(Pubblicata sulla Gazzetta Ufficiale delle Comunita' Europee N. L 281 del
23/11/95 pag. 31.)
Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre
1995 relativa alla
tutela delle persone fisiche con riguardo al trattamento dei dati
personali, nonche' alla libera circolazione di tali dati.
preambolo
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato che istituisce la Comunita' europea, in particolare
l'articolo 100 A,
vista la proposta della Commissione,
visto il parere del Comitato economico e sociale,
deliberando conformemente alla procedura di cui all'articolo 189 B del
trattato,
(1) considerando che gli obiettivi della Comunita', enunciati nel trattato,
come e' stato modificato dal trattato sull'Unione europea, consistono nel
realizzare un'unione sempre piu' stretta tra i popoli europei,
nell'istituire relazioni piu' strette tra gli Stati che la Comunita'
riunisce, nell'assicurare mediante un'azione comune il progresso economico
e sociale eliminando le barriere che dividono l'Europa, nel promuovere il
miglioramento costante delle condizioni di vita delle sue popolazioni, nel
preservare e rafforzare la pace e la liberta' e nel promuovere la democrazia
basandosi sui diritti fondamentali sanciti dalle costituzioni e dalle leggi
degli Stati membri nonche' dalla convenzione europea di salvaguardia dei
diritti dell'uomo e delle liberta' fondamentali;
(2) considerando che i sistemi di trattamento dei dati sono al servizio
dell'uomo; che essi, indipendentemente dalla nazionalita' o dalla residenza
delle persone fisiche, debbono rispettare le liberta' e i diritti
fondamentali delle stesse, in particolare la vita privata, e debbono
contribuire al progresso economico e sociale, allo sviluppo degli scambi
nonche' al benessere degli individui;
(3) considerando che l'instaurazione e il funzionamento del mercato
interno, nel quale, conformemente all'articolo 7 A del trattato, e'
assicurata la libera circolazione delle merci, delle persone, dei servizi e
dei capitali, esigono non solo che i dati personali possano circolare
liberamente da uno Stato membro all'altro, ma che siano altresi'
salvaguardati i diritti fondamentali della persona;
(4) considerando che nella Comunita' si ricorre sempre piu' frequentemente al
trattamento di dati personali nei vari settori delle attivita' economiche e
sociali; che i progressi registrati dalle tecnologie dell'informazione
facilitano notevolmente il trattamento e lo scambio di tali dati;
(5) considerando che l'integrazione economica e sociale derivante
dall'instaurazione e dal funzionamento del mercato interno ai sensi
dell'articolo 7 A del trattato comportera' necessariamente un sensibile
aumento dei flussi transfrontalieri di dati personali tra tutti i soggetti
della vita economica e sociale degli Stati membri, siano essi privati o
pubblici; che lo scambio di dati personali tra imprese stabilite in Stati
membri differenti e' destinato ad aumentare; che le amministrazioni
nazionali dei vari Stati membri debbono collaborare, in applicazione del
diritto comunitario, e scambiarsi i dati personali per poter svolgere la
loro funzione o esercitare compiti per conto di un'amministrazione di un
altro Stato membro, nell'ambito dello spazio senza frontiere costituito dal
mercato interno;
(6) considerando, inoltre, che il rafforzamento della cooperazione
scientifica e tecnica e la messa in opera coordinata di nuove reti di
telecomunicazioni nella Comunita' richiedono e facilitano la circolazione
transfrontaliera di dati personali;
(7) considerando che il divario nei livelli di tutela dei diritti e delle
liberta' personali, in particolare della vita privata, garantiti negli Stati
membri relativamente al trattamento di dati personali puo' impedire la
trasmissione dei dati stessi fra territori degli Stati membri e che tale
divario puo' pertanto costituire un ostacolo all'esercizio di una serie di
attivita' economiche su scala comunitaria, falsare la concorrenza e
ostacolare, nell'adempimento dei loro compiti, le amministrazioni che
intervengono nell'applicazione del diritto comunitario; che detto divario
nel grado di tutela deriva dalla diversita' disposizioni legislative,
regolamentari ed amministrative nazionali;
(8) considerando che, per eliminare gli ostacoli alla circolazione dei dati
personali, il livello di tutela dei diritti e delle liberta' delle persone
relativamente al trattamento di tali dati deve essere equivalente in tutti
gli Stati membri; che tale obiettivo, fondamentale per il mercato interno,
non puo' essere conseguito esclusivamente attraverso l'azione degli Stati
membri, tenuto conto in particolare dell'ampia divergenza esistente
attualmente tra le normative nazionali in materia e della necessita' di
coordinarle affinche' il flusso transfrontaliero di dati personali sia
disciplinato in maniera coerente e conforme all'obiettivo del mercato
interno ai sensi dell'articolo 7 A del trattato; che risulta pertanto
necessario un intervento della Comunita' ai fini di un ravvicinamento delle
legislazioni;
(9) considerando che, data la protezione equivalente derivante dal
ravvicinamento delle legislazioni nazionali, gli Stati membri non potranno
piu' ostacolare la libera circolazione tra loro di dati personali per
ragioni inerenti alla tutela dei diritti e delle liberta' delle persone
fisiche, segnatamente del diritto alla vita privata; che gli Stati membri
disporranno di un margine di manovra di cui potranno valersi,
nell'applicazione della direttiva, i partner economici e sociali; che
potranno quindi precisare nella loro legislazione nazionale le condizioni
generali di liceita' dei trattamenti; che cosi' facendo gli Stati membri si
adopereranno per migliorare la protezione attualmente prevista dalle loro
leggi; che, nei limiti di tale margine di manovra e conformemente al
diritto comunitario, potranno verificarsi divergenze nell'applicazione
della direttiva e che queste potranno ripercuotersi sulla circolazione dei
dati sia all'interno dello Stato membro che nelle Comunita';
(10) considerando che le legislazioni nazionali relative al trattamento dei
dati personali hanno lo scopo di garantire il rispetto dei diritti e delle
liberta' fondamentali, in particolare del diritto alla vita privata,
riconosciuto anche dall'articolo 8 della Convenzione europea per la
salvaguardia dei diritti dell'uomo e delle liberta' fondamentali e dai
principi generali del diritto comunitario; che pertanto il ravvicinamento
di dette legislazioni non deve avere per effetto un indebolimento della
tutela da esse assicurata ma deve anzi mirare a garantire un elevato grado
di tutela nella Comunita';
(11) considerando che i principi della tutela dei diritti e delle liberta'
delle persone, in particolare del rispetto della vita privata, contenuti
dalla presente direttiva precisano ed ampliano quelli enunciati dalla
convenzione del 28 gennaio 1981 del Consiglio d'Europa sulla protezione
delle persone con riferimento al trattamento automatizzato dei dati di
carattere personale;
(12) considerando che i principi di tutela si devono applicare a tutti i
trattamenti di dati personali quando le attivita' del responsabile del
trattamento rientrano nel campo d'applicazione del diritto comunitario; che
deve essere escluso il trattamento di dati effettuato da una persona fisica
nell'esercizio di attivita' a carattere esclusivamente personale o domestico
quali la corrispondenza e la compilazione di elenchi di indirizzi;
(13) consi derando che le attivita' previste dai titoli V e VI del trattato
sull'Unione europea attinenti alla pubblica sicurezza, alla difesa, alla
sicurezza dello Stato o alle attivita' dello Stato in materia di diritto
penale non rientrano nel campo d'applicazione del diritto comunitario,
fatti salvi gli obblighi che incombono agli Stati membri a norma
dell'articolo 56, paragrafo 2, dell'articolo 57 e 100 A del trattato; che
il trattamento di dati personali che e' necessario alla salvaguardia del
benessere economico dello Stato non rientra nell'ambito della presente
direttiva qualora il trattamento sia legato a questioni di sicurezza dello
Stato;
(14) considerando che la presente direttiva dovrebbe applicarsi al
trattamento dei dati in forma di suoni e immagini relativi a persone
fisiche, vista la notevole evoluzione in corso nella societa'
dell'informazione delle tecniche per captare, trasmettere, manipolare,
registrare, conservare o comunicare siffatti dati;
(15) considerando che il trattamento de suddetti dati rientra nella
presente direttiva soltanto se e' automatizzato o se riguarda dati
contenuti, o destinati ad essere contenuti, in un archivio strutturato
secondo criteri specifici relativi alle persone, in modo da consentire un
facile accesso ai dati personali di cui trattasi;
(16) considerando che nel campo d'applicazione della presente direttiva non
rientra il trattamento di dati in forma di suoni e immagini, quali i dati
di controllo video, finalizzato alla pubblica sicurezza, alla difesa, alla
sicurezza dello Stato o all'esercizio di attivita' dello Stato nella sfera
del diritto penale o di altre attivita' che esulano dal campo d'applicazione
del diritto comunitario;
(17) considerando che, per quanto attiene al trattamento di suoni e
immagini finalizzato all'attivita' giornalistica o all'espressione
letteraria o artistica, in particolare del settore audiovisivo, i principi
della direttiva hanno un'applicazione limitata, conformemente a quanto
dispone l'articolo 9 ;
(18) considerando che, onde evitare che una persona venga privata della
tutela cui ha diritto in forza della presente direttiva, e' necessario che
qualsiasi trattamento di dati personali effettuato nella Comunita' rispetti
la legislazione di uno degli Stati membri; che, a questo proposito, e'
opportuno assoggettare i trattamenti effettuati da una persona che opera
sotto l'autorita' del responsabile del trattamento stabilito in uno Stato
membro alla legge di tale Stato;
(19) considerando che lo stabilimento nel territorio di uno Stato membro
implica l'esercizio effettivo e reale dell'attivita' mediante
un'organizzazione stabile; che la forma giuridica di siffatto stabilimento,
si tratti di una semplice succursale o di una filiale dotata di personalita'
giuridica, non e' il fattore determinante a questo riguardo; che quando un
unico responsabile del trattamento e' stabilito nel territorio di diversi
Stati membri, in particolare per mezzo di filiali, esso deve assicurare,
segnatamente per evitare che le disposizioni vengano eluse, che ognuno
degli stabilimenti adempia gli obblighi previsti dalla legge nazionale
applicabile alle attivita' di ciascuno di essi;
