▼B
REGOLAMENTO (UE) 2018/1725 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 23 ottobre 2018
sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE
(Testo rilevante ai fini del SEE)
CAPO I
DISPOSIZIONI GENERALI
Articolo 1
Oggetto e finalità
Articolo 2
Ambito di applicazione
Articolo 3
Definizioni
Ai fini del presente regolamento si applicano le seguenti definizioni:
«dati personali»: qualsiasi informazione concernente una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
«dati personali operativi»: tutti i dati personali trattati da organi o organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE per conseguire gli obiettivi ed eseguire i compiti stabiliti negli atti giuridici che li istituiscono;
«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
«limitazione di trattamento»: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;
«profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
«pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
«archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
«titolare del trattamento»: l’istituzione o l’organo dell’Unione, la direzione generale o qualunque altra entità organizzativa che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati da un atto specifico dell’Unione, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione;
«titolari del trattamento diversi dalle istituzioni e dagli organi dell’Unione»: i titolari del trattamento ai sensi dell’articolo 4, punto 7), del regolamento (UE) 2016/679 e i titolari del trattamento ai sensi dell’articolo 3, punto 8), della direttiva (UE) 2016/680;
«istituzioni e organi dell’Unione»: le istituzioni, gli organi e gli organismi dell’Unione istituiti dal TUE, dal TFUE o dal trattato Euratom oppure sulla base di tali trattati;
«autorità competente»: qualsiasi autorità pubblica di uno Stato membro competente in materia di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;
«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
«destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;
«terzo»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
«consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
«violazione dei dati personali»: violazione di sicurezza che comporta in modo accidentale o illecito la distruzione, la perdita, la modifica, la comunicazione non autorizzata dei dati personali trasmessi, memorizzati o comunque trattati, o l’accesso agli stessi;
«dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano, in particolare, dati dall’analisi di un campione biologico della persona fisica in questione;
«dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
«dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
«servizio della società dell’informazione»: il servizio definito all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio ( 3 );
«organizzazione internazionale»: un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più paesi;
«autorità di controllo nazionale»: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51 del regolamento (UE) 2016/679 o ai sensi dell’articolo 41 della direttiva (UE) 2016/680;
«utente»: qualsiasi persona fisica che si serve di una rete o di un’apparecchiatura terminale che funziona sotto il controllo di un’istituzione o di un organo dell’Unione;
«elenco»: elenco di utenti accessibile al pubblico o elenco interno di utenti disponibile in un’istituzione od organo dell’Unione o condiviso tra istituzioni e organi dell’Unione, in formato cartaceo o elettronico.
«rete di comunicazione elettronica»: un sistema di trasmissione basato o meno su un’infrastruttura permanente o una capacità di amministrazione centralizzata e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri fisse (a commutazione di circuito e a commutazione di pacchetto, compreso Internet) e mobili, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti utilizzate per le trasmissioni radio e televisive nonché le reti televisive via cavo, indipendentemente dal tipo di informazione trasmesso;
«apparecchiature terminali»: le apparecchiature terminali quali definite all’articolo 1, punto 1), della direttiva 2008/63/CE della Commissione ( 4 ).
CAPO II
PRINCIPI GENERALI
Articolo 4
Principi applicabili al trattamento di dati personali
I dati personali devono essere:
trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 13, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati personali inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 13, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Articolo 5
Liceità del trattamento
Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
il trattamento è necessario per l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio di pubblici poteri di cui sono investiti l’istituzione o l’organo dell’Unione;
il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
Articolo 6
Trattamento per un’altra finalità compatibile
Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su disposizioni del diritto dell’Unione che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 25, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro:
di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;
del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;
della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 10, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 11;
delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.
Articolo 7
Condizioni per il consenso
Articolo 8
Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione
Articolo 9
Trasmissione di dati personali a destinatari stabiliti nell’Unione diversi dalle istituzioni e dagli organi dell’Unione
Fatti salvi gli articoli da 4 a 6 e l’articolo 10, i dati personali possono essere trasmessi a destinatari stabiliti nell’Unione diversi dalle istituzioni e dagli organi dell’Unione solo se:
il destinatario dimostra che i dati sono necessari per l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio di pubblici poteri di cui è investito; oppure
il destinatario dimostra che la trasmissione dei dati è necessaria al fine specifico di servire l’interesse pubblico e il responsabile del trattamento, qualora sussistano motivi per presumere che gli interessi legittimi dell’interessato possano subire pregiudizio, dimostra che è proporzionato trasmettere i dati personali per detto fine specifico dopo aver chiaramente soppesato i vari interessi in conflitto.
Articolo 10
Trattamento di categorie particolari di dati personali
Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;
il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da un organismo senza scopo di lucro che costituisca un’entità integrata in un’istituzione o in un organo dell’Unione e che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con l’organismo a motivo delle sue finalità e che i dati non siano comunicati a terzi senza il consenso dell’interessato;
il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta la Corte di giustizia eserciti la sua funzione giurisdizionale;
il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale; o
il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici sulla base del diritto dell’Unione, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Articolo 11
Trattamento dei dati personali relativi a condanne penali e reati
Il trattamento di dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 5, paragrafo 1, avviene solo sotto il controllo dell’autorità ufficiale o se il trattamento è autorizzato da disposizioni del diritto dell’Unione che prevedano garanzie appropriate per i diritti e le libertà degli interessati.
Articolo 12
Trattamento che non richiede l’identificazione
Articolo 13
Garanzie relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
Il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è soggetto a garanzie adeguate per i diritti e le libertà dell’interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo. Qualora possano essere conseguite attraverso il trattamento ulteriore che non consenta o non consenta più di identificare l’interessato, tali finalità devono essere conseguite in tal modo.
