissione ritiene che tali misure correttive non siano sufficienti, può decidere che gli Stati membri interessati adottino le necessarie misure correttive o sanzioni. Tali atti di esecuzione sono adottati conformemente alla procedura consultiva di cui all'articolo 27, paragrafo 2.

6.  La Commissione compie e l'EAA, insieme con l'OVP, compiono valutazioni periodiche in merito al conseguimento degli obiettivi prestazionali a livello dell'Unione e degli obiettivi prestazionali associati a livello locale. [Em. 97]

7.  Il sistema di prestazioni di cui al paragrafo 1 si basa sui seguenti elementi  :

a)  la raccolta, la convalida, l'esame, la valutazione e la diffusione dei dati attinenti relativi alle prestazioni dei servizi di navigazione aerea e  dei servizi  di rete forniti da tutte le pertinenti parti interessate, tra le quali i fornitori di servizi di navigazione aerea, gli utenti dello spazio aereo, gli operatori aeroportuali, l'EAA, le autorità aeronautiche nazionali di vigilanza, gli Stati membri e Eurocontrol; [Em. 98]

b)  la selezione di adeguati settori essenziali di prestazione, sulla base del documento n. 9854 dell'ICAO "Global Air Traffic Management Operational Concept", e coerenti con quelli identificati nel quadro delle prestazioni del piano generale ATM, tra i quali la sicurezza, l'ambiente, la capacità e l'efficacia sotto il profilo dei costi e il fattore umano, con gli adattamenti eventualmente necessari per tenere conto delle esigenze specifiche del cielo unico europeo e degli obiettivi specifici di tali settori e definizione di un gruppo limitato di indicatori essenziali per misurare le prestazioni; occorre prestare particolare attenzione agli indicatori di prestazione in materia di sicurezza; [Em. 99]

c)  la definizione e revisione degli obiettivi prestazionali a livello dell’Unione e degli obiettivi prestazionali associati a livello locale tenendo in considerazione i contributi identificati a livello nazionale o a livello dei blocchi funzionali di spazio aereo; gli obiettivi prestazionali a livello dell'Unione sono istituiti al fine di assicurare che ogni blocco funzionale di spazio aereo abbia la flessibilità sufficiente per conseguire i migliori risultati; [Em. 100]

d)  i criteri a cui le autorità aeronautiche nazionali di vigilanza ricorrono per l'elaborazione dei piani nazionali o a livello locali di blocchi funzionali di spazio aereo di miglioramento delle prestazioni, compresi gli obiettivi prestazionali a livello locale e il sistema di incentivi. I piani di miglioramento delle prestazioni: [Em. 101]

i)  sono basati sui piani aziendali dei fornitori di servizi di navigazione aerea, i quali dovrebbero a loro volta tenere conto dell'attuazione del piano generale ATM; [Em. 1002]

ii)  coprono tutti gli elementi di costo della base dei costi nazionali o a livello di blocchi funzionali di spazio aereo;

iii)  comprendono obiettivi prestazionali a livello locale vincolanti, coerenti con gli obiettivi prestazionali a livello dell'Unione;

e)  la valutazione degli obiettivi prestazionali a livello locale sulla base dei piani nazionali o dei piani per i blocchi funzionali di spazio aereo locali di miglioramento delle prestazioni; [Em. 103]

f)  il monitoraggio dei piani nazionali o dei piani per i blocchi funzionali di spazio aereo locali di miglioramento delle prestazioni, compresi adeguati meccanismi d'allarme; [Em. 104]

g)  i criteri per imporre sanzioni e meccanismi di compensazione nei casi di non conformità agli obiettivi prestazionali a livello dell'Unione e agli obiettivi associati a livello locale durante il periodo di riferimento, nonché a sostenere meccanismi di allarme; [Em. 105]

h)  i principi generali a cui gli Stati membri ricorrono per istituire il sistema di incentivi;

i)  principi per l'applicazione di un meccanismo di transizione necessario per l'adeguamento alla messa in opera del sistema di prestazioni, di durata non superiore a dodici mesi a decorrere dall'adozione dell'atto delegato di cui al presente paragrafo;

j)  adeguati periodi e intervalli di riferimento per la valutazione del raggiungimento degli obiettivi prestazionali e per la fissazione di nuovi obiettivi;

k)  il necessario calendario pertinente;

Alla Commissione è conferito il potere di adottare atti delegati in conformità all'articolo 26 al fine di adottare gli obiettivi prestazionali a livello dell'Unione e di definire modalità di applicazione per il funzionamento adeguato del sistema di prestazioni  conformemente ai punti elencati  nel presente paragrafo. [Em. 106]

8.  In fase di creazione del sistema di prestazioni occorre tener conto del fatto che i servizi di rotta, i servizi nei terminal e  i servizi  di rete sono diversi e che dovrebbero essere trattati di conseguenza, se necessario anche ai fini della valutazione delle prestazioni.

8 bis.  La Commissione conduce uno studio sull'impatto che il comportamento dei soggetti non fornitori di servizi di navigazione aerea nel sistema ATM, per esempio gli operatori aeroportuali, i coordinatori aeroportuali e gli operatori del trasporto aereo, può avere sul funzionamento efficiente della rete ATM europea.

L'ambito dello studio deve riguardare, pur senza esservi limitato:

a)  l'identificazione di soggetti non fornitori di servizi di navigazione aerea nel sistema ATM, in grado di influenzare le prestazioni della rete;

b)  l'effetto del comportamento di tali soggetti sulle prestazioni ANS relativamente ai settori essenziali di prestazione quali la sicurezza, l'ambiente e la capacità;

c)  la fattibilità dell'elaborazione di indicatori di prestazione e di indicatori essenziali di prestazione per tali soggetti;

d)  qualsiasi vantaggio per la rete ATM europea che può derivare dall'applicazione di ulteriori indicatori di prestazione e indicatori essenziali di prestazione e qualsiasi ostacolo per il raggiungimento della migliore prestazione.

Lo studio deve essere avviato entro 12 mesi dalla pubblicazione del presente regolamento e completato entro i 12 mesi successivi; le conclusioni dello stesso devono essere prese in esame dalla Commissione e dagli Stati membri al fine di ampliare l'ambito del sistema di prestazioni affinché comprenda ogni ulteriore indicatore di prestazione e indicatore essenziale di prestazione per i prossimi periodi di riferimento, ai sensi delle disposizioni del presente articolo. [Em. 107]

Articolo 12

Disposizioni generali relative al sistema di tariffazione

Conformemente al disposto degli articoli 13 e 14, il sistema di tariffazione per i servizi di navigazione aerea concorre a realizzare una maggiore trasparenza in materia di determinazione, applicazione e riscossione delle tariffe per gli utenti dello spazio aereo e contribuisce a ottimizzare i costi della fornitura di servizi di navigazione aerea e all'efficienza dei voli, mantenendo nel contempo un livello di sicurezza ottimale. Il sistema è compatibile con l'articolo 15 della convenzione internazionale per l'aviazione civile di Chicago del 1944 e con il sistema tariffario di Eurocontrol per le tariffe di rotta.