(20) considerando che la tutela delle persone prevista dalla presente
direttiva non deve essere impedita dal fatto che il responsabile del
trattamento sia stabilito in un paese terzo; che, in tal caso, e' opportuno
che i trattamenti effettuati siano disciplinati dalla legge dello Stato
membro nel quale sono ubicati i mezzi utilizzati per il trattamento in
oggetto e che siano prese le garanzie necessarie per consentire l'effettivo
rispetto dei diritti e degli obblighi previsti dalla presente direttiva;
(21) considerando che la presente direttiva lascia impregiudicate le norme
di territorialita' applicabili in materia penale;
(22) considerando che gli Stati membri preciseranno, nella loro
legislazione o in sede di applicazione delle norme di attuazione della
presente direttiva, i requisiti generali di liceita' del trattamento dei
dati; che in particolare l'articolo 5 , in combinato disposto con gli
articoli 7 e 8 , consente agli Stati membri di prevedere, indipendentemente
dalle norme generali, condizioni particolari per il trattamento dei dati in
settori specifici e per le varie categorie di dati di cui all'articolo 8 ;
(23) considerando che gli Stati membri sono autorizzati ad assicurare la
messa in opera della tutela delle persone sia mediante una legge generale
relativa alla tutela delle persone contro il trattamento dei dati
personali, sia mediante leggi settoriali, quali quelle relative ad esempio
agli istituti di statistica;
(24) considerando che la presente direttiva lascia impregiudicate le
normative relative alla tutela delle persone giuridiche riguardo al
trattamento dei dati che le riguardano;
(25) considerando che i principi di tutela si esprimono, da un lato, nei
vari obblighi a carico delle persone, autorita' pubbliche, imprese, agenzie
o altri organismi responsabili del trattamento, obblighi relativi in
particolare alla qualita' dei dati, alla sicurezza tecnica, alla
notificazione all'autorita' di controllo, alle circostanze in cui il
trattamento puo' essere effettuato e, dall'altro, nel diritto delle persone,
i cui dati sono oggetto di trattamento, di esserne informate, di poter
accedere ai dati, e chiederne la rettifica, o di opporsi al trattamento in
talune circostanze;
(26) considerando che i principi della tutela si devono applicare ad ogni
informazione concernente una persona identificata o identificabile; che,
per determinare se una persona e' identificabile, e' opportuno prendere in
considerazione l'insieme dei mezzi che possono essere ragionevolmente
utilizzati dal responsabile del trattamento o da altri per identificare
detta persona; che i principi della tutela non si applicano a dati resi
anonimi in modo tale che la persona interessata non e' piu' identificabile;
che i codici di condotta ai sensi dell'articolo 27 possono costituire uno
strumento utile di orientamento sui mezzi grazie ai quali dati possano
essere resi anonimi e registrati in modo da rendere impossibile
l'identificazione della persona interessata;
(27) considerando che la tutela delle persone fisiche deve essere applicata
al trattamento dei dati sia automatizzato sia manuale; che la portata della
tutela non deve infatti dipendere dalle tecniche impiegate poiche', in caso
contrario, sussisterebbero gravi rischi di elusione delle disposizioni; che
nondimeno, riguardo al trattamento manuale, la presente direttiva si
applica soltanto agli archivi e non ai fascicoli non strutturati; che, in
particolare, il contenuto di un archivio deve essere strutturato secondo
criteri specifici relativi alle persone che consentano un facile accesso ai
dati personali; che, in conformita' alla definizione dell'articolo 2,
lettera c) , i diversi criteri che determinano gli elementi che
costituiscono un insieme strutturato di dati personali, nonche' i diversi
criteri in virtu' dei quali un siffatto insieme e' accessibile, possono
essere precisati dai singoli Stati membri; che i fascicoli o le serie di
fascicoli, nonche' le rispettive copertine, non strutturati secondo criteri
specifici, non rientrano in nessun caso nel campo di applicazione della
presente direttiva;
(28) considerando che qualsivoglia trattamento di dati personali deve
essere eseguito lealmente e lecitamente nei confronti delle persone
interessate; che esso deve in particolare avere per oggetto dati adeguati,
pertinenti e non eccedenti rispetto alle finalita' perseguite; che tali
finalita' devono essere esplicite e legittime e specificate al momento della
raccolta dei dati; che le finalita' dei trattamenti successivi alla raccolta
non possono essere incompatibili con quelle originariamente specificate;
(29) considerando che l'ulteriore trattamento di dati personali per scopi
storici, statistici o scientifici non e' generalmente considerato
incompatibile con le finalita' per le quali i dati erano stati
preventivamente raccolti, purche' gli Stati membri forniscano adeguate
garanzie; che tali garanzie devono soprattutto impedire l'uso dei dati per
l'adozione di misure o decisioni nei confronti di singole persone;
(30) considerando che, per essere lecito, il trattamento di dati personali
deve essere inoltre basato sul consenso della persona interessata oppure
deve essere necessario ai fini della conclusione o dell'esecuzione di un
contratto vincolante per la persona interessata, oppure deve essere
previsto dalla legge, per l'esecuzione di un compito nell'interesse
pubblico o per l'esercizio dell'autorita' pubblica, o nell'interesse
legittimo di un singolo individuo, a condizione che gli interessi o i
diritti e le liberta' della persona interessata non abbiano la prevalenza;
che, segnatamente, per garantire un equilibrio degli interessi in causa,
pur assicurando una concorrenza effettiva, gli Stati membri possono
precisare le condizioni alle quali dati personali possono essere usati e
comunicati a terzi nell'ambito di attivita' lecite di gestione corrente
delle imprese o di altri organismi; che essi possono parimenti precisare le
condizioni alle quali puo' essere effettuata la comunicazione a terzi di
dati personali a fini di prospezione, sia che si tratti di invio di
materiale pubblicitario che di invio di materiale promosso da
un'associazione a scopo benefico o da altre associazioni o fondazioni, ad
esempio a carattere politico, nel rispetto delle disposizioni volte a
consentire alle persone interessate di opporsi senza dover fornire una
motivazione e senza spese al trattamento dei dati che le riguardano;
(31) considerando che un trattamento di dati personali deve essere
ugualmente considerato lecito quando e' effettuato per tutelare un interesse
essenziale alla vita della persona interessata;
(32) considerando che spetta alle legislazioni nazionali stabilire se il
responsabile del trattamento investito di un compito di interesse pubblico
o connesso all'esercizio di pubblici poteri debba essere una pubblica
amministrazione o un altro soggetto di diritto pubblico o di diritto
privato, quale un'associazione professionale;
(33) considerando che i dati che possono per loro natura ledere le liberta'
fondamentali o la vita privata non dovrebbero essere oggetto di
trattamento, salvo esplicito consenso della persona interessata; che
tuttavia le deroghe a questo divieto devono essere espressamente previste
nei casi di necessita' specifiche, segnatamente laddove il trattamento di
tali dati viene eseguito da persone assoggettate per legge all'obbligo del
segreto professionale per taluni fini connessi alla sanita' o per le
legittime attivita' di talune associazioni o fondazioni il cui scopo
consista nel permettere l'esercizio delle liberta' fondamentali;
(34) considerando che gli Stati membri devono anche essere autorizzati,
quando un motivo di interesse pubblico rilevante lo giustifichi, a derogare
al divieto di trattamento di categorie di dati di natura delicata in
settori quali la pubblica sanita' e la protezione sociale - soprattutto al
fine di assicurare la qualita' e la redditivita' per quanto riguarda le
procedure per rispondere alle richieste di prestazioni e servizi
nell'ambito del regime di assicurazione sanitaria -, la ricerca scientifica
nonche' le statistiche pubbliche; che spetta loro tuttavia prevedere le
garanzie appropriate e specifiche per tutelare i diritti fondamentali e la
vita privata delle persone;
(35) considerando inoltre che il trattamento di dati personali da parte di
pubbliche autorita' per la realizzazione degli scopi, previsti dal diritto
costituzionale o dal diritto internazionale pubblico, di associazioni
religiose ufficialmente riconosciute viene effettuato per motivi di
rilevante interesse pubblico;
(36) considerando che, se nelle attivita' connesse con le elezioni il
funzionamento del sistema democratico rende necessaria, in alcuni Stati
membri, la raccolta da parte di partiti politici di dati sulle opinioni
politiche delle persone, puo' essere consentito il trattamento di siffatti
dati per motivi di interesse pubblico rilevante, purche' siano stabilite
garanzie appropriate;
(37) considerando che il trattamento di dati personali a scopi
giornalistici o di espressione artistica o letteraria, in particolare nel
settore audiovisivo deve beneficiare di deroghe o di limitazioni a
determinate disposizioni della presente direttiva ove sia necessario per
conciliare i diritti fondamentali della persona con la liberta' di
espressione ed in particolare la liberta' di ricevere o di comunicare
informazioni, quale garantita in particolare dall'articolo 10 della
Convenzione europea per la salvaguardia dei diritti dell'uomo e delle
liberta' fondamentali; che pertanto, al fine di stabilire un equilibrio fra
i diritti fondamentali, gli Stati membri devono prevedere le deroghe e le
limitazioni necessarie in materia di misure generali concernenti la
legittimita' del trattamento di dati, di misure relative al trasferimento di
dati nei paesi terzi nonche' di competenze degli uffici preposti al
controllo; che tuttavia cio' non dovrebbe permettere agli Stati membri di
prevedere deroghe alle misure di garanzia della sicurezza del trattamento;
che agli uffici preposti al controllo in tale settore dovrebbero essere
parimenti conferite almeno determinate competenze a posteriori, ad esempio
la competenza di pubblicare periodicamente una relazione o di adire
l'autorita' giudiziaria;
(38) considerando che il trattamento leale dei dati presuppone che le
persone interessate possano conoscere l'esistenza del trattamento e
disporre, quando i dati che le riguardano sono forniti direttamente da
loro, di un'informazione effettiva e completa in merito alle circostanze
della raccolta;
(39) considerando che alcuni trattamenti riguardano dati che il
