|
Direttiva 95/46/CE - 24 ottobre 1995
Preambolo
Direttiva 95/46/CE del Parlamento Europeo e del Consiglio relativa alla tutela
delle persone fisiche con riguardo al trattamento dei dati personali, nonché
alla libera circolazione di tali dati.
Gazzetta Ufficiale n. 281 del 23/11/1995, pag. 0031-0050
IL PARLAMENTO EUROPEO
E IL CONSIGLIO DELL’UNIONE EUROPEA,
visto il trattato che istituisce la Comunità europea, in particolare l’articolo
100 A,
vista la proposta della Commissione (1),
visto il parere del Comitato economico e sociale (2),
deliberando conformemente alla procedura di cui all’articolo 189 B del trattato
(3),
(1) considerando che gli obiettivi della Comunità, enunciati nel trattato, come
è stato modificato dal trattato sull’Unione europea, consistono nel realizzare
un’unione sempre più stretta tra i popoli europei, nell’istituire relazioni più
strette tra gli Stati che la Comunità riunisce, nell’assicurare mediante
un’azione comune il progresso economico e sociale eliminando le barriere che
dividono l’Europa, nel promuovere il miglioramento costante delle condizioni di
vita delle sue popolazioni, nel preservare e rafforzare la pace e la libertà e
nel promuovere la democrazia basandosi sui diritti fondamentali sanciti dalle
costituzioni e dalle leggi degli Stati membri nonché dalla convenzione europea
di salvaguardia dei diritti dell’uomo e delle libertà fondamentali;
(2) considerando che i sistemi di trattamento dei dati sono al servizio
dell’uomo; che essi, indipendentemente dalla nazionalità o dalla residenza delle
persone fisiche, debbono rispettare le libertà e i diritti fondamentali delle
stesse, in particolare la vita privata, e debbono contribuire al progresso
economico e sociale, allo sviluppo degli scambi nonché al benessere degli
individui;
(3) considerando che l’instaurazione e il funzionamento del mercato interno, nel
quale, conformemente all’articolo 7 A del trattato, è assicurata la libera
circolazione delle merci, delle persone, dei servizi e dei capitali, esigono non
solo che i dati personali possano circolare liberamente da uno Stato membro
all’altro, ma che siano altresì salvaguardati i diritti fondamentali della
persona;
(4) considerando che nella Comunità si ricorre sempre più frequentemente al
trattamento di dati personali nei vari settori delle attività economiche e
sociali; che i progressi registrati dalle tecnologie dell’informazione
facilitano notevolmente il trattamento e lo scambio di tali dati;
(5) considerando che l’integrazione economica e sociale derivante
dall’instaurazione e dal funzionamento del mercato interno ai sensi
dell’articolo 7 A del trattato comporterà necessariamente un sensibile aumento
dei flussi transfrontalieri di dati personali tra tutti i soggetti della vita
economica e sociale degli Stati membri, siano essi privati o pubblici;
che lo scambio di dati personali tra imprese stabilite in Stati membri
differenti è destinato ad aumentare;
che le amministrazioni nazionali dei vari Stati membri debbono collaborare, in
applicazione del diritto comunitario, e scambiarsi i dati personali per poter
svolgere la loro funzione o esercitare compiti per conto di un’amministrazione
di un altro Stato membro, nell’ambito dello spazio senza frontiere costituito
dal mercato interno;
(6) considerando, inoltre, che il rafforzamento della cooperazione scientifica e
tecnica e la messa in opera coordinata di nuove reti di telecomunicazioni nella
Comunità richiedono e facilitano la circolazione transfrontaliera di dati
personali;
(7) considerando che il divario nei livelli di tutela dei diritti e delle
libertà personali, in particolare della vita privata, garantiti negli Stati
membri relativamente al trattamento di dati personali può impedire la
trasmissione dei dati stessi fra territori degli Stati membri e che tale divario
può pertanto costituire un ostacolo all’esercizio di una serie di attività
economiche su scala comunitaria, falsare la concorrenza e ostacolare,
nell’adempimento dei loro compiti, le amministrazioni che intervengono
nell’applicazione del diritto comunitario; che detto divario nel grado di tutela
deriva dalla diversità disposizioni legislative, regolamentari ed amministrative
nazionali;
(8) considerando che, per eliminare gli ostacoli alla circolazione dei dati
personali, il livello di tutela dei diritti e delle libertà delle persone
relativa- mente al trattamento di tali dati deve essere equivalente in tutti gli
Stati membri; che tale obiettivo, fondamentale per il mercato interno, non può
essere conseguito esclusivamente attraverso l’azione degli Stati membri, tenuto
conto in particolare dell’ampia divergenza esistente attualmente tra le
normative nazionali in materia e della necessità di coordinarle affinché il
flusso transfrontaliero di dati personali sia disciplinato in maniera coerente e
conforme all’obiettivo del mercato interno ai sensi dell’articolo 7 A del
trattato; che risulta pertanto necessario un intervento della Comunità ai fini
di un ravvicinamento delle legislazioni;
(9) considerando che, data la protezione equivalente derivante dal
ravvicinamento delle legislazioni nazionali, gli Stati membri non potranno più
ostacolare la libera circolazione tra loro di dati personali per ragioni
inerenti alla tutela dei diritti e delle libertà delle persone fisiche,
segnatamente del diritto alla vita privata; che gli Stati membri disporranno di
un margine di manovra di cui potranno valersi, nell’applicazione della
direttiva, i partner economici e sociali; che potranno quindi precisare nella
loro legislazione nazionale le condizioni generali di liceità dei trattamenti;
che così facendo gli Stati membri si adopereranno per migliorare la protezione
attualmente prevista dalle loro leggi; che, nei limiti di tale margine di
manovra e conformemente al diritto comunitario, potranno verificarsi divergenze
nell’applicazione della direttiva e che queste potranno ripercuotersi sulla
circolazione dei dati sia all’interno dello Stato membro che nelle Comunità;
(10) considerando che le legislazioni nazionali relative al trattamento dei dati
personali hanno lo scopo di garantire il rispetto dei diritti e delle libertà
fondamentali, in particolare del diritto alla vita privata, riconosciuto anche
dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti
dell’uomo e delle libertà fondamentali e dai principi generali del diritto
comunitario; che pertanto il ravvicinamento di dette legislazioni non deve avere
per effetto un indebolimento della tutela da esse assicurata ma deve anzi mirare
a garantire un elevato grado di tutela nella Comunità;
(11) considerando che i principi della tutela dei diritti e delle libertà delle
persone, in particolare del rispetto della vita privata, contenuti dalla
presente direttiva precisano ed ampliano quelli enunciati dalla convenzione del
28 gennaio 1981 del Consiglio d’Europa sulla protezione delle persone con
riferimento al trattamento automatizzato dei dati di carattere personale;
(12) considerando che i principi di tutela si devono applicare a tutti i
trattamenti di dati personali quando le attività del responsabile del
trattamento rientrano nel campo d’applicazione del diritto comunitario; che deve
essere escluso il trattamento di dati effettuato da una persona fisica
nell’esercizio di attività a carattere esclusivamente personale o domestico
quali la corrispondenza e la compilazione di elenchi di indirizzi;
(13) considerando che le attività previste dai titoli V e VI del trattato
sull’Unione europea attinenti alla pubblica sicurezza, alla difesa, alla
sicurezza dello Stato o alle attività dello Stato in materia di diritto penale
non rientrano nel campo d’applicazione del diritto comunitario, fatti salvi gli
obblighi che incombono agli Stati membri a norma dell’articolo 56, paragrafo 2,
dell’articolo 57 e 100 A del trattato; che il trattamento di dati personali che
è necessario alla salvaguardia del benessere economico dello Stato non rientra
nell’ambito della presente direttiva qualora il trattamento sia legato a
questioni di sicurezza dello Stato;
(14) considerando che la presente direttiva dovrebbe applicarsi al trattamento
dei dati in forma di suoni e immagini relativi a persone fisiche, vista la
notevole evoluzione in corso nella società dell’informazione delle tecniche per
captare, trasmettere, manipolare, registrare, conservare o comunicare siffatti
dati;
(15) considerando che il trattamento de suddetti dati rientra nella presente
direttiva soltanto se è automatizzato o se riguarda dati contenuti, o destinati
ad essere contenuti, in un archivio strutturato secondo criteri specifici
relativi alle persone, in modo da consentire un facile accesso ai dati personali
di cui trattasi;
(16) considerando che nel campo d’applicazione della presente direttiva non
rientra il trattamento di dati in forma di suoni e immagini, quali i dati di
controllo video, finalizzato alla pubblica sicurezza, alla difesa, alla
sicurezza dello Stato o all’esercizio di attività dello Stato nella sfera del
diritto penale o di altre attività che esulano dal campo d’applicazione del
diritto comunitario;
(17) considerando che, per quanto attiene al trattamento di suoni e immagini
finalizzato all’attività giornalistica o all’espressione letteraria o artistica,
in particolare del settore audiovisivo, i principi della direttiva hanno
un’applicazione limitata, conformemente a quanto dispone l’articolo 9;
(18) considerando che, onde evitare che una persona venga privata della tutela
cui ha diritto in forza della presente direttiva, è necessario che qualsiasi
trattamento di dati personali effettuato nella Comunità rispetti la legislazione
di uno degli Stati membri; che, a questo proposito, è opportuno assoggettare i
trattamenti effettuati da una persona che opera sotto l’autorità del
responsabile del trattamento stabilito in uno Stato membro alla legge di tale
Stato;
(19) considerando che lo stabilimento nel territorio di uno Stato membro implica
l’esercizio effettivo e reale dell’attività mediante un’organizzazione stabile;
che la forma giuridica di siffatto stabilimento, si tratti di una semplice
succursale o di una filiale dotata di personalità giuridica, non è il fattore
determinante a questo riguardo; che quando un unico responsabile del trattamento
è stabilito nel territorio di diversi Stati membri, in particolare per mezzo di
filiali, esso deve assicurare, segnatamente per evitare che le disposizioni
vengano eluse, che ognuno degli stabilimenti adempia gli obblighi previsti dalla
