Indice 
 Precedente 
 Seguente 
 Testo integrale 
Procedura : 2012/0010(COD)
Ciclo di vita in Aula
Ciclo del documento : A7-0403/2013

Testi presentati :

A7-0403/2013

Discussioni :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13

Votazioni :

PV 12/03/2014 - 8.12

Testi approvati :

P7_TA(2014)0219

Testi approvati
PDF 721kWORD 327k
Mercoledì 12 marzo 2014 - Strasburgo Edizione definitiva
Trattamento dei dati personali ai fini di prevenzione di reati ***I
P7_TA(2014)0219A7-0403/2013
Risoluzione
 Testo consolidato

Risoluzione legislativa del Parlamento europeo del 12 marzo 2014 sulla proposta di direttiva del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD)) (Procedura legislativa ordinaria: prima lettura)

Il Parlamento europeo,

–  vista la proposta della Commissione al Parlamento europeo e al Consiglio (COM(2012)0010),

–  visti l'articolo 294, paragrafo 2, e l'articolo 16 del trattato sul funzionamento dell'Unione europea, a norma dei quali la proposta gli è stata presentata dalla Commissione (C7‑0024/2012),

–  visto l'articolo 294, paragrafo 3, del trattato sul funzionamento dell'Unione europea,

–  visti i pareri motivati inviati dal Bundesrat tedesco e dal Parlamento svedese, nel quadro del protocollo n. 2 sull'applicazione dei principi di sussidiarietà e di proporzionalità, in cui si dichiara la mancata conformità del progetto di atto legislativo al principio di sussidiarietà,

–  visto il parere del Garante europeo della protezione dei dati del 7 marzo 2012(1) ,

–  visto il parere dell'Agenzia dell'Unione europea per i diritti fondamentali del 1° ottobre 2012,

–  visto l'articolo 55 del suo regolamento,

–  visti la relazione della commissione per le libertà civili, la giustizia e gli affari interni e il parere della commissione giuridica (A7-0403/2013),

1.  adotta la posizione in prima lettura figurante in appresso;

2.  chiede alla Commissione di presentargli nuovamente la proposta qualora intenda modificarla sostanzialmente o sostituirla con un nuovo testo;

3.  incarica il suo Presidente di trasmettere la posizione del Parlamento al Consiglio e alla Commissione nonché ai parlamenti nazionali.

(1)GU C 192 del 30.6.2012, pag. 7.


Posizione del Parlamento europeo definita in prima lettura il 12 marzo 2014 in vista dell'adozione della direttiva 2014/.../UE del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati
P7_TC1-COD(2012)0010

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16, paragrafo 2,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Garante europeo della protezione dei dati(1)

deliberando secondo la procedura legislativa ordinaria(2) ,

considerando quanto segue:

(1)  La tutela delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea ("Carta") e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. L'articolo 8, paragrafo 2, della Carta sancisce che tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e previo consenso della persona interessata o in base ad altro legittimo fondamento previsto dalla legge. [Em. 1]

(2)  Il trattamento dei dati personali è al servizio dell'uomo; i principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali devono rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali, a prescindere dalla nazionalità o dalla residenza dell'interessato. Il trattamento dei dati personali dovrebbe contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia.

(3)  La rapidità dell'evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati è aumentata in modo vertiginoso e la tecnologia attuale consente alle competenti autorità di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività.

(4)  Tale evoluzione impone, se necessario e conforme al principio di proporzionalità, di agevolare la libera circolazione dei dati tra le autorità competenti all'interno dell'Unione e il trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali. Ciò richiede un quadro giuridico più solido e coerente in materia di protezione dei dati nell'Unione, affiancato da efficaci misure di attuazione. [Em. 2]

(5)  La direttiva 95/46/CE del Parlamento europeo e del Consiglio(3) , si applica a tutte le attività di trattamento di dati personali negli Stati membri nel settore pubblico e in quello privato. Non si applica invece ai trattamenti di dati personali effettuati per l'esercizio di attività che non rientrano nell'ambito di applicazione del diritto comunitario quali le attività nei settori della cooperazione di polizia e la cooperazione giudiziaria in materia penale.

(6)  La decisione quadro 2008/977/GAI del Consiglio(4) si applica ai settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia. Il campo di applicazione della decisione quadro si limita al trattamento dei dati personali trasmessi o resi disponibili tra Stati membri.

(7)  Assicurare un livello uniforme ed elevato di protezione dei dati personali delle persone fisiche e facilitare lo scambio di dati personali tra le autorità competenti degli Stati membri è essenziale al fine di garantire un'efficace cooperazione di polizia e giudiziaria in materia penale. Per questo occorre un livello di tutela equivalente in tutti gli Stati membri dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione delle sanzioni penali. Occorre pertanto garantire un'applicazione coerente e omogenea delle norme a tutela delle libertà e dei diritti fondamentali delle persone fisiche con riguardo al trattamento dei dati personali su tutto il territorio dell'Unione. Un'efficace protezione dei dati personali in tutta l'Unione presuppone il rafforzamento dei diritti delle persone cui si riferiscono i dati e degli obblighi di coloro che trattano dati personali, ma anche poteri equivalenti per controllare e garantire il rispetto delle norme di protezione dei dati personali negli Stati membri. [Em. 3]

(8)  L'articolo 16, paragrafo 2, del trattato sul funzionamento dell'Unione europea conferisce al Parlamento europeo e al Consiglio il mandato di stabilire le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale e le norme relative alla libera circolazione dei loro dati personali. [Em. 4]

(9)  Su tale base, il regolamento (UE) n. …/2014 del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) stabilisce norme generali per la tutela delle persone fisiche in relazione al trattamento dei dati personali e per la libera circolazione dei dati personali nell'Unione.

(10)  Nella dichiarazione n. 21, relativa alla protezione dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia, allegata all'atto finale della conferenza intergovernativa che ha adottato il trattato di Lisbona, la conferenza riconosce che potrebbero rivelarsi necessarie, in considerazione della specificità dei settori in questione, norme specifiche sulla protezione dei dati personali e sulla libera circolazione di tali dati nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, in base all'articolo 16 del trattato sul funzionamento dell'Unione europea.

(11)  Occorre pertanto che una distinta direttiva specifica , conforme alla specificità dei settori in questione, stabilisca le norme relative alla tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. [Em. 5]

(12)  Per garantire un medesimo livello di protezione alle persone fisiche attraverso diritti azionabili in tutta l'Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati tra le autorità competenti, è necessario che la presente direttiva stabilisca norme armonizzate per la protezione e la libera circolazione dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia.

(13)  La presente direttiva ammette, nell'applicazione delle sue disposizioni, che si tenga conto del principio del pubblico accesso ai documenti ufficiali.

(14)  È necessario che la protezione prevista dalla presente direttiva si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei dati personali.

(15)  La protezione delle persone fisiche deve essere neutrale sotto il profilo tecnologico e non dipendere dalle tecniche impiegate; in caso contrario, si correrebbero gravi rischi di elusione. La protezione delle persone fisiche deve applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati sono contenuti o destinati a essere contenuti in un archivio. Non dovrebbero rientrare nell'ambito di applicazione della presente direttiva i fascicoli o le serie di fascicoli, e le rispettive copertine, non strutturati secondo criteri specifici. La presente direttiva non dovrebbe applicarsi al trattamento di dati personali effettuato nell' ambito di un' attività che non rientra nell'ambito di applicazione del diritto dell' Unione, in particolare la sicurezza nazionale, né ai dati trattati da istituzioni, organi, uffici e agenzie dell'Unione, quali Europol o Eurojust . Il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (5) e gli strumenti giuridici specifici per le agenzie , gli organi e gli uffici dell'Unione devono essere allineati e applicati in modo conforme alla presente direttiva. [Em. 6]

(16)  È necessario applicare i principi di protezione a tutte le informazioni relative a una persona fisica identificata o identificabile. Per stabilire l' identificabilità di una persona fisica, è opportuno considerare tutti i mezzi di cui il responsabile del trattamento o un terzo può ragionevolmente avvalersi per identificare o individuare detta persona. Non è necessario applicare i principi di protezione ai dati resi sufficientemente anonimi da impedire l'identificazione dell'interessato. La presente direttiva non dovrebbe applicarsi ai dati anonimi, ossia ai dati che non possono essere riferiti, direttamente o indirettamente, da soli o in combinazione con dati associati, a una persona fisica. Considerata l'importanza degli sviluppi tecnologici in atto nell'ambito della società dell'informazione, delle tecniche impiegate per acquisire, trasmettere, manipolare, registrare, archiviare o comunicare dati relativi all'ubicazione di persone fisiche che possono essere utilizzati per finalità diverse tra cui la sorveglianza o la creazione di profili, la presente direttiva dovrebbe essere applicabile al trattamento di tali dati personali. [Em. 7]

(16 bis)  Qualsiasi trattamento di dati personali deve essere lecito, equo e trasparente nei confronti dell'interessato. In particolare, le finalità specifiche del trattamento dei dati dovrebbero essere esplicite e legittime e precisate al momento della raccolta dei dati. I dati personali dovrebbero essere adeguati, pertinenti e limitati al minimo necessario per le finalità del trattamento, donde l'obbligo, soprattutto, di limitare la raccolta e il periodo di conservazione dei dati al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è conseguibile con altri mezzi. Occorre adottare ogni ragionevole misura per garantire che i dati personali inesatti siano rettificati o cancellati. Onde garantire che i dati non siano conservati più a lungo del necessario, il responsabile del trattamento dovrebbe fissare un termine per la cancellazione o per la verifica periodica. [Em. 8]

(17)  Nei dati personali relativi alla salute dovrebbero rientrare, in particolare, tutti i dati riguardanti lo stato di salute di un interessato, le informazioni sulle richieste di prestazione di servizi sanitari; le informazioni sui pagamenti o l'ammissibilità all'assistenza sanitaria; un numero, simbolo o elemento specifico attribuito per identificare l'interessato in modo univoco a fini sanitari; qualsiasi informazione raccolta nel corso della prestazione di servizi sanitari a detta persona; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i campioni biologici; l'identificazione di una persona come prestatore di assistenza sanitaria all'interessato; qualsiasi informazione riguardante, ad esempio, una malattia, l'invalidità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o l'effettivo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, ad esempio un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.

(18)  Qualsiasi trattamento di dati personali deve essere lecito ed equo nei confronti dell'interessato. In particolare, dovrebbero essere esplicitati gli scopi specifici per cui i dati sono trattati. [Em. 9]

(19)  Nell'interesse della prevenzione, dell'indagine e del perseguimento di reati, è necessario che le autorità competenti conservino e trattino i dati personali raccolti a fini di prevenzione, indagine, accertamento o perseguimento di specifici reati al di là di tale contesto, per sviluppare conoscenze dei fenomeni e delle tendenze criminali, raccogliere intelligence sulle reti del crimine organizzato e mettere in collegamento diversi reati. [Em. 10]

(20)  I dati personali non devono essere trattati per finalità incompatibili con la finalità per la quale sono stati raccolti. I dati personali devono essere adeguati, pertinenti e non eccedere le finalità per le quali sono elaborati. Occorre adottate tutte le misure ragionevoli per garantire che i dati personali inesatti siano rettificati o cancellati. [Em. 11]

(20 bis)  Il semplice fatto che due finalità riguardino entrambe la prevenzione, l'indagine, l'accertamento e il perseguimento di reati o l'esecuzione di sanzioni penali non significa necessariamente che siano compatibili. Tuttavia, in taluni casi dovrebbe essere possibile consentire un ulteriore trattamento per finalità incompatibili, qualora risulti necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, per proteggere gli interessi vitali dell'interessato o di un terzo o per prevenire un'immediata e grave minaccia alla sicurezza pubblica. È necessario quindi che gli Stati membri adottino leggi nazionali che prevedono tali deroghe nella misura strettamente necessaria. Tali leggi nazionali dovrebbero prevedere garanzie adeguate. [Em. 12]

(21)  Il principio dell'esattezza dei dati deve essere applicato tenendo conto della natura e della finalità del trattamento in questione. In particolare nei procedimenti giudiziari, le dichiarazioni contenenti dati personali sono basate sulla percezione soggettiva delle persone e non sempre sono verificabili. Il requisito dell'esattezza non deve pertanto riferirsi all'esattezza di una dichiarazione ma al semplice fatto che è stata rilasciata.

(22)  Nell'interpretare e applicare i principi generali di trattamento dei dati personali a cura delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, occorre tener conto delle specificità del settore, compresi gli obiettivi specifici perseguiti. [Em. 13]

(23)  È inerente al trattamento dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia, che siano elaborati dati personali relativi a diverse categorie di interessati. Pertanto deve essere operata, per quanto possibile, una chiara distinzione tra i dati personali relativi a diverse categorie di interessati: indiziati, condannati, vittime di reato e terzi (testimoni, persone informate, persone in contatto o collegate a indiziati o condannati). È necessario che gli Stati membri prevedano norme specifiche sulle conseguenze di tale distinzione in categorie, prendendo in considerazione le diverse finalità per le quali i dati sono raccolti e fornendo garanzie specifiche per le persone non sospettate di aver commesso o non condannate per reati penali. [Em. 14]

(24)  Per quanto possibile i dati di carattere personale vanno distinti in base al loro livello di accuratezza e affidabilità. Occorre che i fatti rimangano distinti dalle valutazioni personali, al fine di garantire la protezione delle persone così come la qualità e l'affidabilità delle informazioni trattate dalle autorità competenti.

(25)  Per essere lecito, il trattamento dei dati dovrebbe essere consentito soltanto quando è necessario per l' esecuzione di un compito di un' autorità competente in base al diritto nazionale dell'Unione o degli Stati membri e , per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, per proteggere gli interessi vitali dell'interessato o di un terzo o per prevenire un'immediata e grave minaccia alla sicurezza pubblica . Le disposizioni unionali o nazionali dovrebbero essere esplicite e dettagliate quanto meno riguardo alle finalità, ai dati personali e agli obiettivi e mezzi specifici; dovrebbero designare o consentire di designare il responsabile del trattamento ed indicare le procedure da seguire, l'uso e le limitazioni dell'ambito di discrezionalità eventualmente concesso alle autorità competenti in relazione alle operazioni di trattamento . [Em. 15]

(25 bis)  I dati personali non dovrebbero essere trattati per finalità incompatibili con quelle per cui sono stati raccolti. L'ulteriore trattamento da parte delle autorità competenti per una finalità rientrante nell'ambito di applicazione della presente direttiva ed incompatibile con la finalità iniziale dovrebbe essere autorizzato solo in casi specifici per adempiere un obbligo legale al quale il responsabile del trattamento è soggetto in base al diritto di uno Stato membro o dell'Unione, per proteggere gli interessi vitali dell'interessato o di un terzo o per prevenire un'immediata e grave minaccia alla sicurezza pubblica. Il fatto che i dati siano trattati per applicare la legge non significa necessariamente che tale scopo sia compatibile con la finalità iniziale. Il concetto di uso compatibile dovrebbe essere interpretato in modo restrittivo. [Em. 16]

(25 ter)  I dati personali trattati in violazione delle disposizioni nazionali adottate ai sensi della presente direttiva non dovrebbero più essere trattati. [Em. 17]

(26)  Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili e vulnerabili sotto il profilo dei diritti fondamentali o della vita privata, compresi i dati genetici . Tali dati non devono essere oggetto di trattamento, salvo che tale operazione sia espressamente autorizzata per legge, che preveda esplicitamente necessaria per l'adempimento di un compito eseguito nel pubblico interesse , sulla base di disposizioni del diritto unionale o di uno Stato membro che prevedano adeguate garanzie a tutela dei diritti fondamentali e degli interessi legittimi dell' interessato, oppure quando il trattamento è necessario per salvaguardare un interesse vitale dell'interessato o di un terzo, o riguardi dati resi manifestamente pubblici dall'interessato. I dati personali sensibili dovrebbero essere trattati solo se integrano altri dati personali già oggetto di trattamento per finalità inerenti all'applicazione di disposizioni legislative. Le deroghe al divieto di trattamento di dati sensibili dovrebbero essere interpretate in modo restrittivo, senza determinare trasferimenti frequenti, ingenti o strutturali di dati personali sensibili. [Em. 18]

(26 bis)  Il trattamento dei dati genetici dovrebbe essere consentito unicamente in presenza di un collegamento genetico che emerga durante un'indagine penale o un procedimento giudiziario. I dati genetici dovrebbero essere archiviati soltanto per il tempo strettamente necessario ai fini dell'indagine e dei procedimenti, mentre gli Stati membri possono prevedere un'archiviazione più lunga alle condizioni precisate nella presente direttiva. [Em. 19]

(27)  Ogni persona ha dovrebbe avere il diritto di non essere oggetto di una misura basata unicamente su un , in tutto o in parte, sulla profilazione mediante trattamento automatizzato se ciò . Tale trattamento, che produce conseguenze giuridiche pregiudizievoli nei suoi confronti nei confronti della persona interessata o la danneggia significativamente , dovrebbe essere vietato, salvo quando autorizzato da una legge che precisi le misure atte a salvaguardare i diritti fondamentali e gli interessi legittimi dell' interessato, compreso il diritto a ricevere informazioni significative sulla ratio sottesa alla profilazione . Il trattamento non dovrebbe in nessun caso contenere, generare o discriminare in base a particolari categorie di dati. [Em. 20]

(28)  Affinché l'interessato possa esercitare i propri diritti, qualsiasi informazione a questi destinata deve essere di facile accesso e comprensione, il che presuppone l'utilizzo di un linguaggio semplice e chiaro. Le informazioni dovrebbero essere adattate alle esigenze dell'interessato, in particolare quando sono destinate specificamente a un minore. [Em. 21]

(29)  Occorre predisporre modalità volte ad agevolare l'esercizio dei diritti di cui alla presente direttiva, compresi i meccanismi per la richiesta, gratuita, di accedere ai dati, rettificarli e cancellarli. Il responsabile del trattamento dovrebbe essere tenuto a rispondere alle richieste dell'interessato senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta . Qualora i dati personali siano trattati con modalità automatizzate, il responsabile del trattamento dovrebbe altresì predisporre i mezzi per inoltrare le richieste per via elettronica . [Em. 22]

(30)  Il principio di trattamento equo e trasparente implica che l' interessato sia informato in particolare dell' esistenza del trattamento e delle sue finalità, della sua base giuridica, del periodo di conservazione dei dati, del diritto di accesso, rettifica o cancellazione e del diritto di proporre un reclamo. L'interessato dovrebbe anche sapere se viene effettuata una profilazione e con quali risultati previsti. In caso di dati raccolti direttamente presso l'interessato, questi deve inoltre essere informato dell'eventuale obbligo di fornire i propri dati e delle conseguenze a cui va incontro se si rifiuta di fornirli. [Em. 23]

(31)  L'interessato dovrebbe ricevere le informazioni relative al trattamento di dati personali al momento della raccolta o, se i dati non sono raccolti direttamente presso l'interessato, all'atto della registrazione o entro un termine ragionevole, in funzione delle circostanze del caso.