responsabile non ha raccolto direttamente presso la persona interessata;
che e' peraltro possibile che taluni dati siano legittimamente comunicati a
terzi anche se tale comunicazione non era stata prevista all'atto della
raccolta dei dati presso la persona interessata; che, in tutti questi casi,
la persona interessata deve essere informata al momento della registrazione
dei dati o al massimo quando essi sono comunicati per la prima volta a
terzi;
(40) considerando che non e' tuttavia necessario imporre tale obbligo se la
persona interessata e' gia' informata; che, inoltre, tale obbligo non e'
previsto se la registrazione o la comunicazione sono espressamente previste
dalla legge ovvero se informare la persona interessata risulta impossibile
o implica uno sforzo eccessivo, come puo' verificarsi per i trattamenti a
fini storici, statistici o scientifici; che in questo caso si puo' tener
conto del numero di persone interessate, dell'antichita' dei dati e delle
eventuali misure di compensazione;
(41) considerando che una persona deve godere del diritto d'accesso ai dati
che la riguardano e che sono oggetto di trattamento, per poter verificare,
in particolare, la loro esattezza e la liceita' del trattamento; che, per le
stesse ragioni, le persone devono avere inoltre il diritto di conoscere la
logica su cui si basa il trattamento automatizzato dei dati che le
riguardano, perlomeno nel caso delle decisioni automatizzate di cui
all'articolo 15 , paragrafo 1; che tale diritto deve lasciare
impregiudicati il segreto industriale e aziendale e la proprieta'
intellettuale, segnatamente i diritti d'autore che tutelano il software;
che cio' non dovrebbe comunque tradursi nel rifiuto di fornire qualsiasi
informazione alla persona interessata;
(42) considerando che gli Stati membri possono, a beneficio della persona
interessata o a tutela dei diritti e delle liberta' altrui, limitare il
diritto d'accesso e d'informazione; che possono, ad esempio, precisare che
l'accesso ai dati medici e' possibile soltanto per il tramite del personale
sanitario;
(43) considerando che gli Stati membri possono altresi' imporre analoghe
restrizioni al diritto di accesso e di informazione e ad alcuni obblighi
del responsabile del trattamento nella misura in cui tali restrizioni siano
necessarie per salvaguardare, ad esempio, la sicurezza nazionale, la
difesa, la pubblica sicurezza, importanti interessi economici o finanziari
di uno Stato membro o dell'Unione, nonche' per indagini e procedimenti
penali e in caso di violazioni dell'etica delle professioni regolamentate;
che occorre elencare, a titolo di deroghe e restrizioni, i compiti di
controllo, di indagine o di regolamentazione necessari negli ultimi tre
settori suindicati relativamente alla pubblica sicurezza, agli interessi
economici o finanziari e alla repressione penale; che l'elenco dei compiti
relativi a questi tre settori lascia impregiudicata la legittimita' delle
deroghe e restrizioni giustificate da ragioni di sicurezza di Stato e di
difesa;
(44) considerando che gli Stati membri possono essere indotti, in forza di
disposizioni di diritto comunitario, a derogare alle disposizioni della
presente direttiva in materia di diritto d'accesso, di informazione delle
persone e di qualita' dei dati, onde salvaguardare alcune delle finalita' di
cui sopra;
(45) considerando che, in caso di dati che potrebbero essere oggetto di un
trattamento lecito per ragioni di interesse pubblico, di esercizio
dell'autorita' pubblica o di interesse legittimo di un singolo, qualsiasi
persona interessata dovrebbe comunque avere il diritto, per ragioni
preminenti e legittime connesse alla sua situazione particolare, di opporsi
al trattamento dei dati che la riguardano; che gli Stati membri hanno
tuttavia la facolta' di prevedere disposizioni nazionali contrarie;
(46) con siderando che la tutela dei diritti e delle liberta' delle persone
interessate relativamente al trattamento di dati personali richiede
l'adozione di adeguate misure tecniche ed organizzative sia al momento
della progettazione che a quello dell'esecuzione del trattamento, in
particolare per garantirne la sicurezza ed impedire in tal modo qualsiasi
trattamento non autorizzato; che spetta agli Stati membri accertarsi che il
responsabile del trattamento osservi tali misure; che queste devono
assicurare un adeguato livello di sicurezza, tenuto conto delle conoscenze
tecniche e dei costi dell'esecuzione rispetto ai rischi che i trattamenti
presentano e alla natura dei dati da proteggere;
(47) considerando che, laddove un messaggio contenente dati personali sia
trasmesso tramite un servizio di telecomunicazioni o di posta elettronica,
finalizzato unicamente alla trasmissione di siffatti messaggi, si
considera, di norma, responsabile del trattamento dei dati personali
contenuti del messaggio la persona che lo ha emanato e non la persona che
presta il servizio di trasmissione; che tuttavia le persone che prestano
tali servizi sono di norma considerate responsabili del trattamento dei
dati personali supplementari necessari per il funzionamento del servizio;
(48) considerando che la notificazione all'autorita' di controllo ha lo
scopo di dare pubblicita' alle finalita' del trattamento ed alle sul
principali caratteristiche, per consentirne il controllo secondo le norme
nazionali di attuazione della presente direttiva;
(49) considerando che, al fine di evitare formalita' amministrative
improprie, possono essere previste dagli Stati membri misure di esenzione
dall'obbligo di notificazione o di semplificazione di quest'ultima per i
trattamenti che non sono tali da recare pregiudizio ai diritti e alle
liberta' delle persone interessate, purche' siano conformi ad un atto
adottato dallo Stato membro che ne precisi i limiti; che gli Stati membri
possono analogamente prevedere esenzioni o semplificazioni qualora una
persona incaricata dal responsabile del trattamento si accerti che i
trattamenti effettuati non sono tali da ledere i diritti e le liberta' delle
persone interessate; che detto incaricato della protezione dei dati,
dipendente o meno del responsabile del trattamento, deve essere in grado di
esercitare le sue funzioni in modo del tutto indipendente;
(50) considerando che potrebbero essere previste esenzioni o
semplificazioni per i trattamenti il cui unico scopo sia la tenuta di
registri finalizzati, ai sensi del diritto nazionale, all'informazione del
pubblico e aperti alla consultazione del pubblico o di chiunque dimostri un
interesse legittimo;
(51) considerando che il responsabile del trattamento beneficiario della
semplificazione o dell'esenzione dall'obbligo di notificazione non e'
tuttavia dispensato da nessuno degli altri obblighi che gli incombono a
norma della presente direttiva;
(52) considerando che, in questo contesto, il controllo a posteriori da
parte delle autorita' competenti deve essere ritenuto di norma sufficiente;
(53) considerando che, tuttavia, alcuni trattamenti possono presentare
rischi particolari per i diritti e le liberta' delle persone interessate,
per natura, portata o finalita', quali quello di escludere una persona dal
beneficio di un diritto, di una prestazione o di un contratto, ovvero a
causa dell'uso particolare di una tecnologia nuova; che spetta agli Stati
membri, se lo vorranno, precisare tali rischi nella legislazione nazionale;
(54) considerando che il numero dei trattamenti che presentano tali rischi
particolari dovrebbe essere molto esiguo rispetto al totale dei trattamenti
effettuati nella societa'; che, per siffatti trattamenti, gli Stati membri
devono prevedere, prima che inizi il trattamento, un esame da parte
dell'autorita' di controllo, o dell'incaricato della protezione dei dati in
collaborazione con essa; che a seguito di tale esame preliminare l'autorita'
di controllo puo', in base al diritto nazionale d'applicazione, formulare un
parere o autorizzare il trattamento dei dati; che detto esame puo' aver
luogo anche durante il processo di elaborazione di un provvedimento del
Parlamento nazionale ovvero di un provvedimento basato su tale
provvedimento legislativo, in cui si definisca la natura del trattamento e
si precisino le garanzie appropriate;
(55) considerando che, in caso di violazione dei diritti delle persone
interessate da parte del responsabile del trattamento, le legislazioni
nazionali devono prevedere vie di ricorso giurisdizionale; che i danni
cagionati alle persone per effetto di un trattamento illecito devono essere
riparati dal responsabile del trattamento, il quale puo' essere esonerato
dalla propria responsabilita' se prova che l'evento dannoso non gli e'
imputabile, segnatamente quando dimostra l'esistenza di un errore della
persona interessata o un caso di forza maggiore; che sanzioni debbono
essere applicate nei confronti di qualsiasi soggetto di diritto privato o
di diritto pubblico che non rispetti le norme nazionali di attuazione della
presente direttiva;
(56) considerando che lo sviluppo degli scambi internazionali comporta
necessariamente il trasferimento oltre frontiera di dati personali; che la
tutela delle persone garantita nella Comunita' dalla presente direttiva non
osta al trasferimento di dati personali verso paesi terzi che garantiscano
un livello di protezione adeguato; che l'adeguatezza della tutela offerta
da un paese terzo deve essere valutata in funzione di tutte le circostanze
relative ad un trasferimento o ad una categoria di trasferimenti;
(57) considerando, per contro, che deve essere vietato il trasferimento di
dati personali verso un paese terzo che non offre un livello di protezione
adeguato;
(58) considerando che devono essere previste, in talune circostanze,
deroghe a tale divieto a condizione che la persona interessata vi abbia
consentito, che il trasferimento sia necessario in relazione ad un
contratto o da un'azione legale, oppure qualora il trasferimento sia
necessario per la salvaguardia di un interesse pubblico rilevante, per
esempio in casi di scambi internazionali di dati tra le amministrazioni
fiscali o doganali oppure tra i servizi competenti per la sicurezza
sociale, o qualora il trasferimento avvenga da un registro previsto dalla
legge e destinato ad essere consultato dal pubblico o dalle persone aventi
un interesse legittimo; che tale trasferimento non deve riguardare la
totalita' dei dati o delle categorie di dati contenuti nel registro
suddetto; che il trasferimento di un registro destinato ad essere
consultato dalle persone aventi un interesse legittimo dovrebbe essere
possibile soltanto su richiesta di tali persone o qualora esse ne siano i
