REGOLAMENTO (UE) 2016/679  DEL PARLAMENTO  EUROPEO  E DEL CONSIGLIO

del 27 aprile 2016

relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione  di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

considerando

CAPO I – Disposizioni generali
Articolo 1 – Oggetto e finalità
Articolo 2 – Ambito di applicazione materiale
Articolo 3 – Ambito di applicazione territoriale
Articolo 4 – Definizioni

CAPO II – Principi
Articolo 5 – Principi applicabili al trattamento di dati personali
Articolo 6 – Liceità del trattamento
Articolo 7 – Condizioni per il consenso
Articolo 8 – Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione
Articolo 9 – Trattamento di categorie particolari di dati personali
Articolo 10 – Trattamento dei dati personali relativi a condanne penali e reati
Articolo 11 – Trattamento che non richiede l’identificazione

CAPO III – Diritti dell’interessato
Sezione 1 – Trasparenza e modalità
Articolo 12 – Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato

Sezione 2 – Informazione e accesso ai dati personali
Articolo 13 – Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato
Articolo 14 – Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato
Articolo 15 – Diritto di accesso dell’interessato

Sezione 3 – Rettifica e cancellazione
Articolo 16 – Diritto di rettifica
Articolo 17 – Diritto alla cancellazione («diritto all’oblio»)
Articolo 18 – Diritto di limitazione di trattamento
Articolo 19 – Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
Articolo 20 – Diritto alla portabilità dei dati

Sezione 4 – Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche
Articolo 21 – Diritto di opposizione
Articolo 22 – Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione

Sezione 5 – Limitazioni
Articolo 23 – Limitazioni

CAPO IV – Titolare del trattamento e responsabile del trattamento
Sezione 1 – Obblighi generali
Articolo 24 – Responsabilità del titolare del trattamento
Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
Articolo 26 – Contitolari del trattamento
Articolo 27 – Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell’Unione
Articolo 28 – Responsabile del trattamento
Articolo 29 – Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento
Articolo 30 – Registri delle attività di trattamento
Articolo 31 – Cooperazione con l’autorità di controllo

Sezione 2 – Sicurezza dei dati personali
Articolo 32 – Sicurezza del trattamento
Articolo 33 – Notifica di una violazione dei dati personali all’autorità di controllo
Articolo 34 – Comunicazione di una violazione dei dati personali all’interessato

Sezione 3 – Valutazione d’impatto sulla protezione dei dati e consultazione preventiva
Articolo 35 – Valutazione d’impatto sulla protezione dei dati
Articolo 36 – Consultazione preventiva

Sezione 4 – Responsabile della protezione dei dati
Articolo 37 – Designazione del responsabile della protezione dei dati
Articolo 38 – Posizione del responsabile della protezione dei dati
Articolo 39 – Compiti del responsabile della protezione dei dati

Sezione 5 – Codici di condotta e certificazione
Articolo 40 – Codici di condotta
Articolo 41 – Monitoraggio dei codici di condotta approvati
Articolo 42 – Certificazione
Articolo 43 – Organismi di certificazione

CAPO V – Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali
Articolo 44 – Principio generale per il trasferimento
Articolo 45 – Trasferimento sulla base di una decisione di adeguatezza
Articolo 46 – Trasferimento soggetto a garanzie adeguate
Articolo 47 – Norme vincolanti d’impresa
Articolo 48 – Trasferimento o comunicazione non autorizzati dal diritto dell’Unione
Articolo 49 – Deroghe in specifiche situazioni
Articolo 50 – Cooperazione internazionale per la protezione dei dati personali

CAPO VI – Autorità di controllo indipendenti
Sezione 1 – Indipendenza
Articolo 51 – Autorità di controllo
Articolo 52 – Indipendenza
Articolo 53 – Condizioni generali per i membri dell’autorità di controllo
Articolo 54 – Norme sull’istituzione dell’autorità di controllo

Sezione 2 – Competenza, compiti e poteri
Articolo 55 – Competenza
Articolo 56 – Competenza dell’autorità di controllo capofila
Articolo 57 – Compiti
Articolo 58 – Poteri
Articolo 59 – Relazioni di attività

CAPO VII – Cooperazione e coerenza
Sezione 1 – Cooperazione
Articolo 60 – Cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate
Articolo 61 – Assistenza reciproca
Articolo 62 – Operazioni congiunte delle autorità di controllo

Sezione 2 – Coerenza
Articolo 63 – Meccanismo di coerenza
Articolo 64 – Parere del comitato europeo per la protezione dei dati
Articolo 65 – Composizione delle controversie da parte del comitato
Articolo 66 – Procedura d’urgenza
Articolo 67 – Scambio di informazioni

Sezione 3 – Comitato europeo per la protezione dei dati
Articolo 68 – Comitato europeo per la protezione dei dati
Articolo 69 – Indipendenza
Articolo 70 – Compiti del comitato
Articolo 71 – Relazioni
Articolo 72 – Procedura
Articolo 73 – Presidente
Articolo 74 – Compiti del presidente
Articolo 75 – Segreteria
Articolo 76 – Riservatezza

CAPO VIII – Mezzi di ricorso, responsabilità e sanzioni
Articolo 77 – Diritto di proporre reclamo all’autorità di controllo
Articolo 78 – Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo
Articolo 79 – Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento
Articolo 80 – Rappresentanza degli interessati
Articolo 81 – Sospensione delle azioni
Articolo 82 – Diritto al risarcimento e responsabilità
Articolo 83 – Condizioni generali per infliggere sanzioni amministrative pecuniarie
Articolo 84 – Sanzioni

CAPO IX – Disposizioni relative a specifiche situazioni di trattamento
Articolo 85 – Trattamento e libertà d’espressione e di informazione
Articolo 86 – Trattamento e accesso del pubblico ai documenti ufficiali
Articolo 87 – Trattamento del numero di identificazione nazionale
Articolo 88 – Trattamento dei dati nell’ambito dei rapporti di lavoro
Articolo 89 – Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
Articolo 90 – Obblighi di segretezza
Articolo 91 – Norme di protezione dei dati vigenti presso chiese e associazioni religiose

CAPO X – Atti delegati e atti di esecuzione
Articolo 92 – Esercizio della delega
Articolo 93 – Procedura di comitato

CAPO XI – Disposizioni finali
Articolo 94 – Abrogazione della direttiva 95/46/CE
Articolo 95 – Rapporto con la direttiva 2002/58/CE
Articolo 96 – Rapporto con accordi precedentemente conclusi
Articolo 97 – Relazioni della Commissione
Articolo 98 – Riesame di altri atti legislativi dell’Unione in materia di protezione dei dati
Articolo 99 – Entrata in vigore e applicazione

(Testo rilevante ai fini del SEE)

CAPO  I

Disposizioni generali


Articolo 1


Oggetto e finalità


1.      Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.


2.      Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.


3.     La libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.




Articolo 2


Ambito di applicazione materiale


1.     Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.


2.      Il presente regolamento non si applica ai trattamenti di dati personali:

a)  effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione;

b) effettuati dagli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione del titolo V, capo 2, TUE;

c)  effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico;

d) effettuati dalle autorità  competenti  a  fini  di  prevenzione,  indagine, accertamento  o  perseguimento  di  reati  o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

3.     Per il trattamento  dei dati personali da  parte  di istituzioni, organi, uffici e agenzie dell'Unione, si applica il regolamento (CE)  n. 45/2001.  Il regolamento (CE)  n. 45/2001  e gli altri atti giuridici dell'Unione applicabili a tale trattamento di dati personali devono essere adeguati ai principi e alle norme del presente regolamento conformemente all'articolo 98.


4.      Il presente regolamento non pregiudica pertanto l'applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva.




Articolo 3


Ambito di applicazione territoriale


1.      Il presente regolamento si applica al trattamento  dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione.
 

2.      Il presente regolamento si applica al trattamento  dei dati  personali di interessati che si trovano  nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano:

a)  l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure

b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione.

3.      Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un  luogo soggetto al diritto di uno  Stato membro  in virtù del diritto internazionale pubblico.




Articolo 4


Definizioni


Ai fini del presente regolamento s'intende per:

1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile  («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identifi­ cativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la struttu­ razione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro;

4) «profilazione»:  qualsiasi forma di trattamento  automatizzato  di dati personali consistente nell'utilizzo di tali dati personali per  valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

5) «pseudonimizzazione»:  il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

6) «archivio»:  qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

7) «titolare del trattamento»:  la  persona  fisica o  giuridica, l'autorità  pubblica, il servizio o  altro  organismo  che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o  i criteri specifici applicabili alla sua designazione possono  essere stabiliti dal diritto dell'Unione o  degli Stati membri;

8) «responsabile del trattamento»:  la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

9) «destinatario»:  la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comuni­ cazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comuni­ cazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati
 

membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;


10)  «terzo»:  la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento  e le persone autorizzate al trattamento  dei dati personali sotto l'autorità diretta del titolare o del responsabile;


11)  «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'inte­ ressato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;


12)  «violazione dei dati personali»: la violazione di sicurezza che comporta  accidentalmente o  in  modo  illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;


13)  «dati genetici»:  i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;


14)  «dati biometrici»:  i dati personali ottenuti da un  trattamento  tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;


15)  «dati relativi alla salute»:  i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;


16)  «stabilimento principale»:


a)  per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento  di dati personali siano adottate  in un  altro  stabilimento del titolare del trattamento  nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;


b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento  non  ha un'ammini­ strazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;


17)  «rappresentante»:  la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento  per iscritto ai sensi dell'articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;


18)  «impresa»:  la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un'attività economica;


19)  «gruppo imprenditoriale»: un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate;


20)  «norme vincolanti d'impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento  o  responsabile del trattamento  stabilito nel territorio  di uno  Stato membro  al trasferimento o  al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più  paesi  terzi,  nell'ambito di  un  gruppo  imprenditoriale o  di  un  gruppo  di  imprese  che  svolge un'attività economica comune;


21)  «autorità di controllo»: l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51;
 

22)  «autorità di controllo interessata»: un'autorità di controllo interessata dal trattamento di dati personali in quanto:

a)  il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo;

b) gli interessati che risiedono nello Stato membro dell'autorità di controllo sono o sono probabilmente inf luenzati in modo sostanziale dal trattamento; oppure

c)  un reclamo è stato proposto a tale autorità di controllo;

23)  «trattamento transfrontaliero»:

a)  trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure

b) trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento  o  responsabile  del  trattamento  nell'Unione, ma  che  incide  o  probabilmente  incide  in  modo sostanziale su interessati in più di uno Stato membro;

24)  «obiezione pertinente e motivata»: un'obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l'azione prevista in relazione al titolare del trattamento  o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all'interno dell'Unione;

25)  «servizio della società dell'informazione»:  il servizio definito all'articolo 1, paragrafo 1, lettera b), della direttiva
(UE) 2015/1535  del Parlamento europeo e del Consiglio (1);

26)  «organizzazione internazionale»: un'organizzazione  e  gli  organismi  di  diritto  internazionale  pubblico  a  essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.




CAPO  II

Principi


Articolo 5


Principi applicabili al trattamento di dati personali


1.     I dati personali sono:

a)  trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);

c)  adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d) esatti e, se necessario, aggiornati; devono  essere adottate  tutte  le misure ragionevoli per  cancellare o  rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

(1)  Direttiva  (UE) 2015/1535 del Parlamento europeo e del Consiglio, del 9 settembre 2015, che prevede una procedura d'informazione nel settore delle regolamentazioni  tecniche delle regole relative ai servizi della società dell'informazione  (GU L 241 del 17.9.2015, pag. 1).
 

e)  conservati in  una  forma che consenta l'identificazione degli interessati per  un  arco  di tempo  non  superiore al conseguimento delle finalità per le quali sono  trattati; i dati personali possono  essere conservati per periodi più lunghi  a  condizione  che  siano  trattati  esclusivamente a  fini di  archiviazione nel  pubblico  interesse, di  ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»);

f)   trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti  non  autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

2.      Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabiliz­
zazione»).




Articolo 6


Liceità del trattamento


1.      Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)  l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precon­
trattuali adottate su richiesta dello stesso;

c)  il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;

e)  il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f)   il trattamento  è necessario per  il perseguimento del legittimo interesse del titolare del trattamento  o  di terzi, a condizione che non  prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti.


2.      Gli Stati membri possono  mantenere o introdurre  disposizioni più specifiche per adeguare l'applicazione delle norme  del  presente  regolamento  con  riguardo  al  trattamento,  in  conformità  del  paragrafo  1,  lettere  c)  ed  e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.


3.      La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:

a)  dal diritto dell'Unione; o

b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.

La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.  Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l'applicazione delle norme  del presente regolamento, tra  cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di
 

conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell'Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all'obiettivo legittimo perseguito.


4.      Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell'interessato o su un atto legislativo dell'Unione o degli Stati membri che costituisca una misura necessaria e  proporzionata  in  una  società  democratica  per  la  salvaguardia degli obiettivi  di  cui  all'articolo 23, paragrafo 1, al fine di verificare se il trattamento per un'altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l'altro:

a)  di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento previsto;

b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento;

c)  della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell'ar­
ticolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell'articolo 10;

d) delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati;

e)  dell'esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.




Articolo 7


Condizioni per il consenso


1.     Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali.


2.      Se il  consenso  dell'interessato è  prestato  nel  contesto  di  una  dichiarazione scritta  che  riguarda anche  altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma compren­ sibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.


3.      L'interessato ha  il diritto  di revocare il proprio  consenso in qualsiasi momento.  La revoca del consenso non pregiudica la liceità del trattamento  basata sul consenso prima della revoca. Prima di esprimere il proprio  consenso, l'interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.


4.      Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un  contratto,  compresa la prestazione di un  servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto.




Articolo 8


Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione


1.      Qualora si applichi l'articolo 6, paragrafo 1, lettera a), per quanto riguarda l'offerta diretta di servizi della società dell'informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un'età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.


Gli Stati membri possono stabilire per legge un'età inferiore a tali fini purché non inferiore ai 13 anni.
 

2.      Il titolare del trattamento  si adopera in ogni modo  ragionevole per  verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili.


3.     Il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l'efficacia di un contratto rispetto a un minore.





Articolo 9


Trattamento di categorie particolari di dati personali


1.      È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o  filosofiche, o  l'appartenenza sindacale, nonché  trattare  dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.


2.      Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:


a)  l'interessato ha prestato il proprio  consenso esplicito al trattamento  di tali dati personali per  una  o  più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1;


b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'in­ teressato in  materia di diritto  del lavoro e  della sicurezza sociale e protezione  sociale, nella misura in  cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato;


c)  il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'inte­
ressato si trovi nell'incapacità  fisica o giuridica di prestare il proprio consenso;


d) il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato;


e)  il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;


f)   il trattamento  è necessario per  accertare, esercitare o  difendere un  diritto in sede giudiziaria o  ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;


g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;


h) il trattamento  è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o  terapia sanitaria o  sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un profes­ sionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;


i)   il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assi­ stenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto profes­ sionale;
 

j)   il trattamento  è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o  storica o  a fini statistici in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.

3.      I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.


4.     Gli Stati membri  possono  mantenere o  introdurre  ulteriori condizioni, comprese limitazioni, con  riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.




Articolo 10


Trattamento dei dati personali relativi a condanne penali e reati


Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'ar­ ticolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica.




Articolo 11


Trattamento che non richiede l'identificazione


1.     Se le finalità per cui un titolare del trattamento tratta i dati personali non richiedono o non richiedono più l'identi­ ficazione  dell'interessato, il  titolare  del  trattamento  non  è  obbligato  a  conservare,  acquisire  o  trattare  ulteriori informazioni per identificare l'interessato al solo fine di rispettare il presente regolamento.


2.      Qualora, nei casi di cui al paragrafo 1 del presente articolo, il titolare del trattamento  possa dimostrare di non essere in grado di identificare l'interessato, ne informa l'interessato, se possibile. In tali casi, gli articoli da 15 a 20 non si applicano  tranne  quando  l'interessato, al  fine  di  esercitare i  diritti  di  cui  ai  suddetti  articoli,  fornisce  ulteriori informazioni che ne consentano l'identificazione.