(32)  Ogni persona dovrebbe avere il diritto di accedere ai dati raccolti che la riguardano e di esercitare tale diritto facilmente, per essere consapevole del trattamento e verificarne la liceità. Occorre pertanto che ogni interessato abbia il diritto di conoscere e ottenere comunicazioni specie in relazione alla finalità del trattamento, alla base giuridica, al periodo di conservazione e ai destinatari, anche nei paesi terzi. Dovrebbe avere anche informazioni chiare sulla ratio sottesa a ogni trattamento automatizzato e sulla rilevanza dei risultati per esso previsti nonché il diritto di proporre reclamo all'autorità di controllo e di avere i dati per contattarla . L'interessato deve poter ricevere copia dei dati personali oggetto del trattamento. [Em. 24]

(33)  Gli Stati membri devono poter adottare misure legislative intese a ritardare, o limitare o escludere la comunicazione di informazioni all'interessato o l'accesso di questi ai suoi dati personali nella misura e per la durata in cui tale limitazione totale o parziale costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi dell'interessato, per non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari, per non compromettere la prevenzione, l'indagine, l'accertamento o il perseguimento di reati o l'esecuzione di sanzioni penali, per proteggere la sicurezza pubblica o la sicurezza dello Stato, o per proteggere l'interessato o i diritti e le libertà altrui. È opportuno che il responsabile del trattamento valuti, mediante un esame concreto di ogni singolo caso, se si applichi una limitazione parziale o completa del diritto di accesso. [Em. 25]

(34)  Qualsiasi rifiuto o limitazione di accesso è comunicato per iscritto all'interessato indicando i motivi di fatto o di diritto sui quali si basa la decisione.

(34 bis)  Qualsiasi limitazione dei diritti dell'interessato deve avvenire conformemente alla Carta e alla Convenzione europea per la salvaguardia dei diritti dell'uomo, come chiarito dalla giurisprudenza della Corte di giustizia dell'Unione europea e della Corte europea dei diritti dell'uomo, e rispettare in particolare la sostanza dei diritti e delle libertà. [Em. 26]

(35)  Nei casi in cui gli Stati membri hanno adottato disposizioni legislative volte a limitare, in tutto o in parte, il suo diritto di accesso, l'interessato deve avere il diritto di chiedere all'autorità di controllo nazionale di verificare la liceità del trattamento. È opportuno che l'interessato sia informato di tale diritto. Quando esercita il diritto di accesso per conto dell'interessato, l'autorità di controllo deve informarlo, perlomeno, di aver eseguito tutte le verifiche necessarie e comunicargli l'esito riguardo alla liceità del trattamento in questione. È inoltre opportuno che l'autorità di controllo informi l'interessato del diritto di proporre ricorso giurisdizionale. [Em. 27]

(36)  Ogni persona dovrebbe avere il diritto di ottenere la rettifica di dati personali inesatti o trattati in modo illecito che la riguardano e il diritto alla cancellazione quando il trattamento di tali dati non è conforme ai principi fondamentali previsti alle disposizioni previste dalla presente direttiva. Rettifiche, integrazioni o cancellazioni dovrebbero essere comunicate ai destinatari cui tali dati sono stati resi noti e ai soggetti terzi da cui i dati inesatti provengono. I responsabili del trattamento dovrebbero inoltre astenersi dal diffondere ulteriormente tali dati. Se i dati personali sono trattati nel corso di un'indagine penale e di un procedimento penale, la rettifica, i diritti di informazione, accesso, cancellazione e limitazione di trattamento possono essere esercitati in conformità delle norme nazionali sui procedimenti giudiziari. [Em. 28]

(37)  Occorre stabilire una responsabilità generale del responsabile del trattamento per qualsiasi trattamento di dati personali che abbia effettuato direttamente o altri abbia effettuato per suo conto. In particolare, il responsabile del trattamento dovrebbe garantire ed essere tenuto a comprovare la conformità delle di ciascuna attività di trattamento alle disposizioni adottate in applicazione della presente direttiva. [Em. 29]

(38)  La tutela dei diritti e delle libertà dell'interessato con riguardo al trattamento dei dati personali richiede l'attuazione di adeguate misure tecniche e organizzative per garantire il rispetto delle disposizioni della presente direttiva. Al fine di garantire la conformità con le disposizioni adottate in applicazione della presente direttiva, il responsabile del trattamento dovrebbe adottare politiche e attuare misure adeguate, che soddisfino in particolare i principi della protezione fin dalla progettazione e della protezione di default.

(39)  La protezione dei diritti e delle libertà dell'interessato così come le responsabilità dei responsabili del trattamento e degli incaricati del trattamento, esigono una chiara attribuzione delle responsabilità ai sensi della presente direttiva, compresi i casi in cui un responsabile del trattamento stabilisca le condizioni, le finalità e i mezzi del trattamento congiuntamente con altri responsabili del trattamento o quando l'operazione viene eseguita per conto del responsabile del trattamento. È opportuno che l'interessato abbia il diritto di esercitare i propri diritti ai sensi della presente direttiva nei confronti di ciascun corresponsabile del trattamento. [Em. 30]

(40)  Le attività di trattamento dovrebbero essere documentate dal responsabile del trattamento o dall'incaricato del trattamento, al fine di monitorare il rispetto della presente direttiva. Bisognerebbe obbligare tutti i responsabili del trattamento e gli incaricati del trattamento a cooperare con l'autorità di controllo e a mettere, su richiesta, detta documentazione a sua disposizione affinché possa servire per monitorare i trattamenti.

(40 bis)  Ogni trattamento di dati personali dovrebbe essere registrato ai fini della verifica della liceità del trattamento, dell'autocontrollo e dell'integrità e sicurezza dei dati. Tale registrazione dovrebbe essere messa a disposizione, su richiesta, dell'autorità di controllo, per il monitoraggio del rispetto delle disposizioni della presente direttiva. [Em. 31]

(40 ter)  Nei casi in cui le operazioni di trattamento possano comportare rischi specifici per i diritti e le libertà degli interessati in considerazione della natura, della portata o delle finalità delle operazioni stesse, è opportuno che il responsabile o l'incaricato del trattamento effettui una valutazione d'impatto sulla protezione dei dati, che verta in particolare anche sulle misure, sulle garanzie e sui meccanismi previsti per assicurare la protezione dei dati personali e per comprovare il rispetto della presente direttiva. Le valutazioni d'impatto dovrebbero riguardare i sistemi e i processi delle operazioni di trattamento, non singoli casi. [Em. 32]

(41)  Al fine di garantire un'efficace protezione dei diritti e delle libertà dell'interessato a titolo preventivo, il responsabile del trattamento o l'incaricato del trattamento dovrebbe consultare l'autorità di controllo in alcuni casi prima del trattamento. Inoltre, laddove una valutazione d'impatto sulla protezione dei dati indichi che le operazioni di trattamento possono presentare elevati rischi specifici per i diritti e le libertà degli interessati, l'autorità di vigilanza dovrebbe essere in grado di impedire un trattamento rischioso non conforme alla presente direttiva prima dell'avvio delle operazioni e presentare proposte per rimediare alla situazione. Tale consultazione può aver luogo anche durante l'elaborazione di una proposta legislativa del parlamento nazionale o di una misura basata su quella proposta legislativa, che definisca la natura del trattamento e precisi le garanzie appropriate. [Em. 33]

(41 bis)  Per mantenere la sicurezza e prevenire trattamenti contrari alla presente direttiva, il responsabile del trattamento o l'incaricato del trattamento dovrebbe valutare i rischi inerenti al trattamento e provvedere a limitarli. Tali provvedimenti devono assicurare un adeguato livello di sicurezza, tenuto conto degli sviluppi tecnici e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati da proteggere. Nel definire le norme tecniche e le misure organizzative atte a garantire la sicurezza del trattamento, è opportuno favorire la neutralità tecnologica. [Em. 34]

(42)  Una violazione di dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni all' un notevole danno economico e sociale all' interessato, compreso alla sua reputazione tra cui l'usurpazione d'identità . Pertanto, non appena viene a conoscenza di un'avvenuta violazione, il responsabile del trattamento deve notificarla all'autorità nazionale competente. È opportuno che le persone i cui dati o la cui vita privata potrebbero essere compromessi da una siffatta violazione siano informate tempestivamente ricevano una comunicazione tempestiva affinché possano prendere le precauzioni del caso. Si considera che una violazione pregiudica i dati personali o la vita privata dell'interessato quando ad esempio comporta, in connessione con il trattamento dei dati, il furto o l'usurpazione d'identità, un danno fisico, un'umiliazione grave o attenta alla sua reputazione. È opportuno che la comunicazione includa informazioni sulle misure adottate dal fornitore per affrontare la violazione così come raccomandazioni per gli abbonati o le persone coinvolte. Le comunicazioni agli interessati dovrebbero essere effettuate non appena possibile e in stretta collaborazione con l'autorità di controllo, nel rispetto delle indicazioni fornite da quest'ultima. [Em. 35]

(43)  Nel definire modalità dettagliate relative al formato e alle procedure applicabili alla notificazione delle violazioni di dati personali, è opportuno tenere debitamente conto delle circostanze della violazione, in particolare stabilire se i dati personali fossero o meno protetti con opportuni dispositivi tecnici atti a limitare efficacemente il rischio di furto d'identità o altre forme di abuso. Inoltre, è opportuno che tali modalità e procedure tengano conto degli interessi legittimi delle competenti autorità, nei casi in cui una diffusione prematura rischi di ostacolare inutilmente l'indagine sulle circostanze della violazione.

(44)  Il responsabile del trattamento o l'incaricato del trattamento deve designare una persona che lo assiste assista nel controllare e comprovare il rispetto delle disposizioni adottate in applicazione della presente direttiva. Se più autorità competenti agiscono sotto il controllo di un'autorità centrale, un responsabile della protezione dei dati può dovrebbe essere designato congiuntamente per più enti dell' almeno dall' autorità competente centrale . I responsabili della protezione dei dati dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in piena indipendenza e in modo efficace, in particolare stabilendo norme per evitare conflitti di interessi con altre attività svolte dal responsabile della protezione dei dati . [Em. 36]

(45)  Gli Stati membri dovrebbero garantire che un trasferimento verso un paese terzo avvenga unicamente se tale particolare trasferimento è necessario ai fini di prevenzione, indagine, accertamento o perseguimento dei reati o di esecuzione delle sanzioni penali, e il responsabile del trattamento nel paese terzo o l' organizzazione internazionale è un' autorità pubblica competente ai sensi della presente direttiva. Il trasferimento è ammesso se la Commissione ha deciso che il paese terzo o l' organizzazione internazionale in questione garantisce un livello di protezione adeguato, o se sono state previste idonee garanzie mediante uno strumento giuridicamente vincolante . I dati trasferiti alle autorità pubbliche competenti di paesi terzi non dovrebbero essere sottoposti a ulteriori trattamenti per finalità diverse da quelle per cui sono stati trasferiti. [Em. 37]

(45 bis)  L'inoltro di dati personali effettuato da autorità competenti di paesi terzi o da organizzazioni internazionali cui i dati sono stati trasferiti dovrebbe essere consentito soltanto se l'inoltro è necessario per la stessa particolare finalità del trasferimento originario e se il successivo destinatario è anch'esso un'autorità pubblica competente. Non dovrebbero essere consentiti inoltri per finalità generali di contrasto. Per procedere all'inoltro è necessario il consenso dell'autorità competente che ha effettuato il trasferimento originario. [Em. 38]

(46)  La Commissione può decidere, con effetto nell'intera Unione europea, che taluni paesi terzi, o un territorio o settore di trattamento all'interno di un paese terzo o un'organizzazione internazionale offrono un livello adeguato di protezione dei dati, garantendo in tal modo la certezza del diritto e l'uniformità in tutta l'Unione nei confronti dei paesi terzi o delle organizzazioni internazionali che si ritiene offrano un livello di protezione adeguato. In questi casi, i trasferimenti di dati personali possono avere luogo senza ulteriori autorizzazioni.

(47)  In linea con i valori fondamentali su cui è fondata l'Unione, in particolare la tutela dei diritti dell'uomo, è opportuno che la Commissione tenga conto del modo in cui tale paese rispetta lo stato di diritto, l'accesso alla giustizia e le norme e gli standard internazionali in materia di diritti dell'uomo.

(48)  Occorre che la Commissione sia altresì in grado di riconoscere che un paese terzo o un territorio o settore di trattamento all'interno di un paese terzo o un'organizzazione internazionale non offre un adeguato livello di protezione dei dati, nel qual caso il trasferimento di dati personali verso tale paese terzo deve essere vietato, salvo se effettuato sulla base di un accordo internazionale, in presenza di adeguate garanzie o di una deroga. È opportuno prevedere procedure di consultazione tra la Commissione e detti paesi terzi o organizzazioni internazionali. Tuttavia, la decisione della Commissione non deve pregiudicare la possibilità di procedere a trasferimenti sulla base di adeguate garanzie previste mediante strumenti giuridicamente vincolanti o sulla base di una deroga prevista dalla direttiva. [Em. 39]

(49)  I trasferimenti non effettuati sulla base di una decisione di adeguatezza devono essere autorizzati unicamente qualora siano offerte adeguate garanzie in uno strumento giuridicamente vincolante, atto ad assicurare la protezione dei dati personali, o qualora il responsabile del trattamento o l'interessato del trattamento abbia valutato tutte le circostanze relative a un'operazione o a un insieme di operazioni di trasferimento dei dati e, sulla base di tale valutazione, ritenga che esistano adeguate garanzie in materia di protezione dei dati personali. Qualora non esistano motivi per autorizzare un trasferimento, devono essere ammesse deroghe se necessario per salvaguardare i legittimi interessi dell'interessato, qualora lo preveda la legislazione dello Stato membro che trasferisce i dati personali o quando sia indispensabile per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo, o in singoli casi per prevenire, indagare, accertare o perseguire reati o eseguire sanzioni penali, o in singoli casi per accertare, esercitare o difendere un diritto in sede giudiziaria . [Em. 40]

(49 bis)  Quando non esistano motivi per autorizzare un trasferimento, in caso di necessità devono essere ammesse deroghe per salvaguardare i legittimi interessi dell'interessato o di altri soggetti, se previste dal diritto dello Stato membro che trasferisce i dati personali o quando ciò sia indispensabile per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo. Le deroghe dovrebbero essere ammesse, in casi determinati, anche per prevenire, indagare, accertare o perseguire reati o eseguire sanzioni penali o per accertare, esercitare o difendere un diritto in sede giudiziaria. Tali deroghe dovrebbero essere interpretate in modo restrittivo e non consentire trasferimenti frequenti, ingenti e strutturali di dati personali o trasferimenti indiscriminati di dati, che vanno invece limitati ai dati strettamente necessari. La decisione del trasferimento, inoltre, dovrebbe essere presa da una persona debitamente autorizzata e il trasferimento deve essere documentato e reso disponibile all'autorità di controllo su richiesta, per consentire il monitoraggio della liceità del trasferimento. [Em. 41]

(50)  Con il trasferimento transfrontaliero di dati personali aumenta il rischio che l'interessato non possa esercitare il proprio diritto alla protezione dei dati per tutelarsi da usi o divulgazioni illecite di tali dati. Allo stesso tempo, le autorità di controllo possono concludere di non essere in grado di dar corso ai reclami o svolgere indagini relative ad attività condotte oltre frontiera. I loro sforzi di collaborazione nel contesto transfrontaliero possono anche scontrarsi con poteri insufficienti per prevenire e correggere e con regimi giuridici incoerenti. Pertanto vi è la necessità di promuovere una più stretta cooperazione tra le autorità di controllo della protezione dei dati affinché possano scambiare informazioni con le loro controparti all'estero.

(51)  La designazione di un'autorità di controllo che agisca in totale indipendenza in ciascuno Stato membro è un elemento essenziale della protezione delle persone con riguardo al trattamento di dati personali. Spetterebbe alle autorità di controllo controllare l'applicazione delle disposizioni della presente direttiva e contribuire alla sua coerente applicazione in tutta l'Unione, così da tutelare le persone fisiche in relazione al trattamento dei dati personali. A tal fine le autorità di controllo cooperano tra loro e con la Commissione . [Em. 42]

(52)  Gli Stati membri possono prevedere che l'autorità di controllo già istituita negli Stati membri ai sensi del regolamento (UE) …./2014 possa assolvere anche i compiti che devono essere adempiuti dalle autorità di controllo nazionali da istituirsi a norma della presente direttiva.

(53)  È necessario che gli Stati membri possano istituire più di una autorità di controllo, al fine di rispecchiare la loro struttura costituzionale, organizzativa e amministrativa. Ciascuna autorità di controllo deve disporre di risorse umane e finanziarie adeguate, dei locali e delle infrastrutture come pure dell'esperienza e delle competenze tecniche necessarie, per l' effettivo svolgimento dei propri compiti, compresi i compiti di assistenza reciproca e cooperazione con altre autorità di controllo in tutta l' Unione. [Em. 43]

(54)  Le condizioni generali applicabili ai membri dell' autorità di controllo devono essere stabilite da ciascuno Stato membro e devono in particolare prevedere che i membri siano nominati dal parlamento o, previa consultazione del parlamento, dal governo dello Stato membro e contenere disposizioni sulle qualifiche e sulle funzioni di tali membri. [Em. 44]

(55)  Sebbene la presente direttiva si applichi anche alle attività dei giudici nazionali, non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell'esercizio delle loro funzioni giurisdizionali, al fine di salvaguardarne l'indipendenza. Tuttavia, tale esenzione deve essere limitata all'attività autenticamente giurisdizionale e non applicarsi ad altre attività a cui i giudici potrebbero partecipare in forza del diritto nazionale.

(56)  Al fine di garantire un monitoraggio e un'applicazione coerenti della presente direttiva in tutta l'Unione, le autorità di controllo devono godere in ciascuno Stato membro degli stessi diritti e poteri effettivi, fra cui effettivi poteri di indagine, il potere di accedere a tutti i dati personali e a tutte le informazioni necessari all'esercizio di ciascuna funzione di controllo, il potere di accedere ai locali del responsabile o dell'incaricato del trattamento - ricomprendendo in tale ambito le attrezzature per il trattamento dati - e poteri d' intervento giuridicamente vincolanti, di decisione e sanzione, segnatamente in caso di reclamo, così come di agire in giudizio. [Em. 45]

(57)  È necessario che ciascuna autorità di controllo tratti i reclami proposti da qualsiasi interessato e svolga le relative indagini; che a seguito di reclamo vada condotta un'indagine, soggetta a controllo giurisdizionale, nella misura in cui ciò sia opportuno nella fattispecie; che l'autorità di controllo informi l'interessato dei progressi e dei risultati del ricorso entro un termine ragionevole. Se il caso richiede un'ulteriore indagine o il coordinamento con un'altra autorità di controllo, l'interessato deve ricevere informazioni interlocutorie.

(58)  Le autorità di controllo devono prestarsi reciproca assistenza nell’esercizio delle loro funzioni, in modo da garantire la coerente applicazione e attuazione delle disposizioni adottate in conformità della presente direttiva. Ogni autorità di controllo dovrebbe essere pronta a partecipare a operazioni congiunte. L'autorità di controllo che riceve una richiesta in tal senso dovrebbe darvi seguito entro un termine definito. [Em. 46]

(59)  Il comitato europeo per la protezione dei dati istituito con regolamento (UE) n. …/2012 …/2014 deve contribuire all'applicazione uniforme della presente direttiva in tutta l'Unione, in particolare dando consulenza alla Commissione e alle sue istituzioni, promuovendo la cooperazione delle autorità di controllo in tutta l'Unione e dando il proprio parere alla Commissione nella preparazione di atti delegati e atti di esecuzione basati sulla presente direttiva . [Em. 47]

(60)  Ciascun interessato deve avere il diritto di proporre reclamo a un'autorità di controllo di qualunque Stato membro e il diritto di proporre ricorso giurisdizionale qualora ritenga che siano stati violati i diritti di cui gode a norma della presente direttiva o se l'autorità di controllo non dà seguito a un reclamo o non agisce quando è necessario intervenire per proteggere i suoi diritti di interessato.