destinatari;
(59) considerando che possono essere adottate misure particolari per
rimediare al livello di protezione insufficiente di un paese terzo, qualora
il responsabile del trattamento offra le opportune garanzie; che inoltre
debbono essere previste procedure di negoziato fra la Comunita' e i paesi
terzi in questione;
(60) considerando che comunque i trasferimenti di dati verso i paesi terzi
possono aver luogo soltanto nel pieno rispetto delle disposizioni prese
dagli Stati membri in applicazione della presente direttiva, in particolare
dell'articolo 8 ;
(61) considerando che gli Stati membri e la Commissione, nei rispettivi
settori di competenza, devono incoraggiare gli ambienti professionali
interessati a elaborare codici di condotta destinati a favorire, secondo le
caratteristiche specifiche dei trattamenti effettuati in taluni settori,
l'attuazione della presente direttiva nel rispetto delle disposizioni
nazionali di applicazione della stessa;
(62) considerando che la designazione di autorita' di controllo che agiscano
in modo indipendente in ciascuno Stato membro e' un elemento essenziale per
la tutela delle persone con riguardo al trattamento di dati personali;
(63) considerando che tali autorita' devono disporre dei mezzi necessari
all'adempimento dei loro compiti, siano essi poteri investigativi o di
intervento, segnatamente in caso di reclami di singoli individui, nonche'
poteri di avviare azioni legali; che esse debbono contribuire alla
trasparenza dei trattamenti effettuati nello Stato membro da cui dipendono;
(64) considerando che le autorita' dei vari Stati membri sono tenute a
collaborare nello svolgimento dei propri compiti in modo tale da assicurare
che le norme relative alla tutela vengano pienamente rispettate in tutta
l'Unione europea;
(65) cons iderando che, a livello comunitario, deve essere istituito un
gruppo per la tutela delle persone con riguardo al trattamento dei dati
personali e che esso deve esercitare le sue funzioni in piena indipendenza;
che, tenuto conto di tale carattere specifico, esso deve consigliare la
Commissione e contribuire in particolare all'applicazione omogenea delle
norme nazionali di attuazione della presente direttiva;
(66) considerando che, in ordine al trasferimento di dati verso i paesi
terzi, l'applicazione della presente direttiva richiede l'attribuzione alla
Commissione di competenze d'esecuzione nonche' l'istituzione di una
procedura secondo le modalita' fissate nella decisione 87/373/CEE del
Consiglio;
(67) considerando che il 20 dicembre 1994 e' stato raggiunto un accordo su
un "modus vivendi" tra Parlamento europeo, Consiglio e Commissione sulle
misure di attuazione degli atti adottati in base alla procedura stabilita
all'articolo 189 B del trattato CE;
(68) considerando che i principi della tutela dei diritti e delle liberta'
delle persone, in particolare del rispetto della vita privata, con riguardo
al trattamento di dati personali, oggetto della presente direttiva,
potranno essere completati o precisati, soprattutto per taluni settori, da
norme specifiche ad essi conformi;
(69) considerando che e' opportuno concedere agli Stati membri un termine
non superiore a tre anni a decorrere dall'entrata in vigore delle
disposizioni nazionali di recepimento della presente direttiva, per
consentire loro di applicare progressivamente a tutti i trattamenti gia'
realizzati dette nuove disposizioni nazionali; che per agevolare
un'applicazione efficiente in termini di costi sara' concesso agli Stati
membri un ulteriore periodo che si concludera' dodici anni dopo la data di
adozione della presente direttiva, in modo tale che venga assicurata la
conformita' degli archivi manuali esistenti con alcune disposizioni della
direttiva; che i dati contenuti in detti archivi e oggetto di un
trattamento manuale effettivo nel corso di questo periodo di transizione
supplementare devono essere resi conformi con le presenti disposizioni
all'atto di tale trattamento attivo;
(70) considerando che non occorre che la persona interessata dia nuovamente
il suo consenso affinche' il responsabile possa proseguire, dopo l'entrata
in vigore delle disposizioni nazionali di attuazione della presente
direttiva, i trattamenti dei dati di natura delicata necessari
all'esecuzione di un contratto concluso in base ad un consenso libero e con
cognizione di causa prima dell'entrata in vigore delle suddette
disposizioni;
(71) considerando che la presente direttiva non osta alla disciplina da
parte uno Stato membro delle attivita' di invio di materiale pubblicitario
destinato ai consumatori residenti nel proprio territorio, purche' detta
disciplina non riguardi la tutela delle persone relativamente al
trattamento dei dati personali;
(72) considerando che la presente direttiva consente che nell'applicazione
dei principi in essa stabiliti si tenga conto del principio dell'accesso
del pubblico ai documenti ufficiali,
HANNO ADOTTATO LA PRESENTE DIRETTIVA
Direttiva protezione dei dati personali - testo
CAPO I - DISPOSIZIONI GENERALI
Articolo 1 - Oggetto della direttiva
1. Gli Stati membri garantiscono, conformemente alle disposizioni della
presente direttiva, la tutela dei diritti e delle liberta' fondamentali
delle persone fisiche e particolarmente del diritto alla vita privata, con
riguardo al trattamento dei dati personali.
2. Gli Stati membri non possono restringere o vietare la libera
circolazione dei dati personali tra Stati membri, per motivi connessi alla
tutela garantita a norma del paragrafo 1.
Articolo 2 - Definizioni
Ai fini della presente direttiva si intende per:
a) "dati personali": qualsiasi informazione concernente una persona fisica
identificata o identificabile ("persona interessata"); si considera
identificabile la persona che puo' essere identificata, direttamente o
indirettamente, in particolare mediante riferimento ad un numero di
identificazione o ad uno o piu' elementi specifici caratteristici della sua
identita' fisica, fisiologica, psichica, economica, culturale o sociale;
b) "trattamento di dati personali" ("trattamento"): qualsiasi operazione o
insieme di operazioni compiute con o senza l'ausilio di processi
automatizzati e applicate a dati personali, come la raccolta, la
registrazione, l'organizzazione, la conservazione, l'elaborazione o la
modifica, l'estrazione, la consultazione, l'impiego, la comunicazione
mediante trasmissione, diffusione o qualsiasi altra forma di messa a
disposizione, il raffronto o l'interconnessione, nonche' il congelamento, la
cancellazione o la distruzione;
c) "archivio di dati personali" ("archivio"): qualsiasi insieme strutturato
di dati personali accessibili, secondo criteri determinati,
indipendentemente dal fatto che tale insieme sia centralizzato,
decentralizzato o ripartito in modo funzionale o geografico;
d) "responsabile del trattamento": la persona fisica o giuridica,
l'autorita' pubblica, il servizio o qualsiasi altro organismo che, da solo o
insieme ad altri, determina le finalita' e gli strumenti del trattamento di
dati personali. Quando le finalita' e i mezzi del trattamento sono
determinati da disposizioni legislative o regolamentari nazionali o
comunitarie, il responsabile del trattamento o i criteri specifici per al
sua designazione possono essere fissati dal diritto nazionale o
comunitario;
e) "incaricato del trattamento": la persona fisica o giuridica, l'autorita'
pubblica, il servizio o qualsiasi altro organismo che elabora dati
personali per conto del responsabile del trattamento;
f) "terzi": la persona fisica o giuridica, l'autorita' pubblica, il servizio
o qualsiasi altro organismo che non sia la persona interessata, il
responsabile del trattamento, l'incaricato del trattamento e le persone
autorizzate all'elaborazione dei dati sotto la loro autorita' diretta;
g) "destinatario": la persona fisica o giuridica, l'autorita' pubblica, il
servizio o qualsiasi altro organismo che riceve comunicazione di dati, che
si tratti o meno di un terzo. Tuttavia, le autorita' che possono ricevere
comunicazione di dati nell'ambito di una missione d'inchiesta specifica non
sono considerate destinatari;
h) "consenso della persona interessata": qualsiasi manifestazione di
volonta' libera, specifica e informata con la quale la persona interessata
accetta che i dati personali che la riguardano siano oggetto di un
trattamento.
Articolo 3 - Campo d'applicazi one
1 . Le disposizioni della presente direttiva si applicano al trattamento di
dati personali interamente o parzialmente automatizzato nonche' al
trattamento non automatizzato di dati personali contenuti o destinati a
figurare negli archivi.
2 . Le disposizioni della presente direttiva non si applicano ai
trattamenti di dati personali;
- effettuati per l'esercizio di attivita' che non rientrano nel campo di
applicazione del diritto comunitario, come quelle previste dai titoli V e
VI del trattato sull'Unione europea e comunque ai trattamenti aventi come
oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato
(compreso il benessere economico dello Stato, laddove tali trattamenti
siano connessi a questioni di sicurezza dello Stato) e le attivita' dello
Stato in materia di diritto penale;
- effettuati da una persona fisica per l'esercizio di attivita' a carattere
esclusivamente personale o domestico.
Articolo 4 - Diritto nazionale applicabile
1. Ciascuno Stato membro applica le disposizioni nazionali adottate per
l'attuazione della presente direttiva al trattamento di dati personali:
a) effettuato nel contesto delle attivita' di uno stabilimento del
responsabile del trattamento nel territorio dello Stato membro; qualora uno
stesso responsabile del trattamento sia stabilito nel territorio di piu'
Stati membri, esso deve adottare le misure necessarie per assicurare
l'osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi
stabiliti dal diritto nazionale applicabile;
b) il cui responsabile non e' stabilito nel territorio dello Stato membro,
ma in un luogo in cui si applica la sua legislazione nazionale, a norma del
diritto internazionale pubblico;
c) il cui responsabile, non stabilito nel territorio della Comunita',
ricorre, ai fini del trattamento di dati personali, a strumenti,
automatizzati o non automatizzati, situati nel territorio di detto Stato
membro, a meno che questi non siano utilizzati ai soli fini di transito nel
territorio della Comunita' europea.
2. Nella fattispecie di cui al paragrafo 1, lettera c), il responsabile del
trattamento deve designare un rappresentante stabilito nel territorio di
detto Stato membro, fatte salve le azioni che potrebbero essere promosse
contro lo stesso responsabile del trattamento.