legge nazionale applicabile alle attività di ciascuno di essi;
(20) considerando che la tutela delle persone prevista dalla presente direttiva
non deve essere impedita dal fatto che il responsabile del trattamento sia
stabilito in un paese terzo; che, in tal caso, è opportuno che i trattamenti
effettuati siano disciplinati dalla legge dello Stato membro nel quale sono
ubicati i mezzi utilizzati per il trattamento in oggetto e che siano prese le
garanzie necessarie per consentire l’effettivo rispetto dei diritti e degli
obblighi previsti dalla presente direttiva;
(21) considerando che la presente direttiva lascia impregiudicate le norme di
territorialità applicabili in materia penale; (22) considerando che gli Stati
membri preciseranno, nella loro legislazione o in sede di applicazione delle
norme di attuazione della presente direttiva, i requisiti generali di liceità
del trattamento dei dati; che in particolare l’articolo 5, in combinato disposto
con gli articoli 7 e 8, consente agli Stati membri di prevedere,
indipendentemente dalle norme generali, condizioni particolari per il
trattamento dei dati in settori specifici e per le varie categorie di dati di
cui all’articolo 8;
(23) considerando che gli Stati membri sono autorizzati ad assicurare la messa
in opera della tutela delle persone sia mediante una legge generale relativa
alla tutela delle persone contro il trattamento dei dati personali, sia mediante
leggi settoriali, quali quelle relative ad esempio agli istituti di statistica;
(24) considerando che la presente direttiva lascia impregiudicate le normative
relative alla tutela delle persone giuridiche riguardo al trattamento dei dati
che le riguardano;
(25) considerando che i principi di tutela si esprimono, da un lato, nei vari
obblighi a carico delle persone, autorità pubbliche, imprese, agenzie o altri
organismi responsabili del trattamento, obblighi relativi in particolare alla
qualità dei dati, alla sicurezza tecnica, alla notificazione all’autorità di
controllo, alle circostanze in cui il trattamento può essere effettuato e,
dall’altro, nel diritto delle persone, i cui dati sono oggetto di trattamento,
di esserne informate, di poter accedere ai dati, e chiederne la rettifica, o di
opporsi al trattamento in talune circostanze;
(26) considerando che i principi della tutela si devono applicare ad ogni
informazione concernente una persona identificata o identificabile; che, per
determinare se una persona è identificabile, è opportuno prendere in
considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati
dal responsabile del trattamento o da altri per identificare detta persona; che
i principi della tutela non si applicano a dati resi anonimi in modo tale che la
persona interessata non è più identificabile;
che i codici di condotta ai sensi dell’articolo 27 possono costituire uno
strumento utile di orientamento sui mezzi grazie ai quali dati possano essere
resi anonimi e registrati in modo da rendere impossibile l’identificazione della
persona interessata;
(27) considerando che la tutela delle persone fisiche deve essere applicata al
trattamento dei dati sia automatizzato sia manuale; che la portata della tutela
non deve infatti dipendere dalle tecniche impiegate poiché, in caso contrario,
sussisterebbero gravi rischi di elusione delle disposizioni; che nondimeno,
riguardo al trattamento manuale, la presente direttiva si applica soltanto agli
archivi e non ai fascicoli non strutturati; che, in particolare, il contenuto di
un archivio deve essere strutturato secondo criteri specifici relativi alle
persone che consentano un facile accesso ai dati personali; che, in conformità
alla definizione dell’articolo 2, lettera c), i diversi criteri che determinano
gli elementi che costituiscono un insieme strutturato di dati personali, nonché
i diversi criteri in virtù dei quali un siffatto insieme è accessibile, possono
essere precisati dai singoli Stati membri; che i fascicoli o le serie di
fascicoli, nonché le rispettive copertine, non strutturati secondo criteri
specifici, non rientrano in nessun caso nel campo di applicazione della presente
direttiva;
(28) considerando che qualsivoglia trattamento di dati personali deve essere
eseguito lealmente e lecitamente nei confronti delle persone interessate;
che esso deve in particolare avere per oggetto dati adeguati, pertinenti e non
eccedenti rispetto alle finalità perseguite; che tali finalità devono essere
esplicite e legittime e specificate al momento della raccolta dei dati; che le
finalità dei trattamenti successivi alla raccolta non possono essere
incompatibili con quelle originariamente specificate;
(29) considerando che l’ulteriore trattamento di dati personali per scopi
storici, statistici o scientifici non è generalmente considerato incompatibile
con le finalità per le quali i dati erano stati preventivamente raccolti, purché
gli Stati membri forniscano adeguate garanzie; che tali garanzie devono
soprattutto impedire l’uso dei dati per l’adozione di misure o decisioni nei
confronti di singole persone;
(30) considerando che, per essere lecito, il trattamento di dati personali deve
essere inoltre basato sul consenso della persona interessata oppure deve essere
necessario ai fini della conclusione o dell’esecuzione di un contratto
vincolante per la persona interessata, oppure deve essere previsto dalla legge,
per l’esecuzione di un compito nell’interesse pubblico o per l’esercizio
dell’autorità pubblica, o nell’interesse legittimo di un singolo individuo, a
condizione che gli interessi o i diritti e le libertà della persona interessata
non abbiano la prevalenza;
che, segnatamente, per garantire un equilibrio degli interessi in causa, pur
assicurando una concorrenza effettiva, gli Stati membri possono precisare le
condizioni alle quali dati personali possono essere usati e comunicati a terzi
nell’ambito di attività lecite di gestione corrente delle imprese o di altri
organismi; che essi possono parimenti precisare le condizioni alle quali può
essere effettuata la comunicazione a terzi di dati personali a fini di
prospezione, sia che si tratti di invio di materiale pubblicitario che di invio
di materiale promosso da un’associazione a scopo benefico o da altre
associazioni o fondazioni, ad esempio a carattere politico, nel rispetto delle
disposizioni volte a consentire alle persone interessate di opporsi senza dover
fornire una motivazione e senza spese al trattamento dei dati che le riguardano;
(31) considerando che un trattamento di dati personali deve essere ugualmente
considerato lecito quando è effettuato per tutelare un interesse essenziale alla
vita della persona interessata;
(32) considerando che spetta alle legislazioni nazionali stabilire se il
responsabile del trattamento investito di un compito di interesse pubblico o
connesso all’esercizio di pubblici poteri debba essere una pubblica
amministrazione o un altro soggetto di diritto pubblico o di diritto privato,
quale un’associazione professionale;
(33) considerando che i dati che possono per loro natura ledere le libertà
fondamentali o la vita privata non dovrebbero essere oggetto di trattamento,
salvo esplicito consenso della persona interessata;
che tuttavia le deroghe a questo divieto devono essere espressamente previste
nei casi di necessità specifiche, segnatamente laddove il trattamento di tali
dati viene eseguito da persone assoggettate per legge all’obbligo del segreto
professionale per taluni fini connessi alla sanità o per le legittime attività
di talune associazioni o fondazioni il cui scopo consista nel permettere
l’esercizio delle libertà fondamentali;
(34) considerando che gli Stati membri devono anche essere autorizzati, quando
un motivo di interesse pubblico rilevante lo giustifichi, a derogare al divieto
di trattamento di categorie di dati di natura delicata in settori quali la
pubblica sanità e la protezione sociale - soprattutto al fine di assicurare la
qualità e la redditività per quanto riguarda le procedure per rispondere alle
richieste di prestazioni e servizi nell’ambito del regime di assicurazione
sanitaria -, la ricerca scientifica nonché le statistiche pubbliche; che spetta
loro tuttavia prevedere le garanzie appropriate e specifiche per tutelare i
diritti fondamentali e la vita privata delle persone;
(35) considerando inoltre che il trattamento di dati personali da parte di
pubbliche autorità per la realizzazione degli scopi, previsti dal diritto
costituzionale o dal diritto internazionale pubblico, di associazioni religiose
ufficialmente riconosciute viene effettuato per motivi di rilevante interesse
pubblico;
(36) considerando che, se nelle attività connesse con le elezioni il
funzionamento del sistema democratico rende necessaria, in alcuni Stati membri,
la raccolta da parte di partiti politici di dati sulle opinioni politiche delle
persone, può essere consentito il trattamento di siffatti dati per motivi di
interesse pubblico rilevante, purché siano stabilite garanzie appropriate;
(37) considerando che il trattamento di dati personali a scopi giornalistici o
di espressione artistica o letteraria, in particolare nel settore audiovisivo
deve beneficiare di deroghe o di limitazioni a determinate disposizioni della
presente direttiva ove sia necessario per conciliare i diritti fondamentali
della persona con la libertà di espressione ed in particolare la libertà di
ricevere o di comunicare informazioni, quale garantita in particolare
dall’articolo 10 della Convenzione europea per la salvaguardia dei diritti
dell’uomo e delle libertà fondamentali;
che pertanto, al fine di stabilire un equilibrio fra i diritti fondamentali, gli
Stati membri devono prevedere le deroghe e le limitazioni necessarie in materia
di misure generali concernenti la legittimità del trattamento di dati, di misure
relative al trasferimento di dati nei paesi terzi nonché di competenze degli
uffici preposti al controllo; che tuttavia ciò non dovrebbe permettere agli
Stati membri di prevedere deroghe alle misure di garanzia della sicurezza del
trattamento; che agli uffici preposti al controllo in tale settore dovrebbero
essere parimenti conferite almeno determinate competenze a posteriori, ad
esempio la competenza di pubblicare periodicamente una relazione o di adire
l’autorità giudiziaria;
(38) considerando che il trattamento leale dei dati presuppone che le persone
interessate possano conoscere l’esistenza del trattamento e disporre, quando i
dati che le riguardano sono forniti direttamente da loro, di un’informazione