Articolo 13

Principi relativi al sistema di tariffazione

1.  Il sistema di tariffazione si basa sulla contabilità dei costi dei servizi di navigazione aerea sostenuti dai fornitori di servizi a beneficio degli utenti dello spazio aereo. Il sistema imputa tali costi alle varie categorie di utenti.

2.  Nel determinare la base di calcolo delle tariffe, si applicano i principi di cui ai paragrafi da 3 a 8.

3.  Il costo da imputare agli utenti dello spazio aereo è costituito dal costo determinato della fornitura di servizi di navigazione aerea, compresi adeguati importi per l'interesse sull'investimento di capitale e per l'ammortamento, nonché dai costi di manutenzione, funzionamento, gestione e amministrazione compresi i costi sostenuti dall'EAA per le pertinenti mansioni dell'autorità. I costi determinati sono i costi fissati dagli Stati membri a livello nazionale o a livello di blocco funzionale di spazio aereo all'inizio del periodo di riferimento per ciascun anno civile del periodo di riferimento di cui all'articolo 11, paragrafo 5, oppure durante il periodo di riferimento, in seguito a opportuni adeguamenti mediante l'applicazione dei meccanismi di allarme previsti all'articolo 11.

4.  I costi di cui si deve tenere conto in questo contesto sono quelli valutati in relazione a strutture e servizi previsti e attuati ai sensi dell'ICAO Regional Air Navigation Plan (piano regionale di navigazione aerea dell'ICAO, regione europea). Essi includono anche i costi sostenuti dalle autorità aeronautiche nazionali di vigilanza e/o da organizzazioni riconosciute, nonché altri costi sostenuti dallo Stato membro e dal fornitore di servizi interessati in relazione alla fornitura di servizi di navigazione aerea. I costi non comprendono i costi delle sanzioni imposte dagli Stati membri a norma dell'articolo 33, né o i costi delle eventuali misure correttive o sanzioni a norma dell'articolo 11, paragrafo 5. [Em. 108]

5.  Gli Stati membri, per quanto riguarda i blocchi funzionali di spazio aereo e in quanto parte dei loro rispettivi accordi quadro, si adoperano nella misura del possibile per concordare i principi comuni di una politica di tariffazione, al fine di conseguire una tariffa unica in linea con i rispettivi piani di miglioramento delle prestazioni. [Em. 109]

6.  I costi dei diversi servizi di navigazione aerea sono individuati separatamente, a norma dell'articolo 21, paragrafo 3.

7.  Non sono ammesse sovvenzioni trasversali tra i servizi di rotta e i servizi nei terminali. I costi relativi sia ai servizi presso i terminali che ai servizi di rotta sono ripartiti proporzionalmente tra i servizi di rotta e i servizi nei terminali in base a una metodologia trasparente. Le sovvenzioni trasversali tra servizi diversi di traffico aereo all'interno di una delle due suddette categorie sono ammesse solamente se giustificate da motivi obiettivi e chiaramente individuate; non sono ammesse sovvenzioni trasversali tra i servizi di traffico aereo e i servizi di assistenza.

8.  È assicurata la trasparenza della base di calcolo delle tariffe. Sono adottate norme di attuazione per la fornitura di informazioni, da parte dei fornitori di servizi, intese a consentire l'esame delle previsioni, dei costi effettivi e delle entrate dei singoli fornitori. È istituito su basi periodiche uno scambio di informazioni tra le autorità nazionali di vigilanza, i fornitori di servizi, gli utenti dello spazio aereo, la Commissione ed Eurocontrol.

9.  Nel fissare le tariffe a norma dei paragrafi da 3 a 8 gli Stati membri si attengono ai seguenti principi:

a)  le tariffe per la disponibilità dei servizi di navigazione aerea sono stabilite secondo modalità non discriminatorie. Nel fissare le tariffe non è fatta distinzione tra i singoli utenti dello spazio aereo in relazione alla nazionalità o alla categoria, per l'uso degli stessi servizi;

b)  per taluni utenti, specialmente gli aeromobili leggeri e gli aeromobili di Stato, può essere consentita un'esenzione, a condizione che il costo di una siffatta esenzione non sia trasferito su altri utenti;

c)  le tariffe sono fissate per l'anno civile sulla base dei costi determinati;

d)  i servizi di navigazione aerea possono produrre entrate sufficienti a generare una remunerazione ragionevole delle attività, che concorra ai necessari aumenti del capitale;

e)  le tariffe rispecchiano i costi dei servizi e delle strutture di navigazione aerea messe a disposizione degli utenti dello spazio aereo,  compresi i costi sostenuti dall'EAA per le pertinenti mansioni dell'autorità,  tenuto conto delle capacità produttive relative dei vari tipi di aeromobile interessati;

f)  le tariffe promuovono la fornitura sicura, efficiente, efficace e sostenibile dei servizi di navigazione aerea, si prefiggono il raggiungimento di un alto livello di sicurezza e dell'efficacia sotto il profilo dei costi nonché il conseguimento degli obiettivi di prestazione e incentivano la fornitura di servizi integrati, riducendo al contempo l'impatto ambientale dell'aviazione. Ai fini della lettera f) presente lettera e in relazione ai piani nazionali o a livello locali di blocchi funzionali di spazio aereo di miglioramento delle prestazioni, le autorità aeronautiche nazionali di vigilanza possono istituire meccanismi, tra cui incentivi consistenti in vantaggi e svantaggi finanziari, per incoraggiare i fornitori di servizi di navigazione aerea e/o gli utenti dello spazio aereo a sostenere miglioramenti della fornitura di servizi di navigazione aerea, quali una maggiore capacità, minori ritardi e uno sviluppo sostenibile, mantenendo nel contempo un livello di sicurezza ottimale. [Em. 110]

10.  La Commissione adotta modalità di applicazione relative alla procedura da seguire per l'applicazione dei paragrafi da 1 a 9. La Commissione può proporre meccanismi finanziari per migliorare la sincronizzazione delle spese in conto capitale aeree e terrestri relative all'applicazione delle tecnologie SESAR. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 27, paragrafo 3. [Em. 111]

Articolo 14

Esame della conformità agli articoli 12 e 13

1.  La Commissione provvede all'esame permanente della conformità delle tariffe ai principi e alle norme di cui agli articoli 12 e 13, in cooperazione degli Stati membri. La Commissione si adopera per instaurare i meccanismi necessari per utilizzare le competenze di Eurocontrol e condivide i risultati del riesame con gli Stati membri, con Eurocontrol e con i rappresentanti degli utenti dello spazio aereo.

2.  Su richiesta di uno o più Stati membri, oppure di propria iniziativa, la Commissione  esamina le misure specifiche adottate dalle autorità nazionali in relazione all'applicazione degli articoli 12 e 13 per quanto riguarda la determinazione dei costi e delle tariffe. Fatto salvo l'articolo 32, paragrafo 1, la Commissione condivide i risultati dell'indagine con gli Stati membri, con Eurocontrol e con i rappresentanti degli utenti dello spazio aereo. Entro due mesi dal ricevimento di una richiesta, dopo aver sentito lo Stato membro interessato, la Commissione decide se gli articoli 12 e 13 sono stati rispettati e se la misura può quindi continuare ad essere applicata. Tali atti di esecuzione sono adottati in conformità alla procedura consultiva di cui all'articolo 27, paragrafo 2.