CAPO II - CONDIZIONI GENERALI DI LICEITÀ DEI TRATTAMENTI DI DATI
PERSONALI
Articolo 5
Gli Stati membri precisano, nei limiti delle disposizioni del presente
capo, le condizioni alle quali i trattamenti di dati personali sono leciti.
SEZIONE I - PRINCIPI RELATIVI ALLA QUALITÀ DEI DATI
Articolo 6
1. Gli Stati membri dispongono che i dati personali devono essere:
a) trattati lealmente e lecitamente;
b) rilevati per finalita' determinate, esplicite e legittime, e
successivamente trattati in modo non incompatibile con tali finalita'. Il
trattamento successivo dei dati per scopi storici, statistici o scientifici
non e' ritenuto incompatibile, purche' gli Stati membri forniscano garanzie
appropriate;
c) adeguati, pertinenti e non eccedenti rispetto alle finalita' per le quali
vengono rilevati e/o per le quali vengono successivamente trattati;
d) esatti e, se necessario, aggiornati; devono essere prese tutte le misure
ragionevoli per cancellare o rettificare i dati inesatti o incompleti
rispetto alle finalita' per le quali sono rilevati o sono successivamente
trattati, cancellati o rettificati;
e) conservati in modo da consentire l'identificazione delle persone
interessate per un arco di tempo non superiore a quello necessario al
conseguimento delle finalita' per le quali sono rilevati o sono
successivamente trattati. Gli Stati membri prevedono garanzie adeguate per
i dati personali conservati oltre il suddetto arco di tempo per motivi
storici, statistici o scientifici.
2. Il responsabile del trattamento e tenuto a garantire il rispetto delle
disposizioni del paragrafo 1.
SEZIONE II - PRINCIPI RELATIVI ALLA LEGITTIMAZIONE DEL TRATTAMENTO DEI DATI
Articolo 7
Gli Stati membri dispongono che il trattamento di dati personali puo' essere
effettuato soltanto quando:
a) la persona interessata ha manifestato il proprio consenso in maniera
inequivocabile, oppure
b) e' necessario all'esecuzione del contratto concluso con la persona
interessata o all'esecuzione di misure precontrattuali prese su richiesta
di tale persona, oppure
c) e' necessario per adempiere un obbligo legale al quale e' soggetto il
responsabile del trattamento, oppure
d) e' necessario per la salvaguardia dell'interesse vitale della persona
interessata, oppure
e) e' necessario per l'esecuzione di un compito di interesse pubblico o
connesso all'esercizio di pubblici poteri di cui e' investito il
responsabile del trattamento o il terzo a cui vengono comunicati i dati,
oppure
f) e' necessario per il perseguimento dell'interesse legittimo del
responsabile del trattamento oppure del o dei terzi cui vengono comunicati
i dati, a condizione che non prevalgano l'interesse o i diritti e le
liberta' fondamentali della persona interessata, che richiedono tutela ai
sensi dell'articolo 1 , paragrafo 1.
SEZIONE III CATEGORIE PARTICOL ARI DI TRATTAMENTI
Articolo 8 - Trattamenti rigua rdanti categorie particolari di dati
1. Gli Stati membri vietano il trattamento di dati personali che rivelano
l'origine razziale o etnica, le opinioni politiche, le convinzioni
religiose o filosofiche, l'appartenenza sindacale, nonche' il trattamento di
dati relativi alla salute e alla vita sessuale.
2. Il paragrafo 1 non si applica qualora:
a) la persona interessata abbia dato il proprio consenso esplicito a tale
trattamento, salvo nei casi in cui la legislazione dello Stato membro
preveda che il consenso della persona interessata non sia sufficiente per
derogare al divieto di cui al paragrafo 1, oppure
b) il trattamento sia necessario, per assolvere gli obblighi e i diritti
specifici del responsabile del trattamento in materia di diritto del
lavoro, nella misura in cui il trattamento stesso sia autorizzato da norme
nazionali che prevedono adeguate garanzie, oppure
c) il trattamento sia necessario per salvaguardare un interesse vitale
della persona interessata o di un terzo nel caso in cui la persona
interessata e' nell'incapacita' fisica o giuridica di dare il proprio
consenso; o
d) il trattamento sia effettuato, con garanzie adeguate, da una fondazione,
un'associazione o qualsiasi altro organismo che non persegua scopi di lucro
e rivesta carattere politico, filosofico, religioso o sindacale,
nell'ambito del suo scopo lecito e a condizione che riguardi unicamente i
suoi membri o le persone che abbiano contatti regolari con la fondazione,
l'associazione o l'organismo a motivo del suo oggetto e che i dati non
vengano comunicati a terzi senza il consenso delle persone interessate; o
e) il trattamento riguardi dati resi manifestamente pubblici dalla persona
interessata o sia necessario per costituire, esercitare o difendere un
diritto per via giudiziaria.
3. Il paragrafo 1 non si applica quando il trattamento dei dati e'
necessario alla prevenzione o alla diagnostica medica, alla
somministrazione di cure o alla gestione di centri di cura e quando il
trattamento dei medesimi dati viene effettuato da un professionista in
campo sanitario soggetto al segreto professionale sancito dalla
legislazione nazionale, comprese le norme stabilite dagli organi nazionali
competenti, o da un'altra persona egualmente soggetta a un obbligo di
segreto equivalente.
4. Purche' siano previste le opportune garanzie, gli Stati membri possono,
per motivi di interesse pubblico rilevante, stabilire ulteriori deroghe
oltre a quelle previste dal paragrafo 2 sulla base della legislazione
nazionale o di una decisione dell'autorita' di controllo.
5. I trattamenti riguardanti i dati relativi alle infrazioni, alle condanne
penali o alle misure di sicurezza possono essere effettuati solo sotto
controllo dell'autorita' pubblica, o se vengono fornite opportune garanzie
specifiche, sulla base del diritto nazionale, fatte salve le deroghe che
possono essere fissate dallo Stato membro in base ad una disposizione
nazionale che preveda garanzie appropriate e specifiche. Tuttavia un
registro completo delle condanne penali puo' essere tenuto solo sotto il
controllo dell'autorita' pubblica. Gli Stati membri possono prevedere che i
trattamenti di dati riguardanti sanzioni amministrative o procedimenti
civili siano ugualmente effettuati sotto controllo dell'autorita' pubblica.
6. Le deroghe al paragrafo 1 di cui ai paragrafi 4 e 5 sono notificate alla
Commissione.
7. Gli Stati membri determinano a quali condizioni un numero nazionale di
identificazione o qualsiasi altro mezzo identificativo di portata generale
puo' essere oggetto di trattamento.
Articolo 9 - Trattamento di dati personali e liberta' d'espressione
Gli Stati membri prevedono, per il trattamento di dati personali effettuato
esclusivamente a scopi giornalistici o di espressione artistica o
letteraria, le esenzioni o le deroghe alle disposizioni del presente capo e
dei capi IV e VI solo qualora si rivelino necessarie per conciliare il
diritto alla vita privata con le norme sulla liberta' d'espressione.
SEZIONE IV INFORMAZIONE DELLA PERSONA INTERESSATA
Articolo 10 - Informazione in caso di raccolta dei dati presso la persona
interessata
Gli Stati membri dispongono che il responsabile del trattamento, o il suo
rappresentante, debba fornire alla persona presso la quale effettua la
raccolta dei dati che la riguardano almeno le informazioni elencate qui di
seguito, a meno che tale persona ne sia gia' informata:
a) l'identita' del responsabile del trattamento ed eventualmente del suo
rappresentante;
b) le finalita' del trattamento cui sono destinati i dati;
c) ulteriori informazioni riguardanti quanto segue:
- i destinatari o le categorie di destinatari dei dati,
- se rispondere alle domande e' obbligatorio o volontario, nonche' le
possibili conseguenze di una mancata risposta,
- se esistono diritti di accesso ai dati e di rettifica in merito ai dati
che la riguardano nella misura in cui, in considerazione delle specifiche
circostanze in cui i dati vengono raccolti, tali informazioni siano
necessarie per effettuare un trattamento leale nei confronto della persona
interessata.
Articolo 11 - Informazione in caso di dati non raccolti presso la persona
interessata
1. In caso di dati non raccolti presso la persona interessata, gli Stati
membri dispongono che, al momento della registrazione dei dati o qualora
sia prevista una comunicazione dei dati a un terzo, al piu' tardi all'atto
della prima comunicazione dei medesimi, il responsabile del trattamento o
il suo rappresentante debba fornire alla persona interessata almeno le
informazioni elencate qui di seguito, a meno che tale persona ne sia gia'
informata:
a) l'identita' del responsabile del trattamento ed eventualmente del suo
rappresentante,
b) le finalita' del trattamento,
c) ulteriori informazioni riguardanti quanto segue:
- le categorie di dati interessate,
- i destinatari o le categorie di destinatari dei dati,
- se esiste un diritto di accesso ai dati e di rettifica in merito ai dati
che la riguardano,
nella misura in cui, in considerazione delle specifiche circostanze in cui
i dati vengono raccolti, tali informazioni siano necessarie per effettuare
un trattamento leale nei confronti della persona interessata.
2. Le disposizioni del paragrafo 1 non si applicano quando, in particolare
nel trattamento di dati a scopi statistici, o di ricerca storica o
scientifica, l'informazione della persona interessata si rivela impossibile
o richiede sforzi sproporzionati o la registrazione o la comunicazione e'
prescritta per legge. In questi casi gli Stati membri prevedono garanzie
appropriate.
SEZIONE V - DIRITTO DI ACCESSO AI DATI DA PARTE DELLA PERSONA INTERESSATA
Articolo 12 - Diritto di acces so
Gli Stati membri garantiscono a qualsiasi persona interessata il diritto di
ottenere dal responsabile del trattamento:
a) liberamente e senza costrizione, ad intervalli ragionevoli e senza
ritardi o spese eccessivi:
- la conferma dell'esistenza o meno di trattamenti di dati che la
riguardano, e l'informazione almeno sulle finalita' dei trattamenti, sulle
categorie di dati trattati, sui destinatari o sulle categorie di
destinatari cui sono comunicati i dati;
- la comunicazione in forma intelligibile dei dati che sono oggetto dei
trattamenti, nonche' di tutte le informazioni disponibili sull'origine dei
dati;
- la conoscenza della logica applicata nei trattamenti automatizzati dei
dati che lo interessano, per lo meno nel caso delle decisioni automatizzate
di cui all'articolo 15 , paragrafo 1;
b) a seconda dei casi, la rettifica, la cancellazione o il congelamento dei
dati il cui trattamento non e' conforme alle disposizioni della presente
direttiva, in particolare a causa del carattere incompleto o inesatto dei
dati;
c) la notificazione ai terzi, ai quali sono stati comunicati i dati, di
qualsiasi rettifica, cancellazione o congelamento, effettuati conformemente
alla lettera b), se non si dimostra che e' impossibile o implica uno sforzo
sproporzionato.
