REGOLAMENTO n. 679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)

(il 31 ottobre 2018 l'atto era relativo alla Decisione 174/2018)
(il 25 maggio 2018, si vedano i riferimenti applicativi della decisione 743/16-maggio-2018) (il 06 ottobre 2016, l'atto era correlato alla direttiva 1629/14-settembre-2016)
(il 05 maggio 2016 l'atto era relativo alla Direttiva 680/27-Apr-2016)

(Testo rilevante per il SEE)
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16,
vista la proposta della Commissione Europea,
dopo la presentazione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere del Comitato economico e sociale europeo (1),
(1) GU C 229 del 31.7.2012, pag.90.
visto il parere del Comitato delle regioni (2),
(2) GU C 391 del 18.12.2012, pag.127.
decidere secondo la procedura legislativa ordinaria (3),
(3) La posizione del Parlamento Europeo del 12 marzo 2014 (non ancora pubblicata in Gazzetta Ufficiale) e la posizione del Consiglio in prima lettura dell'8 aprile 2016 (non ancora pubblicata in Gazzetta Ufficiale). La posizione del Parlamento Europeo del 14 aprile 2016.
mentre:
(1) La protezione delle persone fisiche rispetto al trattamento dei dati personali è un diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea ("Carta") e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea (TFUE) sanciscono il diritto di ogni persona alla protezione dei propri diritti dati personali che lo riguardano.
(2) I principi e le norme relativi alla protezione delle persone fisiche con riguardo al trattamento dei dati personali dovrebbero, indipendentemente dalla cittadinanza o dal luogo di residenza delle persone fisiche, rispettare i loro diritti e libertà fondamentali, in particolare il diritto alla protezione dati personali. Il presente regolamento mira a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un'unione economica, al progresso economico e sociale, al consolidamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche . (3) La direttiva 95/46/CE del Parlamento europeo e del Consiglio (4) mira ad armonizzare il livello di protezione dei diritti e delle libertà fondamentali delle persone fisiche per quanto riguarda le attività di trattamento e a garantire la libera circolazione dei dati personali tra stati membri. (4) Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (GU L 281 del 23.11.1995 , pag. 31).
(4) Il trattamento dei dati personali dovrebbe essere al servizio dei cittadini. Il diritto alla protezione dei dati personali non è un diritto assoluto; deve essere preso in considerazione in relazione alla funzione che svolge nella società e bilanciato con gli altri diritti fondamentali, secondo il principio di proporzionalità. Il presente regolamento rispetta l'insieme dei diritti, delle libertà e dei principi fondamentali riconosciuti nella Carta sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del soggiorno e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di di espressione e di informazione, la libertà di esercitare un'attività commerciale, il diritto a un ricorso effettivo e a un giusto processo, nonché la diversità culturale, religiosa e linguistica.
(5) L'integrazione economica e sociale derivante dal funzionamento del mercato interno ha portato ad un aumento sostanziale dei flussi transfrontalieri di dati personali. Lo scambio di dati personali tra attori pubblici e privati, comprese persone fisiche, associazioni e imprese, si è intensificato in tutta l'Unione. Secondo il diritto dell’Unione, le autorità nazionali degli Stati membri sono chiamate a cooperare e a scambiarsi dati personali per poter adempiere ai propri compiti o svolgere compiti per conto di un’autorità di un altro Stato membro.
(6) I rapidi sviluppi tecnologici e la globalizzazione hanno generato nuove sfide per la protezione dei dati personali. La portata della raccolta e dello scambio di dati personali è aumentata in modo significativo. La tecnologia consente sia alle aziende private che alle autorità pubbliche di utilizzare i dati personali a un livello senza precedenti nelle loro attività. Sempre più persone fisiche rendono pubbliche le loro informazioni personali in tutto il mondo. La tecnologia ha trasformato sia l’economia che la vita sociale e dovrebbe facilitare ulteriormente la libera circolazione dei dati personali all’interno dell’Unione e il trasferimento verso paesi terzi e organizzazioni internazionali, garantendo, allo stesso tempo, un elevato livello di protezione dei dati personali.

(7) Questi sviluppi richiedono un quadro solido e più coerente in termini di protezione dei dati nell'Unione, accompagnato da un'applicazione rigorosa delle norme, tenendo conto dell'importanza di creare un clima di fiducia che consenta all'economia digitale di svilupparsi su il mercato interno. Gli individui dovrebbero avere il controllo sui propri dati personali e la sicurezza giuridica e pratica per gli individui, gli operatori economici e le autorità pubbliche dovrebbe essere rafforzata.

(8) Se il presente regolamento prevede precisazioni o restrizioni delle sue norme mediante il diritto interno, gli Stati membri possono, nella misura in cui ciò sia necessario per la coerenza e per garantire la comprensione delle disposizioni nazionali da parte delle persone alle quali si applicano, incorporare elementi di questo regolamento nel loro diritto interno.

(9) Gli obiettivi e i principi della direttiva 95/46/CE restano validi, ma ciò non ha impedito la frammentazione delle modalità di attuazione della protezione dei dati nell'Unione, l'incertezza giuridica o la diffusa percezione da parte dell'opinione pubblica che vi siano rischi significativi per la tutela delle persone fisiche, soprattutto in relazione all’attività online. Le differenze tra i livelli di tutela dei diritti e delle libertà delle persone fisiche, in particolare il diritto alla protezione dei dati personali, per quanto riguarda il trattamento dei dati personali negli Stati membri possono impedire la libera circolazione dei dati personali in tutta l'Unione . Tali differenze possono, pertanto, costituire un ostacolo allo svolgimento delle attività economiche a livello dell’Unione, possono distorcere la concorrenza e possono impedire alle autorità di adempiere alle proprie responsabilità ai sensi del diritto dell’Unione. Questa differenza tra i livelli di protezione è causata dall'esistenza di alcune differenze riguardo al recepimento e all'applicazione della Direttiva 95/46/CE.

(10) Al fine di garantire un livello coerente ed elevato di protezione delle persone fisiche ed eliminare gli ostacoli alla circolazione dei dati personali all'interno dell'Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dati dovrebbero essere equivalenti in tutti gli Stati membri. Dovrebbe essere garantita in tutta l’Unione l’applicazione coerente e omogenea delle norme relative alla tutela dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali. Per quanto riguarda il trattamento dei dati personali effettuato per adempiere a un obbligo legale, per svolgere un compito di interesse pubblico o derivante dall'esercizio di pubblici poteri di cui è investito l'operatore, gli Stati membri dovrebbero essere autorizzati a mantenere o introdurre disposizioni di diritto interno per chiarire in misura maggiore l'applicazione delle norme di questo regolamento. In concomitanza con la legislazione generale e orizzontale sulla protezione dei dati, che attua la Direttiva 95/46/CE, gli Stati membri hanno diverse leggi settoriali specifiche in aree che richiedono disposizioni più precise. Questo regolamento lascia inoltre agli Stati membri un margine di manovra nel specificare le proprie norme, anche per quanto riguarda il trattamento di categorie particolari di dati personali ("dati sensibili"). In questo senso, il presente regolamento non esclude la legislazione degli Stati membri che stabilisce le circostanze relative a specifiche situazioni di trattamento, compreso stabilire con maggiore precisione le condizioni in base alle quali il trattamento dei dati personali è lecito.

(11) Una protezione efficace dei dati personali in tutta l'Unione richiede non solo il consolidamento e la definizione dettagliata dei diritti degli interessati e degli obblighi di coloro che trattano e decidono in merito al trattamento dei dati personali, ma anche poteri equivalenti per

monitorare e garantire il rispetto delle norme in materia di protezione dei dati personali e delle sanzioni equivalenti per i reati negli Stati membri.
(12) L'articolo 16, paragrafo 2, del TFUE affida al Parlamento europeo e al Consiglio il compito di stabilire le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché le norme relative alla libera circolazione di tali dati.

(13) Al fine di garantire un livello uniforme di protezione delle persone fisiche in tutta l'Unione e di evitare discrepanze che impediscano la libera circolazione dei dati nel mercato interno, è necessario un regolamento che garantisca certezza giuridica e trasparenza per gli operatori economici, comprese le microimprese e le piccole e medie imprese, nonché di offrire alle persone fisiche in tutti gli Stati membri lo stesso livello di diritti, obblighi e responsabilità giuridicamente applicabili per gli operatori e le loro persone autorizzate, al fine di garantire un monitoraggio coerente dei dati trattamento di carattere personale, sanzioni equivalenti in tutti gli Stati membri, nonché l’efficace cooperazione delle autorità di controllo dei diversi Stati membri. Per il corretto funzionamento del mercato interno è necessario che la libera circolazione dei dati personali all’interno dell’Unione non sia limitata o vietata per motivi legati alla tutela delle persone fisiche con riguardo al trattamento dei dati personali. Per tenere conto della situazione specifica delle microimprese e delle piccole e medie imprese, il presente regolamento prevede una deroga per le organizzazioni con meno di 250 dipendenti in termini di tenuta dei registri. Inoltre, le istituzioni e gli organi dell'Unione e degli Stati membri e le loro autorità di vigilanza sono incoraggiati a tenere conto delle esigenze specifiche delle microimprese e delle piccole e medie imprese nell'applicazione del presente regolamento. La nozione di microimprese e di piccole e medie imprese dovrebbe basarsi sull'articolo 2 dell'allegato alla raccomandazione 2003/361/CE della Commissione (1). (1) Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, sulla definizione di microimprese e piccole e medie imprese [C(2003) 1422] (GU L 124 del 20.5.2003, pag. 36).