Articolo 14 bis

Attuazione del piano generale ATM

L'attuazione del piano generale ATM è coordinata dalla Commissione. Il gestore della rete, l'OVP e il gestore della realizzazione contribuiscono all'attuazione del piano generale ATM a norma delle disposizioni del presente regolamento. [Em. 112]

Articolo 14 ter

La Commissione adotta misure che definiscono la governance dell'attuazione del piano generale ATM comprese la definizione e la selezione del responsabile per il livello di gestione (gestore della realizzazione). Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 27, paragrafo 3. [Em. 113]

Articolo 14 quater

Il gestore della realizzazione raccomanda alla Commissione termini vincolanti per la realizzazione e per le azioni correttive opportune relative ai ritardi di attuazione. [Em. 114]

Articolo 15

Progetti comuni

1.  L'attuazione del piano generale ATM può essere coadiuvata da progetti comuni. Tali progetti devono sostenere gli obiettivi del presente regolamento ovvero migliorare l'efficienza del sistema aeronautico europeo in settori essenziali come la capacità, l'efficacia delle operazioni di volo e la redditività, nonché la sostenibilità ambientale, nel rispetto degli obiettivi imperativi di sicurezza. I progetti comuni mirano a rendere operative le funzionalità ATM in modo tempestivo, coordinato e sincronizzato le funzionalità ATM per realizzare, al fine di conseguire i cambiamenti operativi essenziali identificati dal piano generale ATM, inclusa l'identificazione della dimensione geografica, dell'architettura del progetto orientata alle prestazioni e dell'approccio alla fornitura di servizi più appropriati da attuare da parte del gestore della realizzazione. Ove possibile, la progettazione e l'esecuzione dei progetti comuni mira a garantire che un insieme di capacità interoperabili di base esistano in tutti gli Stati membri. [Em. 115]

2.  La Commissione può adottare misure per definire la governance di progetti comuni e individuare incentivi per la loro realizzazione. L'organismo che gestisce l'attuazione dei progetti comuni è lo stesso che è incaricato dell'attuazione della linea di base del piano generale ATM. Tali atti di esecuzione sono adottati in conformità alla procedura di esame di cui all'articolo 27, paragrafo 3. Tali misure non interferiscono con i sono complementari rispetto ai meccanismi per lo sviluppo dei progetti relativi a blocchi funzionali di spazio aereo concordati dalle parti dei blocchi stessi. [Em. 116]

3.  La Commissione può  adottare progetti comuni per funzioni legate alla rete di particolare rilevanza ai fini del miglioramento dell'efficacia globale della gestione del trasporto aereo e dei servizi di navigazione aerea in Europa, individuando le funzionalità ATM pronte ad essere dispiegate, unitamente al relativo calendario e portata geografica. Tali atti di esecuzione sono adottati  conformemente alla procedura  di esame  di cui all'articolo 27, paragrafo 3 .  I progetti comuni possono essere considerati ammissibili al finanziamento  dell'Unione  all'interno del quadro finanziario pluriennale. A tal fine e fatta salva la competenza degli Stati membri di decidere sull'impiego delle loro risorse finanziarie, la Commissione procede ad un'analisi indipendente dei costi/benefici e a consultazioni con gli Stati membri e gli operatori interessati a norma dell'articolo 28 , esplorando tutti gli strumenti appropriati per finanziarne lo sviluppo. I costi ammissibili di sviluppo di progetti comuni sono coperti in conformità dei principi della trasparenza e della non discriminazione.

3 bis.  I progetti comuni sono il mezzo per attuare in modo coordinato e tempestivo i miglioramenti operativi sviluppati dal progetto SESAR. Essi offrono pertanto un contributo decisivo al raggiungimento degli obiettivi dell'Unione. [Em. 117]

Articolo 16

Blocchi funzionali di spazio aereo

1.  Gli Stati membri adottano tutte le misure necessarie per garantire establishment and la preparazione e l'attuazione di blocchi funzionali operativi di spazio aereo sulla base della fornitura integrata di servizi di traffico aereo navigazione aerea, allo scopo di conseguire la prescritta capacità ed efficienza della rete di gestione del traffico aereo nell'ambito del cielo unico europeo, per mantenere un elevato livello di sicurezza e contribuire all'efficienza complessiva del sistema di trasporto aereo e a una riduzione dell'impatto ambientale. [Em. 118]

2.  Laddove possibile, i blocchi funzionali di spazio aereo sono costituiti sulla base di un partenariato settoriale cooperativo tra fornitori di servizi di navigazione aerea, in particolare per quanto concerne la fornitura di servizi di assistenza in conformità all'articolo 10. Il partenariato settoriale può fornire supporto a uno o più blocchi funzionali di spazio aereo, o parte degli stessi, al fine di massimizzarne l'efficienza. [Em. 119]

3.  Gli Stati membri, come pure le autorità aeronautiche nazionali e i fornitori di servizi di traffico aereo navigazione aerea cooperano per quanto possibile per conformarsi al presente articolo. Laddove pertinente la cooperazione può prevedere la partecipazione ai blocchi funzionali di spazio aereo di autorità aeronautiche nazionali e di fornitori di servizi di traffico aereo navigazione aerea di paesi terzi. [Em. 120]

4.  I blocchi funzionali di spazio aereo, tra l'altro:

a)  sono sostenuti da un'analisi dei valori di sicurezza connessi;

b)  sono designati in modo tale da perseguire le massime sinergie ottenibili grazie al partenariato settoriale allo scopo di conseguire e, se possibile, superare gli obiettivi prestazionali fissati in conformità all'articolo 11; [Em. 121]

c)  consentono l'uso ottimale e flessibile dello spazio aereo, tenendo conto dei flussi di traffico aereo; [Em. 122]

d)  assicurano la coerenza con la rete europea delle rotte istituita in virtù dell'articolo 17;

e)  sono giustificati dal loro valore aggiunto globale, compreso l'uso ottimale delle risorse tecniche e umane sulla base di analisi costi-benefici;

f)  se del caso, assicurano un trasferimento fluido e flessibile della responsabilità per il controllo del traffico aereo tra unità dei servizi del traffico aereo;

g)  assicurano la compatibilità tra le varie configurazioni dello spazio aereo;

h)  soddisfano le condizioni prescritte dagli accordi regionali conclusi nell'ambito dell'ICAO;

i)  rispettano gli accordi regionali vigenti alla data di entrata in vigore del presente regolamento, in particolare gli accordi che riguardano paesi terzi europei;

i bis)  consolidano gli appalti per l'infrastruttura ATM e mirano ad aumentare l'interoperabilità delle attrezzature esistenti; [Em. 123]

i ter)  facilitano la rispondenza con gli obiettivi di prestazione a livello di Unione. [Em. 124]

I requisiti di cui al paragrafo 4, lettere c), d) e g), sono soddisfatti in conformità al progetto di ottimizzazione dello spazio aereo elaborato dal gestore della rete, come specificato all'articolo 17.

5.  I requisiti di cui al presente articolo possono essere soddisfatti mediante la partecipazione dei fornitori di servizi di navigazione aerea a uno o più blocchi funzionali di spazio aereo.

