|
Direttiva 95/46/CE
Sulla protezione dei dati
personali
IL PARLAMENTO EUROPEO E IL
CONSIGLIO DELL'UNIONE
EUROPEA,
visto il trattato che
istituisce la Comunità
europea, in particolare
l'articolo 100 A,
vista la proposta della
Commissione,
visto il parere del Comitato
economico e sociale,
deliberando conformemente
alla procedura di cui
all'articolo 189 B del
trattato,
(1) considerando che gli
obiettivi della Comunità,
enunciati nel trattato, come
è stato modificato dal
trattato sull'Unione
europea, consistono nel
realizzare un'unione sempre
più stretta tra i popoli
europei, nell'istituire
relazioni più strette tra
gli Stati che la Comunità
riunisce, nell'assicurare
mediante un'azione comune il
progresso economico e
sociale eliminando le
barriere che dividono
l'Europa, nel promuovere il
miglioramento costante delle
condizioni di vita delle sue
popolazioni, nel preservare
e rafforzare la pace e la
libertà e nel promuovere la
democrazia basandosi sui
diritti fondamentali sanciti
dalle costituzioni e dalle
leggi degli Stati membri
nonché dalla convenzione
europea di salvaguardia dei
diritti dell'uomo e delle
libertà fondamentali;
(2) considerando che i
sistemi di trattamento dei
dati sono al servizio
dell'uomo; che essi,
indipendentemente dalla
nazionalità o dalla
residenza delle persone
fisiche, debbono rispettare
le libertà e i diritti
fondamentali delle stesse,
in particolare la vita
privata, e debbono
contribuire al progresso
economico e sociale, allo
sviluppo degli scambi nonché
al benessere degli
individui;
(3) considerando che
l'instaurazione e il
funzionamento del mercato
interno, nel quale,
conformemente all'articolo 7
A del trattato, è assicurata
la libera circolazione delle
merci, delle persone, dei
servizi e dei capitali,
esigono non solo che i dati
personali possano circolare
liberamente da uno Stato
membro all'altro, ma che
siano altresì salvaguardati
i diritti fondamentali della
persona;
(4) considerando che nella
Comunità si ricorre sempre
più frequentemente al
trattamento di dati
personali nei vari settori
delle attività economiche e
sociali; che i progressi
registrati dalle tecnologie
dell'informazione facilitano
notevolmente il trattamento
e lo scambio di tali dati;
(5) considerando che
l'integrazione economica e
sociale derivante
dall'instaurazione e dal
funzionamento del mercato
interno ai sensi
dell'articolo 7 A del
trattato comporterà
necessariamente un sensibile
aumento dei flussi
transfrontalieri di dati
personali tra tutti i
soggetti della vita
economica e sociale degli
Stati membri, siano essi
privati o pubblici; che lo
scambio di dati personali
tra imprese stabilite in
Stati membri differenti è
destinato ad aumentare; che
le amministrazioni nazionali
dei vari Stati membri
debbono collaborare, in
applicazione del diritto
comunitario, e scambiarsi i
dati personali per poter
svolgere la loro funzione o
esercitare compiti per conto
di un'amministrazione di un
altro Stato membro,
nell'ambito dello spazio
senza frontiere costituito
dal mercato interno;
(6) considerando, inoltre,
che il rafforzamento della
cooperazione scientifica e
tecnica e la messa in opera
coordinata di nuove reti di
telecomunicazioni nella
Comunità richiedono e
facilitano la circolazione
transfrontaliera di dati
personali;
(7) considerando che il
divario nei livelli di
tutela dei diritti e delle
libertà personali, in
particolare della vita
privata, garantiti negli
Stati membri relativamente
al trattamento di dati
personali può impedire la
trasmissione dei dati stessi
fra territori degli Stati
membri e che tale divario
può pertanto costituire un
ostacolo all'esercizio di
una serie di attività
economiche su scala
comunitaria, falsare la
concorrenza e ostacolare,
nell'adempimento dei loro
compiti, le amministrazioni
che intervengono
nell'applicazione del
diritto comunitario; che
detto divario nel grado di
tutela deriva dalla
diversità disposizioni
legislative, regolamentari
ed amministrative nazionali;
(8) considerando che, per
eliminare gli ostacoli alla
circolazione dei dati
personali, il livello di
tutela dei diritti e delle
libertà delle persone
relativamente al trattamento
di tali dati deve essere
equivalente in tutti gli
Stati membri; che tale
obiettivo, fondamentale per
il mercato interno, non può
essere conseguito
esclusivamente attraverso
l'azione degli Stati membri,
tenuto conto in particolare
dell'ampia divergenza
esistente attualmente tra le
normative nazionali in
materia e della necessità di
coordinarle affinché il
flusso transfrontaliero di
dati personali sia
disciplinato in maniera
coerente e conforme
all'obiettivo del mercato
interno ai sensi
dell'articolo 7 A del
trattato; che risulta
pertanto necessario un
intervento della Comunità ai
fini di un ravvicinamento
delle legislazioni;
(9) considerando che, data
la protezione equivalente
derivante dal ravvicinamento
delle legislazioni
nazionali, gli Stati membri
non potranno più ostacolare
la libera circolazione tra
loro di dati personali per
ragioni inerenti alla tutela
dei diritti e delle libertà
delle persone fisiche,
segnatamente del diritto
alla vita privata; che gli
Stati membri disporranno di
un margine di manovra di cui
potranno valersi,
nell'applicazione della
direttiva, i partner
economici e sociali; che
potranno quindi precisare
nella loro legislazione
nazionale le condizioni
generali di liceità dei
trattamenti; che così
facendo gli Stati membri si
adopereranno per migliorare
la protezione attualmente
prevista dalle loro leggi;
che, nei limiti di tale
margine di manovra e
conformemente al diritto
comunitario, potranno
verificarsi divergenze
nell'applicazione della
direttiva e che queste
potranno ripercuotersi sulla
circolazione dei dati sia
all'interno dello Stato
membro che nelle Comunità;
(10) considerando che le
legislazioni nazionali
relative al trattamento dei
dati personali hanno lo
scopo di garantire il
rispetto dei diritti e delle
libertà fondamentali, in
particolare del diritto alla
vita privata, riconosciuto
anche dall'articolo 8 della
Convenzione europea per la
salvaguardia dei diritti
dell'uomo e delle libertà
fondamentali e dai principi
generali del diritto
comunitario; che pertanto il
ravvicinamento di dette
legislazioni non deve avere
per effetto un indebolimento
della tutela da esse
assicurata ma deve anzi
mirare a garantire un
elevato grado di tutela
nella Comunità;
(11) considerando che i
principi della tutela dei
diritti e delle libertà
delle persone, in
particolare del rispetto
della vita privata,
contenuti dalla presente
direttiva precisano ed
ampliano quelli enunciati
dalla convenzione del 28
gennaio 1981 del Consiglio
d'Europa sulla protezione
delle persone con
riferimento al trattamento
automatizzato dei dati di
carattere personale;
(12) considerando che i
principi di tutela si devono
applicare a tutti i
trattamenti di dati
personali quando le attività
del responsabile del
trattamento rientrano nel
campo d'applicazione del
diritto comunitario; che
deve essere escluso il
trattamento di dati
effettuato da una persona
fisica nell'esercizio di
attività a carattere
esclusivamente personale o
domestico quali la
corrispondenza e la
compilazione di elenchi di
indirizzi;
(13) considerando che le
attività previste dai titoli
V e VI del trattato
sull'Unione europea
attinenti alla pubblica
sicurezza, alla difesa, alla
sicurezza dello Stato o alle
attività dello Stato in
materia di diritto penale
non rientrano nel campo
d'applicazione del diritto
comunitario, fatti salvi gli
obblighi che incombono agli
Stati membri a norma
dell'articolo 56, paragrafo
2, dell'articolo 57 e 100 A
del trattato; che il
trattamento di dati
personali che è necessario
alla salvaguardia del
benessere economico dello
Stato non rientra
nell'ambito della presente
direttiva qualora il
trattamento sia legato a
questioni di sicurezza dello
Stato;
(14) considerando che la
presente direttiva dovrebbe
applicarsi al trattamento
dei dati in forma di suoni e
immagini relativi a persone
fisiche, vista la notevole
evoluzione in corso nella
società dell'informazione
delle tecniche per captare,
trasmettere, manipolare,
registrare, conservare o
comunicare siffatti dati;
(15) considerando che il
trattamento de suddetti dati
rientra nella presente
direttiva soltanto se è
automatizzato o se riguarda
dati contenuti, o destinati
ad essere contenuti, in un
archivio strutturato secondo
criteri specifici relativi
alle persone, in modo da
consentire un facile accesso
ai dati personali di cui
trattasi;
(16) considerando che nel
campo d'applicazione della
presente direttiva non
rientra il trattamento di
dati in forma di suoni e
immagini, quali i dati di
controllo video, finalizzato
alla pubblica sicurezza,
alla difesa, alla sicurezza
dello Stato o all'esercizio
di attività dello Stato
nella sfera del diritto
penale o di altre attività
che esulano dal campo
d'applicazione del diritto
comunitario;
(17) considerando che, per
quanto attiene al
trattamento di suoni e
immagini finalizzato
all'attività giornalistica o
all'espressione letteraria o
artistica, in particolare
del settore audiovisivo, i
principi della direttiva
hanno un'applicazione
limitata, conformemente a
quanto dispone l'articolo 9;
(18) considerando che, onde
evitare che una persona
venga privata della tutela
cui ha diritto in forza
della presente direttiva, è
necessario che qualsiasi
trattamento di dati
personali effettuato nella
Comunità rispetti la
legislazione di uno degli
Stati membri; che, a questo
proposito, è opportuno
assoggettare i trattamenti
effettuati da una persona
che opera sotto l'autorità
del responsabile del
trattamento stabilito in uno
Stato membro alla legge di
tale Stato;
(19) considerando che lo
stabilimento nel territorio
di uno Stato membro implica
l'esercizio effettivo e
reale dell'attività mediante
un'organizzazione stabile;
che la forma giuridica di
siffatto stabilimento, si
tratti di una semplice
succursale o di una filiale
dotata di personalità
giuridica, non è il fattore
determinante a questo
riguardo; che quando un
unico responsabile del
trattamento è stabilito nel
territorio di diversi Stati
membri, in particolare per
mezzo di filiali, esso deve
assicurare, segnatamente per
evitare che le disposizioni
vengano eluse, che ognuno
degli stabilimenti adempia
gli obblighi previsti dalla
legge nazionale applicabile
alle attività di ciascuno di
essi;
(20) considerando che la
tutela delle persone
prevista dalla presente
direttiva non deve essere
impedita dal fatto che il
responsabile del trattamento
sia stabilito in un paese
terzo; che, in tal caso, è
opportuno che i trattamenti