(14) La protezione conferita dal presente regolamento dovrebbe riguardare le persone fisiche, indipendentemente dalla loro cittadinanza o luogo di residenza, per quanto riguarda il trattamento dei loro dati personali. Il presente regolamento non si applica al trattamento dei dati personali riguardanti le persone giuridiche e, in particolare, le società dotate di personalità giuridica, compreso il nome e il tipo di persona giuridica e i dettagli di contatto della persona giuridica.

(15) Per prevenire il verificarsi di un grave rischio di evasione, la protezione delle persone fisiche dovrebbe essere tecnologicamente neutra e non dipendere dalle tecnologie utilizzate. La tutela delle persone fisiche dovrebbe applicarsi al trattamento dei dati personali mediante mezzi automatizzati, nonché al trattamento manuale, se i dati personali sono inclusi o destinati a essere inseriti in un sistema di registrazione. I fascicoli o insiemi di fascicoli, nonché le relative copertine, che non sono strutturati secondo criteri specifici non dovrebbero rientrare nell'ambito di applicazione del presente regolamento.

(16) Il presente regolamento non si applica alle questioni di tutela dei diritti e delle libertà fondamentali o alla libera circolazione dei dati personali relativi ad attività che non rientrano nell'ambito di applicazione del diritto dell'Unione, ad esempio attività di sicurezza nazionale. Il presente regolamento non si applica al trattamento dei dati personali da parte degli Stati membri quando svolgono attività legate alla politica estera e alla sicurezza comune dell’Unione. (17) Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (2) si applica al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione. Regolamento (CE) n. 45/2001 e altri atti giuridici dell'Unione applicabili a tale trattamento dei dati personali dovrebbero essere adattati ai principi e alle regole stabiliti nel presente regolamento e applicati in conformità con il presente regolamento. Al fine di garantire un quadro solido e coerente in termini di protezione dei dati nell’Unione, dopo l’adozione di tale regolamento, il Regolamento (CE) n. 45/2001 i necessari adeguamenti, affinché possano trovare applicazione congiuntamente al presente regolamento.

(2) Regolamento (CE) n. 45/2001 del Parlamento Europeo e del Consiglio del 18 dicembre 2000 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari e alla libera circolazione di tali dati (GU L 8 del 12.1.2001 , pag. 1).

(18) La presente normativa non si applica al trattamento dei dati personali effettuato da una persona fisica nell'ambito di un'attività esclusivamente personale o domestica e che, quindi, non è connessa ad un'attività professionale o commerciale. Le attività personali o domestiche potrebbero includere la corrispondenza e l'elenco di indirizzi o attività all'interno dei social network e attività online svolte nel contesto di tali attività. Tuttavia, il presente regolamento si applica agli operatori o alle persone autorizzate dagli operatori che forniscono i mezzi di trattamento dei dati personali per tali attività personali o domestiche.

(19) Tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento penale di reati o esecuzione di pene, compresa la protezione contro le minacce alla sicurezza pubblica e la loro prevenzione , nonché la libera circolazione di tali dati, sono oggetto di uno specifico atto giuridico dell'Unione. Pertanto, il presente regolamento non dovrebbe applicarsi alle attività di trattamento per tali finalità. Tuttavia, i dati personali trattati dalle autorità pubbliche ai sensi del presente regolamento, se utilizzati per tali scopi, dovrebbero essere disciplinati da un atto giuridico dell’Unione più specifico, vale a dire la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (1). Gli Stati membri possono affidare alle autorità competenti ai sensi della direttiva (UE) 2016/680 compiti che non sono necessariamente svolti allo scopo di prevenire, indagare, accertare o perseguire reati o eseguire sanzioni, compresa la protezione contro le minacce alla sicurezza pubblica e impedirli, cosicché il trattamento dei dati personali per altre finalità, nella misura in cui rientra nell’ambito di applicazione del diritto dell’Unione, rientra nell’ambito di applicazione del presente regolamento.

(1) Direttiva (UE) 2016/680 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, accertamento, indagine o perseguimento reati o esecuzione di sanzioni e riguardo alla libera circolazione di tali dati e all'abrogazione della decisione quadro 2008/977/GAI del Consiglio (vedi pagina 89 della presente Gazzetta ufficiale).

Per quanto riguarda il trattamento dei dati personali da parte di tali autorità competenti per finalità che rientrano nell'ambito di applicazione del presente regolamento, gli Stati membri dovrebbero essere in grado di mantenere o introdurre disposizioni più dettagliate per adattare l'applicazione delle norme del presente regolamento. Tali disposizioni possono stabilire più precisamente requisiti specifici per il trattamento dei dati personali da parte delle rispettive autorità competenti per queste altre finalità, tenendo conto dell'assetto costituzionale, organizzativo e amministrativo dello Stato membro in questione. Quando il trattamento dei dati personali da parte di organismi privati ​​è oggetto del presente regolamento, tale regolamento dovrebbe prevedere la possibilità per gli Stati membri, a determinate condizioni, di imporre per legge restrizioni su determinati obblighi e diritti, se tali restrizioni costituiscono una misura necessaria e proporzionata. misura in una società democratica allo scopo di garantire importanti interessi specifici, tra cui la sicurezza pubblica e la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di pene, compresa la protezione contro le minacce alla sicurezza pubblica e la loro prevenzione. Ciò è rilevante, ad esempio, nella lotta contro il riciclaggio di denaro o nelle attività dei laboratori forensi.

(20) Sebbene il presente regolamento si applichi, tra l'altro, alle attività dei tribunali e delle altre autorità giudiziarie, il diritto dell'Unione o degli Stati membri potrebbe specificare le operazioni e le procedure di trattamento dei dati personali da parte dei tribunali e delle altre autorità giudiziarie. . Il trattamento dei dati personali non dovrebbe essere di competenza delle autorità di controllo nel caso in cui i tribunali esercitino i loro poteri giurisdizionali, al fine di garantire l’indipendenza del sistema giudiziario nell’adempimento dei suoi compiti giudiziari, compreso il processo decisionale. Il controllo di tali operazioni di trattamento dei dati dovrebbe poter essere affidato a specifici organi dell'ordinamento giudiziario dello Stato membro, i quali dovrebbero in particolare vigilare sul rispetto delle norme previste dal presente regolamento, sensibilizzare gli organi giudiziari circa gli obblighi che ricadono sotto questo regolamento e per gestire i reclami relativi a tali operazioni di trattamento dei dati.

(21) Il presente regolamento non pregiudica l'applicazione della direttiva 2000/31/CE del Parlamento europeo e del Consiglio (2), in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi previste dagli articoli da 12 a 15 della stessa direttiva. La rispettiva direttiva mira a contribuire al buon funzionamento del mercato interno, garantendo la libera circolazione dei servizi della società dell'informazione tra gli Stati membri.

(2) Direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell'8 giugno 2000, riguardante taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno (direttiva sul commercio elettronico) (GU L 178 del 17.7.2000. 1, pag.XNUMX).
(22) Qualsiasi trattamento di dati personali nell'ambito delle attività di un ufficio di un operatore o di una persona autorizzata dall'operatore nell'Unione dovrebbe essere effettuato in conformità al presente regolamento, indipendentemente dal fatto che il trattamento stesso abbia luogo o meno all'interno dell'Unione . La sede implica l'esercizio effettivo e reale di un'attività nell'ambito di accordi stabili. La forma giuridica di tali accordi, tramite una filiale o una filiale dotata di personalità giuridica, non è determinante al riguardo.

(23) Al fine di garantire che le persone fisiche non siano private della protezione cui hanno diritto ai sensi del presente regolamento, il trattamento dei dati personali degli interessati che si trovano nel territorio dell'Unione da parte di un operatore o di una persona autorizzata da chi non ha sede nell'Unione dovrebbe essere soggetto al presente regolamento se le attività di trattamento sono legate alla fornitura di beni o servizi a tali interessati, indipendentemente dal fatto che siano o meno legate a un pagamento. Per determinare se tale operatore o una persona autorizzata dall'operatore offre beni o servizi a interessati situati nel territorio dell'Unione, è opportuno stabilire se risulta che l'operatore o la persona autorizzata dall'operatore intende fornire servizi agli interessati provenienti da uno o più Stati membri dell’Unione. Poiché per il semplice fatto che vi sia accesso a un sito web dell'operatore, della persona autorizzata dall'operatore o di un intermediario nell'Unione, che siano disponibili un indirizzo di posta elettronica e altri dati di contatto o che una lingua generalmente utilizzata nel paese terzo viene utilizzato laddove l'operatore ha la propria sede non è sufficiente per confermare tale intenzione, fattori quali l'uso di una lingua o una valuta generalmente utilizzata in uno o più Stati membri con la possibilità di ordinare beni e servizi in tale lingua o menzionare alcuni clienti o utenti che si trovano nel territorio dell'Unione possono portare alla conclusione che l'operatore intende offrire beni o servizi a persone mirate nell'Unione.