6.  Un blocco funzionale operativo di spazio aereo che si copre lo spazio aereo soggetto alla responsabilità di più di uno Stato membro viene è istituito con decisione congiunta di tutti gli degli Stati membri e, se del caso, di tutti i dei paesi terzi che hanno responsabilità di qualsiasi porzione dello spazio aereo inclusa nel blocco funzionale di spazio aereo. [Em. 126]

La designazione congiunta alla base dell'istituzione del blocco funzionale di spazio aereo contiene le necessarie disposizioni – comprese le pertinenti disposizioni transitorie – relative alle modalità con cui il blocco di spazio aereo può essere modificato e le modalità con cui uno Stato membro o, se del caso, un paese terzo, può ritirarsi dal blocco .

7.  Gli Stati membri notificano alla Commissione la costituzione di blocchi funzionali di spazio aereo. Prima di notificare alla Commissione la costituzione di un blocco funzionale di spazio aereo, gli Stati membri interessati forniscono alla Commissione, agli altri Stati membri e alle altre parti interessate informazioni adeguate e danno loro la possibilità di formulare osservazioni.

8.  In caso di controversia tra due o più Stati membri in merito a un blocco funzionale di spazio aereo transfrontaliero, che concerne lo spazio aereo di loro responsabilità, gli Stati membri interessati possono congiuntamente deferire la questione al comitato per il cielo unico affinché formuli un parere. Il parere è comunicato agli Stati membri interessati. Fatto salvo il paragrafo 6, gli Stati membri tengono conto di tale parere per giungere alla composizione della controversia.

9.  Una volta ricevute da parte degli Stati membri le notifiche di cui ai paragrafi 6 e 7 la Commissione accerta per ogni blocco funzionale di spazio aereo la rispondenza ai requisiti di cui al paragrafo 4 e sottopone all'esame  degli Stati membri i risultati di tale valutazione. Se la Commissione ritiene che uno o più blocchi funzionali di spazio aereo non rispondano ai requisiti previsti, avvia un dialogo con gli Stati membri interessati al fine di pervenire a un consenso sulle necessarie misure di rettifica.

10.  La Commissione può adottare modalità di applicazione relative alla designazione congiunta dei fornitori di servizi di traffico aereo di cui al paragrafo 6, specificando le modalità di selezione dei fornitori di servizi, il periodo di designazione, le disposizioni relative alla vigilanza, la disponibilità dei servizi da fornire e gli accordi in materia di responsabilità. Tali atti di esecuzione sono adottati  in conformità alla procedura di esame di cui all'articolo 27, paragrafo 3.

11.  La Commissione può adottare misure relative alle informazioni, di cui al paragrafo 6, che gli Stati membri sono tenuti a fornire. Tali atti di esecuzione sono adottati conformemente alla procedura di cui all'articolo 27, paragrafo 3. Le disposizioni del presente paragrafo non pregiudicano eventuali accordi relativi ai blocchi funzionali di spazio aereo esistenti alla data di entrata in vigore del presente regolamento, nella misura in cui tali accordi conseguono e, ove possibile, superano gli obiettivi di prestazione stabiliti a norma dell'articolo 11. [Em. 127]

Articolo 16 bis

Partenariati settoriali

1.  I fornitori di servizi di navigazione aerea possono cooperare per creare partenariati settoriali, in particolare relativamente alla fornitura di servizi di assistenza ai sensi dell'articolo 10. Il partenariato settoriale può fornire supporto a uno o più blocchi funzionali di spazio aereo, o parte degli stessi, al fine di massimizzarne l'efficienza.

2.  La Commissione e gli Stati membri compiono ogni sforzo per assicurare che qualsiasi ostacolo ai partenariati tra fornitori di servizi di navigazione aerea sia eliminato, tenendo in particolare considerazione le questioni relative alla responsabilità, i modelli di tariffazione e gli ostacoli all'interoperabilità. [Em. 128]

Articolo 17

Gestione e progettazione della rete

1.  I servizi della rete di gestione del traffico aereo (ATM) permettono l'uso ottimale e flessibile dello spazio aereo e assicurano che gli utenti dello spazio aereo possano operare sulle traiettorie preferite, garantendo al tempo stesso il massimo accesso allo spazio aereo e ai servizi di navigazione aerea. Tali servizi di rete sono finalizzate a sostenere iniziative a livello nazionale e a livello dei blocchi funzionali di spazio aereo e sono svolte in modo tale da non pregiudicare la separazione delle mansioni normative da quelle operative. [Em. 129]

2.  Per conseguire gli obiettivi di cui al paragrafo 1 e fatte salve le competenze degli Stati membri in materia di rotte nazionali e strutture dello spazio aereo, la Commissione provvede affinché siano garantiti sotto la responsabilità di coordinati da un gestore di rete i seguenti servizi e le seguenti funzioni: [Em. 130]

a)  progettazione della rete europea delle rotte;

b)  coordinamento delle limitate risorse nelle bande di frequenza aeronautiche utilizzate dal traffico aereo generale, in particolare delle frequenze radio, nonché coordinamento dei codici dei transponder radar;

c)  funzione centrale per la gestione dei flussi di traffico aereo;

d)  creazione di un portale di informazione aeronautica in conformità all'articolo 23;

e)  ottimizzazione della progettazione dello spazio aereo, compresi i settori e le strutture dello spazio aereo nelle aree "en-route" e terminali, in cooperazione con i fornitori di servizi di navigazione aerea e dei blocchi funzionali di spazio aereo, di cui all'articolo 16; [Em. 131]

f)  funzione centrale per il coordinamento delle crisi nel settore dell'aviazione.

I servizi e le funzioni di cui al presente paragrafo non implicano l'adozione di misure vincolanti di portata generale o l'esercizio di un potere discrezionale. Esse tengono conto delle proposte formulate a livello nazionale e a livello dei blocchi funzionali di spazio aereo. Esse sono eseguite in coordinamento con le autorità militari secondo procedure concordate in materia di uso flessibile dello spazio aereo. [Em. 132]

La Commissione ha la facoltà, conformemente alle norme di attuazione di cui al paragrafo 4, di designare Eurocontrol, o un altro organo imparziale e competente, per lo svolgimento dei compiti di gestore della rete. Tali compiti sono eseguiti in modo imparziale ed efficiente sotto il profilo dei costi ed effettuati per conto dell'Unione, degli Stati membri e delle parti interessate. Essi sono sottoposti ad un sistema di governo appropriato che riconosce le responsabilità separate per la prestazione di servizi e la regolamentazione, tenuto conto delle esigenze dell'intera rete ATM e con la piena partecipazione degli utenti dello spazio aereo e dei fornitori di servizi di navigazione aerea. Entro il 1° gennaio 2020 2016 la Commissione designa il gestore della rete come prestatore di servizi autonomo e, se possibile, nell'ambito di un partenariato settoriale. [Em. 133]

3.  Alla Commissione è conferito il potere di adottare atti delegati in conformità all'articolo 26 per aggiungere ulteriori servizi all'elenco di cui al paragrafo 2 al fine di adeguarlo al progresso tecnico e operativo per quanto concerne la fornitura di servizi di assistenza in modo centralizzato.