effettiva e completa in merito alle circostanze della raccolta;
(39) considerando che alcuni trattamenti riguardano dati che il responsabile non
ha raccolto direttamente presso la persona interessata; che è peraltro possibile
che taluni dati siano legittimamente comunicati a terzi anche se tale
comunicazione non era stata prevista all’atto della raccolta dei dati presso la
persona interessata; che, in tutti questi casi, la persona interessata deve
essere informata al momento della registrazione dei dati o al massimo quando
essi sono comunicati per la prima volta a terzi;
(40) considerando che non è tuttavia necessario imporre tale obbligo se la
persona interessata è già informata; che, inoltre, tale obbligo non è previsto
se la registrazione o la comunicazione sono espressamente previste dalla legge
ovvero se informare la persona interessata risulta impossibile o implica uno
sforzo eccessivo, come può verificarsi per i trattamenti a fini storici,
statistici o scientifici;
che in questo caso si può tener conto del numero di persone interessate,
dell’antichità dei dati e delle eventuali misure di compensazione;
(41) considerando che una persona deve godere del diritto d’accesso ai dati che
la riguardano e che sono oggetto di trattamento, per poter verificare, in
particolare, la loro esattezza e la liceità del trattamento; che, per le stesse
ragioni, le persone devono avere inoltre il diritto di conoscere la logica su
cui si basa il trattamento automatizzato dei dati che le riguardano, perlomeno
nel caso delle decisioni automatizzate di cui all’articolo 15, paragrafo 1; che
tale diritto deve lasciare impregiudicati il segreto industriale e aziendale e
la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il
software; che ciò non dovrebbe comunque tradursi nel rifiuto di fornire
qualsiasi informazione alla persona interessata;
(42) considerando che gli Stati membri possono, a beneficio della persona
interessata o a tutela dei diritti e delle libertà altrui, limitare il diritto
d’accesso e d’informazione; che possono, ad esempio, precisare che l’accesso ai
dati medici è possibile soltanto per il tramite del personale sanitario;
(43) considerando che gli Stati membri possono altresì imporre analoghe
restrizioni al diritto di accesso e di informazione e ad alcuni obblighi del
responsabile del trattamento nella misura in cui tali restrizioni siano
necessarie per salvaguardare, ad esempio, la sicurezza nazionale, la difesa, la
pubblica sicurezza, importanti interessi economici o finanziari di uno Stato
membro o dell’Unione, nonché per indagini e procedimenti penali e in caso di
violazioni dell’etica delle professioni regolamentate;
che occorre elencare, a titolo di deroghe e restrizioni, i compiti di controllo,
di indagine o di regolamentazione necessari negli ultimi tre settori suindicati
relativamente alla pubblica sicurezza, agli interessi economici o finanziari e
alla repressione penale; che l’elenco dei compiti relativi a questi tre settori
lascia impregiudicata la legittimità delle deroghe e restrizioni giustificate da
ragioni di sicurezza di Stato e di difesa;
(44) considerando che gli Stati membri possono essere indotti, in forza di
disposizioni di diritto comunitario, a derogare alle disposizioni della presente
direttiva in materia di diritto d’accesso, di informazione delle persone e di
qualità dei dati, onde salvaguardare alcune delle finalità di cui sopra;
(45) considerando che, in caso di dati che potrebbero essere oggetto di un
trattamento lecito per ragioni di interesse pubblico, di esercizio dell’autorità
pubblica o di interesse legittimo di un singolo, qualsiasi persona interessata
dovrebbe comunque avere il diritto, per ragioni preminenti e legittime connesse
alla sua situazione particolare, di opporsi al trattamento dei dati che la
riguardano;
che gli Stati membri hanno tuttavia la facoltà di prevedere disposizioni
nazionali contrarie;
(46) considerando che la tutela dei diritti e delle libertà delle persone
interessate relativamente al trattamento di dati personali richiede l’adozione
di adeguate misure tecniche ed organizzative sia al momento della progettazione
che a quello dell’esecuzione del trattamento, in particolare per garantirne la
sicurezza ed impedire in tal modo qualsiasi trattamento non autorizzato; che
spetta agli Stati membri accertarsi che il responsabile del trattamento osservi
tali misure; che queste devono assicurare un adeguato livello di sicurezza,
tenuto conto delle conoscenze tecniche e dei costi dell’esecuzione rispetto ai
rischi che i trattamenti presentano e alla natura dei dati da proteggere;
(47) considerando che, laddove un messaggio contenente dati personali sia
trasmesso tramite un servizio di telecomunicazioni o di posta elettronica,
finalizzato unicamente alla trasmissione di siffatti messaggi, si considera, di
norma, responsabile del trattamento dei dati personali contenuti del messaggio
la persona che lo ha emanato e non la persona che presta il servizio di
trasmissione; che tuttavia le persone che prestano tali servizi sono di norma
considerate responsabili del trattamento dei dati personali supplementari
necessari per il funzionamento del servizio;
(48) considerando che la notificazione all’autorità di controllo ha lo scopo di
dare pubblicità alle finalità del trattamento ed alle sul principali
caratteristiche, per consentirne il controllo secondo le norme nazionali di
attuazione della presente direttiva;
(49) considerando che, al fine di evitare formalità amministrative improprie,
possono essere previste dagli Stati membri misure di esenzione dall’obbligo di
notificazione o di semplificazione di quest’ultima per i trattamenti che non
sono tali da recare pregiudizio ai diritti e alle libertà delle persone
interessate, purché siano conformi ad un atto adottato dallo Stato membro che ne
precisi i limiti;
che gli Stati membri possono analogamente prevedere esenzioni o semplificazioni
qualora una persona incaricata dal responsabile del trattamento si accerti che i
trattamenti effettuati non sono tali da ledere i diritti e le libertà delle
persone interessate;
che detto incaricato della protezione dei dati, dipendente o meno del
responsabile del trattamento, deve essere in grado di esercitare le sue funzioni
in modo del tutto indipendente;
(50) considerando che potrebbero essere previste esenzioni o semplificazioni per
i trattamenti il cui unico scopo sia la tenuta di registri finalizzati, ai sensi
del diritto nazionale, all’informazione del pubblico e aperti alla consultazione
del pubblico o di chiunque dimostri un interesse legittimo;
(51) considerando che il responsabile del trattamento beneficiario della
semplificazione o dell’esenzione dall’obbligo di notificazione non è tuttavia
dispensato da nessuno degli altri obblighi che gli incombono a norma della
presente direttiva;
(52) considerando che, in questo contesto, il controllo a posteriori da parte
delle autorità competenti deve essere ritenuto di norma sufficiente;
(53) considerando che, tuttavia, alcuni trattamenti possono presentare rischi
particolari per i diritti e le libertà delle persone interessate, per natura,
portata o finalità, quali quello di escludere una persona dal beneficio di un
diritto, di una prestazione o di un contratto, ovvero a causa dell’uso
particolare di una tecnologia nuova; che spetta agli Stati membri, se lo
vorranno, precisare tali rischi nella legislazione nazionale;
(54) considerando che il numero dei trattamenti che presentano tali rischi
particolari dovrebbe essere molto esiguo rispetto al totale dei trattamenti
effettuati nella società; che, per siffatti trattamenti, gli Stati membri devono
prevedere, prima che inizi il trattamento, un esame da parte dell’autorità di
controllo, o dell’incaricato della protezione dei dati in collaborazione con
essa; che a seguito di tale esame preliminare l’autorità di controllo può, in
base al diritto nazionale d’applicazione, formulare un parere o autorizzare il
trattamento dei dati; che detto esame può aver luogo anche durante il processo
di elaborazione di un provvedimento del Parlamento nazionale ovvero di un
provvedimento basato su tale provvedimento legislativo, in cui si definisca la
natura del trattamento e si precisino le garanzie appropriate;
(55) considerando che, in caso di violazione dei diritti delle persone
interessate da parte del responsabile del trattamento, le legislazioni nazionali
devono prevedere vie di ricorso giurisdizionale;
che i danni cagionati alle persone per effetto di un trattamento illecito devono
essere riparati dal responsabile del trattamento, il quale può essere esonerato
dalla propria responsabilità se prova che l’evento dannoso non gli è imputabile,
segnatamente quando dimostra l’esistenza di un errore della persona interessata
o un caso di forza maggiore;
che sanzioni debbono essere applicate nei confronti di qualsiasi soggetto di
diritto privato o di diritto pubblico che non rispetti le norme nazionali di
attuazione della presente direttiva;
(56) considerando che lo sviluppo degli scambi internazionali comporta
necessariamente il trasferimento oltre frontiera di dati personali; che la
tutela delle persone garantita nella Comunità dalla presente direttiva non osta
al trasferimento di dati personali verso paesi terzi che garantiscano un livello
di protezione adeguato; che l’adeguatezza della tutela offerta da un paese terzo
deve essere valutata in funzione di tutte le circostanze relative ad un
trasferimento o ad una categoria di trasferimenti;
(57) considerando, per contro, che deve essere vietato il trasferimento di dati
personali verso un paese terzo che non offre un livello di protezione adeguato;
(58) considerando che devono essere previste, in talune circostanze, deroghe a
tale divieto a condizione che la persona interessata vi abbia consentito, che il
trasferimento sia necessario in relazione ad un contratto o da un’azione legale,
oppure qualora il trasferimento sia necessario per la salvaguardia di un
interesse pubblico rilevante, per esempio in casi di scambi internazionali di
dati tra le amministrazioni fiscali o doganali oppure tra i servizi competenti
per la sicurezza sociale, o qualora il trasferimento avvenga da un registro
previsto dalla legge e destinato ad essere consultato dal pubblico o dalle
persone aventi un interesse legittimo; che tale trasferimento non deve
riguardare la totalità dei dati o delle categorie di dati contenuti nel registro
suddetto; che il trasferimento di un registro destinato ad essere consultato