(24) Dovrebbe essere soggetto al presente regolamento anche il trattamento dei dati personali degli interessati che si trovano nel territorio dell'Unione da parte di un operatore o di una persona da lui autorizzata che non ha sede nell'Unione se è connesso alla monitoraggio del comportamento di tali persone prese di mira, nella misura in cui tale comportamento si manifesta nel territorio dell'Unione. Per determinare se un'attività di trattamento possa essere considerata un "monitoraggio del comportamento" degli interessati, occorre determinare se le persone fisiche vengono tracciate su Internet, compreso l'eventuale successivo utilizzo di tecniche di trattamento dei dati personali che consistono nella creazione di un profilo di una persona fisica, in particolare al fine di prendere decisioni su di lui o di analizzare o fare previsioni sulle sue preferenze, comportamenti e atteggiamenti personali.

(25) Se in base al diritto internazionale pubblico si applica la legge di uno Stato membro, il presente regolamento dovrebbe applicarsi anche a un operatore che non è stabilito nell'Unione, ma, ad esempio, in una missione diplomatica o in un ufficio consolare di uno Stato membro . (26) I principi della protezione dei dati dovrebbero applicarsi a qualsiasi informazione relativa a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, che potrebbero essere attribuiti a una persona fisica attraverso l'utilizzo di informazioni aggiuntive, dovrebbero essere considerati informazioni relative a una persona fisica identificabile. Per determinare se una persona fisica è identificabile, tutti i mezzi, come l'individualizzazione, che il responsabile del trattamento o un'altra persona potrebbero ragionevolmente utilizzare a fini di identificazione dovrebbero essere presi in considerazione, direttamente o indirettamente, della rispettiva persona fisica . Per determinare se sia ragionevolmente probabile che verranno utilizzati mezzi per identificare la persona fisica, è opportuno prendere in considerazione

tenendo conto di tutti i fattori oggettivi, quali i costi e l'intervallo di tempo necessario per l'identificazione, tenendo conto sia della tecnologia disponibile al momento del trattamento che dello sviluppo tecnologico. I principi di protezione dei dati non dovrebbero pertanto applicarsi alle informazioni anonime, vale a dire alle informazioni che non riguardano una persona fisica identificata o identificabile, o ai dati personali resi anonimi in modo che la persona interessata non sia o non sia più identificabile. Pertanto, il presente regolamento non si applica al trattamento di tali informazioni anonime, anche se utilizzate per fini statistici o di ricerca. (27) Il presente regolamento non si applica ai dati personali relativi a persone decedute. Gli Stati membri possono prevedere norme relative al trattamento dei dati personali relativi a persone decedute.

(28) L'applicazione della pseudonimizzazione dei dati personali può ridurre i rischi per le persone interessate e può aiutare gli operatori e le persone da loro autorizzate ad adempiere ai loro obblighi in materia di protezione dei dati. L'introduzione esplicita del concetto di "pseudonimizzazione" nel presente regolamento non è intesa a impedire altre possibili misure di protezione dei dati.

(29) Al fine di creare incentivi per l'applicazione della pseudonimizzazione nel trattamento dei dati personali, le misure di pseudonimizzazione dovrebbero essere possibili, pur consentendo un'analisi generale, all'interno dello stesso operatore quando l'operatore ha adottato le misure tecniche e organizzative necessarie per garantire che il presente regolamento viene implementato per quanto riguarda il rispettivo trattamento dei dati e che ulteriori informazioni per l'assegnazione dei dati personali a un interessato specifico sono conservate separatamente. L'operatore che tratta dati personali dovrebbe indicare le persone autorizzate all'interno dello stesso operatore. (30) Le persone fisiche possono essere associate a identificatori online forniti dai loro dispositivi, applicazioni, strumenti e protocolli, come indirizzi IP, identificatori di cookie o altri identificatori come. etichette di identificazione a radiofrequenza. Possono lasciare tracce che, soprattutto se combinate con identificatori univoci ed altre informazioni ricevute dai server, possono essere utilizzate per creare profili di persone fisiche e per identificarle.

(31) Autorità pubbliche alle quali i dati personali vengono comunicati in conformità ad un obbligo legale al fine di esercitare la loro funzione ufficiale, come le autorità fiscali e doganali, le unità di investigazione finanziaria, le autorità amministrative indipendenti o le autorità dei mercati finanziari responsabili della regolamentazione e della sorveglianza della mercati dei valori mobiliari, non dovrebbero essere considerati destinatari se ricevono dati personali necessari per lo svolgimento di una determinata indagine di interesse generale, in conformità con il diritto dell’Unione o quello degli Stati membri. Le richieste di comunicazione inviate dalle pubbliche autorità dovrebbero essere sempre presentate per iscritto, motivate e occasionali e non dovrebbero riferirsi ad un sistema di registrazione nel suo insieme né comportare l'interconnessione di sistemi di registrazione. Il trattamento dei dati personali da parte delle rispettive autorità pubbliche dovrebbe rispettare le norme applicabili sulla protezione dei dati in conformità con le finalità del trattamento.

(32) Il consenso dovrebbe essere concesso mediante un atto inequivocabile che costituisca una manifestazione liberamente espressa, specifica, consapevole e chiara del consenso dell'interessato al trattamento dei suoi dati personali, come una dichiarazione resa per iscritto, anche in formato elettronico o verbale. . Ciò potrebbe includere la spunta di una casella quando l'interessato visita un sito, la scelta dei parametri tecnici per i servizi della società dell'informazione o qualsiasi altra dichiarazione o azione che indichi chiaramente in questo contesto l'accettazione da parte dell'interessato del trattamento proposto dei suoi dati personali. Pertanto, l'assenza di risposta, le caselle preselezionate o l'assenza di un'azione non dovrebbero costituire consenso. Il consenso dovrebbe coprire tutte le attività di trattamento svolte per lo stesso scopo o per gli stessi scopi. Se il trattamento dei dati viene effettuato per più finalità, il consenso deve essere fornito per tutte le finalità del trattamento. Se il consenso dell'interessato deve essere concesso a seguito di una richiesta inviata in formato elettronico, tale richiesta deve essere chiara e concisa e non interrompere inutilmente la fruizione del servizio per il quale è concesso il consenso.

(33) Spesso non è possibile, al momento della raccolta dei dati personali, identificare pienamente lo scopo del trattamento dei dati a fini di ricerca scientifica. Per questo motivo, le persone interessate lo farebbero

dovrebbe essere loro consentito di esprimere il proprio consenso per determinati settori della ricerca scientifica quando vengono rispettati gli standard etici riconosciuti per la ricerca scientifica. Gli interessati dovrebbero avere la possibilità di esprimere il proprio consenso solo per determinati campi di ricerca o parti di progetti di ricerca nella misura consentita dallo scopo previsto.

(34) I dati genetici dovrebbero essere definiti come dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, risultanti dall'analisi di un campione di materiale biologico della persona fisica in questione, in particolare da un'analisi cromosomica, da un'analisi dell'acido desossiribonucleico (DNA) o dell'acido ribonucleico (RNA) o di un'analisi di qualsiasi altro elemento che consenta di ottenere informazioni equivalenti.

(35) I dati sanitari personali dovrebbero comprendere tutti i dati relativi alla salute dell'interessato che rivelano informazioni sulla sua salute fisica o mentale passata, presente o futura. Questi includono informazioni sulla persona fisica raccolte nell'ambito della sua registrazione ai servizi di assistenza medica o nell'ambito della fornitura dei rispettivi servizi alla persona fisica in questione, come menzionato nella Direttiva 2011/24/UE del Parlamento Europeo e del Consiglio (1); un numero, un simbolo o un segno distintivo assegnato a una persona fisica per la sua singolare identificazione a fini medici; informazioni risultanti dall'esame o dall'esame di una parte del corpo o di una sostanza corporea, compresi dati genetici e campioni di materiale biologico; nonché qualsiasi informazione riguardante, ad esempio, una malattia, disabilità, rischio di malattia, anamnesi, trattamento clinico o condizione fisiologica o biomedica della persona interessata, indipendentemente dalla loro fonte, quale un medico o altro personale medico, un ospedale , un dispositivo medico o un test diagnostico in vitro.