CAPO III
DIRITTI DELL’INTERESSATO
SEZIONE 1
Trasparenza e modalità
Articolo 14
Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato
SEZIONE 2
Informazioni e accesso ai dati personali
Articolo 15
Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato
In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
l’identità e i dati di contatto del titolare del trattamento;
i dati di contatto del responsabile della protezione dei dati;
le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 48, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o, ove applicabile, del diritto di opporsi al trattamento o del diritto alla portabilità dei dati;
qualora il trattamento sia basato sull’articolo 5, paragrafo 1, lettera d), oppure sull’articolo 10, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
il diritto di proporre reclamo al Garante europeo della protezione dei dati;
se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 24, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Articolo 16
Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato
Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni:
l’identità e i dati di contatto del titolare del trattamento;
i dati di contatto del responsabile della protezione dei dati;
le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
le categorie di dati personali in questione;
gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 48, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
In aggiunta alle informazioni di cui al paragrafo 1, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente nei confronti dell’interessato:
il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o, ove applicabile, del diritto di opporsi al trattamento o del diritto alla portabilità dei dati;
qualora il trattamento sia basato sull’articolo 5, paragrafo 1, lettera d), oppure sull’articolo 10, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
il diritto di proporre reclamo al Garante europeo della protezione dei dati;
la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;
l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 24, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Il titolare del trattamento fornisce le informazioni di cui ai paragrafi 1 e 2:
entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;
nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato; oppure
nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.
I paragrafi da 1 a 4 non si applicano se e nella misura in cui:
l’interessato dispone già delle informazioni;
comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, o nella misura in cui l’obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento;
l’ottenimento o la comunicazione sono espressamente previsti da disposizioni del diritto dell’Unione che prevedono misure appropriate per tutelare gli interessi legittimi dell’interessato; oppure
qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione, compreso un obbligo di segretezza previsto per legge.
Articolo 17
Diritto di accesso dell’interessato
L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
le finalità del trattamento;
le categorie di dati personali in questione;
i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
il diritto di proporre reclamo al Garante europeo della protezione dei dati;
qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 24, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
SEZIONE 3
Rettifica e cancellazione
Articolo 18
Diritto di rettifica
L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza indebito ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Articolo 19
Diritto alla cancellazione («diritto all’oblio»)
L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza indebito ritardo e il titolare del trattamento ha l’obbligo di cancellare senza indebito ritardo i dati personali, se sussiste uno dei motivi seguenti:
i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 5, paragrafo 1, lettera d), o all’articolo 10, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
l’interessato si oppone al trattamento ai sensi dell’articolo 23, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
i dati personali sono stati trattati illecitamente;
i dati personali devono essere cancellati per adempiere un obbligo legale cui è soggetto il titolare del trattamento;
i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.
I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:
per l’esercizio del diritto alla libertà di espressione e di informazione;
per l’adempimento di un obbligo legale cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 10, paragrafo 2, lettere h) e i), e dell’articolo 10, paragrafo 3;
a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; oppure
per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Articolo 20
Diritto di limitazione di trattamento
L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza, inclusa la completezza, di tali dati personali;
il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
l’interessato si è opposto al trattamento ai sensi dell’articolo 23, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
Articolo 21
Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell’articolo 18, dell’articolo 19, paragrafo 1, e dell’articolo 20, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda.
Articolo 22
Diritto alla portabilità dei dati
L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:
il trattamento si basi sul consenso ai sensi dell’articolo 5, paragrafo 1, lettera d), o dell’articolo 10, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 5, paragrafo 1, lettera c); e
il trattamento sia effettuato con mezzi automatizzati.
SEZIONE 4
Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche
Articolo 23
Diritto di opposizione
Articolo 24
Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
Il paragrafo 1 non si applica nel caso in cui la decisione:
sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e il titolare del trattamento;
sia autorizzata dal diritto dell’Unione, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e degli interessi legittimi dell’interessato; oppure
si basi sul consenso esplicito dell’interessato.
SEZIONE 5
Limitazioni
Articolo 25
Limitazioni
Gli atti giuridici adottati sulla base dei trattati oppure, per le questioni relative al funzionamento delle istituzioni e degli organi dell’Unione, le norme interne stabilite da questi ultimi possono limitare l’applicazione degli articoli da 14 a 22 e degli articoli 35 e 36, nonché dell’articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:
la sicurezza nazionale, la sicurezza pubblica o la difesa degli Stati membri;
la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;
altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare gli obiettivi della politica estera e di sicurezza comune dell’Unione o un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale;
la sicurezza interna delle istituzioni e degli organi dell’Unione, inclusa quella delle loro reti di comunicazione elettronica;
la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari;
le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;
una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a) a c);
la tutela dell’interessato o dei diritti e delle libertà altrui;
l’esecuzione delle azioni civili.
In particolare, gli atti giuridici o le norme interne di cui al paragrafo 1 contengono disposizioni specifiche riguardanti, se del caso:
le finalità del trattamento o delle categorie di trattamento;
le categorie di dati personali;
la portata delle limitazioni introdotte;
le garanzie per prevenire abusi o l’accesso o il trasferimento illeciti;
l’indicazione precisa del titolare del trattamento o delle categorie di titolari;
i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento; e
i rischi per i diritti e le libertà degli interessati.