CAPO  III

Diritti dell'interessato


Sezione 1

Trasparenza  e  modalità


Articolo 12


Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessato


1.     Il titolare del trattamento  adotta  misure appropriate  per fornire all'interessato tutte le informazioni di cui agli articoli 13  e 14  e le comunicazioni di cui agli articoli da 15  a 22  e all'articolo 34  relative al trattamento  in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato.
 

2.     Il titolare del trattamento agevola l'esercizio dei diritti dell'interessato ai sensi degli articoli da 15 a 22. Nei casi di cui all'articolo 11, paragrafo 2, il titolare del trattamento non può rifiutare di soddisfare la richiesta dell'interessato al fine di esercitare i suoi diritti ai sensi degli articoli da 15 a 22, salvo che il titolare del trattamento dimostri che non è in grado di identificare l'interessato.


3.     Il titolare del trattamento  fornisce all'interessato le informazioni  relative all'azione intrapresa  riguardo a  una richiesta ai sensi degli articoli da 15  a 22  senza ingiustificato ritardo e, comunque, al più tardi entro  un  mese dal ricevimento della richiesta stessa. Tale termine può  essere prorogato  di due mesi, se necessario, tenuto  conto  della complessità e del numero delle richieste. Il titolare del trattamento informa l'interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l'interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell'interessato.


4.     Se non ottempera alla richiesta dell'interessato, il titolare del trattamento informa l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale.


5.     Le informazioni fornite ai sensi degli articoli 13 e 14 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 15  a 22  e dell'articolo 34  sono  gratuite. Se le richieste dell'interessato sono  manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:

a)  addebitare  un  contributo  spese  ragionevole  tenendo  conto  dei  costi  amministrativi  sostenuti  per  fornire  le informazioni o la comunicazione o intraprendere l'azione richiesta; oppure

b) rifiutare di soddisfare la richiesta.

Incombe al titolare del trattamento l'onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.


6.     Fatto salvo l'articolo 11, qualora il titolare del trattamento  nutra ragionevoli dubbi circa l'identità della persona fisica che presenta la richiesta di cui agli articoli da 15  a 21,  può  richiedere ulteriori informazioni necessarie per confermare l'identità dell'interessato.


7.      Le informazioni da fornire agli interessati a norma degli articoli 13 e 14 possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d'insieme del trattamento previsto. Se presentate elettronicamente, le icone sono leggibili da dispositivo automatico.


8.      Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 92 al fine di stabilire le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate.



Sezione 2

Informazione  e  accesso  ai  dati  personali


Articolo 13


Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato


1.      In caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del trattamento fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

a)  l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c)  le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
 

d) qualora il trattamento  si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e)  gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f)   ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organiz­ zazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

2.      In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

a)  il periodo di conservazione dei dati personali oppure, se non  è possibile, i criteri utilizzati per determinare tale periodo;

b) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c)  qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un'autorità di controllo;

e)  se la comunicazione di dati personali è un  obbligo legale o  contrattuale  oppure  un  requisito necessario per  la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f)   l'esistenza  di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

3.     Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.


4.      I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l'interessato dispone già delle informazioni.




Articolo 14


Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato


1.     Qualora i dati non  siano stati ottenuti  presso l'interessato, il titolare del trattamento  fornisce all'interessato le seguenti informazioni:

a)  l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c)  le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) le categorie di dati personali in questione;

e)  gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
 

f)   ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

2.     Oltre  alle informazioni  di  cui  al  paragrafo  1,  il  titolare  del  trattamento  fornisce all'interessato le  seguenti informazioni necessarie per garantire un trattamento corretto e trasparente nei confronti dell'interessato:

a)  il periodo di conservazione dei dati personali oppure, se non  è possibile, i criteri utilizzati per determinare tale periodo;

b) qualora il trattamento  si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

c)  l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

d) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;

e)  il diritto di proporre reclamo a un'autorità di controllo;

f)   la fonte da cui hanno origine i dati personali e, se del caso, l'eventualità che i dati provengano da fonti accessibili al pubblico;

g) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

3.      Il titolare del trattamento fornisce le informazioni di cui ai paragrafi 1 e 2:

a)  entro un termine ragionevole dall'ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;

b) nel caso in cui i dati personali siano destinati alla comunicazione con l'interessato, al più tardi al momento della prima comunicazione all'interessato; oppure

c)  nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.

4.     Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni informazione pertinente di cui al paragrafo 2.


5.      I paragrafi da 1 a 4 non si applicano se e nella misura in cui:

a)  l'interessato dispone già delle informazioni;

b) comunicare tali informazioni risulta impossibile o implicherebbe uno  sforzo sproporzionato;  in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all'articolo 89, paragrafo 1, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento.  In tali casi, il titolare del trattamento  adotta  misure appropriate  per  tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni;

c)  l'ottenimento o la comunicazione sono espressamente previsti dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell'interessato; oppure

d) qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell'Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.
 

Articolo 15


Diritto di accesso dell'interessato


1.     L'interessato ha  il diritto  di  ottenere  dal  titolare  del trattamento  la  conferma  che  sia o  meno  in  corso  un trattamento  di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:

a)  le finalità del trattamento;

b) le categorie di dati personali in questione;

c)  i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e)  l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento  la rettifica o  la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f)   il diritto di proporre reclamo a un'autorità di controllo;

g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;

h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

2.     Qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate ai sensi dell'articolo 46 relative al trasferimento.


3.      Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall'interessato, il titolare del trattamento  può  addebitare un  contributo  spese ragionevole basato sui costi amministrativi. Se l'interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell'inte­ ressato, le informazioni sono fornite in un formato elettronico di uso comune.


4.      Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.


Sezione 3

Rettif ica  e  cancellazione


Articolo 16


Diritto di rettifica


L'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.



Articolo 17


Diritto alla cancellazione («diritto all'oblio»)


1.     L'interessato ha  il  diritto  di  ottenere  dal  titolare  del  trattamento  la  cancellazione dei  dati  personali  che  lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

a)  i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
 

b) l'interessato revoca il consenso su cui si basa il trattamento conformemente all'articolo 6, paragrafo 1, lettera a), o all'articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;

c)  l'interessato si oppone  al trattamento  ai sensi dell'articolo 21, paragrafo 1, e non  sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2;

d) i dati personali sono stati trattati illecitamente;

e)  i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento;

f)   i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione di cui all'articolo 8, paragrafo 1.

2.     Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento  che stanno  trattando  i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.


3.      I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:

a)  per l'esercizio del diritto alla libertà di espressione e di informazione;

b) per l'adempimento di un  obbligo legale che richieda il trattamento  previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento  o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento;

c)  per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell'articolo 9, paragrafo 2, lettere h)
e i), e dell'articolo 9, paragrafo 3;

d) a  fini di  archiviazione nel  pubblico  interesse, di  ricerca scientifica o  storica o  a  fini statistici conformemente all'articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o

e)  per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.



Articolo 18


Diritto di limitazione di trattamento


1.      L'interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

a)  l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali;

b) il trattamento  è illecito e l'interessato si oppone  alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo;

c)  benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;

d) l'interessato si è opposto  al trattamento  ai sensi dell'articolo 21,  paragrafo 1,  in  attesa della verifica in  merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.

2.     Se il trattamento è limitato a norma del paragrafo 1, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell'interessato o per l'accertamento, l'esercizio o la difesa di un  diritto in sede giudiziaria oppure per tutelare i diritti di un'altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell'Unione o di uno Stato membro.
 

3.      L'interessato che ha ottenuto  la limitazione del trattamento a norma del paragrafo 1 è informato dal titolare del trattamento prima che detta limitazione sia revocata.



Articolo 19


Obbligo  di  notifica  in  caso  di  rettifica  o  cancellazione  dei  dati  personali  o  limitazione  del trattamento


Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell'articolo 16, dell'articolo 17, paragrafo 1, e dell'articolo 18,  salvo che ciò si riveli impossibile o  implichi uno  sforzo sproporzionato.  Il titolare del trattamento comunica all'interessato tali destinatari qualora l'interessato lo richieda.



Articolo 20


Diritto alla portabilità dei dati


1.      L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i  dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:

a)  il trattamento  si basi sul consenso ai sensi dell'articolo 6, paragrafo 1, lettera a), o  dell'articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell'articolo 6, paragrafo 1, lettera b); e

b) il trattamento sia effettuato con mezzi automatizzati.

2.     Nell'esercitare  i propri  diritti relativamente alla portabilità dei dati a norma  del paragrafo 1, l'interessato ha il diritto di ottenere  la trasmissione diretta dei dati personali da un  titolare del trattamento  all'altro, se tecnicamente fattibile.


3.      L'esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l'articolo 17. Tale diritto non si applica al trattamento  necessario per l'esecuzione di un  compito  di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.


4.      Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà altrui.


Sezione 4

Dir itto  di opposizione  e  processo  decisionale  auto matizzato  relativ o  alle persone f isiche


Articolo 21


Diritto di opposizione


1.     L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento  dei dati  personali che  lo  riguardano  ai sensi dell'articolo 6,  paragrafo 1,  lettere e) o  f), compresa  la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.


2.     Qualora i dati personali siano trattati  per finalità di marketing diretto, l'interessato ha il diritto di opporsi  in qualsiasi momento  al  trattamento  dei  dati  personali  che  lo  riguardano  effettuato  per  tali  finalità, compresa  la profilazione nella misura in cui sia connessa a tale marketing diretto.


3.      Qualora l'interessato si opponga  al trattamento  per finalità di marketing diretto, i dati personali non  sono più oggetto di trattamento per tali finalità.
 

4.      Il diritto di cui ai paragrafi 1 e 2 è esplicitamente portato all'attenzione dell'interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l'interessato.


5.      Nel contesto dell'utilizzo di servizi della società dell'informazione e fatta salva la direttiva 2002/58/CE, l'interessato può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche tecniche.


6.      Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici a norma dell'articolo 89, paragrafo 1, l'interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguarda, salvo se il trattamento è necessario per l'esecuzione di un compito di interesse pubblico.




Articolo 22


Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione


1.     L'interessato ha il diritto di non  essere sottoposto  a una decisione basata unicamente sul trattamento  automa­ tizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significa­ tivamente sulla sua persona.


2.      Il paragrafo 1 non si applica nel caso in cui la decisione:

a)  sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento;

b) sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato;

c)  si basi sul consenso esplicito dell'interessato.

3.      Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.


4.      Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, a meno che non sia d'applicazione l'articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato.



Sezione 5

Limitazioni


Articolo 23


Limitazioni


1.      Il diritto  dell'Unione o  dello Stato  membro  cui  è  soggetto  il  titolare  del  trattamento  o  il  responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all'articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:

a)  la sicurezza nazionale;

b) la difesa;

c)  la sicurezza pubblica;
 

d) la prevenzione, l'indagine, l'accertamento e il perseguimento di reati o l'esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;

e)  altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell'Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale;

f)   la salvaguardia dell'indipendenza della magistratura e dei procedimenti giudiziari;

g) le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regola­
mentate;

h) una  funzione  di  controllo,  d'ispezione o  di  regolamentazione connessa, anche  occasionalmente, all'esercizio di pubblici poteri nei casi di cui alle lettere da a), a e) e g);

i)   la tutela dell'interessato o dei diritti e delle libertà altrui;

j)   l'esecuzione delle azioni civili.

2.     In particolare qualsiasi misura legislativa di cui al paragrafo 1 contiene disposizioni specifiche riguardanti almeno, se del caso:

a)  le finalità del trattamento o le categorie di trattamento;

b) le categorie di dati personali;

c)  la portata delle limitazioni introdotte;

d) le garanzie per prevenire abusi o l'accesso o il trasferimento illeciti;

e)  l'indicazione precisa del titolare del trattamento o delle categorie di titolari;

f)   i periodi di conservazione e le garanzie applicabili tenuto  conto  della natura, dell'ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento;

g) i rischi per i diritti e le libertà degli interessati; e

h) il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa.


CAPO IV

Titolare del trattamento e responsabile del trattamento


Sezione 1

Obblighi  generali


Articolo 24


Responsabilità del titolare del trattamento


1.      Tenuto conto  della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto  misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento  è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.


2.     Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.


3.     L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.
 

Articolo 25


Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita


1.      Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento  sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudoni­ mizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento  le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.


2.     Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata  del trattamento,  il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.


3.     Un meccanismo di certificazione approvato  ai sensi dell'articolo 42  può  essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.




Articolo 26


Contitolari del trattamento


1.     Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono  contitolari del trattamento.  Essi determinano in modo  trasparente, mediante un  accordo interno,  le rispettive responsabilità in  merito  all'osservanza degli obblighi derivanti dal  presente  regolamento,  con  particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.


2.     L'accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato.


3.     Indipendentemente dalle disposizioni dell'accordo di cui al paragrafo 1, l'interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.




Articolo 27


Rappresentanti  di  titolari  del  trattamento  o   dei  responsabili  del  trattamento  non   stabiliti nell'Unione


1.     Ove si applichi l'articolo 3, paragrafo 2, il titolare del trattamento o il responsabile del trattamento  designa per iscritto un rappresentante nell'Unione.


2.      L'obbligo di cui al paragrafo 1 del presente articolo non si applica:

a)  al trattamento se quest'ultimo è occasionale, non include il trattamento, su larga scala, di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o di dati personali relativi a condanne penali e a reati di cui all'articolo 10, ed è improbabile che presenti un  rischio per  i diritti e le libertà delle persone fisiche, tenuto  conto  della natura, del contesto, dell'ambito di applicazione e delle finalità del trattamento; oppure

b) alle autorità pubbliche o agli organismi pubblici.
 

3.      Il rappresentante è stabilito in uno degli Stati membri in cui si trovano gli interessati e i cui dati personali sono trattati nell'ambito dell'offerta di beni o servizi o il cui comportamento è monitorato.


4.     Ai fini della conformità con il presente regolamento, il rappresentante è incaricato dal titolare del trattamento o dal responsabile del trattamento a fungere da interlocutore, in aggiunta o in sostituzione del titolare del trattamento o del responsabile del trattamento, in particolare delle autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento.


5.      La designazione di un rappresentante a cura del titolare del trattamento o del responsabile del trattamento fa salve le azioni legali che potrebbero essere promosse contro lo stesso titolare del trattamento o responsabile del trattamento.




Articolo 28


Responsabile del trattamento


1.     Qualora  un  trattamento  debba  essere effettuato per  conto  del  titolare  del  trattamento,  quest'ultimo  ricorre unicamente a responsabili del trattamento  che presentino garanzie sufficienti per  mettere in atto  misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato.


2.      Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l'opportunità di opporsi a tali modifiche.


3.      I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a  norma  del  diritto  dell'Unione o  degli Stati membri,  che  vincoli il  responsabile del  trattamento  al  titolare  del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a)  tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c)  adotti tutte le misure richieste ai sensi dell'articolo 32;

d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

e)  tenendo conto della natura del trattamento, assista il titolare del trattamento  con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III;

f)   assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento  e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati; 

h) metta a disposizione del titolare del trattamento  tutte  le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
 

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento  informa immediatamente il titolare del trattamento  qualora,  a  suo  parere,  un'istruzione  violi  il  presente  regolamento  o  altre  disposizioni, nazionali  o dell'Unione, relative alla protezione dei dati.


4.     Quando  un  responsabile del trattamento  ricorre  a  un  altro  responsabile del trattamento  per  l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento  l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile.


5.      L'adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42  può  essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.


6.      Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.


7.     La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.


8.     Un'autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all'articolo 63.


9.      Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.


10.      Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.




Articolo 29


Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento


Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.




Articolo 30


Registri delle attività di trattamento


1.      Ogni  titolare  del  trattamento  e,  ove  applicabile, il  suo  rappresentante  tengono  un  registro  delle attività  di trattamento svolte sotto la propria responsabilità.  Tale registro contiene tutte le seguenti informazioni:

a)  il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappre­
sentante del titolare del trattamento e del responsabile della protezione dei dati;

b) le finalità del trattamento;

c)  una descrizione delle categorie di interessati e delle categorie di dati personali;
 

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e)  ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;

f)   ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una  descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.

2.     Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:

a)  il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto  del  quale  agisce il  responsabile  del  trattamento,  del  rappresentante  del  titolare  del  trattamento  o  del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c)  ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;

d) ove possibile, una  descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.