(1) Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, sull'applicazione dei diritti dei pazienti relativi all'assistenza medica transfrontaliera (GU L 88 del 4.4.2011, pag. 45). (36) La sede principale di un operatore nell'Unione dovrebbe essere il luogo in cui è ubicata la sua amministrazione centrale nell'Unione, a meno che le decisioni relative alle finalità e ai mezzi del trattamento dei dati personali non siano prese in un'altra sede dell'operatore nell'Unione. In questo caso quest’ultimo va considerato come lo stabilimento principale. La sede principale di un operatore nell'Unione dovrebbe essere determinata secondo criteri oggettivi e dovrebbe comportare l'esercizio effettivo e reale di attività di gestione che determinano le principali decisioni relative alle finalità e ai mezzi del trattamento nell'ambito di accordi stabili. Tale criterio non dovrebbe dipendere dal trattamento dei dati personali in tale luogo. La presenza e l'utilizzo di mezzi tecnici e tecnologie di trattamento dei dati personali o di attività di trattamento non costituiscono uno stabilimento principale e, pertanto, non costituiscono criterio determinante al riguardo. La sede principale della persona autorizzata dall'operatore dovrebbe essere il luogo in cui è ubicata la sua amministrazione centrale nell'Unione o, se non dispone di un'amministrazione centrale nell'Unione, il luogo in cui sono svolte le principali attività di trattamento nell'Unione . Nei casi che coinvolgono sia l'operatore che la persona autorizzata dall'operatore, l'autorità di controllo principale competente dovrebbe rimanere l'autorità di controllo dello Stato membro in cui l'operatore ha la sede principale di attività, ma l'autorità di controllo della persona autorizzata dall'operatore dovrebbe essere considerata un'autorità di controllo mirata e tale autorità di controllo dovrebbe partecipare alla procedura di cooperazione prevista dal presente regolamento. In ogni caso, le autorità di controllo dello Stato membro o degli Stati membri in cui la persona autorizzata dall'operatore ha uno o più uffici non dovrebbero essere considerate autorità di controllo interessate se il progetto di decisione si riferisce solo all'operatore. Se il trattamento è effettuato da un gruppo di società, come sede principale del gruppo societario va considerata la sede principale della società che esercita il controllo, a meno che le finalità e i mezzi del trattamento non siano determinati da un'altra società.

(37) Un gruppo di imprese dovrebbe comprendere un'impresa che esercita il controllo e le imprese da essa controllate, all'interno dei quali l'impresa che esercita il controllo dovrebbe essere l'impresa che può esercitare un'influenza dominante sulle altre imprese, ad esempio in virtù della proprietà, di della partecipazione finanziaria o delle norme che la regolano o della competenza ad attuare norme in materia di protezione dei dati personali. Un'azienda che

controlla il trattamento dei dati personali nelle sue società collegate, da considerarsi, insieme a queste ultime, come un “gruppo di società”.
(38) I minori necessitano di una protezione specifica dei loro dati personali, poiché potrebbero essere meno consapevoli dei rischi, delle conseguenze, delle garanzie in questione e dei loro diritti in merito al trattamento dei dati personali. Questa protezione specifica dovrebbe applicarsi in particolare all'uso dei dati personali dei bambini a fini di marketing o per creare profili di personalità o di utenti e alla raccolta di dati personali dei bambini quando utilizzano servizi offerti direttamente ai bambini. Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel contesto dei servizi di prevenzione o di consulenza offerti direttamente ai minori.

(39) Qualsiasi trattamento di dati personali dovrebbe essere legale ed equo. Dovrebbe essere trasparente per le persone fisiche che i dati personali che le riguardano sono raccolti, utilizzati, consultati o altrimenti trattati e in che misura i dati personali sono o saranno trattati. Il principio di trasparenza prevede che tutte le informazioni e comunicazioni relative al trattamento dei rispettivi dati personali siano facilmente accessibili e di facile comprensione e che sia utilizzato un linguaggio semplice e chiaro. Tale principio si riferisce in particolare all'informazione degli interessati circa l'identità del titolare e alle finalità del trattamento, nonché alla fornitura di ulteriori informazioni, al fine di garantire un trattamento corretto e trasparente nei confronti delle persone fisiche interessate e il loro diritto ad ottenere conferma e comunicazione dei dati personali che li riguardano oggetto di trattamento. Gli interessati dovrebbero essere informati sui rischi, sulle regole, sulle garanzie e sui diritti relativi al trattamento dei dati personali e su come esercitare i propri diritti in relazione al trattamento. In particolare, le finalità specifiche per le quali i dati personali sono trattati dovrebbero essere esplicite e legittime ed essere determinate al momento della raccolta dei rispettivi dati. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per gli scopi per i quali sono trattati. Ciò richiede, in particolare, di garantire che il periodo di conservazione dei dati personali sia strettamente limitato al minimo. I dati personali dovrebbero essere trattati solo se lo scopo del trattamento non può ragionevolmente essere raggiunto con altri mezzi. Al fine di garantire che i dati personali non siano conservati più a lungo del necessario, l’operatore dovrebbe fissare scadenze per la cancellazione o la revisione periodica. Dovrebbero essere adottate tutte le misure ragionevoli per garantire che i dati personali inesatti vengano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne adeguatamente la sicurezza e la riservatezza, anche al fine di impedire l’accesso non autorizzato agli stessi o l’uso non autorizzato dei dati personali e delle apparecchiature utilizzate per il trattamento.

(40) Affinché il trattamento dei dati personali sia lecito, dovrebbe essere effettuato sulla base del consenso dell'interessato o sulla base di un altro motivo legittimo, previsto dalla legge, nel presente regolamento o in un altro atto del diritto dell'Unione o del diritto interno, come previsto dal presente regolamento, inclusa la necessità di adempiere ad obblighi legali ai quali è soggetto l'operatore o la necessità di eseguire un contratto di cui l'interessato è parte o di dare esecuzione le fasi precedenti la conclusione di un contratto, su richiesta dell'interessato.

(41) Ogni volta che il presente regolamento fa riferimento ad una base giuridica o ad un provvedimento legislativo, ciò non richiede necessariamente un atto legislativo adottato da un parlamento, ferme restando le esigenze derivanti dall'ordinamento costituzionale dello Stato membro in questione. Tuttavia, tale base giuridica o misura legislativa dovrebbe essere chiara e precisa e la sua applicazione dovrebbe essere prevedibile per le persone interessate, in conformità con la giurisprudenza della Corte di giustizia dell'Unione europea ("Corte di giustizia ") e la Corte europea dei diritti dell'uomo.

(42) Se il trattamento si basa sul consenso dell'interessato, l'operatore dovrebbe essere in grado di dimostrare che l'interessato ha dato il suo consenso al trattamento. In particolare, nel contesto di una dichiarazione scritta riguardante un'altra questione, le garanzie dovrebbero garantire che l'interessato sia consapevole del fatto che ha dato il suo consenso e in che misura lo ha fatto. A norma della direttiva 93/13/CEE del Consiglio (1), deve essere fornita una dichiarazione di consenso formulata preventivamente dall'operatore, in forma intelligibile

e facilmente accessibili, utilizzando un linguaggio chiaro e semplice, e questa dichiarazione non deve contenere clausole abusive. Affinché la concessione del consenso possa avere cognizione di causa, l'interessato deve essere a conoscenza almeno dell'identità del titolare e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non dovrebbe considerarsi prestato liberamente se l'interessato non ha realmente la libertà di scelta o non è nella posizione di rifiutare o revocare il consenso senza subire pregiudizi.

(1) Direttiva 93/13/CEE del Consiglio, del 5 aprile 1993, relativa alle clausole abusive nei contratti stipulati con i consumatori (GU L 95 del 21.4.1993, pag. 29).
(43) Per garantire che sia stato prestato liberamente, il consenso non dovrebbe costituire una base giuridica valida per il trattamento dei dati personali nel caso particolare in cui vi sia un evidente squilibrio tra l'interessato e l'operatore, soprattutto nel caso in cui l'operatore è un'autorità pubblica, e ciò rende improbabile che si possa prestare liberamente il consenso in tutte le circostanze legate a quella particolare situazione. Il consenso si considera prestato liberamente se non consente di prestare un consenso separato per le diverse operazioni di trattamento dei dati personali, sebbene ciò sia appropriato nel caso specifico, o se l'esecuzione di un contratto, compresa la fornitura di un servizio, è condizionato dal consenso, nonostante il consenso in questione non sia necessario per l'esecuzione del contratto.

(44) Il trattamento dovrebbe essere considerato legale se è necessario nell'ambito di un contratto o per concludere un contratto.
(45) Se il trattamento è effettuato in conformità a un obbligo legale dell'operatore o se è necessario per l'esecuzione di un compito di interesse pubblico o rientra nell'esercizio di pubblici poteri, il trattamento dovrebbe avere una portata base nel diritto dell’Unione o nel diritto interno. Tale normativa non prevede l'esistenza di una normativa specifica per ogni singolo trattamento. Un’unica legge può essere sufficiente come base per più trattamenti effettuati in conformità con un obbligo legale del gestore o se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o rientra nell’esercizio di pubblici poteri . Inoltre, la finalità del trattamento dovrebbe essere stabilita dal diritto dell’Unione o dal diritto nazionale. Inoltre, il rispettivo diritto potrebbe specificare le condizioni generali del presente regolamento che regolano la liceità del trattamento dei dati personali, determinare le specifiche per stabilire il titolare, il tipo di dati personali oggetto del trattamento, le persone interessate, i soggetti ai quali potranno essere comunicati i dati personali, le limitazioni dipendenti dalla finalità, il periodo di conservazione ed altre misure volte a garantire un trattamento lecito e corretto. Dovrebbe inoltre essere stabilito nel diritto dell'Unione o nazionale se l'operatore che svolge un compito di interesse pubblico o che rientra nell'esercizio di pubblici poteri debba essere un'autorità pubblica o un'altra persona fisica o giuridica disciplinata dal diritto pubblico o, quando ragioni di interesse pubblico lo giustificano, anche per scopi medici, quali la sanità pubblica e la protezione sociale, nonché la gestione di servizi di assistenza medica, dal diritto privato, come un'associazione professionale.