CAPO IV
TITOLARE DEL TRATTAMENTO E RESPONSABILE DEL TRATTAMENTO
SEZIONE 1
Obblighi generali
Articolo 26
Responsabilità del titolare del trattamento
Articolo 27
Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
Articolo 28
Contitolari del trattamento
Articolo 29
Responsabile del trattamento
I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:
tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
adotti tutte le misure richieste ai sensi dell’articolo 33;
rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 33 a 41, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e
metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
Articolo 30
Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
Articolo 31
Registri delle attività di trattamento
Ogni titolare del trattamento tiene un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
il nome e i dati di contatto del titolare del trattamento, del responsabile della protezione dei dati e, ove applicabile, del responsabile del trattamento e del contitolare del trattamento;
le finalità del trattamento;
una descrizione delle categorie di interessati e delle categorie di dati personali;
le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di Stati membri, paesi terzi od organizzazioni internazionali;
ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;
ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 33.
Ogni responsabile del trattamento tiene un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:
il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento e del responsabile della protezione dei dati;
le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;
ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 33.
Articolo 32
Cooperazione con il Garante europeo della protezione dei dati;
Le istituzioni e gli organi dell’Unione collaborano, su richiesta, con il Garante europeo della protezione dei dati nello svolgimento dei suoi compiti.
SEZIONE 2
Sicurezza dei dati personali
Articolo 33
Sicurezza del trattamento
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
la pseudonimizzazione e la cifratura dei dati personali;
la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Articolo 34
Notifica di una violazione dei dati personali al Garante europeo della protezione dei dati
La notifica di cui al paragrafo 1 deve almeno:
descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
comunicare il nome e i dati di contatto del responsabile della protezione dei dati;
descrivere le probabili conseguenze della violazione dei dati personali;
descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Articolo 35
Comunicazione di una violazione dei dati personali all’interessato
Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:
il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
SEZIONE 3
Riservatezza delle comunicazioni elettroniche
Articolo 36
Riservatezza delle comunicazioni elettroniche
Le istituzioni e gli organi dell’Unione garantiscono la riservatezza delle comunicazioni elettroniche, in particolare proteggendo le proprie reti di comunicazione elettronica.
Articolo 37
Tutela delle informazioni trasmesse relative all’apparecchiatura terminale degli utenti, nonché conservate, elaborate e raccolte dalla stessa
Le istituzioni e gli organi dell’Unione tutelano le informazioni trasmesse all’apparecchiatura terminale degli utenti, conservate nell’apparecchiatura terminale degli utenti, relative all’apparecchiatura terminale degli utenti, elaborate dall’apparecchiatura terminale degli utenti e raccolte dall’apparecchiatura terminale degli utenti che accede ai loro siti web e alle applicazioni per dispositivi mobili a disposizione del pubblico, in ottemperanza all’articolo 5, paragrafo 3, della direttiva 2002/58/CE.
Articolo 38
Elenchi di utenti
SEZIONE 4
Valutazione d’impatto sulla protezione dei dati e consultazione preventiva
Articolo 39
Valutazione d’impatto sulla protezione dei dati
La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 10, o di dati relativi a condanne penali e a reati di cui all’articolo 11; oppure
la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
La valutazione contiene almeno:
una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento;
una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Articolo 40
Consultazione preventiva
Al momento di consultare il Garante europeo della protezione dei dati ai sensi del paragrafo 1, il titolare del trattamento comunica al Garante europeo della protezione dei dati:
ove applicabile, le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei responsabili del trattamento;
le finalità e i mezzi del trattamento previsto;
le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del presente regolamento;
i dati di contatto del responsabile della protezione dei dati;
la valutazione d’impatto sulla protezione dei dati di cui all’articolo 39; e
ogni altra informazione richiesta dal Garante europeo della protezione dei dati.
SEZIONE 5
Informazioni e consultazione legislativa
Articolo 41
Informazione e consultazione
Articolo 42
Consultazione legislativa
SEZIONE 6
Responsabile della protezione dei dati
Articolo 43
Designazione del responsabile della protezione dei dati
Articolo 44
Posizione del responsabile della protezione dei dati
Articolo 45
Compiti del responsabile della protezione dei dati
Il responsabile della protezione dei dati è incaricato dei seguenti compiti:
informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione relative alla protezione dei dati;
assicurare in modo indipendente l’applicazione interna del presente regolamento; sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione applicabili relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
garantire che gli interessati siano informati dei propri diritti e obblighi ai sensi del presente regolamento;
fornire, se richiesto, un parere in merito alla necessità di notificare o comunicare una violazione dei dati personali a norma degli articoli 34 e 35;
fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento a norma dell’articolo 39 e consultare il Garante europeo della protezione dei dati in caso di dubbi sulla necessità di una valutazione d’impatto sulla protezione dei dati;
fornire, se richiesto, un parere in merito alla necessità di una consultazione preventiva del Garante europeo della protezione dei dati a norma dell’articolo 40; consultare il Garante europeo della protezione dei dati in caso di dubbi sulla necessità di una consultazione preventiva;
rispondere alle richieste del Garante europeo della protezione dei dati; nell’ambito delle sue competenze, cooperare e consultarsi con il Garante europeo della protezione dei dati su richiesta di quest’ultimo o di propria iniziativa;
garantire che i trattamenti non arrechino pregiudizio ai diritti e alle libertà degli interessati.
CAPO V
TRASFERIMENTI DI DATI PERSONALI VERSO PAESI TERZI O ORGANIZZAZIONI INTERNAZIONALI
Articolo 46
Principio generale per il trasferimento
Qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento. Tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato.
Articolo 47
Trasferimento sulla base di una decisione di adeguatezza
Articolo 48
Trasferimento soggetto a garanzie adeguate
Possono costituire garanzie adeguate di cui al paragrafo 1 senza necessitare di autorizzazioni specifiche da parte del Garante europeo della protezione dei dati:
uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;
le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 96, paragrafo 2;
le clausole tipo di protezione dei dati adottate dal Garante europeo della protezione dei dati e approvate dalla Commissione secondo la procedura d’esame di cui all’articolo 96, paragrafo 2;
qualora il responsabile del trattamento non sia un’istituzione o un organo dell’Unione, le norme vincolanti d’impresa, i codici di condotta o i meccanismi di certificazione ai sensi dell’articolo 46, paragrafo 2, lettere b), e) ed f), del regolamento (UE) 2016/679.