3.      I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.


4.      Su richiesta, il titolare del trattamento  o il responsabile del trattamento  e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell'autorità di controllo.


5.     Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a  meno che il trattamento  che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10.



Articolo 31


Cooperazione con l'autorità di controllo


Il titolare del trattamento,  il responsabile del trattamento  e, ove applicabile, il loro  rappresentante  cooperano,  su richiesta, con l'autorità di controllo nell'esecuzione dei suoi compiti.


Sezione 2

Sicurezza  dei  dati  personali


Articolo 32


Sicurezza del trattamento


1.      Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a)  la pseudonimizzazione e la cifratura dei dati personali;
 

b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c)  la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2.     Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.


3.      L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4.     Il titolare del trattamento  e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.



Articolo 33

Notifica di una violazione dei dati personali all'autorità di controllo


1.      In caso di violazione dei dati personali, il titolare del trattamento  notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.


2.      Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

3.      La notifica di cui al paragrafo 1 deve almeno:

a)  descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero  approssi­ mativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c)  descrivere le probabili conseguenze della violazione dei dati personali;

d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

4.     Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

5.      Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.



Articolo 34

Comunicazione di una violazione dei dati personali all'interessato


1.      Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.
 

2.     La comunicazione all'interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d).


3.      Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:

a)  il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b) il titolare del trattamento  ha successivamente adottato  misure atte a scongiurare il sopraggiungere di un  rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;

c)  detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

4.      Nel caso in  cui il titolare del trattamento  non  abbia ancora  comunicato  all'interessato la violazione dei dati personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.


Sezione 3

Valutazione  d'impatto  sulla  protezione  dei  dati  e  consultazione  prev entiva


Articolo 35


Valutazione d'impatto sulla protezione dei dati


1.      Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.


2.     Il titolare del trattamento, allorquando svolge una valutazione d'impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.


3.      La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

a)  una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automa­ tizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; o

c)  la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

4.      L'autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi del paragrafo 1. L'autorità di controllo comunica tali elenchi al comitato di cui all'articolo 68.


5.     L'autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non  è richiesta una valutazione d'impatto  sulla protezione  dei dati. L'autorità di controllo comunica tali elenchi al comitato.


6.      Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l'autorità di controllo competente applica il meccanismo di coerenza di cui all'articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all'offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all'interno dell'Unione.
 

7.      La valutazione contiene almeno:

a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento;

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c)  una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e

d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

8.     Nel valutare l'impatto  del trattamento  effettuato dai relativi titolari o  responsabili è tenuto  in debito conto  il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all'articolo 40, in particolare ai fini di una valutazione d'impatto sulla protezione dei dati.


9.     Se del  caso,  il  titolare  del  trattamento  raccoglie le  opinioni  degli interessati o  dei  loro  rappresentanti  sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.


10.     Qualora il trattamento effettuato ai sensi dell'articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell'Unione o nel diritto dello Stato membro  cui il titolare del trattamento  è soggetto una  base giuridica, tale diritto disciplini il trattamento  specifico o l'insieme di trattamenti in questione, e sia già stata effettuata una valutazione d'impatto sulla protezione dei dati nell'ambito di una valutazione d'impatto generale nel contesto dell'adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.


11.      Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d'impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.




Articolo 36


Consultazione preventiva


1.     Il titolare del trattamento, prima di procedere al trattamento, consulta l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei dati a norma dell'articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.


2.      Se ritiene che il trattamento previsto di cui al paragrafo 1 violi il presente regolamento, in particolare qualora il titolare del trattamento  non  abbia identificato o attenuato  sufficientemente il rischio, l'autorità di controllo fornisce, entro  un  termine di otto  settimane dal ricevimento della richiesta di consultazione, un parere scritto al titolare del trattamento  e, ove applicabile, al responsabile del trattamento  e può  avvalersi dei poteri di cui all'articolo 58.  Tale periodo può essere prorogato di sei settimane, tenendo conto della complessità del trattamento  previsto. L'autorità di controllo informa il titolare del trattamento e, ove applicabile, il responsabile del trattamento di tale proroga, unitamente ai motivi del ritardo, entro un mese dal ricevimento della richiesta di consultazione. La decorrenza dei termini può essere sospesa fino all'ottenimento da parte dell'autorità di controllo delle informazioni richieste ai fini della consul­ tazione.


3.     Al momento  di consultare l'autorità di controllo ai sensi del paragrafo 1, il titolare del trattamento  comunica all'autorità di controllo:

a)  ove  applicabile, le  rispettive  responsabilità  del  titolare  del  trattamento,  dei  contitolari  del  trattamento  e  dei responsabili del trattamento, in particolare relativamente al trattamento nell'ambito di un gruppo imprenditoriale;

b) le finalità e i mezzi del trattamento previsto;

c)  le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del presente regolamento;

d) ove applicabile, i dati di contatto del titolare della protezione dei dati;
 

e)  la valutazione d'impatto sulla protezione dei dati di cui all'articolo 35;

f)   ogni altra informazione richiesta dall'autorità di controllo.

4.     Gli Stati membri consultano l'autorità di controllo durante l'elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento.

5.      Nonostante il paragrafo 1, il diritto degli Stati membri può prescrivere che i titolari del trattamento  consultino l'autorità di controllo, e ne ottengano l'autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l'esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica.


Sezione 4

Responsabile  della  protezione  dei  dati

Articolo 37

Designazione del responsabile della protezione dei dati

1.     Il titolare del trattamento  e  il responsabile del trattamento  designano sistematicamente un  responsabile della protezione dei dati ogniqualvolta:

a)  il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c)  le attività principali del titolare del trattamento  o del responsabile del trattamento  consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.

2.     Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.

3.      Qualora il titolare del trattamento  o  il responsabile del trattamento  sia un'autorità  pubblica o  un  organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.

4.      Nei casi diversi da quelli di cui al paragrafo 1, il titolare e del trattamento, il responsabile del trattamento  o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto dal diritto dell'Unione o degli Stati membri, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento.

5.     Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39.

6.     Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

7.     Il titolare del trattamento  o  il responsabile del trattamento  pubblica i dati di contatto  del responsabile della protezione dei dati e li comunica all'autorità di controllo.



Articolo 38

Posizione del responsabile della protezione dei dati

1.     Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
 

2.      Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

3.      Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.

4     Gli interessati possono  contattare  il  responsabile della protezione  dei  dati  per  tutte  le  questioni  relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal presente regolamento.

5.      Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all'adempimento dei propri compiti, in conformità del diritto dell'Unione o degli Stati membri.

6.     Il responsabile della protezione  dei dati può  svolgere altri compiti e funzioni. Il titolare del trattamento  o  il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.



Articolo 39

Compiti del responsabile della protezione dei dati

1.      Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

a)  informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c)  fornire, se richiesto, un  parere  in  merito  alla valutazione d'impatto  sulla protezione  dei dati  e  sorvegliarne lo svolgimento ai sensi dell'articolo 35;

d) cooperare con l'autorità di controllo; e

e)  fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

2.     Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo.


Sezione 5

Codici  di  condotta  e  cer tif icazione

Articolo 40

Codici di condotta

1.     Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.

2.      Le associazioni e  gli altri organismi rappresentanti  le categorie di  titolari del trattamento  o  responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l'applicazione del presente regolamento, ad esempio relativamente a:

a)  il trattamento corretto e trasparente dei dati;
 

b) i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici;

c)  la raccolta dei dati personali;

d) la pseudonimizzazione dei dati personali;

e)  l'informazione fornita al pubblico e agli interessati;

f)   l'esercizio  dei diritti degli interessati;

g) l'informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della respon­
sabilità genitoriale sul minore;

h) le misure e le procedure di cui agli articoli 24 e 25 e le misure volte a garantire la sicurezza del trattamento di cui all'articolo 32;

i)   la notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali violazioni dei dati personali all'interessato;

j)   il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali; o

k) le procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari del trattamento  e interessati in materia di trattamento, fatti salvi i diritti degli interessati ai sensi degli articoli 77 e 79.

3.     Oltre all'adesione ai codici di condotta approvati ai sensi del paragrafo 5 del presente articolo e aventi validità generale a  norma  del  paragrafo  9  del  presente  articolo  da  parte  di  titolari  o  responsabili soggetti  al  presente regolamento, possono aderire a tali codici di condotta anche i titolari del trattamento o i responsabili del trattamento che non sono soggetti al presente regolamento ai sensi dell'articolo 3, al fine di fornire adeguate garanzie nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all'articolo 46, paragrafo 2, lettera e). Detti titolari del trattamento  o responsabili del trattamento  assumono l'impegno vincolante e azionabile, mediante strumenti contrattuali o  di altro tipo  giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati.


4.      Il codice di condotta  di cui al paragrafo 2 del presente articolo contiene i meccanismi che consentono  all'or­ ganismo di cui all'articolo 41, paragrafo 1, di effettuare il controllo obbligatorio del rispetto delle norme del codice da parte dei titolari del trattamento o dei responsabili del trattamento che si impegnano ad applicarlo, fatti salvi i compiti e i poteri delle autorità di controllo competenti ai sensi degli articoli 55 o 56.


5.      Le associazioni e gli altri organismi di cui al paragrafo 2 del presente articolo che intendono elaborare un codice di condotta o modificare o prorogare un codice esistente sottopongono  il progetto di codice, la modifica o la proroga all'autorità di controllo competente ai sensi dell'articolo 55. L'autorità di controllo esprime un parere sulla conformità al presente regolamento del progetto di codice, della modifica o della proroga e approva tale progetto, modifica o proroga, se ritiene che offra in misura sufficiente garanzie adeguate.


6.     Qualora il progetto di codice, la modifica o la proroga siano approvati ai sensi dell'articolo 55, e se il codice di condotta in questione non si riferisce alle attività di trattamento in vari Stati membri, l'autorità di controllo registra e pubblica il codice.


7.     Qualora il progetto di codice di condotta si riferisca alle attività di trattamento  in vari Stati membri, prima di approvare il progetto, la modifica o la proroga, l'autorità di controllo che è competente ai sensi dell'articolo 55  lo sottopone, tramite la procedura di cui all'articolo 63, al comitato, il quale formula un parere sulla conformità al presente regolamento del progetto di codice, della modifica o della proroga o, nel caso di cui al paragrafo 3 del presente articolo, sulla previsione di adeguate garanzie.


8.     Qualora il parere di cui al paragrafo 7 confermi che il progetto di codice di condotta, la modifica o la proroga è conforme al presente regolamento o, nel caso di cui al paragrafo 3, fornisce adeguate garanzie, il comitato trasmette il suo parere alla Commissione.


9.      La Commissione può decidere, mediante atti di esecuzione, che il codice di condotta, la modifica o la proroga approvati, che le sono stati sottoposti ai sensi del paragrafo 8 del presente articolo, hanno validità generale all'interno dell'Unione. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.
 

10.     La Commissione provvede a dare un'adeguata pubblicità dei codici approvati per i quali è stata decisa la validità generale ai sensi del paragrafo 9.


11.      Il comitato raccoglie in un registro tutti i codici di condotta, le modifiche e le proroghe approvati e li rende pubblici mediante mezzi appropriati.




Articolo 41


Monitoraggio dei codici di condotta approvati


1.      Fatti salvi i compiti e i poteri dell'autorità di controllo competente di cui agli articoli 57 e 58, il controllo della conformità con un codice di condotta ai sensi dell'articolo 40 può essere effettuato da un organismo in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento a tal fine dell'autorità di controllo competente.


2.      L'organismo di cui al paragrafo 1 può essere accreditato a monitorare l'osservanza di un codice di condotta se esso ha:

a)  dimostrato in modo convincente all'autorità di controllo competente di essere indipendente e competente riguardo al contenuto del codice;

b) istituito procedure che gli consentono  di valutare l'ammissibilità dei titolari del trattamento  e dei responsabili del trattamento in questione ad applicare il codice, di controllare che detti titolari e responsabili ne rispettino le disposizioni e di riesaminarne periodicamente il funzionamento;

c)  istituito procedure e strutture atte a gestire i reclami relativi a violazioni del codice o il modo in cui il codice è stato o è attuato da un titolare del trattamento o un responsabile del trattamento e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico; e

d) dimostrato in modo convincente all'autorità di controllo competente che i compiti e le funzioni da esso svolti non danno adito a conflitto di interessi.

3.      L'autorità di controllo competente presenta al comitato il progetto di criteri per l'accreditamento dell'organismo di cui al paragrafo 1 del presente articolo, ai sensi del meccanismo di coerenza di cui all'articolo 63.


4.      Fatti salvi i compiti e i poteri dell'autorità di controllo competente e le disposizioni del capo VIII, un organismo di cui al paragrafo 1 del presente articolo adotta, stanti garanzie appropriate, le opportune misure in caso di violazione del codice da parte di un titolare del trattamento  o responsabile del trattamento, tra cui la sospensione o l'esclusione dal codice del titolare del trattamento o del responsabile del trattamento. Esso informa l'autorità di controllo competente di tali misure e dei motivi della loro adozione.


5.     L'autorità di controllo competente revoca l'accreditamento dell'organismo di cui al paragrafo 1, se le condizioni per l'accreditamento non sono, o non sono più, rispettate o se le misure adottate dall'organismo violano il presente regolamento.


6.      Il presente articolo non si applica al trattamento effettuato da autorità pubbliche e da organismi pubblici.




Articolo 42


Certificazione


1.     Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l'istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.
 

2.      Oltre all'adesione dei titolari del trattamento o dei responsabili del trattamento soggetti al presente regolamento, i meccanismi, i sigilli o i marchi approvati ai sensi del paragrafo 5 del presente articolo, possono essere istituiti al fine di dimostrare la previsione di garanzie appropriate da parte dei titolari del trattamento o responsabili del trattamento non soggetti al presente regolamento ai sensi dell'articolo 3, nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all'articolo 46, paragrafo 2, lettera f). Detti titolari del trattamento o responsabili del trattamento assumono l'impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati.


3.      La certificazione è volontaria e accessibile tramite una procedura trasparente.


4.      La certificazione ai sensi del presente articolo non  riduce la responsabilità del titolare del trattamento  o  del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti a norma degli articoli 55 o 56.


5.      La certificazione ai sensi del presente articolo è rilasciata dagli organismi di certificazione di cui all'articolo 43 o dall'autorità di controllo competente in base ai criteri approvati da tale autorità di controllo competente ai sensi dell'ar­ ticolo 58, paragrafo 3, o dal comitato, ai sensi dell'articolo 63. Ove i criteri siano approvati dal comitato, ciò può risultare in una certificazione comune, il sigillo europeo per la protezione dei dati.


6.      Il titolare del trattamento o il responsabile del trattamento che sottopone il trattamento effettuato al meccanismo di certificazione fornisce all'organismo di certificazione di cui all'articolo 43 o, ove applicabile, all'autorità di controllo competente tutte le informazioni e l'accesso alle attività di trattamento  necessarie a espletare la procedura di certifi­ cazione.


7.     La certificazione è rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni purché continuino a essere soddisfatti i requisiti pertinenti. La certificazione è revocata, se del caso, dagli organismi di certificazione di cui all'articolo 43 o dall'autorità di controllo competente, a seconda dei casi, qualora non siano o non siano più soddisfatti i requisiti per la certificazione.


8.     Il comitato raccoglie in un registro tutti i meccanismi di certificazione e i sigilli e i marchi di protezione dei dati e li rende pubblici con qualsiasi mezzo appropriato.




Articolo 43


Organismi di certificazione


1.      Fatti salvi i compiti e i poteri dell'autorità di controllo competente di cui agli articoli 57 e 58, gli organismi di certificazione in possesso del livello adeguato di competenze riguardo alla protezione dei dati, rilasciano e rinnovano la certificazione, dopo averne informato l'autorità di controllo al fine di consentire alla stessa di esercitare i suoi poteri a norma dell'articolo 58, paragrafo 2, lettera h), ove necessario. Gli Stati membri garantiscono che tali organismi di certifi­ cazione siano accreditati da uno o entrambi dei seguenti organismi:

a)  dall'autorità di controllo competente ai sensi degli articoli 55 o 56;

b) dall'organismo nazionale di accreditamento designato in virtù del regolamento (CE)  n. 765/2008  del Parlamento europeo  e del Consiglio (1)  conformemente alla norma  EN-ISO/IEC  17065/2012 e ai requisiti aggiuntivi stabiliti dall'autorità di controllo competente ai sensi degli articoli 55 o 56.

