Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000,
concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati
(Gazzetta ufficiale n. L 008 del 12/01/2001)
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,
visto il trattato che istituisce la Comunità europea, in particolare l’articolo 286,
vista la proposta della Commissione(1),
visto il parere del Comitato economico e sociale (2),
deliberando secondo la procedura di cui all’articolo 251 del trattato (3),
considerando quanto segue:
(1) L’articolo 286 del trattato stabilisce che gli atti comunitari sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati si applicano alle istituzioni e agli organismi comunitari.
(2) Un sistema di protezione dei dati personali richiede, per esser completo, non solo che si istituiscano diritti per le persone cui tali dati si riferiscono e obblighi per chi li elabora, ma anche adeguate sanzioni per i trasgressori e un’autorità di controllo indipendente.
(3) L’articolo 286, paragrafo 2 del trattato prescrive l’istituzione di un organo di controllo indipendente incaricato di sorvegliare l’applicazione di detti atti alle istituzioni e agli organismi comunitari.
(4) L’articolo 286, paragrafo 2 del trattato prescrive l’adozione, se del caso, di tutte le altre pertinenti disposizioni.
(5) È necessario un regolamento per accordare alle persone fisiche diritti giuridicamente tutelati e per chiarire gli obblighi dei responsabili del trattamento dei dati in seno alle istituzioni e agli organismi comunitari, nonché per istituire un’autorità di controllo indipendente incaricata di sorvegliare il trattamento dei dati personali effettuato dalle istituzioni e dagli organismi comunitari.
(6) Il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito dall’articolo 29 della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (4), è stato consultato.
(7) Le persone che possono essere oggetto di tutela sono quelle i cui dati personali sono trattati da istituzioni o organismi comunitari, in qualsiasi circostanza, ad esempio in quanto impiegate presso tali istituzioni o organismi.
(8) È necessario applicare i principi della protezione dei dati a tutte le informazioni relative ad una persona identificata o identificabile. Per stabilire se una persona è identificabile, occorre tener conto di tutti gli strumenti ragionevolmente impiegati dal responsabile del trattamento dei dati o da chiunque altro al fine d’identificare detta persona. Non occorre applicare detti principi di protezione ai dati resi anonimi in modo sufficiente ad impedire l’identificazione dell’interessato.
(9) La direttiva 95/46/CE fa obbligo agli Stati membri di garantire la tutela delle libertà e dei diritti fondamentali delle persone fisiche e particolarmente del diritto alla vita privata con riguardo al trattamento dei dati personali, al fine di assicurare la libera circolazione dei dati personali nella Comunità.
(10) La direttiva 97/66/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni (5) precisa e integra la direttiva 95/46/CE quanto al trattamento dei dati personali nel settore delle telecomunicazioni.
(11) Diverse altre misure comunitarie, in particolare quelle in tema di assistenza reciproca tra le amministrazioni nazionali e la Commissione, mirano ugualmente a precisare e integrare la direttiva 95/46/CE nel settore cui esse si riferiscono.
(12) Occorre garantire su tutto il territorio comunitario un’applicazione coerente ed omogenea delle norme relative alla tutela delle libertà e dei diritti fondamentali delle persone fisiche con riguardo al trattamento dei dati personali.
(13) Il risultato perseguito è quello di garantire tanto l’effettivo rispetto delle norme relative alla tutela delle libertà e dei diritti fondamentali delle persone fisiche quanto la libera circolazione dei dati personali tra gli Stati membri e le istituzioni o gli organismi comunitari, nonché fra le istituzioni e gli organismi comunitari stessi ai fini dell’esercizio delle rispettive competenze.
(14) Per meglio conseguire tale risultato occorre adottare norme vincolanti nei confronti delle istituzioni e degli organismi comunitari. È necessario applicare tali norme ad ogni trattamento di dati personali effettuato da tutte le istituzioni e gli organismi comunitari purché esso avvenga nell’esercizio di attività che rientrano in tutto o in parte nel campo di applicazione del diritto comunitario.
(15) Qualora tale trattamento venga effettuato dalle istituzioni e organi comunitari per esercitare attività che esulano dall’ambito di applicazione del presente regolamento, e in particolare quelle di cui ai titoli V e VI del trattato sull’Unione europea, la tutela dei diritti e delle libertà fondamentali delle persone è garantita ai sensi dell’articolo 6 del trattato sull’Unione europea. L’accesso ai documenti, anche contenenti dati personali, è soggetto alle disposizioni adottate in base all’articolo 255 TCE, che si applica anche ai titoli V e VI del TUE.
(16) Dette misure non si applicano ad organismi istituiti al di fuori dell’ambito comunitario e il garante europeo della protezione dei dati non è competente per la sorveglianza del trattamento dei dati personali effettuato da tali organismi.
(17) L’efficacia della tutela delle persone in relazione al trattamento dei dati personali nell’Unione presuppone la coerenza delle norme e delle procedure applicabili in materia ad attività inserite in quadri giuridici diversi. L’elaborazione di principi fondamentali relativi alla protezione dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione doganale e di polizia, nonché la creazione di un segretariato per le autorità di controllo comuni, istituite dalla convenzione Europol, la convenzione sull’uso dell’informatica nel settore doganale e la Convenzione Schengen, rappresentano una prima tappa a tale riguardo.
(18) È necessario che il presente regolamento prescinda dai diritti e gli obblighi degli Stati membri a titolo delle direttive 95/46/CE e 97/66/CE. Esso non si prefigge di modificare prassi e procedure legalmente applicate dagli Stati membri in materia di sicurezza nazionale, di tutela dell’ordine pubblico nonché di prevenzione, indagine, accertamento e perseguimento di reati, nel rispetto del Protocollo sui privilegi e sulle immunità delle Comunità europee e del diritto internazionale.
(19) Le istituzioni e gli organismi comunitari si rivolgono alle autorità competenti degli Stati membri se ravvisano l’opportunità di effettuare intercettazioni di comunicazioni sulle loro reti di telecomunicazioni conformemente alle disposizioni nazionali applicabili.
(20) È opportuno che le misure applicabili alle istituzioni e agli organismi comunitari corrispondano alle disposizioni previste per il ravvicinamento delle legislazioni nazionali o l’attuazione di altre politiche comunitarie, segnatamente in materia di assistenza reciproca. Tuttavia può rendersi necessario precisare e integrare tali disposizioni per garantire la protezione dei dati personali sottoposti a trattamento da istituzioni ed organismi comunitari.
(21) Ciò vale ugualmente per i diritti delle persone fisiche i cui dati personali sono sottoposti a trattamento, per gli obblighi delle istituzioni e degli organismi comunitari responsabili del trattamento, nonché per i poteri da conferire all’autorità di controllo indipendente incaricato di verificare la corretta applicazione del presente regolamento.
(22) È necessario che i diritti dell’interessato e il loro esercizio non pregiudichino gli obblighi imposti al responsabile del trattamento.
(23) L’autorità di controllo indipendente esercita il suo incarico in conformità del trattato e nel rispetto dei diritti dell’uomo e delle libertà fondamentali. Esso conduce le sue indagini nel rispetto del protocollo sui privilegi e sulle immunità e nel rispetto dello statuto dei funzionari e del regime applicabile agli altri agenti delle Comunità europee.
(24) Occorrerà adottare le misure tecniche necessarie per consentire l’accesso ai registri dei trattamenti tenuti dai responsabili della protezione dei dati tramite l’autorità di controllo indipendente.
(25) È opportuno che le decisioni dell’autorità di controllo indipendente riguardanti le deroghe, le garanzie, le autorizzazioni e le condizioni relative ai trattamenti di dati, quali definiti dal presente regolamento, siano pubblicate nel rapporto sulle attività svolte. A prescindere dalla pubblicazione annuale del rapporto sulle attività svolte, l’autorità di controllo indipendente può pubblicare relazioni su temi specifici.
(26) Taluni trattamenti che possono presentare rischi particolari per quanto riguarda i diritti e le libertà degli interessati sono soggetti a controllo preventivo dell’autorità di controllo indipendente. È necessario che il parere, anche tacito, emesso nell’ambito di detto controllo preventivo, non pregiudichi l’esercizio ulteriore da parte dell’organo di controllo indipendente delle sue competenze rispetto al trattamento in questione.
(27) Il trattamento di dati personali per l’esercizio delle funzioni svolte dalle istituzioni e dagli organismi comunitari nel pubblico interesse comprende il trattamento dei dati personali necessari alla gestione e al funzionamento di tali istituzioni e organismi.