(61)  L'organismo, l'organizzazione o associazione che intenda tutelare i diritti e gli interessi di un interessato in relazione alla protezione dei dati personali e sia agisce nel pubblico interesse, istituito o istituita a norma del diritto di uno Stato membro dovrebbe avere il diritto di proporre reclamo o esercitare il diritto a un ricorso giurisdizionale per conto dell'interessato, su suo espresso mandato, o di proporre un proprio reclamo indipendente dall'azione dell'interessato, se ritiene che sussista violazione dei dati personali. [Em. 48]

(62)  Ogni persona fisica o giuridica deve avere diritto di proporre ricorso giurisdizionale avverso la decisione dell'autorità di controllo che la riguarda. Le azioni contro l'autorità di controllo devono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l'autorità di controllo è stabilita.

(63)  Gli Stati membri devono assicurare che i ricorsi giurisdizionali, per essere efficaci, consentano di adottare rapidamente provvedimenti per porre fine a una violazione della presente direttiva o per prevenirla.

(64)  Il responsabile del trattamento o l'incaricato del trattamento deve risarcire i danni, anche di carattere non pecuniario, cagionati da un trattamento illecito ma può essere esonerato da tale responsabilità se prova che l'evento dannoso non gli è imputabile, segnatamente se dimostra che a causare l'errore è stato l'interessato o in caso di forza maggiore. [Em. 49]

(65)  Dovrebbe essere punibile chiunque, persona di diritto pubblico o di diritto privato, non ottemperi alle disposizioni della presente direttiva. Gli Stati membri devono garantire sanzioni efficaci, proporzionate e dissuasive e adottare tutte le misure necessarie per la loro applicazione.

(65 bis)  La trasmissione di dati personali ad altre autorità o a privati nell'Unione è vietata, salvo nel caso in cui la trasmissione sia conforme alla legge e il destinatario sia stabilito in uno Stato membro; non vi siano specifici interessi legittimi che impediscano la trasmissione e quest'ultima sia necessaria in determinati casi al responsabile del trattamento che trasmette i dati per adempiere un compito assegnatogli legalmente; per prevenire una minaccia grave e immediata alla sicurezza pubblica o per prevenire un grave danno per i diritti delle persone. Il responsabile del trattamento dovrebbe informare il destinatario della finalità del trattamento e l'autorità di controllo della trasmissione. Il destinatario dovrebbe inoltre essere informato delle limitazioni di trattamento e garantirne il rispetto. [Em. 50]

(66)  Al fine di conseguire gli obiettivi della direttiva, segnatamente tutelare i diritti fondamentali e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali, e garantire il libero scambio di tali dati nell’Unione tra autorità competenti, occorre conferire alla Commissione il potere di adottare atti a norma dell’articolo 290 del trattato sul funzionamento dell’Unione europea. In particolare, è necessario adottare atti delegati con riferimento alle notificazioni relative a violazioni di dati personali alle autorità di controllo per precisare i criteri e le condizioni applicabili alle operazioni di trattamento che richiedono una valutazione d'impatto sulla protezione dei dati, per i criteri e i requisiti relativi all'accertamento della violazione di dati e per l'adeguatezza del livello di protezione offerto da un paese terzo - o da un suo territorio o settore di trattamento - o da un'organizzazione internazionale . È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, in particolare con il Garante europeo della protezione dei dati . Nel contesto della preparazione e della stesura degli atti delegati, occorre che la Commissione garantisca contemporaneamente una trasmissione corretta e tempestiva dei documenti pertinenti al Parlamento europeo e al Consiglio. [Em. 51]

(67)  Occorre conferire alla Commissione competenze di esecuzione al fine di garantire condizioni uniformi di applicazione della presente direttiva per quanto riguarda la documentazione conservata dai responsabili del trattamento e incaricati del trattamento, la sicurezza del trattamento con particolare riferimento agli standard di cifratura e la notificazione di una violazione di dati personali all'autorità di controllo e l'adeguato livello di protezione offerto da un paese terzo o da un territorio o settore di trattamento nel paese terzo o un'organizzazione internazionale . Tali competenze dovrebbero essere esercitate in conformità del regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione (6) . [Em. 52]

(68)  È opportuno applicare la procedura d'esame per l'adozione di misure concernenti la documentazione conservata dai responsabili del trattamento e incaricati del trattamento, la sicurezza del trattamento con particolare riferimento agli standard di cifratura e la notificazione di una violazione di dati personali all'autorità di controllo e l'adeguato livello di protezione offerto da un paese terzo o da un territorio o settore di trattamento nel paese terzo o un'organizzazione internazionale , data la portata generale di tali atti. [Em. 53]

(69)  È opportuno che la Commissione adotti atti di esecuzione immediatamente applicabili quando, in casi debitamente giustificati relativi a un paese terzo, o a un territorio o settore di trattamento dati nel paese terzo, o un'organizzazione internazionale che non garantisce un livello di protezione adeguato, ciò sia reso necessario da imperativi motivi di urgenza. [Em. 54]

(70)  Poiché gli obiettivi della presente direttiva, segnatamente tutelare i diritti fondamentali e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali, e garantire il libero scambio di tali dati nell'Unione tra autorità competenti, non possono essere conseguiti in misura sufficiente dagli Stati membrie , ma, a motivo della portata e degli effetti dell'azione in questione, possono essere conseguiti meglio a livello di Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. La presente direttiva si limita a quanto è necessario per conseguire tale obiettivo tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo. Gli Stati membri possono prevedere standard più rigorosi di quelli introdotti dalla presente direttiva. [Em. 55]

(71)  La presente direttiva dovrebbe abrogare la decisione quadro 2008/977/GAI.

(72)  Occorre che rimangano impregiudicate le disposizioni specifiche relative al trattamento dei dati personali a cura delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione delle sanzioni penali, contenute in atti dell'Unione adottati prima della data di adozione della presente direttiva e che disciplinano il trattamento dei dati personali tra Stati membri e l'accesso delle autorità nazionali designate ai sistemi di informazione istituiti ai sensi dei trattati. Dato che l'articolo 8 della Carta e l'articolo 16 TFUE implicano che il diritto fondamentale alla protezione dei dati personali deve essere garantito in modo uniforme e omogeneo in tutta l'Unione, è necessario che la Commissione, entro due anni dall'entrata in vigore della presente direttiva, valuti la situazione sotto il profilo del rapporto tra la presente direttiva e gli atti adottati precedentemente alla data di adozione della presente direttiva che disciplinano il trattamento dei dati personali tra Stati membri e l'accesso delle autorità nazionali designate ai sistemi d'informazione istituiti ai sensi dei trattati, al fine di verificare se sia necessario allineare dette specifiche disposizioni alla e presenti proposte idonee a garantire norme giuridiche uniformi e omogenee per quanto riguarda il trattamento dei dati personali da parte delle autorità competenti o l'accesso delle autorità nazionali degli Stati membri all'uopo designate ai sistemi di informazione istituiti ai sensi dei trattati , e l'elaborazione dei dati personali da parte delle istituzioni, organi, uffici e agenzie dell'Unione, a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nell'ambito di applicazione della presente direttiva. [Em. 56]

(73)  Per garantire una sistematica e coerente protezione dei dati personali nell'Unione, gli accordi internazionali conclusi dall'Unione o dagli Stati membri prima dell'entrata in vigore della presente direttiva devono essere modificati e resi conformi alla presente direttiva. [Em. 57]

(74)  La presente direttiva non pregiudica l'applicazione delle norme relative alla lotta contro l'abuso e lo sfruttamento sessuale dei minori e la pornografia minorile stabilite dalla direttiva 2011/93/UE del Parlamento europeo e del Consiglio(7) .

(75)  A norma dell'articolo 6 bis del protocollo n. 21 sulla posizione del Regno Unito e dell'Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al trattato sull'Unione europea e al trattato sul funzionamento dell'Unione europea, il Regno Unito o l'Irlanda non saranno vincolati da norme stabilite nella presente direttiva laddove il Regno Unito o l'Irlanda non siano vincolati da norme dell'Unione che disciplinano forme di cooperazione giudiziaria in materia penale o di cooperazione di polizia nell'ambito delle quali devono essere rispettate le disposizioni stabilite in base all'articolo 16 del trattato sul funzionamento dell'Unione europea.

(76)  A norma degli articoli 2 e 2 bis del protocollo n. 22 sulla posizione della Danimarca, allegato al trattato sull'Unione europea e al trattato sul funzionamento dell'Unione europea, la Danimarca non è vincolata dalla presente direttiva né è soggetta alla sua applicazione. Dato che la presente direttiva si basa sull'acquis di Schengen in applicazione della parte terza, titolo V, del trattato sul funzionamento dell'Unione europea, la Danimarca decide, ai sensi dell'articolo 4 di tale protocollo, entro un periodo di sei mesi dall'adozione della presente direttiva, se intende recepirla nel proprio diritto interno. [Em. 58]

(77)  Per quanto riguarda l'Islanda e la Norvegia, la presente direttiva costituisce uno sviluppo delle disposizioni dell'acquis di Schengen ai sensi dell'accordo concluso dal Consiglio dell'Unione europea con la Repubblica d'Islanda e il Regno di Norvegia sulla loro associazione all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen(8) .

(78)  Per quanto riguarda la Svizzera, la presente direttiva costituisce uno sviluppo delle disposizioni dell'acquis di Schengen ai sensi dell'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardante l'associazione di quest'ultima all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen(9) .

(79)  Per quanto riguarda il Liechtenstein, la presente direttiva costituisce uno sviluppo delle disposizioni dell'acquis di Schengen, ai sensi del protocollo sottoscritto tra l'Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull'adesione del Principato del Liechtenstein all'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardante l'associazione della Confederazione svizzera all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen(10) .

(80)  La presente direttiva rispetta i diritti fondamentali e osserva i principi riconosciuti dalla Carta sanciti dai trattati, in particolare il diritto al rispetto della vita privata e familiare, il diritto alla protezione dei dati personali e il diritto a un ricorso effettivo e a un giudice imparziale. Conformemente all'articolo 52, paragrafo 1, della Carta, eventuali limitazioni di tali diritti possono essere apportate solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall'Unione o all'esigenza di proteggere i diritti e le libertà altrui.

(81)  Conformemente alla dichiarazione politica congiunta del 28 settembre 2011 degli Stati membri e della Commissione sui documenti esplicativi(11) , gli Stati membri si sono impegnati ad accompagnare, ove ciò sia giustificato, la notifica delle loro misure di recepimento con uno o più documenti intesi a chiarire il rapporto tra gli elementi di una direttiva e le parti corrispondenti degli strumenti nazionali di recepimento. Per quanto riguarda la presente direttiva, il legislatore ritiene che la trasmissione di tali documenti sia giustificata.

(82)  La presente direttiva non dovrebbe pregiudicare la facoltà degli Stati membri di dare attuazione all'esercizio del diritto dell'interessato di informazione, accesso, rettifica, cancellazione e limitazione dei dati personali trattati nel corso di un procedimento penale, e alle loro eventuali limitazioni nelle norme nazionali di procedura penale,

HANNO ADOTTATO LA PRESENTE DIRETTIVA:

CAPO I

DISPOSIZIONI GENERALI

Articolo 1

Oggetto e finalità

1.  La presente direttiva stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati e di esecuzione di sanzioni penali nonché le condizioni relative alla libera circolazione dei dati personali .

2.  In conformità della presente direttiva gli Stati membri:

a)  tutelano i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali e alla privacy , e

b)  garantiscono che lo scambio dei dati personali da parte delle autorità competenti all'interno dell'Unione non sia limitato né vietato per motivi attinenti alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.

2 bis.  La presente direttiva non osta a che gli Stati membri possano prevedere garanzie più rigorose di quelle introdotte dalle sue disposizioni. [Em. 59]

Articolo 2

Ambito di applicazione

1.  La presente direttiva si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all'articolo 1, paragrafo 1.

2.  La presente direttiva si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

3.  Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali:

a)  effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione, concernenti in particolare la sicurezza nazionale;

b)  effettuati da istituzioni, organi e organismi dell'Unione . [Em. 60]

Articolo 3

Definizioni

Ai fini della presente direttiva si intende per:

(1)  "interessato": la persona fisica identificata o identificabile, direttamente o indirettamente, con mezzi che il responsabile del trattamento o altra persona fisica o giuridica ragionevolmente può utilizzare, con particolare riferimento a un numero di identificazione, a dati relativi all'ubicazione, a un identificativo on line o a uno o più elementi caratteristici della sua identità genetica, fisica, fisiologica, psichica, economica, culturale o sociale;

(2)  "dati personali": qualsiasi informazione concernente l' una persona fisica identificata o identificabile (l'" interessato") ; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un identificativo quale il nome, un numero di identificazione, i dati relativi all'ubicazione, un identificativo unico o ad uno o più elementi caratteristici dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale, o dell'identità di genere di tale persona;

(2 bis)  "dati pseudonimi": i dati personali che non possono essere attribuiti ad un interessato specifico senza l'utilizzo di informazioni aggiuntive, sempre che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire la non attribuzione;

(3)  "trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la memorizzazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

(3 bis)  "profilazione": qualsiasi forma di trattamento automatizzato di dati personali destinata a valutare taluni aspetti della personalità di una persona fisica o ad analizzarne o prevederne in particolare il rendimento professionale, la situazione economica, l'ubicazione, lo stato di salute, le preferenze personali, l'affidabilità o il comportamento;

(4)  "limitazione di trattamento": contrassegno dei dati personali memorizzati con l'obiettivo di limitarne il trattamento in futuro;

(5)  "archivio": qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

(6)  "responsabile del trattamento": l'autorità pubblica competente che, singolarmente o insieme ad altri, determina le finalità, le condizioni e i mezzi del trattamento di dati personali; quando le finalità, le condizioni e i mezzi del trattamento sono determinati dal diritto dell'Unione o dal diritto di uno Stato membro, il responsabile del trattamento o i criteri specifici applicabili alla sua nomina possono essere designati dal diritto dell'Unione o dal diritto dello Stato membro;

(7)  "incaricato del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;

(8)  "destinatario": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati personali;

(9)  "violazione dei dati personali": violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso, in modo accidentale o illecito, ai dati personali trasmessi, memorizzati o comunque elaborati;

(10)  "dati genetici": tutti i dati, di qualsiasi natura, riguardanti le caratteristiche di una persona fisica che siano ereditarie o acquisite in uno stadio precoce di sviluppo prenatale;

(11)  "dati biometrici": i dati personali relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona che ne consentono l'identificazione univoca, quali l'immagine facciale o i rilievi dattiloscopici;

(12)  "dati relativi alla salute":qualsiasi informazione attinente i dati personali attinenti alla salute fisica o mentale di una persona o alla prestazione di servizi sanitari a detta persona;

(13)  "minore": persona di età inferiore agli anni diciotto;

(14)  "autorità competenti": qualsiasi autorità pubblica competente a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali;

(15)  "autorità di controllo": l'autorità pubblica istituita da uno Stato membro in conformità dell'articolo 39. [Em. 61]

CAPO II

PRINCIPI

Articolo 4

Principi applicabili al trattamento di dati personali

Gli Stati membri dispongono che i dati personali siano:

a)  trattati in modo lecito ed , equo, trasparente e verificabile in relazione all'interessato ;

b)  raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità;

c)  adeguati, pertinenti e limitati al minimo necessario rispetto alle finalità perseguite e trattati solo se e nella misura in cui le finalità non possono essere conseguite attraverso il trattamento di informazioni che non contengono dati personali ;

d)  esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;

e)  conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;

f)  trattati sotto la responsabilità del responsabile del trattamento, che assicura deve garantire e poter dimostrare la conformità alle disposizioni adottate ai sensi della presente direttiva.

f bis)  trattati in modo da consentire effettivamente all'interessato di esercitare i suoi diritti ex articoli da 10 a 17;

f ter)  trattati in modo da proteggere, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali;

f quater)  trattati solo dal personale, debitamente autorizzato, delle autorità competenti che necessiti dei dati nell'ambito delle proprie funzioni. [Em. 62]

Articolo 4 bis

Accesso a dati inizialmente trattati per finalità diverse da quelle indicate all'articolo 1, paragrafo 1

1.  Gli Stati membri dispongono che le autorità competenti possano avere accesso a dati personali inizialmente trattati per finalità diverse da quelle indicate all'articolo 1, paragrafo 1, solo se specificamente autorizzate da disposizioni legislative dell'Unione o degli Stati membri che rispondano ai requisiti di cui all'articolo 7, paragrafo 1 bis e che stabiliscano che:

a)  possa accedervi solo personale debitamente autorizzato delle autorità competenti operante nell'ambito delle proprie funzioni quando, in casi determinati, vi siano ragionevoli motivi per ritenere che il trattamento dei dati personali contribuisca notevolmente alla prevenzione, indagine, accertamento e perseguimento di reati o all'esecuzione di sanzioni penali;

b)  le richieste di accesso siano presentate per iscritto e facciano riferimento alla base giuridica che le giustifica;

c)  le richieste scritte siano documentate, e

d)  siano poste in essere garanzie adeguate per assicurare la protezione dei diritti e delle libertà fondamentali in relazione al trattamento di dati personali. Tali garanzie lasciano impregiudicate e integrano le condizioni specifiche di accesso ai dati personali quali l'autorizzazione giudiziaria emessa secondo il diritto degli Stati membri.

2.  I dati personali detenuti da soggetti privati o pubbliche autorità sono accessibili solo a fini di indagine e perseguimento di reati, in conformità dei criteri di necessità e di proporzionalità da definirsi nel diritto dell'Unione o nel diritto interno di ciascuno Stato membro, in piena conformità dell'articolo 7 bis. [Em. 63]

Articolo 4 ter

Termini per l'archiviazione e la verifica

1.  Gli Stati membri dispongono che i dati personali trattati ai sensi della presente direttiva siano cancellati dalle autorità competenti quando non sono più necessari per le finalità per cui sono stati trattati.

2.  Gli Stati membri dispongono che le autorità competenti adottino meccanismi atti a garantire la definizione di termini di tempo conformi all'articolo 4 per la cancellazione dei dati personali e per una verifica periodica dell'esigenza di archiviare tali dati, compresa la fissazione di periodi di archiviazione per le diverse categorie di dati personali. Vengono definite misure procedurali per garantire l'osservanza di tali limiti temporali o intervalli di verifica periodica. [Em. 64]

Articolo 5

Distinzione tra Diverse categorie di interessati

1.  Gli Stati membri dispongono che, nella misura del possibile per le finalità di cui all'articolo 1 , paragrafo 1, le autorità competenti possano trattare solo i dati personali delle seguenti categorie di interessati e che il responsabile del trattamento operi una chiara distinzione tra i dati personali di diverse fra tali categorie di interessati, quali :

a)  le persone per le quali vi sono fondati ragionevoli motivi di per ritenere che abbiano commesso o stiano per commettere un reato;

b)  le persone condannate per un reato;

c)  le vittime di reato o le persone che alcuni fatti autorizzano a considerare potenziali vittime di reato;

e

d)  i terzi coinvolti nel reato, quali le persone che potrebbero essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti, le persone che possono fornire informazioni su reati, o le persone in contatto o collegate alle persone di cui alle lettere a) e b), e .

e)  le persone che non rientrano in nessuna delle precedenti categorie.