dalle persone aventi un interesse legittimo dovrebbe essere possibile soltanto
su richiesta di tali persone o qualora esse ne siano i destinatari;
(59) considerando che possono essere adottate misure particolari per rimediare
al livello di protezione insufficiente di un paese terzo, qualora il
responsabile del trattamento offra le opportune garanzie; che inoltre debbono
essere previste procedure di negoziato fra la Comunità e i paesi terzi in
questione;
(60) considerando che comunque i trasferimenti di dati verso i paesi terzi
possono aver luogo soltanto nel pieno rispetto delle disposizioni prese dagli
Stati membri in applicazione della presente direttiva, in particolare
dell’articolo 8;
(61) considerando che gli Stati membri e la Commissione, nei rispettivi settori
di competenza, devono incoraggiare gli ambienti professionali interessati a
elaborare codici di condotta destinati a favorire, secondo le caratteristiche
specifiche dei trattamenti effettuati in taluni settori, l’attuazione della
presente direttiva nel rispetto delle disposizioni nazionali di applicazione
della stessa;
(62) considerando che la designazione di autorità di controllo che agiscano in
modo indipendente in ciascuno Stato membro è un elemento essenziale per la
tutela delle persone con riguardo al trattamento di dati personali;
(63) considerando che tali autorità devono disporre dei mezzi necessari
all’adempimento dei loro compiti, siano essi poteri investigativi o di
intervento, segnatamente in caso di reclami di singoli individui, nonché poteri
di avviare azioni legali;
che esse debbono contribuire alla trasparenza dei trattamenti effettuati nello
Stato membro da cui dipendono;
(64) considerando che le autorità dei vari Stati membri sono tenute a
collaborare nello svolgimento dei propri compiti in modo tale da assicurare che
le norme relative alla tutela vengano pienamente rispettate in tutta l’Unione
europea;
(65) considerando che, a livello comunitario, deve essere istituito un gruppo
per la tutela delle persone con riguardo al trattamento dei dati personali e che
esso deve esercitare le sue funzioni in piena indipendenza; che, tenuto conto di
tale carattere specifico, esso deve consigliare la Commissione e contribuire in
particolare all’applicazione omogenea delle norme nazionali di attuazione della
presente direttiva;
(66) considerando che, in ordine al trasferimento di dati verso i paesi terzi,
l’applicazione della presente direttiva richiede l’attribuzione alla Commissione
di competenze d’esecuzione nonché l’istituzione di una procedura secondo le
modalità fissate nella decisione 87/373/CEE del Consiglio (4);
(67) considerando che il 20 dicembre 1994 è stato raggiunto un accordo su un
«modus vivendi» tra Parlamento europeo, Consiglio e Commissione sulle misure di
attuazione degli atti adottati in base alla procedura stabilita all’articolo 189
B del trattato CE;
(68) considerando che i principi della tutela dei diritti e delle libertà delle
persone, in particolare del rispetto della vita privata, con riguardo al
trattamento di dati personali, oggetto della presente direttiva, potranno essere
completati o precisati, soprattutto per taluni settori, da norme specifiche ad
essi conformi;
(69) considerando che è opportuno concedere agli Stati membri un termine non
superiore a tre anni a decorrere dall’entrata in vigore delle disposizioni
nazionali di recepimento della presente direttiva, per consentire loro di
applicare progressivamente a tutti i trattamenti già realizzati dette nuove
disposizioni nazionali; che per agevolare un’applicazione efficiente in termini
di costi sarà concesso agli Stati membri un ulteriore periodo che si concluderà
dodici anni dopo la data di adozione della presente direttiva, in modo tale che
venga assicurata la conformità degli archivi manuali esistenti con alcune
disposizioni della direttiva; che i dati contenuti in detti archivi e oggetto di
un trattamento manuale effettivo nel corso di questo periodo di transizione
supplementare devono essere resi conformi con le presenti disposizioni all’atto
di tale trattamento attivo;
(70) considerando che non occorre che la persona interessata dia nuovamente il
suo consenso affinché il responsabile possa proseguire, dopo l’entrata in vigore
delle disposizioni nazionali di attuazione della presente direttiva, i
trattamenti dei dati di natura delicata necessari all’esecuzione di un contratto
concluso in base ad un consenso libero e con cognizione di causa prima
dell’entrata in vigore delle suddette disposizioni;
(71) considerando che la presente direttiva non osta alla disciplina da parte
uno Stato membro delle attività di invio di materiale pubblicitario destinato ai
consumatori residenti nel proprio territorio, purché detta disciplina non
riguardi la tutela delle persone relativamente al trattamento dei dati
personali;
(72) considerando che la presente direttiva consente che nell’applicazione dei
principi in essa stabiliti si tenga conto del principio dell’accesso del
pubblico ai documenti ufficiali,
HANNO ADOTTATO
LA PRESENTE DIRETTIVA:
CAPO I - DISPOSIZIONI GENERALI (Artt. 1 - 4 )
Articolo 1. Oggetto della direttiva
1. Gli Stati membri garantiscono, conformemente alle disposizioni della presente
direttiva, la tutela dei diritti e delle libertà fondamentali delle persone
fisiche e particolarmente del diritto alla vita privata, con riguardo al
trattamento dei dati personali.
2. Gli Stati membri non possono restringere o vietare la libera circolazione dei
dati personali tra Stati membri, per motivi connessi alla tutela garantita a
norma del paragrafo 1.
Articolo 2. Definizioni
Ai fini della presente direttiva si intende per:
a) «dati personali»: qualsiasi informazione concernente una persona fisica
identificata o identificabile («persona interessata»); si considera
identificabile la persona che può essere identificata, direttamente o
indirettamente, in particolare mediante riferimento ad un numero di
identificazione o ad uno o più elementi specifici caratteristici della sua
identità fisica, fisiologica, psichica, economica, culturale o sociale;
b) «trattamento di dati personali» («trattamento»):
qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di
processi automatizzati e applicate a dati personali, come la raccolta, la
registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica,
l’estrazione, la consultazione, l’impiego, la comunicazione mediante
trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il
raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la
distruzione;
c) «archivio di dati personali» («archivio»):
qualsiasi insieme strutturato di dati personali accessibili, secondo criteri
determinati, indipendentemente dal fatto che tale insieme sia centralizzato,
decentralizzato o ripartito in modo funzionale o geografico;
d) «responsabile del trattamento»: la persona fisica o giuridica, l’autorità
pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad
altri, determina le finalità e gli strumenti del trattamento di dati personali.
Quando le finalità e i mezzi del trattamento sono determinati da disposizioni
legislative o regolamentari nazionali o comunitarie, il responsabile del
trattamento o i criteri specifici per al sua designazione possono essere fissati
dal diritto nazionale o comunitario;
e) «incaricato del trattamento»: la persona fisica o giuridica, l’autorità
pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per
conto del responsabile del trattamento;
f) «terzi»: la persona fisica o giuridica, l’autorità pubblica, il servizio o
qualsiasi altro organismo che non sia la persona interessata, il responsabile
del trattamento, l’incaricato del trattamento e le persone autorizzate
all’elaborazione dei dati sotto la loro autorità diretta;
g) «destinatario»: la persona fisica o giuridica, l’autorità pubblica, il
servizio o qualsiasi altro organismo che riceve comunicazione di dati, che si
tratti o meno di un terzo. Tuttavia, le autorità che possono ricevere
comunicazione di dati nell’ambito di una missione d’inchiesta specifica non sono
considerate destinatari; «consenso della persona interessata»:
h) qualsiasi manifestazione di volontà libera, specifica e informata con la
quale la persona interessata accetta che i dati personali che la riguardano
siano oggetto di un trattamento.
Articolo 3. Campo d’applicazione
1. Le disposizioni della presente direttiva si applicano al trattamento di dati
personali interamente o parzialmente automatizzato nonché al trattamento non
automatizzato di dati personali contenuti o destinati a figurare negli archivi.
2. Le disposizioni della presente direttiva non si applicano ai trattamenti di
dati personali:
- effettuati per l’esercizio di attività che non rientrano nel campo di
applicazione del diritto comunitario, come quelle previste dai titoli V e VI del
trattato sull’Unione europea e comunque ai trattamenti aventi come oggetto la
pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere
economico dello Stato, laddove tali trattamenti siano connessi a questioni di
sicurezza dello Stato) e le attività dello Stato in materia di diritto penale;
- effettuati da una persona fisica per l’esercizio di attività a carattere
esclusivamente personale o domestico.
Articolo 4. Diritto nazionale applicabile
1. Ciascuno Stato membro applica le disposizioni nazionali adottate per
l’attuazione della presente direttiva al trattamento di dati personali:
a) effettuato nel contesto delle attività di uno stabilimento del responsabile
del trattamento nel territorio dello Stato membro; qualora uno stesso
responsabile del trattamento sia stabilito nel territorio di più Stati membri,
esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di
ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale
applicabile;
b) il cui responsabile non è stabilito nel territorio dello Stato membro, ma in
un luogo in cui si applica la sua legislazione nazionale, a norma del diritto
internazionale pubblico;
c) il cui responsabile, non stabilito nel territorio della Comunità, ricorre, ai
fini del trattamento di dati personali, a strumenti, automatizzati o non
automatizzati, situati nel territorio di detto Stato membro, a meno che questi
non siano utilizzati ai soli fini di transito nel territorio della Comunità
europea.
2. Nella fattispecie di cui al paragrafo 1, lettera c), il responsabile del
trattamento deve designare un rappresentante stabilito nel territorio di detto
Stato membro, fatte salve le azioni che potrebbero essere promosse contro lo
stesso responsabile del trattamento.