4.  La Commissione adotta modalità di attuazione relative ai seguenti aspetti:

a)  il coordinamento e l'armonizzazione dei processi e delle procedure atti a migliorare l'efficienza della gestione delle frequenze aeronautiche, compresa l'elaborazione di principi e criteri;

b)  la funzione centrale per coordinare l'individuazione tempestiva e la risoluzione dei fabbisogni di frequenza nell'ambito delle bande assegnate al traffico aereo generale europeo a sostegno della concezione e gestione della rete del trasporto aereo europeo;

c)  i servizi  di rete supplementari quali definiti nel piano generale ATM;

d)  le modalità dettagliate relative un processo decisionale improntato alla cooperazione tra gli Stati membri, i fornitori di servizi di navigazione aerea e la funzione di gestione della rete per i compiti di cui al paragrafo 2;

e)  modalità dettagliate relative alla governance del gestore della rete con la partecipazione di tutti i soggetti operativi interessati;

f)  le modalità di consultazione delle parti interessate nell'ambito del processo decisionale tanto a livello nazionale quanto a livello europeo; nonché

g)  nell'ambito dello spettro radio assegnato al traffico aereo generale dall'Unione internazionale delle telecomunicazioni, una divisione dei compiti e delle competenze tra la funzione di gestione della rete e i gestori nazionali delle frequenze, garantendo che  i servizi  di gestione delle frequenze nazionali continuino ad effettuare le assegnazioni di frequenza che non hanno un impatto sulla rete. Per quei casi che hanno un impatto sulla rete, i gestori nazionali delle frequenze collaborano con i responsabili della funzione di gestione della rete ai fini dell'ottimizzazione dell'uso delle frequenze.

Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 27, paragrafo 3.

5.  Aspetti della configurazione dello spazio aereo diversi rispetto a quelli di cui ai paragrafi 2 e 4, lettera c) sono affrontati al livello nazionale o al livello dei blocchi funzionali di spazio aereo. Questo processo di configurazione tiene conto della crescita e della complessità del traffico, dei blocchi nazionali o funzionali di spazio aereo e dei piani locali di miglioramento delle prestazioni e prevede la piena consultazione degli utenti dello spazio aereo interessati o dei gruppi interessati che rappresentano gli utenti dello spazio aereo e le autorità militari, a seconda dei casi. [Em. 134]

Articolo 18

Rapporti tra fornitori di servizi

1.  I fornitori di servizi di navigazione aerea possono avvalersi dei servizi di altri fornitori di servizi che sono stati certificati  o dichiarati   nell'Unione .

2.  I fornitori di servizi di navigazione aerea formalizzano i loro rapporti di lavoro mediante accordi scritti o intese giuridiche equivalenti che stabiliscano in dettaglio i compiti e le funzioni assunti da ciascun fornitore e che permettano lo scambio di dati operativi tra tutti i fornitori di servizi per quanto concerne il traffico aereo generale. Tali intese sono notificate all 'autorità nazionale di vigilanza interessata.

3.  Nei casi che comportano la fornitura di servizi di traffico aereo è richiesta l'approvazione degli Stati membri interessati.

Articolo 19

Relazioni con le parti interessate

I fornitori di servizi di navigazione aerea mettono a punto meccanismi per consultarsi con i pertinenti gruppi di utenti dello spazio aereo e gli operatori aeroportuali su tutti gli aspetti principali inerenti ai servizi forniti, ai piani di investimento strategico, specialmente per quanto riguarda aspetti che esigono sincronizzazione dell'impiego delle attrezzature di aria e di terra o a modifiche alle configurazioni dello spazio aereo. Gli utenti dello spazio aereo vengono inoltre coinvolti nel processo di approvazione dei piani strategici d'investimento. La Commissione adotta misure per definire le modalità della consultazione e della partecipazione degli utenti dello spazio aereo al processo di approvazione elaborazione dei piani d'investimento per assicurare coerenza con il piano generale ATM e con i progetti comuni di cui all'articolo 15. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 27, paragrafo 3. [Em. 135]

Fatto salvo il ruolo del comitato per il cielo unico, la Commissione istituisce un gruppo consultivo di esperti sul fattore umano, al quale devono partecipare le parti sociali dell'ATM europeo e altri esperti degli enti rappresentativi del personale. Il ruolo di tale gruppo deve essere quello di fornire consulenza alla Commissione sull'interazione tra le operazioni e il fattore umano nel settore ATM. [Em. 136]

Articolo 20

Rapporti con le autorità militari

Nel contesto della politica comune dei trasporti gli Stati membri prendono le iniziative necessarie per garantire che tra le competenti autorità civili e quelle militari si concludano o rinnovino accordi scritti o intese giuridiche equivalenti per quanto riguarda la gestione di specifici blocchi di spazio aereo.

Articolo 21

Trasparenza della contabilità

1.  I fornitori di servizi di navigazione aerea, qualunque sia il loro assetto proprietario o la loro forma giuridica, elaborano, sottopongono a revisione contabile e pubblicano i loro conti finanziari. Tali conti rispettano i principi contabili internazionali adottati  dall'Unione . Qualora il pieno rispetto dei principi contabili internazionali non sia possibile a motivo dello status giuridico del fornitore di servizi, questi si sforza di conseguire il massimo rispetto possibile.

Gli Stati membri adottano le misure necessarie al fine di provvedere a che i fornitori di servizi di navigazione aerea si conformino al presente articolo entro il 1° luglio 2017. [Em. 137]

2.  I fornitori di servizi di navigazione aerea pubblicano comunque una relazione annuale e si sottopongono periodicamente ad una revisione contabile indipendente.

3.  Se sono forniti gruppi di servizi, i fornitori di servizi di navigazione aerea individuano ed espongono le entrate e le spese derivanti dai servizi di navigazione aerea, ripartite in conformità del sistema di tariffazione di cui all'articolo 12 e, se del caso, tengono conti consolidati per servizi diversi dai servizi di navigazione aerea, come sarebbero tenuti a fare se i servizi in questione fossero forniti da imprese distinte.

4.  Gli Stati membri designano le autorità competenti che hanno diritto di accesso ai conti dei fornitori di servizi che forniscono servizi nello spazio aereo di loro responsabilità.

5.  Gli Stati membri possono applicare ai fornitori di servizi di navigazione aerea che rientrano nell'ambito di applicazione del regolamento (CE) n. 1606/2002 del Parlamento europeo e del Consiglio, del 19 luglio 2002, relativo all'applicazione di principi contabili internazionali(20), le disposizioni transitorie dell'articolo 9 di detto regolamento. [Em. 138]

Articolo 22

Accesso ai dati e protezione dei dati

1.  Per quanto concerne il traffico aereo generale, i pertinenti dati operativi sono scambiati in tempo reale tra tutti i fornitori di servizi di navigazione aerea, gli utenti dello spazio aereo e gli aeroporti per facilitare il soddisfacimento delle esigenze operative delle varie parti. I dati sono utilizzati soltanto per fini operativi.

2.  L'accesso ai pertinenti dati operativi è consentito alle autorità interessate, ai fornitori di servizi di navigazione aerea certificati o dichiarati, agli utenti dello spazio aereo e agli aeroporti su base non discriminatoria.

