DIRETTIVA UE 1995 SULLA PRIVACY

DIRETTIVA
N. 95/46/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 24 ottobre 1995
relativa alla "tutela delle persone fisiche con riguardo al trattamento
dei dati personali, nonché alla libera circolazione di tali dati"

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 100 A,
vista la proposta della Commissione (1),
visto il parere del Comitato economico e sociale (2),
deliberando conformemente alla procedura di cui all'articolo 189 B del trattato (3),

(1) considerando che gli obiettivi della Comunità, enunciati nel
trattato, come è stato modificato dal trattato sull'Unione europea,
consistono nel realizzare un'unione sempre più stretta tra i popoli
europei, nell'istituire relazioni più strette tra gli Stati che la
Comunità riunisce, nell'assicurare mediante un'azione comune il
progresso economico e sociale eliminando le barriere che dividono
l'Europa, nel promuovere il miglioramento costante delle condizioni di
vita delle sue popolazioni, nel preservare e rafforzare la pace e la
libertà e nel promuovere la democrazia basandosi sui diritti
fondamentali sanciti dalle costituzioni e dalle leggi degli Stati
membri nonché dalla convenzione europea di salvaguardia dei diritti
dell'uomo e delle libertà fondamentali;

(2) considerando che i sistemi di trattamento dei dati sono al
servizio dell'uomo; che essi, indipendentemente dalla nazionalità o
dalla residenza delle persone fisiche, debbono rispettare le libertà e
i diritti fondamentali delle stesse, in particolare la vita privata, e
debbono contribuire al progresso economico e sociale, allo sviluppo
degli scambi nonché al benessere degli individui;

(3) considerando che l'instaurazione e il funzionamento del mercato
interno, nel quale, conformemente all'articolo 7 A del trattato, è
assicurata la libera circolazione delle merci, delle persone, dei
servizi e dei capitali, esigono non solo che i dati personali possano
circolare liberamente da uno Stato membro all'altro, ma che siano
altresì salvaguardati i diritti fondamentali della persona;

(4) considerando che nella Comunità si ricorre sempre più
frequentemente al trattamento di dati personali nei vari settori delle
attività economiche e sociali; che i progressi registrati dalle
tecnologie dell'informazione facilitano notevolmente il trattamento e
lo scambio di tali dati;

(5) considerando che l'integrazione economica e sociale derivante
dall'instaurazione e dal funzionamento del mercato interno ai sensi
dell'articolo 7A del trattato comporterà necessariamente un sensibile
aumento dei flussi transfrontalieri di dati personali tra tutti i
soggetti della vita economica e sociale degli Stati membri, siano essi
privati o pubblici; che lo scambio di dati personali tra imprese
stabilite in Stati membri differenti è destinato ad aumentare; che le
amministrazioni nazionali dei vari Stati membri debbono collaborare, in
applicazione del diritto comunitario, e scambiarsi i dati personali per
poter svolgere la loro funzione o esercitare compiti per conto di
un'amministrazione di un altro Stato membro, nell'ambito dello spazio
senza frontiere costituito dal mercato interno;

(6) considerando, inoltre, che il rafforzamento della cooperazione
scientifica e tecnica e la messa in opera coordinata di nuove reti di
telecomunicazioni nella Comunità richiedono e facilitano la
circolazione transfrontaliera di dati personali;

(7) considerando che il divario nei livelli di tutela dei diritti e
delle libertà personali, in particolare della vita privata, garantiti
negli Stati membri relativamente al trattamento di dati personali può
impedire la trasmissione dei dati stessi fra territori degli Stati
membri e che tale divario può pertanto costituire un ostacolo
all'esercizio di una serie di attività economiche su scala comunitaria,
falsare la concorrenza e ostacolare, nell'adempimento dei loro compiti,
le amministrazioni che intervengono nella applicazione del diritto
comunitario; che detto divario nel grado di tutela deriva dalla
diversità disposizioni legislative, regolamentari ed amministrative
nazionali;

(8) considerando che, per eliminare gli ostacoli alla circolazione
dei dati personali, il livello di tutela dei diritti e delle libertà
delle persone relativamente al trattamento di tali dati deve essere
equivalente in tutti gli Stati membri; che tale obiettivo, fondamentale
per il mercato interno, non può essere conseguito esclusivamente
attraverso l'azione degli Stati membri, tenuto conto in particolare
dell'ampia divergenza esistente attualmente tra le norme nazionali in
materia e della necessità di coordinarle affinché il flusso
transfrontaliero di dati personali sia disciplinato in maniera coerente
e conforme all'obiettivo del mercato interno ai sensi dell'articolo 7A
del trattato; che risulta pertanto necessario un intervento della
Comunità ai fini di un ravvicinamento delle legislazioni;

(9) considerando che, data la protezione equivalente derivante dal
ravvicinamento delle legislazioni nazionali, gli Stati membri non
potranno più ostacolare la libera circolazione tra loro di dati
personali per ragioni inerenti alla tutela dei diritti e delle libertà
delle persone fisiche, segnatamente del diritto alla vita privata; che
gli Stati membri disporranno di un margine di manovra di cui potranno
valersi, nell'applicazione della Direttiva, i partner economici e
sociali; che potranno quindi precisare nella loro legislazione
nazionale le condizioni generali di liceità dei trattamenti; così
facendo gli Stati membri si adopereranno per migliorare la protezione
attualmente prevista dalle loro leggi; che, nei limiti di tale margine
di manovra e conformemente al diritto comunitario, potranno verificarsi
divergenze nell'applicazione della Direttiva e che queste potranno
ripercuotersi sulla circolazione dei dati sia all'interno dello Stato
membro che nelle Comunità;

(10) considerando che le legislazioni nazionali relative al
trattamento dei dati personali hanno lo scopo di garantire il rispetto
dei diritti e delle libertà fondamentali, in particolare del diritto
alla vita privata, riconosciuto anche dall'articolo 8 della Convenzione
europea per la salvaguardia dei diritti dell'uomo e delle libertà
fondamentali e dai principi generali del diritto comunitario; che
pertanto il riavvicinamento di dette legislazioni non deve avere per
effetto un indebolimento della tutela da esse assicurata ma deve anzi
mirare a garantire un elevato grado di tutela nella Comunità;

(11) considerando che i principi della tutela dei diritti e delle
libertà delle persone, in particolare del rispetto della vita privata,
contenuti dalla presente Direttiva precisano ed ampliano quelli
enunciati dalla convenzione del 28 gennaio 1981 del Consiglio d'Europa
sulla protezione delle persone con riferimento al trattamento
automatizzato dei dati di carattere personale;

(12) considerando che i principi di tutela si devono applicare a
tutti i trattamenti di dati personali quando le attività del
responsabile del trattamento rientrano nel campo d'applicazione del
diritto comunitario; che deve essere escluso il trattamento di dati
effettuato da una persona fisica nell'esercizio di attività a carattere
esclusivamente personale o domestico quali la corrispondenza e la
compilazione di elenchi di indirizzi;

(13) considerando che le attività previste dai titoli V e VI del
trattato sull'Unione europea attinenti alla pubblica sicurezza, alla
difesa, alla sicurezza dello Stato o alle attività dello Stato in
materia di diritto penale non rientrano nel campo d'applicazione del
diritto comunitario, fatti salvi gli obblighi che incombono agli Stati
membri a norma dell'articolo 56, paragrafo 2, dell'articolo 57 e 100A
del trattato; che il trattamento di dati personali che è necessario
alla salvaguardia del benessere economico dello Stato non rientra
nell'ambito della presente Direttiva qualora il trattamento sia legato
a questioni di sicurezza dello Stato;

(14) considerando che la presente Direttiva dovrebbe applicarsi al
trattamento dei dati in forma di suoni e immagini relativi a persone
fisiche, vista la notevole evoluzione in corso nella società
dell'informazione delle tecniche per captare, trasmettere, manipolare,
registrare, conservare o comunicare siffatti dati;

(15) considerando che il trattamento de suddetti dati rientra nella
presente Direttiva soltanto se è automatizzato o se riguarda dati
contenuti, o destinati ad essere contenuti, in un archivio strutturato
secondo criteri specifici relativi alle persone, in modo da consentire
un facile accesso ai dati personali di cui trattasi;

(16) considerando che nel campo d'applicazione della presente
Direttiva non rientra il trattamento di dati in forma di suoni e
immagini, quali i dati di controllo video, finalizzato alla pubblica
sicurezza, alla difesa, alla sicurezza dello Stato o all'esercizio di
attività dello Stato nella sfera del diritto penale o di altre attività
che esulano dal campo d'applicazione del diritto comunitario;

(17) considerando che, per quanto attiene al trattamento di suoni e
immagini finalizzato all'attività giornalistica o all'espressione
letteraria o artistica, in particolare del settore audiovisivo, i
principi della Direttiva hanno un'applicazione limitata, conformemente
a quanto dispone l'articolo 9;

(18) considerando che, onde evitare che una persona venga privata
della tutela cui ha diritto in forza della presente Direttiva, è
necessario che qualsiasi trattamento di dati personali effettuato nella
Comunità rispetti la legislazione di uno degli Stati membri; che, a
questo proposito, è opportuno assoggettare i trattamenti effettuati da
una persona che opera sotto l'autorità del responsabile del trattamento
stabilito in uno Stato membro alla legge di tale Stato;

(19) considerando che lo stabilimento nel territorio di uno Stato
membro implica l'esercizio effettivo e reale dell'attività mediante
un'organizzazione stabile; che la forma giuridica di siffatto
stabilimento, si tratti di una semplice succursale o di una filiale
dotata di personalità giuridica, non è il fattore determinante a questo
riguardo; che quando un unico responsabile del trattamento è stabilito
nel territorio di diversi Stati membri, in particolare per mezzo di
filiali, esso deve assicurare, segnatamente per evitare che le
disposizioni vengano eluse, che ognuno degli stabilimenti adempia gli
obblighi previsti dalla legge nazionale applicabile alle attività di
ciascuno di essi;