CAPO II - CONDIZIONI GENERALI DI LICEITÀ DEI TRATTAMENTI DI DATI PERSONALI
Articolo 5
Gli Stati membri precisano, nei limiti delle disposizioni del presente capo, le
condizioni alle quali i trattamenti di dati personali sono leciti.
SEZIONE I - Principi relativi alla qualità dei dati (Art. 6)
Articolo 6
1. Gli Stati membri dispongono che i dati personali devono essere:
a) trattati lealmente e lecitamente;
b) rilevati per finalità determinate, esplicite e legittime, e successivamente
trattati in modo non incompatibile con tali finalità. Il trattamento successivo
dei dati per scopi storici, statistici o scientifici non è ritenuto
incompatibile, purché gli Stati membri forniscano garanzie appropriate;
c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali
vengono rilevati e/o per le quali vengono successivamente trattati;
d) esatti e, se necessario, aggiornati; devono essere prese tutte le misure
ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto
alle finalità per le quali sono rilevati o sono successivamente trattati,
cancellati o rettificati;
e) conservati in modo da consentire l’identificazione delle persone interessate
per un arco di tempo non superiore a quello necessario al conseguimento delle
finalità per le quali sono rilevati o sono successivamente trattati. Gli Stati
membri prevedono garanzie adeguate per i dati personali conservati oltre il
suddetto arco di tempo per motivi storici, statistici o scientifici.
2. Il responsabile del trattamento e tenuto a garantire il rispetto delle
disposizioni del paragrafo 1.
SEZIONE II - Principi relativi alla legittimazione dei dati (Art. 7)
Articolo 7
Gli Stati membri dispongono che il trattamento di dati personali può essere
effettuato soltanto quando:
a) la persona interessata ha manifestato il proprio consenso in maniera
inequivocabile, oppure b) è necessario all’esecuzione del contratto concluso con
la persona interessata o all’esecuzione di misure precontrattuali prese su
richiesta di tale persona, oppure
c) è necessario per adempiere un obbligo legale al quale è soggetto il
responsabile del trattamento, oppure
d) è necessario per la salvaguardia dell’interesse vitale della persona
interessata, oppure
e) è necessario per l’esecuzione di un compito di interesse pubblico o connesso
all’esercizio di pubblici poteri di cui è investito il responsabile del
trattamento o il terzo a cui vengono comunicati i dati, oppure
f) è necessario per il perseguimento dell’interesse legittimo del responsabile
del trattamento oppure del o dei terzi cui vengono comunicati i dati, a
condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali
della persona interessata, che richiedono tutela ai sensi dell’articolo 1,
paragrafo 1.
SEZIONE III - Categorie particolari di trattamenti (Artt. 8 - 9)
Articolo 8
Trattamenti riguardanti categorie particolari di dati
1. Gli Stati membri vietano il trattamento di dati personali che rivelano
l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o
filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi
alla salute e alla vita sessuale.
2. Il paragrafo 1 non si applica qualora:
a) la persona interessata abbia dato il proprio consenso esplicito a tale
trattamento, salvo nei casi in cui la legislazione dello Stato membro preveda
che il consenso della persona interessata non sia sufficiente per derogare al
divieto di cui al paragrafo 1, oppure
b) il trattamento sia necessario, per assolvere gli obblighi e i diritti
specifici del responsabile del trattamento in materia di diritto del lavoro,
nella misura in cui il trattamento stesso sia autorizzato da norme nazionali che
prevedono adeguate garanzie, oppure
c) il trattamento sia necessario per salvaguardare un interesse vitale della
persona interessata o di un terzo nel caso in cui la persona interessata è
nell’incapacità fisica o giuridica di dare il proprio consenso; o
d) il trattamento sia effettuato, con garanzie adeguate, da una fondazione,
un’associazione o qualsiasi altro organismo che non persegua scopi di lucro e
rivesta carattere politico, filosofico, religioso o sindacale, nell’ambito del
suo scopo lecito e a condizione che riguardi unicamente i suoi membri o le
persone che abbiano contatti regolari con la fondazione, l’associazione o
l’organismo a motivo del suo oggetto e che i dati non vengano comunicati a terzi
senza il consenso delle persone interessate; o
e) il trattamento riguardi dati resi manifestamente pubblici dalla persona
interessata o sia necessario per costituire, esercitare o difendere un diritto
per via giudiziaria.
3. Il paragrafo 1 non si applica quando il trattamento dei dati è necessario
alla prevenzione o alla diagnostica medica, alla somministrazione di cure o alla
gestione di centri di cura e quando il trattamento dei medesimi dati viene
effettuato da un professionista in campo sanitario soggetto al segreto
professionale sancito dalla legislazione nazionale, comprese le norme stabilite
dagli organi nazionali competenti, o da un’altra persona egualmente soggetta a
un obbligo di segreto equivalente.
4. Purché siano previste le opportune garanzie, gli Stati membri possono, per
motivi di interesse pubblico rilevante, stabilire ulteriori deroghe oltre a
quelle previste dal paragrafo 2 sulla base della legislazione nazionale o di una
decisione dell’autorità di controllo.
5. I trattamenti riguardanti i dati relativi alle infrazioni, alle condanne
penali o alle misure di sicurezza possono essere effettuati solo sotto controllo
dell’autorità pubblica, o se vengono fornite opportune garanzie specifiche,
sulla base del diritto nazionale, fatte salve le deroghe che possono essere
fissate dallo Stato membro in base ad una disposizione nazionale che preveda
garanzie appropriate e specifiche.
Tuttavia un registro completo delle condanne penali può essere tenuto solo sotto
il controllo dell’autorità pubblica. Gli Stati membri possono prevedere che i
trattamenti di dati riguardanti sanzioni amministrative o procedimenti civili
siano ugualmente effettuati sotto controllo dell’autorità pubblica.
6. Le deroghe al paragrafo 1 di cui ai paragrafi 4 e 5 sono notificate alla
Commissione.
7. Gli Stati membri determinano a quali condizioni un numero nazionale di
identificazione o qualsiasi altro mezzo identificativo di portata generale può
essere oggetto di trattamento.
Articolo 9. Trattamento di dati personali e libertà d’espressione
Gli Stati membri prevedono, per il trattamento di dati personali effettuato
esclusivamente a scopi giornalistici o di espressione artistica o letteraria, le
esenzioni o le deroghe alle disposizioni del presente capo e dei capi IV e VI
solo qualora si rivelino necessarie per conciliare il diritto alla vita privata
con le norme sulla libertà d’espressione.
SEZIONE IV - Informazione della persona interessata (Artt. 10 - 11)
Articolo 10. Informazione in caso di raccolta dei dati presso la persona
interessata
Gli Stati membri dispongono che il responsabile del trattamento, o il suo
rappresentante, debba fornire alla persona presso la quale effettua la raccolta
dei dati che la riguardano almeno le informazioni elencate qui di seguito, a
meno che tale persona ne sia già informata:
a) l’identità del responsabile del trattamento ed eventualmente del suo
rappresentante;
b) le finalità del trattamento cui sono destinati i dati;
c) ulteriori informazioni riguardanti quanto segue:
- i destinatari o le categorie di destinatari dei dati,
- se rispondere alle domande è obbligatorio o volontario, nonché le possibili
conseguenze di una mancata risposta,
- se esistono diritti di accesso ai dati e di rettifica in merito ai dati che la
riguardano nella misura in cui, in considerazione delle specifiche circostanze
in cui i dati vengono raccolti, tali informazioni siano necessarie per
effettuare un trattamento leale nei confronto della persona interessata.
Articolo 11. Informazione in caso di dati non raccolti presso la persona
interessata
1. In caso di dati non raccolti presso la persona interessata, gli Stati membri
dispongono che, al momento della registrazione dei dati o qualora sia prevista
una comunicazione dei dati a un terzo, al più tardi all’atto della prima
comunicazione dei medesimi, il responsabile del trattamento o il suo
rappresentante debba fornire alla persona interessata almeno le informazioni
elencate qui di seguito, a meno che tale persona ne sia già informata:
a) l’identità del responsabile del trattamento ed eventualmente del suo
rappresentante,
b) le finalità del trattamento,
c) ulteriori informazioni riguardanti quanto segue:
- le categorie di dati interessate,
- i destinatari o le categorie di destinatari dei dati,
- se esiste un diritto di accesso ai dati e di rettifica in merito ai dati che
la riguardano, nella misura in cui, in considerazione delle specifiche
circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie
per effettuare un trattamento leale nei confronti della persona interessata.
2. Le disposizioni del paragrafo 1 non si applicano quando, in particolare nel
trattamento di dati a scopi statistici, o di ricerca storica o scientifica,
l’informazione della persona interessata si rivela impossibile o richiede sforzi
sproporzionati o la registrazione o la comunicazione è prescritta per legge. In
questi casi gli Stati membri prevedono garanzie appropriate.
SEZIONE V - Diritto di accesso ai dati da parte della persona interessata (Art.
12)
Articolo 12. Diritto di accesso
Gli Stati membri garantiscono a qualsiasi persona interessata il diritto di
ottenere dal responsabile del trattamento:
a) liberamente e senza costrizione, ad intervalli ragionevoli e senza ritardi o
spese eccessivi:
- la conferma dell’esistenza o meno di trattamenti di dati che la riguardano, e
l’informazione almeno sulle finalità dei trattamenti, sulle categorie di dati
trattati, sui destinatari o sulle categorie di destinatari cui sono comunicati i
dati;
- la comunicazione in forma intelligibile dei dati che sono oggetto dei
trattamenti, nonché di tutte le informazioni disponibili sull’origine dei dati;
- la conoscenza della logica applicata nei trattamenti automatizzati dei dati
che lo interessano, per lo meno nel caso delle decisioni automatizzate di cui
all’articolo 15, paragrafo 1;
b) a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati
il cui trattamento non è conforme alle disposizioni della presente direttiva, in
particolare a causa del carattere incompleto o inesatto dei dati;
c) la notificazione ai terzi, ai quali sono stati comunicati i dati, di
qualsiasi rettifica, cancellazione o congelamento, effettuati conformemente alla
lettera b), se non si dimostra che è impossibile o implica uno sforzo
sproporzionato.