(28) In certi casi, è necessario prevedere che il trattamento dei dati sia autorizzato da disposizioni comunitarie o atti di recepimento di disposizioni comunitarie. Tuttavia, a titolo transitorio, allorché tali disposizioni non esistono e in attesa della loro adozione, il garante europeo della protezione dei dati può autorizzare il trattamento di tali dati mediante l’adozione di garanzie adeguate. Al riguardo, egli tiene conto in particolare delle disposizioni adottate dagli Stati membri per casi simili.
(29) Tali casi riguardano il trattamento di dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, come pure il trattamento di dati relativi alla salute o alla vita sessuale che siano necessari per rispettare gli obblighi e i diritti specifici del responsabile del trattamento in materia di diritto del lavoro o per un motivo importante d’interesse pubblico. Si tratta anche del trattamento dei dati relativi alle infrazioni, alle condanne penali o alle misure di sicurezza, oppure ancora dell’autorizzazione ad applicare all’interessato una decisione che produca effetti giuridici nei suoi confronti o che la danneggi in modo significativo, fondata solo su un trattamento automatizzato dei dati destinato a valutare alcuni aspetti della sua personalità.
(30) Può essere necessario sottoporre a controllo le reti di calcolatori gestite sotto la responsabilità delle istituzioni e degli organismi della Comunità per prevenire un’utilizzazione non autorizzata. Il garante europeo della protezione dei dati stabilisce se e a quali condizioni il controllo può essere esercitato.
(31) La responsabilità per violazione del presente regolamento è disciplinata dall’articolo 288, secondo comma del trattato.
(32) Uno o più responsabili della protezione dei dati provvedono, all’interno di ciascuna istituzione o organismo della Comunità, all’applicazione del presente regolamento e consigliano i responsabili del trattamento nell’assolvimento dei loro obblighi.
(33) L’articolo 21 del regolamento (CE) n. 322/97 del Consiglio, del 17 febbraio 1997, relativo alle statistiche comunitarie (6) dispone che il regolamento si applica senza pregiudicare la direttiva 95/46/CE.
(34) L’articolo 8, paragrafo 8 del regolamento (CE) n. 2533/98 del Consiglio, del 23 novembre 1998, sulla raccolta di informazioni statistiche da parte della banca centrale europea (7) dispone che il regolamento si applica senza pregiudicare la direttiva 95/46/CE.
(35) L’articolo 1, paragrafo 2 del regolamento (Euratom, CEE) n. 1588/90 del Consiglio, dell’11 giugno 1990 relativo alla trasmissione all’istituto statistico delle Comunità europee di dati statistici protetti dal segreto (8) dispone che detto regolamento non deroga alle disposizioni particolari, comunitarie o nazionali, relative alla salvaguardia di segreti diversi da quello statistico.
(36) Il presente regolamento non è diretto a limitare gli ambiti di discrezionalità degli Stati membri per quanto attiene all’elaborazione della legislazione nazionale in materia di protezione dei dati adottata in virtù dell’articolo 32 della direttiva 95/46/CE, conformemente all’articolo 249 del trattato,
HANNO ADOTTATO IL PRESENTE REGOLAMENTO:
CAPO I
DISPOSIZIONI GENERALI
Articolo 1
(Oggetto)
1. Le istituzioni e gli organismi creati dai trattati che istituiscono le Comunità europee o sulla loro base (in prosieguo “le istituzioni e gli organismi comunitari”) garantiscono, conformemente alle disposizioni del presente regolamento, la tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare il diritto alla vita privata per quanto attiene al trattamento di dati personali. Essi non limitano né vietano la libera circolazione dei dati personali tra loro o verso i destinatari soggetti alla normativa nazionale degli Stati membri adottata in attuazione della direttiva 95/46/CE.
2. L’autorità di controllo indipendente istituita dal presente regolamento (in prosieguo “il garante europeo della protezione dei dati”) sorveglia l’applicazione delle disposizioni del presente regolamento a tutti i trattamenti dei dati personali eseguiti da un’istituzione o da un organismo comunitario.
Articolo 2
(Definizioni)
Ai fini del presente regolamento s’intende per:
a) “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile (in prosieguo “interessato”); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero d’identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;
b) “trattamento di dati personali” (in prosieguo “trattamento”): qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, l’allineamento o l’interconnessione, nonché il blocco, la cancellazione o la distruzione;
c) “archivio di dati personali” (in prosieguo “archivio”): qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
d) “responsabile del trattamento”: l’istituzione o l’organismo della Comunità, la direzione generale, l’unità o qualunque altra entità organizzativa che, singolarmente o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da un atto comunitario specifico, il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati da tale atto comunitario;
e) “incaricato del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;
f) “terzi”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che non sia l’interessato, il responsabile del trattamento, l’incaricato del trattamento o le persone autorizzate all’elaborazione dei dati sotto l’autorità diretta di questi ultimi;
g) “destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati, che si tratti o meno di terzi. Non sono tuttavia considerate destinatari le autorità alle quali i dati possono essere comunicati nell’ambito di una missione d’inchiesta specifica;
h) “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica e informata con la quale l’interessato accetta che i dati personali che la riguardano siano oggetto di un trattamento.
Articolo 3
( Campo d’applicazione )
1. Il presente regolamento si applica al trattamento di dati personali da parte di tutte le istituzioni e di tutti gli organismi comunitari, nella misura in cui detto trattamento avviene nell’esercizio di attività che rientrano in tutto o in parte nel campo di applicazione del diritto comunitario.
2. Il presente regolamento si applica al trattamento di dati personali, interamente o parzialmente automatizzato, nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi.
CAPO II
CONDIZIONI GENERALI DI LICEITÀ DEL TRATTAMENTO DI DATI PERSONALI
SEZIONE 1
PRINCIPI RELATIVI ALLA QUALITÀ DEI DATI
Articolo 4
(Qualità dei dati)
1. I dati personali devono essere:
a) trattati in modo corretto e lecito;
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Il trattamento successivo dei dati per scopi storici, statistici o scientifici non è ritenuto incompatibile, purché il responsabile del trattamento fornisca garanzie appropriate, in particolare per assicurare che i dati non siano trattati per altri fini e non siano utilizzati a sostegno di misure o decisioni riguardanti persone specifiche;
c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono raccolti o successivamente trattati;
d) esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in modo da consentire l’identificazione degli interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono raccolti o successivamente trattati. L’istituzione o l’organismo comunitario prevede, per i dati personali che devono essere conservati oltre il suddetto arco di tempo per scopi storici, statistici o scientifici, che siano conservati esclusivamente in una forma che li renda anonimi oppure, laddove non sia possibile, che siano conservati soltanto a condizione che l’identità dell’interessato sia criptata. I dati non devono in alcun caso essere utilizzati per scopi diversi da quelli storici, statistici o scientifici.
2. Il responsabile del trattamento garantisce il rispetto delle disposizioni del paragrafo 1.
SEZIONE 2
PRINCIPI RELATIVI ALLA LEGITTIMAZIONE DEL TRATTAMENTO DI DATI
Articolo 5
( Liceità del trattamento )
Il trattamento di dati personali può essere effettuato soltanto quando:
a) è necessario per l’esecuzione di una funzione di interesse pubblico in forza dei trattati che istituiscono le Comunità europee o di altri atti normativi adottati in base ad essi oppure per l’esercizio legittimo di pubblici poteri di cui sono investiti l’istituzione o l’organismo comunitario ovvero i terzi cui vengono comunicati i dati; oppure
b) è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento; oppure
c) è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali prese su richiesta dello stesso; oppure
d) l’interessato ha manifestato il proprio consenso in maniera inequivocabile; oppure
e) è necessario per la salvaguardia degli interessi vitali dell’interessato.
Articolo 6
( Cambiamento di finalità )
Fatti salvi gli articoli 4, 5 e 10:
1) Il trattamento dei dati personali per fini diversi da quelli per cui sono stati raccolti è consentito soltanto se il cambiamento di finalità è espressamente autorizzato dalla regolamentazione interna dell’istituzione o dell’organismo comunitario;
2) I dati personali raccolti allo scopo esclusivo di garantire la sicurezza o il controllo dei sistemi o del trattamento non possono essere impiegati per altri fini, a eccezione delle attività volte a prevenire, indagare, accertare e perseguire reati gravi.