3.  I fornitori di servizi certificati o dichiarati, gli utenti dello spazio aereo e gli aeroporti stabiliscono le modalità generali di accesso ai rispettivi dati operativi pertinenti diversi da quelli di cui al paragrafo 1. Le autorità nazionali di vigilanza approvano tali modalità. La Commissione può adottare misure relative alle procedure da seguire per lo scambio di dati e alla tipologia di dati per tali condizioni di accesso e la loro approvazione. Tali atti di esecuzione sono adottati  in conformità alla procedura di esame di cui all'articolo 27 paragrafo 3.

CAPO IV

SPAZIO AEREO

Articolo 23

Informazioni aeronautiche in formato elettronico

1.  Fatta salva la pubblicazione da parte degli Stati membri di informazioni aeronautiche e coerentemente con tale pubblicazione, la Commissione, in cooperazione con  il gestore della rete , assicura la disponibilità di informazioni aeronautiche in formato elettronico di elevata qualità, presentate in modo armonizzato e rispondenti alle esigenze di tutti gli utilizzatori pertinenti in termini di qualità e tempestività.

2.  Ai fini del paragrafo 1, la Commissione garantisce l'elaborazione di un'infrastruttura di informazioni aeronautiche a livello dell'Unione, sotto forma di un portale elettronico di informazioni integrate liberamente accessibile alle parti interessate. Tale infrastruttura integra l'accesso e la fornitura di dati necessari che comprendono, tra l'altro, le informazioni aeronautiche, le informazioni dell'ufficio di pista dei servizi della circolazione aerea (ARO), le informazioni meteorologiche e le informazioni sulla gestione del flusso di traffico aereo.

3.  La Commissione adotta misure relative alla definizione e realizzazione di un portale elettronico di informazioni integrate. Tali atti di esecuzione sono adottati in conformità alla procedura di esame di cui all'articolo 27, paragrafo 3.

Articolo 24

Sviluppo tecnologico e interoperabilità della gestione del traffico aereo

1.  La Commissione adotta norme di attuazione relative alla promozione dello sviluppo tecnologico e dell'interoperabilità della gestione del traffico aereo e connesse con lo sviluppo e l'attuazione del piano generale ATM. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 27, paragrafo 3.

2.  In relazione alle norme di cui al paragrafo 1 si applica l'articolo 17, paragrafo 2, lettera b), del regolamento (CE) n. 216/2008. Se del caso la Commissione chiede all'EAA di inserire tali norme nel programma di lavoro annuale di cui all'articolo 56 del citato regolamento.

CAPO V

Disposizioni finali

Articolo 25

Adeguamento degli allegati

Alla Commissione è conferito il potere di adottare atti delegati in conformità all'articolo 26 al fine di integrare o modificare i requisiti relativi alle organizzazioni riconosciute di cui all'allegato I e le condizioni relative ai certificati da rilasciare ai fornitori di servizi di navigazione aerea di cui all'allegato II, allo scopo di tenere conto dell'esperienza acquisita dalle autorità nazionali di vigilanza nell'applicazione di tali requisiti e condizioni o dell'evoluzione dei sistemi di gestione del traffico aereo in termini di interoperabilità e fornitura integrata di servizi di navigazione aerea.

Articolo 26

Esercizio della delega

1.  Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

2.  La delega di poteri di cui all'articolo 11, paragrafo 7, all'articolo 17, paragrafo 3, e all'articolo 25 è conferita alla Commissione per un periodo di tempo indeterminato di sette anni.

La Commissione elabora una relazione sulla delega di potere al più tardi nove mesi prima della scadenza del periodo di sette anni. La delega di potere è tacitamente prorogata per periodi di identica durata, a meno che il Parlamento europeo o il Consiglio non si oppongano a tale proroga al più tardi tre mesi prima della scadenza di ciascun periodo. [Em. 139]

3.  La delega di poteri di cui all'articolo 11, paragrafo 7, all'articolo 17, paragrafo 3, e all'articolo 25 può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. Una decisione di revoca pone fine alla delega di poteri specificata nella decisione. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

4.  Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

5.  L'atto delegato adottato ai sensi degli articoli 11, paragrafo 7, 17, paragrafo 3 e 25 entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.

Articolo 27

Procedura di Comitato

1.  La Commissione è assistita dal comitato per il cielo unico, in seguito denominato "comitato”.  Il comitato è un comitato ai sensi del regolamento (UE) n. 182/2011.

2.  Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo  4  del regolamento (UE) n. 182/2011.

3.  Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5  del regolamento (UE) n. 182/2011.

Articolo 28

Consultazione delle parti interessate da parte della Commissione

1.  La Commissione istituisce un meccanismo di consultazione a livello dell'Unione per effettuare, se del caso, consultazioni relative all'attuazione del presente regolamento. A tali consultazioni partecipa anche il comitato specifico del dialogo settoriale istituito con decisione 98/500/CE della Commissione.

2.  Le parti interessate possono comprendere:

–  fornitori di servizi di navigazione aerea,

–  operatori aeroportuali,

–  utenti dello spazio aereo pertinenti o gruppi pertinenti rappresentanti tali utenti,

–  autorità militari,

–  industria manifatturiera, e

–  organismi rappresentativi del personale.

Articolo 29

Organo consultivo di settore

Fatto salvo il ruolo del comitato e di Eurocontrol, la Commissione istituisce un "organo consultivo di settore", cui partecipano i fornitori di servizi di navigazione aerea, le associazioni di utenti dello spazio aereo, gli aeroporti, gli operatori aeroportuali, l'industria manifatturiera e gli enti rappresentativi del personale. Il ruolo di detto organo è unicamente quello di fornire consulenza alla Commissione sulla realizzazione del cielo unico europeo.

Articolo 30

Relazioni con i paesi terzi

L'Unione e i suoi Stati membri si prefiggono e sostengono l'obiettivo di estendere il cielo unico europeo ai paesi che non sono membri dell'Unione europea. A tal fine, nel quadro degli accordi conclusi con i paesi terzi vicini, o nell'ambito di designazioni congiunte di blocchi funzionali di spazio aereo o accordi sulle funzioni di rete essi operano al fine di  estendere gli obiettivi del presente regolamento ai suddetti paesi.

Articolo 31

Sostegno da parte di organismi esterni

La Commissione può chiedere il sostegno di un organismo esterno per l'adempimento degli obblighi che le incombono in virtù del presente regolamento.

Articolo 32

Riservatezza

1.  Le autorità aeronautiche nazionali di vigilanza, in conformità delle rispettive legislazioni nazionali, nonché la Commissione, si astengono dal divulgare informazioni aventi carattere riservato e, in particolare, informazioni sui fornitori di servizi di navigazione aerea, sulle loro relazioni d'affari o sulle loro componenti di costo. [Em. 140]

2.  Il paragrafo 1 lascia impregiudicata la facoltà di divulgazione delle informazioni da parte delle autorità aeronautiche nazionali di vigilanza o della Commissione ove ciò sia indispensabile per l'espletamento dei loro compiti; in tal caso la divulgazione è proporzionata e tiene conto del legittimo interesse dei fornitori di servizi di navigazione aerea, degli utenti dello spazio aereo, degli aeroporti o degli altri soggetti interessati alla tutela dei loro segreti commerciali. [Em. 141]

3.  Le informazioni e i dati forniti in conformità del sistema di tariffazione di cui all'articolo 12 sono resi pubblici.