(46) Anche il trattamento dei dati personali dovrebbe essere considerato lecito se è necessario per garantire la tutela di un interesse essenziale per la vita dell'interessato o per la vita di un'altra persona fisica. Il trattamento dei dati personali basato sugli interessi vitali di un'altra persona fisica dovrebbe essere effettuato solo se il trattamento non può evidentemente basarsi su un'altra base giuridica. Alcuni tipi di trattamento possono servire sia importanti motivi di interesse pubblico sia gli interessi vitali dell'interessato, ad esempio se il trattamento è necessario per scopi umanitari, anche per monitorare un'epidemia e la sua diffusione o in situazioni di emergenza umanitaria, soprattutto in situazioni di catastrofi naturali o provocate dall’uomo.

(47) Gli interessi legittimi di un operatore, compresi quelli di un operatore al quale i dati personali possono essere comunicati o di terzi, possono costituire base giuridica per il trattamento, a condizione che gli interessi o i diritti e le libertà fondamentali della persona non siano prevalgono mirate, prendendo

tenendo conto delle ragionevoli aspettative degli interessati in base al loro rapporto con l'operatore. Questo interesse legittimo potrebbe esistere, ad esempio, quando esiste un rapporto pertinente e appropriato tra l'interessato e l'operatore, come quando l'interessato è cliente dell'operatore o è al suo servizio. In ogni caso, la sussistenza di un legittimo interesse richiederebbe un’attenta valutazione, che stabilirebbe anche se un interessato possa ragionevolmente prevedere, al momento e nell’ambito della raccolta dei dati personali, la possibilità di un trattamento per tale finalità. Gli interessi e i diritti fondamentali dell’interessato potrebbero prevalere, in particolare rispetto all’interesse del titolare del trattamento, quando i dati personali sono trattati in circostanze in cui gli interessati non si aspettano ragionevolmente un ulteriore trattamento. Poiché il legislatore deve fornire la base giuridica per il trattamento dei dati personali da parte delle autorità pubbliche, la rispettiva base giuridica non dovrebbe applicarsi al trattamento da parte delle autorità pubbliche nell’esecuzione dei loro compiti. Anche il trattamento dei dati personali strettamente necessario ai fini della prevenzione delle frodi costituisce un interesse legittimo del gestore dei dati in questione. Il trattamento dei dati personali finalizzato al marketing diretto può essere considerato effettuato per un interesse legittimo.

(48) Gli operatori che fanno parte di un gruppo di società o istituzioni affiliate a un organismo centrale possono avere un interesse legittimo a trasmettere dati personali all'interno del gruppo di società per scopi amministrativi interni, anche ai fini del trattamento dei dati personali dei clienti o dipendenti. Restano invariati i principi generali del trasferimento di dati personali, all'interno di un gruppo di imprese, ad un'impresa situata in un paese terzo.

(49) Il trattamento dei dati personali nella misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell'informazione, vale a dire la capacità di una rete o di un sistema informativo di far fronte, con un certo livello di confidenza, a eventi o azioni accidentali illegali o dannosi che compromettono la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati personali archiviati o trasmessi, nonché la sicurezza dei relativi servizi offerti da tali reti e sistemi, oppure accessibili attraverso di essi, da parte delle autorità pubbliche, delle squadre di intervento in caso di emergenze informatiche, delle squadre di intervento in caso di incidenti che incidano sulla sicurezza informatica, dei fornitori di reti e servizi di comunicazione elettronica, nonché da parte dei fornitori di servizi e tecnologie di sicurezza, costituisce un legittimo interesse del gestore dei dati in questione. Ciò potrebbe includere, ad esempio, la prevenzione dell'accesso non autorizzato alle reti di comunicazione elettronica e la diffusione di codici dannosi e il blocco degli attacchi di tipo "negazione di servizio", nonché la prevenzione di danni ai computer e ai sistemi di comunicazione elettronica.

(50) Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se il trattamento è compatibile con le rispettive finalità per le quali i dati personali sono stati inizialmente raccolti. In questo caso non è necessaria una base giuridica distinta da quella in base alla quale è stata consentita la raccolta dei dati personali. Se il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o derivante dall'esercizio di pubblici poteri di cui è investito l'operatore, il diritto dell'Unione o il diritto interno può stabilire e specificare i compiti e le finalità per le quali dovrebbe essere effettuato l'ulteriore trattamento. considerarsi compatibile e legale. Il trattamento successivo a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici dovrebbe essere considerato un trattamento giuridico compatibile. La base giuridica prevista dal diritto dell’Unione o dal diritto nazionale per il trattamento dei dati personali può costituire anche una base giuridica per ulteriori trattamenti. Al fine di determinare se lo scopo del trattamento successivo è compatibile con lo scopo per il quale i dati personali sono stati inizialmente raccolti, l'operatore, dopo aver soddisfatto tutti i requisiti relativi alla liceità del trattamento iniziale, dovrebbe tenere conto, tra le altre cose, qualsiasi collegamento tra tali finalità e gli ulteriori scopi del trattamento previsti, il contesto in cui sono stati raccolti i dati personali, in particolare le ragionevoli aspettative degli interessati, in base al loro rapporto con il gestore, riguardo al successivo utilizzo dei dati, la natura dei dati personali, delle conseguenze di un ulteriore trattamento

attese a carico degli interessati, nonché l'esistenza delle corrispondenti garanzie sia nell'ambito dei trattamenti iniziali, sia nell'ambito dei trattamenti successivi previsti.
Se l’interessato ha dato il proprio consenso o il trattamento è basato sul diritto dell’Unione o sul diritto nazionale, il che costituisce una misura necessaria e proporzionata in una società democratica per tutelare, in particolare, importanti obiettivi di interesse pubblico generale, l’operatore dovrebbe avere la possibilità continuare a trattare i dati personali, indipendentemente dalla compatibilità delle finalità. In ogni caso, dovrebbe essere garantita l’applicazione dei principi stabiliti dal presente regolamento e, in particolare, l’informazione dell’interessato riguardo a tali ulteriori finalità e i suoi diritti, compreso il diritto di opposizione. L'indicazione di possibili reati o minacce alla sicurezza pubblica da parte dell'operatore e la trasmissione all'autorità competente dei dati personali rilevanti in singoli casi o in più casi relativi allo stesso reato o alle stesse minacce alla sicurezza pubblica dovrebbero essere considerate come nel caso legittimo interesse perseguito dall'operatore. Tuttavia, tale trasmissione nell'interesse legittimo dell'operatore o il successivo trattamento dei dati personali dovrebbero essere vietati se il trattamento non è compatibile con un obbligo legale, professionale o di altra natura riservata.

(51) I dati personali che sono, per loro natura, particolarmente sensibili in termini di diritti e libertà fondamentali, richiedono una protezione specifica, poiché il contesto del loro trattamento potrebbe generare rischi considerevoli per i diritti e le libertà fondamentali. Tali dati personali dovrebbero comprendere dati personali che rivelino l'origine razziale o etnica; l'uso del termine "origine razziale" nel presente regolamento non implica l'accettazione da parte dell'Unione di teorie che cercano di stabilire l'esistenza di razze umane separate. Il trattamento delle fotografie non dovrebbe essere considerato sistematicamente come un trattamento di categorie particolari di dati personali, poiché le fotografie rientrano nella definizione di dati biometrici solo nei casi in cui sono trattate con mezzi tecnici specifici che consentono l'identificazione o l'autenticazione univoca di una persona fisica. . Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito in casi specifici previsti dal presente regolamento, tenuto conto del fatto che le legislazioni degli Stati membri possono prevedere specifiche disposizioni in materia di protezione dei dati al fine di adeguare l'applicazione delle norme di il presente regolamento per adempiere a un obbligo legale o per adempiere a un compito di interesse pubblico o derivante dall'esercizio dell'autorità pubblica di cui è investito l'operatore. Oltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e le altre norme previste dal presente regolamento, in particolare per quanto riguarda le condizioni del trattamento legale. Dovrebbero essere previste esplicitamente deroghe al divieto generale di trattare queste categorie particolari di dati personali, tra l'altro quando l'interessato presta esplicito consenso o in relazione a specifiche esigenze, soprattutto quando il trattamento viene effettuato nell'ambito di attività legittime da parte di determinati associazioni o fondazioni il cui scopo è consentire l'esercizio delle libertà fondamentali.