2.  I dati personali di interessati diversi da quelli di cui al paragrafo 1 possono essere trattati soltanto:

a)  se è necessario per l'indagine o il perseguimento di un particolare reato penale al fine di valutare la pertinenza dei dati per una delle categorie di cui al paragrafo 1, oppure

b)  se il trattamento è indispensabile per finalità mirate, preventive o a scopo di analisi criminale, purché tale finalità sia legittima, ben definita e specifica e il trattamento sia strettamente limitato a valutare la pertinenza dei dati per una delle categorie di cui al paragrafo 1. Tale circostanza viene riesaminata periodicamente almeno ogni sei mesi. Non sono consentiti ulteriori utilizzi.

3.  Gli Stati membri dispongono che al trattamento dei dati personali relativi agli interessati di cui al paragrafo 1, lettere c) e d), si applicano limiti e garanzie supplementari conformemente al diritto degli Stati membri. [Em. 65]

Articolo 6

Diverso grado di esattezza e affidabilità dei dati personali

1.  Gli Stati membri provvedono affinché, nella misura del possibile, sia effettuata una distinzione tra diverse categorie di a che siano garantiti l'attendibilità e l'accuratezza dei dati personali oggetto di trattamento in base al loro grado di esattezza e affidabilità .

2.  Gli Stati membri provvedono affinché, nella misura del possibile, i dati personali fondati su fatti siano differenziati da quelli fondati su valutazioni personali, in base al loro grado di attendibilità e accuratezza .

2 bis.  Gli Stati membri provvedono affinché i dati personali inesatti, incompleti o non più aggiornati non siano trasmessi o resi disponibili. A tal fine le autorità competenti valutano la qualità dei dati personali prima che vengano trasmessi o resi disponibili. Nei limiti del possibile, tutte le trasmissioni di dati sono corredate di informazioni aggiuntive che consentano allo Stato membro destinatario di valutarne il livello di esattezza, completezza, aggiornamento e affidabilità. I dati personali non sono trasmessi senza previa richiesta di un'autorità competente, in particolare i dati originariamente in possesso di soggetti privati.

2 ter.  Qualora risulti che sono stati trasmessi dati inesatti o che sono stati trasmessi dati illegalmente, il destinatario deve esserne informato quanto prima. Il destinatario è tenuto a rettificare immediatamente tali dati in conformità del paragrafo 1 e dell'articolo 15 oppure a cancellarli in conformità dell'articolo 16. [Em. 66]

Articolo 7

Liceità del trattamento

1.  Gli Stati membri dispongono che il trattamento dei dati personali sia lecito solo se e nella misura in cui è previsto dalla normativa dell'Unione o degli Stati membri per le finalità di cui all'articolo 1, paragrafo 1 ed è necessario:

a)  per l'esecuzione di un compito di un'autorità competente, previsto per legge per le finalità di cui all'articolo 1, paragrafo 1 , oppure

b)  per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, oppure

c)  per la salvaguardia degli interessi vitali dell'interessato o di un terzo, oppure

d)  per la prevenzione di un'immediata e grave minaccia alla sicurezza pubblica.

1 bis.  Il diritto degli Stati membri che disciplina il trattamento di dati personali nei limiti della presente direttiva contiene disposizioni esplicite e dettagliate che specificano almeno:

a)  obiettivi del trattamento;

b)  dati personali da trattare;

c)  finalità specifiche e mezzi di trattamento;

d)  nomina del responsabile del trattamento o specifici criteri per la sua nomina;

e)  categorie di personale debitamente autorizzato delle autorità competenti ai fini del trattamento di dati personali;

f)  procedura da seguire per il trattamento;

g)  uso possibile dei dati personali ottenuti;

h)  limitazioni dell'ambito di discrezionalità eventualmente concesso alle autorità competenti in relazione alle operazioni di trattamento. [Em. 67]

Articolo 7 bis

Ulteriore trattamento per finalità incompatibili

1.  Gli Stati membri dispongono che i dati personali possano essere trattati ulteriormente per un'altra finalità ex articolo 1, paragrafo 1 non compatibile con le finalità per cui i dati sono stati inizialmente raccolti, solo se e nella misura in cui:

a)  la finalità sia strettamente necessaria e proporzionata in una società democratica e prevista dal diritto dell'Unione o dello Stato membro per scopi legittimi, precisi e ben definiti;

b)  il trattamento sia strettamente limitato a un periodo che non supera il tempo necessario per il trattamento specifico dei dati;

c)  qualsiasi ulteriore utilizzo per finalità diverse sia vietato.

Prima di procedere a qualsiasi trattamento, gli Stati membri consultano l'autorità nazionale di vigilanza competente ed effettuano una valutazione di impatto sulla protezione dei dati.

2.  In aggiunta ai requisiti di cui all'articolo 7, paragrafo 1 bis, il diritto degli Stati membri che autorizza l'ulteriore trattamento di cui al paragrafo 1 contiene disposizioni esplicite e dettagliate che specificano almeno:

a)  finalità specifiche e mezzi del particolare trattamento;

b)  che l'accesso è esclusivamente riservato al personale debitamente autorizzato delle autorità competenti operante nell'ambito delle proprie funzioni quando, in casi determinati, vi siano ragionevoli motivi per ritenere che il trattamento dei dati personali contribuisca notevolmente alla prevenzione, indagine, accertamento e perseguimento di reati o all'esecuzione di sanzioni penali; e

c)  che siano adottate garanzie adeguate per assicurare la protezione dei diritti e delle libertà fondamentali in relazione al trattamento di dati personali.

Gli Stati membri possono richiedere che l'accesso ai dati personali sia soggetto a condizioni supplementari quali l'autorizzazione giudiziaria emessa in conformità del diritto nazionale.

3.  Gli Stati membri possono inoltre consentire l'ulteriore trattamento di dati personali per finalità storiche, statistiche o scientifiche a condizione di fornire garanzie adeguate, come l'anonimizzazione dei dati. [Em. 68]

Articolo 8

Trattamento di categorie particolari di dati personali

1.  Gli Stati membri vietano il trattamento di dati personali che rivelino la razza, l'origine etnica, le opinioni politiche, la religione o le convinzioni filosofiche personali, l'orientamento sessuale o l'identità di genere, l' appartenenza e l'attività sindacale, come pure e il trattamento di dati genetici biometrici o dati relativi alla salute e alla vita sessuale.

2.  Il paragrafo 1 non si applica quando:

a)  il trattamento è autorizzato da disposizioni di legge che prevedono garanzie adeguate strettamente necessario e proporzionato per l'assolvimento di un compito delle autorità competenti per i fini di cui all'articolo 1 , paragrafo 1, sulla base di disposizioni legislative dell'Unione o dello Stato membro che prevedano misure specifiche atte a salvaguardare i diritti legittimi dell'interessato, compresa una specifica autorizzazione da parte dell'autorità giudiziaria, laddove la normativa nazionale lo prescriva ; oppure

b)  il trattamento è necessario per salvaguardare un interesse vitale dell'interessato o di un terzo; oppure

c)  il trattamento riguarda dati resi manifestamente pubblici dall'interessato, purché rilevanti e strettamente necessari al conseguimento dello scopo perseguito in un caso specifico . [Em. 69]

Articolo 8 bis

Trattamento di dati genetici ai fini di un'indagine penale o di un procedimento giudiziario

1.  Gli Stati membri si assicurano che i dati genetici possano essere utilizzati solo per stabilire un collegamento genetico nell'ambito della presentazione di elementi probatori, per prevenire una minaccia alla sicurezza pubblica o per prevenire la commissione di uno specifico reato. I dati genetici non possono essere utilizzati per determinare altre caratteristiche che possono essere geneticamente collegate.

2.  Gli Stati membri dispongono che i dati genetici o le informazioni ottenute dalla loro analisi possano essere conservati solo per il tempo necessario in funzione delle finalità per cui i dati sono trattati e quando la persona interessata sia stata condannata per reati gravi contro la vita, l'integrità o la sicurezza delle persone. I dati in questione sono soggetti a periodi di conservazione rigorosi, da determinarsi con apposite disposizioni normative degli Stati membri.

3.  Gli Stati membri provvedono a che i dati genetici o le informazioni ottenute dalla loro analisi siano archiviati per periodi più lunghi solo quando i dati genetici non possono essere attribuiti a una persona, in particolare quando sono raccolti sulla scena del reato. [Em. 70]

Articolo 9

Misure basate sulla profilazione e trattamento automatizzato

1.  Gli Stati membri dispongono che la misura che produca effetti giuridici negativi o significativamente incida sull'interessato e sia basata unicamente in tutto o in parte su un trattamento automatizzato di dati personali destinato a valutarne aspetti della personalità, sia vietata salvo che sia autorizzata da disposizioni di legge che precisino misure a salvaguardia dei legittimi interessi dell'interessato.

2.  Il trattamento automatizzato di dati personali destinato a valutare taluni aspetti della personalità dell'interessato non può basarsi unicamente sulle categorie particolari di dati personali di cui all'articolo 8.

2 bis.  Il trattamento automatizzato di dati personali volto ad individuare un interessato senza un sospetto iniziale che quest'ultimo possa aver commesso o commetterà un reato penale è lecito solo se e nella misura in cui sia strettamente necessario per indagare su un grave reato penale o per prevenire un pericolo chiaro e imminente, stabilito sulla base di indicazioni fattuali, per la sicurezza pubblica, l'esistenza dello Stato o la vita delle persone.

2 ter.  È vietata in tutti i casi la profilazione che, intenzionalmente o meno, dia luogo a discriminazioni basate su razza, origine etnica, opinioni politiche, religione o convinzioni personali, appartenenza sindacale, genere o orientamento sessuale, o che comporti, intenzionalmente o meno, misure aventi tali effetti discriminatori. [Em. 71]

Articolo 9 bis

Principi generali per i diritti dell'interessato

1.  Gli Stati membri provvedono a che la protezione dei dati si basi su fondamenti chiari che prevedano per l'interessato diritti inequivocabili che il responsabile del trattamento è tenuto a rispettare. Le disposizioni della presente direttiva mirano a rafforzare, chiarire, garantire e, se del caso, codificare tali diritti.

2.  Gli Stati membri provvedono a che tali diritti comprendano anche la fornitura di informazioni chiare e facilmente comprensibili sul trattamento dei dati personali dell'interessato; il diritto di accesso, rettifica e cancellazione dei dati; il diritto ad ottenere dati; il diritto di presentare reclamo presso l'autorità competente per la protezione dei dati e di agire in giudizio nonché il diritto a compensi e risarcimenti per danni cagionati da operazioni di trattamento illegittime. L'esercizio di tali diritti è in generale gratuito. Il responsabile del trattamento risponde alle richieste degli interessati in tempi ragionevoli. [Em. 72]

CAPO III

DIRITTI DELL'INTERESSATO

Articolo 10

Modalità per l'esercizio dei diritti dell'interessato

1.  Gli Stati membri dispongono che il responsabile del trattamento prenda tutte le misure ragionevoli per applicare applichi politiche agili, chiare, trasparenti e facilmente accessibili con riguardo al trattamento dei dati personali e ai fini dell'esercizio dei diritti dell'interessato.

2.  Gli Stati membri dispongono che il responsabile del trattamento fornisca all'interessato tutte le informazioni e le comunicazioni relative al trattamento dei dati personali in forma intelligibile, con linguaggio semplice e chiaro, in particolare nel caso in cui tali informazioni si rivolgono specificamente a un minore .

3.  Gli Stati membri dispongono che il responsabile del trattamento prenda tutte le misure ragionevoli per stabilire le stabilisca procedure d'informazione di cui all'articolo 11 e le procedure per l'esercizio dei diritti dell'interessato di cui agli articoli da 12 a 17. Qualora i dati personali siano trattati con modalità automatizzate, il responsabile del trattamento predispone i mezzi per inoltrare le richieste per via elettronica.

4.  Gli Stati membri dispongono che il responsabile del trattamento informi l'interessato senza ingiustificato ritardo del seguito dato alle sue richieste alla sua richiesta e comunque entro un mese dal suo ricevimento . Queste informazioni sono confermate per iscritto. Qualora l'interessato presenti la richiesta in formato elettronico, le informazioni saranno fornite in tale formato .

5.  Gli Stati membri dispongono che le informazioni e le misure prese dal responsabile del trattamento a seguito di una richiesta ai sensi dei paragrafi 3 e 4 siano gratuite. Se le richieste sono vessatorie manifestamente eccessive , in particolare per il loro carattere ripetitivo, la lunghezza o il volume, il responsabile del trattamento può esigere un contributo spese per le informazioni o l'azione richiesta; in alternativa, può non effettuare quanto richiesto , un contributo spese ragionevole che tenga conto dei costi amministrativi sostenuti . In tale caso, incombe al responsabile del trattamento dimostrare il carattere vessatorio manifestamente eccessivo della richiesta.

5 bis.  Gli Stati membri possono stabilire che l'interessato possa far valere i propri diritti contro il responsabile del trattamento direttamente o tramite l'autorità nazionale di controllo competente. Se l'autorità di controllo ha agito su richiesta dell'interessato, l'autorità lo informa delle verifiche effettuate. [Em. 73]

Articolo 11

Informazione dell'interessato

1.  In caso di raccolta di dati personali, gli Stati membri provvedono affinché il responsabile del trattamento predisponga adeguate misure per fornire fornisca all'interessato almeno le seguenti informazioni:

a)  l'identità e le coordinate di contatto del responsabile del trattamento e del responsabile della protezione dei dati;

b)  la base giuridica e le finalità del trattamento cui sono destinati i dati personali;

c)  il periodo per il quale i dati personali saranno conservati;

d)  l'esistenza del diritto dell'interessato di chiedere al responsabile del trattamento l'accesso ai dati e la rettifica o la cancellazione dei dati personali che lo riguardano o la limitazione di trattamento;

e)  il diritto di proporre reclamo all'autorità di controllo di cui all'articolo 39 e le coordinate di contatto di detta autorità;

f)  i destinatari o le categorie di destinatari dei dati personali, anche in paesi terzi o in seno a organizzazioni internazionali e i soggetti autorizzati a consultarli in base alle leggi del paese terzo o alle norme dell'organizzazione internazionale ; l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso di trasferimenti di cui all'articolo 35 o 36, i mezzi per ottenere copia delle idonee garanzie utilizzate per i trasferimenti ;

f bis)  qualora il responsabile del trattamento elabori i dati personali nel modo descritto all'articolo 9, paragrafo 1, informazioni circa l'esistenza di un trattamento relativo a una misura ex articolo 9, paragrafo 1, e gli effetti previsti di tale trattamento sull'interessato nonché informazioni sulla ratio sottesa alla profilazione e il diritto ad ottenere una valutazione effettuata da una persona;

f ter)  informazioni relative alle misure di sicurezza adottate per proteggere i dati personali;

g)  ogni altra informazione necessaria per garantire un trattamento equo nei confronti dell'interessato, in considerazione delle specifiche circostanze in cui i dati personali vengono trattati.

2.  Quando i dati personali sono raccolti direttamente presso l'interessato, il responsabile del trattamento lo informa, in aggiunta a quanto disposto al paragrafo 1, dell'obbligatorietà o o della facoltatività della comunicazione dei dati personali e delle possibili conseguenze di una mancata comunicazione.

3.  Il responsabile del trattamento fornisce le informazioni di cui al paragrafo 1:

a)  al momento in cui i dati personali sono ottenuti dall'interessato, oppure

b)  quando i dati personali non sono raccolti direttamente presso l'interessato, al momento della registrazione o entro un termine ragionevole dopo la raccolta, in considerazione delle specifiche circostanze in cui i dati vengono trattati.

4.  Gli Stati membri possono adottare misure legislative volte a ritardare, o limitare o omettere in casi particolari l'informazione dell'interessato nella misura e per la durata in cui tale limitazione totale o parziale costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi dell'interessato:

a)  per non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;

b)  per non compromettere la prevenzione, l'indagine, l'accertamento o il perseguimento di reati o l'esecuzione di sanzioni penali;

c)  per proteggere la sicurezza pubblica;

d)  per proteggere la sicurezza dello Stato;

e)  per proteggere i diritti e le libertà di terzi.

5.  Gli Stati membri dispongono che i responsabili del trattamento valutino, mediante un esame concreto e individuale di ciascun caso, se si applichi una restrizione parziale o totale per uno dei motivi di cui al paragrafo 4. Gli Stati membri hanno anche la facoltà di determinare per legge le categorie di trattamenti di dati cui possono applicarsi, in tutto o in parte, le deroghe di cui al paragrafo 4, lettere a), b), c) e d) . [Em. 74]

Articolo 12

Diritto di accesso dell'interessato

1.  Gli Stati membri dispongono che l'interessato abbia il diritto di ottenere dal responsabile del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano. Se è in corso un trattamento, il responsabile del trattamento fornisce, se nessuno vi ha già provveduto, le seguenti informazioni:

—a)  i dati personali oggetto del trattamento e tutte le informazioni disponibili sulla loro origine e, se applicabile, informazioni chiare sulla ratio sottesa a qualsiasi trattamento automatizzato;

—  a bis) la rilevanza e le conseguenze contemplate di tale trattamento, almeno nel caso delle misure di cui all'articolo 9;

a)  le finalità e i fondamenti giuridici del trattamento;

b)  le categorie di dati personali in questione;

c)  i destinatari o le categorie di destinatari a cui i dati personali sono stati comunicati, in particolare se destinatari di paesi terzi;

d)  il periodo per il quale saranno conservati i dati personali;

e)  l'esistenza del diritto dell'interessato di chiedere al responsabile del trattamento la rettifica o la cancellazione dei dati personali che lo riguardano o la limitazione di trattamento;

f)  il diritto di proporre reclamo all'autorità di controllo e le coordinate di contatto di detta autorità;

g)  la comunicazione dei dati personali oggetto del trattamento e di tutte le informazioni disponibili sulla loro origine.

2.  Gli Stati membri dispongono che l'interessato abbia il diritto di ottenere dal responsabile del trattamento copia dei dati personali oggetto del trattamento. Se l'interessato presenta la richiesta in forma elettronica, le informazioni sono fornite in formato elettronico, salvo indicazione diversa dell'interessato. [Em. 75]

Articolo 13

Limitazioni del diritto di accesso

1.  Gli Stati membri possono adottare misure legislative volte a limitare, in tutto o in parte a seconda dei casi , il diritto e il periodo di accesso dell'interessato nella misura in cui tale limitazione totale o parziale costituisca una misura strettamente necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi dell'interessato:

a)  per non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;

b)  per non compromettere la prevenzione, l'indagine, l'accertamento o il perseguimento di reati o l'esecuzione di sanzioni penali;

c)  per proteggere la sicurezza pubblica;

d)  per proteggere la sicurezza dello Stato;

e)  per proteggere i diritti e le libertà di terzi.

2.  Gli Stati membri dispongono che il responsabile del trattamento valuti in ciascun caso, mediante un esame concreto e individuale, se si applichi una limitazione parziale o completa per uno dei motivi indicati al paragrafo 1. Gli Stati membri hanno anche la facoltà di determinare con legge le categorie di trattamenti di dati cui possono applicarsi, in tutto o in parte, le deroghe di cui al paragrafo 1, lettere da a) a d) .