SEZIONE VI - Deroghe e restrizioni (Art.13 )
Articolo 13. Deroghe e restrizioni
1. Gli Stati membri possono adottare disposizioni legislative intese a limitare
la portata degli obblighi e dei diritti previsti dalle disposizioni
dell’articolo 6, paragrafo 1, dell’articolo 10, dell’articolo 11, paragrafo 1 e
degli articoli 12 e 21, qualora tale restrizione costituisca una misura
necessaria alla salvaguardia:
a) della sicurezza dello Stato;
b) della difesa;
c) della pubblica sicurezza;
d) della prevenzione, della ricerca, dell’accertamento e del perseguimento di
infrazioni penali o di violazioni della deontologia delle professioni
regolamentate;
e) di un rilevante interesse economico o finanziario di uno Stato membro o
dell’Unione europea, anche in materia monetaria, di bilancio e tributaria;
f) di un compito di controllo, ispezione o disciplina connesso, anche
occasionalmente, con l’esercizio dei pubblici poteri nei casi di cui alle
lettere c), d) ed e);
g) della protezione della persona interessata o dei diritti e delle libertà
altrui.
2. Fatte salve garanzie legali appropriate, che escludano in particolare che i
dati possano essere utilizzati a fini di misure o di specifiche decisioni che si
riferiscono a persone, gli Stati membri possono, nel caso in cui non sussista
manifestamente alcun rischio di pregiudizio alla vita privata della persona
interessata, limitare con un provvedimento legislativo i diritti di cui
all’articolo 13 qualora i dati siano trattati esclusivamente ai fini della
ricerca scientifica o siano memorizzati sotto forma di dati personali per un
periodo che non superi quello necessario alla sola finalità di elaborazione
delle statistiche.
SEZIONE VII - Diritto di opposizione della persona interessata (Artt. 14 - 15)
Articolo 14. Diritto di opposizione della persona interessata
Gli Stati membri riconoscono alla persona interessata il diritto:
a) almeno nei casi di cui all’articolo 7, lettere e) e f), di opporsi in
qualsiasi momento, per motivi preminenti e legittimi, derivanti dalla sua
situazione particolare, al trattamento di dati che la riguardano, salvo
disposizione contraria prevista dalla normativa nazionale. In caso di
opposizione giustificata il trattamento effettuato dal responsabile non può più
riguardare tali dati;
b) di opporsi, su richiesta e gratuitamente, al trattamento dei dati personali
che la riguardano previsto dal responsabile del trattamento a fini di invio di
materiale pubblicitario ovvero di essere informata prima che i dati personali
siano, per la prima volta, comunicati a terzi o utilizzati per conto di terzi, a
fini di invio di materiale pubblicitario;
la persona interessata deve essere informata in modo esplicito del diritto di
cui gode di opporsi gratuitamente alla comunicazione o all’utilizzo di cui
sopra.
Gli Stati membri prendono le misure necessarie per garantire che le persone
interessate siano a conoscenza che esiste il diritto di cui al primo comma della
lettera b).
Articolo 15. Decisioni individuali automatizzate
1. Gli Stati membri riconoscono a qualsiasi persona il diritto di non essere
sottoposta ad una decisione che produca effetti giuridici o abbia effetti
significativi nei suoi confronti fondata esclusivamente su un trattamento
automatizzato di dati destinati a valutare taluni aspetti della sua personalità,
quali il rendimento professionale, il credito, l’affidabilità, il comportamento,
ecc.
2. Gli Stati membri dispongono, salve le altre disposizioni della presente
direttiva, che una persona può essere sottoposta a una decisione di cui al
paragrafo 1, qualora una tale decisione:
a) sia presa nel contesto della conclusione o dell’esecuzione di un contratto, a
condizione che la domanda relativa alla conclusione o all’esecuzione del
contratto, presentata dalla persona interessata sia stata accolta, oppure che
misure adeguate, fra le quali la possibilità di far valere il proprio punto di
vista garantiscano la salvaguardia del suo interesse legittimo, oppure
b) sia autorizzata da una legge che precisi i provvedimenti atti a salvaguardare
un interesse legittimo della persona interessata.
SEZIONE VIII - Riservatezza e sicurezza dei trattamenti (Artt. 16 - 17)
Articolo 16. Riservatezza dei trattamenti
L’incaricato del trattamento o chiunque agisca sotto la sua autorità o sotto
quella del responsabile del trattamento non deve elaborare i dati personali ai
quali ha accesso, se non dietro istruzione del responsabile del trattamento
oppure in virtù di obblighi legali.
Articolo 17. Sicurezza dei trattamenti
1. Gli Stati membri dispongono che il responsabile del trattamento deve attuare
misure tecniche ed organizzative appropriate al fine di garantire la protezione
dei dati personali dalla distruzione accidentale o illecita, dalla perdita
accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati,
segnatamente quando il trattamento comporta trasmissioni di dati all’interno di
una rete, o da qualsiasi altra forma illecita di trattamento di dati personali.
Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e
dei costi dell’applicazione, un livello di sicurezza appropriato rispetto ai
rischi presentati dal trattamento e alla natura dei dati da proteggere.
2. Gli Stati membri dispongono che il responsabile del trattamento, quando
quest’ultimo sia eseguito per suo conto, deve scegliere un incaricato del
trattamento che presenti garanzie sufficienti in merito alle misure di sicurezza
tecnica e di organizzazione dei trattamenti da effettuare e deve assicurarsi del
rispetto di tali misure.
3. L’esecuzione dei trattamenti su commissione deve essere disciplinata da un
contratto o da un atto giuridico che vincoli l’incaricato del trattamento al
responsabile del trattamento e che preveda segnatamente:
- che l’incaricato del trattamento operi soltanto su istruzioni del responsabile
del trattamento;
- che gli obblighi di cui al paragrafo 1, quali sono definiti dalla legislazione
dello Stato membro nel quale è stabilito l’incaricato del trattamento, vincolino
anche quest’ultimo.
4. A fini di conservazione delle prove, gli elementi del contratto o dell’atto
giuridico relativi alla protezione dei dati e i requisiti concernenti le misure
di cui al paragrafo 1 sono stipulati per iscritto o in altra forma equivalente.
SEZIONE IX - Notificazione ( Artt. 18 - 21)
Articolo 18. Obbligo di notificazione all’autorità di controllo
1. Gli Stati membri prevedono un obbligo di notificazione a carico del
responsabile del trattamento, od eventualmente del suo rappresentante, presso
l’autorità di controllo di cui all’articolo 30, prima di procedere alla
realizzazione di un trattamento, o di un insieme di trattamenti, interamente o
parzialmente automatizzato, destinato al conseguimento di una o più finalità
correlate.
2. Gli Stati membri possono prevedere una semplificazione o l’esonero
dall’obbligo di notificazione soltanto nei casi e alle condizioni seguenti:
- qualora si tratti di categorie di trattamento che, in considerazione dei dati
oggetto di trattamento, non siano tali da recare pregiudizio ai diritti e alle
libertà della persona interessata, essi precisano le finalità dei trattamenti, i
dati o le categorie dei dati trattati, la categoria o le categorie di persone
interessate, i destinatari o le categorie di destinatari cui sono comunicati i
dati e il periodo di conservazione dei dati, e/o - qualora il responsabile del
trattamento designi, conformemente alla legislazione nazionale applicabile, un
incaricato della protezione dei dati, a cui è demandato in particolare:
- di assicurare in maniera indipendente l’applicazione interna delle
disposizioni nazionali di attuazione della presente direttiva;
- di tenere un registro dei trattamenti effettuati dal responsabile del
trattamento in cui figurino le informazioni di cui all’articolo 21, paragrafo 2,
garantendo in tal modo che il trattamento non sia tale da recare pregiudizio ai
diritti e alle libertà della persona interessata.
3. Gli Stati membri possono prevedere che le disposizioni del paragrafo 1 non si
applichino ai trattamenti la cui unica finalità è la compilazione di registri i
quali, in forza di disposizioni legislative o regolamentari, siano predisposti
per l’informazione del pubblico e siano aperti alla consultazione del pubblico o
di chiunque possa dimostrare un interesse legittimo.
4. Gli Stati membri possono prevedere una deroga all’obbligo della notificazione
o una semplificazione della notificazione per i trattamenti di cui all’articolo
8, paragrafo 2, lettera d).
5. Gli Stati membri possono prevedere che i trattamenti non automatizzati di
dati personali, o alcuni di essi, siano oggetto di una notificazione
eventualmente semplificata.
Articolo 19. Oggetto della notificazione
1. Gli Stati membri definiscono le informazioni che devono essere contenute
nella notificazione.
Esse comprendono almeno:
a) il nome e l’indirizzo del responsabile del trattamento e, eventualmente, del
suo rappresentante;
b) la o le finalità del trattamento;
c) una descrizione della o delle categorie di persone interessate e dei dati o
delle categorie di dati relativi alle medesime;
d) i destinatari o le categorie di destinatari a cui i dati possono essere
comunicati;
e) i trasferimenti di dati previsti verso paesi terzi;
f) una descrizione generale che permetta di valutare in via preliminare
l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento
in applicazione dell’articolo 17.
2. Gli Stati membri precisano le modalità di notificazione all’autorità di
controllo dei mutamenti relativi alle informazioni di cui al paragrafo 1.
Articolo 20. Controllo preliminare
1. Gli Stati membri precisano i trattamenti che potenzialmente presentano rischi
specifici per i diritti e le libertà delle persone e provvedono a che tali
trattamenti siano esaminati prima della loro messa in opera.