(52) Dovrebbe essere consentita una deroga al divieto relativo al trattamento di categorie particolari di dati personali qualora il diritto dell'Unione o nazionale lo preveda e dovrebbe essere soggetta a garanzie adeguate, affinché i dati personali e altri diritti fondamentali siano tutelati, quando ciò è giustificato per motivi di interesse pubblico, in particolare nel caso del trattamento dei dati personali nel campo della legislazione sul lavoro, della protezione sociale, comprese le pensioni, nonché a fini di sicurezza, sorveglianza e allerta sanitaria, per la prevenzione o il controllo delle malattie trasmissibili e altri gravi rischi per la salute. Tale deroga può essere concessa per scopi medici, compresa la sanità pubblica e la gestione dei servizi di assistenza medica, soprattutto al fine di garantire la qualità e l'economicità delle procedure utilizzate per risolvere le richieste di prestazioni e servizi nell'ambito del sistema di assicurazione sanitaria, o per scopi di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. Inoltre, il trattamento di tali dati personali dovrebbe essere consentito, mediante deroga, quando è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, indipendentemente dal fatto che avvenga nell'ambito di un

procedimenti dinanzi a un tribunale o nell’ambito di un procedimento amministrativo o extragiudiziale.
(53) Categorie particolari di dati personali che richiedono un livello di protezione più elevato dovrebbero essere trattati per fini sanitari solo quando ciò sia necessario per il raggiungimento di tali scopi a beneficio delle persone fisiche e della società in generale, in particolare nel contesto della gestione dei dati personali. i servizi e i sistemi sanitari o di assistenza sociale, compreso il trattamento di questi dati da parte delle autorità di gestione e delle autorità centrali nazionali nel campo della sanità ai fini del controllo di qualità, della fornitura di informazioni gestionali e della supervisione generale dell'assistenza sanitaria o sociale sistema di assistenza sociale a livello nazionale e locale, nonché nel contesto di garantire la continuità dell'assistenza medica o sociale e dell'assistenza medica transfrontaliera o per fini di sicurezza, sorveglianza e allerta sanitaria o per scopi di archiviazione nel pubblico interesse, per scopi scientifici o a fini di ricerca storica o a fini statistici basati sul diritto dell’Unione o sul diritto interno, che devono perseguire un obiettivo di interesse pubblico, nonché in caso di studi svolti nell’interesse pubblico nel campo della sanità pubblica. Pertanto, il presente regolamento dovrebbe prevedere condizioni armonizzate per il trattamento di categorie particolari di dati sanitari personali, tenendo conto di esigenze specifiche, in particolare quando il trattamento di tali dati è effettuato per determinati scopi sanitari da persone soggette a un regime giuridico obbligo di mantenere il segreto professionale. Il diritto dell’Unione o il diritto nazionale dovrebbero prevedere misure specifiche e adeguate per tutelare i diritti fondamentali e i dati personali delle persone fisiche. Gli Stati membri dovrebbero poter mantenere o introdurre condizioni aggiuntive, comprese restrizioni, riguardo al trattamento dei dati genetici, dei dati biometrici o dei dati sanitari. Ciò non dovrebbe tuttavia impedire la libera circolazione dei dati personali all’interno dell’Unione quando tali condizioni si applicano al trattamento transfrontaliero di tali dati.

(54) Il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell'interessato. Tale trattamento dovrebbe essere condizionato da misure adeguate e specifiche volte a tutelare i diritti e le libertà delle persone fisiche. In questo contesto, il concetto di “salute pubblica” dovrebbe essere interpretato come definito nel regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio (1), vale a dire tutti gli elementi relativi alla salute, vale a dire lo stato di salute salute, compresa la morbilità o la disabilità, i determinanti che influiscono sullo stato di salute, i bisogni nel campo dell’assistenza sanitaria, le risorse destinate all’assistenza sanitaria, la fornitura di assistenza sanitaria e la garanzia dell’accesso universale ad essa, nonché i costi e le fonti di finanziamenti nel campo della sanità e delle cause di mortalità. Questo trattamento di dati sanitari per motivi di interesse pubblico non dovrebbe portare al trattamento di questi dati per altri scopi da parte di terzi, come datori di lavoro o compagnie di assicurazione e banche.

(1) Regolamento (CE) n. 1338/2008 del Parlamento Europeo e del Consiglio del 16 dicembre 2008 relativo alle statistiche comunitarie relative alla sanità pubblica, nonché alla salute e alla sicurezza sul lavoro (GU L 354 del 31.12.2008, pag. 70).
(55) Inoltre, il trattamento di dati personali da parte di autorità pubbliche al fine di conseguire obiettivi previsti dal diritto costituzionale o dal diritto pubblico internazionale, di associazioni religiose ufficialmente riconosciute è effettuato per motivi di interesse pubblico.

(56) Se, durante le attività elettorali, il funzionamento del sistema democratico richiede, in uno Stato membro, che i partiti politici raccolgano dati personali riguardanti le opinioni politiche dei singoli individui, il trattamento di tali dati può essere consentito per motivi di interesse pubblico, purché siano fornite le opportune garanzie.

(57) Se i dati personali trattati da un operatore non gli consentono di identificare una persona fisica, l'operatore dei dati non dovrebbe avere l'obbligo di ottenere informazioni aggiuntive al fine di identificare l'interessato, al solo scopo di rispettare una qualsiasi delle le disposizioni del presente regolamento. Tuttavia, l'operatore non dovrebbe rifiutarsi di raccogliere le informazioni aggiuntive fornite dall'interessato per supportare l'esercizio dei suoi diritti. L’identificazione dovrebbe includere l’identificazione digitale di un interessato, ad esempio attraverso meccanismi di

autenticazione quali le stesse credenziali utilizzate dall'interessato per accedere ai servizi on-line offerti dal gestore dei dati.
(58) Il principio di trasparenza richiede che tutte le informazioni rivolte al pubblico o alla persona interessata siano concise, facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro, nonché la visualizzazione, se del caso. Tali informazioni potrebbero essere fornite in formato elettronico, ad esempio quando rivolte al pubblico, attraverso un sito web. Ciò è particolarmente importante in situazioni in cui, a causa della moltitudine di attori e della complessità, da un punto di vista tecnologico, della pratica, è difficile per l'interessato sapere e comprendere se i dati personali che lo riguardano vengono raccolti, tramite chi e per quale scopo, come nel caso della pubblicità online. Poiché i minori necessitano di una tutela specifica, qualsiasi informazione e qualsiasi comunicazione, se il trattamento è rivolto a un minore, dovrebbe essere espressa in un linguaggio semplice e chiaro, in modo che il minore possa facilmente comprenderla.

(59) Dovrebbero essere previste modalità volte a facilitare l'esercizio da parte dell'interessato dei diritti conferitigli dal presente regolamento, compresi i meccanismi attraverso i quali egli può chiedere e, se necessario, ottenere, in particolare, gratuitamente, l'accesso ai dati personali dati, nonché la loro rettifica o cancellazione, nonché l’esercizio del diritto di opposizione. L'operatore dovrebbe anche offrire modalità per presentare richieste elettronicamente, soprattutto se i dati personali sono trattati con mezzi elettronici. L'operatore dovrebbe avere l'obbligo di rispondere alle richieste degli interessati senza indebito ritardo e al massimo entro un mese e, nel caso in cui non intenda soddisfare tali richieste, di motivare tale rifiuto (60 ) Nel rispetto dei principi di correttezza e trasparenza, l'interessato è informato dell'esistenza di un trattamento e delle sue finalità. L’operatore dovrebbe fornire all’interessato tutte le informazioni aggiuntive necessarie per garantire un trattamento corretto e trasparente, tenendo conto delle circostanze specifiche e del contesto in cui i dati personali sono trattati. Inoltre, l’interessato dovrebbe essere informato sulla creazione di profili e sulle sue conseguenze. Quando vengono raccolti dati personali presso l'interessato, questi dovrebbe essere informato anche se ha l'obbligo di fornire i dati personali e quali sono le conseguenze in caso di rifiuto. Queste informazioni possono essere fornite in combinazione con icone standardizzate per fornire in modo facilmente visibile, intelligibile e chiaramente leggibile una panoramica significativa del trattamento previsto. Se le icone sono presentate in formato elettronico, dovrebbero poter essere lette automaticamente.

(61) Le informazioni relative al trattamento dei dati personali che riguardano l'interessato dovrebbero essere fornite all'interessato al momento della raccolta presso l'interessato o, se i dati personali sono ottenuti da un'altra fonte, entro un termine ragionevole, a seconda della circostanze del caso. Se i dati personali possono essere legittimamente comunicati a un altro destinatario, l'interessato dovrebbe essere informato quando i dati personali vengono comunicati per la prima volta al destinatario. Qualora il gestore intenda trattare i dati personali per una finalità diversa da quella per cui sono stati raccolti, il gestore dovrà fornire all'interessato, prima di tale ulteriore trattamento, informazioni relative alla rispettiva finalità secondaria e altre informazioni necessarie. Se non è stato possibile comunicare all'interessato l'origine dei dati personali perché sono state utilizzate fonti diverse, è necessario fornire informazioni generali. (62) Tuttavia, non è necessario imporre l'obbligo di informazione se l'interessato dispone già delle informazioni, se la registrazione o la comunicazione dei dati personali è espressamente prevista dalla legge o se l'informativa all'interessato risulta essere impossibile o comporterebbe sforzi sproporzionati. Quest'ultimo caso potrebbe verificarsi soprattutto quando il trattamento viene effettuato a fini di archiviazione nel pubblico interesse, a fini di ricerca scientifica o storica o a fini statistici. A questo proposito occorre tenere conto del numero degli interessati, dell’età dei dati e delle eventuali garanzie adeguate adottate.