SEZIONE VI DEROGHE E RESTRIZIO NI
Articolo 13 - Deroghe e restri zioni
1. Gli Stati membri possono adottare disposizioni legislative intese a
limitare la portata degli obblighi e dei diritti previsti dalle
disposizioni dell'articolo 6 , paragrafo 1, dell'articolo 10 ,
dell'articolo 11 , paragrafo 1 e degli articoli 12 e , qualora tale
restrizione costituisca una misura necessaria alla salvaguardia:
a) della sicurezza dello Stato;
b) della difesa;
c) della pubblica sicurezza;
d) della prevenzione, della ricerca, dell'accertamento e del perseguimento
di infrazioni penali o di violazioni della deontologia delle professioni
regolamentate;
e) di un rilevante interesse economico o finanziario di uno Stato membro o
dell'Unione europea, anche in materia monetaria, di bilancio e tributaria;
f) di un compito di controllo, ispezione o disciplina connesso, anche
occasionalmente, con l'esercizio dei pubblici poteri nei casi di cui alle
lettere c), d) ed e); g) della protezione della persona interessata o dei
diritti e delle liberta' altrui.
2. Fatte salve garanzie legali appropriate, che escludano in particolare
che i dati possano essere utilizzati a fini di misure o di specifiche
decisioni che si riferiscono a persone, gli Stati membri possono, nel caso
in cui non sussista manifestamente alcun rischio di pregiudizio alla vita
privata della persona interessata, limitare con un provvedimento
legislativo i diritti di cui all'articolo 12 qualora i dati siano trattati
esclusivamente ai fini della ricerca scientifica o siano memorizzati sotto
forma di dati personali per un periodo che non superi quello necessario
alla sola finalita' di elaborazione delle statistiche.
SEZIONE VII - DIRITTO DI OPPO SIZIONE DELLA PERSONA INTERESSATA
Articolo 14 - Diritto di oppos izione della persona interessata
Gli Stati membri riconoscono alla persona interessata il diritto:
a) almeno nei casi di cui all'articolo 7 , lettere e) e f), di opporsi in
qualsiasi momento, per motivi preminenti e legittimi, derivanti dalla sua
situazione particolare, al trattamento di dati che la riguardano, salvo
disposizione contraria prevista dalla normativa nazionale. In caso di
opposizione giustificata il trattamento effettuato dal responsabile non puo'
piu' riguardare tali dati;
b)
di opporsi, su richiesta e gratuitamente, al trattamento dei dati personali
che la riguardano previsto dal responsabile del trattamento a fini di invio
di materiale pubblicitario ovvero di essere informata prima che i dati
personali siano, per la prima volta, comunicati a terzi o utilizzati per
conto di terzi, a fini di invio di materiale pubblicitario;
la persona interessata deve essere informata in modo esplicito del diritto
di cui gode di opporsi gratuitamente alla comunicazione o all'utilizzo di
cui sopra.
Gli Stati membri prendono le misure necessarie per garantire che le persone
interessate siano a conoscenza che esiste il diritto di cui al primo comma
della lettera b).
Articolo 15 - Decisioni indivi duali automatizzate
1. Gli Stati membri riconoscono a qualsiasi persona il diritto di non
essere sottoposta ad una decisione che produca effetti giuridici o abbia
effetti significativi nei suoi confronti fondata esclusivamente su un
trattamento automatizzato di dati destinati a valutare taluni aspetti della
sua personalita', quali il rendimento professionale, il credito,
l'affidabilita', il comportamento, ecc.
2. Gli Stati membri dispongono, salve le altre disposizioni della presente
direttiva, che una persona puo' essere sottoposta a una decisione di cui al
paragrafo 1, qualora una tale decisione:
a) sia presa nel contesto della conclusione o dell'esecuzione di un
contratto, a condizione che la domanda relativa alla conclusione o
all'esecuzione del contratto, presentata dalla persona interessata sia
stata accolta, oppure che misure adeguate, fra le quali la possibilita' di
far valere il proprio punto di vista garantiscano la salvaguardia del suo
interesse legittimo, oppure
b) sia autorizzata da una legge che precisi i provvedimenti atti a
salvaguardare un interesse legittimo della persona interessata.
SEZIONE VIII - RISERVATEZZA E SICUREZZA DEI TRATTAMENTI
Articolo 16 - Riservatezza dei trattamenti
L'incaricato del trattamento o chiunque agisca sotto la sua autorita' o
sotto quella del responsabile del trattamento non deve elaborare i dati
personali ai quali ha accesso, se non dietro istruzione del responsabile
del trattamento oppure in virtu' di obblighi legali.
Articolo 17 - Sicurezza dei trattamenti
1. Gli Stati membri dispongono che il responsabile del trattamento deve
attuare misure tecniche ed organizzative appropriate al fine di garantire
la protezione dei dati personali dalla distruzione accidentale o illecita,
dalla perdita accidentale o dall'alterazione, dalla diffusione o
dall'accesso non autorizzati, segnatamente quando il trattamento comporta
trasmissioni di dati all'interno di una rete, o da qualsiasi altra forma
illecita di trattamento di dati personali. Tali misure devono garantire,
tenuto conto delle attuali conoscenze in materia e dei costi
dell'applicazione, un livello di sicurezza appropriato rispetto ai rischi
presentati dal trattamento e alla natura dei dati da proteggere.
2. Gli Stati membri dispongono che il responsabile del trattamento, quando
quest'ultimo sia eseguito per suo conto, deve scegliere un incaricato del
trattamento che presenti garanzie sufficienti in merito alle misure di
sicurezza tecnica e di organizzazione dei trattamenti da effettuare e deve
assicurarsi del rispetto di tali misure.
3. L'esecuzione dei trattamenti su commissione deve essere disciplinata da
un contratto o da un atto giuridico che vincoli l'incaricato del
trattamento al responsabile del trattamento e che preveda segnatamente:
- che l'incaricato del trattamento operi soltanto su istruzioni del
responsabile del trattamento;
- che gli obblighi di cui al paragrafo 1, quali sono definiti dalla
legislazione dello Stato membro nel quale e' stabilito l'incaricato del
trattamento, vincolino anche quest'ultimo.
4. A fini di conservazione delle prove, gli elementi del contratto o
dell'atto giuridico relativi alla protezione dei dati e i requisiti
concernenti le misure di cui al paragrafo 1 sono stipulati per iscritto o
in altra forma equivalente.
SEZIONE IX - NOTIFICAZIONE
Articolo 18 - Obbligo di notif icazione all'autorita' di controllo
1. Gli Stati membri prevedono un obbligo di notificazione a carico del
responsabile del trattamento, od eventualmente del suo rappresentante,
presso l'autorita' di controllo di cui all'articolo 28 , prima di procedere
alla realizzazione di un trattamento, o di un insieme di trattamenti,
interamente o parzialmente automatizzato, destinato al conseguimento di una
o piu' finalita' correlate.
2. Gli Stati membri possono prevedere una semplificazione o l'esonero
dall'obbligo di notificazione soltanto nei casi e alle condizioni seguenti:
- qualora si tratti di categorie di trattamento che, in considerazione dei
dati oggetto di trattamento, non siano tali da recare pregiudizio ai
diritti e alle liberta' della persona interessata, essi precisano le
finalita' dei trattamenti, i dati o le categorie dei dati trattati, la
categoria o le categorie di persone interessate, i destinatari o le
categorie di destinatari cui sono comunicati i dati e il periodo di
conservazione dei dati, e/o
- qualora il responsabile del trattamento designi, conformemente alla
legislazione nazionale applicabile, un incaricato della protezione dei
dati, a cui e' demandato in particolare:
- di assicurare in maniera indipendente l'applicazione interna delle
disposizioni nazionali di attuazione della presente direttiva;
- di tenere un registro dei trattamenti effettuati dal responsabile del
trattamento in cui figurino le informazioni di cui all'articolo 21 ,
paragrafo 2, garantendo in tal modo che il trattamento non sia tale da
recare pregiudizio ai diritti e alle liberta' della persona interessata.
3. Gli Stati membri possono prevedere che le disposizioni del paragrafo 1
non si applichino ai trattamenti la cui unica finalita' e' la compilazione di
registri i quali, in forza di disposizioni legislative o regolamentari,
siano predisposti per l'informazione del pubblico e siano aperti alla
consultazione del pubblico o di chiunque possa dimostrare un interesse
legittimo.
4. Gli Stati membri possono prevedere una deroga all'obbligo della
notificazione o una semplificazione della notificazione per i trattamenti
di cui all'articolo 8 , paragrafo 2, lettera d).
5. Gli Stati membri possono prevedere che i trattamenti non automatizzati
di dati personali, o alcuni di essi, siano oggetto di una notificazione
eventualmente semplificata.
Articolo 19 - Oggetto della no tificazione
1. Gli Stati membri definiscono le informazioni che devono essere contenute
nella notificazione. Esse comprendono almeno:
a) il nome e l'indirizzo del responsabile del trattamento e, eventualmente,
del suo rappresentante;
b) la o le finalita' del trattamento;
c) una descrizione della o delle categorie di persone interessate e dei
dati o delle categorie di dati relativi alle medesime;
d) i destinatari o le categorie di destinatari a cui i dati possono essere
comunicati;
e) i trasferimenti di dati previsti verso paesi terzi;
f) una descrizione generale che permetta di valutare in via preliminare
l'adeguatezza delle misure adottate per garantire la sicurezza del
trattamento in applicazione dell'articolo 17 .