effettuati siano
disciplinati dalla legge
dello Stato membro nel quale
sono ubicati i mezzi
utilizzati per il
trattamento in oggetto e che
siano prese le garanzie
necessarie per consentire
l'effettivo rispetto dei
diritti e degli obblighi
previsti dalla presente
direttiva;
(21) considerando che la
presente direttiva lascia
impregiudicate le norme di
territorialità applicabili
in materia penale;
(22) considerando che gli
Stati membri preciseranno,
nella loro legislazione o in
sede di applicazione delle
norme di attuazione della
presente direttiva, i
requisiti generali di
liceità del trattamento dei
dati; che in particolare
l'articolo 5, in combinato
disposto con gli articoli
7 e
8, consente agli Stati
membri di prevedere,
indipendentemente dalle
norme generali, condizioni
particolari per il
trattamento dei dati in
settori specifici e per le
varie categorie di dati di
cui all'articolo 8;
(23) considerando che gli
Stati membri sono
autorizzati ad assicurare la
messa in opera della tutela
delle persone sia mediante
una legge generale relativa
alla tutela delle persone
contro il trattamento dei
dati personali, sia mediante
leggi settoriali, quali
quelle relative ad esempio
agli istituti di statistica;
(24) considerando che la
presente direttiva lascia
impregiudicate le normative
relative alla tutela delle
persone giuridiche riguardo
al trattamento dei dati che
le riguardano;
(25) considerando che i
principi di tutela si
esprimono, da un lato, nei
vari obblighi a carico delle
persone, autorità pubbliche,
imprese, agenzie o altri
organismi responsabili del
trattamento, obblighi
relativi in particolare alla
qualità dei dati, alla
sicurezza tecnica, alla
notificazione all'autorità
di controllo, alle
circostanze in cui il
trattamento può essere
effettuato e, dall'altro,
nel diritto delle persone, i
cui dati sono oggetto di
trattamento, di esserne
informate, di poter accedere
ai dati, e chiederne la
rettifica, o di opporsi al
trattamento in talune
circostanze;
(26) considerando che i
principi della tutela si
devono applicare ad ogni
informazione concernente una
persona identificata o
identificabile; che, per
determinare se una persona è
identificabile, è opportuno
prendere in considerazione
l'insieme dei mezzi che
possono essere
ragionevolmente utilizzati
dal responsabile del
trattamento o da altri per
identificare detta persona;
che i principi della tutela
non si applicano a dati resi
anonimi in modo tale che la
persona interessata non è
più identificabile; che i
codici di condotta ai sensi
dell'articolo 27 possono
costituire uno strumento
utile di orientamento sui
mezzi grazie ai quali dati
possano essere resi anonimi
e registrati in modo da
rendere impossibile
l'identificazione della
persona interessata;
(27) considerando che la
tutela delle persone fisiche
deve essere applicata al
trattamento dei dati sia
automatizzato sia manuale;
che la portata della tutela
non deve infatti dipendere
dalle tecniche impiegate
poiché, in caso contrario,
sussisterebbero gravi rischi
di elusione delle
disposizioni; che nondimeno,
riguardo al trattamento
manuale, la presente
direttiva si applica
soltanto agli archivi e non
ai fascicoli non
strutturati; che, in
particolare, il contenuto di
un archivio deve essere
strutturato secondo criteri
specifici relativi alle
persone che consentano un
facile accesso ai dati
personali; che, in
conformità alla definizione
dell'articolo 2, lettera c),
i diversi criteri che
determinano gli elementi che
costituiscono un insieme
strutturato di dati
personali, nonché i diversi
criteri in virtù dei quali
un siffatto insieme è
accessibile, possono essere
precisati dai singoli Stati
membri; che i fascicoli o le
serie di fascicoli, nonché
le rispettive copertine, non
strutturati secondo criteri
specifici, non rientrano in
nessun caso nel campo di
applicazione della presente
direttiva;
(28) considerando che
qualsivoglia trattamento di
dati personali deve essere
eseguito lealmente e
lecitamente nei confronti
delle persone interessate;
che esso deve in particolare
avere per oggetto dati
adeguati, pertinenti e non
eccedenti rispetto alle
finalità perseguite; che
tali finalità devono essere
esplicite e legittime e
specificate al momento della
raccolta dei dati; che le
finalità dei trattamenti
successivi alla raccolta non
possono essere incompatibili
con quelle originariamente
specificate;
(29) considerando che
l'ulteriore trattamento di
dati personali per scopi
storici, statistici o
scientifici non è
generalmente considerato
incompatibile con le
finalità per le quali i dati
erano stati preventivamente
raccolti, purché gli Stati
membri forniscano adeguate
garanzie; che tali garanzie
devono soprattutto impedire
l'uso dei dati per
l'adozione di misure o
decisioni nei confronti di
singole persone;
(30) considerando che, per
essere lecito, il
trattamento di dati
personali deve essere
inoltre basato sul consenso
della persona interessata
oppure deve essere
necessario ai fini della
conclusione o
dell'esecuzione di un
contratto vincolante per la
persona interessata, oppure
deve essere previsto dalla
legge, per l'esecuzione di
un compito nell'interesse
pubblico o per l'esercizio
dell'autorità pubblica, o
nell'interesse legittimo di
un singolo individuo, a
condizione che gli interessi
o i diritti e le libertà
della persona interessata
non abbiano la prevalenza;
che, segnatamente, per
garantire un equilibrio
degli interessi in causa,
pur assicurando una
concorrenza effettiva, gli
Stati membri possono
precisare le condizioni alle
quali dati personali possono
essere usati e comunicati a
terzi nell'ambito di
attività lecite di gestione
corrente delle imprese o di
altri organismi; che essi
possono parimenti precisare
le condizioni alle quali può
essere effettuata la
comunicazione a terzi di
dati personali a fini di
prospezione, sia che si
tratti di invio di materiale
pubblicitario che di invio
di materiale promosso da
un'associazione a scopo
benefico o da altre
associazioni o fondazioni,
ad esempio a carattere
politico, nel rispetto delle
disposizioni volte a
consentire alle persone
interessate di opporsi senza
dover fornire una
motivazione e senza spese al
trattamento dei dati che le
riguardano;
(31) considerando che un
trattamento di dati
personali deve essere
ugualmente considerato
lecito quando è effettuato
per tutelare un interesse
essenziale alla vita della
persona interessata;
(32) considerando che spetta
alle legislazioni nazionali
stabilire se il responsabile
del trattamento investito di
un compito di interesse
pubblico o connesso
all'esercizio di pubblici
poteri debba essere una
pubblica amministrazione o
un altro soggetto di diritto
pubblico o di diritto
privato, quale
un'associazione
professionale;
(33) considerando che i dati
che possono per loro natura
ledere le libertà
fondamentali o la vita
privata non dovrebbero
essere oggetto di
trattamento, salvo esplicito
consenso della persona
interessata; che tuttavia le
deroghe a questo divieto
devono essere espressamente
previste nei casi di
necessità specifiche,
segnatamente laddove il
trattamento di tali dati
viene eseguito da persone
assoggettate per legge
all'obbligo del segreto
professionale per taluni
fini connessi alla sanità o
per le legittime attività di
talune associazioni o
fondazioni il cui scopo
consista nel permettere
l'esercizio delle libertà
fondamentali;
(34) considerando che gli
Stati membri devono anche
essere autorizzati, quando
un motivo di interesse
pubblico rilevante lo
giustifichi, a derogare al
divieto di trattamento di
categorie di dati di natura
delicata in settori quali la
pubblica sanità e la
protezione sociale -
soprattutto al fine di
assicurare la qualità e la
redditività per quanto
riguarda le procedure per
rispondere alle richieste di
prestazioni e servizi
nell'ambito del regime di
assicurazione sanitaria -,
la ricerca scientifica
nonché le statistiche
pubbliche; che spetta loro
tuttavia prevedere le
garanzie appropriate e
specifiche per tutelare i
diritti fondamentali e la
vita privata delle persone;
(35) considerando inoltre
che il trattamento di dati
personali da parte di
pubbliche autorità per la
realizzazione degli scopi,
previsti dal diritto
costituzionale o dal diritto
internazionale pubblico, di
associazioni religiose
ufficialmente riconosciute
viene effettuato per motivi
di rilevante interesse
pubblico;
(36) considerando che, se
nelle attività connesse con
le elezioni il funzionamento
del sistema democratico
rende necessaria, in alcuni
Stati membri, la raccolta da
parte di partiti politici di
dati sulle opinioni
politiche delle persone, può
essere consentito il
trattamento di siffatti dati
per motivi di interesse
pubblico rilevante, purché
siano stabilite garanzie
appropriate;
(37) considerando che il
trattamento di dati
personali a scopi
giornalistici o di
espressione artistica o
letteraria, in particolare
nel settore audiovisivo deve
beneficiare di deroghe o di
limitazioni a determinate
disposizioni della presente
direttiva ove sia necessario
per conciliare i diritti
fondamentali della persona
con la libertà di
espressione ed in
particolare la libertà di
ricevere o di comunicare
informazioni, quale
garantita in particolare
dall'articolo 10 della
Convenzione europea per la
salvaguardia dei diritti
dell'uomo e delle libertà
fondamentali; che pertanto,
al fine di stabilire un
equilibrio fra i diritti
fondamentali, gli Stati
membri devono prevedere le
deroghe e le limitazioni
necessarie in materia di
misure generali concernenti
la legittimità del
trattamento di dati, di
misure relative al
trasferimento di dati nei
paesi terzi nonché di
competenze degli uffici
preposti al controllo; che
tuttavia ciò non dovrebbe
permettere agli Stati membri
di prevedere deroghe alle
misure di garanzia della
sicurezza del trattamento;
che agli uffici preposti al
controllo in tale settore
dovrebbero essere parimenti
conferite almeno determinate
competenze a posteriori, ad
esempio la competenza di
pubblicare periodicamente
una relazione o di adire
l'autorità giudiziaria;
(38) considerando che il
trattamento leale dei dati
presuppone che le persone
interessate possano
conoscere l'esistenza del
trattamento e disporre,
quando i dati che le
riguardano sono forniti
direttamente da loro, di
un'informazione effettiva e
completa in merito alle
circostanze della raccolta;
(39) considerando che alcuni
trattamenti riguardano dati
che il responsabile non ha
raccolto direttamente presso
la persona interessata; che
è peraltro possibile che
taluni dati siano
legittimamente comunicati a
terzi anche se tale
comunicazione non era stata