(20) considerando che la tutela delle persone prevista dalla
presente Direttiva non deve essere impedita dal fatto che il
responsabile del trattamento sia stabilito in un paese terzo; che, in
tal caso, è opportuno che i trattamenti effettuati siano disciplinati
dalla legge dello Stato membro nel quale sono ubicati i mezzi
utilizzati per il trattamento in oggetto e che siano prese le garanzie
necessarie per consentire l'effettivo rispetto dei diritti e degli
obblighi previsti dalla presente Direttiva;

(21) considerando che la presente Direttiva lascia impregiudicate le norme di territorialità applicabili in materia penale;

(22) considerando che gli Stati membri preciseranno, nella loro
legislazione o in sede di applicazione delle norme di attuazione della
presente Direttiva, i requisiti generali di liceità del trattamento dei
dati; che in particolare l'articolo 5, in combinato disposto con gli
articoli 7 e 8, consente agli Stati membri di prevedere,
indipendentemente dalle norme generali, condizioni particolari per il
trattamento dei dati in settori specifici e per le varie categorie di
dati di cui all'articolo 8;

(23) considerando che gli Stati membri sono autorizzati ad
assicurare la messa in opera della tutela delle persone sia mediante
una legge generale relativa alla tutela delle persone contro il
trattamento dei dati personali, sia mediante leggi settoriali, quali
quelle relative ad esempio agli istituti di statistica;

(24) considerando che la presente Direttiva lascia impregiudicate le
norme relative alla tutela delle persone giuridiche riguardo al
trattamento dei dati che le riguardano;

(25) considerando che i principi di tutela si esprimono, da un lato,
nei vari obblighi a carico delle persone, autorità pubbliche, imprese,
agenzie o altri organismi responsabili del trattamento, obblighi
relativi in particolare alla qualità dei dati, alla sicurezza tecnica,
alla notificazione all'autorità di controllo, alle circostanze in cui
il trattamento può essere effettuato e, dall'altro, nel diritto delle
persone, i cui dati sono oggetto di trattamento, di esserne informate,
di poter accedere ai dati, e chiederne la rettifica, o di opporsi al
trattamento in talune circostanze;

(26) considerando che i principi della tutela si devono applicare ad
ogni informazione concernente una persona identificata o
identificabile; che, per determinare se una persona è identificabile, è
opportuno prendere in considerazione l'insieme dei mezzi che possono
essere ragionevolmente utilizzati dal responsabile del trattamento o da
altri per identificare detta persona; che i principi della tutela non
si applicano a dati resi anonimi in modo tale che la persona
interessata non è più identificabile; che i codici di condotta ai sensi
dell'articolo 27 possono costituire uno strumento utile di orientamento
sui mezzi grazie ai quali dati possano essere resi anonimi e registrati
in modo da rendere impossibile l'identificazione della persona
interessata;

(27) considerando che la tutela delle persone fisiche deve essere
applicata al trattamento dei dati sia automatizzato sia manuale; che la
portata della tutela non deve infatti dipendere dalle tecniche
impiegate poiché, in caso contrario, sussisterebbero gravi rischi di
elusione delle disposizioni; che nondimeno, riguardo al trattamento
manuale, la presente Direttiva si applica soltanto agli archivi e non
ai fascicoli non strutturati; che, in particolare, il contenuto di un
archivio deve essere strutturato secondo criteri specifici relativi
alle persone che consentano un facile accesso ai dati personali; che,
in conformità alla definizione dell'articolo 2, lettera c), i diversi
criteri che determinano gli elementi che costituiscono un insieme
strutturato di dati personali, nonché i diversi criteri in virtù dei
quali un siffatto insieme è accessibile, possono essere precisati dai
singoli Stati membri; che i fascicoli o le serie di fascicoli, nonché
le rispettive copertine, non strutturati secondo criteri specifici, non
rientrano in nessun caso nel campo di applicazione della presente
Direttiva;

(28) considerando che qualsivoglia trattamento di dati personali
deve essere eseguito lealmente e lecitamente nei confronti delle
persone interessate; che esso deve in particolare avere per oggetto
dati adeguati, pertinenti e non eccedenti rispetto alle finalità
perseguite; che tali finalità devono essere esplicite e legittime e
specificate al momento della raccolta dei dati; che le finalità dei
trattamenti successivi alla raccolta non possono essere incompatibili
con quelle originariamente specificate;

(29) considerando che l'ulteriore trattamento di dati personali per
scopi storici, statistici o scientifici non è generalmente considerato
incompatibile con le finalità per le quali i dati erano stati
preventivamente raccolti, purché gli Stati membri forniscano adeguate
garanzie; che tali garanzie devono soprattutto impedire l'uso dei dati
per l'adozione di misure o decisioni nei confronti di singole persone;

(30) considerando che, per essere lecito, il trattamento di dati
personali deve essere inoltre basato sul consenso della persona
interessata oppure deve essere necessario ai fini della conclusione o
dell'esecuzione di un contratto vincolante per la persona interessata,
oppure deve essere previsto dalla legge, per l'esecuzione di un compito
nell'interesse pubblico o per l'esercizio dell'autorità pubblica, o
nell'interesse legittimo di un singolo individuo, a condizione che gli
interessi o i diritti e le libertà della persona interessata non
abbiano la prevalenza; che, segnatamente, per garantire un equilibrio
degli interessi in causa, pur assicurando una concorrenza effettiva,
gli Stati membri possono precisare le condizioni alle quali dati
personali possono essere usati e comunicati a terzi nell'ambito di
attività lecite di gestione corrente delle imprese o di altri
organismi; che essi possono parimenti precisare le condizioni alle
quali può essere effettuata la comunicazione a terzi di dati personali
a fini di prospezione, sia che si tratti di invio di materiale
pubblicitario che di invio di materiale promosso da un'associazione a
scopo benefico o da altre associazioni o fondazioni, ad esempio a
carattere politico, nel rispetto delle disposizioni volte a consentire
alle persone interessate di opporsi senza dover fornire una motivazione
e senza spese al trattamento dei dati che le riguardano;

(31) considerando che un trattamento di dati personali deve essere
ugualmente considerato lecito quando è effettuato per tutelare un
interesse essenziale alla vita della persona interessata;

(32) considerando che spetta alle legislazioni nazionali stabilire
se il responsabile del trattamento investito di un compito di interesse
pubblico o connesso all'esercizio di pubblici poteri debba essere una
pubblica amministrazione o un altro soggetto di diritto pubblico o di
diritto privato, quale un'associazione professionale;

(33) considerando che i dati che possono per loro natura ledere le
libertà fondamentali o la vita privata non dovrebbero essere oggetto di
trattamento, salvo esplicito consenso della persona interessata; che
tuttavia le deroghe a questo divieto devono essere espressamente
previste nei casi di necessità specifiche, segnatamente laddove il
trattamento di tali dati viene eseguito da persone assoggettate per
legge all'obbligo del segreto professionale per taluni fini connessi
alla sanità o per le legittime attività di talune associazioni o
fondazioni il cui scopo consista nel permettere l'esercizio delle
libertà fondamentali;

(34) considerando che gli Stati membri devono anche essere
autorizzati, quando un motivo di interesse pubblico rilevante lo
giustifichi, a derogare al divieto di trattamento di categorie di dati
di natura delicata in settori quali la pubblica sanità e la protezione
sociale - soprattutto al fine di assicurare la qualità e la redditività
per quanto riguarda le procedure per rispondere alle richieste di
prestazioni e servizi nell'ambito del regime di assicurazione sanitaria
-, la ricerca scientifica nonché le statistiche pubbliche; che spetta
loro tuttavia prevedere le garanzie appropriate e specifiche per
tutelare i diritti fondamentali e la vita privata delle persone;

(35) considerando inoltre che il trattamento di dati personali da
parte di pubbliche autorità per la realizzazione degli scopi, previsti
dal diritto costituzionale o dal diritto internazionale pubblico, di
associazioni religiose ufficialmente riconosciute viene effettuato per
motivi di rilevante interesse pubblico;

(36) considerando che, se nelle attività connesse con le elezioni il
funzionamento del sistema democratico rende necessaria, in alcuni Stati
membri, la raccolta da parte di partiti politici di dati sulle opinioni
politiche delle persone, può essere consentito il trattamento di
siffatti dati per motivi di interesse pubblico rilevante, purché siano
stabilite garanzie appropriate;

(37) considerando che il trattamento di dati personali a scopi
giornalistici o di espressione artistica o letteraria, in particolare
nel settore audiovisivo deve beneficiare di deroghe o di limitazioni a
determinate disposizioni della presente Direttiva ove sia necessario
per conciliare i diritti fondamentali della persona con la libertà di
espressione ed in particolare la libertà di ricevere o di comunicare
informazioni, quale garantita in particolare dall'articolo 10 della
Convenzione europea per la salvaguardia dei diritti dell'uomo e delle
libertà fondamentali; che pertanto, al fine di stabilire un equilibrio
fra i diritti fondamentali, gli Stati membri devono prevedere le
deroghe e le limitazioni necessarie in materia di misure generali
concernenti la legittimità del trattamento di dati, di misure relative
al trasferimento di dati nei paesi terzi nonché di competenze degli
uffici preposti al controllo; che tuttavia ciò non dovrebbe permettere
agli Stati membri di prevedere deroghe alle misure di garanzia della
sicurezza del trattamento; che agli uffici preposti al controllo in
tale settore dovrebbero essere parimenti conferite almeno determinate
competenze a posteriori, ad esempio la competenza di pubblicare
periodicamente una relazione o di adire l'autorità giudiziaria;

(38) considerando che il trattamento leale dei dati presuppone che
le persone interessate possano conoscere l'esistenza del trattamento e
disporre, quando i dati che le riguardano sono forniti direttamente da
loro, di un'informazione effettiva e completa in merito alle
circostanze della raccolta;