Fatta salva l’autorizzazione del Garante europeo della protezione dei dati, possono altresì costituire in particolare garanzie adeguate di cui al paragrafo 1:
le clausole contrattuali tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell’organizzazione internazionale; oppure
le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati.
Articolo 49
Trasferimento o comunicazione non autorizzati dal diritto dell’Unione
Le sentenze di un’autorità giurisdizionale e le decisioni di un’autorità amministrativa di un paese terzo che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento possono essere riconosciute o assumere qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione, ad esempio un trattato di mutua assistenza giudiziaria, fatti salvi gli altri presupposti di trasferimento a norma del presente capo.
Articolo 50
Deroghe in specifiche situazioni
In mancanza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 o dell’articolo 36, paragrafo 3, della direttiva (UE) 2016/680, o di garanzie adeguate ai sensi dell’articolo 48 del presente regolamento, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale soltanto se si verifica una delle seguenti condizioni:
l’interessato ha esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
il trasferimento è necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
il trasferimento è necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
il trasferimento è necessario per importanti motivi di interesse pubblico;
il trasferimento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
il trasferimento è necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso; oppure
il trasferimento è effettuato a partire da un registro che, a norma del diritto dell’Unione, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un interesse legittimo, ma solo purché sussistano i requisiti per la consultazione previsti dal diritto dell’Unione.
Articolo 51
Cooperazione internazionale per la protezione dei dati personali
In relazione ai paesi terzi e alle organizzazioni internazionali, il Garante europeo della protezione dei dati, in cooperazione con la Commissione e il comitato europeo per la protezione dei dati, adotta misure appropriate per:
sviluppare meccanismi di cooperazione internazionale per facilitare l’applicazione efficace della legislazione sulla protezione dei dati personali;
prestare assistenza reciproca a livello internazionale nell’applicazione della legislazione sulla protezione dei dati personali, in particolare mediante notificazione, deferimento dei reclami, assistenza alle indagini e scambio di informazioni, fatte salve garanzie adeguate per la protezione dei dati personali e gli altri diritti e libertà fondamentali;
coinvolgere le parti interessate pertinenti in discussioni e attività dirette a promuovere la cooperazione internazionale nell’applicazione della legislazione sulla protezione dei dati personali;
promuovere lo scambio e la documentazione delle legislazioni e prassi in materia di protezione dei dati personali, compresi i conflitti di giurisdizione con paesi terzi.
CAPO VI
GARANTE EUROPEO DELLA PROTEZIONE DEI DATI
Articolo 52
Garante europeo della protezione dei dati
Articolo 53
Nomina del Garante europeo della protezione dei dati
Le funzioni del Garante europeo della protezione dei dati cessano nei seguenti casi:
se il Garante europeo della protezione dei dati è sostituito;
se il Garante europeo della protezione dei dati si dimette;
se il Garante europeo della protezione dei dati è rimosso o collocato a riposo d’ufficio.
Articolo 54
Statuto e condizioni generali di esercizio delle funzioni di Garante europeo della protezione dei dati, risorse umane e finanziarie
Articolo 55
Indipendenza
Articolo 56
Segreto professionale
Durante e dopo il mandato, il Garante europeo della protezione dei dati ed il personale alle sue dipendenze sono tenuti al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso durante l’esercizio delle loro funzioni.
Articolo 57
Compiti
Fatti salvi gli altri compiti indicati nel presente regolamento, il Garante europeo della protezione dei dati:
sorveglia e garantisce l’applicazione del presente regolamento da parte delle istituzioni e degli organi dell’Unione, fatta eccezione per il trattamento di dati personali da parte della Corte di giustizia nell’esercizio delle sue funzioni giurisdizionali;
promuove la consapevolezza e favorisce la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento. Sono oggetto di particolare attenzione le attività destinate specificamente ai minori;
promuove la consapevolezza dei titolari del trattamento e dei responsabili del trattamento riguardo agli obblighi imposti loro dal presente regolamento;
su richiesta, fornisce informazioni all’interessato in merito all’esercizio dei propri diritti derivanti dal presente regolamento e, se del caso, coopera a tal fine con le autorità di controllo nazionali;
▼C1
tratta i reclami proposti da un interessato, o da un organismo, un’organizzazione o un’associazione ai sensi dell’articolo 67, e svolge le indagini opportune sull’oggetto del reclamo e informa il reclamante dello stato di avanzamento e dell’esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un’altra autorità di controllo;
▼B
svolge indagini sull’applicazione del presente regolamento, anche sulla base di informazioni ricevute da un’altra autorità di controllo o da un’altra autorità pubblica;
fornisce, di propria iniziativa o su richiesta, consulenza alle istituzioni e agli organi dell’Unione in merito alle misure legislative e amministrative relative alla protezione dei diritti e delle libertà delle persone fisiche in relazione al trattamento dei dati personali;
sorveglia gli sviluppi che presentano un interesse, se e in quanto incidenti sulla protezione dei dati personali, in particolare l’evoluzione delle tecnologie dell’informazione e della comunicazione;
adotta le clausole contrattuali tipo di cui all’articolo 29, paragrafo 8, e all’articolo 48, paragrafo 2, lettera c);
redige e tiene un elenco in relazione al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 39, paragrafo 4;
partecipa alle attività del comitato europeo per la protezione dei dati;
espleta i compiti di segreteria per il comitato europeo per la protezione dei dati, a norma dell’articolo 75 del regolamento (UE) 2016/679;
fornisce consulenza in merito al trattamento di cui all’articolo 40, paragrafo 2;
autorizza le clausole contrattuali e le altre disposizioni di cui all’articolo 48, paragrafo 3;
tiene registri interni delle violazioni del presente regolamento e delle misure adottate in conformità dell’articolo 58, paragrafo 2;
svolge qualsiasi altro compito legato alla protezione dei dati personali; e
adotta il proprio regolamento interno.