(63) L'interessato dovrebbe avere il diritto di accesso ai dati personali raccolti che lo riguardano e dovrebbe esercitare tale diritto facilmente e a intervalli di tempo ragionevoli, per essere informato sul trattamento e verificarne la liceità. Ciò include il diritto degli interessati ad avere accesso ai propri dati sanitari, ad esempio ai dati contenuti nei loro archivi

cartelle cliniche contenenti informazioni quali diagnosi, risultati di esami, valutazioni dei medici curanti ed eventuali trattamenti o interventi eseguiti. Ogni interessato dovrebbe, pertanto, avere il diritto di conoscere ed essere informato, in particolare delle finalità per le quali i dati sono trattati, se possibile il periodo per il quale i dati personali sono trattati, i destinatari dei dati personali, la logica del trattamento automatico trattamento dei dati personali e, almeno se basato sulla creazione di profili, le conseguenze di tale trattamento. Se ciò è possibile, il titolare del trattamento dovrebbe essere in grado di fornire l’accesso remoto a un sistema sicuro, che dia all’interessato un accesso diretto ai suoi dati personali. Questo diritto non dovrebbe pregiudicare i diritti o le libertà altrui, compresi i segreti commerciali o la proprietà intellettuale e, in particolare, i diritti d'autore che garantiscono la protezione dei programmi software. Tuttavia, le considerazioni di cui sopra non devono comportare il rifiuto di fornire all’interessato tutte le informazioni. Quando l'operatore tratta un volume elevato di informazioni riguardanti l'interessato, l'operatore dovrebbe poter chiedere che, prima che le informazioni siano fornite, l'interessato specifichi le informazioni o le attività di trattamento a cui si riferisce la sua richiesta. (64) L'operatore dovrebbe adottare tutte le misure ragionevoli per verificare l'identità dell'interessato che richiede l'accesso ai dati, in particolare nel contesto dei servizi online e degli identificatori online. Un operatore non dovrebbe conservare i dati personali al solo scopo di poter rispondere ad eventuali richieste.

(65) L'interessato dovrebbe avere il diritto alla rettifica dei dati personali che lo riguardano e il "diritto all'oblio" se la conservazione di tali dati viola il presente regolamento o il diritto dell'Unione o il diritto interno cui rientra l'operatore. In particolare, gli interessati dovrebbero avere il diritto di ottenere la cancellazione e la cessazione del trattamento dei propri dati personali se i dati personali non sono più necessari per le finalità per le quali sono raccolti o trattati, se gli interessati hanno revocato il proprio consenso del trattamento o nel caso in cui si opponga al trattamento dei propri dati personali o nel caso in cui il trattamento dei propri dati personali non sia conforme alla presente normativa. Questo diritto è particolarmente rilevante se l’interessato ha dato il suo consenso quando era bambino e non era pienamente consapevole dei rischi connessi al trattamento, e in seguito desidera rimuovere tali dati personali, soprattutto da Internet. L'interessato dovrebbe avere la possibilità di esercitare questo diritto nonostante non sia più un bambino. Tuttavia, la conservazione continua dei dati personali dovrebbe essere legale se è necessaria per esercitare il diritto alla libertà di espressione e di informazione, per adempiere a un obbligo legale, per adempiere a un compito di interesse pubblico o derivante dall'esercizio della dell'autorità pubblica di cui è investito l'operatore, per motivi di interesse pubblico nel settore della sanità pubblica, a fini di archiviazione nel pubblico interesse, a fini di ricerca scientifica o storica o a fini statistici o di accertamento, esercitare o difendere un diritto in sede giudiziaria.

(66) Al fine di rafforzare il "diritto all'oblio" nell'ambiente online, il diritto alla cancellazione dovrebbe essere esteso in modo tale che un operatore che ha reso pubblici dati personali abbia l'obbligo di informare gli operatori che trattano tali dati personali cancellare eventuali collegamenti ai rispettivi dati o copie o riproduzioni degli stessi. A tal fine, l'operatore in questione dovrebbe adottare misure ragionevoli, tenendo conto della tecnologia disponibile e dei mezzi a sua disposizione, comprese le misure tecniche, per informare gli operatori che trattano i dati personali in merito alla richiesta dell'interessato.

(67) Le modalità di limitazione del trattamento dei dati personali potrebbero includere, tra l'altro, il trasferimento temporaneo dei dati personali selezionati verso un altro sistema di trattamento, o la cancellazione dell'accesso degli utenti ai dati selezionati o la rimozione temporanea dei dati pubblicati da un sito. Per quanto riguarda i sistemi automatizzati di registrazione dei dati, la limitazione del trattamento dovrebbe, in linea di principio, essere garantita con mezzi tecnici in modo tale che i dati personali non siano oggetto di ulteriori operazioni di trattamento e non possano essere modificati. Il fatto che il trattamento dei dati personali sia limitato dovrebbe essere chiaramente indicato nel sistema.

(68) Al fine di aumentare ulteriormente il controllo sui propri dati, l'interessato dovrebbe, qualora i dati personali siano trattati con mezzi automatizzati, poter ricevere i dati personali che lo riguardano e che ha fornito ad un operatore, in un formato strutturato, correntemente utilizzato, elaborato automaticamente e interoperabile e di poterli trasmettere ad un altro operatore. Gli operatori dei dati dovrebbero essere incoraggiati a sviluppare formati interoperabili che consentano la portabilità dei dati. Tale diritto dovrebbe applicarsi se l’interessato ha fornito i dati personali in base al proprio consenso o se il trattamento dei dati è necessario per l’esecuzione di un contratto. Tale diritto non dovrebbe applicarsi se il trattamento si basa su una base giuridica diversa dal consenso o dal contratto. Per la sua stessa natura, tale diritto non dovrebbe essere esercitato nei confronti degli operatori che trattano dati personali nell'esercizio delle loro pubbliche funzioni. Ciò non dovrebbe applicarsi in particolare se il trattamento dei dati personali è necessario per adempiere un obbligo legale al quale è soggetto l'operatore o nel caso dell'esecuzione di un compito di interesse pubblico o derivante dall'esercizio di un ente pubblico di cui è investito l’operatore. Il diritto dell'interessato di trasmettere o ricevere dati personali che lo riguardano non dovrebbe creare per gli operatori l'obbligo di adottare o mantenere sistemi di trattamento compatibili dal punto di vista tecnico. Se in un determinato insieme di dati personali sono coinvolti più interessati, il diritto di ricevere dati personali non dovrebbe pregiudicare i diritti e le libertà di altri interessati, in conformità con il presente regolamento. Inoltre, tale diritto non dovrebbe pregiudicare il diritto dell'interessato di ottenere la cancellazione dei dati personali e le limitazioni di tale diritto, come previsto dal presente regolamento, e non dovrebbe, in particolare, comportare la cancellazione dei dati personali relativi alla l'interessato da lui fornito per l'esecuzione di un contratto, nella misura e nella misura in cui i rispettivi dati sono necessari per l'esecuzione del contratto. L'interessato dovrebbe avere il diritto di ottenere la trasmissione diretta dei dati personali da un operatore a un altro, se ciò è tecnicamente fattibile.

(69) Nei casi in cui i dati personali potrebbero essere trattati legalmente perché il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o derivante dall'esercizio di pubblici poteri di cui è investito l'operatore o basato su interessi legittimi di di un operatore o di un terzo, l'interessato dovrebbe comunque avere il diritto di opporsi al trattamento di qualsiasi dato personale relativo alla sua situazione particolare. Dovrebbe essere responsabilità dell'operatore dimostrare che i suoi interessi legittimi e impellenti prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell'interessato.

(70) Se i dati personali sono trattati per finalità di marketing diretto, l'interessato dovrebbe avere il diritto di opporsi a tale trattamento, compresa la creazione di profili nella misura in cui sia connesso al marketing diretto, indipendentemente dal fatto che il trattamento in questione sia o meno quello iniziale o quello successivo, in qualsiasi momento e gratuitamente. Tale diritto dovrebbe essere esplicitamente portato a conoscenza dell'interessato e presentato in modo chiaro e separato da qualsiasi altra informazione.

(71) L'interessato dovrebbe avere il diritto di non essere soggetto a una decisione, che può includere una misura, che valuta gli aspetti personali che lo riguardano, che si basa esclusivamente su

trattamento automatizzato e che produca effetti giuridici che riguardano l'interessato o che lo incidano analogamente in misura significativa, come il rifiuto automatico di una richiesta di credito online o pratiche di reclutamento elettronico, senza intervento umano. Tale trattamento comprende la “profilazione”, che consiste in qualsiasi forma di trattamento automatizzato di dati personali

valutando gli aspetti personali relativi a una persona fisica, in particolare al fine di analizzare o prevedere determinati aspetti riguardanti il ​​rendimento sul posto di lavoro della persona interessata, la situazione economica, lo stato di salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento,

l'ubicazione o gli spostamenti, quando da ciò producano effetti giuridici che riguardano l'interessato o lo incidono analogamente in misura rilevante. Tuttavia, il processo decisionale sulla base di tale trattamento, compresa la profilazione, dovrebbe essere consentito ove espressamente autorizzato dal diritto dell’Unione o dal diritto nazionale applicabile all’operatore, anche ai fini

il monitoraggio e la prevenzione delle frodi e dell’evasione fiscale, effettuati nel rispetto delle norme,

norme e raccomandazioni delle istituzioni dell'Unione o degli organismi nazionali di vigilanza, nonché per garantire la sicurezza e l'affidabilità di un servizio offerto dall'operatore o nel caso in cui sia

necessario per la conclusione o l'esecuzione di un contratto tra l'interessato e un operatore o se l'interessato ha dato esplicitamente il proprio consenso. In ogni caso, tale trattamento dovrebbe essere soggetto a garanzie adeguate, che dovrebbero includere un'informazione specifica dell'interessato e il suo diritto di ottenere l'intervento umano, per

esprimere il proprio punto di vista, ricevere una spiegazione in merito alla decisione assunta a seguito di tale valutazione,

nonché il diritto di impugnare la decisione. Tale misura non dovrebbe riferirsi a un bambino.