(39) considerando che alcuni trattamenti riguardano dati che il
responsabile non ha raccolto direttamente presso la persona
interessata; che è peraltro possibile che taluni dati siano
legittimamente comunicati a terzi anche se tale comunicazione non era
stata prevista all'atto della raccolta dei dati presso la persona
interessata; che, in tutti questi casi, la persona interessata deve
essere informata al momento della registrazione dei dati o al massimo
quando essi sono comunicati per la prima volta a terzi;

(40) considerando che non è tuttavia necessario imporre tale obbligo
se la persona interessata è già informata; che, inoltre, tale obbligo
non è previsto se la registrazione o la comunicazione sono
espressamente previste dalla legge ovvero se informare la persona
interessata risulta impossibile o implica uno sforzo eccessivo, come
può verificarsi per i trattamenti a fini storici, statistici o
scientifici; che in questo caso si può tener conto del numero di
persone interessate, dell'antichità dei dati e delle eventuali misure
di compensazione;

(41) considerando che una persona deve godere del diritto d'accesso
ai dati che la riguardano e che sono oggetto di trattamento, per poter
verificare, in particolare, la loro esattezza e la liceità del
trattamento; che, per le stesse ragioni, le persone devono avere
inoltre il diritto di conoscere la logica su cui si basa il trattamento
automatizzato dei dati che le riguardano, perlomeno nel caso delle
decisioni automatizzate di cui all'articolo 15, paragrafo 1; che tale
diritto deve lasciare impregiudicati il segreto industriale e aziendale
e la proprietà intellettuale, segnatamente i diritti d'autore che
tutelano il software; che ciò non dovrebbe comunque tradursi nel
rifiuto di fornire qualsiasi informazione alla persona interessata;

(42) considerando che gli Stati membri possono, a beneficio della
persona interessata o a tutela dei diritti e delle libertà altrui,
limitare il diritto d'accesso e d'informazione; che possono, ad
esempio, precisare che l'accesso ai dati medici è possibile soltanto
per il tramite del personale sanitario;

(43) considerando che gli Stati membri possono altresì imporre
analoghe restrizioni al diritto di accesso e di informazione e ad
alcuni obblighi del responsabile del trattamento nella misura in cui
tali restrizioni siano necessarie per salvaguardare, ad esempio, la
sicurezza nazionale, la difesa, la pubblica sicurezza, importanti
interessi economici o finanziari di uno Stato membro o dell'Unione,
nonché per indagini e procedimenti penali e in caso di violazioni
dell'etica delle professioni regolamentate; che occorre elencare, a
titolo di deroghe e restrizioni, i compiti di controllo, di indagine o
di regolamentazione necessari negli ultimi tre settori suindicati
relativamente alla pubblica sicurezza, agli interessi economici o
finanziari e alla repressione penale; che l'elenco dei compiti relativi
a questi tre settori lascia impregiudicata la legittimità delle deroghe
e restrizioni giustificate da ragioni di sicurezza di Stato e di difesa;

(44) considerando che gli Stati membri possono essere indotti, in
forza di disposizioni di diritto comunitario, a derogare alle
disposizioni della presente Direttiva in materia di diritto d'accesso,
di informazione delle persone e di qualità dei dati, onde salvaguardare
alcune delle finalità di cui sopra;

(45) considerando che, in caso di dati che potrebbero essere oggetto
di un trattamento lecito per ragioni di interesse pubblico, di
esercizio dell'autorità pubblica o di interesse legittimo di un
singolo, qualsiasi persona interessata dovrebbe comunque avere il
diritto, per ragioni preminenti e legittime connesse alla sua
situazione particolare, di opporsi al trattamento dei dati che la
riguardano; che gli Stati membri hanno tuttavia la facoltà di prevedere
disposizioni nazionali contrarie;

(46) considerando che la tutela dei diritti e delle libertà delle
persone interessate relativamente al trattamento di dati personali
richiede l'adozione di adeguate misure tecniche ed organizzative sia al
momento della progettazione che a quello dell'esecuzione del
trattamento, in particolare per garantirne la sicurezza ed impedire in
tal modo qualsiasi trattamento non autorizzato; che spetta agli Stati
membri accertarsi che il responsabile del trattamento osservi tali
misure; che queste devono assicurare un adeguato livello di sicurezza,
tenuto conto delle conoscenze tecniche e dei costi dell'esecuzione
rispetto ai rischi che i trattamenti presentano e alla natura dei dati
da proteggere;

(47) considerando che, laddove un messaggio contenente dati
personali sia trasmesso tramite un servizio di telecomunicazioni o di
posta elettronica, finalizzato unicamente alla trasmissione di siffatti
messaggi, si considera, di norma, responsabile del trattamento dei dati
personali contenuti del messaggio la persona che lo ha emanato e non la
persona che presta il servizio di trasmissione; che tuttavia le persone
che prestano tali servizi sono di norma considerate responsabili del
trattamento dei dati personali supplementari necessari per il
funzionamento del servizio;

(48) considerando che la notificazione all'autorità di controllo ha
lo scopo di dare pubblicità alle finalità del trattamento ed alle sul
principali caratteristiche, per consentirne il controllo secondo le
norme nazionali di attuazione della presente Direttiva;

(49) considerando che, al fine di evitare formalità amministrative
improprie, possono essere previste dagli Stati membri misure di
esenzione dall'obbligo di notificazione o di semplificazione di
quest'ultima per i trattamenti che non sono tali da recare pregiudizio
ai diritti e alle libertà delle persone interessate, purché siano
conformi ad un atto adottato dallo Stato membro che ne precisi i
limiti; che gli Stati membri possono analogamente prevedere esenzioni o
semplificazioni qualora una persona incaricata dal responsabile del
trattamento si accerti che i trattamenti effettuati non sono tali da
ledere i diritti e le libertà delle persone interessate; che detto
incaricato della protezione dei dati, dipendente o meno del
responsabile del trattamento, deve essere in grado di esercitare le sue
funzioni in modo del tutto indipendente;

(50) considerando che potrebbero essere previste esenzioni o
semplificazioni per i trattamenti il cui unico scopo sia la tenuta di
registri finalizzati, ai sensi del diritto nazionale, all'informazione
del pubblico e aperti alla consultazione del pubblico o di chiunque
dimostri un interesse legittimo;

(51) considerando che il responsabile del trattamento beneficiario
della semplificazione o dell'esenzione dall'obbligo di notificazione
non è tuttavia dispensato da nessuno degli altri obblighi che gli
incombono a norma della presente Direttiva;

(52) considerando che, in questo contesto, il controllo a posteriori
da parte delle autorità competenti deve essere ritenuto di norma
sufficiente;

(53) considerando che, tuttavia, alcuni trattamenti possono
presentare rischi particolari per i diritti e le libertà delle persone
interessate, per natura, portata o finalità, quali quello di escludere
una persona dal beneficio di un diritto, di una prestazione o di un
contratto, ovvero a causa dell'uso particolare di una tecnologia nuova;
che spetta agli Stati membri, se lo vorranno, precisare tali rischi
nella legislazione nazionale;

(54) considerando che il numero dei trattamenti che presentano tali
rischi particolari dovrebbe essere molto esiguo rispetto al totale dei
trattamenti effettuati nella società; che, per siffatti trattamenti,
gli Stati membri devono prevedere, prima che inizi il trattamento, un
esame da parte dell'autorità di controllo, o dell'incaricato della
protezione dei dati in collaborazione con essa; che a seguito di tale
esame preliminare l'autorità di controllo può , in base al diritto
nazionale d'applicazione, formulare un parere o autorizzare il
trattamento dei dati; che detto esame può aver luogo anche durante il
processo di elaborazione di un provvedimento del Parlamento nazionale
ovvero di un provvedimento basato su tale provvedimento legislativo, in
cui si definisca la natura del trattamento e si precisino le garanzie
appropriate;

(55) considerando che, in caso di violazione dei diritti delle
persone interessate da parte del responsabile del trattamento, le
legislazioni nazionali devono prevedere vie di ricorso giurisdizionale;
che i danni cagionati alle persone per effetto di un trattamento
illecito devono essere riparati dal responsabile del trattamento, il
quale può essere esonerato dalla propria responsabilità se prova che
l'evento dannoso non gli è imputabile, segnatamente quando dimostra
l'esistenza di un errore della persona interessata o un caso di forza
maggiore; che sanzioni debbono essere applicate nei confronti di
qualsiasi soggetto di diritto privato o di diritto pubblico che non
rispetti le norme nazionali di attuazione della presente Direttiva;

(56) considerando che lo sviluppo degli scambi internazionali
comporta necessariamente il trasferimento oltre frontiera di dati
personali; che la tutela delle persone garantita nella Comunità dalla
presente Direttiva non osta al trasferimento di dati personali verso
paesi terzi che garantiscano un livello di protezione adeguato; che
l'adeguatezza della tutela offerta da un paese terzo deve essere
valutata in funzione di tutte le circostanze relative ad un
trasferimento o ad una categoria di trasferimenti;

(57) considerando, per contro, che deve essere vietato il
trasferimento di dati personali verso un paese terzo che non offre un
livello di protezione adeguato;

(58) considerando che devono essere previste, in talune circostanze,
deroghe a tale divieto a condizione che la persona interessata vi abbia
consentito, che il trasferimento sia necessario in relazione ad un
contratto o da un'azione legale, oppure qualora il trasferimento sia
necessario per la salvaguardia di un interesse pubblico rilevante, per
esempio in casi di scambi internazionali di dati tra le amministrazioni
fiscali o doganali oppure tra i servizi competenti per la sicurezza
sociale, o qualora il trasferimento avvenga da un registro previsto
dalla legge e destinato ad essere consultato dal pubblico o dalle
persone aventi un interesse legittimo; che tale trasferimento non deve
riguardare la totalità dei dati o delle categorie di dati contenuti nel
registro suddetto; che il trasferimento di un registro destinato ad
essere consultato dalle persone aventi un interesse legittimo dovrebbe
essere possibile soltanto su richiesta di tali persone o qualora esse
ne siano i destinatari;