Articolo 7
( Trasferimento di dati personali fra istituzioni e organismi comunitari o al loro interno )
Fatti salvi gli articoli 4, 5, 6 e 10:
1) Il trasferimento di dati personali ad altre istituzioni o ad altri organismi comunitari ovvero al loro interno è consentito unicamente se i dati sono necessari per il legittimo esercizio delle funzioni che rientrano nelle competenze del destinatario.
2) Se i dati sono trasferiti su richiesta del destinatario, il responsabile del trattamento e il destinatario sono entrambi responsabili della legittimità del trasferimento.
Il responsabile del trattamento è tenuto a verificare le competenze del destinatario e ad effettuare una valutazione provvisoria della necessità del trasferimento dei dati. Qualora emergano dubbi su tale necessità, il responsabile del trattamento chiede ulteriori spiegazioni al destinatario.
Il destinatario provvede a che si possa successivamente verificare la necessità del trasferimento dei dati.
3) Nel procedere al trattamento dei dati personali il destinatario persegue unicamente le finalità per cui questi gli sono stati trasmessi.
Articolo 8
( Trasferimento di dati personali a destinatari diversi da istituzioni e da organismi comunitari e soggetti alla direttiva 95/46/CE )
Fatti salvi gli articoli 4, 5, 6 e 10, è consentito trasferire dati personali a destinatari soggetti alla normativa nazionale adottata in attuazione della direttiva 95/46/CE soltanto:
a) se il destinatario dimostra che i dati sono necessari per l’espletamento di compiti nel pubblico interesse o che rientrano nell’esercizio della pubblica autorità; oppure
b) se il destinatario dimostra la necessità di trasmettergli tali dati e se non sussistono ragioni per presumere che possano subire pregiudizio interessi legittimi degli interessati.
Articolo 9
( Trasferimento di dati personali a destinatari diversi da istituzioni e da organismi comunitari e non soggetti alla direttiva 95/46/CE )
1. È consentito trasferire dati personali a destinatari che non siano le istituzioni e gli organismi comunitari né siano soggetti alla normativa nazionale adottata in attuazione della direttiva 95/46/CE se nel paese del destinatario o all’interno dell’organizzazione internazionale destinataria è assicurato un livello adeguato di protezione e se il trasferimento dei dati avviene strettamente nell’ambito dei compiti che rientrano nelle competenze del responsabile del trattamento.
2. L’adeguatezza del livello di protezione garantito dal paese terzo o dall’organizzazione internazionale in questione è valutata tenendo conto di tutte le circostanze relative ad un’operazione o ad un insieme di operazioni di trasferimento dei dati. In particolare sono presi in considerazione la natura dei dati, la finalità e la durata del trattamento previsto, il paese terzo o l’organizzazione internazionale destinatario, la normativa, generale o settoriale, vigente in tale paese o organizzazione internazionale, nonché le regole professionali e le misure di sicurezza osservate in quel paese o dall’organizzazione internazionale.
3. Le istituzioni e gli organismi comunitari informano la Commissione e il garante europeo della protezione dei dati circa i casi in cui a loro parere il paese terzo o l’organizzazione internazionale in questione non assicurano un livello adeguato di protezione ai sensi del paragrafo 2.
4. La Commissione informa gli Stati membri dei casi di cui al paragrafo 3.
5. Le istituzioni e gli organismi comunitari adottano le misure necessarie per conformarsi alle decisioni della Commissione che constatano, in applicazione dell’articolo 25, paragrafi 4 e 6 della direttiva 95/46/CE, che un paese terzo o un’organizzazione internazionale assicura o non assicura un livello adeguato di protezione.
6. In deroga ai paragrafi 1 e 2, le istituzioni e gli organismi comunitari possono trasferire dati personali a condizione che:
a) L’interessato abbia manifestato in maniera inequivocabile il proprio consenso al trasferimento previsto, oppure
b) il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato ed il responsabile del trattamento ovvero all’esecuzione di misure precontrattuali prese a richiesta di tale persona, oppure
c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il responsabile del trattamento e un terzo a favore dell’interessato, oppure
d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, ovvero per accertare, esercitare o difendere un diritto in via giudiziale, oppure
e) il trasferimento sia necessario per la salvaguardia di interessi vitali dell’interessato, oppure
f) il trasferimento sia effettuato a partire da un registro che, a norma del diritto comunitario, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, purché sussistano i requisiti per la consultazione previsti dalla normativa comunitaria.
7. Fatto salvo il paragrafo 6, il garante europeo della protezione dei dati può autorizzare un trasferimento, o un insieme di trasferimenti, di dati personali verso un paese terzo o un’organizzazione internazionale che non assicura un adeguato livello di protezione ai sensi dei paragrafi 1 e 2, se il responsabile del trattamento offre garanzie sufficienti per quanto riguarda la protezione della vita privata, delle libertà e dei diritti fondamentali delle persone, nonché per quanto riguarda l’esercizio dei relativi diritti; dette garanzie possono, in particolare, figurare in specifiche clausole contrattuali.
8. Le istituzioni e gli organismi comunitari informano il garante europeo della protezione dei dati in merito alle categorie di casi di applicazione del paragrafo 6 e 7.
SEZIONE 3
CATEGORIE PARTICOLARI DI TRATTAMENTO
Articolo 10
( Trattamento di categorie particolari di dati )
1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, come pure trattare dati relativi alla salute e alla vita sessuale.
2. Il paragrafo 1 non si applica quando:
a) l’interessato ha dato il proprio consenso esplicito a tale trattamento, eccezion fatta nel caso in cui la regolamentazione interna dell’istituzione o dell’organismo comunitario prevedano che il consenso dell’interessato non possa fare venir meno il divieto di cui al paragrafo 1, oppure
b) il trattamento in questione è necessario per assolvere agli obblighi ed esercitare i diritti specifici del responsabile del trattamento in materia di diritto del lavoro, se ed in quanto esso sia consentito in forza dei trattati che istituiscono le Comunità europee o di altri atti normativi adottati in base ad essi o, se necessario, nella misura in cui sia autorizzato dal garante europeo della protezione dei dati con adeguate misure di salvaguardia, oppure
c) il trattamento in questione è necessario per salvaguardare un interesse vitale dell’interessato o di un’altra persona, qualora l’interessato si trovi nell’incapacità fisica o giuridica di dare il proprio consenso, oppure
d) il trattamento riguarda dati resi manifestamente pubblici dall’interessato o è necessario per accertare, esercitare o difendere un diritto in via giudiziale, oppure
e) il trattamento in questione è eseguito, nell’ambito delle sue legittime attività e con adeguate garanzie, da un organismo senza fini di lucro che costituisca un ente integrato in un’istituzione o in un organismo comunitario cui in virtù dell’articolo 4 della direttiva 95/46/CE non si applica la normativa nazionale sulla protezione dei dati e che si prefigga finalità politiche, filosofiche, religiose o sindacali, purché il trattamento in questione riguardi unicamente i membri di detto organismo ovvero persone che sono in regolare contatto con esso per finalità connesse a quelle dell’organismo stesso e i dati non siano comunicati a terzi senza il consenso dell’interessato.
3. Il paragrafo 1 non si applica quando il trattamento dei dati è necessario in ambito medico per finalità di prevenzione, diagnosi, assistenza sanitaria o terapia ovvero gestione di centri di cura, e quando il trattamento dei medesimi dati è effettuato da un professionista della sanità vincolato al segreto professionale o da un’altra persona del pari soggetta a un equivalente obbligo di segretezza.
4. Purché siano fornite le garanzie del caso, e per motivi di interesse pubblico rilevante, oltre alle deroghe di cui al paragrafo 2, è possibile disporre ulteriori deroghe, previste dai trattati che istituiscono le Comunità europee o da altri atti normativi adottati in base ad essi o, se necessario, con una decisione del garante europeo della protezione dei dati.
5. I dati relativi ad infrazioni, condanne penali o misure di sicurezza possono essere oggetto di trattamento unicamente qualora ciò sia autorizzato dai trattati che istituiscono le Comunità europee o da altri atti normativi adottati in base ad essi, oppure, se necessario, dal garante europeo della protezione dei dati, fatte salve appropriate garanzie specifiche.
6. Il garante europeo della protezione dei dati stabilisce le condizioni alle quali un numero personale o qualsiasi altro mezzo d’identificazione d’uso generale può essere trattato da un’istituzione o un organismo della Comunità.