2. Gli Stati membri precisano le modalita' di notificazione all'autorita' di
controllo dei mutamenti relativi alle informazioni di cui al paragrafo 1.
Articolo 20 - Controllo preliminare
1. Gli Stati membri precisano i trattamenti che potenzialmente presentano
rischi specifici per i diritti e le liberta' delle persone e provvedono a
che tali trattamenti siano esaminati prima della loro messa in opera.
2. Tali esami preliminari sono effettuati dall'autorita' di controllo una
volta ricevuta la notificazione del responsabile del trattamento, oppure
dalla persona incaricata della protezione dei dati che, nei casi dubbi,
deve consultare l'autorita' di controllo medesima.
3. Gli Stati membri possono effettuare tale esame anche durante il processo
di elaborazione di un provvedimento del Parlamento nazionale, o in base ad
un provvedimento fondato su siffatto provvedimento legislativo, in cui si
definisce il tipo di trattamento e si stabiliscono appropriate garanzie.
Articolo 21 - Pubblicita' dei t rattamenti
1. Gli Stati membri adottano misure intese ad assicurare la pubblicita' dei
trattamenti.
2. Gli Stati membri devono prevedere che l'autorita' di controllo tenga un
registro dei trattamenti notificati in virtu' dell'articolo 18 . Il registro
riprende almeno le informazioni enumerate all'articolo 19 , paragrafo 1,
lettere da a) a e). Il registro puo' essere consultato da chiunque.
3. Gli Stati membri prevedono che i responsabili dei trattamenti o un altro
organismo designato dagli Stati membri comunichino nelle opportune forme, a
chiunque ne faccia richiesta, almeno le informazioni di cui all'articolo 19
, paragrafo 1, lettere da a) a e), relative ai trattamenti esenti da
notificazione. Gli Stati membri possono prevedere che questa disposizione
non si applichi ai trattamenti la cui unica finalita' e' la compilazione di
registri i quali, in forza di disposizioni legislative o regolamentari,
siano predisposti per l'informazione del pubblico e siano aperti alla
consultazione del pubblico o di chiunque possa dimostrare un interesse
legittimo.
CAPO III - RICORSI GIURISDIZIONALI, RESPONSABILITÀ E SANZIONI
Articolo 22 - Ricorsi
Fatti salvi ricorsi amministrativi che possono essere promossi,
segnatamente dinanzi all'autorita' di controllo di cui all'articolo 28 ,
prima che sia adita l'autorita' giudiziaria, gli Stati membri stabiliscono
che chiunque possa disporre di un ricorso giurisdizionale in caso di
violazione dei diritti garantitigli dalle disposizioni nazionali appicabili
al trattamento in questione.
Articolo 23 - Responsabilita'
1. Gli Stati membri dispongono che chiunque subisca un danno cagionato da
un trattamento illecito o da qualsiasi altro atto incompatibile con le
disposizioni nazionali di attuazione della presente direttiva abbia il
diritto di ottenere il risarcimento del pregiudizio subito dal responsabile
del trattamento.
2. Il responsabile del trattamento puo' essere esonerato in tutto o in parte
da tale responsabilita' se prova che l'evento dannoso non gli e' imputabile.
Articolo 24 - Sanzioni
Gli Stati membri adottano le misure appropriate per garantire la piena
applicazione delle disposizioni della presente direttiva e in particolare
stabiliscono le sanzioni da applicare in caso di violazione delle
disposizioni di attuazione della presente direttiva.
CAPO IV - TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI
Articolo 25 - Principi
1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di
dati personali oggetto di un trattamento o destinati a essere oggetto di un
trattamento dopo il trasferimento puo' aver luogo soltanto se il paese terzo
di cui trattasi garantisce un livello di protezione adeguato, fatte salve
le misure nazionali di attuazione delle altre disposizioni della presente
direttiva.
2. L'adeguatezza del livello di protezione garantito da un paese terzo e'
valutata con riguardo a tutte le circostanze relative ad un trasferimento o
ad una categoria di trasferimenti di dati; in particolare sono presi in
considerazione la natura dei dati, le finalita' del o dei trattamenti
previsti, il paese d'origine e il paese di destinazione finale, le norme di
diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi,
nonche' le regole professionali e le misure di sicurezza ivi osservate.
3. Gli Stati membri e la Commissione si comunicano a vicenda i casi in cui,
a loro parere, un paese terzo non garantisce un livello di protezione
adeguato ai sensi del paragrafo 2.
4. Qualora la Commissione constati, secondo la procedura dell'articolo 31 ,
paragrafo 2, che un paese terzo non garantisce un livello di protezione
adeguato ai sensi del paragrafo 2 del presente articolo, gli Stati membri
adottano le misure necessarie per impedire ogni trasferimento di dati della
stessa natura verso il paese terzo in questione.
5. La Commissione avvia, al momento opportuno, negoziati per porre rimedio
alla situazione risultante dalla constatazione di cui al paragrafo 4.
6. La Commissione puo' constatare, secondo la procedura di cui all'articolo
31 , paragrafo 2, che un paese terzo garantisce un livello di protezione
adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione
della sua legislazione nazionale o dei suoi impegni internazionali, in
particolare di quelli assunti in seguito ai negoziati di cui al paragrafo
5, ai fini della tutela della vita privata o delle liberta' e dei diritti
fondamentali della persona. Gli Stati membri adottano le misure necessarie
per conformarsi alla decisione della Commissione.
Articolo 26 - Deroghe
1. In deroga all'articolo 25 e fatte salve eventuali disposizioni contrarie
della legislazione nazionale per casi specifici, gli Stati membri
dispongono che un trasferimento di dati personali verso un paese terzo che
non garantisce una tutela adeguata ai sensi del'articolo 25 , paragrafo 2
puo' avvenire a condizione che:
a) la persona interessata abbia manifestato il proprio consenso in maniera
inequivocabile al trasferimento previsto, oppure
b) il trasferimento sia necessario per l'esecuzione di un contratto tra la
persona interessata ed il responsabile del trattamento o per l'esecuzione
di misure precontrattuali prese a richiesta di questa, oppure
c) il trasferimento sia necessario per la conclusione o l'esecuzione di un
contratto, concluso o da concludere nell'interesse della persona
interessata, tra il responsabile del trattamento e un terzo, oppure
d) il trasferimento sia necessario o prescritto dalla legge per la
salvaguardia di un interesse pubblico rilevante, oppure per costatare,
esercitare o difendere un diritto per via giudiziaria, oppure
e) il trasferimento sia necessario per la salvaguardia dell'interesse
vitale della persona interessata, oppure
f) il trasferimento avvenga a partire da un registro pubblico il quale, in
forza di disposizioni legislative o regolamentari, sia predisposto per
l'informazione del pubblico e sia aperto alla consultazione del pubblico o
di chiunque possa dimostrare un interesse legittimo, nella misura in cui
nel caso specifico siano rispettate le condizioni che la legge prevede per
la consultazione.
2. Salvo il disposto del paragrafo 1, uno Stato membro puo' autorizzare un
trasferimento o una categoria di trasferimenti di dati personali verso un
paese terzo che non garantisca un livello di protezione adeguato ai sensi
dell'articolo 25 , paragrafo 2, qualora il responsabile del trattamento
presenti garanzie sufficienti per la tutela della vita privata e dei
diritti e delle liberta' fondamentali delle persone, nonche' per l'esercizio
dei diritti connessi; tali garanzie possono segnatamente risultare da
clausole contrattuali appropriate.
3. Lo Stato membro informa la Commissione e gli altri Stati membri in
merito alle autorizzazioni concesse a norma del paragrafo 2. In caso di
opposizione notificata da un altro Stato membro o dalla Commissione,
debitamente motivata sotto l'aspetto della tutela della vita privata e dei
diritti e delle liberta' fondamentali delle persone, la Commissione adotta
le misure appropriate secondo la procedura di cui all'articolo 31 ,
paragrafo 2. Gli Stati membri adottano le misure necessarie per conformarsi
alla decisione della Commissione.
4. Qualora la Commissione decida, secondo la procedura di cui all'articolo
31 , paragrafo 2, che alcune clausole contrattuali tipo offrono le garanzie
sufficienti di cui al paragrafo 2, gli Stati membri adottano le misure
necessarie per conformarsi alla decisione della Commissione.
CAPO V - CODICI DI CONDOTTA
Articolo 27
1. Gli Stati membri e la Commissione incoraggiano l'elaborazione di codici
di condotta destinati a contribuire, in funzione delle specificita'
settoriali, alla corretta applicazione delle disposizioni nazionali di
attuazione della presente direttiva, adottate dagli Stati membri.
2. Gli Stati membri dispongono che le associazioni professionali e gli
altri organismi rappresentanti altre categorie di responsabili del
trattamento, che hanno elaborato i progetti di codice nazionali o intendono
modificare o prorogare i codici nazionali esistenti, possano sottoporli
all'esame dell'autorita' nazionale. Gli Stati membri prevedono che tale
autorita' accerti, in particolare, la conformita' dei progetti che le sono
sottoposti alle disposizioni nazionali di attuazione della presente
direttiva. Qualora lo ritenga opportuno, l'autorita' nazionale raccoglie le
osservazioni delle persone interessate o dei loro rappresentanti.
3. I progetti di codici comunitari, nonche' le modifiche o proroghe di
codici comunitari esistenti, possono essere sottoposti al gruppo di cui
all'articolo 29 , il quale si pronuncia, in particolare, sulla conformita'
dei progetti che gli sono sottoposti alle disposizioni nazionali di
attuazione della presente direttiva. Qualora lo ritenga opportuno, esso
raccoglie le osservazioni delle persone interessate o dei loro
rappresentanti. La Commissione puo' provvedere ad un'appropriata
divulgazione dei codici che sono stati approvati dal gruppo.
CAPO VI - AUTORITÀ DI CONTROLLO E GRUPPO PER LA TUTELA DELLE PERSONE
CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI
Articolo 28 - Autorita' di controllo
1. Ogni Stato membro dispone che una o piu' autorita' pubbliche siano
incaricate di sorvegliare, nel suo territorio, l'applicazione delle
disposizioni di attuazione della presente direttiva, adottate dagli Stati
membri. Tali autorita' sono pienamente indipendenti nell'esercizio delle
funzioni loro attribuite.