(59) considerando che possono essere adottate misure particolari per
rimediare al livello di protezione insufficiente di un paese terzo,
qualora il responsabile del trattamento offra le opportune garanzie;
che inoltre debbono essere previste procedure di negoziato fra la
Comunità e i paesi terzi in questione;

(60) considerando che comunque i trasferimenti di dati verso i paesi
terzi possono aver luogo soltanto nel pieno rispetto delle disposizioni
prese dagli Stati membri in applicazione della presente Direttiva, in
particolare dell'articolo 8;

(61) considerando che gli Stati membri e la Commissione, nei
rispettivi settori di competenza, devono incoraggiare gli ambienti
professionali interessati a elaborare codici di condotta destinati a
favorire, secondo le caratteristiche specifiche dei trattamenti
effettuati in taluni settori, l'attuazione della presente Direttiva nel
rispetto delle disposizioni nazionali di applicazione della stessa;

(62) considerando che la designazione di autorità di controllo che
agiscano in modo indipendente in ciascuno Stato membro è un elemento
essenziale per la tutela delle persone con riguardo al trattamento di
dati personali;

(63) considerando che tali autorità devono disporre dei mezzi
necessari all'adempimento dei loro compiti, siano essi poteri
investigativi o di intervento, segnatamente in caso di reclami di
singoli individui, nonché poteri di avviare azioni legali; che esse
debbono contribuire alla trasparenza dei trattamenti effettuati nello
Stato membro da cui dipendono;

(64) considerando che le autorità dei vari Stati membri sono tenute
a collaborare nello svolgimento dei propri compiti in modo tale da
assicurare che le norme relative alla tutela vengano pienamente
rispettate in tutta l'Unione europea;

(65) considerando che, a livello comunitario, deve essere istituito
un gruppo per la tutela delle persone con riguardo al trattamento dei
dati personali e che esso deve esercitare le sue funzioni in piena
indipendenza; che, tenuto conto di tale carattere specifico, esso deve
consigliare la Commissione e contribuire in particolare
all'applicazione omogenea delle norme nazionali di attuazione della
presente Direttiva;

(66) considerando che, in ordine al trasferimento di dati verso i
paesi terzi, l'applicazione della presente Direttiva richiede
l'attribuzione alla Commissione di competenze d'esecuzione nonché
l'istituzione di una procedura secondo le modalità fissate nella
decisione 87/373/CEE del Consiglio (4);

(67) considerando che il 20 dicembre 1994 è stato raggiunto un
accordo su un "modus vivendi" tra Parlamento europeo, Consiglio e
Commissione sulle misure di attuazione degli atti adottati in base alla
procedura stabilita all'articolo 189 B del trattato CE;

(68) considerando che i principi della tutela dei diritti e delle
libertà delle persone, in particolare del rispetto della vita privata,
con riguardo al trattamento di dati personali, oggetto della presente
Direttiva, potranno essere completati o precisati, soprattutto per
taluni settori, da norme specifiche ad essi conformi;

(69) considerando che è opportuno concedere agli Stati membri un
termine non superiore a tre anni a decorrere dall'entrata in vigore
delle disposizioni nazionali di recepimento della presente Direttiva,
per consentire loro di applicare progressivamente a tutti i trattamenti
già realizzati dette nuove disposizioni nazionali; che per agevolare
un'applicazione efficiente in termini di costi sarà concesso agli Stati
membri un ulteriore periodo che si concluderà dodici anni dopo la data
di adozione della presente Direttiva, in modo tale che venga assicurata
la conformità degli archivi manuali esistenti con alcune disposizioni
della Direttiva; che i dati contenuti in detti archivi e oggetto di un
trattamento manuale effettivo nel corso di questo periodo di
transizione supplementare devono essere resi conformi con le presenti
disposizioni all'atto di tale trattamento attivo;

(70) considerando che non occorre che la persona interessata dia
nuovamente il suo consenso affinché il responsabile possa proseguire,
dopo l'entrata in vigore delle disposizioni nazionali di attuazione
della presente Direttiva, i trattamenti dei dati di natura delicata
necessari all'esecuzione di un contratto concluso in base ad un
consenso libero e con cognizione di causa prima dell'entrata in vigore
delle suddette disposizioni;

(71) considerando che la presente Direttiva non osta alla disciplina
da parte uno Stato membro delle attività di invio di materiale
pubblicitario destinato ai consumatori residenti nel proprio
territorio, purché detta disciplina non riguardi la tutela delle
persone relativamente al trattamento dei dati personali;

(72) considerando che la presente Direttiva consente che,
nell'applicazione dei principi in essa stabiliti si tenga conto del
principio dell'accesso del pubblico ai documenti ufficiali,

HANNO ADOTTATO LA PRESENTE DIRETTIVA

CAPO I
DISPOSIZIONI GENERALI

 

Articolo 1
Oggetto della direttiva

1. Gli Stati membri garantiscono, conformemente alle disposizioni
della presente Direttiva, la tutela dei diritti e delle libertà
fondamentali delle persone fisiche e particolarmente del diritto alla
vita privata, con riguardo al trattamento dei dati personali.

2. Gli Stati membri non possono restringere o vietare la libera
circolazione dei dati personali tra Stati membri, per motivi connessi
alla tutela garantita a norma del paragrafo 1.

Articolo 2
Definizioni

Ai fini della presente Direttiva si intende per:

a) "dati personali": qualsiasi informazione concernente una
persona fisica identificata o identificabile ("persona interessata");
si considera identificabile la persona che può essere identificata,
direttamente o indirettamente, in particolare mediante riferimento ad
un numero di identificazione o ad uno o più elementi specifici
caratteristici della sua identità fisica, fisiologica, psichica,
economica, culturale o sociale;

b) "trattamento di dati personali" ("trattamento"): qualsiasi
operazione o insieme di operazioni compiute con o senza l'ausilio di
processi automatizzati e applicate a dati personali, come la raccolta,
la registrazione, l'organizzazione, la conservazione, l'elaborazione o
la modifica, l'estrazione, la consultazione, l'impiego, la
comunicazione mediante trasmissione, diffusione o qualsiasi altra forma
di messa a disposizione, il raffronto o l'interconnessione, nonché il
congelamento, la cancellazione o la distruzione;

c) "archivio di dati personali" ("archivio"): qualsiasi
insieme strutturato di dati personali accessibili, secondo criteri
determinati, indipendentemente dal fatto che tale insieme sia
centralizzato, decentralizzato o ripartito in modo funzionale o
geografico;

d) "responsabile del trattamento": la persona fisica o
giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo
che, da solo o insieme ad altri, determina le finalità e gli strumenti
del trattamento di dati personali. Quando le finalità e i mezzi del
trattamento sono determinati da disposizioni legislative o
regolamentari nazionali o comunitarie, il responsabile del trattamento
o i criteri specifici per al sua designazione possono essere fissati
dal diritto nazionale o comunitario;

e) "incaricato del trattamento": la persona fisica o
giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo
che elabora dati personali per conto del responsabile del trattamento;

f) "terzi": la persona fisica o giuridica, l'autorità
pubblica, il servizio o qualsiasi altro organismo che non sia la
persona interessata, il responsabile del trattamento, l'incaricato del
trattamento e le persone autorizzate all'elaborazione dei dati sotto la
loro autorità diretta;

g) "destinatario": la persona fisica o giuridica, l'autorità
pubblica, il servizio o qualsiasi altro organismo che riceve
comunicazione di dati, che si tratti o meno di un terzo. Tuttavia, le
autorità che possono ricevere comunicazione di dati nell'ambito di una
missione d'inchiesta specifica non sono considerate destinatari;

h) "consenso della persona interessata": qualsiasi
manifestazione di volontà libera, specifica e informata con la quale la
persona interessata accetta che i dati personali che la riguardano
siano oggetto di un trattamento.

Articolo 3
Campo d'applicazione

1. Le disposizioni della presente Direttiva si applicano al
trattamento di dati personali interamente o parzialmente automatizzato
nonché al trattamento non automatizzato di dati personali contenuti o
destinati a figurare negli archivi.

2. Le disposizioni della presente Direttiva non si applicano ai trattamenti di dati personali:

- effettuati per l'esercizio di attività che non rientrano nel campo
di applicazione del diritto comunitario, come quelle previste dai
titoli V e VI del trattato sull'Unione europea e comunque ai
trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la
sicurezza dello Stato (compreso il benessere economico dello Stato,
laddove tali trattamenti siano connessi a questioni di sicurezza dello
Stato) e le attività dello Stato in materia di diritto penale;

- effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico.

Articolo 4
Diritto nazionale applicabile

1. Ciascuno Stato membro applica le disposizioni nazionali adottate
per l'attuazione della presente Direttiva al trattamento di dati
personali:

a) effettuato nel contesto delle attività di uno stabilimento del
responsabile del trattamento nel territorio dello Stato membro; qualora
uno stesso responsabile del trattamento sia stabilito nel territorio di
più Stati membri, esso deve adottare le misure necessarie per
assicurare l'osservanza, da parte di ciascuno di detti stabilimenti,
degli obblighi stabiliti dal diritto nazionale applicabile;

b) il cui responsabile non è stabilito nel territorio dello Stato
membro, ma in un luogo in cui si applica la sua legislazione nazionale,
a norma del diritto internazionale pubblico;

c) il cui responsabile, non stabilito nel territorio della Comunità,
ricorre, ai fini del trattamento di dati personali, a strumenti,
automatizzati o non automatizzati, situati nel territorio di detto
Stato membro, a meno che questi non siano utilizzati ai soli fini di
transito nel territorio della Comunità europea.

2. Nella fattispecie di cui al paragrafo 1, lettera c), il
responsabile del trattamento deve designare un rappresentante stabilito
nel territorio di detto Stato membro, fatte salve le azioni che
potrebbero essere promosse contro lo stesso responsabile del
trattamento.

CAPO II
CONDIZIONI GENERALI DI LICEITA' DEI TRATTAMENTI DI DATI PERSONALI

Art. 5

Gli Stati membri precisano, nei limiti delle disposizioni del
presente capo, le condizioni alle quali i trattamenti di dati personali
sono leciti.