SEZIONE 4
INFORMAZIONE DEGLI INTERESSATI
Articolo 11
( Informazioni da fornire nel caso in cui i dati siano raccolti presso l’interessato )
1. Il responsabile del trattamento deve fornire all’interessato presso il quale effettua la raccolta dei dati che lo riguardano almeno le informazioni elencate qui di seguito, salvo che tale persona non ne disponga già:
a) l’identità del responsabile del trattamento;
b) le finalità del trattamento cui sono destinati i dati richiesti;
c) i destinatari o le categorie di destinatari dei dati;
d) il carattere obbligatorio o facoltativo delle risposte alle domande, nonché le possibili conseguenze di una mancata risposta;
e) l’esistenza di diritti di accesso e di rettifica in merito ai dati che riguardano l’interessato;
f) eventuali informazioni supplementari quali:
i) il fondamento giuridico del trattamento cui sono destinati i dati,
ii) i limiti di tempo per la conservazione dei dati,
iii) il diritto di rivolgersi in qualsiasi momento al garante europeo della protezione dei dati,
nella misura in cui tali informazioni supplementari siano necessarie, considerate le circostanze specifiche della raccolta dei dati, per garantire un corretto trattamento dei dati dell’interessato.
2. In deroga al paragrafo 1 la comunicazione delle informazioni in questione o di una parte di esse, tranne le informazioni di cui al paragrafo 1, lettere a), b) e d) può essere differita per il tempo necessario a fini statistici. Le informazioni devono essere fornite non appena vengano meno i motivi che ne impedivano la divulgazione.
Articolo 12
( Informazioni da fornire nel caso in cui i dati non siano stati raccolti presso l’interessato )
1. Qualora i dati non siano stati raccolti presso l’interessato, il responsabile del trattamento deve, al momento della registrazione dei dati personali, ovvero, qualora ne sia prevista la comunicazione a terzi, entro la prima comunicazione dei dati stessi fornire all’interessato, almeno le informazioni elencate qui di seguito, salvo che tale persona già non ne disponga:
a) l’identità del responsabile del trattamento;
b) le finalità del trattamento;
c) le categorie di dati in questione;
d) i destinatari o le categorie di destinatari dei dati;
e) l’esistenza di diritti di accesso e di rettifica in merito ai dati che riguardano l’interessato;
f) eventuali informazioni supplementari quali:
i) il fondamento giuridico del trattamento cui sono destinati i dati,
ii) i limiti di tempo per la conservazione dei dati,
iii) il diritto di rivolgersi in qualsiasi momento al garante europeo della protezione dei dati,
iv) l’origine dei dati, a meno che motivi connessi al segreto professionale non impediscano al responsabile del trattamento di renderla nota, nella misura in cui tali informazioni supplementari siano necessarie, considerate le circostanze specifiche della raccolta dei dati, per garantire un corretto trattamento dei dati dell’interessato.
2. Il paragrafo 1 non si applica qualora, in particolare nel trattamento di dati a scopi statistici ovvero di ricerca storica o scientifica, risulti impossibile o sproporzionatamente difficile informare l’interessato, oppure quando la registrazione o la comunicazione dei dati sia espressamente prescritta dal diritto comunitario. In questi casi le istituzioni o gli organismi comunitari prevedono garanzie appropriate, previa consultazione del garante europeo della protezione dei dati.
SEZIONE 5
DIRITTI DELL’INTERESSATO
Articolo 13
( Diritto di accesso )
Entro tre mesi dalla ricezione della richiesta d’informazioni, ogni interessato ha il diritto di ottenere liberamente, in qualunque momento e gratuitamente dal responsabile del trattamento:
a) la conferma che sia o meno in corso un trattamento di dati che lo riguardano;
b) informazioni almeno sulle finalità del trattamento, sulle categorie di dati trattati, sui destinatari o sulle categorie di destinatari cui vengono comunicati i dati;
c) la comunicazione in forma intelligibile dei dati oggetto del trattamento nonché di tutte le informazioni disponibili sulla loro origine;
d) informazioni sulla logica cui risponde qualsiasi trattamento automatizzato dei dati che la riguardano.
Articolo 14
( Rettifica )
L’interessato ha il diritto di ottenere dal responsabile del trattamento la pronta rettifica di dati personali inesatti o incompleti.
Articolo 15
( Blocco )
1. L’interessato ha il diritto di ottenere dal responsabile del trattamento il blocco dei dati nei casi seguenti:
a) quando sono oggetto di contestazione da parte dell’interessato, per un tempo tale da consentire al responsabile del trattamento di verificarne l’esattezza, inclusa la completezza, oppure
b) quando, benché il responsabile del trattamento non ne abbia più bisogno per l’esercizio delle sue funzioni, occorre conservarli in quanto elementi di prova, oppure
c) quando il trattamento cui sono stati sottoposti è illecito e l’interessato si oppone alla loro cancellazione e ne domanda invece il blocco.
2. Nei sistemi automatici di archiviazione, il blocco va assicurato in linea di massima mediante dispositivi tecnici. Il sistema deve indicare che i dati personali sono stati bloccati in modo da rendere evidente che non possono essere utilizzati.
3. I dati personali bloccati in applicazione del presente articolo sono oggetto di trattamento, ad eccezione delle operazioni volte a garantirne la conservazione, soltanto a fini probatori, o con il consenso dell’interessato ovvero per tutelare i diritti di terzi.
4. Prima che i dati siano sbloccati, il responsabile del trattamento ne informa l’interessato che ha chiesto e ottenuto il blocco dei dati che lo riguardano.
Articolo 16
( Cancellazione )
L’interessato ha il diritto di ottenere dal responsabile del trattamento la cancellazione di dati se il trattamento cui sono stati sottoposti si rivela illecito, in particolare in caso di violazione delle disposizioni di cui alle Sezioni 1, 2 e 3 del Capo II.
Articolo 17
( Notificazione a terzi )
L’interessato ha il diritto di ottenere che il responsabile del trattamento notifichi eventuali rettifiche, cancellazioni o blocchi ai sensi degli articoli 13, 14, 15 e 16 ai terzi ai quali sono stati comunicati i dati blocchi, a meno che la notificazione non risulti impossibile o sproporzionatamente difficile.
Articolo 18
( Diritto di opposizione dell’interessato )
L’interessato ha il diritto di:
a) opporsi in qualsiasi momento, per motivi preminenti e legittimi connessi alla sua situazione particolare, al trattamento di dati che lo riguardano, salvo nei casi previsti dall’articolo 5, lettere b), c) e d). Qualora l’opposizione si riveli fondata, tali dati non possono più essere oggetto del trattamento;
b) essere informato prima che i dati personali siano comunicati per la prima volta a terzi o siano utilizzati per conto di questi ultimi a fini di propaganda commerciale diretta e di essere messo espressamente al corrente della possibilità di opporsi senza oneri a tale comunicazione o utilizzazione.
Articolo 19
( Decisioni individuali automatiche )
L’interessato ha il diritto di non essere sottoposto a una decisione che produca effetti giuridici o abbia effetti significativi nei suoi confronti basata solo su un trattamento automatizzato di dati per valutare taluni aspetti personali che lo riguardano, quali il rendimento professionale, l’affidabilità o il comportamento, salvo che la decisione sia espressamente autorizzata dalla normativa nazionale o comunitaria o, se necessario, dal garante europeo della protezione dei dati. In entrambi i casi devono essere adottate misure volte a salvaguardare i legittimi interessi dell’interessato, ad esempio facendo in modo che questi possa esprimere il proprio parere.
SEZIONE 6
DEROGHE E LIMITAZIONI
Articolo 20
( Deroghe e limitazioni )
1. Le istituzioni e gli organismi comunitari possono limitare l’applicazione dell’articolo 4, paragrafo 1, dell’articolo 11, dell’articolo 12, paragrafo 1, degli articoli 13, 14, 15, 16 e 17 e dell’articolo 37, paragrafo 1 se e in quanto necessario per salvaguardare:
a) le attività volte a prevenire, indagare, accertare e perseguire reati;
b) importanti interessi economici o finanziari di uno Stato membro o dell’Unione europea, anche in campo monetario, fiscale e di bilancio;
c) la tutela dell’interessato o dei diritti e delle libertà altrui;
d) la sicurezza nazionale, la sicurezza pubblica e la difesa degli Stati membri;
e) una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere a) e b).