2. Ciascuno Stato membro dispone che le autorita' di controllo siano
consultate al momento dell'elaborazione delle misure regolamentari o
amministrative relative alla tutela dei diritti e delle liberta' della
persona con riguardo al trattamento dei dati personali.
3. Ogni autorita' di controllo dispone in particolare:
- di poteri investigativi, come il diritto di accesso ai dati oggetto di
trattamento e di raccolta di qualsiasi informazione necessaria
all'esercizio della sua funzione di controllo;
- di poteri effettivi d'intervento, come quello di formulare pareri prima
dell'avvio di trattamenti, conformemente all'articolo 20 , e di dar loro
adeguata pubblicita' o quello di ordinare il congelamento, la cancellazione
o la distruzione dei dati, oppure di vietare a titolo provvisorio o
definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un
monito al responsabile del trattamento o quello di adire i Parlamenti o
altre istituzioni politiche nazionali;
- del potere di promuovere azioni giudiziarie in caso di violazione delle
disposizioni nazionali di attuazione della presente direttiva ovvero di
adire per dette violazioni le autorita' giudiziarie. e' possibile un ricorso
giurisdizionale avverso le decisioni dell'autorita' di controllo recanti
pregiudizio.
4. Qualsiasi persona, o associazione che la rappresenti, puo' presentare a
un'autorita' di controllo una domanda relativa alla tutela dei suoi diritti
e liberta' con riguardo al trattamento di dati personali. La persona
interessata viene informata del seguito dato alla sua domanda. Qualsiasi
persona puo', in particolare, chiedere a un'autorita' di controllo di
verificare la liceita' di un trattamento quando si applicano le disposizioni
nazionali adottate a norma dell'articolo 13 della presente direttiva. La
persona viene ad ogni modo informata che una verifica ha avuto luogo.
5. Ogni autorita' di controllo elabora a intervalli regolari una relazione
sulla sua attivita'. La relazione viene pubblicata.
6. Ciascuna autorita' di controllo, indipendentemente dalla legge nazionale
applicabile al trattamento in questione, e' competente per esercitare, nel
territorio del suo Stato membro, i poteri attribuitile a norma del
paragrafo 3. Ciascuna autorita' puo' essere invitata ad esercitare i suoi
poteri su domanda dell'autorita' di un altro Stato membro. Le autorita' di
controllo collaborano tra loro nella misura necessaria allo svolgimento dei
propri compiti, in particolare scambiandosi ogni informazione utile.
7. Gli Stati membri dispongono che i membri e gli agenti delle autorita' di
controllo sono soggetti, anche dopo la cessazione delle attivita',
all'obbligo del segreto professionale in merito alle informazioni riservate
cui hanno accesso.
Articolo 29 - Gruppo per la tutela delle persone con riguardo al
trattamento dei dati personali
1. e' istituito un gruppo per la tutela della persone con riguardo al
trattamento dei dati personali, in appresso denominato "il gruppo". Il
gruppo ha carattere consultivo e indipendente.
2. Il gruppo e' composto da un rappresentante della o delle autorita' di
controllo designate da ciascuno Stato membro e da un rappresentante della o
delle autorita' create per le istituzioni e gli organismi comunitari, nonche'
da un rappresentante della Commissione. Ogni membro del gruppo e' designato
dall'istituzione oppure dalla o dalle autorita' che rappresenta. Qualora uno
Stato membro abbia designato piu' autorita' di controllo, queste procedono
alla nomina di un rappresentante comune. Lo stesso vale per le autorita'
create per le istituzioni e gli organismi comunitari.
3. Il gruppo adotta le sue decisioni alla maggioranza semplice dei
rappresentanti delle autorita' di controllo.
4. Il gruppo elegge il proprio presidente. La durata del mandato del
presidente e' di due anni. Il mandato e' rinnovabile.
5. Al segretariato del gruppo provvede la Commissione.
6. Il gruppo adotta il proprio regolamento interno.
7. Il gruppo esamina le questioni iscritte all'ordine del giorno dal suo
presidente, su iniziativa di questo o su richiesta di un rappresentante
delle autorita' di controllo oppure su richiesta della Commissione.
Articolo 30
1. Il gruppo ha i seguenti compiti:
a) esaminare ogni questione attinente all'applicazione delle norme
nazionali di attuazione della presente direttiva per contribuire alla loro
applicazione omogenea;
b) formulare, ad uso della Commissione, un parere sul livello di tutela
nella Comunita' e nei paesi terzi;
c) consigliare la Commissione in merito a ogni progetto di modifica della
presente direttiva, ogni progetto di misure addizionali o specifiche da
prendere ai fini della tutela dei diritti e delle liberta' delle persone
fisiche con riguardo al trattamento di dati personali, nonche' in merito a
qualsiasi altro progetto di misure comunitarie che incidano su tali diritti
e liberta'
d) formulare un parere sui codici di condotta elaborati a livello
comunitario.
2. Il gruppo, qualora constati che tra le legislazioni o prassi degli Stati
membri si manifestano divergenze che possano pregiudicare l'equivalenza
della tutela delle persone in materia di trattamento dei dati personali
nella Comunita', ne informa la Commissione.
3. Il gruppo puo' formulare di propria iniziativa raccomandazioni su
qualsiasi questione riguardante la tutela delle persone nei confronti del
trattamento di dati personali nella Comunita'.
4. I pareri e le raccomandazioni del gruppo vengono trasmessi alla
Commissione e al comitato di cui all'articolo 31 .
5. La Commissione informa il gruppo del seguito da essa dato ai pareri e
alle raccomandazioni. A tal fine redige una relazione che viene trasmessa
anche al Parlamento europeo e al Consiglio. La relazione e' oggetto di
pubblicazione.
6. Il gruppo redige una relazione annuale sullo stato della tutela delle
persone fisiche con riguardo al trattamento dei dati personali nella
Comunita' e nei paesi terzi e la trasmette alla Commissione, al Parlamento
europeo e al Consiglio. La relazione e' oggetto di pubblicazione.
CAPO VII - MISURE COMUNITARIE D'ESECUZIONE
Articolo 31 - Comitato
1. La Commissione e' assistita da un comitato composto dai rappresentanti
degli Stati membri e presieduto dal rappresentante della Commissione.
2. Il rappresentante della Commissione sottopone al comitato un progetto
delle misure da adottare. Il comitato, entro un termine che il presidente
puo' fissare in funzione dell'urgenza della questione in esame, formula il
suo parere sul progetto. Il parere e' formulato alla maggioranza prevista
all'articolo 148, paragrafo 2 del trattato. Nelle votazioni in seno al
comitato, ai voti dei rappresentanti degli Stati membri e' attribuita la
ponderazione fissata nell'articolo precitato. Il presidente non partecipa
al voto. La Commissione adotta misure che sono applicabili immediatamente.
Tuttavia, se queste misure non sono conformi al parere del comitato saranno
subito comunicate dalla Commissione al Consiglio. In tal caso: - la
Commissione rinvia l'applicazione delle misure da essa decise per un
periodo di tre mesi, a decorrere dalla data della comunicazione; - il
Consiglio, deliberando a maggioranza qualificata, puo' prendere una
decisione diversa entro il termine di cui al comma precedente.
DISPOSIZIONI FINALI
Articolo 32
1. Gli Stati membri mettono in vigore le disposizioni legislative,
regolamentari ed amministrative necessarie per conformarsi alla presente
direttiva al piu' tardi alla scadenza del terzo anno successivo alla sua
adozione. Quando gli Stati membri adottano tali disposizioni, queste
contengono un riferimento alla presente direttiva o sono corredate da un
siffatto riferimento all'atto della pubblicazione ufficiale. Le modalita' di
tale riferimento sono decise dagli Stati membri.
2. Gli Stati membri provvedono affinche' i trattamenti avviati prima della
data di entrata in vigore delle disposizioni nazionali di attuazione della
presente direttiva si conformino a dette disposizioni entro i tre anni
successivi alla data summenzionata. In deroga al comma precedente, gli
Stati membri possono prevedere che, per quanto riguarda gli articoli 6, 7
ed 8, la messa in conformita' dei trattamenti di dati gia' contenuti in
archivi manuali alla data dell'entrata in vigore delle disposizioni
nazionali di attuazione della presente direttiva sia effettuata man mano
che si procede a successive operazioni di trattamento di tali dati, diverse
dalla semplice memorizzazione. Questa messa in conformita' deve, tuttavia,
essere terminata entro il dodicesimo anno a decorrere dalla data di
adozione della presente direttiva. Gli Stati membri consentono comunque
alla persona interessata di ottenere a sua richiesta e in particolare in
sede di esercizio del diritto di accesso, la rettifica, la cancellazione o
il congelamento dei dati incompleti, inesatti o conservati in modo
incompatibile con i fini legittimi perseguiti dal responsabile del
trattamento.
3. In deroga al paragrafo 2, gli Stati membri possono prevedere, con
riserva di garanzie adeguate, che i dati conservati esclusivamente per
ricerche storiche non siano resi conformi alle disposizioni degli articoli
6 , 7 e 8 della presente direttiva.
4. Gi Stati membri comunicano alla Commissione le disposizioni di diritto
interno che adottano nel settore disciplinato dalla presente direttiva.
Articolo 33
La Commissione presenta periodicamente al Consiglio e al Parlamento
europeo, per la prima volta entro tre anni dalla data di cui all'articolo
32 , paragrafo 1, una relazione sull'applicazione della presente direttiva,
accompagnata, se del caso, dalle opportune proposte di modifica. La
relazione e' oggetto di pubblicazione. La Commissione esaminera' in
particolare l'applicazione della presente direttiva al trattamento dei dati
sotto forma di suoni o immagini relativi a persone fisiche e presentera' le
eventuali proposte necessarie, tenuto conto dell'evoluzione della
tecnologia dell'informazione e alla luce dei progressi della societa'
dell'informazione.
Articolo 34
Gli Stati membri sono destinatari della presente direttiva.