2.      Gli organismi di certificazione di cui al paragrafo 1 sono accreditati in conformità di tale paragrafo solo se:

a)  hanno  dimostrato  in modo  convincente all'autorità di controllo competente di essere indipendenti e competenti riguardo al contenuto della certificazione;

(1)  Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008, pag. 30).
 

b) si sono impegnati a rispettare i criteri di cui all'articolo 42, paragrafo 5, e approvati dall'autorità di controllo competente ai sensi degli articoli 55 o 56 o dal comitato, ai sensi dell'articolo 63;

c)  hanno istituito procedure per il rilascio, il riesame periodico e il ritiro delle certificazioni, dei sigilli e dei marchi di protezione dei dati;

d) hanno istituito procedure e strutture atte a gestire i reclami relativi a violazioni della certificazione o il modo in cui la certificazione è stata o è attuata dal titolare del trattamento  o dal responsabile del trattamento  e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico; e

e)  hanno dimostrato in modo convincente all'autorità di controllo competente che i compiti e le funzioni da loro svolti non danno adito a conf litto di interessi.

3.      L'accreditamento degli organi di certificazione di cui ai paragrafi 1 e 2 del presente articolo ha luogo in base ai criteri approvati dall'autorità di controllo competente ai sensi degli articoli 55  o 56  o dal comitato, ai sensi dell'ar­ ticolo 63. In caso di accreditamento ai sensi del paragrafo 1, lettera b), del presente articolo, tali requisiti integrano quelli previsti dal regolamento (CE)  n. 765/2008  nonché le norme tecniche che definiscono i metodi e le procedure degli organismi di certificazione.


4.      Gli organismi di certificazione di cui al paragrafo 1 sono responsabili della corretta valutazione che comporta la certificazione o la revoca di quest'ultima, fatta salva la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento. L'accreditamento è rilasciato per un periodo massimo di cinque anni e può essere rinnovato alle stesse condizioni purché l'organismo di certificazione soddisfi i requisiti.


5.      L'organismo di certificazione di cui al paragrafo 1  trasmette all'autorità di controllo  competente  i motivi del rilascio o della revoca della certificazione richiesta.


6.      I requisiti di cui al paragrafo 3 del presente articolo e i criteri di cui all'articolo 42, paragrafo 5, sono resi pubblici dall'autorità di controllo in forma facilmente accessibile. Le autorità di controllo provvedono a trasmetterli anche al comitato. Il comitato raccoglie in un registro tutti i meccanismi di certificazione e i sigilli di protezione dei dati e li rende pubblici con qualsiasi mezzo appropriato.


7.      Fatto salvo il capo VIII, l'autorità di controllo competente o l'organismo nazionale di accreditamento revoca l'accre­ ditamento di un organismo di certificazione di cui al paragrafo 1 del presente articolo, se le condizioni per l'accredi­ tamento  non  sono, o non  sono  più, rispettate o se le misure adottate da un  organismo di certificazione violano il presente regolamento.


8.      Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 92 al fine di precisare i requisiti di cui tenere conto per i meccanismi di certificazione della protezione dei dati di cui all'articolo 42, paragrafo 1.


9.      La Commissione può adottare atti di esecuzione per stabilire norme tecniche riguardanti i meccanismi di certifi­ cazione e i sigilli e marchi di protezione dei dati e le modalità per promuovere e riconoscere tali meccanismi di certifi­ cazione, i sigilli e marchi di protezione dei dati. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.



CAPO V

Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali


Articolo 44


Principio generale per il trasferimento


Qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un  paese terzo  o  un'organizzazione  internazionale, compresi  trasferimenti successivi di  dati personali da un paese terzo o un'organizzazione internazionale verso un altro paese terzo o un'altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento. Tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato.
 

Articolo 45


Trasferimento sulla base di una decisione di adeguatezza


1.     Il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all'interno del paese terzo, o l'orga­ nizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche.


2.      Nel valutare l'adeguatezza del livello di protezione, la Commissione prende in considerazione in particolare i seguenti elementi:

a)  lo stato  di diritto, il rispetto dei diritti umani  e delle libertà fondamentali, la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), così come l'attuazione di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un'altra organizzazione internazionale osservate nel paese o dall'organizzazione interna­ zionale in questione, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento;

b) l'esistenza e l'effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o cui è soggetta un'organizzazione internazionale, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati in merito all'esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri; e

c)  gli impegni internazionali assunti dal paese terzo o dall'organizzazione internazionale in questione o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti come pure dalla loro partecipazione a sistemi multila­ terali o regionali, in particolare in relazione alla protezione dei dati personali.

3.     La Commissione, previa valutazione dell'adeguatezza del livello di protezione,  può  decidere, mediante atti  di esecuzione, che un paese terzo, un territorio o uno o più settori specifici all'interno di un paese terzo, o un'organiz­ zazione internazionale garantiscono un  livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo. L'atto di esecuzione prevede un meccanismo di riesame periodico, almeno ogni quattro anni, che tenga conto di tutti gli sviluppi pertinenti nel paese terzo o nell'organizzazione internazionale. L'atto di esecuzione specifica il proprio ambito di applicazione geografico e settoriale e, ove applicabile, identifica la o le autorità di controllo di cui al paragrafo 2, lettera b), del presente articolo. L'atto di esecuzione è adottato  secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.


4.     La Commissione controlla su base continuativa gli sviluppi nei paesi terzi e nelle organizzazioni internazionali che potrebbero incidere sul funzionamento delle decisioni adottate a norma del paragrafo 3 del presente articolo e delle decisioni adottate sulla base dell'articolo 25, paragrafo 6, della direttiva 95/46/CE.


5.      Se risulta dalle informazioni disponibili, in particolare in seguito al riesame di cui al paragrafo 3 del presente articolo, che un paese terzo, un territorio o uno o più settori specifici all'interno di un paese terzo, o un'organizzazione internazionale non garantiscono più un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, la Commissione revoca, modifica o sospende nella misura necessaria la decisione di cui al paragrafo 3 del presente articolo mediante atti di esecuzione senza effetto retroattivo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2, o, in casi di estrema urgenza, secondo la procedura di cui all'articolo 93, paragrafo 3.


Per imperativi motivi di urgenza debitamente giustificati, la Commissione adotta atti di esecuzione immediatamente applicabili secondo la procedura di cui all'articolo 93, paragrafo 3.


6.      La Commissione avvia consultazioni con il paese terzo o l'organizzazione internazionale per porre rimedio alla situazione che ha motivato la decisione di cui al paragrafo 5.


7.      Una decisione ai sensi del paragrafo 5 del presente articolo lascia impregiudicato il trasferimento di dati personali verso il paese terzo, il territorio o uno o più settori specifici all'interno del paese terzo, o verso l'organizzazione interna­ zionale in questione, a norma degli articoli da 46 a 49.


8.      La Commissione pubblica nella Gazzetta  ufficiale dell'Unione  europea e sul suo sito web l'elenco dei paesi terzi, dei territori e settori specifici all'interno di un paese terzo, e delle organizzazioni internazionali per i quali ha deciso che è o non è più garantito un livello di protezione adeguato.
 

9.      Le decisioni adottate dalla Commissione in base all'articolo 25, paragrafo 6, della direttiva 95/46/CE restano in vigore fino a quando non sono modificate, sostituite o abrogate da una decisione della Commissione adottata confor­ memente al paragrafo 3 o 5 del presente articolo.



Articolo 46


Trasferimento soggetto a garanzie adeguate


1.     In mancanza di una decisione ai sensi dell'articolo 45, paragrafo 3, il titolare del trattamento o il responsabile del trattamento  può  trasferire dati personali verso un paese terzo o un'organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.


2.     Possono costituire garanzie adeguate di cui al paragrafo 1 senza necessitare di autorizzazioni specifiche da parte di un'autorità di controllo:

a)  uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;

b) le norme vincolanti d'impresa in conformità dell'articolo 47;

c)  le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d'esame di cui all'articolo 93, paragrafo 2;

d) le clausole tipo di protezione dei dati adottate da un'autorità di controllo e approvate dalla Commissione secondo la procedura d'esame di cui all'articolo 93, paragrafo 2;

e)  un codice di condotta approvato a norma dell'articolo 40,unitamente all'impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento  nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati; o

f)   un meccanismo di certificazione approvato a norma dell'articolo 42, unitamente all'impegno vincolante ed esigibile da parte del titolare del trattamento  o  del responsabile del trattamento  nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.

3.     Fatta salva l'autorizzazione dell'autorità di controllo competente, possono altresì costituire in particolare garanzie adeguate di cui al paragrafo 1:

a)  le clausole contrattuali tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell'organizzazione internazionale; o

b) le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati.

4.      L'autorità di controllo applica il meccanismo di coerenza di cui all'articolo 63 nei casi di cui al paragrafo 3 del presente articolo.


5.      Le autorizzazioni rilasciate da uno Stato membro o dall'autorità di controllo in base all'articolo 26, paragrafo 2, della direttiva 95/46/CE restano valide fino a quando non vengono modificate, sostituite o abrogate, se necessario, dalla medesima autorità  di controllo. Le decisioni adottate  dalla Commissione in  base all'articolo 26,  paragrafo 4,  della direttiva 95/46/CE restano in vigore fino a quando non vengono modificate, sostituite o abrogate, se necessario, da una decisione della Commissione adottata conformemente al paragrafo 2 del presente articolo.



Articolo 47


Norme vincolanti d'impresa


1.     L'autorità di  controllo  competente  approva  le norme  vincolanti d'impresa  in  conformità  del meccanismo di coerenza di cui all'articolo 63, a condizione che queste:

a)  siano giuridicamente vincolanti e si applichino a tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune, compresi i loro dipendenti;
 

b) conferiscano espressamente agli interessati diritti azionabili in relazione al trattamento dei loro dati personali; e c)  soddisfino i requisiti di cui al paragrafo 2.
2.     Le norme vincolanti d'impresa di cui al paragrafo 1 specificano almeno:

a)   la struttura e le coordinate di contatto del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune e di ciascuno dei suoi membri;

b)   i  trasferimenti o  il complesso di  trasferimenti di  dati, in  particolare le categorie di  dati  personali, il tipo  di trattamento e relative finalità, il tipo di interessati cui si riferiscono i dati e l'identificazione del paese terzo o dei paesi terzi in questione;

c)   la loro natura giuridicamente vincolante, a livello sia interno che esterno;

d)  l'applicazione dei principi generali di protezione dei dati, in particolare in relazione alla limitazione della finalità, alla minimizzazione dei dati, alla limitazione del periodo di conservazione, alla qualità dei dati, alla protezione fin dalla progettazione e alla protezione per impostazione predefinita, alla base giuridica del trattamento e al trattamento di categorie particolari di dati personali, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organismi che non sono vincolati dalle norme vincolanti d'impresa;

e)   i  diritti dell'interessato in  relazione al  trattamento  e  i  mezzi  per  esercitarli, compresi il diritto  di  non  essere sottoposto  a decisioni basate unicamente sul trattamento  automatizzato, compresa la profilazione ai sensi dell'ar­ ticolo 22, il diritto di proporre reclamo all'autorità di controllo competente e di ricorrere alle autorità giurisdizionali competenti degli Stati membri conformemente all'articolo 79, e il diritto di ottenere riparazione e, se del caso, il risarcimento per violazione delle norme vincolanti d'impresa;

f)     il fatto che il titolare del trattamento o il responsabile del trattamento stabilito nel territorio di uno Stato membro si assume la responsabilità per qualunque violazione delle norme vincolanti d'impresa commesse da un membro interessato non stabilito nell'Unione; il titolare del trattamento o il responsabile del trattamento può essere esonerato in tutto  o in parte da tale responsabilità solo se dimostra che l'evento dannoso non è imputabile al membro in questione;

g)  le modalità  in  base alle quali sono  fornite  all'interessato le informazioni  sulle norme  vincolanti d'impresa, in particolare sulle disposizioni di cui alle lettere d), e) e f), in aggiunta alle informazioni di cui agli articoli 13 e 14;

h)  i compiti di qualunque responsabile della protezione  dei dati designato ai sensi dell'articolo 35  o  di ogni altra persona o entità incaricata del controllo del rispetto delle norme vincolanti d'impresa all'interno del gruppo impren­ ditoriale o del gruppo di imprese che svolgono un'attività economica comune e il controllo della formazione e della gestione dei reclami;

i)    le procedure di reclamo;

j)    i meccanismi all'interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune per garantire la verifica della conformità alle norme vincolanti d'impresa. Tali meccanismi comprendono verifiche sulla protezione dei dati e metodi per assicurare provvedimenti correttivi intesi a proteggere i diritti dell'in­ teressato. I  risultati di tale verifica dovrebbero essere comunicati alla persona  o  entità  di cui alla lettera h) e all'organo  amministrativo  dell'impresa controllante  del  gruppo  imprenditoriale  o  del  gruppo  di  imprese  che svolgono un'attività economica comune e dovrebbero essere disponibili su richiesta all'autorità di controllo competente;

k)   i meccanismi per riferire e registrare le modifiche delle norme e comunicarle all'autorità di controllo;

l)    il meccanismo di cooperazione con l'autorità di controllo per garantire la conformità da parte di ogni membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune, in particolare la messa a disposizione dell'autorità di controllo dei risultati delle verifiche delle misure di cui alla lettera j);

m) i meccanismi per segnalare all'autorità di controllo competente ogni requisito di legge cui è soggetto un membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune in un paese terzo che potrebbe avere effetti negativi sostanziali sulle garanzie fornite dalle norme vincolanti d'impresa; e

n)  l'appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali.
 

3.     La Commissione può  specificare il  formato  e  le  procedure  per  lo  scambio  di  informazioni  tra  titolari  del trattamento, responsabili del trattamento e autorità di controllo in merito alle norme vincolanti d'impresa ai sensi del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.




Articolo 48


Trasferimento o comunicazione non autorizzati dal diritto dell'Unione


Le sentenze di un'autorità giurisdizionale e le decisioni di un'autorità amministrativa di un paese terzo che dispongono il trasferimento o la comunicazione di dati personali da parte di un  titolare del trattamento  o di un  responsabile del trattamento  possono essere riconosciute o assumere qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l'Unione o un suo Stato membro, ad esempio un trattato di mutua assistenza giudiziaria, fatti salvi gli altri presupposti di trasferimento a norma del presente capo.




Articolo 49


Deroghe in specifiche situazioni


1.      In mancanza di una decisione di adeguatezza ai sensi dell'articolo 45, paragrafo 3, o di garanzie adeguate ai sensi dell'articolo 46, comprese le norme vincolanti d'impresa, è ammesso il trasferimento o un complesso di trasferimenti di dati  personali  verso  un  paese terzo  o  un'organizzazione  internazionale  soltanto  se  si  verifica una  delle seguenti condizioni:

a)  l'interessato abbia esplicitamente acconsentito al trasferimento proposto,  dopo  essere stato informato dei possibili rischi di siffatti trasferimenti per l'interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;

b) il trasferimento sia necessario all'esecuzione di un contratto  concluso tra l'interessato e il titolare del trattamento ovvero all'esecuzione di misure precontrattuali adottate su istanza dell'interessato;

c)  il trasferimento sia necessario per la conclusione o l'esecuzione di un contratto stipulato tra il titolare del trattamento e un'altra persona fisica o giuridica a favore dell'interessato;

d) il trasferimento sia necessario per importanti motivi di interesse pubblico;

e)  il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;

f)   il trasferimento sia necessario per tutelare gli interessi vitali dell'interessato o di altre persone, qualora l'interessato si trovi nell'incapacità  fisica o giuridica di prestare il proprio consenso;

g) il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell'Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell'Unione o degli Stati membri.

Se non è possibile basare il trasferimento su una disposizione dell'articolo 45 o 46, comprese le disposizioni sulle norme vincolanti d'impresa, e nessuna delle deroghe in specifiche situazioni a norma del primo comma del presente paragrafo è applicabile, il trasferimento verso un paese terzo o un'organizzazione internazionale sia ammesso soltanto se non  è ripetitivo, riguarda un numero limitato di interessati, è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell'interessato, e qualora il titolare e del trattamento abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali. Il titolare del trattamento informa del trasferimento l'autorità di controllo. In aggiunta alla fornitura di informazioni di cui agli articoli 13 e 14, il titolare del trattamento informa l'interessato del trasferimento e degli interessi legittimi cogenti perseguiti.