Articolo 33

Sanzioni

Gli Stati Membri istituiscono norme in materia di sanzioni e meccanismi di compensazione applicabili in caso di violazioni del presente regolamento, in particolare da parte degli utenti dello spazio aereo e dei fornitori di servizi e adottano tutte le misure necessarie ad assicurarne l'applicazione. Tali sanzioni sono efficaci, proporzionate e dissuasive. [Em. 142]

Articolo 34

Riesame e metodi di valutazione degli impatti

1.  La Commissione riesamina periodicamente l'applicazione del presente regolamento e riferisce al Parlamento europeo ed al Consiglio alla fine di ciascun periodo di riferimento di cui all'articolo 11, paragrafo 5, lettera d). Qualora giustificato per tale scopo, la Commissione può chiedere agli Stati membri informazioni pertinenti relative all'applicazione del presente regolamento .

2.  Le relazioni contengono una valutazione dei risultati conseguiti mediante le azioni intraprese ai sensi del presente regolamento compresa un'informazione adeguata in merito agli sviluppi registrati nel settore con particolare riferimento agli aspetti economici, sociali, ambientali, occupazionali e tecnologici, nonché in merito alla qualità del servizio, tenendo conto degli obiettivi iniziali e in vista delle esigenze future.

Articolo 35

Salvaguardie

Il presente regolamento non osta a che gli Stati membri applichino misure di cui essi ravvisino la necessità per salvaguardare interessi essenziali di sicurezza e difesa. Tali misure sono in particolare quelle che si rivelano indispensabili:

a)  ai fini della sorveglianza dello spazio aereo che è di loro responsabilità, conformemente agli accordi dell'ICAO sulla navigazione aerea regionale, compresa la capacità di scoprire, identificare e valutare tutti gli aeromobili che utilizzano tale spazio aereo, al fine di cercare di salvaguardare la sicurezza dei voli e di adottare disposizioni volte a garantire il rispetto delle esigenze in materia di sicurezza e di difesa,

b)  in caso di gravi disordini interni che compromettano il mantenimento dell'ordine pubblico,

c)  in caso di conflitto armato o di gravi tensioni internazionali che costituiscono una minaccia di conflitto armato,

d)  per adempiere gli obblighi internazionali che incombono agli Stati membri in relazione al mantenimento della pace e della sicurezza internazionale,

e)  per condurre operazioni militari e di addestramento militare, comprese le possibilità necessarie per le esercitazioni.

Articolo 36

Agenzia dell'Unione europea per l'aviazione (EAA)

Nell'attuare il presente regolamento gli Stati membri e la Commissione, conformemente ai rispettivi ruoli previsti dal presente regolamento si coordinano, se del caso, con l'EAA.

Articolo 37

Abrogazione

I regolamenti (CE) n. 549/2004, n. 550/2004, n. 551/2004 e n. 552/2004 sono abrogati.

I riferimenti ai regolamenti abrogati si intendono fatti al presente regolamento e vanno letti secondo la tavola di concordanza di cui all'allegato III.

Articolo 38

Entrata in vigore

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a …,

Per il Parlamento europeo Per il Consiglio

Il presidente Il presidente

ALLEGATO I

1 REQUISITI DELLE ORGANIZZAZIONI RICONOSCIUTE

1.  Le organizzazioni riconosciute devono:

–  poter documentare un'ampia esperienza nella valutazione di entità pubbliche e private nei settori del trasporto aereo, in particolare fornitori di servizi di navigazione aerea, e in altri settori simili, in uno o più campi coperti dal presente regolamento;

–  avere regole e regolamenti approfonditi per l'esame periodico delle entità sopra menzionate, pubblicati e continuamente aggiornati e migliorati attraverso programmi di ricerca e sviluppo;

–  non essere controllata da fornitori di servizi di navigazione aerea, da enti di gestione aeroportuali o da altri soggetti attivi commercialmente nella fornitura di servizi di navigazione aerea o di servizi di trasporto aereo;

–  disporre ampiamente di personale tecnico, dirigente, di supporto e di ricerca proporzionato ai compiti da svolgere.

–  avere un'assicurazione di responsabilità civile, tranne se la responsabilità è assunta dallo Stato membro conformemente al diritto nazionale, o lo Stato membro stesso è direttamente responsabile delle ispezioni.

L'organizzazione riconosciuta, il suo direttore e il personale preposto ai controlli non possono partecipare, direttamente o in veste di rappresentanti autorizzati, alla progettazione, costruzione, commercializzazione o manutenzione di componenti o sottosistemi o al loro uso. Ciò non esclude la possibilità di uno scambio di informazioni tecniche tra il fabbricante o il costruttore.

L'organizzazione riconosciuta deve svolgere i controlli con la massima integrità professionale e la massima competenza tecnica possibili e deve essere esente da qualsiasi pressione e incentivo, in particolare di tipo finanziario, che possa influenzare il suo giudizio o i risultati della sua ispezione, in particolare da parte di persone o gruppi di persone interessate ai risultati dei controlli.

2.  Il personale dell'organizzazione riconosciuta deve avere:

–  una solida formazione tecnica e professionale,

–  soddisfacenti conoscenze dei requisiti delle ispezioni che esegue e un'adeguata esperienza delle relative operazioni,

–  la capacità di redigere le dichiarazioni, le registrazioni e le relazioni per dimostrare che le ispezioni sono state effettuate.

–  la garanzia di imparzialità. La retribuzione del suo personale non deve dipendere dal numero di ispezioni effettuate né dai risultati delle stesse.

ALLEGATO II

CONDIZIONI DA COLLEGARE AI CERTIFICATI

1.  I certificati specificano:

a)  l'autorità aeronautica nazionale di vigilanza che rilascia il certificato; [Em. 143]

b)  il richiedente (nome e indirizzo);

c)  i servizi certificati;

d)  una dichiarazione di conformità del richiedente ai requisiti comuni di cui all'articolo 8 ter del regolamento (CE) n. 216/2008 ;

e)  la data di rilascio e il periodo di validità del certificato.

2.  Le condizioni supplementari collegate ai certificati possono eventualmente riguardare:

a)  l'accesso non discriminatorio ai servizi per gli utenti dello spazio aereo e il livello richiesto di efficienza di tali servizi, compresi i livelli di sicurezza e interoperabilità;

b)  le specifiche operative per il particolare servizio;

c)  i termini temporali entro cui i servizi dovrebbero essere forniti;

d)  i vari apparati operativi da usare per ogni particolare servizio;

e)  vincoli o restrizioni di prestazioni di servizio/i diverse da quelle concernenti la fornitura di servizi di navigazione aerea;

f)  i contratti, accordi o altre intese tra il fornitore dei servizi e un terzo, che riguardano i servizi;

g)  la comunicazione di informazioni ragionevolmente necessarie per verificare l'ottemperanza dei servizi ai requisiti comuni, inclusi piani, dati finanziari e operativi, nonché modifiche di rilievo del tipo e/o della portata dei servizi di navigazione aerea forniti;

h)  ogni altra condizione legale non specifica dei servizi di navigazione aerea, come le condizioni relative alla sospensione o alla revoca del certificato.