prevista all'atto della
raccolta dei dati presso la
persona interessata; che, in
tutti questi casi, la
persona interessata deve
essere informata al momento
della registrazione dei dati
o al massimo quando essi
sono comunicati per la prima
volta a terzi;
(40) considerando che non è
tuttavia necessario imporre
tale obbligo se la persona
interessata è già informata;
che, inoltre, tale obbligo
non è previsto se la
registrazione o la
comunicazione sono
espressamente previste dalla
legge ovvero se informare la
persona interessata risulta
impossibile o implica uno
sforzo eccessivo, come può
verificarsi per i
trattamenti a fini storici,
statistici o scientifici;
che in questo caso si può
tener conto del numero di
persone interessate,
dell'antichità dei dati e
delle eventuali misure di
compensazione;
(41) considerando che una
persona deve godere del
diritto d'accesso ai dati
che la riguardano e che sono
oggetto di trattamento, per
poter verificare, in
particolare, la loro
esattezza e la liceità del
trattamento; che, per le
stesse ragioni, le persone
devono avere inoltre il
diritto di conoscere la
logica su cui si basa il
trattamento automatizzato
dei dati che le riguardano,
perlomeno nel caso delle
decisioni automatizzate di
cui all'articolo 15,
paragrafo 1; che tale
diritto deve lasciare
impregiudicati il segreto
industriale e aziendale e la
proprietà intellettuale,
segnatamente i diritti
d'autore che tutelano il
software; che ciò non
dovrebbe comunque tradursi
nel rifiuto di fornire
qualsiasi informazione alla
persona interessata;
(42) considerando che gli
Stati membri possono, a
beneficio della persona
interessata o a tutela dei
diritti e delle libertà
altrui, limitare il diritto
d'accesso e d'informazione;
che possono, ad esempio,
precisare che l'accesso ai
dati medici è possibile
soltanto per il tramite del
personale sanitario;
(43) considerando che gli
Stati membri possono altresì
imporre analoghe restrizioni
al diritto di accesso e di
informazione e ad alcuni
obblighi del responsabile
del trattamento nella misura
in cui tali restrizioni
siano necessarie per
salvaguardare, ad esempio,
la sicurezza nazionale, la
difesa, la pubblica
sicurezza, importanti
interessi economici o
finanziari di uno Stato
membro o dell'Unione, nonché
per indagini e procedimenti
penali e in caso di
violazioni dell'etica delle
professioni regolamentate;
che occorre elencare, a
titolo di deroghe e
restrizioni, i compiti di
controllo, di indagine o di
regolamentazione necessari
negli ultimi tre settori
suindicati relativamente
alla pubblica sicurezza,
agli interessi economici o
finanziari e alla
repressione penale; che
l'elenco dei compiti
relativi a questi tre
settori lascia
impregiudicata la
legittimità delle deroghe e
restrizioni giustificate da
ragioni di sicurezza di
Stato e di difesa;
(44) considerando che gli
Stati membri possono essere
indotti, in forza di
disposizioni di diritto
comunitario, a derogare alle
disposizioni della presente
direttiva in materia di
diritto d'accesso, di
informazione delle persone e
di qualità dei dati, onde
salvaguardare alcune delle
finalità di cui sopra;
(45) considerando che, in
caso di dati che potrebbero
essere oggetto di un
trattamento lecito per
ragioni di interesse
pubblico, di esercizio
dell'autorità pubblica o di
interesse legittimo di un
singolo, qualsiasi persona
interessata dovrebbe
comunque avere il diritto,
per ragioni preminenti e
legittime connesse alla sua
situazione particolare, di
opporsi al trattamento dei
dati che la riguardano; che
gli Stati membri hanno
tuttavia la facoltà di
prevedere disposizioni
nazionali contrarie;
(46) considerando che la
tutela dei diritti e delle
libertà delle persone
interessate relativamente al
trattamento di dati
personali richiede
l'adozione di adeguate
misure tecniche ed
organizzative sia al momento
della progettazione che a
quello dell'esecuzione del
trattamento, in particolare
per garantirne la sicurezza
ed impedire in tal modo
qualsiasi trattamento non
autorizzato; che spetta agli
Stati membri accertarsi che
il responsabile del
trattamento osservi tali
misure; che queste devono
assicurare un adeguato
livello di sicurezza, tenuto
conto delle conoscenze
tecniche e dei costi
dell'esecuzione rispetto ai
rischi che i trattamenti
presentano e alla natura dei
dati da proteggere;
(47) considerando che,
laddove un messaggio
contenente dati personali
sia trasmesso tramite un
servizio di
telecomunicazioni o di posta
elettronica, finalizzato
unicamente alla trasmissione
di siffatti messaggi, si
considera, di norma,
responsabile del trattamento
dei dati personali contenuti
del messaggio la persona che
lo ha emanato e non la
persona che presta il
servizio di trasmissione;
che tuttavia le persone che
prestano tali servizi sono
di norma considerate
responsabili del trattamento
dei dati personali
supplementari necessari per
il funzionamento del
servizio;
(48) considerando che la
notificazione all'autorità
di controllo ha lo scopo di
dare pubblicità alle
finalità del trattamento ed
alle sul principali
caratteristiche, per
consentirne il controllo
secondo le norme nazionali
di attuazione della presente
direttiva;
(49) considerando che, al
fine di evitare formalità
amministrative improprie,
possono essere previste
dagli Stati membri misure di
esenzione dall'obbligo di
notificazione o di
semplificazione di
quest'ultima per i
trattamenti che non sono
tali da recare pregiudizio
ai diritti e alle libertà
delle persone interessate,
purché siano conformi ad un
atto adottato dallo Stato
membro che ne precisi i
limiti; che gli Stati membri
possono analogamente
prevedere esenzioni o
semplificazioni qualora una
persona incaricata dal
responsabile del trattamento
si accerti che i trattamenti
effettuati non sono tali da
ledere i diritti e le
libertà delle persone
interessate; che detto
incaricato della protezione
dei dati, dipendente o meno
del responsabile del
trattamento, deve essere in
grado di esercitare le sue
funzioni in modo del tutto
indipendente;
(50) considerando che
potrebbero essere previste
esenzioni o semplificazioni
per i trattamenti il cui
unico scopo sia la tenuta di
registri finalizzati, ai
sensi del diritto nazionale,
all'informazione del
pubblico e aperti alla
consultazione del pubblico o
di chiunque dimostri un
interesse legittimo;
(51) considerando che il
responsabile del trattamento
beneficiario della
semplificazione o
dell'esenzione dall'obbligo
di notificazione non è
tuttavia dispensato da
nessuno degli altri obblighi
che gli incombono a norma
della presente direttiva;
(52) considerando che, in
questo contesto, il
controllo a posteriori da
parte delle autorità
competenti deve essere
ritenuto di norma
sufficiente;
(53) considerando che,
tuttavia, alcuni trattamenti
possono presentare rischi
particolari per i diritti e
le libertà delle persone
interessate, per natura,
portata o finalità, quali
quello di escludere una
persona dal beneficio di un
diritto, di una prestazione
o di un contratto, ovvero a
causa dell'uso particolare
di una tecnologia nuova; che
spetta agli Stati membri, se
lo vorranno, precisare tali
rischi nella legislazione
nazionale;
(54) considerando che il
numero dei trattamenti che
presentano tali rischi
particolari dovrebbe essere
molto esiguo rispetto al
totale dei trattamenti
effettuati nella società;
che, per siffatti
trattamenti, gli Stati
membri devono prevedere,
prima che inizi il
trattamento, un esame da
parte dell'autorità di
controllo, o dell'incaricato
della protezione dei dati in
collaborazione con essa; che
a seguito di tale esame
preliminare l'autorità di
controllo può, in base al
diritto nazionale
d'applicazione, formulare un
parere o autorizzare il
trattamento dei dati; che
detto esame può aver luogo
anche durante il processo di
elaborazione di un
provvedimento del Parlamento
nazionale ovvero di un
provvedimento basato su tale
provvedimento legislativo,
in cui si definisca la
natura del trattamento e si
precisino le garanzie
appropriate;
(55) considerando che, in
caso di violazione dei
diritti delle persone
interessate da parte del
responsabile del
trattamento, le legislazioni
nazionali devono prevedere
vie di ricorso
giurisdizionale; che i danni
cagionati alle persone per
effetto di un trattamento
illecito devono essere
riparati dal responsabile
del trattamento, il quale
può essere esonerato dalla
propria responsabilità se
prova che l'evento dannoso
non gli è imputabile,
segnatamente quando dimostra
l'esistenza di un errore
della persona interessata o
un caso di forza maggiore;
che sanzioni debbono essere
applicate nei confronti di
qualsiasi soggetto di
diritto privato o di diritto
pubblico che non rispetti le
norme nazionali di
attuazione della presente
direttiva;
(56) considerando che lo
sviluppo degli scambi
internazionali comporta
necessariamente il
trasferimento oltre
frontiera di dati personali;
che la tutela delle persone
garantita nella Comunità
dalla presente direttiva non
osta al trasferimento di
dati personali verso paesi
terzi che garantiscano un
livello di protezione
adeguato; che l'adeguatezza
della tutela offerta da un
paese terzo deve essere
valutata in funzione di
tutte le circostanze
relative ad un trasferimento
o ad una categoria di
trasferimenti;
(57) considerando, per
contro, che deve essere
vietato il trasferimento di
dati personali verso un
paese terzo che non offre un
livello di protezione
adeguato;
(58) considerando che devono
essere previste, in talune
circostanze, deroghe a tale
divieto a condizione che la
persona interessata vi abbia
consentito, che il
trasferimento sia necessario
in relazione ad un contratto
o da un'azione legale,
oppure qualora il
trasferimento sia necessario
per la salvaguardia di un
interesse pubblico
rilevante, per esempio in
casi di scambi
internazionali di dati tra
le amministrazioni fiscali o
doganali oppure tra i
servizi competenti per la
sicurezza sociale, o qualora
il trasferimento avvenga da
un registro previsto dalla
legge e destinato ad essere
consultato dal pubblico o
dalle persone aventi un
interesse legittimo; che
tale trasferimento non deve
riguardare la totalità dei
dati o delle categorie di
dati contenuti nel registro
suddetto; che il
trasferimento di un registro
destinato ad essere
consultato dalle persone
aventi un interesse
legittimo dovrebbe essere
possibile soltanto su
richiesta di tali persone o
qualora esse ne siano i
destinatari;
(59) considerando che
possono essere adottate
misure particolari per
rimediare al livello di
protezione insufficiente di
un paese terzo, qualora il
responsabile del trattamento
offra le opportune garanzie;