2. Tali esami preliminari sono effettuati dall’autorità di controllo una volta
ricevuta la notificazione del responsabile del trattamento, oppure dalla persona
incaricata della protezione dei dati che, nei casi dubbi, deve consultare
l’autorità di controllo medesima.
3. Gli Stati membri possono effettuare tale esame anche durante il processo di
elaborazione di un provvedimento del Parlamento nazionale, o in base ad un
provvedimento fondato su siffatto provvedimento legislativo, in cui si definisce
il tipo di trattamento e si stabiliscono appropriate garanzie.
Articolo 21. Pubblicità dei trattamenti
1. Gli Stati membri adottano misure intese ad assicurare la pubblicità dei
trattamenti.
2. Gli Stati membri devono prevedere che l’autorità di controllo tenga un
registro dei trattamenti notificati riprende almeno le informazioni enumerate
all’articolo 19, paragrafo 1, lettere da a) a e). Il registro può essere
consultato da chiunque.
3. Gli Stati membri prevedono che i responsabili dei trattamenti o un altro
organismo designato dagli Stati membri comunichino nelle opportune forme, a
chiunque ne faccia richiesta, almeno le informazioni di cui all’articolo 19,
paragrafo 1, lettere da a) a e), relative ai trattamenti esenti da
notificazione.
Gli Stati membri possono prevedere che questa disposizione non si applichi ai
trattamenti la cui unica finalità è la compilazione di registri i quali, in
forza di disposizioni legislative o regolamentari, siano predisposti per
l’informazione del pubblico e siano aperti alla consultazione del pubblico o di
chiunque possa dimostrare un interesse legittimo.
CAPO III - Ricorsi giurisdizionali, responsabilità e sanzioni ( Artt. 22- 24)
Articolo 22. Ricorsi
Fatti salvi ricorsi amministrativi che possono essere promossi, segnatamente
dinanzi all’autorità di controllo di cui all’articolo 28, prima che sia adita
l’autorità giudiziaria, gli Stati membri stabiliscono che chiunque possa
disporre di un ricorso giurisdizionale in caso di violazione dei diritti
garantitigli dalle disposizioni nazionali applicabili al trattamento in
questione.
Articolo 23. Responsabilità
1. Gli Stati membri dispongono che chiunque subisca un danno cagionato da un
trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni
nazionali di attuazione della presente direttiva abbia il diritto di ottenere il
risarcimento del pregiudizio subito dal responsabile del trattamento.
2. Il responsabile del trattamento può essere esonerato in tutto o in parte da
tale responsabilità se prova che l’evento dannoso non gli è imputabile.
Articolo 24. Sanzioni
Gli Stati membri adottano le misure appropriate per garantire la piena
applicazione delle disposizioni della presente direttiva e in particolare
stabiliscono le sanzioni da applicare in caso di violazione delle disposizioni
di attuazione della presente direttiva.
CAPO IV - Trasferimento di dati personali verso paesi terzi ( Artt. 25 - 26)
Articolo 25. Principi
1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati
personali oggetto di un trattamento o destinati a essere oggetto di un
trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di
cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure
nazionali di attuazione delle altre disposizioni della presente direttiva.
2. L’adeguatezza del livello di protezione garantito da un paese terzo è
valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad
una categoria di trasferimenti di dati; in particolare sono presi in
considerazione la natura dei dati, le finalità del o dei trattamenti previsti,
il paese d’origine e il paese di destinazione finale, le norme di diritto,
generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole
professionali e le misure di sicurezza ivi osservate.
3. Gli Stati membri e la Commissione si comunicano a vicenda i casi in cui, a
loro parere, un paese terzo non garantisce un livello di protezione adeguato ai
sensi del paragrafo 2.
4. Qualora la Commissione constati, secondo la procedura dell’articolo 31,
paragrafo 2, che un paese terzo non garantisce un livello di protezione adeguato
ai sensi del paragrafo 2 del presente articolo, gli Stati membri adottano le
misure necessarie per impedire ogni trasferimento di dati della stessa natura
verso il paese terzo in questione.
5. La Commissione avvia, al momento opportuno, negoziati per porre rimedio alla
situazione risultante dalla constatazione di cui al paragrafo 4.
6. La Commissione può constatare, secondo la procedura di cui all’articolo 31,
paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai
sensi del paragrafo 2 del presente articolo, in considerazione della sua
legislazione nazionale o dei suoi impegni internazionali, in particolare di
quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della
tutela della vita privata o delle libertà e dei diritti fondamentali della
persona.
Gli Stati membri adottano le misure necessarie per conformarsi alla decisione
della Commissione.
Articolo 26. Deroghe
1. In deroga all’articolo 25 e fatte salve eventuali disposizioni contrarie
della legislazione nazionale per casi specifici, gli Stati membri dispongono che
un trasferimento di dati personali verso un paese terzo che non garantisce una
tutela adeguata ai sensi dell’articolo 25, paragrafo 2 può avvenire a condizione
che:
a) la persona interessata abbia manifestato il proprio consenso in maniera
inequivocabile al trasferimento previsto, oppure
b) il trasferimento sia necessario per l’esecuzione di un contratto tra la
persona interessata ed il responsabile del trattamento o per l’esecuzione di
misure precontrattuali prese a richiesta di questa, oppure
c) il trasferimento sia necessario per la conclusione o l’esecuzione di un
contratto, concluso o da concludere nell’interesse della persona interessata,
tra il responsabile del trattamento e un terzo, oppure
d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia
di un interesse pubblico rilevante, oppure per costatare, esercitare o difendere
un diritto per via giudiziaria, oppure
e) il trasferimento sia necessario per la salvaguardia dell’interesse vitale
della persona interessata, oppure
f) il trasferimento avvenga a partire da un registro pubblico il quale, in forza
di disposizioni legislative o regolamentari, sia predisposto per l’informazione
del pubblico e sia aperto alla consultazione del pubblico o di chiunque possa
dimostrare un interesse legittimo, nella misura in cui nel caso specifico siano
rispettate le condizioni che la legge prevede per la consultazione.
2. Salvo il disposto del paragrafo 1, uno Stato membro può autorizzare un
trasferimento o una categoria di trasferimenti di dati personali verso un paese
terzo che non garantisca un livello di protezione adeguato ai sensi
dell’articolo 25, paragrafo 2, qualora il responsabile del trattamento presenti
garanzie sufficienti per la tutela della vita privata e dei diritti e delle
libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi;
tali garanzie possono segnatamente risultare da clausole contrattuali
appropriate.
3. Lo Stato membro informa la Commissione e gli altri Stati membri in merito
alle autorizzazioni concesse a norma del paragrafo 2.
In caso di opposizione notificata da un altro Stato membro o dalla Commissione,
debitamente motivata sotto l’aspetto della tutela della vita privata e dei
diritti e delle libertà fondamentali delle persone, la Commissione adotta le
misure appropriate secondo la procedura di cui all’articolo 31, paragrafo 2.
Gli Stati membri adottano le misure necessarie per conformarsi alla decisione
della Commissione.
4. Qualora la Commissione decida, secondo la procedura di cui all’articolo 31,
paragrafo 2, che alcune clausole contrattuali tipo offrono le garanzie
sufficienti di cui al paragrafo 2, gli Stati membri adottano le misure
necessarie per conformarsi alla decisione della Commissione.
CAPO V - Codici di condotta (Art. 27)
Articolo 27.
1. Gli Stati membri e la Commissione incoraggiano l’elaborazione di codici di
condotta destinati a contribuire, in funzione delle specificità settoriali, alla
corretta applicazione delle disposizioni nazionali di attuazione della presente
direttiva, adottate dagli Stati membri.
2. Gli Stati membri dispongono che le associazioni professionali e gli altri
organismi rappresentanti altre categorie di responsabili del trattamento, che
hanno elaborato i progetti di codice nazionali o intendono modificare o
prorogare i codici nazionali esistenti, possano sottoporli all’esame
dell’autorità nazionale.
Gli Stati membri prevedono che tale autorità accerti, in particolare, la
conformità dei progetti che le sono sottoposti alle disposizioni nazionali di
attuazione della presente direttiva. Qualora lo ritenga opportuno, l’autorità
nazionale raccoglie le osservazioni delle persone interessate o dei loro
rappresentanti.
3. I progetti di codici comunitari, nonché le modifiche o proroghe di codici
comunitari esistenti, possono essere sottoposti al gruppo di cui all’articolo
29, il quale si pronuncia, in particolare, sulla conformità dei progetti che gli
sono sottoposti alle disposizioni nazionali di attuazione della presente
direttiva. Qualora lo ritenga opportuno, esso raccoglie le osservazioni delle
persone interessate o dei loro rappresentanti. La Commissione può provvedere ad
un’appropriata divulgazione dei codici che sono stati approvati dal gruppo.
CAPO VI - Autorità di controllo e gruppo per la tutela delle persone con
riguardo al trattamento dei dati personali (Artt. 28 - 30)
Articolo 28. Autorità di controllo
1. Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate
di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di
attuazione della presente direttiva, adottate dagli Stati membri.
Tali autorità sono pienamente indipendenti nell’esercizio delle funzioni loro
attribuite.
2. Ciascuno Stato membro dispone che le autorità di controllo siano consultate
al momento dell’elaborazione delle misure regolamentari o amministrative
relative alla tutela dei diritti e delle libertà della persona con riguardo al
trattamento dei dati personali.
3. Ogni autorità di controllo dispone in particolare:
- di poteri investigativi, come il diritto di accesso ai dati oggetto di
trattamento e di raccolta di qualsiasi informazione necessaria all’esercizio
della sua funzione di controllo;
- di poteri effettivi d’intervento, come quello di formulare pareri prima
dell’avvio di trattamenti, conformemente all’articolo 20, e di dar loro adeguata
pubblicità o quello di ordinare il congelamento, la cancellazione o la
distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un
trattamento, ovvero quello di rivolgere un avvertimento o un monito al
responsabile del trattamento o quello di adire i Parlamenti o altre istituzioni
politiche nazionali;
- del potere di promuovere azioni giudiziarie in caso di violazione delle
disposizioni nazionali di attuazione della presente direttiva ovvero di adire
per dette violazioni le autorità giudiziarie. È possibile un ricorso
giurisdizionale avverso le decisioni dell’autorità di controllo recanti
pregiudizio.