2.     Il trasferimento di cui al paragrafo 1, primo comma, lettera g), non può riguardare la totalità dei dati personali o intere categorie di dati personali contenute nel registro. Se il registro è destinato a essere consultato da persone aventi un legittimo interesse, il trasferimento è ammesso soltanto su richiesta di tali persone o qualora tali persone ne siano i destinatari.
 

3.     Il primo comma, lettere a), b) e c), e il secondo comma del paragrafo 1 non si applicano alle attività svolte dalle autorità pubbliche nell'esercizio dei pubblici poteri.


4.     L'interesse pubblico di cui al paragrafo 1, primo comma, lettera d), è riconosciuto dal diritto dell'Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento.


5.      In mancanza di una decisione di adeguatezza, il diritto dell'Unione o  degli Stati membri può, per  importanti motivi di interesse pubblico, fissare espressamente limiti al trasferimento di categorie specifiche di dati verso un paese terzo o un'organizzazione internazionale. Gli Stati membri notificano tali disposizioni alla Commissione.


6.     Il titolare del trattamento o il responsabile del trattamento attesta nel registro di cui all'articolo 30 la valutazione e le garanzie adeguate di cui al paragrafo 1, secondo comma, del presente articolo.



Articolo 50


Cooperazione internazionale per la protezione dei dati personali


In relazione ai paesi terzi e alle organizzazioni internazionali, la Commissione e le autorità di controllo adottano misure appropriate per:

a)  sviluppare meccanismi di cooperazione  internazionale per  facilitare l'applicazione efficace della legislazione sulla protezione dei dati personali;

b) prestare assistenza reciproca a  livello internazionale nell'applicazione della legislazione sulla protezione  dei dati personali, in particolare mediante notificazione, deferimento dei reclami, assistenza alle indagini e scambio di informazioni, fatte salve garanzie adeguate per la protezione dei dati personali e gli altri diritti e libertà fondamentali;

c)  coinvolgere le parti interessate pertinenti in discussioni e attività dirette a promuovere la cooperazione internazionale nell'applicazione della legislazione sulla protezione dei dati personali;

d) promuovere lo scambio e la documentazione delle legislazioni e prassi in materia di protezione dei dati personali, compresi i conflitti di giurisdizione con paesi terzi.


CAPO VI

Autorità di controllo indipendenti


Sezione 1

Indipendenza


Articolo 51


Autorità di controllo


1.      Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l'appli­ cazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all'interno dell'Unione (l'«autorità di controllo»).


2.     Ogni autorità di controllo contribuisce alla coerente applicazione del presente regolamento in tutta l'Unione. A tale scopo, le autorità di controllo cooperano tra loro e con la Commissione, conformemente al capo VII.


3.     Qualora in uno Stato membro siano istituite più autorità di controllo, detto Stato membro designa l'autorità di controllo  che rappresenta  tali autorità  nel comitato  e stabilisce il meccanismo in  base al quale le altre autorità  si conformano alle norme relative al meccanismo di coerenza di cui all'articolo 63.


4.      Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del presente capo al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica.
 

Articolo 52


Indipendenza


1.      Ogni autorità di controllo agisce in piena indipendenza nell'adempimento dei propri compiti e nell'esercizio dei propri poteri conformemente al presente regolamento.


2.      Nell'adempimento dei rispettivi compiti e nell'esercizio dei rispettivi poteri previsti dal presente regolamento, il membro  o  i membri di ogni autorità  di controllo  non  subiscono pressioni esterne, né dirette, né indirette, e non sollecitano né accettano istruzioni da alcuno.


3.      Il membro  o  i membri dell'autorità di controllo si astengono da qualunque azione incompatibile con le loro funzioni e per tutta  la durata del mandato  non  possono esercitare alcuna altra attività incompatibile, remunerata o meno.


4.     Ogni  Stato  membro  provvede affinché ogni  autorità  di  controllo  sia dotata  delle risorse umane,  tecniche e finanziarie, dei locali e delle infrastrutture necessari per l'effettivo adempimento dei suoi compiti e l'esercizio dei propri poteri, compresi quelli nell'ambito dell'assistenza reciproca, della cooperazione e della partecipazione al comitato.


5.     Ogni  Stato membro  provvede affinché ogni  autorità  di  controllo  selezioni e  disponga di  proprio  personale, soggetto alla direzione esclusiva del membro o dei membri dell'autorità di controllo interessata.


6.     Ogni Stato membro provvede affinché ogni autorità di controllo sia soggetta a un controllo finanziario che non ne pregiudichi l'indipendenza e disponga di bilanci annuali, separati e pubblici, che possono far parte del bilancio generale statale o nazionale.



Articolo 53


Condizioni generali per i membri dell'autorità di controllo


1.     Gli Stati membri dispongono che ciascun membro delle rispettive autorità di controllo sia nominato attraverso una procedura trasparente:

— dal rispettivo parlamento;

— dal rispettivo governo;

— dal rispettivo capo di Stato; oppure

— da un organismo indipendente incaricato della nomina a norma del diritto dello Stato membro.

2.      Ogni membro possiede le qualifiche, l'esperienza e le competenze, in particolare nel settore della protezione dei dati personali, richieste per l'esercizio delle sue funzioni e dei suoi poteri.


3.      Il mandato  dei membri cessa alla scadenza del termine o in caso di dimissioni volontarie o di provvedimento d'ufficio, a norma del diritto dello Stato membro interessato.


4.      Un membro è rimosso solo in casi di colpa grave o se non soddisfa più le condizioni richieste per l'esercizio delle sue funzioni.



Articolo 54


Norme sull'istituzione dell'autorità di controllo


1.      Ogni Stato membro prevede con legge tutte le condizioni seguenti:

a)  l'istituzione di ogni autorità di controllo;
 

b) le qualifiche e le condizioni di idoneità richieste per essere nominato membro di ogni autorità di controllo;

c)  le norme e le procedure per la nomina del membro o dei membri di ogni autorità di controllo;

d) la durata del mandato del membro o dei membri di ogni autorità di controllo non inferiore a quattro anni, salvo per le prime nomine  dopo  24  maggio 2016,  alcune delle quali possono  avere una  durata inferiore qualora ciò sia necessario per tutelare l'indipendenza dell'autorità di controllo mediante una procedura di nomina scaglionata;

e)  l'eventuale rinnovabilità e, in caso positivo, il numero di rinnovi del mandato del membro o dei membri di ogni autorità di controllo;

f)   le condizioni che disciplinano gli obblighi del membro o dei membri e del personale di ogni autorità di controllo, i divieti relativi ad attività, professioni e benefici incompatibili con tali obblighi durante e dopo il mandato e le regole che disciplinano la cessazione del rapporto di lavoro.

2.      Il membro o i membri e il personale di ogni autorità di controllo sono tenuti, in virtù del diritto dell'Unione o degli Stati membri, al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso nell'esecuzione dei loro compiti o nell'esercizio dei loro poteri, sia durante che dopo il mandato. Per tutta la durata del loro mandato, tale obbligo del segreto professionale si applica in particolare alle segnalazioni da parte di persone fisiche di violazioni del presente regolamento.


Sezione 2

Competenza, compiti e poter i


Articolo 55


Competenza


1.      Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro.


2.     Se il trattamento  è effettuato da autorità pubbliche o organismi privati che agiscono sulla base dell'articolo 6, paragrafo 1, lettera c) o e), è competente l'autorità di controllo dello Stato membro  interessato. In tal caso, non  si applica l'articolo 56.


3.      Le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell'esercizio delle loro funzioni giurisdizionali.




Articolo 56


Competenza dell'autorità di controllo capofila


1.     Fatto salvo l'articolo 55, l'autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare e del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti  transfrontalieri effettuati dal suddetto titolare del trattamento  o responsabile del trattamento,  secondo la procedura di cui all'articolo 60.


2.     In deroga al paragrafo 1, ogni autorità di controllo è competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l'oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro.


3.      Nei casi indicati al paragrafo 2 del presente articolo, l'autorità di controllo informa senza indugio l'autorità di controllo capofila in merito alla questione. Entro un termine di tre settimane da quando è stata informata, l'autorità di controllo capofila decide se intende o meno trattare il caso secondo la procedura di cui all'articolo 60, tenendo conto dell'esistenza o meno di uno stabilimento del titolare del trattamento o responsabile del trattamento nello Stato membro dell'autorità di controllo che l'ha informata.
 

4.      Qualora l'autorità di controllo capofila decida di trattare il caso, si applica la procedura di cui all'articolo 60. L'autorità di controllo che ha informato l'autorità di controllo capofila può presentare a quest'ultima un progetto di decisione. L'autorità di controllo capofila tiene nella massima considerazione tale progetto  nella predisposizione del progetto di decisione di cui all'articolo 60, paragrafo 3.


5.     Nel caso in cui l'autorità di controllo capofila decida di non  trattarlo, l'autorità di controllo che ha informato l'autorità di controllo capofila tratta il caso conformemente agli articoli 61 e 62.


6.     L'autorità di controllo capofila è l'unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare del trattamento o responsabile del trattamento.



Articolo 57


Compiti


1.      Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo:

a)   sorveglia e assicura l'applicazione del presente regolamento;

b)   promuove la consapevolezza e favorisce la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento.  Sono oggetto di particolare attenzione le attività destinate specificamente ai minori;

c)   fornisce consulenza, a norma del diritto degli Stati membri, al parlamento nazionale, al governo e ad altri organismi e istituzioni in merito alle misure legislative e amministrative relative alla protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento;

d)  promuove la consapevolezza dei titolari del trattamento  e dei responsabili del trattamento  riguardo agli obblighi imposti loro dal presente regolamento;

e)   su  richiesta, fornisce informazioni  all'interessato in  merito  all'esercizio dei propri  diritti derivanti dal  presente regolamento e, se del caso, coopera a tal fine con le autorità di controllo di altri Stati membri;

f)     tratta i reclami proposti da un interessato, o da un organismo, un'organizzazione o un'associazione ai sensi dell'ar­ ticolo 80, e svolge le indagini opportune sull'oggetto del reclamo e informa il reclamante dello stato e dell'esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un'altra autorità di controllo;

g)  collabora, anche tramite scambi di informazioni, con le altre autorità di controllo e presta assistenza reciproca al fine di garantire l'applicazione e l'attuazione coerente del presente regolamento;

h)  svolge indagini sull'applicazione del presente regolamento, anche sulla base di informazioni ricevute da un'altra autorità di controllo o da un'altra autorità pubblica;

i)    sorveglia gli sviluppi che presentano un interesse, se e in quanto incidenti sulla protezione dei dati personali, in particolare l'evoluzione delle tecnologie dell'informazione e della comunicazione e le prassi commerciali;

j)     adotta le clausole contrattuali tipo di cui all'articolo 28, paragrafo 8, e all'articolo 46, paragrafo 2, lettera d);

k)   redige e tiene un elenco in relazione al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell'ar­
ticolo 35, paragrafo 4;

l)     offre consulenza sui trattamenti di cui all'articolo 36, paragrafo 2;

m) incoraggia l'elaborazione di codici di condotta ai sensi dell'articolo 40,  paragrafo 1, e fornisce un parere su tali codici di condotta e approva quelli che forniscono garanzie sufficienti, a norma dell'articolo 40, paragrafo 5;

n)  incoraggia l'istituzione di  meccanismi di  certificazione della protezione  dei dati  nonché  di  sigilli e  marchi  di protezione dei dati a norma dell'articolo 42, paragrafo 1, e approva i criteri di certificazione a norma dell'articolo 42, paragrafo 5;

o)   ove applicabile, effettua un riesame periodico delle certificazioni rilasciate in conformità dell'articolo 42, paragrafo 7;
 

p)  definisce e pubblica i criteri per l'accreditamento di un organismo per il controllo dei codici di condotta ai sensi dell'articolo 41 e di un organismo di certificazione ai sensi dell'articolo 43;

q)   effettua l'accreditamento di un organismo per il controllo dei codici di condotta ai sensi dell'articolo 41  e di un organismo di certificazione ai sensi dell'articolo 43;

r)   autorizza le clausole contrattuali e le altre disposizioni di cui all'articolo 46, paragrafo 3;

s)   approva le norme vincolanti d'impresa ai sensi dell'articolo 47;

t)   contribuisce alle attività del comitato;

u)   tiene registri interni delle violazioni del presente regolamento e delle misure adottate in conformità dell'articolo 58, paragrafo 2; e

v)   svolge qualsiasi altro compito legato alla protezione dei dati personali.

2.     Ogni autorità di controllo agevola la proposizione di reclami di cui al paragrafo 1, lettera f), tramite misure quali un modulo per la proposizione dei reclami compilabile anche elettronicamente, senza escludere altri mezzi di comuni­ cazione.


3.     Ogni autorità  di controllo  svolge i propri  compiti senza spese né per  l'interessato né, ove applicabile, per  il responsabile della protezione dei dati.


4.      Qualora le richieste siano manifestamente infondate o eccessive, in particolare per il carattere ripetitivo, l'autorità di controllo può addebitare un contributo spese ragionevole basato sui costi amministrativi o rifiutarsi di soddisfare la richiesta. Incombe all'autorità di controllo dimostrare il carattere manifestamente infondato o eccessivo della richiesta.




Articolo 58


Poteri


1.      Ogni autorità di controllo ha tutti i poteri di indagine seguenti:

a)  ingiungere al titolare del trattamento e al responsabile del trattamento e, ove applicabile, al rappresentante del titolare del trattamento o del responsabile del trattamento, di fornirle ogni informazione di cui necessiti per l'esecuzione dei suoi compiti;

b) condurre indagini sotto forma di attività di revisione sulla protezione dei dati;

c)  effettuare un riesame delle certificazioni rilasciate in conformità dell'articolo 42, paragrafo 7;

d) notificare al titolare del trattamento o al responsabile del trattamento le presunte violazioni del presente regolamento;

e)  ottenere, dal titolare del trattamento o dal responsabile del trattamento, l'accesso a tutti i dati personali e a tutte le informazioni necessarie per l'esecuzione dei suoi compiti; e

f)   ottenere accesso a tutti  i locali del titolare del trattamento  e del responsabile del trattamento,  compresi tutti  gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell'Unione o il diritto processuale degli Stati membri.

2.      Ogni autorità di controllo ha tutti i poteri correttivi seguenti:

a)  rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento;

b) rivolgere ammonimenti  al titolare e del trattamento  o  al responsabile del trattamento  ove i trattamenti  abbiano violato le disposizioni del presente regolamento;

c)  ingiungere al titolare del trattamento  o al responsabile del trattamento  di soddisfare le richieste dell'interessato di esercitare i diritti loro derivanti dal presente regolamento;
 

d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;

e)  ingiungere al titolare del trattamento di comunicare all'interessato una violazione dei dati personali;

f)   imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;

g) ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell'articolo 17, paragrafo 2, e dell'articolo 19;

h) revocare la certificazione o ingiungere all'organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all'organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;

i)   infliggere  una sanzione amministrativa pecuniaria ai sensi dell'articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; e

j)   ordinare la sospensione dei f lussi di dati verso un destinatario in un paese terzo o un'organizzazione internazionale.

3.      Ogni autorità di controllo ha tutti i poteri autorizzativi e consultivi seguenti:

a)  fornire consulenza al titolare del trattamento, secondo la procedura di consultazione preventiva di cui all'articolo 36;

b) rilasciare, di propria iniziativa o su richiesta, pareri destinati al parlamento nazionale, al governo dello Stato membro, oppure,  conformemente al diritto degli Stati membri, ad altri organismi e istituzioni e al pubblico su questioni riguardanti la protezione dei dati personali;

c)  autorizzare il trattamento  di cui all'articolo 36, paragrafo 5, se il diritto dello Stato membro richiede una siffatta autorizzazione preliminare;

d) rilasciare un parere sui progetti di codici di condotta e approvarli, ai sensi dell'articolo 40, paragrafo 5;

e)  accreditare gli organismi di certificazione a norma dell'articolo 43;

f)   rilasciare certificazioni  e approvare i criteri di certificazione conformemente all'articolo 42, paragrafo 5;

g) adottare le clausole tipo  di protezione dei dati di cui all'articolo 28,  paragrafo 8, e all'articolo 46,  paragrafo 2, lettera d);

h) autorizzare le clausole contrattuali di cui all'articolo 46, paragrafo 3, lettera a);

i)   autorizzare gli accordi amministrativi di cui all'articolo 46, paragrafo 3, lettera b);

j)   approvare le norme vincolanti d'impresa ai sensi dell'articolo 47.