che inoltre debbono essere
previste procedure di
negoziato fra la Comunità e
i paesi terzi in questione;
(60) considerando che
comunque i trasferimenti di
dati verso i paesi terzi
possono aver luogo soltanto
nel pieno rispetto delle
disposizioni prese dagli
Stati membri in applicazione
della presente direttiva, in
particolare dell'articolo 8;
(61) considerando che gli
Stati membri e la
Commissione, nei rispettivi
settori di competenza,
devono incoraggiare gli
ambienti professionali
interessati a elaborare
codici di condotta destinati
a favorire, secondo le
caratteristiche specifiche
dei trattamenti effettuati
in taluni settori,
l'attuazione della presente
direttiva nel rispetto delle
disposizioni nazionali di
applicazione della stessa;
(62) considerando che la
designazione di autorità di
controllo che agiscano in
modo indipendente in
ciascuno Stato membro è un
elemento essenziale per la
tutela delle persone con
riguardo al trattamento di
dati personali;
(63) considerando che tali
autorità devono disporre dei
mezzi necessari
all'adempimento dei loro
compiti, siano essi poteri
investigativi o di
intervento, segnatamente in
caso di reclami di singoli
individui, nonché poteri di
avviare azioni legali; che
esse debbono contribuire
alla trasparenza dei
trattamenti effettuati nello
Stato membro da cui
dipendono;
(64) considerando che le
autorità dei vari Stati
membri sono tenute a
collaborare nello
svolgimento dei propri
compiti in modo tale da
assicurare che le norme
relative alla tutela vengano
pienamente rispettate in
tutta l'Unione europea;
(65) considerando che, a
livello comunitario, deve
essere istituito un gruppo
per la tutela delle persone
con riguardo al trattamento
dei dati personali e che
esso deve esercitare le sue
funzioni in piena
indipendenza; che, tenuto
conto di tale carattere
specifico, esso deve
consigliare la Commissione e
contribuire in particolare
all'applicazione omogenea
delle norme nazionali di
attuazione della presente
direttiva;
(66) considerando che, in
ordine al trasferimento di
dati verso i paesi terzi,
l'applicazione della
presente direttiva richiede
l'attribuzione alla
Commissione di competenze
d'esecuzione nonché
l'istituzione di una
procedura secondo le
modalità fissate nella
decisione 87/373/CEE del
Consiglio (4);
(67) considerando che il 20
dicembre 1994 è stato
raggiunto un accordo su un
"modus vivendi" tra
Parlamento europeo,
Consiglio e Commissione
sulle misure di attuazione
degli atti adottati in base
alla procedura stabilita
all'articolo 189 B del
trattato CE;
(68) considerando che i
principi della tutela dei
diritti e delle libertà
delle persone, in
particolare del rispetto
della vita privata, con
riguardo al trattamento di
dati personali, oggetto
della presente direttiva,
potranno essere completati o
precisati, soprattutto per
taluni settori, da norme
specifiche ad essi conformi;
(69) considerando che è
opportuno concedere agli
Stati membri un termine non
superiore a tre anni a
decorrere dall'entrata in
vigore delle disposizioni
nazionali di recepimento
della presente direttiva,
per consentire loro di
applicare progressivamente a
tutti i trattamenti già
realizzati dette nuove
disposizioni nazionali; che
per agevolare
un'applicazione efficiente
in termini di costi sarà
concesso agli Stati membri
un ulteriore periodo che si
concluderà dodici anni dopo
la data di adozione della
presente direttiva, in modo
tale che venga assicurata la
conformità degli archivi
manuali esistenti con alcune
disposizioni della
direttiva; che i dati
contenuti in detti archivi e
oggetto di un trattamento
manuale effettivo nel corso
di questo periodo di
transizione supplementare
devono essere resi conformi
con le presenti disposizioni
all'atto di tale trattamento
attivo;
(70) considerando che non
occorre che la persona
interessata dia nuovamente
il suo consenso affinché il
responsabile possa
proseguire, dopo l'entrata
in vigore delle disposizioni
nazionali di attuazione
della presente direttiva, i
trattamenti dei dati di
natura delicata necessari
all'esecuzione di un
contratto concluso in base
ad un consenso libero e con
cognizione di causa prima
dell'entrata in vigore delle
suddette disposizioni;
(71) considerando che la
presente direttiva non osta
alla disciplina da parte uno
Stato membro delle attività
di invio di materiale
pubblicitario destinato ai
consumatori residenti nel
proprio territorio, purché
detta disciplina non
riguardi la tutela delle
persone relativamente al
trattamento dei dati
personali;
(72) considerando che la
presente direttiva consente
che nell'applicazione dei
principi in essa stabiliti
si tenga conto del principio
dell'accesso del pubblico ai
documenti ufficiali,
HANNO ADOTTATO LA PRESENTE
DIRETTIVA
CAPO I - DISPOSIZIONI
GENERALI
Articolo 1 - Oggetto della
direttiva
1. Gli Stati membri
garantiscono, conformemente
alle disposizioni della
presente direttiva, la
tutela dei diritti e delle
libertà fondamentali delle
persone fisiche e
particolarmente del diritto
alla vita privata, con
riguardo al trattamento dei
dati personali.
2. Gli Stati membri non
possono restringere o
vietare la libera
circolazione dei dati
personali tra Stati membri,
per motivi connessi alla
tutela garantita a norma del
paragrafo 1.
Articolo 2 - Definizioni
Ai fini della presente
direttiva si intende per:
a) "dati personali":
qualsiasi informazione
concernente una persona
fisica identificata o
identificabile ("persona
interessata"); si considera
identificabile la persona
che può essere identificata,
direttamente o
indirettamente, in
particolare mediante
riferimento ad un numero di
identificazione o ad uno o
più elementi specifici
caratteristici della sua
identità fisica,
fisiologica, psichica,
economica, culturale o
sociale;
b) "trattamento di dati
personali" ("trattamento"):
qualsiasi operazione o
insieme di operazioni
compiute con o senza
l'ausilio di processi
automatizzati e applicate a
dati personali, come la
raccolta, la registrazione,
l'organizzazione, la
conservazione,
l'elaborazione o la
modifica, l'estrazione, la
consultazione, l'impiego, la
comunicazione mediante
trasmissione, diffusione o
qualsiasi altra forma di
messa a disposizione, il
raffronto o
l'interconnessione, nonché
il congelamento, la
cancellazione o la
distruzione;
c) "archivio di dati
personali" ("archivio"):
qualsiasi insieme
strutturato di dati
personali accessibili,
secondo criteri determinati,
indipendentemente dal fatto
che tale insieme sia
centralizzato,
decentralizzato o ripartito
in modo funzionale o
geografico;
d) "responsabile del
trattamento": la persona
fisica o giuridica,
l'autorità pubblica, il
servizio o qualsiasi altro
organismo che, da solo o
insieme ad altri, determina
le finalità e gli strumenti
del trattamento di dati
personali. Quando le
finalità e i mezzi del
trattamento sono determinati
da disposizioni legislative
o regolamentari nazionali o
comunitarie, il responsabile
del trattamento o i criteri
specifici per al sua
designazione possono essere
fissati dal diritto
nazionale o comunitario;
e) "incaricato del
trattamento": la persona
fisica o giuridica,
l'autorità pubblica, il
servizio o qualsiasi altro
organismo che elabora dati
personali per conto del
responsabile del
trattamento;
f) "terzi": la persona
fisica o giuridica,
l'autorità pubblica, il
servizio o qualsiasi altro
organismo che non sia la
persona interessata, il
responsabile del
trattamento, l'incaricato
del trattamento e le persone
autorizzate all'elaborazione
dei dati sotto la loro
autorità diretta;
g) "destinatario": la
persona fisica o giuridica,
l'autorità pubblica, il
servizio o qualsiasi altro
organismo che riceve
comunicazione di dati, che
si tratti o meno di un
terzo. Tuttavia, le autorità
che possono ricevere
comunicazione di dati
nell'ambito di una missione
d'inchiesta specifica non
sono considerate
destinatari;
h) "consenso della persona
interessata": qualsiasi
manifestazione di volontà
libera, specifica e
informata con la quale la
persona interessata accetta
che i dati personali che la
riguardano siano oggetto di
un trattamento.
Articolo 3 - Campo
d'applicazione
1. Le disposizioni della
presente direttiva si
applicano al trattamento di
dati personali interamente o
parzialmente automatizzato
nonché al trattamento non
automatizzato di dati
personali contenuti o
destinati a figurare negli
archivi.
2. Le disposizioni della
presente direttiva non si
applicano ai trattamenti di
dati personali;
- effettuati per l'esercizio
di attività che non
rientrano nel campo di
applicazione del diritto
comunitario, come quelle
previste dai titoli V e VI
del trattato sull'Unione
europea e comunque ai
trattamenti aventi come
oggetto la pubblica
sicurezza, la difesa, la
sicurezza dello Stato
(compreso il benessere
economico dello Stato,
laddove tali trattamenti
siano connessi a questioni
di sicurezza dello Stato) e
le attività dello Stato in
materia di diritto penale;
- effettuati da una persona
fisica per l'esercizio di
attività a carattere
esclusivamente personale o
domestico.
Articolo 4
- Diritto nazionale
applicabile
1. Ciascuno Stato membro
applica le disposizioni
nazionali adottate per
l'attuazione della presente
direttiva al trattamento di
dati personali:
a) effettuato nel contesto
delle attività di uno
stabilimento del
responsabile del trattamento
nel territorio dello Stato
membro; qualora uno stesso
responsabile del trattamento
sia stabilito nel territorio
di più Stati membri, esso
deve adottare le misure
necessarie per assicurare
l'osservanza, da parte di
ciascuno di detti
stabilimenti, degli obblighi
stabiliti dal diritto
nazionale applicabile;
b) il cui responsabile non è
stabilito nel territorio
dello Stato membro, ma in un
luogo in cui si applica la
sua legislazione nazionale,
a norma del diritto
internazionale pubblico;
c) il cui responsabile, non
stabilito nel territorio
della Comunità, ricorre, ai
fini del trattamento di dati
personali, a strumenti,
automatizzati o non
automatizzati, situati nel
territorio di detto Stato
membro, a meno che questi
non siano utilizzati ai soli
fini di transito nel
territorio della Comunità
europea.
2. Nella fattispecie di cui
al paragrafo 1, lettera c),
il responsabile del
trattamento deve designare
un rappresentante stabilito
nel territorio di detto
Stato membro, fatte salve le
azioni che potrebbero essere
promosse contro lo stesso
responsabile del
trattamento.
CAPO II - CONDIZIONI
GENERALI DI LICEITÀ DEI
TRATTAMENTI DI DATI
PERSONALI
Articolo 5
Gli Stati membri precisano,
nei limiti delle
disposizioni del presente
capo, le condizioni alle
quali i trattamenti di dati
personali sono leciti.