Sezione I
Principi relativi alla qualità dei dati

Articolo 6

1. Gli Stati membri dispongono che i dati personali devono essere:

a) trattati lealmente e lecitamente;

b) rilevati per finalità determinate, esplicite e legittime, e
successivamente trattati in modo non incompatibile con tali finalità.

Il trattamento successivo dei dati per scopi storici, statistici o
scientifici non è ritenuto incompatibile, purché gli Stati membri
forniscano garanzie appropriate;

c) adeguati, pertinenti e non eccedenti rispetto alle finalità per
le quali vengono rilevati e/o per le quali vengono successivamente
trattati;

d) esatti e, se necessario, aggiornati; devono essere prese tutte le
misure ragionevoli per cancellare o rettificare i dati inesatti o
incompleti rispetto alle finalità per le quali sono rilevati o sono
successivamente trattati, cancellati o rettificati;

e) conservati in modo da consentire l'identificazione delle persone
interessate per un arco di tempo non superiore a quello necessario al
conseguimento delle finalità per le quali sono rilevati o sono
successivamente trattati.

Gli Stati membri prevedono garanzie adeguate per i dati personali
conservati oltre il suddetto arco di tempo per motivi storici,
statistici o scientifici.

2. Il responsabile del trattamento e tenuto a garantire il rispetto delle disposizioni del paragrafo 1.

Sezione II
Principi relativi alla legittimazione del trattamento dei dati

Articolo 7

Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando:

a) la persona interessata ha manifestato il proprio consenso in maniera inequivocabile,
oppure

b) è necessario all'esecuzione del contratto concluso con la persona
interessata o all'esecuzione di misure precontrattuali prese su
richiesta di tale persona,
oppure

c) è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento,
oppure

d) è necessario per la salvaguardia dell'interesse vitale della persona interessata,
oppure

e) è necessario per l'esecuzione di un compito di interesse pubblico
o connesso all'esercizio di pubblici poteri di cui è investito il
responsabile del trattamento o il terzo a cui vengono comunicati i
dati,
oppure

f) è necessario per il perseguimento dell'interesse legittimo del
responsabile del trattamento oppure del o dei terzi cui vengono
comunicati i dati, a condizione che non prevalgano l'interesse o i
diritti e le libertà fondamentali della persona interessata, che
richiedono tutela ai sensi dell'articolo 1, paragrafo 1.

Sezione III
Categorie particolari di trattamenti

Articolo 8
Trattamenti riguardanti categorie particolari di dati

1. Gli Stati membri vietano il trattamento di dati personali che
rivelano l'origine razziale o etnica, le opinioni politiche, le
convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché
il trattamento di dati relativi alla salute e alla vita sessuale.

2. Il paragrafo 1 non si applica qualora:

a) la persona interessata abbia dato il proprio consenso esplicito a
tale trattamento, salvo nei casi in cui la legislazione dello Stato
membro preveda che il consenso della persona interessata non sia
sufficiente per derogare al divieto di cui al paragrafo 1,
oppure

b) il trattamento sia necessario, per assolvere gli obblighi e i
diritti specifici del responsabile del trattamento in materia di
diritto del lavoro, nella misura in cui il trattamento stesso sia
autorizzato da norme nazionali che prevedono adeguate garanzie,
oppure

c) il trattamento sia necessario per salvaguardare un interesse
vitale della persona interessata o di un terzo nel caso in cui la
persona interessata è nell'incapacità fisica o giuridica di dare il
proprio consenso;
o

d) il trattamento sia effettuato, con garanzie adeguate, da una
fondazione, un'associazione o qualsiasi altro organismo che non
persegua scopi di lucro e rivesta carattere politico, filosofico,
religioso o sindacale, nell'ambito del suo scopo lecito e a condizione
che riguardi unicamente i suoi membri o le persone che abbiano contatti
regolari con la fondazione, l'associazione o l'organismo a motivo del
suo oggetto e che i dati non vengano comunicati a terzi senza il
consenso delle persone interessate;
o

e) il trattamento riguardi dati resi manifestamente pubblici dalla
persona interessata o sia necessario per costituire, esercitare o
difendere un diritto per via giudiziaria.

3. Il paragrafo 1 non si applica quando il trattamento dei dati è
necessario alla prevenzione o alla diagnostica medica, alla
somministrazione di cure o alla gestione di centri di cura e quando il
trattamento dei medesimi dati viene effettuato da un professionista in
campo sanitario soggetto al segreto professionale sancito dalla
legislazione nazionale, comprese le norme stabilite dagli organi
nazionali competenti, o da un'altra persona egualmente soggetta a un
obbligo di segreto equivalente.

4. Purché siano previste le opportune garanzie, gli Stati membri
possono, per motivi di interesse pubblico rilevante, stabilire
ulteriori deroghe oltre a quelle previste dal paragrafo 2 sulla base
della legislazione nazionale o di una decisione dell'autorità di
controllo.

5. I trattamenti riguardanti i dati relativi alle infrazioni, alle
condanne penali o alle misure di sicurezza possono essere effettuati
solo sotto controllo dell'autorità pubblica, o se vengono fornite
opportune garanzie specifiche, sulla base del diritto nazionale, fatte
salve le deroghe che possono essere fissate dallo Stato membro in base
ad una disposizione nazionale che preveda garanzie appropriate e
specifiche.

Tuttavia un registro completo delle condanne penali può essere tenuto solo sotto il controllo dell'autorità pubblica.

Gli Stati membri possono prevedere che i trattamenti di dati
riguardanti sanzioni amministrative o procedimenti civili siano
ugualmente effettuati sotto controllo dell'autorità pubblica.

6. Le deroghe al paragrafo 1 di cui ai paragrafi 4 e 5 sono notificate alla Commissione.

7. Gli Stati membri determinano a quali condizioni un numero
nazionale di identificazione o qualsiasi altro mezzo identificativo di
portata generale può essere oggetto di trattamento.

Articolo 9
Trattamento di dati personali e libertà d'espressione

Gli Stati membri prevedono, per il trattamento di dati personali
effettuato esclusivamente a scopi giornalistici o di espressione
artistica o letteraria, le esenzioni o le deroghe alle disposizioni del
presente capo e dei capi IV e VI solo qualora si rivelino necessarie
per conciliare il diritto alla vita privata con le norme sulla libertà
d'espressione.

Sezione IV
Informazione della persona interessata

Articolo 10
Informazione in caso di raccolta dei dati presso la persona interessata

Gli Stati membri dispongono che il responsabile del trattamento, o
il suo rappresentante, debba fornire alla persona presso la quale
effettua la raccolta dei dati che la riguardano almeno le informazioni
elencate qui di seguito, a meno che tale persona ne sia già informata:

a) l'identità del responsabile del trattamento ed eventualmente del suo rappresentante;

b) le finalità del trattamento cui sono destinati i dati;

c) ulteriori informazioni riguardanti quanto segue:
- i destinatari o le categorie di destinatari dei dati,
- se rispondere alle domande è obbligatorio o volontario, nonché le possibili conseguenze di una mancata risposta,
-
se esistono diritti di accesso ai dati e di rettifica in merito ai dati
che la riguardano nella misura in cui, in considerazione delle
specifiche circostanze in cui i dati vengono raccolti, tali
informazioni siano necessarie per effettuare un trattamento leale nei
confronti della persona interessata.

Articolo 11
Informazione in caso di dati non raccolti presso la persona interessata

1. In caso di dati non raccolti presso la persona interessata, gli
Stati membri dispongono che, al momento della registrazione dei dati o
qualora sia prevista una comunicazione dei dati a un terzo, al più
tardi all'atto della prima comunicazione dei medesimi, il responsabile
del trattamento o il suo rappresentante debba fornire alla persona
interessata almeno le informazioni elencate qui di seguito, a meno che
tale persona ne sia già informata:

a) l'identità del responsabile del trattamento ed eventualmente del suo rappresentante,

b) le finalità del trattamento,

c) ulteriori informazioni riguardanti quanto segue:
- le categorie di dati interessate,
- i destinatari o le categorie di destinatari dei dati,
-
se esiste un diritto di accesso ai dati e di rettifica in merito ai
dati che la riguardano, nella misura in cui, in considerazione delle
specifiche circostanze in cui i dati vengono raccolti, tali
informazioni siano necessarie per effettuare un trattamento leale nei
confronti della persona interessata.

2. Le disposizioni del paragrafo 1 non si applicano quando, in
particolare nel trattamento di dati a scopi statistici, o di ricerca
storica o scientifica, l'informazione della persona interessata si
rivela impossibile o richiede sforzi sproporzionati o la registrazione
o la comunicazione è prescritta per legge. In questi casi gli Stati
membri prevedono garanzie appropriate.

Sezione V
Diritto di accesso ai dati da parte della persona interessata

Articolo 12
Diritto di accesso

Gli Stati membri garantiscono a qualsiasi persona interessata il diritto di ottenere dal responsabile del trattamento:

1. liberamente e senza costrizione, ad intervalli ragionevoli e senza ritardi o spese eccessivi:

- la conferma dell'esistenza o meno di trattamenti di dati che la
riguardano, e l'informazione almeno sulle finalità dei trattamenti,
sulle categorie di dati trattati, sui destinatari o sulle categorie di
destinatari cui sono comunicati i dati;

- la comunicazione in forma intelligibile dei dati che sono oggetto
dei trattamenti, nonché di tutte le informazioni disponibili
sull'origine dei dati;

- la conoscenza della logica applicata nei trattamenti automatizzati
dei dati che lo interessano, per lo meno nel caso delle decisioni
automatizzate di cui all'articolo 15, paragrafo 1;

2. a seconda dei casi, la rettifica, la cancellazione o il
congelamento dei dati il cui trattamento non è conforme alle
disposizioni della presente Direttiva, in particolare a causa del
carattere incompleto o inesatto dei dati;

3. la notificazione ai terzi, ai quali sono stati comunicati i dati,
di qualsiasi rettifica, cancellazione o congelamento, effettuati
conformemente alla lettera b), se non si dimostra che è impossibile o
implica uno sforzo sproporzionato.