4. Qualsiasi persona, o associazione che la rappresenti, può presentare a
un’autorità di controllo una domanda relativa alla tutela dei suoi diritti e
libertà con riguardo al trattamento di dati personali. La persona interessata
viene informata del seguito dato alla sua domanda. Qualsiasi persona può, in
particolare, chiedere a un’autorità di controllo di verificare la liceità di un
trattamento quando si applicano le disposizioni nazionali adottate a norma
dell’articolo 13 della presente direttiva. La persona viene ad ogni modo
informata che una verifica ha avuto luogo.
5. Ogni autorità di controllo elabora a intervalli regolari una relazione sulla
sua attività. La relazione viene pubblicata.
6. Ciascuna autorità di controllo, indipendentemente dalla legge nazionale
applicabile al trattamento in questione, è competente per esercitare, nel
territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3.
Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda
dell’autorità di un altro Stato membro.
Le autorità di controllo collaborano tra loro nella misura necessaria allo
svolgimento dei propri compiti, in particolare scambiandosi ogni informazione
utile.
7. Gli Stati membri dispongono che i membri e gli agenti delle autorità di
controllo sono soggetti, anche dopo la cessazione delle attività, all’obbligo
del segreto professionale in merito alle informazioni riservate cui hanno
accesso.
Articolo 29. Gruppo per la tutela delle persone con riguardo al trattamento dei
dati personali
1. È istituito un gruppo per la tutela della persone con riguardo al trattamento
dei dati personali, in appresso denominato «il gruppo».
Il gruppo ha carattere consultivo e indipendente.
2. Il gruppo è composto da un rappresentante della o delle autorità di controllo
designate da ciascuno Stato membro e da un rappresentante della o delle autorità
create per le istituzioni e gli organismi comunitari, nonché da un
rappresentante della Commissione. Ogni membro del gruppo è designato
dall’istituzione oppure dalla o dalle autorità che rappresenta. Qualora uno
Stato membro abbia designato più autorità di controllo, queste procedono alla
nomina di un rappresentante comune. Lo stesso vale per le autorità create per le
istituzioni e gli organismi comunitari.
3. Il gruppo adotta le sue decisioni alla maggioranza semplice dei
rappresentanti delle autorità di controllo.
4. Il gruppo elegge il proprio presidente. La durata del mandato del presidente
è di due anni. Il mandato è rinnovabile.
5. Al segretariato del gruppo provvede la Commissione.
6. Il gruppo adotta il proprio regolamento interno.
7. Il gruppo esamina le questioni iscritte all’ordine del giorno dal suo
presidente, su iniziativa di questo o su richiesta di un rappresentante delle
autorità di controllo oppure su richiesta della Commissione.
Articolo 30 .
1. Il gruppo ha i seguenti compiti:
a) esaminare ogni questione attinente all’applicazione delle norme nazionali di
attuazione della presente direttiva per contribuire alla loro applicazione
omogenea;
b) formulare, ad uso della Commissione, un parere sul livello di tutela nella
Comunità e nei paesi terzi;
c) consigliare la Commissione in merito a ogni progetto di modifica della
presente direttiva, ogni progetto di misure addizionali o specifiche da prendere
ai fini della tutela dei diritti e delle libertà delle persone fisiche con
riguardo al trattamento di dati personali, nonché in merito a qualsiasi altro
progetto di misure comunitarie che incidano su tali diritti e libertà;
d) formulare un parere sui codici di condotta elaborati a livello comunitario.
2. Il gruppo, qualora constati che tra le legislazioni o prassi degli Stati
membri si manifestano divergenze che possano pregiudicare l’equivalenza della
tutela delle persone in materia di trattamento dei dati personali nella
Comunità, ne informa la Commissione.
3. Il gruppo può formulare di propria iniziativa raccomandazioni su qualsiasi
questione riguardante la tutela delle persone nei confronti del trattamento di
dati personali nella Comunità.
4. I pareri e le raccomandazioni del gruppo vengono trasmessi alla Commissione e
al comitato di cui all’articolo 31.
5. La Commissione informa il gruppo del seguito da essa dato ai pareri e alle
raccomandazioni. A tal fine redige una relazione che viene trasmessa anche al
Parlamento europeo e al Consiglio. La relazione è oggetto di pubblicazione.
6. Il gruppo redige una relazione annuale sullo stato della tutela delle persone
fisiche con riguardo al trattamento dei dati personali nella Comunità e nei
paesi terzi e la trasmette alla Commissione, al Parlamento europeo e al
Consiglio. La relazione è oggetto di pubblicazione.
CAPO VII - Misure comunitarie d’esecuzione (Art. 31)
Articolo 31. Comitato
1. La Commissione è assistita da un comitato composto dai rappresentanti degli
Stati membri e presieduto dal rappresentante della Commissione.
2. Il rappresentante della Commissione sottopone al comitato un progetto delle
misure da adottare. Il comitato, entro un termine che il presidente può fissare
in funzione dell’urgenza della questione in esame, formula il suo parere sul
progetto. Il parere è formulato alla maggioranza prevista all’articolo 148,
paragrafo 2 del trattato. Nelle votazioni in seno al comitato, ai voti dei
rappresentanti degli Stati membri è attribuita la ponderazione fissata
nell’articolo precitato. Il presidente non partecipa al voto. La Commissione
adotta misure che sono applicabili immediatamente. Tuttavia, se queste misure
non sono conformi al parere del comitato saranno subito comunicate dalla
Commissione al Consiglio.
In tal caso:
- la Commissione rinvia l’applicazione delle misure da essa decise per un
periodo di tre mesi, a decorrere dalla data della comunicazione;
- il Consiglio, deliberando a maggioranza qualificata, può prendere una
decisione diversa entro il termine di cui al comma precedente.
DISPOSIZIONI FINALI (Artt. 32 -34)
Articolo 32.
1. Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari
ed amministrative necessarie per conformarsi alla presente direttiva al più
tardi alla scadenza del terzo anno successivo alla sua adozione.
Quando gli Stati membri adottano tali disposizioni, queste contengono un
riferimento alla presente direttiva o sono corredate da un siffatto riferimento
all’atto della pubblicazione ufficiale. Le modalità di tale riferimento sono
decise dagli Stati membri.
2. Gli Stati membri provvedono affinché i trattamenti avviati prima della data
di entrata in vigore delle disposizioni nazionali di attuazione della presente
direttiva si conformino a dette disposizioni entro i tre anni successivi alla
data summenzionata. In deroga al comma precedente, gli Stati membri possono
prevedere che, per quanto riguarda gli articoli 6, 7 ed 8, la messa in
conformità dei trattamenti di dati già contenuti in archivi manuali alla data
dell’entrata in vigore delle disposizioni nazionali di attuazione della presente
direttiva sia effettuata man mano che si procede a successive operazioni di
trattamento di tali dati, diverse dalla semplice memorizzazione. Questa messa in
conformità deve, tuttavia, essere terminata entro il dodicesimo anno a decorrere
dalla data di adozione della presente direttiva. Gli Stati membri consentono
comunque alla persona interessata di ottenere a sua richiesta e in particolare
in sede di esercizio del diritto di accesso, la rettifica, la cancellazione o il
congelamento dei dati incompleti, inesatti o conservati in modo incompatibile
con i fini legittimi perseguiti dal responsabile del trattamento.
3. In deroga al paragrafo 2, gli Stati membri possono prevedere, con riserva di
garanzie adeguate, che i dati conservati esclusivamente per ricerche storiche
non siano resi conformi alle disposizioni degli articoli 6, 7 e 8 della presente
direttiva.
4. Gi Stati membri comunicano alla Commissione le disposizioni di diritto
interno che adottano nel settore disciplinato dalla presente direttiva.
Articolo 33 .
La Commissione presenta periodicamente al Consiglio e al Parlamento europeo, per
la prima volta entro tre anni dalla data di cui all’articolo 32, paragrafo 1,
una relazione sull’applicazione della presente direttiva, accompagnata, se del
caso, dalle opportune proposte di modifica. La relazione è oggetto di
pubblicazione.
La Commissione esaminerà in particolare l’applicazione della presente direttiva
al trattamento dei dati sotto forma di suoni o immagini relativi a persone
fisiche e presenterà le eventuali proposte necessarie, tenuto conto
dell’evoluzione della tecnologia dell’informazione e alla luce dei progressi
della società dell’informazione.
Articolo 34 .
Gli Stati membri sono destinatari della presente direttiva.
Fatto a Lussemburgo, addì 24 ottobre 1995.
Per il Parlamento europeo
Il Presidente
K. HAENSCH
Per il Consiglio
Il Presidente
L. ATIENZA SERNA
(1)
GU n. C 277 del 5. 11. 1990, pag. 3, e GU n. C 311 del 27. 11. 1992, pag. 30.
(2)
GU n. C 159 del 17. 6. 1991, pag. 38.
(3)
Parere del Parlamento europeo dell’11 marzo 1992 (GU n. C 94 del 13. 4. 1992,
pag. 198), confermato il 2 dicembre 1993 (GU n. C 342 del 20. 12. 1993, pag.
30); posizione comune del Consiglio del 20 febbraio 1995 (GU n. C 93 del 13. 4.
1995, pag. 1) e decisione del Parlamento europeo del 15 giugno 1995 (GU n. C 166
del 3. 7. 1995).
(4)
GU n. L 197 del 18. 7. 1987, pag. 33.
|