SEZIONE I - PRINCIPI
RELATIVI ALLA QUALITÀ DEI
DATI
Articolo 6
1. Gli Stati membri
dispongono che i dati
personali devono essere:
a) trattati lealmente e
lecitamente;
b) rilevati per finalità
determinate, esplicite e
legittime, e successivamente
trattati in modo non
incompatibile con tali
finalità. Il trattamento
successivo dei dati per
scopi storici, statistici o
scientifici non è ritenuto
incompatibile, purché gli
Stati membri forniscano
garanzie appropriate;
c) adeguati, pertinenti e
non eccedenti rispetto alle
finalità per le quali
vengono rilevati e/o per le
quali vengono
successivamente trattati;
d) esatti e, se necessario,
aggiornati; devono essere
prese tutte le misure
ragionevoli per cancellare o
rettificare i dati inesatti
o incompleti rispetto alle
finalità per le quali sono
rilevati o sono
successivamente trattati,
cancellati o rettificati;
e) conservati in modo da
consentire l'identificazione
delle persone interessate
per un arco di tempo non
superiore a quello
necessario al conseguimento
delle finalità per le quali
sono rilevati o sono
successivamente trattati.
Gli Stati membri prevedono
garanzie adeguate per i dati
personali conservati oltre
il suddetto arco di tempo
per motivi storici,
statistici o scientifici.
2. Il responsabile del
trattamento e tenuto a
garantire il rispetto delle
disposizioni del paragrafo
1.
SEZIONE II - PRINCIPI
RELATIVI ALLA LEGITTIMAZIONE
DEL TRATTAMENTO DEI DATI
Articolo 7
Gli Stati membri dispongono
che il trattamento di dati
personali può essere
effettuato soltanto quando:
a) la persona interessata ha
manifestato il proprio
consenso in maniera
inequivocabile, oppure
b) è necessario
all'esecuzione del contratto
concluso con la persona
interessata o all'esecuzione
di misure precontrattuali
prese su richiesta di tale
persona, oppure
c) è necessario per
adempiere un obbligo legale
al quale è soggetto il
responsabile del
trattamento, oppure
d) è necessario per la
salvaguardia dell'interesse
vitale della persona
interessata, oppure
e) è necessario per
l'esecuzione di un compito
di interesse pubblico o
connesso all'esercizio di
pubblici poteri di cui è
investito il responsabile
del trattamento o il terzo a
cui vengono comunicati i
dati, oppure
f) è necessario per il
perseguimento dell'interesse
legittimo del responsabile
del trattamento oppure del o
dei terzi cui vengono
comunicati i dati, a
condizione che non
prevalgano l'interesse o i
diritti e le libertà
fondamentali della persona
interessata, che richiedono
tutela ai sensi
dell'articolo 1, paragrafo
1.
SEZIONE III CATEGORIE
PARTICOLARI DI TRATTAMENTI
Articolo 8
- Trattamenti riguardanti
categorie particolari di
dati
1. Gli Stati membri vietano
il trattamento di dati
personali che rivelano
l'origine razziale o etnica,
le opinioni politiche, le
convinzioni religiose o
filosofiche, l'appartenenza
sindacale, nonché il
trattamento di dati relativi
alla salute e alla vita
sessuale.
2. Il paragrafo 1 non si
applica qualora:
a) la persona interessata
abbia dato il proprio
consenso esplicito a tale
trattamento, salvo nei casi
in cui la legislazione dello
Stato membro preveda che il
consenso della persona
interessata non sia
sufficiente per derogare al
divieto di cui al paragrafo
1, oppure
b) il trattamento sia
necessario, per assolvere
gli obblighi e i diritti
specifici del responsabile
del trattamento in materia
di diritto del lavoro, nella
misura in cui il trattamento
stesso sia autorizzato da
norme nazionali che
prevedono adeguate garanzie,
oppure
c) il trattamento sia
necessario per salvaguardare
un interesse vitale della
persona interessata o di un
terzo nel caso in cui la
persona interessata è
nell'incapacità fisica o
giuridica di dare il proprio
consenso; o
d) il trattamento sia
effettuato, con garanzie
adeguate, da una fondazione,
un'associazione o qualsiasi
altro organismo che non
persegua scopi di lucro e
rivesta carattere politico,
filosofico, religioso o
sindacale, nell'ambito del
suo scopo lecito e a
condizione che riguardi
unicamente i suoi membri o
le persone che abbiano
contatti regolari con la
fondazione, l'associazione o
l'organismo a motivo del suo
oggetto e che i dati non
vengano comunicati a terzi
senza il consenso delle
persone interessate; o
e) il trattamento riguardi
dati resi manifestamente
pubblici dalla persona
interessata o sia necessario
per costituire, esercitare o
difendere un diritto per via
giudiziaria.
3. Il paragrafo 1 non si
applica quando il
trattamento dei dati è
necessario alla prevenzione
o alla diagnostica medica,
alla somministrazione di
cure o alla gestione di
centri di cura e quando il
trattamento dei medesimi
dati viene effettuato da un
professionista in campo
sanitario soggetto al
segreto professionale
sancito dalla legislazione
nazionale, comprese le norme
stabilite dagli organi
nazionali competenti, o da
un'altra persona egualmente
soggetta a un obbligo di
segreto equivalente.
4. Purché siano previste le
opportune garanzie, gli
Stati membri possono, per
motivi di interesse pubblico
rilevante, stabilire
ulteriori deroghe oltre a
quelle previste dal
paragrafo 2 sulla base della
legislazione nazionale o di
una decisione dell'autorità
di controllo.
5. I trattamenti riguardanti
i dati relativi alle
infrazioni, alle condanne
penali o alle misure di
sicurezza possono essere
effettuati solo sotto
controllo dell'autorità
pubblica, o se vengono
fornite opportune garanzie
specifiche, sulla base del
diritto nazionale, fatte
salve le deroghe che possono
essere fissate dallo Stato
membro in base ad una
disposizione nazionale che
preveda garanzie appropriate
e specifiche. Tuttavia un
registro completo delle
condanne penali può essere
tenuto solo sotto il
controllo dell'autorità
pubblica. Gli Stati membri
possono prevedere che i
trattamenti di dati
riguardanti sanzioni
amministrative o
procedimenti civili siano
ugualmente effettuati sotto
controllo dell'autorità
pubblica.
6. Le deroghe al paragrafo 1
di cui ai paragrafi 4 e 5
sono notificate alla
Commissione.
7. Gli Stati membri
determinano a quali
condizioni un numero
nazionale di identificazione
o qualsiasi altro mezzo
identificativo di portata
generale può essere oggetto
di trattamento.
Articolo 9 - Trattamento di
dati personali e libertà
d'espressione
Gli Stati membri prevedono,
per il trattamento di dati
personali effettuato
esclusivamente a scopi
giornalistici o di
espressione artistica o
letteraria, le esenzioni o
le deroghe alle disposizioni
del presente capo e dei capi
IV e VI solo qualora si
rivelino necessarie per
conciliare il diritto alla
vita privata con le norme
sulla libertà d'espressione.
SEZIONE IV INFORMAZIONE
DELLA PERSONA INTERESSATA
Articolo 10 - Informazione
in caso di raccolta dei dati
presso la persona
interessata
Gli Stati membri dispongono
che il responsabile del
trattamento, o il suo
rappresentante, debba
fornire alla persona presso
la quale effettua la
raccolta dei dati che la
riguardano almeno le
informazioni elencate qui di
seguito, a meno che tale
persona ne sia già
informata:
a) l'identità del
responsabile del trattamento
ed eventualmente del suo
rappresentante;
b) le finalità del
trattamento cui sono
destinati i dati;
c) ulteriori informazioni
riguardanti quanto segue:
- i destinatari o le
categorie di destinatari dei
dati,
- se rispondere alle domande
è obbligatorio o volontario,
nonché le possibili
conseguenze di una mancata
risposta,
- se esistono diritti di
accesso ai dati e di
rettifica in merito ai dati
che la riguardano nella
misura in cui, in
considerazione delle
specifiche circostanze in
cui i dati vengono raccolti,
tali informazioni siano
necessarie per effettuare un
trattamento leale nei
confronto della persona
interessata.
Articolo 11 - Informazione
in caso di dati non raccolti
presso la persona
interessata
1. In caso di dati non
raccolti presso la persona
interessata, gli Stati
membri dispongono che, al
momento della registrazione
dei dati o qualora sia
prevista una comunicazione
dei dati a un terzo, al più
tardi all'atto della prima
comunicazione dei medesimi,
il responsabile del
trattamento o il suo
rappresentante debba fornire
alla persona interessata
almeno le informazioni
elencate qui di seguito, a
meno che tale persona ne sia
già informata:
a) l'identità del
responsabile del trattamento
ed eventualmente del suo
rappresentante,
b) le finalità del
trattamento,
c) ulteriori informazioni
riguardanti quanto segue:
- le categorie di dati
interessate,
- i destinatari o le
categorie di destinatari dei
dati,
- se esiste un diritto di
accesso ai dati e di
rettifica in merito ai dati
che la riguardano,
nella misura in cui, in
considerazione delle
specifiche circostanze in
cui i dati vengono raccolti,
tali informazioni siano
necessarie per effettuare un
trattamento leale nei
confronti della persona
interessata.
2. Le disposizioni del
paragrafo 1 non si applicano
quando, in particolare nel
trattamento di dati a scopi
statistici, o di ricerca
storica o scientifica,
l'informazione della persona
interessata si rivela
impossibile o richiede
sforzi sproporzionati o la
registrazione o la
comunicazione è prescritta
per legge. In questi casi
gli Stati membri prevedono
garanzie appropriate.
SEZIONE V - DIRITTO DI
ACCESSO AI DATI DA PARTE
DELLA PERSONA INTERESSATA
Articolo 12 - Diritto di
accesso
Gli Stati membri
garantiscono a qualsiasi
persona interessata il
diritto di ottenere dal
responsabile del
trattamento:
a) liberamente e senza
costrizione, ad intervalli
ragionevoli e senza ritardi
o spese eccessivi:
- la conferma dell'esistenza
o meno di trattamenti di
dati che la riguardano, e
l'informazione almeno sulle
finalità dei trattamenti,
sulle categorie di dati
trattati, sui destinatari o
sulle categorie di
destinatari cui sono
comunicati i dati;
- la comunicazione in forma
intelligibile dei dati che
sono oggetto dei
trattamenti, nonché di tutte
le informazioni disponibili
sull'origine dei dati;
- la conoscenza della logica
applicata nei trattamenti
automatizzati dei dati che
lo interessano, per lo meno
nel caso delle decisioni
automatizzate di cui
all'articolo 15, paragrafo
1;
b) a seconda dei casi, la
rettifica, la cancellazione
o il congelamento dei dati
il cui trattamento non è
conforme alle disposizioni
della presente direttiva, in
particolare a causa del
carattere incompleto o
inesatto dei dati;
c) la notificazione ai
terzi, ai quali sono stati
comunicati i dati, di
qualsiasi rettifica,
cancellazione o
congelamento, effettuati
conformemente alla lettera
b), se non si dimostra che è
impossibile o implica uno
sforzo sproporzionato.