2. Gli articoli da 13 a 16 non si applicano qualora i dati siano trattati unicamente per scopi di ricerca scientifica o siano conservati sotto forma di dati personali per un periodo di tempo non superiore a quello strettamente necessario all’elaborazione di statistiche, a condizione che risulti chiaramente escluso ogni rischio di violazione della vita privata dell’interessato e che il responsabile del trattamento fornisca adeguate garanzie giuridiche, in particolare affinché i dati non siano utilizzati per adottare misure o decisioni concernenti una determinata persona.
3. Qualora si applichi una delle limitazioni di cui al paragrafo 1 l’interessato è informato, conformemente al diritto comunitario, dei principali motivi della limitazione e del suo diritto di adire il garante europeo della protezione dei dati.
4. Qualora si applichino le limitazioni previste al paragrafo 1 per negare all’interessato l’accesso ai dati che lo riguardano, il garante europeo della protezione dei dati, nell’esaminare il reclamo, gli comunica solo se i dati sono stati trattati correttamente ovvero, in caso contrario, se sono state apportate tutte le rettifiche necessarie.
5. L’informazione di cui ai paragrafi 3 e 4 può essere rinviata fino a quando privi d’effetto la limitazione di cui al paragrafo 1.
SEZIONE 7
RISERVATEZZA E SICUREZZA DEL TRATTAMENTO DEI DATI
Articolo 21
( Riservatezza del trattamento )
La persona impiegata da un’istituzione o un organismo della Comunità, come pure l’istituzione o organismo comunitario che agisce in quanto incaricato del trattamento, che abbia accesso a dati personali effettua il trattamento degli stessi solo su istruzione del responsabile del trattamento, salvo che la legislazione nazionale o comunitaria lo richieda.
Articolo 22
( Sicurezza del trattamento )
1. Tenuto conto dell’evoluzione tecnica e dei costi della sua applicazione, il responsabile del trattamento adotta opportune misure tecniche ed organizzative per garantire un livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta e alla natura dei dati personali da proteggere.
Tali misure sono adottate in particolare per evitare la divulgazione o l’accesso non autorizzati, la distruzione accidentale o illecita o la perdita accidentale o l’alterazione dei dati, nonché per impedire qualsiasi altra forma illecita di trattamento.
2. In caso di trattamento automatizzato dei dati personali sono adottate misure in funzione dei rischi in particolare per:
a) evitare che persone non autorizzate accedano ai sistemi informatici utilizzati per trattare i dati personali;
b) evitare qualunque forma non autorizzata di lettura, riproduzione, alterazione o rimozione dei supporti di memorizzazione;
c) evitare qualsiasi immissione non autorizzata di dati in memoria nonché ogni divulgazione, alterazione o cancellazione non autorizzata di dati personali memorizzati;
d) evitare che persone non autorizzate utilizzino i sistemi di trattamento dei dati avvalendosi d’infrastrutture destinate alla trasmissione dei dati;
e) assicurare che le persone autorizzate ad utilizzare un sistema di trattamento dei dati non possano accedere a dati personali diversi da quelli cui si riferisce il loro diritto di accesso;
f) registrare quali dati personali sono stati comunicati, in quale momento e a chi;
g) assicurare che in un momento successivo sia possibile verificare quali dati personali sono stati trattati, in quale momento e da chi;
h) assicurare che per i trattamenti di dati personali effettuati per conto di terzi possano valere solo le modalità prescritte dall’istituzione o dall’organismo contraente;
i) assicurare che nel corso delle operazioni di comunicazione di dati personali e durante il trasporto dei supporti di memorizzazione i dati non possano essere letti, copiati o cancellati senza autorizzazione;
j) strutturare l’organizzazione interna d’istituzioni o organismi in modo da soddisfare le particolari esigenze connesse alla protezione dei dati.
Articolo 23
( Trattamento di dati personali per conto del responsabile del trattamento )
1. Quando il trattamento viene eseguito per conto del responsabile del trattamento questi sceglie un incaricato che fornisca adeguate garanzie in rapporto alle misure tecniche e organizzative di sicurezza previste dall’articolo 22 e si assicura dell’osservanza di tali misure.
2. Il trattamento per conto terzi è disciplinato da un contratto o da un atto giuridico che vincoli l’incaricato del trattamento al responsabile del trattamento e disponga in particolare che:
a) l’incaricato del trattamento agisca soltanto su istruzioni del responsabile del trattamento;
b) anche l’incaricato del trattamento sia soggetto agli obblighi di cui agli articoli 21 e 22, a meno che, a norma dell’articolo 16 o dell’articolo 17, paragrafo 3, secondo trattino, della direttiva 95/46/CE, l’incaricato del trattamento sia già soggetto agli obblighi di riservatezza e di sicurezza previsti dalla legislazione nazionale di uno degli Stati membri.
3. A fini probatori, le clausole del contratto o le disposizioni dell’atto giuridico inerenti alla protezione dei dati e gli obblighi relativi alle misure di cui all’articolo 22 sono stipulati per iscritto o in altra forma equivalente.
SEZIONE 8
RESPONSABILE DELLA PROTEZIONE DEI DATI
Articolo 24
(Nomina e mandato del responsabile della protezione dei dati)
1. Ogni istituzione ed organismo della Comunità nomina almeno un responsabile della protezione dei dati personali con il mandato di:
a) garantire che i responsabili del trattamento e gli interessati siano informati dei propri diritti ed obblighi ai sensi del presente regolamento;
b) rispondere alle richieste del garante europeo della protezione dei dati e, nell’ambito delle sue competenze, cooperare con il garante europeo della protezione dei dati su richiesta di quest’ultimo o di propria iniziativa;
c) garantire in maniera indipendente che le disposizioni del presente regolamento vengano applicate all’interno dell’istituzione o organismo di cui fa parte;
d) tenere il registro delle operazioni effettuate dal responsabile del trattamento, riportandovi le informazioni di cui all’articolo 25, paragrafo 2;
e) notificare al garante europeo della protezione dei dati i trattamenti che possono presentare rischi specifici ai sensi dell’articolo 27.
Il responsabile garantisce in tal modo che i trattamenti non arrechino pregiudizio ai diritti e alle libertà degli interessati.
2. Il responsabile della protezione dei dati è scelto in funzione delle sue qualità personali e professionali e, in particolare, delle sue conoscenze specifiche in materia di protezione dei dati.
3. La scelta del responsabile della protezione dei dati non deve dar luogo a un possibile conflitto di interessi tra la sua funzione di responsabile ed altre eventuali funzioni di ufficio, in particolare nell’ambito dell’applicazione delle disposizioni del presente regolamento.
4. Il responsabile della protezione dei dati è nominato per un periodo da due a cinque anni. Il suo mandato è rinnovabile; la durata complessiva del mandato non può superare i dieci anni. Può essere destituito dalle sue funzioni di responsabile della protezione dei dati dall’istituzione o organismo comunitario che lo ha nominato solo con il consenso del garante europeo della protezione dei dati, se non soddisfa più le condizioni richieste per l’esercizio delle sue funzioni.
5. La nomina del responsabile della protezione dei dati è comunicata al garante europeo della protezione dei dati dall’istituzione o dall’organismo comunitario che lo ha nominato.
6. Il responsabile della protezione dei dati ottiene dall’istituzione o dall’organismo comunitario che lo ha nominato il personale e le risorse necessarie all’esercizio delle sue funzioni.
7. Il responsabile della protezione dei dati non può ricevere alcuna istruzione per quanto riguarda l’esercizio delle sue funzioni.
8. Altre norme d’attuazione relative al responsabile della protezione dei dati sono adottate da ogni istituzione o organismo della Comunità nel rispetto delle disposizioni che figurano nell’allegato. Tali norme d’attuazione potranno in particolare riguardare le funzioni, gli obblighi e le competenze del responsabile della protezione dei dati.
Articolo 25
(Notificazione al responsabile della protezione dei dati)
1. Prima di eseguire uno o più trattamenti dei dati, destinati al conseguimento di una o più finalità correlate, il responsabile del trattamento ne informa il responsabile della protezione dei dati.