3.  Nei casi di cui ai paragrafi 1 e 2, gli Stati membri dispongono che il responsabile del trattamento informi per iscritto l'interessato senza indebiti ritardi di ogni rifiuto o limitazione dell'accesso, dei motivi delle motivazioni del rifiuto e delle possibilità di proporre reclamo all'autorità di controllo e di proporre ricorso giurisdizionale. Le informazioni sui motivi di fatto o di diritto su cui si basa la decisione possono essere omesse qualora la loro comunicazione rischi di compromettere una delle finalità di cui al paragrafo 1.

4.  Gli Stati membri provvedono affinché il responsabile del trattamento documenti la valutazione di cui al paragrafo 2 nonché i motivi per cui ha omesso di comunicare i limitato la comunicazione dei motivi di fatto o di diritto su cui si basa la decisione. Tali informazioni sono rese disponibili alle autorità nazionali di controllo. [Em. 76]

Articolo 14

Modalità per l'esercizio del diritto di accesso

1.  Gli Stati membri dispongono che l'interessato abbia sempre il diritto di chiedere, in particolare nei casi di cui all'articolo agli articoli 12 e 13, che l'autorità di controllo verifichi la liceità del trattamento.

2.  Gli Stati membri dispongono che il responsabile del trattamento informi l'interessato del diritto di chiedere l'intervento dell'autorità di controllo ai sensi del paragrafo 1.

3.  Qualora l'interessato eserciti il diritto di cui al paragrafo 1, l'autorità di controllo lo informa quanto meno dell'avvenuto espletamento di tutte le verifiche necessarie e del loro esito riguardo alla liceità del trattamento in questione. L'autorità di controllo, inoltre, informa l'interessato del diritto di proporre ricorso giurisdizionale.

3 bis.  Gli Stati membri possono stabilire che l'interessato possa far valere tale diritto contro il responsabile del trattamento direttamente o tramite l'autorità nazionale di controllo competente.

3 ter.   Gli Stati membri garantiscono che il responsabile del trattamento risponda entro tempi ragionevoli alle richieste dell'interessato concernenti l'esercizio del suo diritto di accesso. [Em. 77]

Articolo 15

Diritto di rettifica e di integrazione

1.  Gli Stati membri dispongono che l'interessato abbia il diritto di ottenere dal responsabile del trattamento la rettifica o l'integrazione di dati personali inesatti. L'interessato ha il diritto di ottenere l'integrazione di dati personali o incompleti, anche in particolare mediante una dichiarazione integrativa o rettificativa.

2.  Gli Stati membri dispongono che il responsabile del trattamento informi per iscritto l'interessato, fornendo le relative motivazioni, di ogni rifiuto di rettifica o integrazione , dei motivi del rifiuto e delle possibilità di proporre reclamo all'autorità di controllo e di proporre ricorso giurisdizionale.

2 bis.  Gli Stati membri provvedono a che il responsabile del trattamento comunichi le rettifiche apportate a ogni destinatario cui siano stati comunicati i dati, a meno che ciò non risulti impossibile o comporti uno sforzo sproporzionato.

2 ter.  Gli Stati membri provvedono a che il responsabile del trattamento comunichi le rettifiche dei dati personali inesatti al soggetto terzo da cui tali dati provengono.

2 quater.  Gli Stati membri stabiliscono che l'interessato possa far valere tale diritto anche per il tramite dell'autorità nazionale di controllo competente. [Em. 78]

Articolo 16

Diritto alla cancellazione

1.  Gli Stati membri dispongono che l'interessato abbia il diritto di ottenere dal responsabile del trattamento la cancellazione di dati personali qualora il trattamento non sia conforme alle disposizioni adottate ai sensi dell'articolo degli articoli 4, lettere da a) a e), dell'articolo 7 e dell'articolo 8, 6, 7 e 8 della presente direttiva.

2.  Il responsabile del trattamento provvede senza ritardo alla cancellazione. I responsabili del trattamento si astengono inoltre dal divulgare ulteriormente tali dati.

3.  Invece di provvedere alla cancellazione, il responsabile del trattamento contrassegna i limita il trattamento dei dati personali:

a)  quando l'interessato ne contesta l'esattezza, per il periodo necessario ad effettuare le opportune verifiche;

b)  quando i dati personali devono essere conservati a fini probatori o per la protezione degli interessi vitali dell'interessato o di un'altra persona ; .

c)  quando l'interessato si oppone alla loro cancellazione e chiede invece che ne sia limitato l'utilizzo.

3 bis.  Quando il trattamento dei dati personali è limitato a norma del paragrafo 3, il responsabile del trattamento informa l'interessato prima di revocare la limitazione al trattamento.

4.  Gli Stati membri dispongono che il responsabile del trattamento informi per iscritto l'interessato, fornendo le relative motivazioni, di ogni rifiuto di cancellare o contrassegnare limitare i dati trattati, dei motivi del rifiuto e delle possibilità di proporre reclamo all'autorità di controllo e di proporre ricorso giurisdizionale.

4 bis.  Gli Stati membri dispongono che il responsabile del trattamento informi i destinatari dei dati di eventuali cancellazioni o restrizioni apportate a norma del paragrafo 1, salvo che ciò non risulti impossibile o comporti uno sforzo sproporzionato. Il responsabile del trattamento informa l'interessato in merito a tali soggetti terzi.

4 ter.  Gli Stati membri possono stabilire che l'interessato possa far valere tale diritto contro il responsabile del trattamento direttamente o tramite l'autorità nazionale di controllo competente. [Em. 79]

Articolo 17

Diritti dell'interessato nel corso di indagini e procedimenti penali

Gli Stati membri possono disporre che il diritto di informazione, accesso, rettifica, cancellazione e limitazione di trattamento di cui agli articoli da 11 a 16 sia esercitato in conformità delle norme nazionali sui procedimenti giudiziari qualora i dati personali figurino in una decisione giudiziaria o in un casellario giudiziario oggetto di trattamento nel corso di un'indagine o di un procedimento penale.

CAPO IV

RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL TRATTAMENTO

SEZIONE 1

OBBLIGHI GENERALI

Articolo 18

Responsabilità del responsabile del trattamento

1.  Gli Stati membri dispongono che il responsabile del trattamento adotti politiche e attui misure adeguate per garantire – e poter dimostrare in modo trasparente per ogni operazione di trattamento – che il trattamento dei dati personali effettuato sia conforme alle disposizioni adottate ai sensi della presente direttiva, al momento sia della determinazione dei mezzi di trattamento che del trattamento vero e proprio .

2.  Le misure di cui al paragrafo 1 comprendono, in particolare:

a)  la conservazione della documentazione ai sensi dell'articolo 23;

a bis)  l'esecuzione della valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 25 bis;

b)  il rispetto dei requisiti di consultazione preventiva ai sensi dell'articolo 26;

c)  l'attuazione dei requisiti di sicurezza dei dati di cui all'articolo 27;

d)  la designazione di un responsabile della protezione dei dati ai sensi dell'articolo 30;

d bis)  la definizione e la previsione, se del caso, di garanzie specifiche per il trattamento di dati personali concernenti minori.

3.  Il responsabile del trattamento mette in atto meccanismi per assicurare la verifica dell'adeguatezza ed efficacia delle misure di cui al paragrafo 1. Qualora ciò sia proporzionato, la verifica è effettuata da revisori interni o esterni indipendenti. [Em. 80]

Articolo 19

Protezione dei dati fin dalla progettazione e protezione di default

1.  Gli Stati membri dispongono che, al momento di determinare le finalità e i mezzi del trattamento e all'atto del trattamento stesso, il responsabile ed eventualmente l'incaricato del trattamento, tenuto conto dell'evoluzione tecnica e dei costi di attuazione, metta in atto adeguate , dello stato delle conoscenze tecniche, delle migliori prassi internazionali e dei rischi inerenti al trattamento dati, mettano in atto misure e procedure tecniche e organizzative tecnico-organizzative adeguate e proporzionate in modo tale che il trattamento sia conforme alle disposizioni adottate ai sensi della presente direttiva e assicuri la tutela dei diritti dell'interessato, in particolare avuto riguardo ai principi di cui all'articolo 4 . La protezione dei dati fin dalla progettazione deve prestare particolare attenzione alla gestione dell'intero ciclo di vita dei dati personali dalla raccolta al trattamento alla cancellazione, incentrandosi sistematicamente sulle garanzie procedurali generali in merito all'esattezza, alla riservatezza, all'integrità, alla sicurezza fisica e alla cancellazione dei dati. Se il responsabile del trattamento ha effettuato una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 25 bis, è opportuno prenderne in considerazione i risultati in fase di sviluppo delle misure e procedure di cui sopra.

2.  Il responsabile del trattamento mette in atto meccanismi per garantire garantisce che siano trattati, di default, solo i dati personali necessari per le finalità del trattamento ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione o divulgazione non vadano oltre il minimo necessario per le finalità perseguite . In particolare detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone e che gli interessati siano in grado di controllare la distribuzione dei propri dati personali . [Em. 81]

Articolo 20

Corresponsabili del trattamento

1.  Gli Stati membri dispongono che se il responsabile del trattamento determina le finalità, i mezzi del trattamento dei dati personali insieme ad altri, i corresponsabili del trattamento determinino, mediante accordi interni giuridicamente vincolanti , le rispettive responsabilità in merito al rispetto delle disposizioni adottate ai sensi della presente direttiva, con particolare riguardo alle procedure e ai meccanismi per l'esercizio dei diritti dell'interessato.

2.   Se non è stato informato di quale fra i corresponsabili del trattamento sia il responsabile ai sensi del paragrafo 1, l'interessato può esercitare i propri diritti ai sensi della presente direttiva nei confronti di ciascuno dei due o più corresponsabili del trattamento. [Em. 82]

Articolo 21

Incaricato del trattamento

1.  Gli Stati membri dispongono che qualora il trattamento debba essere effettuato per conto del responsabile del trattamento, questi scelga un incaricato del trattamento che presenti garanzie sufficienti per mettere in atto misure e procedure tecniche e organizzative adeguate in modo tale che il trattamento sia conforme alle disposizioni adottate ai sensi della presente direttiva e assicuri la tutela dei diritti dell'interessato, con particolare riguardo alle misure tecniche di sicurezza e alle misure organizzative che presiedono al trattamento da effettuare, e per garantire il rispetto di tali misure .

2.  Gli Stati membri dispongono che l'esecuzione dei trattamenti su commissione sia disciplinata da un contratto o atto giuridico che vincoli l'incaricato del trattamento al responsabile del trattamento e che preveda segnatamente che l'incaricato del trattamentoagisca soltanto su istruzione del responsabile del trattamento, in particolare qualora sia vietato il trasferimento dei dati personali usati. :

a)  agisca soltanto su istruzione del responsabile del trattamento;

b)  impieghi esclusivamente personale che abbia accettato di essere vincolato da un obbligo di riservatezza o abbia l'obbligo legale di riservatezza;

c)  prenda tutte le misure richieste ai sensi dell'articolo 27;

d)  coinvolga un altro incaricato del trattamento solo con il permesso del responsabile del trattamento e informi pertanto tempestivamente quest'ultimo dell'intenzione di coinvolgere un altro incaricato affinché il responsabile del trattamento abbia la possibilità di sollevare obiezioni;

e)  per quanto possibile tenuto conto della natura del trattamento, adotti d'intesa con il responsabile del trattamento le condizioni tecniche e organizzative necessarie per l'adempimento dell'obbligo del responsabile del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III;

f)  aiuti il responsabile del trattamento a garantire il rispetto degli obblighi di cui agli articoli da 25 bis a 29;

g)  trasmetta a fine trattamento tutti i risultati al responsabile del trattamento, si astenga dal trattare altrimenti i dati personali e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri ne prescriva la conservazione;

h)  metta a disposizione del responsabile del trattamento e dell'autorità di controllo tutte le informazioni necessarie per verificare il rispetto degli obblighi di cui al presente articolo;

i)  tenga conto del principio della protezione dei dati fin dalla progettazione e per default.

2 bis.  Il responsabile del trattamento e l'incaricato del trattamento documentano per iscritto le istruzioni del responsabile del trattamento e gli obblighi dell'incaricato del trattamento di cui al paragrafo 2.

3.  L'incaricato del trattamento che tratta i dati personali diversamente da quanto indicato nelle istruzioni del responsabile del trattamento è considerato responsabile del trattamento per tale trattamento ed è soggetto alle norme sui corresponsabili del trattamento di cui all'articolo 20. [Em. 83]

Articolo 22

Trattamento sotto l'autorità del responsabile del trattamento e dell'incaricato del trattamento

1.  Gli Stati membri dispongono che l'incaricato del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del responsabile del trattamento, che abbia accesso a dati personali non possa trattare tali dati se non è istruito in tal senso dal responsabile del trattamento, salvo che lo richieda il diritto dell'Unione o di uno Stato membro.

1 bis.  L'incaricato del trattamento che sia o diventi la parte determinante rispetto alle finalità, ai mezzi o ai metodi di trattamento o che non agisca esclusivamente secondo le istruzioni del responsabile del trattamento è considerato un corresponsabile del trattamento ai sensi dell'articolo 20. [Em. 84]

Articolo 23

Documentazione

1.  Gli Stati membri dispongono che ogni responsabile del trattamento e incaricato del trattamento conservi la documentazione di tutti i sistemi e procedure di trattamento sotto la propria responsabilità.

2.  La documentazione contiene almeno le seguenti informazioni:

a)  nome e coordinate di contatto del responsabile del trattamento, o di ogni corresponsabile del trattamento o incaricato del trattamento;

a bis)  accordo giuridicamente vincolante, se vi sono corresponsabili del trattamento; elenco degli incaricati e delle attività di trattamento oggetto dell'incarico;

b)  finalità del trattamento;

b bis)  indicazione delle componenti dell'organizzazione del responsabile del trattamento o dell'incaricato del trattamento a cui è affidato il trattamento dei dati personali per una particolare finalità;

b ter)  descrizione della categoria o delle categorie di interessati e dei pertinenti dati o categorie di dati;

c)  indicazione dei destinatari o delle categorie di destinatari dei dati personali;

c bis)  ove applicabile, informazioni sull'esistenza della profilazione, sulle misure basate sulla profilazione e sui meccanismi per sollevare obiezioni alla profilazione;

c ter)  informazioni intellegibili sulla ratio sottesa al trattamento automatizzato dei dati;

d)  indicazione dei trasferimenti di dati verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale. e la base giuridica del trasferimento dei dati; quando un trasferimento si basa sull'articolo 35 o 36 della presente direttiva viene fornita una spiegazione esauriente;

d bis)  termini di tempo per cancellare le diverse categorie di dati;

d ter)  esiti delle verifiche delle misure di cui all'articolo 18, paragrafo 1;

d quater)  indicazione del fondamento giuridico del trattamento al quale sono destinati i dati.

3.  Il responsabile del trattamento e l'incaricato del trattamento mettono tutta la documentazione a disposizione dell'autorità di controllo, su richiesta. [Em. 85]

Articolo 24

Registrazione

1.  Gli Stati membri provvedono affinché siano registrati almeno i seguenti trattamenti: raccolta, modifica, consultazione, comunicazione, interconnessione e cancellazione. Le registrazioni delle consultazioni e delle comunicazioni indicano in particolare la finalità, la data e l'ora del trattamento e, nella misura del possibile, l'identificazione della persona che ha consultato o comunicato i dati personali, nonché l'identità del destinatario di tali dati .

2.  Le registrazioni sono usate esclusivamente ai fini della verifica della liceità del trattamento dei dati, dell'autocontrollo e per garantire l'integrità e la sicurezza dei dati o a fini di controllo, sia da parte del responsabile della protezione dei dati sia da parte dell'autorità di protezione dei dati .

2 bis.  Il responsabile del trattamento e l'incaricato del trattamento mettono su richiesta la documentazione a disposizione dell'autorità di controllo. [Em. 86]

Articolo 25

Cooperazione con l'autorità di controllo

1.  Gli Stati membri dispongono che il responsabile del trattamento e l'incaricato del trattamento cooperino, su richiesta, con l'autorità di controllo nell'esercizio delle sue funzioni, fornendo in particolare tutte le informazioni necessarie all'esercizio delle sue funzioni di cui all'articolo 46, paragrafo 2, lettera a), e garantendo l'accesso come disposto dall'articolo 46, paragrafo 2, lettera b) .

2.  Quando l'autorità di controllo esercita i poteri a norma dell'articolo 46, paragrafo 1, lettere a) e b), il responsabile del trattamento e l'incaricato del trattamento rispondono a una a sua richiesta entro un termine ragionevole specificato dall'autorità di controllo . La risposta comprende una descrizione delle misure prese a seguito delle osservazioni dell'autorità di controllo e dei risultati raggiunti. [Em. 87]

Articolo 25 bis

Valutazione d'impatto sulla protezione dei dati

1.  Gli Stati membri garantiscono che, laddove le operazioni di trattamento presentino, per loro natura, campo di applicazione o finalità, rischi specifici per i diritti e le libertà degli interessati, il responsabile del trattamento o l'incaricato operante per conto del responsabile valutino l'impatto dei sistemi e delle procedure di trattamento contemplate sulla protezione dei dati personali, prima di nuovi trattamenti o al più presto possibile nel caso dei trattamenti già in essere.

2.  I seguenti trattamenti, in particolare, possono presentare i rischi specifici di cui al paragrafo 1:

a)  trattamento di dati personali in sistemi di archiviazione su vasta scala a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali;

b)  trattamento di categorie particolari di dati personali ex articolo 8, di dati personali riguardanti minori, di dati biometrici e di dati relativi all'ubicazione, a fini di prevenzione, indagine, accertamento e perseguimento di reati ed esecuzione di sanzioni penali.

c)  valutazione di taluni aspetti della personalità o analisi o previsioni relative in particolare al comportamento delle persone, basate su trattamenti automatizzati e che possono produrre effetti giuridici o significativamente incidere sulla sua persona;

d)  la sorveglianza di zone accessibili al pubblico, in particolare se effettuata mediante dispositivi ottico-elettronici (videosorveglianza); oppure

e)  qualunque altro trattamento che richieda la consultazione dell'autorità di controllo ai sensi dell'articolo 26, paragrafo 1.

3.  La valutazione contiene almeno:

a)  una descrizione sistematica del trattamento previsto;

b)  una valutazione della necessità e proporzionalità del trattamento previsto in rapporto alle sue finalità;

c)  una valutazione dei rischi per i diritti e le libertà degli interessati e le misure previste per rimediarvi e per ridurre al massimo il volume dei dati personali trattati;

d)  le misure di sicurezza e i meccanismi atti a garantire la protezione dei dati personali e a dimostrare la conformità alle disposizioni adottate in base alla presente direttiva, tenuto conto dei diritti e dei legittimi interessi degli interessati e di altri soggetti coinvolti.

e)  un'indicazione generale dei termini entro cui vanno cancellate le varie categorie di dati;

f)  se del caso, un'indicazione dei trasferimenti di dati previsti verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui all’articolo 36, paragrafo 2, la documentazione delle idonee garanzie;

4.  Se il responsabile o l'incaricato del trattamento ha nominato un responsabile della protezione dei dati, quest’ultimo partecipa alla procedura di valutazione d’impatto.

5.  Gli Stati membri dispongono che il responsabile del trattamento consulti il pubblico in merito al trattamento previsto, lasciando impregiudicata la tutela del pubblico interesse o la sicurezza del trattamento.