4.     L'esercizio da parte di un'autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie adeguate, inclusi il ricorso giurisdizionale effettivo e il giusto processo, previste dal diritto dell'Unione e degli Stati membri conformemente alla Carta.


5.     Ogni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un'azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso.


6.     Ogni Stato membro può prevedere per legge che la sua autorità di controllo abbia ulteriori poteri rispetto a quelli di cui ai paragrafi 1, 2 e 3. L'esercizio di tali poteri non pregiudica l'operatività effettiva del capo VII.



Articolo 59


Relazioni di attività


Ogni autorità di controllo elabora una  relazione annuale sulla propria  attività, in cui può  figurare un  elenco delle tipologie di violazioni notificate e di misure adottate a norma dell'articolo 58, paragrafo 2. Tali relazioni sono trasmesse al parlamento nazionale, al governo e alle altre autorità designate dal diritto dello Stato membro. Esse sono messe a disposizione del pubblico, della Commissione e del comitato.
 

CAPO VII

Cooperazione e coerenza


Sezione 1

Cooperazione


Articolo 60


Cooperazione tra l'autorità di controllo capofila e le altre autorità di controllo interessate


1.      L'autorità di controllo capofila coopera con le altre autorità di controllo interessate conformemente al presente articolo nell'impegno per raggiungere un consenso. L'autorità di controllo capofila e le autorità di controllo interessate si scambiano tutte le informazioni utili.


2.     L'autorità di controllo capofila può chiedere in qualunque momento alle altre autorità di controllo interessate di fornire assistenza reciproca a norma dell'articolo 61 e può condurre operazioni congiunte a norma dell'articolo 62, in particolare per lo svolgimento di indagini o il controllo dell'attuazione di una misura riguardante un titolare del trattamento o responsabile del trattamento stabilito in un altro Stato membro.


3.     L'autorità di controllo capofila comunica senza indugio le informazioni utili sulla questione alle altre autorità di controllo interessate. Trasmette senza indugio alle altre autorità di controllo interessate un progetto  di decisione per ottenere il loro parere e tiene debitamente conto delle loro opinioni.


4.      Se una  delle altre autorità  di  controllo  interessate solleva un'obiezione  pertinente  e  motivata  al  progetto  di decisione entro un termine di quattro settimane dopo essere stata consultata conformemente al paragrafo 3 del presente articolo, l'autorità di controllo capofila, ove non dia seguito all'obiezione pertinente e motivata o ritenga l'obiezione non pertinente o non motivata, sottopone la questione al meccanismo di coerenza di cui all'articolo 63.


5.      L'autorità di controllo capofila, qualora intenda dare seguito all'obiezione pertinente e motivata sollevata, trasmette un progetto di decisione riveduto alle altre autorità di controllo interessate per ottenere il loro parere. Tale progetto di decisione riveduto è soggetto alla procedura di cui al paragrafo 4 entro un termine di due settimane.


6.     Se nessuna delle altre autorità di controllo interessate ha sollevato obiezioni al progetto di decisione trasmesso dall'autorità di controllo capofila entro il termine di cui ai paragrafi 4 e 5, si deve considerare che l'autorità di controllo capofila e le autorità di controllo interessate concordano su tale progetto di decisione e sono da esso vincolate.


7.      L'autorità di controllo capofila adotta la decisione e la notifica allo stabilimento principale o allo stabilimento unico del titolare del trattamento  o  responsabile del trattamento,  a seconda dei casi, e informa le altre autorità  di controllo interessate e il comitato la decisione in questione, compresa una sintesi dei fatti e delle motivazioni pertinenti. L'autorità di controllo cui è stato proposto un reclamo informa il reclamante riguardo alla decisione.


8.      In deroga al paragrafo 7, in caso di archiviazione o di rigetto di un reclamo, l'autorità di controllo cui è stato proposto il reclamo adotta la decisione e la notifica al reclamante e ne informa il titolare del trattamento.


9.      Se l'autorità di controllo capofila e le autorità di controllo interessate convengono di archiviare o rigettare parti di un reclamo e di intervenire su altre parti di tale reclamo, è adottata una decisione separata per ciascuna di tali parti della questione. L'autorità di controllo capofila adotta la decisione per la parte riguardante azioni in relazione al titolare del trattamento  e la notifica allo stabilimento principale o allo stabilimento unico del responsabile del trattamento  o del responsabile del trattamento  sul territorio  del suo  Stato membro  e ne  informa il reclamante, mentre  l'autorità di controllo del reclamante adotta la decisione per la parte riguardante l'archiviazione o il rigetto di detto reclamo, la notifica a detto reclamante e ne informa il titolare del trattamento o il responsabile del trattamento.


10.     Dopo aver ricevuto la notifica della decisione dell'autorità di controllo capofila a norma dei paragrafi 7 e 9, il titolare del trattamento  o  responsabile del trattamento  adotta  le misure necessarie per  garantire la conformità alla decisione per quanto riguarda le attività di trattamento nel contesto di tutti i suoi stabilimenti nell'Unione. Il titolare del trattamento  o  responsabile del trattamento  notifica le misure adottate  per  conformarsi alla decisione all'autorità di controllo capofila, che ne informa le altre autorità di controllo interessate.
 

11.     Qualora,  in  circostanze  eccezionali, un'autorità  di  controllo  interessata abbia  motivo  di  ritenere  che  urga intervenire per tutelare gli interessi degli interessati, si applica la procedura d'urgenza di cui all'articolo 66.


12.     L'autorità di controllo capofila e le altre autorità di controllo interessate si scambiano reciprocamente con mezzi elettronici, usando un modulo standard, le informazioni richieste a norma del presente articolo.



Articolo 61


Assistenza reciproca


1.     Le autorità di controllo si scambiano le informazioni utili e si prestano assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente, e mettono in atto misure per cooperare efficacemente tra loro. L'assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di autorizzazioni e consultazioni preventive e le richieste di effettuare ispezioni e indagini.


2.     Ogni autorità di controllo adotta tutte le misure opportune  necessarie per dare seguito alle richieste delle altre autorità di controllo senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta. Tali misure possono consistere, in particolare, nella trasmissione di informazioni utili sullo svolgimento di un'indagine.


3.      La richiesta di assistenza contiene tutte le informazioni necessarie, compresi lo scopo e i motivi della richiesta. Le informazioni scambiate sono utilizzate ai soli fini per cui sono state richieste.


4.      L'autorità di controllo richiesta non deve rifiutare di dare seguito alla richiesta, salvo che:

a)  non sia competente per trattare l'oggetto della richiesta o per le misure cui deve dare esecuzione; o

b) l'accoglimento della richiesta violi le disposizioni del presente regolamento o  il diritto dell'Unione o  dello Stato membro cui è soggetta l'autorità di controllo che riceve la richiesta.

5.      L'autorità di controllo  richiesta informa l'autorità di controllo  richiedente dell'esito o,  a seconda dei casi, dei progressi delle misure adottate per rispondere alla richiesta. L'autorità di controllo richiesta deve fornire le motivazioni del rigetto della richiesta.


6.      Di norma,  le autorità  di controllo richieste forniscono con  mezzi elettronici, usando un  modulo  standard, le informazioni richieste da altre autorità di controllo.


7.      Le autorità di controllo richieste non impongono  alcuna spesa per le misure da loro adottate a seguito di una richiesta di assistenza reciproca. Le autorità di controllo possono concordare disposizioni di indennizzo reciproco per spese specifiche risultanti dalla prestazione di assistenza reciproca in circostanze eccezionali.


8.     Qualora l'autorità di controllo non fornisca le informazioni di cui al paragrafo 5 del presente articolo, entro un mese dal ricevimento della richiesta di un'altra autorità di controllo, l'autorità di controllo richiedente può  adottare misure provvisorie nel territorio del suo Stato membro ai sensi dell'articolo 55, paragrafo 1. Si considera, in tal caso, che urga intervenire ai sensi dell'articolo 66, paragrafo 1, e che sia necessaria una decisione vincolante d'urgenza da parte del comitato a norma dell'articolo 66, paragrafo 2.


9.      La Commissione può, mediante atti di esecuzione, specificare il formato e le procedure per l'assistenza reciproca di cui al presente articolo e le modalità per lo scambio di informazioni con mezzi elettronici tra autorità di controllo e tra le autorità di controllo e il comitato, in particolare il modulo standard di cui al paragrafo 6 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.



Articolo 62


Operazioni congiunte delle autorità di controllo


1.     Se del caso, le autorità  di controllo  conducono  operazioni  congiunte, incluse indagini congiunte e misure di contrasto congiunte, cui partecipano membri o personale di autorità di controllo di altri Stati membri.
 

2.     Qualora il titolare del trattamento o responsabile del trattamento abbia stabilimenti in vari Stati membri o qualora esista la probabilità che il trattamento abbia su un numero significativo di interessati in più di uno Stato membro un impatto negativo sostanziale, un'autorità di controllo di ogni Stato membro in questione ha il diritto di partecipare alle operazioni  congiunte.  L'autorità  di  controllo  che  è  competente  conformemente  all'articolo  56,  paragrafo  1,  o all'articolo 56 paragrafo 4, invita l'autorità di controllo di ogni Stato membro interessato a partecipare all'operazione congiunta in questione e risponde senza ritardo alle richieste di partecipazione delle autorità di controllo.


3.     Un'autorità di controllo può, in conformità del diritto degli Stati membri e con l'autorizzazione dell'autorità di controllo ospitata, conferire poteri, anche d'indagine, ai membri o al personale dell'autorità di controllo ospitata che partecipano alle operazioni congiunte o consentire ai membri o al personale dell'autorità di controllo ospitata, nella misura in cui il diritto dello Stato membro  dell'autorità di controllo  ospite lo permette, di esercitare i loro  poteri d'indagine in conformità del diritto dello Stato membro dell'autorità di controllo ospitata. Tali poteri d'indagine possono essere esercitati unicamente sotto il controllo e in presenza di membri o personale dell'autorità di controllo ospite. I membri o il personale dell'autorità di controllo ospitata sono  soggetti al diritto dello Stato membro  dell'autorità di controllo ospite.


4.      Qualora, in conformità del paragrafo 1, il personale di un'autorità di controllo ospitata operi in un altro Stato membro,  lo  Stato membro  dell'autorità di controllo  ospite si assume la responsabilità del suo  operato,  compreso l'obbligo di risarcimento, per i danni causati da detto personale nel corso delle operazioni, conformemente al diritto dello Stato membro nel cui territorio esso opera.


5.      Lo Stato membro nel cui territorio sono stati causati i danni risarcisce tali danni alle condizioni applicabili ai danni causati dal proprio personale. Lo Stato membro dell'autorità di controllo ospitata il cui personale ha causato danni a terzi nel territorio di un altro Stato membro rimborsa integralmente a tale altro Stato membro importi corrisposti agli aventi diritto per conto di detti terzi.


6.     Fatto salvo l'esercizio dei suoi diritti nei confronti di terzi e fatta eccezione per il paragrafo 5, ciascuno Stato membro rinuncia, nel caso previsto al paragrafo 1, a chiedere a un altro Stato membro il risarcimento dei danni di cui al paragrafo 4.


7.      Qualora sia prevista un'operazione congiunta e un'autorità di controllo non si conformi entro un mese all'obbligo di  cui  al paragrafo 2,  seconda frase, del presente articolo, le altre autorità  di  controllo  possono  adottare  misure provvisorie nel territorio del loro Stato membro ai sensi dell'articolo 55. Si considera, in tal caso, che urga intervenire ai sensi dell'articolo 66, paragrafo 1, e che siano necessari un parere o una decisione vincolante d'urgenza da parte del comitato a norma dell'articolo 66, paragrafo 2.


Sezione 2

Coerenza

Articolo 63

Meccanismo di coerenza


Al fine di contribuire all'applicazione coerente del presente regolamento in  tutta  l'Unione, le autorità  di controllo cooperano tra loro e, se del caso, con la Commissione mediante il meccanismo di coerenza stabilito nella presente sezione.



Articolo 64

Parere del comitato europeo per la protezione dei dati


1.     Il comitato  emette  un  parere  ove  un'autorità  di  controllo  competente  intenda  adottare  una  delle misure  in appresso. A tal  fine, l'autorità  di  controllo  competente  comunica  il progetto  di  decisione al comitato,  quando  la decisione:

a)  è finalizzata a stabilire un elenco di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35, paragrafo 4;

b) riguarda una questione di cui all'articolo 40,  paragrafo 7, relativa alla conformità al presente regolamento di un progetto di codice di condotta o una modifica o proroga di un codice di condotta;
 

c)  è finalizzata ad approvare i criteri per l'accreditamento di un organismo ai sensi dell'articolo 41, paragrafo 3, o di un organismo di certificazione ai sensi dell'articolo 43, paragrafo 3;

d) è finalizzata a  determinare clausole tipo  di protezione  dei dati di cui all'articolo 46,  paragrafo 2,  lettera d), e all'articolo 28, paragrafo 8;

e)  è finalizzata ad autorizzare clausole contrattuali di cui all'articolo 46, paragrafo 3, lettera a); oppure f)   è finalizzata ad approvare norme vincolanti d'impresa ai sensi dell'articolo 47.
2.      Qualsiasi autorità di controllo, il presidente del comitato o la Commissione può  richiedere che le questioni di applicazione generale o che producono  effetti in più di uno  Stato membro siano esaminate dal comitato al fine di ottenere un parere, in particolare se un'autorità di controllo competente non si conforma agli obblighi relativi all'assi­ stenza reciproca ai sensi dell'articolo 61 o alle operazioni congiunte ai sensi dell'articolo 62.


3.      Nei casi di cui ai paragrafi 1 e 2, il comitato emette un parere sulla questione che gli è stata presentata, purché non abbia già emesso un  parere sulla medesima questione. Tale parere è adottato  entro  un  termine di otto  settimane a maggioranza semplice dei membri del comitato. Tale termine può essere prorogato di sei settimane, tenendo conto della complessità della questione. Per quanto riguarda il progetto di decisione di cui al paragrafo 1 trasmesso ai membri del comitato conformemente al paragrafo 5, il membro che non  abbia sollevato obiezioni entro un termine ragionevole indicato dal presidente è considerato assentire al progetto di decisione.


4.     Senza ingiustificato ritardo, le autorità di controllo e la Commissione comunicano per via elettronica, usando un modulo  standard, al comitato tutte  le informazioni utili, in particolare, a seconda del caso, una  sintesi dei fatti, il progetto  di decisione, i motivi che rendono  necessaria l'attuazione di tale misura e i pareri delle altre autorità  di controllo interessate.


5.      Il presidente del comitato informa, senza ingiustificato ritardo, con mezzi elettronici:

a)  i membri del comitato e la Commissione di tutte le informazioni utili che sono state comunicate al comitato con modulo standard. Se necessario, il segretariato del comitato fornisce una traduzione delle informazioni utili; e

b) l'autorità di controllo di cui, secondo i casi, ai paragrafi 1 e 2, e la Commissione in merito al parere, che rende pubblico.

6.     L'autorità di controllo competente si astiene dall'adottare il suo progetto di decisione di cui al paragrafo 1 entro il termine di cui al paragrafo 3.


7.     L'autorità di controllo di cui al paragrafo 1 tiene nella massima considerazione il parere del comitato e, entro due settimane dal ricevimento del parere, comunica per  via elettronica, usando  un  modulo  standard, al presidente del comitato se intende mantenere o modificare il progetto di decisione e, se del caso, il progetto di decisione modificato.


8.      Se entro il termine di cui al paragrafo 7 del presente articolo l'autorità di controllo interessata informa il presidente del comitato, fornendo le pertinenti motivazioni, che non intende conformarsi al parere del comitato, in tutto o in parte, si applica l'articolo 65, paragrafo 1.