2. Le informazioni da fornire includono:
a) il nome e l’indirizzo del responsabile del trattamento e l’indicazione dei servizi di un’istituzione o un organismo incaricati del trattamento di dati personali per una particolare finalità;
b) la finalità o le finalità del trattamento;
c) una descrizione della categoria o delle categorie di interessati e dei pertinenti dati o categorie di dati;
d) il fondamento giuridico del trattamento al quale sono destinati i dati;
e) i destinatari o le categorie di destinatari ai quali possono essere comunicati i dati;
f) un’indicazione generale dei termini ultimi per bloccare e cancellare le diverse categorie di dati;
g) i trasferimenti di dati previsti verso paesi terzi o organizzazioni internazionali;
h) una descrizione generale che consenta una prima valutazione dell’adeguatezza delle misure adottate in forza dell’articolo 22 per garantire la sicurezza del trattamento.
3. Il responsabile della protezione dei dati deve essere informato senza indugio di ogni modifica relativa alle informazioni di cui al paragrafo 2.
Articolo 26
(Registro)
Ogni responsabile della protezione dei dati tiene un registro dei trattamenti notificati a norma dell’articolo 25.
Il registro riporta almeno le informazioni di cui all’articolo 25, paragrafo 2, lettere da a) a g). Il registro può essere consultato da chiunque direttamente o indirettamente tramite il garante europeo della protezione dei dati.
SEZIONE 9
CONTROLLO PREVENTIVO DA PARTE DEL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI E OBBLIGO DI COLLABORAZIONE
Articolo 27
(Controllo preventivo)
1. I trattamenti che possono presentare rischi specifici per i diritti e le libertà degli interessati, per la loro natura, oggetto o finalità sono soggetti a controllo preventivo da parte del garante europeo della protezione dei dati.
2. Possono presentare tali rischi i seguenti trattamenti:
a) i trattamenti di dati relativi alla salute e quelli relativi a sospetti, infrazioni, condanne penali o misure di sicurezza;
b) i trattamenti destinati a valutare aspetti della personalità degli interessati, inclusi aspetti quali capacità, efficienza e comportamento;
c) i trattamenti che consentono delle interconnessioni tra i dati trattati per finalità diverse e non previste dalla normativa nazionale o comunitaria;
d) i trattamenti volti ad escludere taluno dal beneficio di un diritto, di una prestazione o della conclusione di un contratto.
3. I controlli preventivi sono effettuati dal garante europeo della protezione dei dati previa notificazione da parte del responsabile della protezione dei dati, il quale, in caso di dubbio circa la necessità di un controllo preventivo, consulta il garante europeo della protezione dei dati.
4. Il garante europeo della protezione dei dati emette un parere entro due mesi dal ricevimento della notificazione. Il periodo può essere sospeso fino a quando il garante europeo della protezione dei dati non abbia ricevuto le ulteriori informazioni richieste. Se la complessità del fascicolo lo richiede, detto termine può essere prorogato per altri due mesi con decisione del garante europeo della protezione dei dati. La decisione in questione è notificata al responsabile del trattamento prima dello scadere del periodo iniziale di due mesi.
La mancata adozione di un parere entro il termine di due mesi, eventualmente prorogato, equivale a un parere favorevole.
Se a giudizio del garante europeo della protezione dei dati il trattamento notificato rischia di comportare una violazione di qualche disposizione del presente regolamento, egli formula ove necessario proposte per evitare tale violazione. Se il responsabile del trattamento non modifica il trattamento stesso di conseguenza, il garante europeo della protezione dei dati può esercitare i poteri che gli conferisce l’articolo 47, paragrafo 1.
5. Il garante europeo della protezione dei dati tiene un registro di tutti i trattamenti che gli sono stati notificati a norma del paragrafo 2. Il registro contiene le informazioni enumerate all’articolo 25. Esso può essere consultato da chiunque.
Articolo 28
(Consultazione)
1. Le istituzioni e gli organismi comunitari informano il garante europeo della protezione dei dati al momento di elaborare provvedimenti amministrativi in tema di trattamento di dati personali che interessino un’istituzione o un organismo della Comunità singolarmente o congiuntamente.
2. Al momento dell’adozione di una proposta legislativa sulla tutela dei diritti e delle libertà fondamentali delle persone in relazione al trattamento di dati personali, la Commissione consulta il garante europeo della protezione dei dati.
Articolo 29
( Obbligo d’informazione )
Le istituzioni e gli organismi comunitari informano il garante europeo della protezione dei dati delle misure adottate in seguito alle decisioni o autorizzazioni di cui all’articolo 46, lettera h).
Articolo 30
( Obbligo di collaborare )
A richiesta del garante europeo della protezione dei dati, i responsabili del trattamento lo assistono nell’esercizio delle sue funzioni, fornendogli in particolare le informazioni di cui all’articolo 47, paragrafo 2, lettera a), e accordandogli l’accesso di cui all’articolo 47, paragrafo 2, lettera b).
Articolo 31
( Obbligo di rispondere ai rilievi )
A seguito dell’esercizio dei poteri da parte del garante europeo della protezione dei dati a norma dell’articolo 47, paragrafo 1, lettera b), il responsabile del trattamento in questione gli comunica il proprio punto di vista entro un termine ragionevole fissato dal garante europeo della protezione dei dati. Il parere comprende anche una descrizione degli eventuali provvedimenti presi a seguito delle osservazioni del garante europeo della protezione dei dati.
CAPO III
MEZZI DI RICORSO
Articolo 32
( Mezzi di ricorso )
1. La Corte di giustizia delle Comunità europee è competente a conoscere delle controversie relative alle disposizioni del presente regolamento, incluse le azioni per risarcimento del danno.
2. Fatta salva la possibilità di ricorso giurisdizionale, qualunque interessato può presentare un reclamo al garante europeo della protezione dei dati se ritiene che i diritti riconosciutigli a norma dell’articolo 286 del trattato siano stati violati in seguito a un trattamento di dati personali che lo riguardano effettuato da un’istituzione o da un organismo comunitario.
La mancata risposta del garante europeo della protezione dei dati entro sei mesi equivale a una decisione di rigetto del reclamo.
3. Avverso le decisioni del garante europeo della protezione dei dati può essere proposto ricorso dinanzi alla Corte di giustizia delle Comunità europee.
4. Chiunque abbia subito un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni del presente regolamento ha il diritto di ottenere il risarcimento del danno subito a norma dell’articolo 288 del trattato.
Articolo 33
(Reclami del personale comunitario)
Qualsiasi persona alle dipendenze di un’istituzione o di un organismo della Comunità può presentare un reclamo al garante europeo della protezione dei dati senza seguire la via gerarchica per una asserita violazione delle norme del presente regolamento relative al trattamento dei dati personali. Nessun pregiudizio può derivare ad alcuno dalla presentazione al garante europeo della protezione dei dati di un reclamo relativo ad un’asserita violazione delle norme sul trattamento dei dati personali.
CAPO IV
PROTEZIONE DEI DATI PERSONALI E TUTELA DELLA VITA PRIVATA NELL’AMBITO DELLE RETI INTERNE DI TELECOMUNICAZIONI
Articolo 34
(Campo d’applicazione)
Fatte salve le altre disposizioni del presente regolamento, al trattamento di dati personali connesso con l’uso di reti o terminali di telecomunicazione che funzionano sotto il controllo di un’istituzione o di un organismo comunitario si applica il presente Capo.
Ai fini del presente Capo per “utente” s’intende qualsiasi persona fisica che si serve di una rete o di un terminale di telecomunicazione che funzionano sotto il controllo di un’istituzione o di un organismo comunitario.
Articolo 35
(Sicurezza)
1. Le istituzioni e gli organismi comunitari adottano appropriate misure di natura tecnica ed organizzativa per garantire un uso sicuro delle reti e dei terminali di telecomunicazioni, all’occorrenza in collaborazione con i fornitori di servizi di telecomunicazioni accessibili al pubblico e/o con i fornitori di reti di telecomunicazioni pubbliche. Tenuto conto delle possibilità tecniche più recenti e dei costi da sostenere per l’adeguamento, le suddette misure devono assicurare un livello di sicurezza adeguato al rischio esistente.
2. Qualora sussistano particolari rischi di violazioni della sicurezza della rete e dei terminali, l’istituzione o l’organismo comunitario in questione informano gli utenti in merito a tali rischi ed alle possibilità di contromisure e di mezzi di comunicazione alternativi.
Articolo 36
(Riservatezza delle comunicazioni)
Le istituzioni e gli organismi comunitari garantiscono la riservatezza delle comunicazioni effettuate tramite le reti e i terminali di telecomunicazioni nel rispetto dei principi generali del diritto comunitario.