SEZIONE VI DEROGHE E
RESTRIZIONI
Articolo 13 - Deroghe e
restrizioni
1. Gli Stati membri possono
adottare disposizioni
legislative intese a
limitare la portata degli
obblighi e dei diritti
previsti dalle disposizioni
dell'articolo 6, paragrafo
1, dell'articolo 10,
dell'articolo 11, paragrafo
1 e degli articoli 12 e 21,
qualora tale restrizione
costituisca una misura
necessaria alla
salvaguardia:
a) della sicurezza dello
Stato;
b) della difesa;
c) della pubblica sicurezza;
d) della prevenzione, della
ricerca, dell'accertamento e
del perseguimento di
infrazioni penali o di
violazioni della deontologia
delle professioni
regolamentate;
e) di un rilevante interesse
economico o finanziario di
uno Stato membro o
dell'Unione europea, anche
in materia monetaria, di
bilancio e tributaria;
f) di un compito di
controllo, ispezione o
disciplina connesso, anche
occasionalmente, con
l'esercizio dei pubblici
poteri nei casi di cui alle
lettere c), d) ed e); g)
della protezione della
persona interessata o dei
diritti e delle libertà
altrui.
2. Fatte salve garanzie
legali appropriate, che
escludano in particolare che
i dati possano essere
utilizzati a fini di misure
o di specifiche decisioni
che si riferiscono a
persone, gli Stati membri
possono, nel caso in cui non
sussista manifestamente
alcun rischio di pregiudizio
alla vita privata della
persona interessata,
limitare con un
provvedimento legislativo i
diritti di cui all'articolo
12 qualora i dati siano
trattati esclusivamente ai
fini della ricerca
scientifica o siano
memorizzati sotto forma di
dati personali per un
periodo che non superi
quello necessario alla sola
finalità di elaborazione
delle statistiche.
SEZIONE VII - DIRITTO DI
OPPOSIZIONE DELLA PERSONA
INTERESSATA
Articolo 14 - Diritto di
opposizione della persona
interessata
Gli Stati membri riconoscono
alla persona interessata il
diritto:
a) almeno nei casi di cui
all'articolo 7, lettere e) e
f), di opporsi in qualsiasi
momento, per motivi
preminenti e legittimi,
derivanti dalla sua
situazione particolare, al
trattamento di dati che la
riguardano, salvo
disposizione contraria
prevista dalla normativa
nazionale. In caso di
opposizione giustificata il
trattamento effettuato dal
responsabile non può più
riguardare tali dati;
b) - di opporsi, su
richiesta e gratuitamente,
al trattamento dei dati
personali che la riguardano
previsto dal responsabile
del trattamento a fini di
invio di materiale
pubblicitario ovvero di
essere informata prima che i
dati personali siano, per la
prima volta, comunicati a
terzi o utilizzati per conto
di terzi, a fini di invio di
materiale pubblicitario;
- la persona interessata
deve essere informata in
modo esplicito del diritto
di cui gode di opporsi
gratuitamente alla
comunicazione o all'utilizzo
di cui sopra.
Gli Stati membri prendono le
misure necessarie per
garantire che le persone
interessate siano a
conoscenza che esiste il
diritto di cui al primo
comma della lettera b).
Articolo 15 - Decisioni
individuali automatizzate
1. Gli Stati membri
riconoscono a qualsiasi
persona il diritto di non
essere sottoposta ad una
decisione che produca
effetti giuridici o abbia
effetti significativi nei
suoi confronti fondata
esclusivamente su un
trattamento automatizzato di
dati destinati a valutare
taluni aspetti della sua
personalità, quali il
rendimento professionale, il
credito, l'affidabilità, il
comportamento, ecc.
2. Gli Stati membri
dispongono, salve le altre
disposizioni della presente
direttiva, che una persona
può essere sottoposta a una
decisione di cui al
paragrafo 1, qualora una
tale decisione:
a) sia presa nel contesto
della conclusione o
dell'esecuzione di un
contratto, a condizione che
la domanda relativa alla
conclusione o all'esecuzione
del contratto, presentata
dalla persona interessata
sia stata accolta, oppure
che misure adeguate, fra le
quali la possibilità di far
valere il proprio punto di
vista garantiscano la
salvaguardia del suo
interesse legittimo, oppure
b) sia autorizzata da una
legge che precisi i
provvedimenti atti a
salvaguardare un interesse
legittimo della persona
interessata.
SEZIONE VIII - RISERVATEZZA
E SICUREZZA DEI TRATTAMENTI
Articolo 16 - Riservatezza
dei trattamenti
L'incaricato del trattamento
o chiunque agisca sotto la
sua autorità o sotto quella
del responsabile del
trattamento non deve
elaborare i dati personali
ai quali ha accesso, se non
dietro istruzione del
responsabile del trattamento
oppure in virtù di obblighi
legali.
Articolo 17 - Sicurezza dei
trattamenti
1. Gli Stati membri
dispongono che il
responsabile del trattamento
deve attuare misure tecniche
ed organizzative appropriate
al fine di garantire la
protezione dei dati
personali dalla distruzione
accidentale o illecita,
dalla perdita accidentale o
dall'alterazione, dalla
diffusione o dall'accesso
non autorizzati,
segnatamente quando il
trattamento comporta
trasmissioni di dati
all'interno di una rete, o
da qualsiasi altra forma
illecita di trattamento di
dati personali. Tali misure
devono garantire, tenuto
conto delle attuali
conoscenze in materia e dei
costi dell'applicazione, un
livello di sicurezza
appropriato rispetto ai
rischi presentati dal
trattamento e alla natura
dei dati da proteggere.
2. Gli Stati membri
dispongono che il
responsabile del
trattamento, quando quest'ultimo
sia eseguito per suo conto,
deve scegliere un incaricato
del trattamento che presenti
garanzie sufficienti in
merito alle misure di
sicurezza tecnica e di
organizzazione dei
trattamenti da effettuare e
deve assicurarsi del
rispetto di tali misure.
3. L'esecuzione dei
trattamenti su commissione
deve essere disciplinata da
un contratto o da un atto
giuridico che vincoli
l'incaricato del trattamento
al responsabile del
trattamento e che preveda
segnatamente:
- che l'incaricato del
trattamento operi soltanto
su istruzioni del
responsabile del
trattamento;
- che gli obblighi di cui al
paragrafo 1, quali sono
definiti dalla legislazione
dello Stato membro nel quale
è stabilito l'incaricato del
trattamento, vincolino anche
quest'ultimo.
4. A fini di conservazione
delle prove, gli elementi
del contratto o dell'atto
giuridico relativi alla
protezione dei dati e i
requisiti concernenti le
misure di cui al paragrafo 1
sono stipulati per iscritto
o in altra forma
equivalente.
SEZIONE IX - NOTIFICAZIONE
Articolo 18 - Obbligo di
notificazione all'autorità
di controllo
1. Gli Stati membri
prevedono un obbligo di
notificazione a carico del
responsabile del
trattamento, od
eventualmente del suo
rappresentante, presso
l'autorità di controllo di
cui all'articolo 28, prima
di procedere alla
realizzazione di un
trattamento, o di un insieme
di trattamenti, interamente
o parzialmente
automatizzato, destinato al
conseguimento di una o più
finalità correlate.
2. Gli Stati membri possono
prevedere una
semplificazione o l'esonero
dall'obbligo di
notificazione soltanto nei
casi e alle condizioni
seguenti:
- qualora si tratti di
categorie di trattamento
che, in considerazione dei
dati oggetto di trattamento,
non siano tali da recare
pregiudizio ai diritti e
alle libertà della persona
interessata, essi precisano
le finalità dei trattamenti,
i dati o le categorie dei
dati trattati, la categoria
o le categorie di persone
interessate, i destinatari o
le categorie di destinatari
cui sono comunicati i dati e
il periodo di conservazione
dei dati, e/o
- qualora il responsabile
del trattamento designi,
conformemente alla
legislazione nazionale
applicabile, un incaricato
della protezione dei dati, a
cui è demandato in
particolare:
- di assicurare in maniera
indipendente l'applicazione
interna delle disposizioni
nazionali di attuazione
della presente direttiva;
- di tenere un registro dei
trattamenti effettuati dal
responsabile del trattamento
in cui figurino le
informazioni di cui
all'articolo 21, paragrafo
2, garantendo in tal modo
che il trattamento non sia
tale da recare pregiudizio
ai diritti e alle libertà
della persona interessata.
3. Gli Stati membri possono
prevedere che le
disposizioni del paragrafo 1
non si applichino ai
trattamenti la cui unica
finalità è la compilazione
di registri i quali, in
forza di disposizioni
legislative o regolamentari,
siano predisposti per
l'informazione del pubblico
e siano aperti alla
consultazione del pubblico o
di chiunque possa dimostrare
un interesse legittimo.
4. Gli Stati membri possono
prevedere una deroga
all'obbligo della
notificazione o una
semplificazione della
notificazione per i
trattamenti di cui
all'articolo 8, paragrafo 2,
lettera d).
5. Gli Stati membri possono
prevedere che i trattamenti
non automatizzati di dati
personali, o alcuni di essi,
siano oggetto di una
notificazione eventualmente
semplificata.
Articolo 19 - Oggetto della
notificazione
1. Gli Stati membri
definiscono le informazioni
che devono essere contenute
nella notificazione. Esse
comprendono almeno:
a) il nome e l'indirizzo del
responsabile del trattamento
e, eventualmente, del suo
rappresentante;
b) la o le finalità del
trattamento;
c) una descrizione della o
delle categorie di persone
interessate e dei dati o
delle categorie di dati
relativi alle medesime;
d) i destinatari o le
categorie di destinatari a
cui i dati possono essere
comunicati;
e) i trasferimenti di dati
previsti verso paesi terzi;
f) una descrizione generale
che permetta di valutare in
via preliminare
l'adeguatezza delle misure
adottate per garantire la
sicurezza del trattamento in
applicazione dell'articolo
17.
2. Gli Stati membri
precisano le modalità di
notificazione all'autorità
di controllo dei mutamenti
relativi alle informazioni
di cui al paragrafo 1.