Articolo 65


Composizione delle controversie da parte del comitato


1.      Al fine di assicurare l'applicazione corretta e coerente del presente regolamento nei singoli casi, il comitato adotta una decisione vincolante nei seguenti casi:

a)  se, in  un  caso di cui all'articolo 60,  paragrafo 4,  un'autorità  di controllo  interessata ha  sollevato un'obiezione pertinente e motivata a un progetto di decisione dell'autorità capofila o l'autorità capofila ha rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell'obiezione pertinente e motivata, in particolare se sussista una violazione del presente regolamento;
 

b) se vi sono opinioni contrastanti in merito alla competenza delle autorità di controllo interessate per lo stabilimento principale;

c)  se un'autorità di controllo competente non richiede il parere del comitato nei casi di cui all'articolo 64, paragrafo 1, o non si conforma al parere del comitato emesso a norma dell'articolo 64. In tal caso qualsiasi autorità di controllo interessata o la Commissione può comunicare la questione al comitato.

2.      La decisione di cui al paragrafo 1  è adottata  entro  un  mese dal deferimento della questione da parte di una maggioranza di due terzi dei membri del comitato. Tale termine può essere prorogato di un mese, in considerazione della complessità della questione. La decisione di cui al paragrafo 1  è motivata e trasmessa all'autorità di controllo capofila e a tutte le autorità di controllo interessate ed è per esse vincolante.


3.     Qualora non sia stato in grado di adottare una decisione entro i termini di cui al paragrafo 2, il comitato adotta la sua decisione entro due settimane dalla scadenza del secondo mese di cui al paragrafo 2, a maggioranza semplice dei membri del comitato. In caso di parità di voti dei membri del comitato, prevale il voto del presidente.


4.     Le autorità di controllo interessate non adottano una decisione sulla questione sottoposta al comitato a norma del paragrafo 1 entro i termini di cui ai paragrafi 2 e 3.


5.     Il presidente del comitato notifica senza ingiustificato ritardo alle autorità di controllo interessate la decisione di cui al paragrafo 1 e ne informa la Commissione. La decisione è pubblicata senza ritardo sul sito web del comitato dopo che l'autorità di controllo ha notificato la decisione definitiva di cui al paragrafo 6.


6.      L'autorità di controllo capofila o, se del caso, l'autorità di controllo a cui è stato proposto il reclamo adotta la sua decisione definitiva in base alla decisione di cui al paragrafo 1 del presente articolo senza ingiustificato ritardo e al più tardi entro un mese dalla notifica della decisione da parte del comitato. L'autorità di controllo capofila o, se del caso, l'autorità di controllo a cui è stato proposto il reclamo, informa il comitato circa la data in cui la decisione definitiva è notificata rispettivamente al titolare del trattamento  o  al responsabile del trattamento  e all'interessato. La decisione definitiva delle autorità di controllo interessate è adottata ai sensi dell'articolo 60, paragrafi 7, 8 e 9. La decisione finale fa riferimento alla decisione di cui al paragrafo 1 del presente articolo e precisa che la decisione di cui a tale paragrafo sarà pubblicata sul sito web del comitato conformemente al paragrafo 5 del presente articolo. La decisione finale deve accludere la decisione di cui al paragrafo 1 del presente articolo.




Articolo 66


Procedura d'urgenza


1.      In circostanze eccezionali, qualora ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, un'autorità di controllo interessata può, in deroga al meccanismo di coerenza di cui agli articoli 63, 64 e 65, o alla procedura  di cui all'articolo 60,  adottare  immediatamente misure provvisorie intese a produrre  effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi. L'autorità di controllo comunica senza ritardo tali misure e la motivazione della loro adozione alle altre autorità di controllo interessate, al comitato e alla Commissione.


2.     Qualora abbia adottato una misura ai sensi del paragrafo 1 e ritenga che urga adottare misure definitive, l'autorità di controllo  può  chiedere un  parere d'urgenza o  una  decisione vincolante d'urgenza del comitato,  motivando  tale richiesta.


3.      Qualsiasi autorità di controllo può chiedere un parere d'urgenza o una decisione vincolante d'urgenza, a seconda dei casi, del comitato qualora un'autorità di controllo competente non abbia adottato misure adeguate in una situazione in cui urge intervenire per  proteggere i diritti e le libertà degli interessati, motivando  la richiesta di tale parere o decisione, in particolare l'urgenza dell'intervento.


4.     In deroga all'articolo 64, paragrafo 3, e all'articolo 65, paragrafo 2, il parere d'urgenza o la decisione vincolante d'urgenza di cui ai paragrafi 2 e 3 del presente articolo sono adottati entro due settimane a maggioranza semplice dei membri del comitato.
 

Articolo 67


Scambio di informazioni


La Commissione può  adottare  atti di esecuzione di portata  generale per  specificare le modalità per  lo scambio di informazioni per via elettronica tra autorità di controllo e tra le autorità di controllo e il comitato, in particolare il modulo standard di cui all'articolo 64.


Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.


Sezione 3

Comitato  europeo  per  la  protezione  dei  dati


Articolo 68


Comitato europeo per la protezione dei dati


1.     Il comitato europeo per la protezione dei dati («comitato») è istituito quale organismo dell'Unione ed è dotato di personalità giuridica.


2.      Il comitato è rappresentato dal suo presidente.


3.      Il comitato è composto dalla figura di vertice di un'autorità di controllo per ciascuno Stato membro e dal garante europeo della protezione dei dati, o dai rispettivi rappresentanti.


4.     Qualora, in  uno  Stato  membro,  più  autorità  di  controllo  siano  incaricate di  sorvegliare l'applicazione delle disposizioni del presente regolamento, è designato un rappresentante comune conformemente al diritto di tale Stato membro.


5.      La Commissione ha il diritto di partecipare alle attività e alle riunioni del comitato senza diritto di voto. La
Commissione designa un rappresentante. Il presidente del comitato comunica alla Commissione le attività del comitato.


6.      Nei casi di cui all'articolo 65, il garante europeo della protezione dei dati ha diritto di voto solo per decisioni che riguardano  principi  e  norme  applicabili a  istituzioni, organi, uffici e  agenzie dell'Unione che corrispondono  nella sostanza a quelli del presente regolamento.



Articolo 69


Indipendenza


1.      Nell'esecuzione dei suoi compiti o nell'esercizio dei suoi poteri ai sensi degli articoli 70 e 71, il comitato opera con indipendenza.


2.     Fatte salve le richieste della Commissione di cui all'articolo 70, paragrafo 1, lettera b), e all'articolo 70, paragrafo 2, nell'esecuzione dei suoi compiti o nell'esercizio dei suoi poteri il comitato non sollecita né accetta istruzioni da alcuno.



Articolo 70


Compiti del comitato


1.      Il comitato garantisce l'applicazione coerente del presente regolamento. A tal fine, il comitato, di propria iniziativa o, se del caso, su richiesta della Commissione, in particolare:

a)   sorveglia il presente regolamento e ne assicura l'applicazione corretta nei casi previsti agli articoli 64 e 65 fatti salvi i compiti delle autorità nazionali di controllo;
 

b)   fornisce consulenza alla Commissione in merito a qualsiasi questione relativa alla protezione  dei dati personali nell'Unione, comprese eventuali proposte di modifica del presente regolamento;

c)   fornisce consulenza alla Commissione sul formato e le procedure per lo scambio di informazioni tra titolari del trattamento, responsabili del trattamento e autorità di controllo in merito alle norme vincolanti d'impresa;

d)  pubblica linee guida, raccomandazioni e migliori prassi in materia di procedure per la cancellazione di link, copie o riproduzioni di dati personali dai servizi di comunicazione accessibili al pubblico di cui all'articolo 17, paragrafo 2;

e)   esamina, di propria iniziativa o su richiesta di uno dei suoi membri o della Commissione, qualsiasi questione relativa all'applicazione del presente  regolamento e  pubblica linee guida, raccomandazioni e  migliori prassi al  fine di promuovere l'applicazione coerente del presente regolamento;

f)     pubblica linee guida, raccomandazioni e migliori pratiche conformemente alla lettera e) del presente paragrafo, per specificare ulteriormente i criteri e le condizioni delle decisioni basate sulla profilazione ai sensi dell'articolo 22, paragrafo 2;

g)  pubblica linee guida, raccomandazioni e migliori prassi conformemente alla lettera e) del presente paragrafo, per accertare la violazione di dati personali e determinare l'ingiustificato ritardo di cui all'articolo 33, paragrafi 1 e 2, e le circostanze particolari in cui il titolare del trattamento o il responsabile del trattamento è tenuto a notificare la violazione dei dati personali;

h)  pubblica linee guida, raccomandazioni e migliori prassi conformemente alla lettera e) del presente paragrafo, relative alle circostanze in cui una violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche di cui all'articolo 34, paragrafo 1;

i)    pubblica linee guida, raccomandazioni e migliori prassi conformemente alla lettera e) del presente paragrafo, al fine di specificare ulteriormente i criteri e i requisiti dei trasferimenti di dati personali basati sulle norme  vincolanti d'impresa applicate, rispettivamente, dai  titolari del trattamento  e  dai  responsabili del trattamento,  nonché  gli ulteriori requisiti per assicurare la protezione dei dati personali degli interessati di cui all'articolo 47;

j)    pubblica linee guida, raccomandazioni e migliori prassi conformemente alla lettera e) del presente paragrafo, al fine di  specificare ulteriormente  i  criteri e  i  requisiti dei trasferimenti di  dati  personali sulla base dell'articolo 49, paragrafo 1;

k)   elabora  per  le  autorità  di  controllo  linee  guida  riguardanti  l'applicazione delle misure  di  cui  all'articolo 58, paragrafi 1, 2 e 3, e la previsione delle sanzioni amministrative pecuniarie ai sensi dell'articolo 83;

l)    valuta l'applicazione pratica delle linee guida, raccomandazioni e migliori prassi di cui alle lettere e) e f);

m) pubblica linee guida, raccomandazioni e migliori prassi conformemente alla lettera e) del presente paragrafo, per stabilire procedure comuni per le segnalazioni da parte di persone fisiche di violazioni del presente regolamento ai sensi dell'articolo 54, paragrafo 2;

n)  incoraggia l'elaborazione di codici di condotta e l'istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati ai sensi degli articoli 40 e 42;

o)   effettua l'accreditamento di organismi di certificazione e il suo riesame periodico a norma dell'articolo 43 e tiene un registro pubblico di organismi accreditati a norma  dell'articolo 43,  paragrafo 6, e dei titolari o responsabili del trattamento accreditati, stabiliti in paesi terzi a norma dell'articolo 42, paragrafo 7;

p)  specifica i requisiti di cui all'articolo 43, paragrafo 3, ai fini dell'accreditamento degli organismi di certificazione ai sensi dell'articolo 42;

q)   fornisce alla Commissione un parere in merito ai requisiti di certificazione di cui all'articolo 43, paragrafo 8;

r)   fornisce alla Commissione un parere in merito alle icone di cui all'articolo 12, paragrafo 7;

s)   fornisce alla Commissione un  parere per  valutare l'adeguatezza del livello di protezione  in un  paese terzo o in un'organizzazione internazionale, così come per valutare se il paese terzo, il territorio o uno o più settori specifici all'interno di tale paese terzo, o l'organizzazione internazionale non assicurino più un livello adeguato di protezione. A tal fine, la Commissione fornisce al comitato tutta la documentazione necessaria, inclusa la corrispondenza con il governo del paese terzo, con riguardo a tale paese terzo, territorio o settore specifico, o con l'organizzazione interna­ zionale;
 

t)   emette pareri sui progetti di decisione delle autorità di controllo conformemente al meccanismo di coerenza di cui all'articolo 64, paragrafo 1, e sulle questioni presentate conformemente all'articolo 64, paragrafo 2, ed emette decisioni vincolanti ai sensi dell'articolo 65, anche nei casi di cui all'articolo 66;

u)   promuove la cooperazione e l'effettivo scambio di informazioni e prassi tra le autorità di controllo a livello bilaterale e multilaterale;

v)   promuove programmi comuni di formazione e facilita lo scambio di personale tra le autorità di controllo e, se del caso, con le autorità di controllo di paesi terzi o di organizzazioni internazionali;

w)  promuove lo scambio di conoscenze e documentazione sulla legislazione e sulle prassi in materia di protezione dei dati tra autorità di controllo di tutto il mondo;

x)  emette pareri sui codici di condotta redatti a livello di Unione a norma dell'articolo 40, paragrafo 9; e

y)   tiene un registro elettronico, accessibile al pubblico, delle decisioni adottate dalle autorità di controllo e dalle autorità giurisdizionali su questioni trattate nell'ambito del meccanismo di coerenza.

2.     Qualora chieda consulenza al comitato, la Commissione può indicare un termine, tenuto conto dell'urgenza della questione.


3.      Il comitato trasmette pareri, linee guida, raccomandazioni e migliori prassi alla Commissione e al comitato di cui all'articolo 93, e li pubblica.


4.     Se del caso, il comitato consulta le parti interessate e offre loro la possibilità di esprimere commenti entro un termine ragionevole. Fatto salvo l'articolo 76, il comitato rende pubblici i risultati della procedura di consultazione.



Articolo 71


Relazioni


1.      Il comitato  redige una  relazione annuale  sulla protezione  delle persone  fisiche con  riguardo  al  trattamento nell'Unione e, se del caso, nei paesi terzi e nelle organizzazioni internazionali. La relazione è pubblicata ed è trasmessa al Parlamento europeo, al Consiglio e alla Commissione.


2.      La relazione annuale include la valutazione dell'applicazione pratica delle linee guida, raccomandazioni e migliori prassi di cui all'articolo 70, paragrafo 1, lettera l), nonché delle decisioni vincolanti di cui all'articolo 65.



Articolo 72


Procedura


1.     Il  comitato  decide a  maggioranza  semplice  dei  suoi  membri,  salvo  se  diversamente previsto  dal  presente regolamento.


2.     Il comitato  adotta  il proprio  regolamento interno  deliberando a maggioranza di due terzi dei suoi membri e stabilisce le modalità del proprio funzionamento.



Articolo 73


Presidente


1.      Il comitato elegge un presidente e due vicepresidenti tra i suoi membri a maggioranza semplice.


2.      Il presidente e i vicepresidenti hanno un mandato di cinque anni, rinnovabile una volta.
 

Articolo 74


Compiti del presidente

1.      Il presidente ha il compito di:

a)  convocare le riunioni del comitato e stabilirne l'ordine del giorno;

b) notificare le decisioni adottate dal comitato a norma dell'articolo 65 all'autorità di controllo capofila e alle autorità di controllo interessate;

c)  assicurare l'esecuzione tempestiva dei compiti del comitato, in particolare in relazione al meccanismo di coerenza di cui all'articolo 63.

2.      Il comitato europeo stabilisce nel proprio regolamento interno la ripartizione dei compiti tra presidente e vicepre­
sidenti.



Articolo 75


Segreteria


1.      Il comitato dispone di una segreteria messa a disposizione dal garante europeo della protezione dei dati.


2.      La segreteria svolge i propri compiti seguendo esclusivamente le istruzioni del presidente del comitato.


3.     Il personale del garante europeo  della protezione  dei dati coinvolto nell'assolvimento dei compiti attribuiti al comitato dal presente regolamento è soggetto a linee gerarchiche separate rispetto al personale coinvolto nello svolgimento dei compiti attribuiti al garante europeo della protezione dei dati.


4.     Se del caso, il comitato e il garante europeo della protezione dei dati stabiliscono e pubblicano un protocollo d'intesa che attua il presente articolo, stabilisce i termini della loro cooperazione e si applica al personale del garante europeo della protezione dei dati coinvolto nell'assolvimento dei compiti attribuiti al comitato dal presente regolamento.


5.      La segreteria presta assistenza in materia di analisi, amministrativa e logistica al comitato.


6.      La segreteria è incaricata in particolare:

a)  della gestione ordinaria del comitato;

b) della comunicazione tra i membri del comitato, il suo presidente e la Commissione;

c)  della comunicazione con le altre istituzioni e il pubblico;

d) dell'uso di mezzi elettronici per la comunicazione interna ed esterna;

e)  della traduzione delle informazioni rilevanti;

f)   della preparazione delle riunioni del comitato e del relativo seguito;

g) della preparazione, redazione e pubblicazione dei pareri, delle decisioni sulla composizione delle controversie tra le autorità di controllo e di altri testi adottati dal comitato.