Articolo 37
(Dati relativi al traffico delle comunicazioni e alla fatturazione)
1. Fatti salvi i paragrafi 2, 3 e 4, i dati sul traffico delle comunicazioni relativi agli utenti, che sono trattati e conservati per stabilire le chiamate ed altri collegamenti sulla rete di telecomunicazioni, sono cancellati o resi anonimi contestualmente alla cessazione della chiamata o di altro collegamento.
2. Se necessario, i dati sul traffico indicati in un elenco approvato dal garante europeo della protezione dei dati possono essere sottoposti a trattamento a fini di gestione del bilancio e del traffico delle telecomunicazioni, nonché di verifica dell’utilizzazione autorizzata del sistema di telecomunicazioni. Tali dati dovranno essere cancellati o resi anonimi non appena possibile e non oltre sei mesi dalla loro raccolta, a meno che la loro ulteriore conservazione non sia necessaria all’accertamento, all’esercizio o alla difesa di un diritto, in una causa pendente in sede giudiziaria.
3. I trattamenti dei dati pertinenti al traffico delle comunicazioni e alla fatturazione devono essere effettuati unicamente da persone incaricate di gestire la fatturazione, il traffico o il bilancio.
4. Gli utenti delle reti di telecomunicazioni hanno il diritto di richiedere fatture o altri resoconti non dettagliati delle chiamate effettuate.
Articolo 38
(Elenchi di utenti)
1. I dati personali contenuti in elenchi cartacei o elettronici di utenti e l’accesso a detti elenchi sono limitati allo stretto necessario ai fini specifici degli elenchi.
2. Le istituzioni e gli organismi comunitari prendono le misure necessarie per impedire che i dati personali contenuti in tali elenchi siano utilizzati a fini di diffusione commerciale diretta, indipendentemente dal fatto che gli elenchi siano o meno accessibili al pubblico.
Articolo 39
(Identificazione della linea chiamante e della linea chiamata e restrizione di tale funzione)
1. Qualora sia offerto il servizio di identificazione della linea chiamante, l’utente chiamante deve poterlo disattivare facilmente e senza oneri.
2. Qualora sia offerto il servizio di identificazione della linea chiamante, l’utente chiamato deve poter disattivare facilmente e senza oneri l’identificazione delle chiamate in entrata.
3. Qualora sia offerto il servizio di identificazione della linea chiamata, l’utente chiamato deve poter disattivare tale identificazione presso il chiamante facilmente e senza oneri.
4. Qualora sia offerto il servizio di identificazione della linea chiamante o chiamata, le istituzioni e gli organismi comunitari informano gli utenti di questa possibilità e di quelle di cui ai paragrafi 1, 2 e 3.
Articolo 40
Deroghe
Le istituzioni e gli organismi comunitari provvedono affinché procedure trasparenti disciplinino il modo in cui possono scavalcare la disattivazione dell’identificazione della linea chiamante:
a) per un periodo determinato, quando un utente chieda l’identificazione di chiamate moleste o malintenzionate;
b) per linee determinate, nel caso di organizzazioni che rispondono a chiamate d’emergenza, al fine di dare seguito a tali chiamate.
CAPO V
AUTORITÀ DI CONTROLLO INDIPENDENTE: IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI
Articolo 41
(Garante europeo della protezione dei dati)
1. È istituita un’autorità di controllo indipendente denominata garante europeo della protezione dei dati.
2. Il garante europeo della protezione dei dati ha il compito di garantire il rispetto dei diritti e delle libertà fondamentali delle persone fisiche, segnatamente del diritto alla vita privata, riguardo al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari.
Il garante europeo della protezione dei dati ha il compito di sorvegliare e assicurare l’applicazione del presente regolamento e di qualunque altro atto comunitario relativo alla tutela dei diritti e delle libertà fondamentali delle persone fisiche riguardo al trattamento dei dati personali da parte di un’istituzione o di un organismo comunitario, e di fornire alle istituzioni e agli organismi comunitari nonché agli interessati pareri su tutte le questioni relative al trattamento dei dati personali. A tal fine esso assolve agli obblighi previsti all’articolo 46 ed esercita i poteri attribuitigli dall’articolo 47.
Articolo 42
(Nomina)
1. Il Parlamento europeo e il Consiglio nominano di comune accordo il garante europeo della protezione dei dati, per un periodo di cinque anni, in base ad un elenco predisposto dalla Commissione dopo un invito pubblico a presentare candidature.
Un garante aggiunto è nominato con la stessa procedura e per la stessa durata, con il compito di assistere il garante nell’esercizio delle sue funzioni e di sostituirlo in caso di assenza o impedimento.
2. Il garante europeo della protezione dei dati è scelto tra personalità che offrono ogni garanzia di indipendenza e che possiedono un’esperienza e delle competenze notorie per l’esercizio delle funzioni di garante europeo della protezione dei dati, come ad esempio il far parte o l’aver fatto parte delle autorità di controllo di cui all’articolo 28 della direttiva 95/46/CE.
3. Il mandato del garante europeo della protezione dei dati è rinnovabile.
4. Oltre che per la normale procedura di sostituzione o per decesso, il mandato del garante europeo della protezione dei dati cessa in caso di dimissioni o di provvedimento d’ufficio, a norma del paragrafo 5.
5. Il garante europeo della protezione dei dati può essere rimosso o privato del diritto a pensione o di altri vantaggi sostitutivi dalla Corte di giustizia su richiesta del Parlamento europeo, del Consiglio o della Commissione qualora non sia più in possesso dei requisiti necessari all’esercizio delle sue funzioni o abbia commesso una colpa grave.
6. In caso di normale avvicendamento o di dimissioni volontarie, il garante europeo della protezione dei dati resta comunque in carica fino all’atto della sua sostituzione.
7. Gli articoli da 12 a 15 e l’articolo 18 del protocollo sui privilegi e sulle immunità delle Comunità europee si applicano anche al garante europeo della protezione dei dati.
8. Al garante aggiunto si applicano i paragrafi da 2 a 7.
Articolo 43
( Statuto e condizioni generali di esercizio delle funzioni di garante europeo della protezione dei dati, risorse umane e finanziarie)
1. Il Parlamento europeo, il Consiglio e la Commissione fissano di comune accordo lo statuto e le condizioni generali di esercizio delle funzioni di garante europeo della protezione dei dati e, in particolare, la retribuzione, le indennità ed ogni altro compenso sostitutivo.
2. L’autorità di bilancio provvede a che il garante europeo della protezione dei dati disponga delle risorse umane e finanziarie necessarie per l’esercizio delle sue funzioni.
3. Il bilancio assegnato al garante europeo della protezione dei dati figura su una linea specifica della sezione VIII del bilancio generale dell’Unione europea.
4. Il garante europeo della protezione dei dati è assistito da un segretariato. I funzionari e altri agenti sono nominati dal garante europeo della protezione dei dati che è il loro superiore gerarchico ed alle cui istruzioni sono tenuti a conformarsi. Il numero di detti funzionari ed agenti è stabilito ogni anno nell’ambito della procedura di bilancio.
5. I funzionari e gli altri agenti addetti al segretariato del garante europeo della protezione dei dati sono soggetti alla normativa relativa ai funzionari e agli altri agenti delle Comunità europee.
6. Per le questioni relative al personale alle sue dipendenze il garante europeo della protezione dei dati è equiparato alle istituzioni comunitarie ai sensi dell’articolo 1 dello statuto dei funzionari delle Comunità europee.
Articolo 44
(Indipendenza)
1. Il garante europeo della protezione dei dati esercita le sue funzioni in piena indipendenza.
2. Nell’adempimento delle sue funzioni il garante europeo della protezione dei dati non sollecita né accetta istruzioni da alcuno.
3. Per tutta la durata del mandato, il garante europeo della protezione dei dati si astiene da qualunque azione incompatibile con i suoi doveri e non può esercitare alcuna altra attività professionale, remunerata o meno.
4. Al termine del mandato il garante europeo della protezione dei dati agisce con integrità e discrezione nell’accettazione di nomine e altri benefici.
Articolo 45
(Segreto professionale)
Durante e dopo il mandato il garante europeo della protezione dei dati ed il personale alle sue dipendenze sono tenuti al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso durante l’esercizio delle loro funzioni.