Articolo 20
- Controllo preliminare
1. Gli Stati membri
precisano i trattamenti che
potenzialmente presentano
rischi specifici per i
diritti e le libertà delle
persone e provvedono a che
tali trattamenti siano
esaminati prima della loro
messa in opera.
2. Tali esami preliminari
sono effettuati
dall'autorità di controllo
una volta ricevuta la
notificazione del
responsabile del
trattamento, oppure dalla
persona incaricata della
protezione dei dati che, nei
casi dubbi, deve consultare
l'autorità di controllo
medesima.
3. Gli Stati membri possono
effettuare tale esame anche
durante il processo di
elaborazione di un
provvedimento del Parlamento
nazionale, o in base ad un
provvedimento fondato su
siffatto provvedimento
legislativo, in cui si
definisce il tipo di
trattamento e si
stabiliscono appropriate
garanzie.
Articolo 21 - Pubblicità dei
trattamenti
1. Gli Stati membri adottano
misure intese ad assicurare
la pubblicità dei
trattamenti.
2. Gli Stati membri devono
prevedere che l'autorità di
controllo tenga un registro
dei trattamenti notificati
in virtù dell'articolo 18.
Il registro riprende almeno
le informazioni enumerate
all'articolo 19, paragrafo
1, lettere da a) a e). Il
registro può essere
consultato da chiunque.
3. Gli Stati membri
prevedono che i responsabili
dei trattamenti o un altro
organismo designato dagli
Stati membri comunichino
nelle opportune forme, a
chiunque ne faccia
richiesta, almeno le
informazioni di cui
all'articolo 19, paragrafo
1, lettere da a) a e),
relative ai trattamenti
esenti da notificazione. Gli
Stati membri possono
prevedere che questa
disposizione non si applichi
ai trattamenti la cui unica
finalità è la compilazione
di registri i quali, in
forza di disposizioni
legislative o regolamentari,
siano predisposti per
l'informazione del pubblico
e siano aperti alla
consultazione del pubblico o
di chiunque possa dimostrare
un interesse legittimo.
CAPO III - RICORSI
GIURISDIZIONALI,
RESPONSABILITÀ E SANZIONI
Articolo 22 - Ricorsi
Fatti salvi ricorsi
amministrativi che possono
essere promossi,
segnatamente dinanzi
all'autorità di controllo di
cui all'articolo 28, prima
che sia adita l'autorità
giudiziaria, gli Stati
membri stabiliscono che
chiunque possa disporre di
un ricorso giurisdizionale
in caso di violazione dei
diritti garantitigli dalle
disposizioni nazionali
appicabili al trattamento in
questione.
Articolo 23 - Responsabilità
1. Gli Stati membri
dispongono che chiunque
subisca un danno cagionato
da un trattamento illecito o
da qualsiasi altro atto
incompatibile con le
disposizioni nazionali di
attuazione della presente
direttiva abbia il diritto
di ottenere il risarcimento
del pregiudizio subito dal
responsabile del
trattamento.
2. Il responsabile del
trattamento può essere
esonerato in tutto o in
parte da tale responsabilità
se prova che l'evento
dannoso non gli è
imputabile.
Articolo 24 - Sanzioni
Gli Stati membri adottano le
misure appropriate per
garantire la piena
applicazione delle
disposizioni della presente
direttiva e in particolare
stabiliscono le sanzioni da
applicare in caso di
violazione delle
disposizioni di attuazione
della presente direttiva.
CAPO IV - TRASFERIMENTO DI
DATI PERSONALI VERSO PAESI
TERZI
Articolo 25 - Principi
1. Gli Stati membri
dispongono che il
trasferimento verso un paese
terzo di dati personali
oggetto di un trattamento o
destinati a essere oggetto
di un trattamento dopo il
trasferimento può aver luogo
soltanto se il paese terzo
di cui trattasi garantisce
un livello di protezione
adeguato, fatte salve le
misure nazionali di
attuazione delle altre
disposizioni della presente
direttiva.
2. L'adeguatezza del livello
di protezione garantito da
un paese terzo è valutata
con riguardo a tutte le
circostanze relative ad un
trasferimento o ad una
categoria di trasferimenti
di dati; in particolare sono
presi in considerazione la
natura dei dati, le finalità
del o dei trattamenti
previsti, il paese d'origine
e il paese di destinazione
finale, le norme di diritto,
generali o settoriali,
vigenti nel paese terzo di
cui trattasi, nonché le
regole professionali e le
misure di sicurezza ivi
osservate.
3. Gli Stati membri e la
Commissione si comunicano a
vicenda i casi in cui, a
loro parere, un paese terzo
non garantisce un livello di
protezione adeguato ai sensi
del paragrafo 2.
4. Qualora la Commissione
constati, secondo la
procedura dell'articolo 31,
paragrafo 2, che un paese
terzo non garantisce un
livello di protezione
adeguato ai sensi del
paragrafo 2 del presente
articolo, gli Stati membri
adottano le misure
necessarie per impedire ogni
trasferimento di dati della
stessa natura verso il paese
terzo in questione.
5. La Commissione avvia, al
momento opportuno, negoziati
per porre rimedio alla
situazione risultante dalla
constatazione di cui al
paragrafo 4.
6. La Commissione può
constatare, secondo la
procedura di cui
all'articolo 31, paragrafo
2, che un paese terzo
garantisce un livello di
protezione adeguato ai sensi
del paragrafo 2 del presente
articolo, in considerazione
della sua legislazione
nazionale o dei suoi impegni
internazionali, in
particolare di quelli
assunti in seguito ai
negoziati di cui al
paragrafo 5, ai fini della
tutela della vita privata o
delle libertà e dei diritti
fondamentali della persona.
Gli Stati membri adottano le
misure necessarie per
conformarsi alla decisione
della Commissione.
Articolo 26 - Deroghe
1. In deroga all'articolo 25
e fatte salve eventuali
disposizioni contrarie della
legislazione nazionale per
casi specifici, gli Stati
membri dispongono che un
trasferimento di dati
personali verso un paese
terzo che non garantisce una
tutela adeguata ai sensi
del'articolo 25, paragrafo 2
può avvenire a condizione
che:
a) la persona interessata
abbia manifestato il proprio
consenso in maniera
inequivocabile al
trasferimento previsto,
oppure
b) il trasferimento sia
necessario per l'esecuzione
di un contratto tra la
persona interessata ed il
responsabile del trattamento
o per l'esecuzione di misure
precontrattuali prese a
richiesta di questa, oppure
c) il trasferimento sia
necessario per la
conclusione o l'esecuzione
di un contratto, concluso o
da concludere nell'interesse
della persona interessata,
tra il responsabile del
trattamento e un terzo,
oppure
d) il trasferimento sia
necessario o prescritto
dalla legge per la
salvaguardia di un interesse
pubblico rilevante, oppure
per costatare, esercitare o
difendere un diritto per via
giudiziaria, oppure
e) il trasferimento sia
necessario per la
salvaguardia dell'interesse
vitale della persona
interessata, oppure
f) il trasferimento avvenga
a partire da un registro
pubblico il quale, in forza
di disposizioni legislative
o regolamentari, sia
predisposto per
l'informazione del pubblico
e sia aperto alla
consultazione del pubblico o
di chiunque possa dimostrare
un interesse legittimo,
nella misura in cui nel caso
specifico siano rispettate
le condizioni che la legge
prevede per la
consultazione.
2. Salvo il disposto del
paragrafo 1, uno Stato
membro può autorizzare un
trasferimento o una
categoria di trasferimenti
di dati personali verso un
paese terzo che non
garantisca un livello di
protezione adeguato ai sensi
dell'articolo 25, paragrafo
2, qualora il responsabile
del trattamento presenti
garanzie sufficienti per la
tutela della vita privata e
dei diritti e delle libertà
fondamentali delle persone,
nonché per l'esercizio dei
diritti connessi; tali
garanzie possono
segnatamente risultare da
clausole contrattuali
appropriate.
3. Lo Stato membro informa
la Commissione e gli altri
Stati membri in merito alle
autorizzazioni concesse a
norma del paragrafo 2. In
caso di opposizione
notificata da un altro Stato
membro o dalla Commissione,
debitamente motivata sotto
l'aspetto della tutela della
vita privata e dei diritti e
delle libertà fondamentali
delle persone, la
Commissione adotta le misure
appropriate secondo la
procedura di cui
all'articolo 31, paragrafo
2. Gli Stati membri adottano
le misure necessarie per
conformarsi alla decisione
della Commissione.
4. Qualora la Commissione
decida, secondo la procedura
di cui all'articolo 31,
paragrafo 2, che alcune
clausole contrattuali tipo
offrono le garanzie
sufficienti di cui al
paragrafo 2, gli Stati
membri adottano le misure
necessarie per conformarsi
alla decisione della
Commissione.
CAPO V - CODICI DI CONDOTTA
Articolo 27
1. Gli Stati membri e la
Commissione incoraggiano
l'elaborazione di codici di
condotta destinati a
contribuire, in funzione
delle specificità
settoriali, alla corretta
applicazione delle
disposizioni nazionali di
attuazione della presente
direttiva, adottate dagli
Stati membri.
2. Gli Stati membri
dispongono che le
associazioni professionali e
gli altri organismi
rappresentanti altre
categorie di responsabili
del trattamento, che hanno
elaborato i progetti di
codice nazionali o intendono
modificare o prorogare i
codici nazionali esistenti,
possano sottoporli all'esame
dell'autorità nazionale. Gli
Stati membri prevedono che
tale autorità accerti, in
particolare, la conformità
dei progetti che le sono
sottoposti alle disposizioni
nazionali di attuazione
della presente direttiva.
Qualora lo ritenga
opportuno, l'autorità
nazionale raccoglie le
osservazioni delle persone
interessate o dei loro
rappresentanti.
3. I progetti di codici
comunitari, nonché le
modifiche o proroghe di
codici comunitari esistenti,
possono essere sottoposti al
gruppo di cui all'articolo
29, il quale si pronuncia,
in particolare, sulla
conformità dei progetti che
gli sono sottoposti alle
disposizioni nazionali di
attuazione della presente
direttiva. Qualora lo
ritenga opportuno, esso
raccoglie le osservazioni
delle persone interessate o
dei loro rappresentanti. La
Commissione può provvedere
ad un'appropriata
divulgazione dei codici che
sono stati approvati dal
gruppo.
CAPO VI - AUTORITÀ DI
CONTROLLO E GRUPPO PER LA
TUTELA DELLE PERSONE CON
RIGUARDO AL TRATTAMENTO DEI
DATI PERSONALI
Articolo 28 - Autorità di
controllo
1. Ogni Stato membro dispone
che una o più autorità
pubbliche siano incaricate
di sorvegliare, nel suo
territorio, l'applicazione
delle disposizioni di
attuazione della presente
direttiva, adottate dagli
Stati membri. Tali autorità
sono pienamente indipendenti
nell'esercizio delle
funzioni loro attribuite.