Sezione VI
Deroghe e restrizioni

Articolo 13
Deroghe e restrizioni

1. Gli Stati membri possono adottare disposizioni legislative intese
a limitare la portata degli obblighi e dei diritti previsti dalle
disposizioni dell'articolo 6, paragrafo 1, dell'articolo 10,
dell'articolo 11, paragrafo 1 e degli articoli 12 e 21, qualora tale
restrizione costituisca una misura necessaria alla salvaguardia:

a) della sicurezza dello Stato;

b) della difesa;

c) della pubblica sicurezza;

d) della prevenzione, della ricerca, dell'accertamento e del
perseguimento di infrazioni penali o di violazioni della deontologia
delle professioni regolamentate;

e) di un rilevante interesse economico o finanziario di uno Stato
membro o dell'Unione europea, anche in materia monetaria, di bilancio e
tributaria;

f) di un compito di controllo, ispezione o disciplina connesso,
anche occasionalmente, con l'esercizio dei pubblici poteri nei casi di
cui alle lettere c), d) ed e);

g) della protezione della persona interessata o dei diritti e delle libertà altrui.

2. Fatte salve adeguate garanzie legali, che escludano in
particolare che i dati possano essere utilizzati a fini di misure o di
specifiche decisioni che si riferiscono a persone, gli Stati membri
possono, nel caso in cui non sussista manifestamente alcun rischio di
pregiudizio alla vita privata della persona interessata, limitare con
un provvedimento legislativo i diritti di cui all'articolo 12, qualora
i dati siano trattati esclusivamente ai fini della ricerca scientifica
o siano memorizzati sotto forma di dati personali per un periodo che
non superi quello necessario alla sola finalità di elaborazione delle
statistiche.

Sezione VII
Diritto di opposizione della persona interessata

Articolo 14
Diritto di opposizione della persona interessata

Gli Stati membri riconoscono alla persona interessata il diritto:

a) almeno nei casi di cui all'articolo 7, lettere e) e f), di
opporsi in qualsiasi momento, per motivi preminenti e legittimi,
derivanti dalla sua situazione particolare, al trattamento di dati che
la riguardano, salvo disposizione contraria prevista dalla normativa
nazionale. In caso di opposizione giustificata il trattamento
effettuato dal responsabile non può più riguardare tali dati;

b) di opporsi, su richiesta e gratuitamente, al trattamento dei dati
personali che la riguardano previsto dal responsabile del trattamento a
fini di invio di materiale pubblicitario ovvero di essere informata
prima che i dati personali siano, per la prima volta, comunicati a
terzi o utilizzati per conto di terzi, a fini di invio di materiale
pubblicitario;
oppure:

la persona interessata deve essere informata in modo esplicito del
diritto di cui gode di opporsi gratuitamente alla comunicazione o
all'utilizzo di cui sopra.

Gli Stati membri prendono le misure necessarie per garantire che le
persone interessate siano consapevoli che esiste il diritto di cui al
primo comma della lettera b).

Articolo 15
Decisioni individuali automatizzate

1. Gli Stati membri riconoscono a qualsiasi persona il diritto di
non essere sottoposta ad una decisione che produca effetti giuridici o
abbia effetti significativi nei suoi confronti fondata esclusivamente
su un trattamento automatizzato di dati destinati a valutare taluni
aspetti della sua personalità, quali il rendimento professionale, il
credito, l'affidabilità, il comportamento, ecc.

2. Gli Stati membri dispongono, salve le altre disposizioni della
presente Direttiva, che una persona può essere sottoposta a una
decisione di cui al paragrafo 1, qualora una tale decisione:

a) sia presa nel contesto della conclusione o dell'esecuzione di un
contratto, a condizione che la domanda relativa alla conclusione o
all'esecuzione del contratto, presentata dalla persona interessata sia
stata accolta, oppure che misure adeguate, fra le quali la possibilità
di far valere il proprio punto di vista garantiscano la salvaguardia
del suo interesse legittimo,
oppure

b) sia autorizzata da una legge che precisi i provvedimenti atti a
salvaguardare un interesse legittimo della persona interessata.

Sezione VIII
Riservatezza e sicurezza dei trattamenti

Articolo 16
Riservatezza dei trattamenti

L'incaricato del trattamento o chiunque agisca sotto la sua autorità
o sotto quella del responsabile del trattamento non deve elaborare i
dati personali ai quali ha accesso, se non dietro istruzione del
responsabile del trattamento oppure in virtù di obblighi legali.

Articolo 17
Sicurezza dei trattamenti

1. Gli Stati membri dispongono che il responsabile del trattamento
deve attuare misure tecniche ed organizzative appropriate al fine di
garantire la protezione dei dati personali dalla distruzione
accidentale o illecita, dalla perdita accidentale o dall'alterazione,
dalla diffusione o dall'accesso non autorizzati, segnatamente quando il
trattamento comporta trasmissioni di dati all'interno di una rete, o da
qualsiasi altra forma illecita di trattamento di dati personali.

Tali misure devono garantire, tenuto conto delle attuali conoscenze
in materia e dei costi dell'applicazione, un livello di sicurezza
appropriato rispetto ai rischi presentati dal trattamento e alla natura
dei dati da proteggere.

2. Gli Stati membri dispongono che il responsabile del trattamento,
quando quest'ultimo sia eseguito per suo conto, deve scegliere un
incaricato del trattamento che presenti garanzie sufficienti in merito
alle misure di sicurezza tecnica e di organizzazione dei trattamenti da
effettuare e deve assicurarsi del rispetto di tali misure.

3. L'esecuzione dei trattamenti su commissione deve essere
disciplinata da un contratto o da un atto giuridico che vincoli
l'incaricato del trattamento al responsabile del trattamento e che
preveda segnatamente:
- che l'incaricato del trattamento operi soltanto su istruzioni del responsabile del trattamento;
-
che gli obblighi di cui al paragrafo 1, quali sono definiti dalla
legislazione dello Stato membro nel quale è stabilito l'incaricato del
trattamento, vincolino anche quest'ultimo.

4. A fini di conservazione delle prove, gli elementi del contratto o
dell'atto giuridico relativi alla protezione dei dati e i requisiti
concernenti le misure di cui al paragrafo 1 sono stipulati per iscritto
o in altra forma equivalente.

Sezione IX
Notificazione

Articolo 18
Obbligo di notificazione all'autorità di controllo

1. Gli Stati membri prevedono un obbligo di notificazione a carico
del responsabile del trattamento, od eventualmente del suo
rappresentante, presso l'autorità di controllo di cui all'articolo 28,
prima di procedere alla realizzazione di un trattamento, o di un
insieme di trattamenti, interamente o parzialmente automatizzato,
destinato al conseguimento di una o più finalità correlate.

2. Gli Stati membri possono prevedere una semplificazione o
l'esonero dall'obbligo di notificazione soltanto nei casi e alle
condizioni seguenti:
- qualora si tratti di categorie di
trattamento che, in considerazione dei dati oggetto di trattamento, non
siano tali da recare pregiudizio ai diritti e alle libertà della
persona interessata, essi precisano le finalità dei trattamenti, i dati
o le categorie dei dati trattati, la categoria o le categorie di
persone interessate, i destinatari o le categorie di destinatari cui
sono comunicati i dati e il periodo di conservazione dei dati,
e/o
-
qualora il responsabile del trattamento designi, conformemente alla
legislazione nazionale applicabile, un incaricato della protezione dei
dati, a cui è demandato in particolare:
- di assicurare in maniera
indipendente l'applicazione interna delle disposizioni nazionali di
attuazione della presente Direttiva;
- di tenere un registro dei
trattamenti effettuati dal responsabile del trattamento in cui figurino
le informazioni di cui all'articolo 21, paragrafo 2, Garantendo in tal
modo che il trattamento non sia tale da recare pregiudizio ai diritti e
alle libertà della persona interessata.

3. Gli Stati membri possono prevedere che le disposizioni del
paragrafo 1 non si applichino ai trattamenti la cui unica finalità è la
compilazione di registri i quali, in forza di disposizioni legislative
o regolamentari, siano predisposti per l'informazione del pubblico e
siano aperti alla consultazione del pubblico o di chiunque possa
dimostrare un interesse legittimo.

4. Gli Stati membri possono prevedere una deroga all'obbligo della
notificazione o una semplificazione della notificazione per i
trattamenti di cui all'articolo 8, paragrafo 2, lettera d).

5. Gli Stati membri possono prevedere che i trattamenti non
automatizzati di dati personali, o alcuni di essi, siano oggetto di una
notificazione eventualmente semplificata.

Articolo 19
Oggetto della notificazione

1. Gli Stati membri definiscono le informazioni che devono essere contenute nella notificazione.

Esse comprendono almeno:

a) il nome e l'indirizzo del responsabile del trattamento e, eventualmente, del suo rappresentante;

b) la o le finalità del trattamento;

c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime;

d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;

e) i trasferimenti di dati previsti verso paesi terzi;

f) una descrizione generale che permetta di valutare in via
preliminare l'adeguatezza delle misure adottate per garantire la
sicurezza del trattamento in applicazione dell'articolo 17.

2. Gli Stati membri precisano le modalità di notificazione
all'autorità di controllo dei mutamenti relativi alle informazioni di
cui al paragrafo 1.

Articolo 20
Controllo preliminare

1. Gli Stati membri precisano i trattamenti che potenzialmente
presentano rischi specifici per i diritti e le libertà delle persone e
provvedono a che tali trattamenti siano esaminati prima della loro
messa in opera.

2. Tali esami preliminari sono effettuati dall'autorità di controllo
una volta ricevuta la notificazione del responsabile del trattamento,
oppure dalla persona incaricata della protezione dei dati che, nei casi
dubbi, deve consultare l'autorità di controllo medesima.