Articolo 46
( Funzioni )
Il garante europeo della protezione dei dati assolve i seguenti compiti:
a) tratta i reclami e compie i relativi accertamenti, e ne comunica l’esito agli interessati entro un termine ragionevole;
b) svolge indagini di propria iniziativa o in seguito a un reclamo e ne comunica l’esito agli interessati entro un termine ragionevole;
c) sorveglia e garantisce l’applicazione del presente regolamento e di qualunque altro atto comunitario relativo alla tutela delle persone fisiche riguardo al trattamento dei dati personali da parte di un’istituzione o di un organismo comunitario, fatta eccezione per la Corte di giustizia delle Comunità europee nell’esercizio delle sue funzioni giurisdizionali;
d) consiglia le istituzioni e gli organismi comunitari, di propria iniziativa o su richiesta, in ordine a qualsiasi argomento relativo al trattamento di dati personali, in particolare prima che essi adottino regolamentazioni interne relative alla tutela dei diritti e delle libertà fondamentali riguardo al trattamento di dati personali;
e) sorveglia l’evoluzione delle tecnologie che presentano un interesse, se ed in quanto incidenti sulla protezione dei dati personali, in particolare l’evoluzione delle tecnologie dell’informazione e della comunicazione;
f) i) collabora con le autorità nazionali di controllo di cui all’articolo 28 della direttiva 95/46/CE dei paesi cui si applica tale direttiva se ed in quanto ciò risulti necessario per l’adempimento dei rispettivi obblighi, in particolare scambiando ogni informazione utile, chiedendo a dette autorità o organi di esercitare le loro funzioni o rispondendo a loro richieste;
ii) collabora altresì con gli organi di controllo della protezione dei dati istituiti in virtù del titolo VI del trattato sull’Unione europea, in particolare per rendere più coerente l’applicazione delle norme e procedure che sono rispettivamente incaricati di fare osservare;
g) partecipa alle attività del “Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali”, istituito dall’articolo 29 della direttiva 95/46/CE;
h) determina, motiva e rende pubbliche le deroghe, le garanzie, le autorizzazioni e le condizioni di cui all’articolo 10, paragrafo 2, lettera b), paragrafi 4, 5 e 6, all’articolo 12, paragrafo 2, all’articolo 19 e all’articolo 37, paragrafo 2;
i) tiene un registro dei trattamenti notificatigli ai sensi dell’articolo 27, paragrafo 2, e registrati a norma dell’articolo 27, paragrafo 5, e fornisce i mezzi necessari per accedere ai registri tenuti dai responsabili della protezione dei dati a norma dell’articolo 26;
j) procede ad un esame preventivo dei trattamenti notificatigli;
k) adotta il proprio regolamento interno.
Articolo 47
(Competenze)
1. Il garante europeo della protezione dei dati può:
a) offrire consulenza agli interessati nell’esercizio dei loro diritti;
b) rivolgersi al responsabile del trattamento in caso di asserita violazione delle disposizioni sul trattamento dei dati personali e, all’occorrenza, presentare proposte volte a porre rimedio a tale violazione e a migliorare la protezione degli interessati;
c) ordinare che siano soddisfatte le richieste di esercizio di determinati diritti allorché dette richieste siano state respinte in violazione degli articoli da 13 a 19;
d) rivolgere avvertimenti o moniti al responsabile del trattamento;
e) ordinare la rettifica, il blocco, la cancellazione o la distruzione di tutti i dati che siano stati trattati in violazione delle disposizioni sul trattamento dei dati personali e la notificazione di misure ai terzi ai quali i dati sono stati comunicati;
f) vietare trattamenti a titolo provvisorio o definitivo;
g) adire l’istituzione o l’organismo comunitario in questione e, se necessario, il Parlamento europeo, il Consiglio e la Commissione;
h) adire la Corte di giustizia delle Comunità europee alle condizioni previste dal trattato;
i) intervenire nelle cause dinanzi alla Corte di Giustizia delle Comunità europee.
2. Il garante europeo della protezione dei dati ha il potere di:
a) ottenere da un responsabile del trattamento o da un’istituzione o un organismo comunitario l’accesso a tutti i dati personali e a tutte le informazioni necessarie alle sue indagini;
b) accedere a tutti i locali in cui un responsabile del trattamento o un’istituzione o un organismo comunitario svolge le sue attività se si può ragionevolmente supporre che in essi viene svolta un’attività in applicazione del presente regolamento.
Articolo 48
(Rapporto sulle attività)
1. Il garante europeo della protezione dei dati presenta al Parlamento europeo, al Consiglio e alla Commissione un rapporto annuale sulla propria attività, rendendolo pubblico allo stesso tempo.
2. Il garante europeo trasmette il rapporto sulle attività alle altre istituzioni e agli altri organismi dell’Unione europea che possono formulare osservazioni in vista dell’eventuale discussione del rapporto stesso presso il Parlamento europeo, in particolare per quanto riguarda la descrizione dei provvedimenti adottati a seguito delle osservazioni del garante europeo della protezione dei dati ai sensi dell’articolo 31.
CAPO VI
DISPOSIZIONI FINALI
Articolo 49
(Sanzioni)
Il funzionario o altro agente delle Comunità europee che, volontariamente o per negligenza, non assolva agli obblighi previsti dal presente regolamento è passibile di provvedimenti disciplinari, secondo le norme e le procedure previste dallo statuto dei funzionari delle Comunità europee o dai regime applicabile agli altri agenti.
Articolo 50
(Periodo transitorio)
Le istituzioni e gli organismi comunitari provvedono a che i trattamenti in corso alla data di entrata in vigore del presente regolamento siano rese conformi allo stesso entro un anno a decorrere da tale data.
Articolo 51
(Entrata in vigore)
Il presente regolamento entra in vigore il ventesimo giorno successivo alla data della pubblicazione nella Gazzetta ufficiale delle Comunità europee.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, addì 18 dicembre 2000.
Per il Parlamento europeo
La Presidente
N. Fontaine
Per il Consiglio
Il Presidente
D. Voynet
Note
- GU C 376 E del 28.12.1999, pag. 24.
- GU C 51 del 23.2.2000, pag. 48.
- Parere del Parlamento europeo del 14 novembre 2000 e decisione del Consiglio del 30 novembre 2000.
- GU L 281 del 23.11.1995, pag. 31.
- GU L 24 del 30.1.1998, pag. 1.
- GU L 52 del 22.2.1997, pag. 1.
- GU L 318 del 27.11.1998, pag. 8.
- GU L 151 del 15.6.1990, pag. 1. Regolamento modificato dal regolamento (CE) n. 322/97 (GU L 52 del 22.2.1997, pag. 1).
Allegato
- Il responsabile della protezione dei dati può formulare raccomandazioni per il miglioramento concreto della protezione dei dati all’istituzione o all’organismo comunitario che lo ha nominato nonché consigliare questi ultimi e il responsabile del trattamento dei dati in merito all’applicazione delle disposizioni sulla protezione dei dati. Può inoltre, di propria iniziativa o a richiesta dell’istituzione o dell’organismo comunitario che lo ha nominato, del responsabile del trattamento, del comitato del personale o di qualsiasi persona fisica, indagare sulle questioni e sui fatti direttamente collegati con l’esercizio delle sue funzioni e di cui viene a conoscenza e riferire in merito alla persona che lo ha incaricato dell’indagine e/o al responsabile del trattamento.
- Il responsabile della protezione dei dati può essere consultato dall’istituzione o organismo comunitario che lo ha nominato, dal responsabile del trattamento, dal comitato del personale e da qualsiasi persona, senza seguire la via gerarchica, su qualsiasi aspetto riguardante l’interpretazione o l’applicazione del presente regolamento.
- Nessuno deve subire pregiudizio per una questione portata all’attenzione del responsabile della protezione dei dati competente e riguardante una asserita violazione delle disposizioni del presente regolamento.
- Ogni responsabile del trattamento deve assistere il responsabile della protezione dei dati nell’esercizio delle sue funzioni e rispondere ai quesiti sottopostigli. Nell’esercizio delle sue funzioni, il responsabile della protezione dei dati ha accesso in qualsiasi momento ai dati oggetto del trattamento e a tutti gli uffici, alle installazioni per il trattamento dei dati e ai supporti di dati.
- Per quanto necessario, il responsabile della protezione dei dati è esonerato da altre attività. Il responsabile della protezione dei dati e il suo personale, ai quali si applica l’articolo 287 del trattato, non dovranno divulgare le informazioni e i documenti ottenuti nell’esercizio delle loro funzioni