6.  Fatta salva la tutela del pubblico interesse o la sicurezza del trattamento, la valutazione sarà resa facilmente accessibile al pubblico.

7.  Alla Commissione è conferito il potere di adottare, previa richiesta del parere del comitato europeo per la protezione dei dati, atti delegati conformemente all'articolo 56 al fine di precisare i criteri e le condizioni concernenti i trattamenti che possono presentare rischi specifici ex paragrafi 1 e 2 e i requisiti riguardanti la valutazione ex paragrafo 3, comprese le condizioni di scalabilità, verifica e controllabilità. [Em. 88]

Articolo 26

Consultazione preventiva dell'autorità di controllo

1.  Gli Stati membri provvedono affinché, onde garantire che il trattamento previsto sia conforme alle disposizioni adottate ai sensi della presente direttiva e, in particolare, attenuare i rischi per gli interessati, il responsabile del trattamento o l'incaricato del trattamento consulti l'autorità di controllo prima di trattare dati personali che figureranno in un nuovo archivio di prossima creazione se qualora :

a)  si tratta delle categorie particolari di la valutazione d'impatto sulla protezione dei dati di cui all'articolo 8 25 bis indichi che le operazioni di trattamento, per la loro natura, il loro oggetto e/o le loro finalità, possono presentare un alto grado di rischi specifici, oppure ;

b)  il tipo di trattamento, in particolare il ricorso a tecnologie, procedure o meccanismi nuovi, comporta per altri versi l'autorità di controllo ritenga necessario effettuare una consultazione preventiva su determinate operazioni di trattamento che, per la loro natura, il loro oggetto o le loro finalità, possono presentare rischi specifici per i diritti e le libertà fondamentali dell'interessato, segnatamente per quanto attiene alla protezione dei dati personali degli interessati .

1 bis.  Nel caso in cui in base alle sue prerogative l'autorità di controllo stabilisca che il trattamento previsto non è conforme alle disposizioni adottate ai sensi della presente direttiva, in particolare qualora i rischi non siano sufficientemente identificati o attenuati, essa vieta il trattamento previsto e presenta opportune proposte per ovviare al difetto di conformità.

2.  Gli Stati membri possono disporre dispongono che, dopo aver consultato il comitato europeo per la protezione dei dati, l'autorità di controllo stabilisca un elenco di trattamenti soggetti a consultazione preventiva ai sensi del paragrafo 1, lettera b) .

2 bis.  Gli Stati membri prevedono che il responsabile del trattamento o l'incaricato del trattamento trasmetta all'autorità di controllo la valutazione d'impatto sulla protezione dei dati di cui all'articolo 25 bis e, se richiesta, ogni altra informazione, al fine di consentire all'autorità di controllo di effettuare una valutazione della conformità del trattamento, in particolare dei rischi per la protezione dei dati personali dell'interessato e delle relative garanzie.

2 ter.  Se ritiene che il trattamento previsto non sia conforme alle disposizioni adottate ai sensi della presente direttiva o che i rischi non siano sufficientemente identificati o attenuati, l'autorità di controllo presenta opportune proposte per ovviare al difetto di conformità.

2 quater.  Quando predispongono un atto legislativo da sottoporre ai parlamenti nazionali o una misura basata su tale atto in cui venga definita la natura del trattamento, gli Stati membri possono consultare l'autorità di controllo per garantire la conformità del trattamento previsto alla presente direttiva e, in particolare, attenuare i rischi per gli interessati. [Em. 89]

SEZIONE 2

SICUREZZA DEI DATI

Articolo 27

Sicurezza del trattamento

1.  Gli Stati membri dispongono che, tenuto conto dell'evoluzione tecnica e dei costi di attuazione, il responsabile del trattamento e l'incaricato del trattamento mettano in atto idonee misure e procedure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta e alla natura dei dati personali da proteggere.

2.  Ciascuno Stato membro dispone che per il trattamento automatizzato dei dati il responsabile del trattamento o l'incaricato del trattamento, previa valutazione dei rischi, metta in atto misure volte a:

a)  vietare alle persone non autorizzate l'accesso alle attrezzature utilizzate per il trattamento di dati personali (controllo dell'accesso alle attrezzature);

b)  impedire che supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate (controllo dei supporti di dati);

c)  impedire che i dati siano inseriti senza autorizzazione e che i dati personali memorizzati siano visionati, modificati o cancellati senza autorizzazione (controllo della memorizzazione);

d)  impedire che persone non autorizzate utilizzino sistemi di trattamento automatizzato di dati mediante attrezzature per la trasmissione di dati (controllo dell'utente);

e)  garantire che le persone autorizzate a usare un sistema di trattamento automatizzato di dati abbiano accesso solo ai dati cui si riferisce la loro autorizzazione d'accesso (controllo dell'accesso ai dati);

f)  garantire la possibilità di verificare e accertare a quali organismi siano stati o possano essere trasmessi o resi disponibili i dati personali utilizzando attrezzature per la trasmissione di dati (controllo della trasmissione);

g)  garantire la possibilità di verificare e accertare a posteriori quali dati personali sono stati introdotti nei sistemi di trattamento automatizzato dei dati, il momento dell'introduzione e la persona che l'ha effettuata (controllo dell'introduzione);

h)  impedire che i dati personali possano essere letti, copiati, modificati o cancellati da persone non autorizzate durante i trasferimenti di dati personali o il trasporto di supporti di dati (controllo del trasporto);

i)  garantire che, in caso di interruzione, i sistemi utilizzati possano essere ripristinati (recupero);

j)  garantire che le funzioni del sistema siano operative, che eventuali errori di funzionamento siano segnalati (affidabilità) e che i dati personali memorizzati non possano essere falsati da un errore di funzionamento del sistema (autenticità). ;

j bis) assicurare che, in caso di trattamento di dati personali sensibili ex articolo 8, siano poste in essere misure di sicurezza aggiuntive per garantire la consapevolezza situazionale dei rischi e la capacità di adottare, praticamente in tempo reale, interventi di prevenzione, correzione e attenuazione contro vulnerabilità o incidenti che potrebbero costituire un rischio per i dati.

2 bis.  Gli Stati membri dispongono che siano nominati responsabili del trattamento solo organismi in grado di garantire il rispetto delle necessarie misure tecniche e organizzative di cui al paragrafo 1 nonché la conformità alle istruzioni di cui all'articolo 21, paragrafo 2, lettera a). L'autorità competente controlla l'operato dell'incaricato del trattamento sotto tali aspetti.

3.  Se necessario, la Commissione può adottare atti di esecuzione per precisare i requisiti di cui ai paragrafi 1 e 2 in varie situazioni, in particolare gli standard di cifratura. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 57, paragrafo 2. [Em. 90]

Articolo 28

Notificazione di una violazione dei dati personali all'autorità di controllo

1.  Gli Stati membri dispongono che, in caso di violazione dei dati personali, il responsabile del trattamento notifichi la violazione all'autorità di controllo senza ritardo, ove possibile entro le 24 ore dal momento in cui ne è venuto a conoscenza. Qualora non proceda alla notificazione entro 24 ore . In caso di ritardo , il responsabile del trattamento trasmette, su richiesta, all'autorità di controllo una giustificazione motivata.

2.  L'incaricato del trattamento allerta e informa senza ritardo il responsabile del trattamento immediatamente dopo aver accertato la violazione.

3.  La notificazione di cui al paragrafo 1 deve come minimo:

a)  descrivere la natura della violazione dei dati personali, compresi le categorie e il numero di interessati in questione e le categorie e il numero di registrazioni dei dati in questione;

b)  indicare l'identità e le coordinate di contatto del responsabile della protezione dei dati di cui all'articolo 30 o di altro punto di contatto presso cui ottenere più informazioni;

c)  elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione dei dati personali;

d)  descrivere le possibili conseguenze della violazione dei dati personali;

e)  descrivere le misure proposte o adottate dal responsabile del trattamento per porre rimedio alla violazione dei dati personali e mitigarne gli effetti .

Qualora non sia possibile fornire tutte le informazioni senza ritardi, il responsabile del trattamento può completare la notificazione in una fase successiva.

4.  Gli Stati membri dispongono che il responsabile del trattamento documenti la violazione dei dati personali, incluse le circostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi rimedio. La documentazione deve essere sufficiente per consentire all'autorità di controllo di verificare il rispetto del presente articolo. In essa figurano unicamente le informazioni necessarie a tal fine.

4 bis.  L'autorità di controllo tiene un registro pubblico dei tipi di violazioni ufficialmente comunicate.

5.  Alla Commissione è conferito il potere di adottare, previa richiesta del parere del comitato europeo per la protezione dei dati, atti delegati conformemente all'articolo 56 al fine di precisare i criteri e i requisiti concernenti l'accertamento della violazione di dati personali di cui ai paragrafi 1 e 2 e le circostanze particolari in cui il responsabile del trattamento e l'incaricato del trattamento sono tenuti a notificare la violazione.

6.  La Commissione può stabilire il formato standard di tale notificazione all'autorità di controllo, le procedure applicabili all'obbligo di notificazione e la forma e le modalità della documentazione di cui al paragrafo 4, compresi i termini per la cancellazione delle informazioni ivi contenute. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 57, paragrafo 2. [Em. 91]

Articolo 29

Comunicazione di una violazione dei dati personali all'interessato

1.  Gli Stati membri dispongono che quando la violazione dei dati personali rischia di pregiudicare i dati personali, di attentare alla vita privata, ai diritti o agli interessi legittimi dell' interessato, il responsabile del trattamento, dopo aver provveduto alla notificazione di cui all' articolo 28, comunichi la violazione all' interessato senza ingiustificato ritardo.

2.  La comunicazione all’interessato di cui al paragrafo 1 è completa e utilizza un linguaggio semplice e chiaro. Essa descrive la natura della violazione dei dati personali e contiene almeno le informazioni e le raccomandazioni di cui all' articolo 28, paragrafo 3, lettere b), c) e d) come pure le informazioni concernenti i diritti dell'interessato, incluso il ricorso .

3.  Non è richiesta la comunicazione di una violazione dei dati personali all'interessato se il responsabile del trattamento dimostra in modo convincente all'autorità di controllo che ha utilizzato le opportune misure tecnologiche di protezione e che tali misure erano state applicate ai dati violati. Tali misure tecnologiche di protezione devono rendere i dati incomprensibili a chiunque non sia autorizzato ad accedervi.

3 bis.  Fatto salvo l'obbligo per il responsabile del trattamento di comunicare all'interessato la violazione dei dati personali, se il responsabile del trattamento non ha provveduto a comunicare all'interessato la violazione dei dati personali, l'autorità di controllo, considerate le presumibili ripercussioni negative della violazione, può obbligare il responsabile del trattamento a provvedervi.

4.  La comunicazione all'interessato può essere ritardata, limitata od omessa per i motivi di cui all'articolo 11, paragrafo 4. [Em. 92]

SEZIONE 3

RESPONSABILE DELLA PROTEZIONE DEI DATI

Articolo 30

Designazione del responsabile della protezione dei dati

1.  Gli Stati membri dispongono che il responsabile del trattamento o l'incaricato del trattamento designi un responsabile della protezione dei dati.

2.  Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti di cui all’articolo 32. Il livello necessario di conoscenza specialistica è determinato in particolare in base al trattamento di dati effettuato e alla protezione richiesta per i dati personali trattati dal responsabile del trattamento o dall'incaricato del trattamento.

2 bis.  Gli Stati membri dispongono che il responsabile del trattamento o l'incaricato del trattamento si assicuri che ogni altra funzione professionale del responsabile della protezione dei dati sia compatibile con i compiti e le funzioni dello stesso in qualità di responsabile della protezione dei dati e non dia adito a conflitto di interessi.

2 ter.  Il responsabile della protezione dei dati viene nominato per un mandato di almeno quattro anni. Il mandato del responsabile della protezione dei dati è rinnovabile. Durante il mandato può essere destituito dalla carica solo se non soddisfa più le condizioni richieste per l'esercizio delle sue funzioni.

2 quater.  Gli Stati membri dispongono che l'interessato abbia il diritto di contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei suoi dati personali.

3.  Il responsabile della protezione dei dati può essere designato per più enti, tenuto conto della struttura organizzativa dell'autorità competente.

3 bis.  Gli Stati membri dispongono che il responsabile del trattamento o l'incaricato del trattamento comunichi il nome e le coordinate di contatto del responsabile della protezione dei dati all'autorità di controllo e al pubblico. [Em. 93]

Articolo 31

Posizione del responsabile della protezione dei dati

1.  Gli Stati membri dispongono che il responsabile del trattamento o l'incaricato del trattamento si assicuri che il responsabile della protezione dei dati sia prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

2.  Il responsabile del trattamento o l'incaricato del trattamento si assicura che il responsabile della protezione dei dati disponga dei mezzi per adempiere alle funzioni e ai compiti di cui all'articolo 32 in modo efficace ed indipendente e non riceva istruzione alcuna per quanto riguarda l'esercizio della carica.

2 bis.  Il responsabile del trattamento o l'incaricato del trattamento sostiene il responsabile della protezione dei dati nell'esecuzione dei suoi compiti e gli fornisce personale, locali, attrezzature, formazione professionale continua e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cui all'articolo 32, oltre che per mantenerne le competenze professionali. [Em. 94]

Articolo 32

Compiti del responsabile della protezione dei dati

Gli Stati membri dispongono che il responsabile del trattamento o l'incaricato del trattamento conferisca al responsabile della protezione dei dati almeno i seguenti compiti:

a)  sensibilizzare, informare e consigliare il responsabile del trattamento o l' incaricato del trattamento in merito agli obblighi derivanti dalle disposizioni adottate ai sensi della presente direttiva, in particolare riguardo alle misure tecniche e organizzative e alle procedure, e conservare la documentazione relativa a tale attività e alle risposte ricevute;

b)  sorvegliare l'attuazione e l'applicazione delle politiche in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;

c)  sorvegliare l'attuazione e l'applicazione delle disposizioni adottate ai sensi della presente direttiva, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l'informazione dell'interessato e le richieste degli interessati di esercitare i diritti riconosciuti dalle disposizioni adottate ai sensi della presente direttiva;

d)  garantire la conservazione della documentazione di cui all'articolo 23;

e)  controllare che le violazioni dei dati personali siano documentate, notificate e comunicate ai sensi degli articoli 28 e 29;

f)  controllare che la valutazione d'impatto sulla protezione dei dati sia richiesta dal responsabile o dall'incaricato del trattamento e che sia presentata domanda di consultazione preventiva all' autorità di controllo nei casi previsti dall' articolo 26, paragrafo 1 ;

g)  controllare che sia dato seguito alle richieste dell'autorità di controllo e, nell'ambito delle sue competenze, cooperare con l'autorità di controllo di propria iniziativa o su sua richiesta;

h)  fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l'autorità di controllo di propria iniziativa. [Em. 95]

CAPO V

TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI O ORGANIZZAZIONI INTERNAZIONALI

Articolo 33

Principi generali per il trasferimento

1.  Gli Stati membri dispongono che sia ammesso il trasferimento, a cura di un'autorità competente, di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un'organizzazione internazionale, compreso il trasferimento successivo verso un altro paese terzo o un'altra organizzazione internazionale, soltanto se:

a)  il trasferimento è necessario a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali; e

a bis)  i dati sono trasferiti al responsabile del trattamento in un paese terzo o un'organizzazione internazionale che sia una pubblica autorità competente ai fini dell'articolo 1, paragrafo 1; e

a ter)  il responsabile del trattamento e l'incaricato del trattamento rispettano le condizioni indicate nel presente capo, compreso il trasferimento successivo di dati personali da un paese terzo o un'organizzazione internazionale verso un altro paese terzo o un'altra organizzazione internazionale; e

b)  il responsabile del trattamento e l'incaricato del trattamento rispettano le condizioni indicate nel altre disposizioni adottate ai sensi della presente capo. direttiva; e

b bis)   il livello di protezione dei dati personali degli interessati garantito nell'Unione dalla presente direttiva non è compromesso; e

b ter)  la Commissione ha deciso, a norma delle condizioni e procedure di cui all'articolo 34, che il paese terzo o l'organizzazione internazionale in questione garantiscono un livello adeguato di protezione; oppure

b quater)  sono offerte garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante come indicato all'articolo 35.

2.  Gli Stati membri dispongono che i trasferimenti successivi di cui al primo paragrafo del presente articolo siano ammessi se, in aggiunta alle condizioni indicate in detto paragrafo:

a)  il trasferimento successivo è necessario per la stessa finalità specifica del trasferimento originale; e

b)  l'autorità competente che ha eseguito il trasferimento originale autorizza il trasferimento successivo. [Em. 96]

Articolo 34

Trasferimento previa decisione di adeguatezza

1.  Gli Stati membri dispongono che sia ammesso il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale se la Commissione ha deciso, conformemente all'articolo 41 del regolamento (UE) …./2012 o al paragrafo 3 del presente articolo, che il paese terzo, o un territorio o settore di trattamento all'interno del paese terzo, o l'organizzazione internazionale in questione garantisce un livello di protezione adeguato. In tal caso il trasferimento non necessita di ulteriori autorizzazioni particolari .

2.  In mancanza di decisione adottata conformemente all'articolo 41 del regolamento (UE) …./2012, la Commissione valuta Nel valutare l'adeguatezza del livello di protezione prendendo la Commissione prende in considerazione i seguenti elementi:

a)  lo stato di diritto, la pertinente legislazione generale e settoriale vigente, anche in materia penale, di pubblica sicurezza, difesa e sicurezza nazionale, l'attuazione di tale legislazione e le misure di sicurezza osservate nel paese terzo o dall'organizzazione internazionale in questione, i precedenti giurisprudenziali nonché i diritti effettivi e azionabili, compreso il diritto degli interessati a un ricorso effettivo in sede amministrativa e giudiziaria, in particolare quelli che risiedono nell'Unione e i cui dati personali sono oggetto di trasferimento;

b)  l'esistenza e l'effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o nell'organizzazione internazionale in questione, incaricate di garantire con sufficienti poteri sanzionatori il rispetto delle norme di protezione dei dati, assistere e consigliare gli interessati in merito all'esercizio dei loro diritti e cooperare con le autorità di controllo dell'Unione e degli Stati membri; e

c)  gli impegni internazionali assunti dal paese terzo o dall'organizzazione internazionale in questione, in particolare eventuali convenzioni o strumenti giuridicamente vincolanti concernenti la protezione dei dati personali .

3.  La Commissione può Alla Commissione è conferito il potere di adottare, previa richiesta del parere del comitato europeo per la protezione dei dati, atti delegati conformemente all'articolo 56 al fine di decidere, nei limiti della presente direttiva, che un paese terzo, o un territorio o settore di trattamento all'interno del paese terzo, o un'organizzazione internazionale garantisce un livello di protezione adeguato ai sensi del paragrafo 2. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 57, paragrafo 2.

4.  L'atto di esecuzione delegato specifica il proprio campo di applicazione geografico e settoriale e, se del caso, identifica l'autorità di controllo di cui al paragrafo 2, lettera b).

4 bis.  La Commissione controlla, su base continuativa, gli sviluppi che potrebbero incidere sull'attuazione degli elementi elencati al paragrafo 2 nei paesi terzi e organizzazioni internazionali in relazione ai quali è stato adottato un atto delegato ai sensi del paragrafo 3.