Articolo 58
Poteri
Il Garante europeo della protezione dei dati dispone dei seguenti poteri di indagine:
ingiungere al titolare del trattamento e al responsabile del trattamento di fornirgli ogni informazione di cui necessiti per l’esecuzione dei suoi compiti;
condurre indagini sotto forma di attività di revisione sulla protezione dei dati;
notificare al titolare del trattamento o al responsabile del trattamento le presunte violazioni del presente regolamento;
ottenere, dal titolare del trattamento o dal responsabile del trattamento, l’accesso a tutti i dati personali e a tutte le informazioni necessarie per l’esecuzione dei suoi compiti; e
ottenere accesso a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell’Unione.
Il Garante europeo della protezione dei dati dispone dei seguenti poteri correttivi:
rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento;
rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento;
interpellare il titolare del trattamento o il responsabile del trattamento in questione e, se necessario, il Parlamento europeo, il Consiglio e la Commissione;
ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti che gli derivano dal presente regolamento;
ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;
ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali;
imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
ordinare la rettifica o la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 18, 19 e 20 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell’articolo 19, paragrafo 2, e dell’articolo 21;
infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 66, in caso di inosservanza da parte di un’istituzione o un organo dell’Unione di una delle misure di cui al presente paragrafo, lettere da d) ad h) e lettera j), in funzione delle circostanze di ogni singolo caso;
ordinare la sospensione dei flussi di dati verso un destinatario in uno Stato membro, in un paese terzo o verso un’organizzazione internazionale.
Il Garante europeo della protezione dei dati dispone dei seguenti poteri autorizzativi e consultivi:
fornire consulenza agli interessati in merito all’esercizio dei loro diritti;
fornire consulenza al titolare del trattamento secondo la procedura di consultazione preventiva di cui all’articolo 40 e in conformità dell’articolo 41, paragrafo 2;
rilasciare, di propria iniziativa o su richiesta, pareri alle istituzioni e agli organi dell’Unione e al pubblico su questioni riguardanti la protezione dei dati personali;
adottare le clausole tipo di protezione dei dati di cui all’articolo 29, paragrafo 8, e all’articolo 48, paragrafo 2, lettera c);
autorizzare le clausole contrattuali di cui all’articolo 48, paragrafo 3, lettera a);
autorizzare gli accordi amministrativi di cui all’articolo 48, paragrafo 3, lettera b);
autorizzare trattamenti ai sensi degli atti di esecuzione adottati a norma dell’articolo 40, paragrafo 4.
Articolo 59
Obbligo dei titolari del trattamento e dei responsabili del trattamento di rispondere ai rilievi
Qualora il Garante europeo della protezione dei dati eserciti i poteri di cui all’articolo 58, paragrafo 2, lettere a), b) e c), il titolare del trattamento o il responsabile del trattamento gli comunica il proprio punto di vista entro un termine ragionevole fissato dal Garante europeo della protezione dei dati, tenendo conto delle circostanze di ciascun caso. Il parere comprende anche una descrizione degli eventuali provvedimenti presi a seguito delle osservazioni del Garante europeo della protezione dei dati.
Articolo 60
Rapporto sulle attività
CAPO VII
COOPERAZIONE E COERENZA
Articolo 61
Cooperazione tra il Garante europeo della protezione dei dati e le autorità di controllo nazionali
Il Garante europeo per la protezione dei dati le autorità di controllo nazionali e l’autorità comune di controllo istituita dall’articolo 25 della decisione 2009/917/GAI del Consiglio ( 5 ) cooperano nella misura necessaria all’esecuzione delle rispettive funzioni, in particolare fornendosi reciprocamente informazioni pertinenti, chiedendosi reciprocamente di esercitare i rispettivi poteri e rispondendo alle reciproche richieste.
Articolo 62
Controllo coordinato del Garante europeo della protezione dei dati e delle autorità di controllo nazionali
CAPO VIII
MEZZI DI RICORSO, RESPONSABILITÀ E SANZIONI
Articolo 63
Diritto di proporre reclamo al Garante europeo della protezione dei dati
▼C1
▼B
Articolo 64
Diritto a un ricorso giurisdizionale effettivo
Articolo 65
Diritto al risarcimento
Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dall’istituzione o dall’organo dell’Unione, fatte salve le condizioni previste dai trattati.
Articolo 66
Sanzioni amministrative pecuniarie
Il Garante europeo della protezione dei dati può imporre sanzioni amministrative pecuniarie alle istituzioni e agli organi dell’Unione, a seconda delle circostanze di ciascun caso, qualora un’istituzione o un organo dell’Unione non rispetti un ordine del Garante europeo della protezione dei dati emesso ai sensi dell’articolo 58, paragrafo 2, lettere da d) a h) e j). Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso, si tiene debito conto dei seguenti elementi:
la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi e il livello del danno da essi subito;
le misure adottate dall’istituzione o dall’organo dell’Unione per attenuare il danno subito dagli interessati;
il grado di responsabilità dell’istituzione o dell’organo dell’Unione tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 27 e 33;
eventuali precedenti violazioni analoghe commesse dall’istituzione o dall’organo dell’Unione;
il grado di cooperazione con il Garante europeo della protezione dei dati al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
le categorie di dati personali interessate dalla violazione;
la maniera in cui il Garante europeo della protezione dei dati ha preso conoscenza della violazione, in particolare se e in che misura l’istituzione o l’organo dell’Unione ha notificato la violazione;
il rispetto di qualsiasi provvedimento di cui all’articolo 58 precedentemente disposto nei confronti dell’istituzione o dell’organo dell’Unione in questione relativamente allo stesso oggetto. Il procedimento che porta all’imposizione di tali sanzioni pecuniarie si svolge in tempi ragionevoli in funzione delle circostanze del caso e tenendo conto delle pertinenti azioni e procedimenti di cui all’articolo 69.