3. Gli Stati membri possono effettuare tale esame anche durante il
processo di elaborazione di un provvedimento del Parlamento nazionale,
o in base ad un provvedimento fondato su siffatto provvedimento
legislativo, in cui si definisce il tipo di trattamento e si
stabiliscono appropriate garanzie.

Articolo 21
Pubblicità dei trattamenti

1. Gli Stati membri adottano misure intese ad assicurare la pubblicità dei trattamenti.

2. Gli Stati membri devono prevedere che l'autorità di controllo
tenga un registro dei trattamenti notificati in virtù dell'articolo 18.
Il registro riprende almeno le informazioni enumerate all'articolo 19,
paragrafo 1, lettere da a) ad e). Il registro può essere consultato da
chiunque.

3. Gli Stati membri prevedono che i responsabili dei trattamenti o
un altro organismo designato dagli Stati membri comunichino nelle
opportune forme, a chiunque ne faccia richiesta, almeno le informazioni
di cui all'articolo 19, paragrafo 1, lettere da a) a e), relative ai
trattamenti esenti da notificazione.

Gli Stati membri possono prevedere che questa disposizione non si
applichi ai trattamenti la cui unica finalità è la compilazione di
registri i quali, in forza di disposizioni legislative o regolamentari,
siano predisposti per l'informazione del pubblico e siano aperti alla
consultazione del pubblico o di chiunque possa dimostrare un interesse
legittimo.

CAPO III
RICORSI GIURISDIZIONALI, RESPONSABILITA' E SANZIONI

Articolo 22
Ricorsi

Fatti salvi ricorsi amministrativi che possono essere promossi,
segnatamente dinanzi all'autorità di controllo di cui all'articolo 28,
prima che sia adita l'autorità giudiziaria, gli Stati membri
stabiliscono che chiunque possa disporre di un ricorso giurisdizionale
in caso di violazione dei diritti garantitigli dalle disposizioni
nazionali applicabili al trattamento in questione.

Articolo 23
Responsabilità

1. Gli Stati membri dispongono che chiunque subisca un danno
cagionato da un trattamento illecito o da qualsiasi altro atto
incompatibile con le disposizioni nazionali di attuazione della
presente Direttiva abbia il diritto di ottenere il risarcimento del
pregiudizio subito dal responsabile del trattamento.

2. Il responsabile del trattamento può essere esonerato in tutto o
in parte da tale responsabilità se prova che l'evento dannoso non gli è
imputabile.

Articolo 24
Sanzioni

Gli Stati membri adottano le misure appropriate per garantire la
piena applicazione delle disposizioni della presente Direttiva e in
particolare stabiliscono le sanzioni da applicare in caso di violazione
delle disposizioni di attuazione della presente Direttiva.

CAPO IV
TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI

Articolo 25
Principi

1. Gli Stati membri dispongono che il trasferimento verso un paese
terzo di dati personali oggetto di un trattamento o destinati a essere
oggetto di un trattamento dopo il trasferimento può aver luogo soltanto
se il paese terzo di cui trattasi garantisce un livello di protezione
adeguato, fatte salve le misure nazionali di attuazione delle altre
disposizioni della presente Direttiva.

2. L'adeguatezza del livello di protezione garantito da un paese
terzo è valutata con riguardo a tutte le circostanze relative ad un
trasferimento o ad una categoria di trasferimenti di dati; in
particolare sono presi in considerazione la natura dei dati, le
finalità del o dei trattamenti previsti, il paese d'origine e il paese
di destinazione finale, le norme di diritto, generali o settoriali,
vigenti nel paese terzo di cui trattasi, nonché le regole professionali
e le misure di sicurezza ivi osservate.

3. Gli Stati membri e la Commissione si comunicano a vicenda i casi
in cui, a loro parere, un paese terzo non garantisce un livello di
protezione adeguato ai sensi del paragrafo 2.

4. Qualora la Commissione constati, secondo la procedura
dell'articolo 31, paragrafo 2, che un paese terzo non garantisce un
livello di protezione adeguato ai sensi del paragrafo 2 del presente
articolo, gli Stati membri adottano le misure necessarie per impedire
ogni trasferimento di dati della stessa natura verso il paese terzo in
questione.

5. La Commissione avvia, al momento opportuno, negoziati per porre
rimedio alla situazione risultante dalla constatazione di cui al
paragrafo 4.

6. La Commissione può constatare, secondo la procedura di cui
all'articolo 31, paragrafo 2, che un paese terzo garantisce un livello
di protezione adeguato ai sensi del paragrafo 2 del presente articolo,
in considerazione della sua legislazione nazionale o dei suoi impegni
internazionali, in particolare di quelli assunti in seguito ai
negoziati di cui al paragrafo 5, ai fini della tutela della vita
privata o delle libertà e dei diritti fondamentali della persona.

Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.

Articolo 26
Deroghe

1. In deroga all'articolo 25 e fatte salve eventuali disposizioni
contrarie della legislazione nazionale per casi specifici, gli Stati
membri dispongono che un trasferimento di dati personali verso un paese
terzo che non garantisce una tutela adeguata ai sensi dell'articolo 25,
paragrafo 2 può avvenire a condizione che:

a) la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto,
oppure

b) il trasferimento sia necessario per l'esecuzione di un contratto
tra la persona interessata ed il responsabile del trattamento o per
l'esecuzione di misure precontrattuali prese a richiesta di questa,
oppure

c) il trasferimento sia necessario per la conclusione o l'esecuzione
di un contratto, concluso o da concludere nell'interesse della persona
interessata, tra il responsabile del trattamento e un terzo,
oppure

d) il trasferimento sia necessario o prescritto dalla legge per la
salvaguardia di un interesse pubblico rilevante, oppure per costatare,
esercitare o difendere un diritto per via giudiziaria,
oppure

e) il trasferimento sia necessario per la salvaguardia dell'interesse vitale della persona interessata,
oppure

f) il trasferimento avvenga a partire da un registro pubblico il
quale, in forza di disposizioni legislative o regolamentari, sia
predisposto per l'informazione del pubblico e sia aperto alla
consultazione del pubblico o di chiunque possa dimostrare un interesse
legittimo, nella misura in cui nel caso specifico siano rispettate le
condizioni che la legge prevede per la consultazione.

2. Salvo il disposto del paragrafo 1, uno Stato membro può
autorizzare un trasferimento o una categoria di trasferimenti di dati
personali verso un paese terzo che non garantisca un livello di
protezione adeguato ai sensi dell'articolo 25, paragrafo 2, qualora il
responsabile del trattamento presenti garanzie sufficienti per la
tutela della vita privata e dei diritti e delle libertà fondamentali
delle persone, nonché per l'esercizio dei diritti connessi; tali
garanzie possono segnatamente risultare da clausole contrattuali
appropriate.

3. Lo Stato membro informa la Commissione e gli altri Stati membri
in merito alle autorizzazioni concesse a norma del paragrafo 2.
In
caso di opposizione notificata da un altro Stato membro o dalla
Commissione, debitamente motivata sotto l'aspetto della tutela della
vita privata e dei diritti e delle libertà fondamentali delle persone,
la Commissione adotta le misure appropriate secondo la procedura di cui
all'articolo 31, paragrafo 2.
Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.

4. Qualora la Commissione decida, secondo la procedura di cui
all'articolo 31, paragrafo 2, che alcune clausole contrattuali tipo
offrono le garanzie sufficienti di cui al paragrafo 2, gli Stati membri
adottano le misure necessarie per conformarsi alla decisione della
Commissione.

CAPO V
CODICI DI CONDOTTA

Articolo 27

1. Gli Stati membri e la Commissione incoraggiano l'elaborazione di
codici di condotta destinati a contribuire, in funzione delle
specificità settoriali, alla corretta applicazione delle disposizioni
nazionali di attuazione della presente Direttiva, adottate dagli Stati
membri.

2. Gli Stati membri dispongono che le associazioni professionali e
gli altri organismi rappresentanti altre categorie di responsabili del
trattamento, che hanno elaborato i progetti di codice nazionali o
intendono modificare o prorogare i codici nazionali esistenti, possano
sottoporli all'esame dell'autorità nazionale.
Gli Stati membri
prevedono che tale autorità accerti, in particolare, la conformità dei
progetti che le sono sottoposti alle disposizioni nazionali di
attuazione della presente Direttiva.
Qualora lo ritenga opportuno,
l'autorità nazionale raccoglie le osservazioni delle persone
interessate o dei loro rappresentanti.

3. I progetti di codici comunitari, nonché le modifiche o proroghe
di codici comunitari esistenti, possono essere sottoposti al gruppo di
cui all'articolo 29, il quale si pronuncia, in particolare, sulla
conformità dei progetti che gli sono sottoposti alle disposizioni
nazionali di attuazione della presente Direttiva.
Qualora lo ritenga opportuno, esso raccoglie le osservazioni delle persone interessate o dei loro rappresentanti.
La Commissione può provvedere ad un'appropriata divulgazione dei codici che sono stati approvati dal gruppo.

 

CAPO VI
AUTORITA' DI CONTROLLO E GRUPPO PER LA TUTELA DELLE PERSONE
CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

Articolo 28
Autorità di controllo

1. Ogni Stato membro dispone che una o più autorità pubbliche siano
incaricate di sorvegliare, nel suo territorio, l'applicazione delle
disposizioni di attuazione della presente Direttiva, adottate dagli
Stati membri.

Tali autorità sono pienamente indipendenti nell'esercizio delle funzioni loro attribuite.

2. Ciascuno Stato membro dispone che le autorità di controllo siano
consultate al momento dell'elaborazione delle misure regolamentari o
amministrative relative alla tutela dei diritti e delle libertà della
persona con riguardo al trattamento dei dati personali.