5.  La Alla Commissione può è conferito il potere di adottare atti delegati conformemente all'articolo 56 al fine di decidere, nei limiti della presente direttiva, che un paese terzo, o un territorio o settore di trattamento all'interno del paese terzo, o un'organizzazione internazionale non garantisce un livello di protezione adeguato ai sensi del paragrafo 2, in particolare nei casi in cui la pertinente legislazione generale e settoriale vigente nel paese terzo o per l'organizzazione internazionale in questione non garantisce diritti effettivi e azionabili, compreso il diritto degli interessati a un ricorso effettivo in sede amministrativa e giudiziaria, in particolare quelli i cui dati personali sono oggetto di trasferimento. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 57, paragrafo 2, o, in casi di estrema urgenza per gli interessati relativamente al loro diritto alla protezione dei dati, secondo la procedura cui all'articolo 57, paragrafo 3.

6.  Gli Stati membri provvedono affinché quando la Commissione decide, ai sensi del paragrafo 5, che è vietato il trasferimento di dati personali verso il paese terzo, o un territorio o settore di trattamento all'interno del paese terzo, o verso l'organizzazione internazionale in questione, tale decisione faccia salvi i trasferimenti ai sensi dell'articolo 35, paragrafo 1, o dell'articolo 36 . La Commissione avvia, al momento opportuno, consultazioni con il paese terzo o l'organizzazione internazionale per porre rimedio alla situazione risultante dalla decisione di cui al paragrafo 5.

7.  La Commissione pubblica nella Gazzetta ufficiale dell'Unione europea l'elenco dei paesi terzi, dei territori e settori di trattamento all'interno di un paese terzo, e delle organizzazioni internazionali per i quali ha deciso che è o non è garantito un livello di protezione adeguato.

8.  La Commissione sorveglia l'applicazione degli atti di esecuzione delegati di cui ai paragrafi 3 e 5. [Em. 97]

Articolo 35

Trasferimento in presenza di garanzie adeguate

1.  Se la Commissione non ha preso alcuna decisione ai sensi dell'articolo 34, gli Stati membri dispongono che il trasferimento di dati personali a ovvero decide che un destinatario in un paese terzo, una sua regione o presso un'organizzazione internazionale possa aver luogo se: , non garantiscono adeguati livelli di protezione in conformità dell'articolo 34, paragrafo 5, il responsabile del trattamento o l'incaricato del trattamento può trasferire dati personali verso un paese terzo, una sua regione o un'organizzazione internazionale solo se ha offerto garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante.

a)  sono offerte garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante, oppure

b)  il responsabile del trattamento o l'incaricato del trattamento ha valutato tutte le circostanze relative al trasferimento dei dati personali e ritiene che sussistano garanzie adeguate per la protezione dei dati personali.

2.  La decisione di trasferimento ai sensi del paragrafo 1, lettera b), è presa da personale debitamente autorizzato. Il trasferimento è documentato e, su richiesta, la documentazione è messa a disposizione dell' deve essere preventivamente autorizzato dall' autorità di controllo. [Em. 98]

Articolo 36

Deroghe

1.  Se, ai sensi dell'articolo 34, paragrafo 5, la Commissione decide che non sussiste un adeguato livello di protezione, il trasferimento di dati personali verso il paese terzo interessato o verso l'organizzazione internazionale in questione non ha luogo se nel caso specifico i legittimi interessi delle persone interessate al non trasferimento dei dati prevalgono sull'interesse pubblico al trasferimento.

2.  In deroga agli articoli 34 e 35, gli Stati membri dispongono che sia ammesso il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale soltanto a condizione che:

a)  il trasferimento sia necessario per salvaguardare un interesse vitale dell'interessato o di un terzo, oppure

b)  il trasferimento sia necessario per salvaguardare i legittimi interessi dell'interessato qualora lo preveda il diritto dello Stato membro che trasferisce i dati personali, oppure

c)  il trasferimento dei dati sia essenziale per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo, oppure

d)  il trasferimento sia necessario, in singoli casi, per prevenire, indagare, accertare o perseguire reati o eseguire sanzioni penali, oppure

e)  il trasferimento sia necessario, in singoli casi, per accertare, esercitare o difendere un diritto in sede giudiziaria in relazione alla prevenzione, all'indagine, all'accertamento o al perseguimento di uno specifico reato o all'esecuzione di una specifica sanzione penale.

2 bis.  Il trattamento che si basa sull'articolo 2 deve avere una base giuridica nel diritto dell'Unione, o nel diritto dello Stato membro a cui è soggetto il responsabile del trattamento; la normativa in questione deve soddisfare un interesse pubblico o l'esigenza di protezione dei diritti e delle libertà di terzi, rispettare nella sostanza il diritto alla protezione dei dati personali ed essere proporzionata al legittimo obiettivo perseguito.

2 ter.  Tutti i trasferimenti di dati disposti mediante deroghe devono essere adeguatamente motivati e limitati allo stretto necessario. Non sono ammessi trasferimenti ingenti e frequenti di dati.

2 quater.  La decisione di trasferimento ai sensi del paragrafo 2 è presa da personale debitamente autorizzato. Il trasferimento è documentato e, su richiesta, la documentazione è messa a disposizione dell’autorità di controllo con l'indicazione della data e ora del trasferimento, delle informazioni sull'autorità ricevente, della motivazione del trasferimento, e dei dati trasferiti. [Em. 99]

Articolo 37

Condizioni specifiche per il trasferimento di dati personali

Gli Stati membri prevedono che il responsabile del trattamento informi il destinatario dei dati personali di ogni limitazione di trattamento e prenda tutte le misure ragionevoli per garantirne il rispetto. Il responsabile del trattamento comunica altresì al destinatario dei dati personali ogni aggiornamento, rettifica o cancellazione dei dati e il destinatario provvede, a sua volta, alla medesima comunicazione in caso di trasferimento successivo. [Em. 100]

Articolo 38

Cooperazione internazionale per la protezione dei dati personali

1.  In relazione ai paesi terzi e alle organizzazioni internazionali, la Commissione e gli Stati membri adottano misure appropriate per:

a)  sviluppare efficaci meccanismi di cooperazione internazionale per facilitare garantire l'applicazione della legislazione sulla protezione dei dati personali; [Em. 101]

b)  prestare assistenza reciproca a livello internazionale nell'applicazione della legislazione sulla protezione dei dati personali, in particolare mediante notificazione, deferimento dei reclami, assistenza alle indagini e scambio di informazioni, fatte salve garanzie adeguate per la protezione dei dati personali e gli altri diritti e libertà fondamentali;

c)  coinvolgere le parti interessate pertinenti in discussioni e attività dirette a promuovere la cooperazione internazionale nell'applicazione della legislazione sulla protezione dei dati personali;

d)  promuovere lo scambio e la documentazione delle legislazioni e pratiche in materia di protezione dei dati personali.

d bis)  chiarire e consultarsi sui conflitti giurisdizionali con paesi terzi. [Em. 102]

2.  Ai fini del paragrafo 1, la Commissione adotta le misure appropriate per intensificare i rapporti con quei paesi terzi e quelle organizzazioni internazionali, in particolare le loro autorità di controllo, per cui abbia deciso che garantiscono un livello adeguato di protezione ai sensi dell'articolo 34, paragrafo 3.

Articolo 38 bis

Relazione della Commissione

La Commissione presenta a intervalli regolari al Parlamento europeo e al Consiglio una relazione sull'applicazione degli articoli da 33 a 38. La prima relazione è trasmessa entro quattro anni dall'entrata in vigore della presente direttiva, A tale fine, la Commissione può chiedere informazioni - che devono esserle fornite senza indugio - agli Stati membri e alle autorità di controllo. Le relazioni sono pubblicate. [Em. 103]

CAPO VI

AUTORITÀ DI CONTROLLO INDIPENDENTI

SEZIONE 1

INDIPENDENZA

Articolo 39

Autorità di controllo

1.  Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare l'applicazione delle disposizioni adottate ai sensi della presente direttiva e di contribuire alla sua coerente applicazione in tutta l'Unione, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali e di agevolare la libera circolazione dei dati personali all'interno dell'Unione. A tale scopo le autorità di controllo cooperano tra loro e con la Commissione.

2.  Gli Stati membri possono disporre che l'autorità di controllo istituita negli Stati membri ai sensi del regolamento (UE) …./2014 assolva i compiti dell'autorità di controllo da istituirsi ai sensi del paragrafo 1

3.  Qualora in uno Stato membro siano istituite più autorità di controllo, detto Stato membro designa l'autorità di controllo che funge da punto di contatto unico per l'effettiva partecipazione di tali autorità al comitato europeo per la protezione dei dati.

Articolo 40

Indipendenza

1.  Gli Stati membri provvedono affinché l’autorità di controllo eserciti le sue funzioni e i suoi poteri in piena indipendenza, anche in presenza di accordi di cooperazione a norma del Capo VII della presente direttiva .[Em. 104]

2.  Ogni Stato membro dispone che nell' adempimento delle loro funzioni i membri dell' autorità di controllo non sollecitino né accettino istruzioni da alcuno e mantengano piena indipendenza e imparzialità . [Em. 105]

3.  Per tutta la durata del mandato, i membri dell'autorità di controllo si astengono da qualunque azione incompatibile con le loro funzioni e non possono esercitare alcuna altra attività professionale incompatibile, remunerata o meno.

4.  Al termine del mandato i membri dell'autorità di controllo agiscono con integrità e discrezione nell'accettazione di nomine e altri benefici.

5.  Ogni Stato membro provvede affinché l'autorità di controllo sia dotata di risorse umane, tecniche e finanziarie adeguate, dei locali e delle infrastrutture necessarie per l'effettivo esercizio delle sue funzioni e dei suoi poteri, compresi quelli nell'ambito dell'assistenza reciproca, della cooperazione e della partecipazione attiva al comitato europeo per la protezione dei dati.

6.  Ogni Stato membro provvede affinché l'autorità di controllo abbia il proprio personale, nominato dal responsabile dell'autorità di controllo e soggetto alla direzione di quest'ultimo.

7.  Gli Stati membri garantiscono che l'autorità di controllo sia soggetta a un controllo finanziario che non ne pregiudichi l'indipendenza. Gli Stati membri garantiscono che l'autorità di controllo disponga di bilanci annuali separati. I bilanci sono pubblicati.

Articolo 41

Condizioni generali per i membri dell'autorità di controllo

1.  Ogni Stato membro dispone che a nominare i membri dell'autorità di controllo debba essere il proprio parlamento o governo.

2.  I membri sono scelti tra personalità che offrono ogni garanzia di indipendenza e che possiedono un'esperienza e competenze notorie per l'esercizio delle loro funzioni.

3.  Il mandato dei membri cessa alla scadenza del termine o in caso di dimissioni o di provvedimento d'ufficio, a norma del paragrafo 5.

4.  I membri possono essere rimossi o privati del diritto a pensione o di altri vantaggi sostitutivi dall'autorità giurisdizionale nazionale competente qualora non siano più in possesso dei requisiti necessari per l'esercizio delle loro funzioni o abbiano commesso una colpa grave.

5.  Allo scadere del mandato o qualora rassegni le sue dimissioni, il membro continua a esercitare le sue funzioni fino alla nomina di un nuovo membro.

Articolo 42

Norme sull'istituzione dell'autorità di controllo

Ogni Stato membro prevede con legge:

a)  l'istituzione e lo status dell'autorità di controllo in conformità degli articoli 39 e 40;

b)  le qualifiche, l'esperienza e le competenze richieste per l'esercizio delle funzioni di membro dell'autorità di controllo;

c)  le norme e le procedure per la nomina dei membri dell'autorità di controllo, e le norme sulle attività o professioni incompatibili con le loro funzioni;

d)  la durata del mandato dei membri dell'autorità di controllo, che non può essere inferiore a quattro anni, salvo per le prime nomine dopo l'entrata in vigore della presente direttiva, alcune delle quali possono avere una durata inferiore;

e)  l'eventuale rinnovabilità del mandato dei membri dell'autorità di controllo;

f)  le regole e le condizioni comuni che disciplinano le funzioni dei membri e del personale dell'autorità di controllo;

g)  le norme e le procedure relative alla cessazione delle funzioni dei membri dell'autorità di controllo, anche per il caso in cui non siano più in possesso dei requisiti necessari per l'esercizio delle loro funzioni o abbiano commesso una colpa grave.

Articolo 43

Segreto professionale

Gli Stati membri dispongono, in conformità con le legislazioni e prassi nazionali, che durante e dopo il mandato i membri e il personale dell’autorità di controllo siano tenuti al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso nell’esercizio delle loro funzioni, funzioni che essi dovranno svolgere con indipendenza e trasparenza come prescritto dalla presente direttiva . [Em. 106]

SEZIONE 2

FUNZIONI E POTERI

Articolo 44

Competenza

1.  Gli Stati membri dispongono che ogni autorità di controllo eserciti abbia la competenza necessaria per svolgere i propri compiti e per esercitare , nel territorio del suo Stato membro, i poteri di cui gode a norma della presente direttiva. [Em. 107]

2.  Gli Stati membri dispongono che l'autorità di controllo non sia competente per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell'esercizio delle loro funzioni giurisdizionali.

Articolo 45

Funzioni

1.  Gli Stati membri dispongono che l'autorità di controllo:

a)  sorvegli e garantisca l'applicazione delle disposizioni adottate ai sensi della presente direttiva e delle relative misure di esecuzione;

b)  tratti i reclami proposti dagli interessati o da associazioni che li rappresentano e che siano da questi debitamente autorizzate ai sensi dell'articolo 50, svolga le indagini opportune e informi l'interessato o l'associazione dello stato e dell'esito del reclamo entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un'altra autorità di controllo;

c)  verifichi la liceità del trattamento dei dati ai sensi dell'articolo 14 e informi l'interessato entro un termine ragionevole dell'esito della verifica o dei motivi per cui non è stata effettuata;

d)  presti assistenza reciproca alle altre autorità di controllo e garantisca l'applicazione e l'attuazione coerente delle disposizioni adottate ai sensi della presente direttiva;

e)  svolga indagini, ispezioni e audit di propria iniziativa oppure a seguito di un reclamo o su richiesta di un'altra autorità di controllo, ed entro un termine ragionevole ne comunichi l'esito all'interessato che abbia proposto reclamo;

f)  sorvegli gli sviluppi che presentano un interesse, se ed in quanto incidenti sulla protezione dei dati personali, in particolare l'evoluzione delle tecnologie dell'informazione e della comunicazione;

g)  sia consultata dalle istituzioni e dagli organismi degli Stati membri in merito alle misure legislative e amministrative relative alla tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali;

h)  sia consultata in merito ai trattamenti conformemente all'articolo 26;

i)  participi alle attività del comitato europeo per la protezione dei dati.

2.  Ogni autorità di controllo promuove la sensibilizzazione del pubblico ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali. Sono oggetto di particolare attenzione le attività destinate specificamente ai minori.

3.  L'autorità di controllo, su richiesta, consiglia l'interessato in merito all'esercizio dei diritti derivanti dalle disposizioni adottate ai sensi della presente direttiva e, se del caso, coopera a tal fine con le autorità di controllo di altri Stati membri.

4.  L'autorità di controllo fornisce un modulo compilabile elettronicamente per la proposizione dei reclami di cui al paragrafo 1, lettera b), senza escludere altri mezzi di comunicazione.

5.  Gli Stati membri dispongono che l'autorità di controllo svolga le proprie funzioni senza spese per l'interessato.

6.  Qualora le richieste siano vessatorie manifestamente eccessive , in particolare per il loro carattere ripetitivo, l'autorità di controllo può esigere un contributo spese o non effettuare quanto richiesto dall'interessato ragionevole . Tale contributo spese non supera i costi di esecuzione dell'azione richiesta. Incombe all'autorità di controllo dimostrare il carattere vessatorio manifestamente eccessivo della richiesta. [Em. 108]

Articolo 46

Poteri

1.  Gli Stati membri dispongono che a ogni autorità di controllo siano riconosciuti in particolare abbia il potere di :

a)  poteri investigativi, come la facoltà di accedere ai dati oggetto di trattamento e di raccogliere qualsiasi informazione necessaria all'esercizio della sua funzione di controllo notificare al responsabile del trattamento o all'incaricato del trattamento le asserite violazioni delle disposizioni sul trattamento dei dati personali e, all'occorrenza, ingiungere al responsabile del trattamento o all'incaricato del trattamento di porre rimedio alle violazioni con misure specifiche, al fine di migliorare la protezione degli interessati ;

b)  poteri effettivi d'intervento, come quello di esprimere pareri prima dell'avvio di trattamenti e di dar loro adeguata pubblicità, o quello di ordinare la limitazione, la cancellazione o la distruzione dei dati o di vietare a titolo provvisorio o definitivo un trattamento, oppure quello di rivolgere un avvertimento o un monito al responsabile del trattamento o di adire i parlamenti o altre istituzioni politiche nazionali di conformarsi alle richieste dell'interessato di esercitare i propri diritti ai sensi della presente direttiva, compresi quelli previsti dagli articoli da 12 a 17, laddove tali richieste siano state respinte in violazione di tali disposizioni ;

c)  il potere di agire in sede giudiziale o stragiudiziale in caso di violazione delle disposizioni adottate ai sensi della presente direttiva. ordinare al responsabile del trattamento o all'incaricato del trattamento di fornire le informazioni di cui all'articolo 10, paragrafo 1 e 2, e agli articoli 11, 28 e 29;

d)  assicurare il rispetto dei pareri relativi alle precedenti consultazioni di cui all'articolo 26;

e)  rivolgere avvertimenti o moniti al responsabile del trattamento o all'incaricato del trattamento;

f)  ordinare la rettifica, la cancellazione o la distruzione di tutti i dati trattati in violazione delle disposizioni della presente direttiva e la notificazione di tali misure ai terzi cui sono stati trasmessi i dati;

g)  vietare trattamenti, a titolo provvisorio o definitivo;

h)  sospendere la circolazione dei dati verso un destinatario in un paese terzo o un'organizzazione internazionale;

i)  informare i parlamenti nazionali, il governo o altre istituzioni pubbliche e il pubblico in merito.

2.  Ogni autorità di controllo dispone dei poteri investigativi necessari per ottenere dal responsabile del trattamento o dall'incaricato del trattamento:

a)  l'accesso a tutti i dati personali e a tutte le informazioni necessarie per l'esercizio della sua funzione di controllo;

b)  l'accesso a tutti i suoi locali, comprese le attrezzature e i mezzi, conformemente al diritto nazionale, laddove vi siano motivi ragionevoli per presumere che vi si svolga un'attività in violazione delle disposizioni adottate ai sensi della presente direttiva, fatta salva l'eventuale autorizzazione giudiziaria prescritta dal diritto nazionale.

3.  Fatto salvo l'articolo 43, gli Stati membri dispongono che non siano prescritti ulteriori requisiti di segretezza su richiesta delle autorità di controllo.

4.  Gli Stati membri possono disporre che siano richieste ulteriori indagini di sicurezza in linea con il diritto nazionale per l'accesso a informazioni classificate a un livello pari o superiore a "EU CONFIDENTIAL". Se il diritto dello Stato membro della competente autorità di controllo non prescrive ulteriori indagini di sicurezza, la mancata previsione di tali indagini deve essere riconosciuta da tutti gli altri Stati membri.

5.  Ogni autorità di controllo ha il potere di adire le autorità giudiziarie per le violazioni delle disposizioni adottate ai sensi della presente direttiva e di agire in sede giudiziale ai sensi dell'articolo 53, paragrafo 2.