Le violazioni delle seguenti disposizioni da parte delle istituzioni o degli organi dell’Unione sono soggette, conformemente al paragrafo 1, a sanzioni amministrative pecuniarie fino a 50 000 EUR per violazione e fino a un massimo di 500 000 EUR all’anno:
i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 4, 5, 7 e 10;
i diritti degli interessati a norma degli articoli da 14 a 24;
i trasferimenti di dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale a norma degli articoli da 46 a 50.
Articolo 67
Rappresentanza degli interessati
L’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro che siano debitamente costituiti secondo il diritto dell’Unione o di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati in relazione alla protezione dei dati personali di proporre il reclamo al Garante europeo della protezione dei dati per suo conto e di esercitare per suo conto i diritti di cui agli articoli 63 e 64 nonché il diritto di ottenere il risarcimento di cui all’articolo 65.
Articolo 68
Reclami del personale dell’Unione
Qualsiasi persona alle dipendenze di un’istituzione o di un organo dell’Unione può proporre un reclamo al Garante europeo della protezione dei dati anche senza seguire la via gerarchica per un’asserita violazione delle norme del presente regolamento. Nessun pregiudizio può derivare ad alcuno per il fatto di aver presentato al Garante europeo della protezione dei dati un reclamo relativo a un’asserita violazione.
Articolo 69
Sanzioni
Il funzionario o altro agente dell’Unione che, volontariamente o per negligenza, non assolva agli obblighi previsti dal presente regolamento è passibile di provvedimenti disciplinari o di altro tipo, secondo le norme e le procedure previste dallo statuto.
CAPO IX
TRATTAMENTO DEI DATI PERSONALI OPERATIVI DA PARTE DEGLI ORGANI E DEGLI ORGANISMI DELL’UNIONE NELL’ESERCIZIO DI ATTIVITÀ RIENTRANTI NELL’AMBITO DI APPLICAZIONE DELLA PARTE TERZA, TITOLO V, CAPO 4 O CAPO 5, TFUE
Articolo 70
Ambito di applicazione del presente capo
Il presente capo si applica solo al trattamento dei dati personali operativi da parte di organi e organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE, fatte salve le norme specifiche in materia di protezione dei dati applicabili a tali organi o organismi dell’Unione.
Articolo 71
Principi applicabili al trattamento dei dati personali operativi
I dati personali operativi sono:
trattati in modo lecito e corretto («liceità e correttezza»);
raccolti per finalità determinate, esplicite e legittime e trattati in modo non incompatibile con tali finalità («limitazione della finalità»);
adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati personali operativi inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati («limitazione della conservazione»);
trattati in modo da garantire un’adeguata sicurezza dei dati personali operativi, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Il trattamento da parte dello stesso o di un altro titolare del trattamento per una qualsiasi delle finalità stabilite nell’atto giuridico istitutivo dell’istituzione, dell’organo o dell’organismo dell’Unione diversa da quella per cui sono raccolti i dati personali operativi è consentito nella misura in cui:
il titolare del trattamento è autorizzato a trattare tali dati personali operativi per detta finalità conformemente al diritto dell’Unione; e
il trattamento è necessario e proporzionato a tale altra finalità conformemente al diritto dell’Unione.
Articolo 72
Liceità del trattamento dei dati personali operativi
Articolo 73
Distinzione tra diverse categorie di interessati
Il titolare del trattamento, se del caso e nella misura del possibile, opera una chiara distinzione tra i dati personali operativi delle diverse categorie di interessati, quali le categorie elencate negli atti giuridici istitutivi degli organi e degli organismi dell’Unione.
Articolo 74
Distinzione tra i dati personali operativi e verifica della qualità dei dati personali operativi
Articolo 75
Condizioni di trattamento specifiche
Articolo 76
Trattamento di categorie particolari di dati personali operativi
Articolo 77
Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
Articolo 78
Comunicazioni e modalità per l’esercizio dei diritti dell’interessato
Articolo 79
Informazioni da rendere disponibili o da fornire all’interessato
Il titolare del trattamento mette a disposizione dell’interessato almeno le informazioni seguenti:
l’identità e i dati di contatto dell’organo o dell’organismo dell’Unione;
i dati di contatto del responsabile della protezione dei dati;
le finalità del trattamento cui sono destinati i dati personali operativi;
il diritto di proporre reclamo al Garante europeo della protezione dei dati e i suoi dati di contatto;
l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali operativi e la loro rettifica o cancellazione e la limitazione del trattamento dei dati personali operativi che lo riguardano.
In aggiunta alle informazioni di cui al paragrafo 1, il titolare del trattamento fornisce all’interessato, in casi specifici previsti dal diritto dell’Unione, le seguenti ulteriori informazioni per consentire l’esercizio dei diritti dell’interessato:
la base giuridica per il trattamento;
il periodo di conservazione dei dati personali operativi oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
se del caso, le categorie di destinatari dei dati personali operativi, anche in paesi terzi o in seno a organizzazioni internazionali;
se necessario, ulteriori informazioni, in particolare nel caso in cui i dati personali operativi siano raccolti all’insaputa dell’interessato.