3. Ogni autorità di controllo dispone in particolare:
- di
poteri investigativi, come il diritto di accesso ai dati oggetto di
trattamento e di raccolta di qualsiasi informazione necessaria
all'esercizio della sua funzione di controllo;
- di poteri
effettivi d'intervento, come quello di formulare pareri prima
dell'avvio di trattamenti, conformemente all'articolo 20, e di dar loro
adeguata pubblicità o quello di ordinare il congelamento, la
cancellazione o la distruzione dei dati, oppure di vietare a titolo
provvisorio o definitivo un trattamento, ovvero quello di rivolgere un
avvertimento o un monito al responsabile del trattamento o quello di
adire i Parlamenti o altre istituzioni politiche nazionali;
- del
potere di promuovere azioni giudiziarie in caso di violazione delle
disposizioni nazionali di attuazione della presente Direttiva ovvero di
adire per dette violazioni le autorità giudiziarie.

E' possibile un ricorso giurisdizionale avverso le decisioni dell'autorità di controllo recanti pregiudizio.

4. Qualsiasi persona, o associazione che la rappresenti, può
presentare a un'autorità di controllo una domanda relativa alla tutela
dei suoi diritti e libertà con riguardo al trattamento di dati
personali.

La persona interessata viene informata del seguito dato alla sua domanda.

Qualsiasi persona può, in particolare, chiedere a un'autorità di
controllo di verificare la liceità di un trattamento quando si
applicano le disposizioni nazionali adottate a norma dell'articolo 13
della presente Direttiva.

La persona viene ad ogni modo informata che una verifica ha avuto luogo.

5. Ogni autorità di controllo elabora a intervalli regolari una relazione sulla sua attività.

La relazione viene pubblicata.

6. Ciascuna autorità di controllo, indipendentemente dalla legge
nazionale applicabile al trattamento in questione, è competente per
esercitare, nel territorio del suo Stato membro, i poteri attribuitile
a norma del paragrafo 3.

Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell'autorità di un altro Stato membro.

Le autorità di controllo collaborano tra loro nella misura
necessaria allo svolgimento dei propri compiti, in particolare
scambiandosi ogni informazione utile.

7. Gli Stati membri dispongono che i membri e gli agenti delle
autorità di controllo sono soggetti, anche dopo la cessazione delle
attività, all'obbligo del segreto professionale in merito alle
informazioni riservate cui hanno accesso.

Articolo 29
Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali

1. E' istituito un gruppo per la tutela della persone con riguardo
al trattamento dei dati personali, in appresso denominato "il gruppo".

Il gruppo ha carattere consultivo e indipendente.

2. Il gruppo è composto da un rappresentante della o delle autorità
di controllo designate da ciascuno Stato membro e da un rappresentante
della o delle autorità create per le istituzioni e gli organismi
comunitari, nonché da un rappresentante della Commissione.

Ogni membro del gruppo è designato dall'istituzione oppure dalla o dalle autorità che rappresenta.

Qualora uno Stato membro abbia designato più autorità di controllo, queste procedono alla nomina di un rappresentante comune.

Lo stesso vale per le autorità create per le istituzioni e gli organismi comunitari.

3. Il gruppo adotta le sue decisioni alla maggioranza semplice dei rappresentanti delle autorità di controllo.

4. Il gruppo elegge il proprio presidente. La durata del mandato del presidente è di due anni. Il mandato è rinnovabile.

5. Al segretariato del gruppo provvede la Commissione.

6. Il gruppo adotta il proprio regolamento interno.

7. Il gruppo esamina le questioni iscritte all'ordine del giorno dal
suo presidente, su iniziativa di questo o su richiesta di un
rappresentante delle autorità di controllo oppure su richiesta della
Commissione.

Articolo 30

1. Il gruppo ha i seguenti compiti:

a) esaminare ogni questione attinente all'applicazione delle norme
nazionali di attuazione della presente Direttiva per contribuire alla
loro applicazione omogenea;

b) formulare, ad uso della Commissione, un parere sul livello di tutela nella Comunità e nei paesi terzi;

c) consigliare la Commissione in merito a ogni progetto di modifica
della presente Direttiva, ogni progetto di misure addizionali o
specifiche da prendere ai fini della tutela dei diritti e delle libertà
delle persone fisiche con riguardo al trattamento di dati personali,
nonché in merito a qualsiasi altro progetto di misure comunitarie che
incidano su tali diritti e libertà;

d) formulare un parere sui codici di condotta elaborati a livello comunitario.

2. Il gruppo, qualora constati che tra le legislazioni o prassi
degli Stati membri si manifestano divergenze che possano pregiudicare
l'equivalenza della tutela delle persone in materia di trattamento dei
dati personali nella Comunità, ne informa la Commissione.

3. Il gruppo può formulare di propria iniziativa raccomandazioni su
qualsiasi questione riguardante la tutela delle persone nei confronti
del trattamento di dati personali nella Comunità.

4. I pareri e le raccomandazioni del gruppo vengono trasmessi alla Commissione e al comitato di cui all'articolo 31.

5. La Commissione informa il gruppo del seguito da essa dato ai pareri e alle raccomandazioni.

A tal fine redige una relazione che viene trasmessa anche al Parlamento europeo e al Consiglio.

La relazione è oggetto di pubblicazione.

6. Il gruppo redige una relazione annuale sullo stato della tutela
delle persone fisiche con riguardo al trattamento dei dati personali
nella Comunità e nei paesi terzi e la trasmette alla Commissione, al
Parlamento europeo e al Consiglio.

La relazione è oggetto di pubblicazione.

CAPO VII
MISURE COMUNITARIE D'ESECUZIONE

Articolo 31
Comitato

 

1. La Commissione è assistita da un comitato composto dai
rappresentanti degli Stati membri e presieduto dal rappresentante della
Commissione.

2. Il rappresentante della Commissione sottopone al comitato un progetto delle misure da adottare.

Il comitato, entro un termine che il presidente può fissare in
funzione dell'urgenza della questione in esame, formula il suo parere
sul progetto.

Il parere è formulato alla maggioranza prevista all'articolo 148, paragrafo 2 del trattato.

Nelle votazioni in seno al comitato, ai voti dei rappresentanti
degli Stati membri è attribuita la ponderazione fissata nell'articolo
precitato.

Il presidente non partecipa al voto.

La Commissione adotta misure che sono applicabili immediatamente.

Tuttavia, se queste misure non sono conformi al parere del comitato saranno subito comunicate dalla Commissione al Consiglio.

In tal caso:
- la Commissione rinvia l'applicazione delle misure
da essa decise per un periodo di tre mesi, a decorrere dalla data della
comunicazione;
- il Consiglio, deliberando a maggioranza
qualificata, può prendere una decisione diversa entro il termine di cui
al comma precedente.

DISPOSIZIONI FINALI

Articolo 32

1. Gli Stati membri mettono in vigore le disposizioni legislative,
regolamentari ed amministrative necessarie per conformarsi alla
presente Direttiva al più tardi alla scadenza del terzo anno successivo
alla sua adozione.

Quando gli Stati membri adottano tali disposizioni, queste
contengono un riferimento alla presente Direttiva o sono corredate da
un siffatto riferimento all'atto della pubblicazione ufficiale.

Le modalità di tale riferimento sono decise dagli Stati membri.

2. Gli Stati membri provvedono affinché i trattamenti avviati prima
della data di entrata in vigore delle disposizioni nazionali di
attuazione della presente Direttiva si conformino a dette disposizioni
entro i tre anni successivi alla data summenzionata.

In deroga al comma precedente, gli Stati membri possono prevedere
che, per quanto riguarda gli articoli 6, 7 ed 8, la messa in conformità
dei trattamenti di dati già contenuti in archivi manuali alla data
dell'entrata in vigore delle disposizioni nazionali di attuazione della
presente Direttiva sia effettuata man mano che si procede a successive
operazioni di trattamento di tali dati, diverse dalla semplice
memorizzazione.

Questa messa in conformità deve, tuttavia, essere terminata entro il
dodicesimo anno a decorrere dalla data di adozione della presente
Direttiva.

Gli Stati membri consentono comunque alla persona interessata di
ottenere a sua richiesta e in particolare in sede di esercizio del
diritto di accesso, la rettifica, la cancellazione o il congelamento
dei dati incompleti, inesatti o conservati in modo incompatibile con i
fini legittimi perseguiti dal responsabile del trattamento.

3. In deroga al paragrafo 2, gli Stati membri possono prevedere, con
riserva di garanzie adeguate, che i dati conservati esclusivamente per
ricerche storiche non siano resi conformi alle disposizioni degli
articoli 6, 7 e 8 della presente Direttiva.

4. Gli Stati membri comunicano alla Commissione le disposizioni di
diritto interno che adottano nel settore disciplinato dalla presente
Direttiva.

Articolo 33

La Commissione presenta periodicamente al Consiglio e al Parlamento
europeo, per la prima volta entro tre anni dalla data di cui
all'articolo 32, paragrafo 1, una relazione sull'applicazione della
presente Direttiva, accompagnata, se del caso, dalle opportune proposte
di modifica. La relazione è oggetto di pubblicazione.

La Commissione esaminerà in particolare l'applicazione della
presente Direttiva al trattamento dei dati sotto forma di suoni o
immagini relativi a persone fisiche e presenterà le eventuali proposte
necessarie, tenuto conto dell'evoluzione della tecnologia
dell'informazione e alla luce dei progressi della società
dell'informazione.

Articolo 34

Gli Stati membri sono destinatari della presente Direttiva.

(1) G.U. n. C 277 del 5. 11. 1990, pag. 3; G.U. n. C 311 del 27. 11. 1992, pag.30.

(2) G.U. n. C 159 del 17. 6. 1991, pag. 38.

(3) Parere del Parlamento europeo dell'11 marzo 1992 (G.U. n. C 94
del 13.4.1992, pag. 198), confermato il 2 dicembre 1993 (G.U. n. C 342
del 20.12.1993, pag. 30); posizione comune del Consiglio del 20
febbraio 1995 (G.U. n. C 93 del 13.4.1995, pag. 1) e decisione del
Parlamento europeo del 15 giugno 1995 (G.U. n. C 166 del 3.7.1995).

(4) G.U. n. L 197 del 18.7.1987, pag. 33.