2. Ciascuno Stato membro
dispone che le autorità di
controllo siano consultate
al momento dell'elaborazione
delle misure regolamentari o
amministrative relative alla
tutela dei diritti e delle
libertà della persona con
riguardo al trattamento dei
dati personali.
3. Ogni autorità di
controllo dispone in
particolare:
- di poteri investigativi,
come il diritto di accesso
ai dati oggetto di
trattamento e di raccolta di
qualsiasi informazione
necessaria all'esercizio
della sua funzione di
controllo;
- di poteri effettivi
d'intervento, come quello di
formulare pareri prima
dell'avvio di trattamenti,
conformemente all'articolo
20, e di dar loro adeguata
pubblicità o quello di
ordinare il congelamento, la
cancellazione o la
distruzione dei dati, oppure
di vietare a titolo
provvisorio o definitivo un
trattamento, ovvero quello
di rivolgere un avvertimento
o un monito al responsabile
del trattamento o quello di
adire i Parlamenti o altre
istituzioni politiche
nazionali;
- del potere di promuovere
azioni giudiziarie in caso
di violazione delle
disposizioni nazionali di
attuazione della presente
direttiva ovvero di adire
per dette violazioni le
autorità giudiziarie. È
possibile un ricorso
giurisdizionale avverso le
decisioni dell'autorità di
controllo recanti
pregiudizio.
4. Qualsiasi persona, o
associazione che la
rappresenti, può presentare
a un'autorità di controllo
una domanda relativa alla
tutela dei suoi diritti e
libertà con riguardo al
trattamento di dati
personali. La persona
interessata viene informata
del seguito dato alla sua
domanda. Qualsiasi persona
può, in particolare,
chiedere a un'autorità di
controllo di verificare la
liceità di un trattamento
quando si applicano le
disposizioni nazionali
adottate a norma
dell'articolo 13 della
presente direttiva. La
persona viene ad ogni modo
informata che una verifica
ha avuto luogo.
5. Ogni autorità di
controllo elabora a
intervalli regolari una
relazione sulla sua
attività. La relazione viene
pubblicata.
6. Ciascuna autorità di
controllo, indipendentemente
dalla legge nazionale
applicabile al trattamento
in questione, è competente
per esercitare, nel
territorio del suo Stato
membro, i poteri
attribuitile a norma del
paragrafo 3. Ciascuna
autorità può essere invitata
ad esercitare i suoi poteri
su domanda dell'autorità di
un altro Stato membro. Le
autorità di controllo
collaborano tra loro nella
misura necessaria allo
svolgimento dei propri
compiti, in particolare
scambiandosi ogni
informazione utile.
7. Gli Stati membri
dispongono che i membri e
gli agenti delle autorità di
controllo sono soggetti,
anche dopo la cessazione
delle attività, all'obbligo
del segreto professionale in
merito alle informazioni
riservate cui hanno accesso.
Articolo 29
- Gruppo per la tutela delle
persone con riguardo al
trattamento dei dati
personali
1. È istituito un gruppo per
la tutela della persone con
riguardo al trattamento dei
dati personali, in appresso
denominato "il gruppo". Il
gruppo ha carattere
consultivo e indipendente.
2. Il gruppo è composto da
un rappresentante della o
delle autorità di controllo
designate da ciascuno Stato
membro e da un
rappresentante della o delle
autorità create per le
istituzioni e gli organismi
comunitari, nonché da un
rappresentante della
Commissione. Ogni membro del
gruppo è designato
dall'istituzione oppure
dalla o dalle autorità che
rappresenta. Qualora uno
Stato membro abbia designato
più autorità di controllo,
queste procedono alla nomina
di un rappresentante comune.
Lo stesso vale per le
autorità create per le
istituzioni e gli organismi
comunitari.
3. Il gruppo adotta le sue
decisioni alla maggioranza
semplice dei rappresentanti
delle autorità di controllo.
4. Il gruppo elegge il
proprio presidente. La
durata del mandato del
presidente è di due anni. Il
mandato è rinnovabile.
5. Al segretariato del
gruppo provvede la
Commissione.
6. Il gruppo adotta il
proprio regolamento interno.
7. Il gruppo esamina le
questioni iscritte
all'ordine del giorno dal
suo presidente, su
iniziativa di questo o su
richiesta di un
rappresentante delle
autorità di controllo oppure
su richiesta della
Commissione.
Articolo 30
1. Il gruppo ha i seguenti
compiti:
a) esaminare ogni questione
attinente all'applicazione
delle norme nazionali di
attuazione della presente
direttiva per contribuire
alla loro applicazione
omogenea;
b) formulare, ad uso della
Commissione, un parere sul
livello di tutela nella
Comunità e nei paesi terzi;
c) consigliare la
Commissione in merito a ogni
progetto di modifica della
presente direttiva, ogni
progetto di misure
addizionali o specifiche da
prendere ai fini della
tutela dei diritti e delle
libertà delle persone
fisiche con riguardo al
trattamento di dati
personali, nonché in merito
a qualsiasi altro progetto
di misure comunitarie che
incidano su tali diritti e
libertà;
d) formulare un parere sui
codici di condotta elaborati
a livello comunitario.
2. Il gruppo, qualora
constati che tra le
legislazioni o prassi degli
Stati membri si manifestano
divergenze che possano
pregiudicare l'equivalenza
della tutela delle persone
in materia di trattamento
dei dati personali nella
Comunità, ne informa la
Commissione.
3. Il gruppo può formulare
di propria iniziativa
raccomandazioni su qualsiasi
questione riguardante la
tutela delle persone nei
confronti del trattamento di
dati personali nella
Comunità.
4. I pareri e le
raccomandazioni del gruppo
vengono trasmessi alla
Commissione e al comitato di
cui all'articolo 31.
5. La Commissione informa il
gruppo del seguito da essa
dato ai pareri e alle
raccomandazioni. A tal fine
redige una relazione che
viene trasmessa anche al
Parlamento europeo e al
Consiglio. La relazione è
oggetto di pubblicazione.
6. Il gruppo redige una
relazione annuale sullo
stato della tutela delle
persone fisiche con riguardo
al trattamento dei dati
personali nella Comunità e
nei paesi terzi e la
trasmette alla Commissione,
al Parlamento europeo e al
Consiglio. La relazione è
oggetto di pubblicazione.
CAPO VII - MISURE
COMUNITARIE D'ESECUZIONE
Articolo 31 - Comitato
1. La Commissione è
assistita da un comitato
composto dai rappresentanti
degli Stati membri e
presieduto dal
rappresentante della
Commissione.
2. Il rappresentante della
Commissione sottopone al
comitato un progetto delle
misure da adottare. Il
comitato, entro un termine
che il presidente può
fissare in funzione
dell'urgenza della questione
in esame, formula il suo
parere sul progetto. Il
parere è formulato alla
maggioranza prevista
all'articolo 148, paragrafo
2 del trattato. Nelle
votazioni in seno al
comitato, ai voti dei
rappresentanti degli Stati
membri è attribuita la
ponderazione fissata
nell'articolo precitato. Il
presidente non partecipa al
voto. La Commissione adotta
misure che sono applicabili
immediatamente. Tuttavia, se
queste misure non sono
conformi al parere del
comitato saranno subito
comunicate dalla Commissione
al Consiglio. In tal caso: -
la Commissione rinvia
l'applicazione delle misure
da essa decise per un
periodo di tre mesi, a
decorrere dalla data della
comunicazione; - il
Consiglio, deliberando a
maggioranza qualificata, può
prendere una decisione
diversa entro il termine di
cui al comma precedente.
DISPOSIZIONI FINALI
Articolo 32
1. Gli Stati membri mettono
in vigore le disposizioni
legislative, regolamentari
ed amministrative necessarie
per conformarsi alla
presente direttiva al più
tardi alla scadenza del
terzo anno successivo alla
sua adozione. Quando gli
Stati membri adottano tali
disposizioni, queste
contengono un riferimento
alla presente direttiva o
sono corredate da un
siffatto riferimento
all'atto della pubblicazione
ufficiale. Le modalità di
tale riferimento sono decise
dagli Stati membri.
2. Gli Stati membri
provvedono affinché i
trattamenti avviati prima
della data di entrata in
vigore delle disposizioni
nazionali di attuazione
della presente direttiva si
conformino a dette
disposizioni entro i tre
anni successivi alla data
summenzionata. In deroga al
comma precedente, gli Stati
membri possono prevedere
che, per quanto riguarda gli
articoli 6, 7 ed 8, la messa
in conformità dei
trattamenti di dati già
contenuti in archivi manuali
alla data dell'entrata in
vigore delle disposizioni
nazionali di attuazione
della presente direttiva sia
effettuata man mano che si
procede a successive
operazioni di trattamento di
tali dati, diverse dalla
semplice memorizzazione.
Questa messa in conformità
deve, tuttavia, essere
terminata entro il
dodicesimo anno a decorrere
dalla data di adozione della
presente direttiva. Gli
Stati membri consentono
comunque alla persona
interessata di ottenere a
sua richiesta e in
particolare in sede di
esercizio del diritto di
accesso, la rettifica, la
cancellazione o il
congelamento dei dati
incompleti, inesatti o
conservati in modo
incompatibile con i fini
legittimi perseguiti dal
responsabile del
trattamento.
3. In deroga al paragrafo 2,
gli Stati membri possono
prevedere, con riserva di
garanzie adeguate, che i
dati conservati
esclusivamente per ricerche
storiche non siano resi
conformi alle disposizioni
degli articoli 6, 7 e 8
della presente direttiva.
4. Gi Stati membri
comunicano alla Commissione
le disposizioni di diritto
interno che adottano nel
settore disciplinato dalla
presente direttiva.
Articolo 33
La Commissione presenta
periodicamente al Consiglio
e al Parlamento europeo, per
la prima volta entro tre
anni dalla data di cui
all'articolo 32, paragrafo
1, una relazione
sull'applicazione della
presente direttiva,
accompagnata, se del caso,
dalle opportune proposte di
modifica. La relazione è
oggetto di pubblicazione. La
Commissione esaminerà in
particolare l'applicazione
della presente direttiva al
trattamento dei dati sotto
forma di suoni o immagini
relativi a persone fisiche e
presenterà le eventuali
proposte necessarie, tenuto
conto dell'evoluzione della
tecnologia dell'informazione
e alla luce dei progressi
della società
dell'informazione.
Articolo 34
Gli Stati membri sono
destinatari della presente
direttiva. |