Il titolare del trattamento può ritardare, limitare o escludere la comunicazione di informazioni all’interessato ai sensi del paragrafo 2 nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e degli interessi legittimi della persona fisica interessata, al fine di:
non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;
non compromettere la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali;
proteggere la sicurezza pubblica degli Stati membri;
proteggere la sicurezza nazionale degli Stati membri;
proteggere i diritti e le libertà di altri, inclusi le vittime e i testimoni.
Articolo 80
Diritto di accesso dell’interessato
L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali operativi che lo riguardano e, in tal caso, ha il diritto di ottenere l’accesso ai dati personali operativi e alle informazioni seguenti:
le finalità e la base giuridica del trattamento;
le categorie di dati personali operativi in questione;
i destinatari o le categorie di destinatari a cui i dati personali operativi sono stati comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
quando possibile, il periodo di conservazione dei dati personali operativi previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o cancellazione dei dati personali operativi o la limitazione del trattamento dei dati personali operativi che lo riguardano;
il diritto di proporre reclamo al Garante europeo della protezione dei dati e i suoi dati di contatto;
la comunicazione dei dati personali operativi oggetto del trattamento e di tutte le informazioni disponibili sulla loro origine.
Articolo 81
Limitazioni del diritto di accesso
Il titolare del trattamento può limitare, in tutto o in parte, il diritto di accesso dell’interessato nella misura e per il tempo in cui tale limitazione totale o parziale costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e degli interessi legittimi della persona fisica interessata, al fine di:
non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;
non compromettere la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali;
proteggere la sicurezza pubblica degli Stati membri;
proteggere la sicurezza nazionale degli Stati membri;
proteggere i diritti e le libertà di altri, inclusi le vittime e i testimoni.
Articolo 82
Diritto di rettifica o cancellazione di dati personali operativi e limitazione di trattamento
Anziché cancellare, il titolare del trattamento limita il trattamento quando:
l’esattezza dei dati personali è contestata dall’interessato e la loro esattezza o inesattezza non può essere accertata; oppure
i dati personali devono essere conservati a fini probatori.
Quando il trattamento è limitato a norma del primo comma, lettera a), il titolare del trattamento informa l’interessato prima di revocare la limitazione del trattamento.
I dati ai quali l’accesso è limitato sono trattati per la sola finalità che ne ha impedito la cancellazione.
Il titolare del trattamento informa per iscritto l’interessato dell’eventuale rifiuto di rettifica o cancellazione dei dati personali operativi o limitazione del trattamento e dei motivi del rifiuto. Il titolare del trattamento può limitare, in tutto o in parte, il rilascio di tali informazioni nella misura in cui tale limitazione costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e degli interessi legittimi della persona fisica interessata, al fine di:
non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;
non compromettere la prevenzione, l’indagine, l’accertamento o il perseguimento di reati o l’esecuzione di sanzioni penali;
proteggere la sicurezza pubblica degli Stati membri;
proteggere la sicurezza nazionale degli Stati membri;
proteggere i diritti e le libertà di altri, inclusi le vittime e i testimoni.
Il titolare del trattamento informa l’interessato della possibilità di proporre reclamo al Garante europeo della protezione dei dati e di proporre ricorso giurisdizionale dinanzi alla Corte di giustizia.
Articolo 83
Diritto di accesso nel corso di indagini e procedimenti penali
Quando i dati personali operativi provengono da un’autorità competente, gli organi e gli organismi dell’Unione verificano con l’autorità competente interessata, prima di decidere sul diritto di accesso di un interessato, se tali dati personali figurano in una decisione giudiziaria, in un casellario o in un fascicolo giudiziario oggetto di trattamento nel corso di un’indagine e di un procedimento penale nello Stato membro dell’autorità competente in questione. In caso affermativo, la decisione sul diritto di accesso è adottata in consultazione e in stretta cooperazione con l’autorità competente in questione.
Articolo 84
Esercizio dei diritti da parte dell’interessato e verifica da parte del Garante europeo della protezione dei dati
Articolo 85
Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
Articolo 86
Contitolari del trattamento
Articolo 87
Responsabile del trattamento
I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o del diritto degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali operativi e le categorie di interessati, nonché gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:
agisca soltanto su istruzione del titolare del trattamento;
garantisca che le persone autorizzate al trattamento dei dati personali operativi si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
assista il titolare del trattamento con ogni mezzo adeguato per garantire la conformità con le disposizioni relative ai diritti dell’interessato;
su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali operativi dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o il diritto degli Stati membri preveda la conservazione dei dati personali operativi;
metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo;
soddisfi le condizioni di cui al paragrafo 2 e al presente paragrafo per ricorrere a un altro responsabile del trattamento.
Articolo 88
Registrazione
Articolo 89
Valutazione d’impatto sulla protezione dei dati
Articolo 90
Consultazione preventiva del Garante europeo della protezione dei dati
Il titolare del trattamento consulta il Garante europeo della protezione dei dati prima del trattamento di dati personali che figureranno in un nuovo archivio di prossima creazione se:
una valutazione d’impatto sulla protezione dei dati a norma dell’articolo 89 indica che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio; oppure
il tipo di trattamento, in particolare se utilizza tecnologie, procedure o meccanismi nuovi, presenta un rischio elevato per i diritti e le libertà degli interessati.