ALLEGATO III

TAVOLA DI CONCORDANZA

Regolamento (CE) n. 549/2004

Regolamento (CE) n. 550/2004

Regolamento (CE) n. 551/2004

Regolamento (CE) n. 552/2004

Presente regolamento

Articolo 1, paragrafi da 1 a 3

 

 

 

Articolo 1, paragrafi da 1 a 3

 

 

Articolo 1, paragrafo 3

 

Articolo 1, paragrafo 4

Articolo 1, paragrafo 4

 

 

 

Articolo 1, paragrafo 5

 

Articolo 1

 

 

--------------

 

 

Articolo 1, paragrafi 1, 2 e 4

 

--------------

 

 

 

Articolo 1

--------------

Articolo 2 nn. da (1) a (35)

 

 

 

Articolo 2 nn. da (1) a (35)

 

 

 

 

Articolo 2 nn. da (36) a (38)

Articolo 2 nn. 17, 18, 23, 24, 32, 35, 36

 

 

 

---------------

Articolo 3

 

 

 

---------------

Articolo 4, paragrafi 1 e 2

 

 

 

Articolo 3, paragrafi 1 e 2

 

 

 

 

Articolo 3, paragrafi 3 e 4

Articolo 4, paragrafo 3

 

 

 

Articolo 3, paragrafo 5

 

 

 

 

Articolo 3(6)

Articolo 3, paragrafi 4 e 5

 

 

 

Articolo 3, paragrafi 7 e 8

 

 

 

 

Articolo 3(9)

 

Articolo 2, paragrafo 1

 

 

Articolo 4, paragrafo 1, lettera a)

 

 

 

 

Articolo 4, paragrafo 1, lettere da b) a g)

 

Articolo 2, paragrafo 2

 

 

Articolo 4, paragrafo 2

 

 

 

 

Articolo 5, paragrafi 1 e 2

 

Articolo 2, paragrafi da 3 a 6

 

 

Articolo 5, paragrafi da 3a 6

 

Articolo 3, paragrafi 1 e 2

 

 

Articolo 6, paragrafi 1 e 2

 

 

 

Articolo 8, paragrafi da 1 a 3

Articolo 6, paragrafi 3 e 4

 

 

 

 

Articolo 6, paragrafo 5

 

 

 

Articolo 8, paragrafi 2 e 4

-------------

 

Articolo 6

 

 

----------- -

Articolo 10, paragrafo 1

 

 

 

Articolo 7, paragrafo 1

 

 

 

 

Articolo 7, paragrafo 2

 

Articolo 7, paragrafo 1

 

 

Articolo 8, paragrafo 1

 

 

 

 

Articolo 8, paragrafo 2

 

Articolo 7, paragrafi 4 e 6

 

 

Articolo 8, paragrafi 3 e 4

 

Articolo 7, paragrafi 2, 3, 5 e da 7 a 9

 

 

-------------

 

Articolo 8

 

 

Articolo 9

 

 

 

 

Articolo 10

 

Articolo 9

 

 

-------------

Articolo 11

 

 

 

Articolo 11

 

Articolo 14

 

 

Articolo 12

 

Articolo 15

 

 

Articolo 13

 

Articolo 16

 

 

Articolo 14

 

Articolo 15 bis

 

 

Articolo 15

 

Articolo 9 bis, paragrafo 1

 

 

Articolo 16, paragrafi 1 e 3

 

 

 

 

Articolo 16, paragrafo 2

 

Articolo 9 bis, paragrafo 2, lettera i)

 

 

------------

 

Articolo 9 bis, paragrafo 2,

 

 

Articolo 16, paragrafo 4

 

 

 

 

Articolo 16, paragrafo 5

 

Articolo 9 bis, paragrafi da 3 a 9

 

 

Articolo 16, paragrafi da 6 a 12

 

Articolo 9 ter

 

 

--------------

 

 

Articolo 6, paragrafi 1 e 2, lettera b)

 

Articolo 17, paragrafi 1e 2, lettera b)

 

 

 

 

Articolo 17, paragrafo 2, lettere da c) a e)

 

 

Articolo 6, paragrafi 3 e 4, lettera d)

 

Articolo 17, paragrafi 3 e 4, lettera d)

 

 

 

 

Articolo 17, paragrafo 4, lettera e)

 

 

Articolo 6, paragrafo 4, lettere e) e f)

 

Articolo 17, paragrafo 4, lettere f) e g)

 

 

Articolo 6, paragrafi 5 e 7

 

Articolo 17, paragrafi 5 e 6

 

 

Articolo 6, paragrafi 8 e 9

 

-------------

 

Articolo 10

 

 

Articolo 18

 

 

 

 

Articolo 19

 

Articolo 11

 

 

Articolo 20

 

Articolo 12

 

 

Articolo 21

 

Articolo 13

 

 

Articolo 22

 

 

Articolo 3

 

---------------

 

 

Articolo 3 bis

 

Articolo 23

 

 

Articolo 4

 

---------- ----

 

 

Articolo 7

 

---------- ----

 

 

Articolo 8

 

---------- ----

 

 

 

 

Articolo 24, paragrafi 1 e 2

 

 

 

Articolo 3, paragrafo 3

---------- ----

 

 

 

Articoli 2 e 3, paragrafo 2

-------------

 

 

 

Articoli da 3, paragrafo 4, a 7

-------------

 

Articolo 17, paragrafo 1

 

 

Articolo 25

 

 

 

 

Articolo 26

Articolo 5, paragrafi da 1 a 3

 

 

 

Articolo 27, paragrafi da 1 a 3

Articolo 5, paragrafi 4 e 5

 

 

 

-------------

Articolo 10, paragrafi 2 e 3

 

 

 

Articolo 28, paragrafi 1 e 2

Articolo 6

 

 

 

Articolo 29

Articolo 7

 

 

 

Articolo 30

Articolo 8

 

 

 

Articolo 31

 

Articolo 4

 

 

-------------

 

 

 

Articolo 9

-------------

 

Articolo 18

 

 

Articolo 32

Articolo 9

 

 

 

Articolo 33

Articolo 12, paragrafi da 2 a 4

 

 

 

Articolo 34, paragrafi da 1 a 3

Articolo 12, paragrafo 1

 

 

 

-------------

 

Articolo 18 bis

 

 

---- --------

 

 

Articolo 10

 

----- -------

Articolo 13

 

 

 

Articolo 35

Articolo 13 bis

 

 

 

Articolo 36

 

 

 

Articolo 10

-------------

 

 

 

Articolo 11

Articolo 37

 

Articolo 19, paragrafo 1

 

 

Articolo 38

 

Articolo 19, paragrafo 2

 

 

-------------

 

Allegato I

 

Allegato V

Allegato I

 

 

 

Allegato I

-----------

 

Allegato II

 

 

Allegato II

 

 

 

Allegato II

----------

 

 

 

 

Allegato III

 

 

 

Allegato III

----------

 

 

 

Allegato IV

-----------

(1) Non ancora pubblicato nella Gazzetta ufficiale.
(2) GU C 77 del 28.3.2002, pag. 1.
(3)Non ancora pubblicato nella Gazzetta ufficiale.