6.  Ogni autorità di controllo ha il potere di imporre sanzioni per violazioni amministrative. [Em. 109]

Articolo 46 bis

Segnalazione di violazioni

1.  Gli Stati membri dispongono che le autorità di controllo tengano conto delle linee guida emesse dal comitato europeo per la protezione dei dati a norma dell'articolo 66, paragrafo 4, lettera b del regolamento (UE) …/2014 e pongano in essere dispositivi efficaci per incoraggiare la segnalazione riservata di violazioni della presente direttiva.

2.  Gli Stati membri dispongono che le autorità competenti pongano in essere dispositivi efficaci per incoraggiare la segnalazione riservata di violazioni della presente direttiva. [Em. 110]

Articolo 47

Relazione di attività

Gli Stati membri dispongono che ogni autorità di controllo elabori una relazione annuale sulla propria attività almeno ogni due anni . La relazione è messa a disposizione del pubblico, del rispettivo parlamento nazionale, della Commissione e del comitato europeo per la protezione dei dati. Essa indica in che misura le autorità competenti, all'interno della loro giurisdizione, abbiano ottenuto dati in possesso di soggetti privati allo scopo di indagare o perseguire reati. [Em. 111]

CAPO VII

COOPERAZIONE

Articolo 48

Assistenza reciproca

1.  Gli Stati membri dispongono che le autorità di controllo si prestino assistenza reciproca al fine di attuare e applicare le disposizioni adottate ai sensi della presente direttiva in maniera coerente, e prendano misure per cooperare efficacemente tra loro. L'assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di consultazione preventiva, le ispezioni e le indagini.

2.  Gli Stati membri dispongono che l'autorità di controllo prenda tutte le misure opportune necessarie per dare seguito alle richieste delle altre autorità di controllo. Tali misure possono includere in particolare la trasmissione immediata, e comunque entro un mese dal ricevimento della richiesta, di informazioni pertinenti o gli interventi necessari per far cessare o vietare trattamenti contrari alla presente direttiva.

2 bis.  La richiesta di assistenza contiene tutte le informazioni necessarie, compresi lo scopo e i motivi della richiesta. Le informazioni scambiate sono utilizzate ai soli fini per cui sono state richieste.

2 ter.  L'autorità di controllo cui è presentata una richiesta di assistenza non può rifiutare di darvi seguito, salvo che:

a)  non sia competente per trattarla, oppure

b)  l'accoglimento della richiesta sarebbe incompatibile con le disposizioni adottate ai sensi della direttiva.

3.  L'autorità di controllo richiesta informa l'autorità di controllo richiedente dell'esito o, se del caso, dei progressi o delle misure prese per rispondere alla sua richiesta.

3 bis.  Le autorità di controllo forniscono al più presto e per via elettronica, con modulo standard, le informazioni richieste da altre autorità di controllo.

3 ter.  Non è imposta alcuna commissione per le misure prese a seguito di una richiesta di assistenza reciproca. [Em. 112]

Articolo 48 bis

Operazioni congiunte

1.  Per promuovere la cooperazione e la reciproca assistenza, gli Stati membri dispongono che le autorità di controllo possano adottare misure di applicazione e altre operazioni congiunte in cui i membri o il personale designati dalle autorità di controllo degli altri Stati membri partecipino a operazioni all'interno del territorio dello Stato membro.

2.  Gli Stati membri dispongono che nei casi in cui gli interessati di un altro Stato membro o di altri Stati membri possano essere interessati dai trattamenti, l'autorità di controllo competente possa essere invitata a partecipare alle operazioni congiunte. L'autorità di controllo competente invita l'autorità di controllo di ogni Stato membro in questione a partecipare alla rispettiva operazione e laddove sia invitata, a rispondere senza ritardi alla richiesta di un'autorità di controllo di partecipare alle operazioni.

3.  Gli Stati membri stabiliscono gli aspetti pratici delle specifiche azioni di cooperazione. [Em. 113]

Articolo 49

Compiti del comitato europeo per la protezione dei dati

1.  Il comitato europeo per la protezione dei dati istituito con regolamento (UE)…./2012 2014 esercita i seguenti compiti in relazione ai trattamenti rientranti nell'ambito di applicazione della presente direttiva:

a)  consiglia la Commissione le istituzioni dell'Unione in merito a qualsiasi questione relativa alla protezione dei dati personali nell'Unione, comprese eventuali proposte di modifica della presente direttiva;

b)  esamina, di propria iniziativa o su richiesta di uno dei suoi membri o della Commissione, del Parlamento europeo o del Consiglio, qualsiasi questione relativa all'applicazione delle disposizioni adottate ai sensi della presente direttiva e pubblica linee direttrici, raccomandazioni e migliori pratiche destinate alle autorità di controllo al fine di promuovere l'applicazione coerente di tali disposizioni, anche per quanto attiene all'utilizzo dei poteri di applicazione ;

c)  valuta l'applicazione pratica delle linee direttrici, raccomandazioni e migliori pratiche di cui alla lettera b), riferendo regolarmente alla Commissione;

d)  fornisce alla Commissione pareri sul livello di protezione garantito da paesi terzi o organizzazioni internazionali;

e)  promuove la cooperazione e l'effettivo scambio di informazioni e pratiche tra le autorità di controllo a livello bilaterale e multilaterale, compreso il coordinamento di operazioni congiunte e di altre attività congiunte laddove decida in tal senso su richiesta di una o più autorità di controllo ;

f)  promuove programmi comuni di formazione e facilita lo scambio di personale tra le autorità di controllo e, se del caso, con le autorità di controllo di paesi terzi o di organizzazioni internazionali;

g)  promuove lo scambio di conoscenze e documentazione sul diritto e sulle pratiche in materia di protezione dei dati tra autorità di controllo di tutto il mondo. ;

g bis)  rende pareri alla Commissione nella preparazione di atti delegati e di esecuzione ai sensi della presente direttiva.

2.  Qualora chieda chiedano consulenza al comitato europeo per la protezione dei dati, il Parlamento europeo, il Consiglio o la Commissione può possono fissare un termine entro il quale questo deve rispondere alla richiesta, tenuto conto dell'urgenza della questione.

3.  Il Comitato europeo per la protezione dei dati trasmette i propri pareri, linee direttrici, raccomandazioni e migliori pratiche alla Commissione e al comitato di cui all'articolo 57, paragrafo 1, e li rende pubblici.

4.  La Commissione informa il comitato europeo per la protezione dei dati del seguito dato ai suoi pareri, linee direttrici, raccomandazioni e migliori pratiche. [Em. 114]

CAPO VIII

RICORSI, RESPONSABILITÀ E SANZIONI

Articolo 50

Diritto di proporre reclamo all'autorità di controllo

1.  Gli Stati membri dispongono che, fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento dei suoi dati personali non sia conforme alle disposizioni adottate ai sensi della presente direttiva abbia il diritto di proporre reclamo all'autorità di controllo di qualunque Stato membro.

2.  Gli Stati membri dispongono che ogni organismo, organizzazione o associazione che tuteli i diritti agisca nel pubblico interesse e gli interessi degli interessati in relazione alla protezione dei loro dati personali e che sia stato debitamente costituito o costituita secondo il diritto di uno Stato membro abbia il diritto di proporre reclamo all'autorità di controllo di qualunque Stato membro per conto di uno o più interessati qualora ritenga che siano stati violati diritti derivanti dalla presente direttiva a seguito del trattamento di dati personali. L'organizzazione o associazione deve essere debitamente autorizzata dall'interessato. [Em. 115]

3.  Gli Stati membri dispongono che, indipendentemente dall'eventuale reclamo dell'interessato, ogni organismo, organizzazione o associazione di cui al paragrafo 2 che ritenga che sussista violazione dei dati personali abbia il diritto di proporre reclamo all'autorità di controllo di qualunque Stato membro.

Articolo 51

Diritto a un ricorso giurisdizionale contro l'autorità di controllo

1.  Gli Stati membri prevedono il diritto di ogni persona fisica o giuridica di proporre ricorso giurisdizionale avverso le decisioni dell' autorità di controllo che la riguardino .

2.  Gli Stati membri dispongono che ogni interessato ha il diritto di proporre ricorso giurisdizionale per obbligare l' autorità di controllo a dare seguito a un reclamo qualora tale autorità non abbia preso una decisione necessaria per tutelarne i diritti o non lo abbia informato entro tre mesi dello stato o dell' esito del reclamo ai sensi dell' articolo 45, paragrafo 1, lettera b).

3.  Gli Stati membri dispongono che le azioni contro l'autorità di controllo siano promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l'autorità di controllo è stabilita.

3 bis.  Gli Stati membri provvedono a che le decisioni definitive delle autorità giurisdizionali di cui al presente articolo siano rese esecutive. [Em. 116]

Articolo 52

Diritto a un ricorso giurisdizionale contro il responsabile del trattamento o l'incaricato del trattamento

1.  Gli Stati membri dispongono che, fatto salvo ogni altro ricorso amministrativo disponibile, compreso il diritto di proporre reclamo a un'autorità di controllo, chiunque abbia il diritto di proporre ricorso giurisdizionale qualora ritenga che siano stati violati i diritti di cui gode a norma delle disposizioni adottate ai sensi della presente direttiva in seguito a un trattamento dei suoi dati personali non conforme a tali disposizioni.

1 bis.  Gli Stati membri provvedono a che le decisioni definitive delle autorità giurisdizionali di cui al presente articolo siano rese esecutive. [Em. 117]

Articolo 53

Norme comuni per i procedimenti giurisdizionali

1.  Gli Stati membri dispongono che ogni organismo, organizzazione o associazione di cui all'articolo 50, paragrafo 2, abbia il diritto di esercitare i diritti di cui agli articoli 51 e 52 per conto articoli 51, 52 e 54 su mandato di uno o più interessati. [Em. 118]

2.  Gli Stati membri dispongono che ogni autorità di controllo ha il diritto di agire in sede giudiziale o stragiudiziale per far rispettare le disposizioni adottate ai sensi della presente direttiva o garantire la coerenza della protezione dei dati personali all'interno dell'Unione. [Em. 119]

3.  Gli Stati membri provvedono affinché i ricorsi giurisdizionali previsti dal diritto nazionale consentano di prendere rapidamente provvedimenti, anche provvisori, atti a porre fine alle asserite violazioni e impedire ulteriori danni agli interessi in causa.

Articolo 54

Diritto al risarcimento e responsabilità

1.  Gli Stati membri dispongono che chiunque subisca un danno, anche non pecuniario, cagionato da un trattamento illecito o da altro atto incompatibile con le disposizioni adottate ai sensi della presente direttiva abbia il diritto di ottenere pretendere il risarcimento del danno dal responsabile del trattamento o dall'incaricato del trattamento. [Em. 120]

2.  Qualora il trattamento coinvolga più responsabili del trattamento o incaricati del trattamento, ogni responsabile del trattamento o incaricato del trattamento risponde in solido per l'intero ammontare del danno.

3.  Il responsabile del trattamento o l'incaricato del trattamento può essere esonerato in tutto o in parte da tale responsabilità se prova che l'evento dannoso non gli è imputabile.

Articolo 55

Sanzioni

Gli Stati membri determinano le sanzioni per violazione delle disposizioni adottate ai sensi della presente direttiva e prendono tutti i provvedimenti necessari per la loro applicazione. Le sanzioni previste devono essere efficaci, proporzionate e dissuasive.

CAPO VIII bis

TRASMISSIONE DI DATI PERSONALI A TERZI

Articolo 55 bis

Trasmissione di dati personali ad altre autorità o a privati nell'Unione europea

1.  Gli Stati membri dispongono che il responsabile del trattamento non trasmetta, neanche per il tramite dell'incaricato del trattamento, dati personali a una persona fisica o giuridica non soggetta alle disposizioni adottate ai sensi della presente direttiva, salvo nel caso in cui:

a)  la trasmissione sia conforme alla normativa dell'Unione o di uno Stato membro; e

b)  il destinatario sia stabilito in uno Stato membro dell'Unione europea; e

c)  nessun interesse specifico legittimo della persona interessata impedisca la trasmissione; e

d)  la trasmissione sia necessaria in determinati casi per il responsabile del trattamento che effettua la trasmissione dei dati personali per:

i)  l'adempimento di un compito assegnatogli legalmente; oppure

ii)  la prevenzione di un immediato e grave pericolo per la sicurezza pubblica; oppure

iii)  la prevenzione di un grave danno per i diritti delle persone.

2.  Il responsabile del trattamento informa il destinatario della finalità esclusiva per cui i dati personali possono essere trattati.

3.  Il responsabile del trattamento informa l'autorità di controllo di tali trasmissioni.

4.  Il responsabile del trattamento informa il destinatario delle limitazioni di trattamento e ne garantisce il rispetto. [Em. 121]

CAPO IX

ATTI DELEGATI E ATTI DI ESECUZIONE

Articolo 56

Esercizio della delega

1.  Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

2.  La delega di Il potere di adottare atti delegati di cui all'articolo 25 bis, paragrafo 7, all'articolo 28, paragrafo 5, e all'articolo 34 , paragrafi 3 e 5, è conferita conferito alla Commissione per un periodo indeterminato a decorrere dalla data di entrata in vigore della presente direttiva.

3.  La delega di potere di cui all'articolo 25 bis, paragrafo 7, all'articolo 28, paragrafo 5, e all'articolo 34 , paragrafi 3 e 5, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

4.  Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

5.  L'atto delegato adottato ai sensi dell'articolo 25 bis, paragrafo 7, dell'articolo 28, paragrafo 5 e dell'articolo 34 , paragrafi 3 e 5 , entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due sei mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due sei mesi su iniziativa del Parlamento europeo o del Consiglio. [Em. 122]

Articolo 56 bis

Termine per l'adozione degli atti delegati

La Commissione adotta gli atti delegati di cui all'articolo 25 bis, paragrafo 7, e all'articolo 28, paragrafo 5 [sei mesi prima della data di cui all'articolo 62, paragrafo 1]. La Commissione può prorogare il termine di cui al presente paragrafo di sei mesi. [Em. 123]

Articolo 57

Procedura di comitato

1.  La Commissione è assistita da un comitato. Tale comitato è un comitato ai sensi del regolamento (UE) n. 182/2011.

2.  Nel caso in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011.

3.  Nel caso in cui è fatto riferimento al presente paragrafo, si applica l'articolo 8 del regolamento (UE) n. 182/2011, in combinato disposto con l'articolo 5 del medesimo regolamento. [Em. 124]

CAPO X

DISPOSIZIONI FINALI

Articolo 58

Abrogazione

1.  La decisione quadro 2008/977/GAI è abrogata.

2.  I riferimenti alla decisione quadro di cui al paragrafo 1 si intendono fatti alla presente direttiva.

Articolo 59

Rapporto con altri atti dell'Unione già adottati nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia

Rimangono impregiudicate le disposizioni specifiche per la protezione dei dati personali con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, contenute in atti dell'Unione adottati prima della data di adozione della presente direttiva e che disciplinano il trattamento dei dati personali tra Stati membri e l'accesso delle autorità nazionali designate ai sistemi d'informazione istituiti ai sensi dei trattati, nell'ambito della presente direttiva.

Articolo 60

Rapporto con gli accordi internazionali già conclusi nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia

Gli accordi internazionali conclusi dagli Stati membri prima dell'entrata in vigore della presente direttiva sono modificati, ove necessario, entro cinque anni dall'entrata in vigore della presente direttiva.

Articolo 61

Valutazione

1.  La Commissione, dopo aver richiesto il parere del comitato europeo per la protezione dei dati, valuta l'attuazione e applicazione della presente direttiva. Essa si coordina e coopera strettamente con gli Stati membri, prevedendo visite con e senza preavviso. Il Parlamento europeo e il Consiglio dovranno essere informati durante l'intero processo e avere accesso ai documenti pertinenti.

2.  Entro tre due anni dall'entrata in vigore della presente direttiva, la Commissione riesamina gli altri atti adottati dall'Unione europea che disciplinano il trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione delle sanzioni penali, in particolare quelli richiamati all'articolo 59, al fine di valutare la necessità di allinearli alla presente direttiva e formulare e formulerà , ove opportuno, le proposte necessarie per modificarli in modo da garantire un approccio coerente alla protezione garantire norme giuridiche uniformi e omogenee in materia di elaborazione dei dati personali da parte delle autorità competenti, a fini di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione delle sanzioni penali nell'ambito della presente direttiva.

2 bis.  Entro due anni dall'entrata in vigore della presente direttiva, la Commissione formulerà opportune proposte per la revisione del quadro giuridico applicabile al trattamento dei dati personali da parte di istituzioni, organismi, uffici e agenzie dell'Unione, a fini di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione di sanzioni penali, per garantire norme giuridiche uniformi e omogenee in materia di trattamento dei dati personali in relazione al diritto fondamentale alla protezione dei dati personali nell'Unione.

3.  La Commissione trasmette al Parlamento europeo e al Consiglio, a scadenze regolari, relazioni di valutazione e sul riesame della presente direttiva ai sensi del paragrafo 1. La prima relazione è presentata entro quattro anni dall'entrata in vigore della presente direttiva, le successive sono trasmesse ogni quattro anni. Se del caso, la Commissione presenta opportune proposte di modifica della presente direttiva e per l'allineamento di altri strumenti giuridici. Le relazioni sono pubblicate. [Em. 125]

Articolo 62

Attuazione

1.  Gli Stati membri adottano e pubblicano, entro …(12) , le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva. Essi comunicano immediatamente alla Commissione il testo di tali disposizioni.

Gli Stati membri applicano tali disposizioni a decorrere da …* .

Quando gli Stati membri adottano tali disposizioni, queste contengono un riferimento alla presente direttiva o sono corredate di un siffatto riferimento all'atto della pubblicazione ufficiale. Le modalità del riferimento sono decise dagli Stati membri.

2.  Gli Stati membri comunicano alla Commissione il testo delle disposizioni essenziali di diritto interno adottate nella materia disciplinata dalla presente direttiva.

Articolo 63

Entrata in vigore e applicazione

La presente direttiva entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea .

Articolo 64

Destinatari

Gli Stati membri sono destinatari della presente direttiva.

Fatto a …, il

Per il Parlamento europeo Per il Consiglio

Il presidente Il presidente

(1) GU C 192 del 30.6.2012, pag. 7.
(2) Posizione del Parlamento europeo del 12 marzo 2014.
(3)Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).
(4)Decisione quadro 2008/977/GAI del Consiglio, del 27 novembre 2008, sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale (GU L 350 del 30.12.2008, pag. 60).
(5) Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8, del 12.1.2001, p. 1).
(6)Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione conferite alla Commissione ( GU L 55 del 28.2.2011, pag. 13) .
(7)Direttiva 2011/93/UE del Parlamento europeo e del Consiglio, del 13 dicembre 2011, relativa alla lotta contro l’abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, e che sostituisce la decisione quadro 2004/68/GAI del Consiglio (GU L 335 del 17.12.2011, pag. 1).
(8)GU L 176 del 10.7.1999, pag. 36.
(9)GU L 53 del 27.2.2008, pag. 52.
(10)GU L 160 del 18.6.2011, pag. 19.
(11) GU C 369 del 17.12.2011, pag. 14.
(12) Due anni dopo l'entrata in vigore della presente direttiva.

Ultimo aggiornamento: 21 novembre 2017Avviso legale