Articolo 76


Riservatezza


1.     Se il comitato europeo lo ritiene necessario, le sue deliberazioni hanno carattere riservato, come previsto dal suo regolamento interno.
 

2.     L'accesso ai documenti trasmessi ai membri del comitato, agli esperti e ai rappresentanti di terzi è disciplinato dal regolamento (CE) n. 1049/2001  del Parlamento europeo e del Consiglio (1).



CAPO VIII

Mezzi di ricorso, responsabilità e sanzioni


Articolo 77


Diritto di proporre reclamo all'autorità di controllo


1.      Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un'autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.


2.     L'autorità di controllo a cui è stato proposto il reclamo informa il reclamante dello stato o dell'esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell'articolo 78.



Articolo 78


Diritto a un ricorso giurisdizionale effettivo nei confronti dell'autorità di controllo


1.      Fatto salvo ogni altro  ricorso amministrativo o  extragiudiziale, ogni persona  fisica o  giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell'autorità di controllo che la riguarda.


2.      Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ciascun interessato ha il diritto di proporre  un ricorso giurisdizionale effettivo qualora l'autorità di controllo che sia competente ai sensi degli articoli 55 e 56 non tratti un reclamo o non lo informi entro tre mesi dello stato o dell'esito del reclamo proposto ai sensi dell'articolo 77.


3.      Le azioni nei confronti dell'autorità di controllo sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l'autorità di controllo è stabilita.


4.     Qualora siano promosse azioni avverso una decisione di un'autorità di controllo che era stata preceduta da un parere o da una decisione del comitato nell'ambito del meccanismo di coerenza, l'autorità di controllo trasmette tale parere o decisione all'autorità giurisdizionale.



Articolo 79


Diritto  a  un  ricorso  giurisdizionale  effettivo  nei  confronti  del  titolare  del  trattamento  o  del responsabile del trattamento


1.      Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un'autorità di controllo ai sensi dell'articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento.


2.     Le azioni nei confronti del titolare del trattamento o del responsabile del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare del trattamento  o il responsabile del trattamento  ha uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in  cui  l'interessato risiede abitualmente, salvo che  il titolare del trattamento  o  il responsabile del trattamento  sia un'autorità pubblica di uno Stato membro nell'esercizio dei pubblici poteri.

(1)  Regolamento (CE) n. 1049/2001  del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001, pag. 43).
 

Articolo 80

Rappresentanza degli interessati


1.     L'interessato ha il diritto di dare mandato a un organismo, un'organizzazione o un'associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione  dei diritti e delle libertà degli interessati con  riguardo alla protezione dei dati personali, di proporre  il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77,  78  e 79  nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all'articolo 82.


2.      Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall'interessato, abbia il diritto di proporre,  in tale Stato membro, un reclamo all'autorità di controllo competente, e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento.



Articolo 81

Sospensione delle azioni


1.      L'autorità giurisdizionale competente di uno Stato membro che venga a conoscenza di azioni riguardanti lo stesso oggetto relativamente al trattamento  dello stesso titolare del trattamento  o dello stesso responsabile del trattamento pendenti presso un'autorità giurisdizionale in un altro Stato membro, prende contatto con tale autorità giurisdizionale nell'altro Stato membro per confermare l'esistenza delle azioni.

2.      Qualora azioni riguardanti lo stesso oggetto relativamente al trattamento  dello stesso titolare del trattamento  o dello stesso responsabile del trattamento  siano pendenti presso un'autorità giurisdizionale in un altro Stato membro, qualunque autorità giurisdizionale competente successivamente adita può sospendere le azioni.


3.      Se tali  azioni  sono  pendenti  in  primo  grado,  qualunque  autorità  giurisdizionale successivamente adita  può parimenti dichiarare la propria incompetenza su richiesta di una delle parti a condizione che l'autorità giurisdizionale adita  per  prima  sia  competente  a  conoscere  delle domande  proposte  e  la  sua  legge consenta  la  riunione  dei procedimenti.



Articolo 82

Diritto al risarcimento e responsabilità


1.     Chiunque subisca un danno  materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.


2.      Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento  o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.


3.      Il  titolare  del  trattamento  o  il  responsabile  del  trattamento  è  esonerato  dalla  responsabilità, a  norma  del paragrafo 2 se dimostra che l'evento dannoso non gli è in alcun modo imputabile.


4.     Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell'eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato.

5.     Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l'intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
 

6.     Le azioni legali per l'esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all'articolo 79, paragrafo 2.




Articolo 83


Condizioni generali per inf liggere sanzioni amministrative pecuniarie


1.      Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inf litte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive.


2.      Le sanzioni amministrative pecuniarie sono inf litte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all'articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se inf liggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:

a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;

b) il carattere doloso o colposo della violazione;

c)  le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;

d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;

e)  eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;

f)   il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;

g) le categorie di dati personali interessate dalla violazione;

h) la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;

i)   qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58,  paragrafo 2,  nei confronti  del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;

j)   l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42; e

k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

3.     Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione ammini­ strativa pecuniaria non supera l'importo specificato per la violazione più grave.


4.     In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000  EUR, o per le imprese, fino al 2 %  del fatturato mondiale totale annuo  dell'esercizio precedente, se superiore:

a)  gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;

b) gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43;

c)  gli obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4;
 

5.     In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000  EUR, o per le imprese, fino al 4 %  del fatturato mondiale totale annuo  dell'esercizio precedente, se superiore:

a)  i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;

b) i diritti degli interessati a norma degli articoli da 12 a 22;

c)  i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49;

d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;

e)  l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei f lussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'ar­ ticolo 58, paragrafo 1.

6.      In conformità del paragrafo 2 del presente articolo, l'inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58,  paragrafo 2,  è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000  EUR, o  per  le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.


7.      Fatti salvi i poteri correttivi delle autorità di controllo a norma dell'articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inf litte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro.


8.     L'esercizio da parte dell'autorità di controllo  dei poteri  attribuitile dal presente articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell'Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo.


9.      Se l'ordinamento  giuridico dello Stato  membro  non  prevede sanzioni  amministrative pecuniarie, il  presente articolo può essere applicato in maniera tale che l'azione sanzionatoria sia avviata dall'autorità di controllo competente e la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali, garantendo nel contempo che i mezzi  di ricorso siano effettivi e  abbiano effetto equivalente alle sanzioni  amministrative pecuniarie irrogate dalle autorità di controllo. In ogni caso, le sanzioni pecuniarie irrogate sono effettive, proporzionate  e dissuasive. Tali Stati membri notificano alla Commissione le disposizioni di legge adottate a norma del presente paragrafo al più tardi entro
25 maggio 2018 e comunicano senza ritardo ogni successiva modifica.



Articolo 84


Sanzioni


1.     Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell'articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l'applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive.


2.      Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica.



CAPO IX

Disposizioni relative a specifiche situazioni di trattamento


Articolo 85


Trattamento e libertà d'espressione e di informazione


1.      Il diritto degli Stati membri concilia la protezione dei dati personali ai sensi del presente regolamento con il diritto alla libertà d'espressione e di informazione, incluso il trattamento  a scopi giornalistici o di espressione accademica, artistica o letteraria.
 

2.      Ai fini del trattamento  effettuato a scopi giornalistici o di espressione accademica, artistica o letteraria, gli Stati membri  prevedono  esenzioni  o  deroghe  rispetto  ai  capi  II  (principi), III   (diritti dell'interessato), IV (titolare del trattamento e responsabile del trattamento), V (trasferimento di dati personali verso paesi terzi o organizzazioni interna­ zionali), VI (autorità di controllo indipendenti), VII (cooperazione e coerenza) e IX (specifiche  situazioni di trattamento dei dati) qualora siano necessarie per conciliare il diritto alla protezione dei dati personali e la libertà d'espressione e di informazione.

3.     Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 2 e comunica senza ritardo ogni successiva modifica.



Articolo 86

Trattamento e accesso del pubblico ai documenti ufficiali

I  dati personali contenuti  in documenti ufficiali in possesso di un'autorità  pubblica o  di un  organismo pubblico o privato per  l'esecuzione di un  compito  svolto nell'interesse pubblico possono  essere comunicati da tale autorità  o organismo conformemente al diritto dell'Unione o degli Stati membri cui l'autorità pubblica o l'organismo pubblico sono  soggetti, al fine di conciliare l'accesso del pubblico ai documenti  ufficiali e il diritto  alla protezione  dei dati personali ai sensi del presente regolamento.



Articolo 87

Trattamento del numero di identificazione nazionale

Gli Stati membri possono precisare ulteriormente le condizioni specifiche per il trattamento di un numero di identifi­ cazione nazionale o di qualsiasi altro mezzo d'identificazione d'uso generale. In tal caso, il numero di identificazione nazionale  o  qualsiasi altro  mezzo  d'identificazione d'uso  generale sono  utilizzati soltanto  in  presenza  di  garanzie adeguate per i diritti e le libertà dell'interessato conformemente al presente regolamento.



Articolo 88

Trattamento dei dati nell'ambito dei rapporti di lavoro

1.      Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l'adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell'esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.

2.      Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune e i sistemi di monitoraggio sul posto di lavoro.

3.      Ogni Stato membro  notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1  entro
25 maggio 2018 e comunica senza ritardo ogni successiva modifica.



Articolo 89

Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici

1.      Il trattamento  a fini di archiviazione nel pubblico interesse, di ricerca scientifica o  storica o  a fini statistici è soggetto a  garanzie adeguate per  i diritti e le libertà dell'interessato, in  conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il
 

rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo. Qualora possano essere conseguite attraverso il trattamento ulteriore che non consenta o non consenta più di identificare l'interessato, tali finalità devono essere conseguite in tal modo.


2.     Se i dati personali sono trattati a fini di ricerca scientifica o storica o a fini statistici, il diritto dell'Unione o degli Stati membri può prevedere deroghe ai diritti di cui agli articoli 15, 16, 18 e 21, fatte salve le condizioni e le garanzie di cui al paragrafo 1 del presente articolo, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.


3.     Se i dati personali sono trattati per finalità di archiviazione nel pubblico interesse, il diritto dell'Unione o degli Stati membri può  prevedere deroghe ai diritti di cui agli articoli 15,  16,  18,  19,  20  e 21,  fatte salve le condizioni e le garanzie di cui al paragrafo 1 del presente articolo, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.


4.     Qualora il trattamento di cui ai paragrafi 2 e 3 funga allo stesso tempo a un altro scopo, le deroghe si applicano solo al trattamento per le finalità di cui ai medesimi paragrafi.



Articolo 90


Obblighi di segretezza


1.      Gli Stati membri  possono  adottare  norme  specifiche per  stabilire i  poteri  delle autorità  di  controllo  di  cui all'articolo 58, paragrafo 1, lettere e) e f), in relazione ai titolari del trattamento o ai responsabili del trattamento che sono  soggetti, ai sensi del diritto  dell'Unione o  degli Stati membri  o  di norme  stabilite dagli organismi nazionali competenti, al segreto professionale o a un obbligo di segretezza equivalente, ove siano necessarie e proporzionate per conciliare il diritto alla protezione  dei dati personali e l'obbligo di segretezza. Tali norme  si applicano solo ai dati personali che  il titolare del trattamento  o  il responsabile del trattamento  ha  ricevuto o  ha  ottenuto  in  seguito a un'attività protetta da tale segreto professionale.


2.      Ogni Stato membro  notifica alla Commissione le norme  adottate  ai sensi del paragrafo 1  al più  tardi entro
25 maggio 2018 e comunica senza ritardo ogni successiva modifica.



Articolo 91


Norme di protezione dei dati vigenti presso chiese e associazioni religiose


1.     Qualora in uno Stato membro chiese e associazioni o comunità religiose applichino, al momento dell'entrata in vigore del presente regolamento, corpus completi di norme a tutela delle persone fisiche con riguardo al trattamento, tali corpus possono continuare ad applicarsi purché siano resi conformi al presente regolamento.


2.      Le chiese e le associazioni religiose che applicano i corpus  completi di norme di cui al paragrafo 1 del presente articolo sono soggette al controllo di un'autorità di controllo indipendente che può essere specifica, purché soddisfi le condizioni di cui al capo VI del presente regolamento.



CAPO X

Atti delegati e atti di esecuzione


Articolo 92


Esercizio della delega


1.      Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.
 

2.     La delega di potere di cui all'articolo 12, paragrafo 8, e all'articolo 43, paragrafo 8, è conferita alla Commissione per un periodo indeterminato a decorrere 24 maggio 2016.


3.     La delega di potere di cui all'articolo 12, paragrafo 8, e all'articolo 43, paragrafo 8, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono  dal giorno  successivo alla pubblicazione della decisione nella Gazzetta  ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.


4.      Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al
Consiglio.


5.      L'atto delegato adottato ai sensi dell'articolo 12, paragrafo 8, e all'articolo 43, paragrafo 8, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di tre mesi dalla data in cui esso è stato  loro  notificato o  se, prima  della scadenza di tale termine, sia il Parlamento europeo  che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di tre mesi su iniziativa del Parlamento europeo o del Consiglio.




Articolo 93


Procedura di comitato


1.      La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.


2.      Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011.


3.     Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 8 del regolamento (UE) n. 182/2011  in combinato disposto con il suo articolo 5.



CAPO XI

Disposizioni finali


Articolo 94


Abrogazione della direttiva 95/46/CE


1.      La direttiva 95/46/CE è abrogata a decorrere da 25 maggio 2018.


2.      I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento. I riferimenti al gruppo per la tutela delle persone  con  riguardo  al  trattamento  dei  dati  personali  istituito  dall'articolo 29  della direttiva 95/46/CE  si intendono fatti al comitato europeo per la protezione dei dati istituito dal presente regolamento.




Articolo 95


Rapporto con la direttiva 2002/58/CE


Il presente regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comuni­ cazione nell'Unione, per quanto  riguarda le materie per  le quali sono  soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE.
 

Articolo 96


Rapporto con accordi precedentemente conclusi


Restano in vigore, fino alla loro modifica, sostituzione o revoca, gli accordi internazionali che comportano  il trasfe­
rimento  di  dati  personali  verso  paesi terzi  o  organizzazioni  internazionali conclusi dagli Stati membri  prima  di
24 maggio 2016 e conformi al diritto dell'Unione applicabile prima di tale data.




Articolo 97


Relazioni della Commissione


1.     Entro 25 maggio 2020  e, successivamente, ogni quattro anni, la Commissione trasmette al Parlamento europeo e al Consiglio relazioni di valutazione e sul riesame del presente regolamento.


2.     Nel contesto  delle valutazioni e del riesame del presente regolamento di cui al paragrafo 1,  la Commissione esamina, in particolare, l'applicazione e il funzionamento:

a)  del capo  V sul trasferimento di dati personali verso paesi terzi o  organizzazioni internazionali, con  particolare riguardo alle decisioni adottate  ai sensi dell'articolo 45,  paragrafo 3,  del presente regolamento, e alle decisioni adottate sulla base dell'articolo 25, paragrafo 6, della direttiva 95/46/CE;

b) del capo VII su cooperazione e coerenza.

3.      Ai fini del paragrafo 1, la Commissione può richiedere informazioni agli Stati membri e alle autorità di controllo.


4.     Nello svolgere le valutazioni e i riesami di cui ai paragrafi 1 e 2, la Commissione tiene conto delle posizioni e delle conclusioni del Parlamento europeo, del Consiglio, nonché di altri organismi o fonti pertinenti.


5.     Se del caso, la Commissione presenta opportune proposte di modifica del presente regolamento tenuto conto, in particolare, degli sviluppi delle tecnologie dell'informazione e dei progressi della società dell'informazione.




Articolo 98


Riesame di altri atti legislativi dell'Unione in materia di protezione dei dati


Se del caso, la Commissione presenta proposte legislative di modifica di altri atti legislativi dell'Unione in materia di protezione dei dati personali, allo scopo di garantire una protezione uniforme e coerente delle persone fisiche con riguardo al trattamento. Ciò riguarda in particolare le norme relative alla protezione delle persone fisiche con riguardo al trattamento da parte di istituzioni, organi, uffici e agenzie dell'Unione e le norme sulla libera circolazione di tali dati.




Articolo 99


Entrata in vigore e applicazione


1.     Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.


2.      Esso si applica a decorrere da 25 maggio 2018.
 

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.


Fatto a Bruxelles, il 27 aprile 2016