Articolo 91
Sicurezza del trattamento dei dati personali operativi
In relazione al trattamento automatizzato, titolare del trattamento e il responsabile del trattamento, previa valutazione dei rischi, mettono in atto misure volte a:
vietare alle persone non autorizzate l’accesso alle attrezzature di trattamento dei dati utilizzate per il trattamento («controllo dell’accesso alle attrezzature»);
impedire che i supporti di dati siano letti, copiati, modificati o rimossi senza autorizzazione («controllo dei supporti di dati»);
impedire che dati personali operativi conservati siano introdotti, consultati, modificati o cancellati senza autorizzazione («controllo della conservazione»);
impedire che persone non autorizzate utilizzino sistemi di trattamento automatizzato mediante attrezzature per la trasmissione di dati («controllo dell’utente»);
garantire che le persone autorizzate a usare un sistema di trattamento automatizzato abbiano accesso solo ai dati personali operativi cui si riferisce la loro autorizzazione d’accesso («controllo dell’accesso ai dati»);
garantire la possibilità di verificare e accertare gli organi ai quali siano stati o possano essere trasmessi o resi disponibili i dati personali operativi utilizzando la trasmissione di dati («controllo della trasmissione»);
garantire la possibilità di verificare e accertare a posteriori quali dati personali operativi sono stati introdotti nei sistemi di trattamento automatizzato dei dati personali operativi, il momento dell’introduzione e la persona che l’ha effettuata («controllo dell’introduzione»);
impedire che i dati personali possano essere letti, copiati, modificati o cancellati in modo non autorizzato durante i trasferimenti di dati personali operativi o il trasporto di supporti di dati («controllo del trasporto»);
garantire che, in caso di interruzione, i sistemi utilizzati possano essere ripristinati («recupero»);
garantire che le funzioni del sistema siano operative, che eventuali errori di funzionamento siano segnalati («affidabilità») e che i dati personali operativi conservati non possano essere falsati da un errore di funzionamento del sistema («integrità»).
Articolo 92
Notifica di una violazione dei dati personali al Garante europeo della protezione dei dati
La notifica di cui al paragrafo 1 deve almeno:
descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali operativi in questione;
comunicare il nome e i dati di contatto del responsabile della protezione dei dati;
descrivere le probabili conseguenze della violazione dei dati personali;
descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Articolo 93
Comunicazione di una violazione dei dati personali all’interessato
Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:
il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali operativi oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
Articolo 94
Trasferimento dei dati personali operativi a paesi terzi e a organizzazioni internazionali
Fatte salve le limitazioni e le condizioni stabilite negli atti giuridici istitutivi dell’organo o dell’organismo dell’Unione, il titolare del trattamento può trasferire i dati personali operativi a un’autorità di un paese terzo o a un’organizzazione internazionale nella misura in cui tale trasferimento è necessario per lo svolgimento delle attività del titolare del trattamento e soltanto se sono soddisfatte le condizioni di cui al presente articolo, vale a dire:
la Commissione ha adottato una decisione di adeguatezza ai sensi dell’articolo 36, paragrafo 3, della direttiva (UE) 2016/680, che sancisca che il paese terzo o un territorio o un settore di trattamento all’interno di tale paese terzo o l’organizzazione internazionale in questione garantisce un livello di protezione adeguato;
in assenza di una decisione di adeguatezza della Commissione a norma della lettera a), è stato concluso un accordo internazionale tra l’Unione e tale paese terzo o organizzazione internazionale ai sensi dell’articolo 218 TFUE, che presti garanzie sufficienti con riguardo alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone;
in assenza di una decisione di adeguatezza della Commissione a norma della lettera a) o di un accordo internazionale di cui alla lettera b), tra l’organo o l’organismo dell’Unione e il paese terzo in questione è stato concluso, prima della data di applicazione dell’atto giuridico istitutivo dell’organo o dell’organismo dell’Unione interessato, un accordo di cooperazione che consenta lo scambio di dati personali operativi.
Articolo 95
Segretezza delle indagini e dei procedimenti penali
Gli atti giuridici istitutivi degli organi o degli organismi dell’Unione che svolgono attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE possono prescrivere che il Garante europeo della protezione dei dati tenga nella massima considerazione, nell’esercizio dei suoi poteri di vigilanza, la segretezza delle indagini e dei procedimenti penali, in conformità del diritto dell’Unione o degli Stati membri.
CAPO X
ATTI DI ESECUZIONE
Articolo 96
Procedura di comitato
CAPO XI
RIESAME
Articolo 97
Clausola di riesame
Non oltre il 30 aprile 2022, e successivamente ogni cinque anni, la Commissione presenta al Parlamento europeo e al Consiglio una relazione sull’applicazione del presente regolamento, corredata, se necessario, di proposte legislative adeguate.
Articolo 98
Riesame degli atti giuridici dell’Unione
Entro il 30 aprile 2022 la Commissione riesamina gli atti giuridici adottati a norma dei trattati che disciplinano il trattamento dei dati personali operativi da parte degli organi o degli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE al fine di:
valutarne la coerenza con la direttiva (UE) 2016/680 e con il capo IX del presente regolamento;
individuare disparità che possano ostacolare lo scambio di dati personali operativi tra gli organi o gli organismi dell’Unione nell’esercizio di attività in tali ambiti e le autorità competenti; e
individuare divergenze che possano dare luogo a una frammentazione giuridica della legislazione in materia di protezione dei dati nell’Unione.
CAPO XII
DISPOSIZIONI FINALI
Articolo 99
Abrogazione del regolamento (CE) n. 45/2001 e della decisione n. 1247/2002/CE
Il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE sono abrogati a decorrere dall’11 dicembre 2018. I riferimenti al regolamento e alla decisione abrogati si intendono fatti al presente regolamento.
Articolo 100
Misure transitorie
Articolo 101
Entrata in vigore e applicazione
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Testo riprodotto dal repository dell'Ufficio delle pubblicazioni UE (consolidato 2018-11-21). Fa fede unicamente il testo pubblicato nella Gazzetta ufficiale.