Garantire un trattamento corretto e trasparente nei confronti dell'interessato, avendo in

date le circostanze specifiche e il contesto in cui i dati personali vengono trattati, l'operatore dovrebbe utilizzare procedure matematiche o statistiche adeguate per creare profili, attuare misure tecniche e organizzative adeguate per garantire in particolare che i fattori che portano all'inesattezza dei dati personali natura sono corretti e che il rischio di errori è

ridotti al minimo, nonché proteggere i dati personali in modo da tenere conto dei potenziali pericoli per gli interessi e i diritti dell'interessato e prevenire, tra le altre cose, effetti discriminatori contro le persone sulla base della razza o dell'etnia origine, opinioni politica, religione

o convinzioni personali, appartenenza sindacale, caratteristiche genetiche, stato di salute o orientamento sessuale o trattamenti che conducano a misure aventi tali effetti. Dovrebbero essere consentiti il ​​processo decisionale automatizzato e la profilazione basati su categorie particolari di dati personali

solo a condizioni specifiche.

(il 23 maggio 2018, paragrafo (71

) rettificato dal punto 1. della Rettifica del 23 maggio 2018 )
(72) La creazione di profili è soggetta alle norme del presente regolamento che regolano il trattamento dei dati personali, come le basi giuridiche del trattamento o i principi di protezione dei dati. Il comitato europeo per la protezione dei dati istituito dal presente regolamento ("il comitato") dovrebbe essere in grado di emanare orientamenti in questo contesto.
(73) Il diritto dell'Unione o il diritto interno possono imporre restrizioni riguardo a principi specifici, al diritto all'informazione, al diritto di accesso ai dati personali e alla loro rettifica o cancellazione, al diritto alla portabilità dei dati, al diritto di opposizione, alle decisioni basate su la creazione di profili, nonché per quanto riguarda la comunicazione all'interessato di una violazione della sicurezza dei dati personali e alcuni connessi obblighi degli operatori, nella misura in cui ciò sia necessario e proporzionato in una società democratica per la sicurezza pubblica è garantita, compresa la protezione della vita umana, soprattutto in risposta a catastrofi naturali o provocate dall'uomo, la prevenzione, l'indagine e il perseguimento di reati o l'esecuzione di sentenze, compresa la protezione contro le minacce alla sicurezza pubblica o contro le violazioni etiche in caso di professioni regolamentate e loro prevenzione, altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, in particolare un importante interesse economico o finanziario dell'Unione o di uno Stato membro, la tenuta di registri pubblici per motivi di interesse pubblico generale , il successivo trattamento dei dati personali archiviati per trasmettere informazioni specifiche relative al comportamento politico durante i regimi di ex stati totalitari, alla protezione dell'interessato o ai diritti e alle libertà di terzi, compresa la protezione sociale, la sanità pubblica e scopi umanitari. Tali restrizioni dovrebbero essere conformi ai requisiti previsti dalla Carta e dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali.
(74) È opportuno stabilire la responsabilità dell'operatore per qualsiasi trattamento di dati personali effettuato da lui o per suo conto. In particolare, l'operatore dovrebbe essere tenuto ad attuare misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento al presente regolamento, compresa l'efficacia delle misure. Tali misure dovrebbero tenere conto della natura, della portata, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
(75) Il rischio per i diritti e le libertà delle persone fisiche, che presenta diversi gradi di probabilità di concretizzazione e di gravità, può derivare da un trattamento di dati personali che potrebbe generare danni di natura fisica, materiale o morale, soprattutto nei casi in cui: il trattamento può comportare discriminazioni, furti di identità o frodi, perdite finanziarie, compromissioni

reputazione, perdita della riservatezza dei dati personali protetti dal segreto professionale, annullamento non autorizzato della pseudonimizzazione o qualsiasi altro svantaggio significativo di natura economica o sociale; gli interessati potrebbero essere privati ​​dei propri diritti e delle libertà o impedito di esercitare il controllo sui propri dati personali; i dati personali trattati sono dati idonei a rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale; siano trattati dati genetici, dati sanitari o dati sulla vita sessuale o condanne penali e reati o relative misure di sicurezza; vengono valutati aspetti di carattere personale, in particolare l'analisi o la previsione di aspetti riguardanti il ​​rendimento lavorativo, la situazione economica, lo stato di salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali ; vengono trattati dati personali di persone vulnerabili, in particolare bambini; oppure il trattamento riguarda un volume elevato di dati personali e interessa un gran numero di interessati.

(76) La probabilità che si concretizzi e la gravità del rischio per i diritti e le libertà dell'interessato dovrebbero essere determinate in funzione della natura, della portata, del contesto e delle finalità del trattamento dei dati personali. Il rischio dovrebbe essere valutato sulla base di una valutazione obiettiva in base alla quale si stabilisce se le operazioni di trattamento dei dati presentano un rischio o un rischio elevato. (77) Linee guida per l'attuazione di misure adeguate e per la dimostrazione di conformità da parte dell'operatore o della persona autorizzata dall'operatore, in particolare per quanto riguarda l'identificazione del rischio connesso al trattamento, la sua valutazione dal punto di vista dell'origine, della natura , probabilità di materializzazione e gravità, nonché l'individuazione di buone pratiche per mitigare il rischio potrebbero essere fornite in particolare attraverso codici di condotta approvati, certificazioni approvate, linee guida di comitato o attraverso indicazioni fornite da un responsabile della protezione dei dati. Il Comitato può anche fornire orientamenti sulle operazioni di trattamento che si ritiene improbabile che comportino un rischio elevato per i diritti e le libertà delle persone fisiche e indicare le misure che potrebbero rivelarsi sufficienti in tali casi per affrontare tale rischio.

(78) La tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali richiede l'adozione di misure tecniche e organizzative adeguate per garantire l'adempimento dei requisiti del presente regolamento. Per poter dimostrare il rispetto del presente regolamento, l'operatore dovrebbe adottare politiche interne e attuare misure che rispettino in particolare il principio della protezione dei dati a partire dal momento del concepimento e quello della protezione implicita dei dati. Tali misure potrebbero consistere, tra le altre, nel ridurre al minimo il trattamento dei dati personali, nella pseudonimizzazione di tali dati il ​​prima possibile, nella trasparenza riguardo alle funzioni e al trattamento dei dati personali, nel conferire all'interessato il potere di controllare il trattamento dei dati, consentendo all'operatore di creare elementi di sicurezza e migliorarli. Nello sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti che si basano sul trattamento di dati personali o che trattano dati personali per svolgere il proprio ruolo, i produttori di tali prodotti e i fornitori di tali servizi e applicazioni dovrebbero essere incoraggiati a prendere in considerazione tenere conto del diritto alla protezione dei dati al momento dello sviluppo e della progettazione di tali prodotti, servizi e applicazioni e, tenendo conto dell'attuale fase di sviluppo, garantire che gli operatori e le persone autorizzate dagli operatori siano in grado di adempiere ai propri obblighi in materia alla protezione dei dati. Il principio della protezione dei dati fin dal momento del concepimento e quello della protezione implicita dei dati dovrebbero essere presi in considerazione anche nel contesto degli appalti pubblici.

(79) La tutela dei diritti e delle libertà degli interessati, nonché della responsabilità degli operatori e delle persone da questi autorizzate, anche in termini di controllo da parte delle autorità di controllo e delle misure da queste adottate, richiede una chiara attribuzione delle responsabilità ai sensi del presente regolamento, anche se un operatore stabilisce le finalità e i mezzi del trattamento insieme ad altri operatori o se un'operazione di trattamento viene effettuata per conto di un operatore.

(80) Quando un operatore o una persona autorizzata dall'operatore che non è stabilito nell'Unione tratta dati personali di interessati situati nel territorio dell'Unione, e

le sue attività di trattamento sono legate alla fornitura di beni o servizi a tali interessati nell'Unione, indipendentemente dal fatto che un pagamento sia richiesto o meno dall'interessato, ovvero al monitoraggio del comportamento degli interessati se avviene all'interno dell'Unione , l'operatore o la persona autorizzata dall'operatore deve nominare un rappresentante, a meno che il trattamento non sia di natura occasionale, non comprenda il trattamento su larga scala di categorie particolari di dati personali, né il trattamento di dati relativi a condanne penali e reati , ed è improbabile che possa comportare un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del contesto, dell'ambito e delle finalità del trattamento, nonché del caso in cui l'operatore sia un'autorità pubblica o un ente pubblico. Il rappresentante dovrebbe agire per conto dell'operatore o della persona autorizzata dall'operatore, potendo essere contattato da qualsiasi autorità di controllo. Il rappresentante dovrebbe essere esplicitamente designato, mediante mandato scritto dell'operatore o della persona autorizzata dall'operatore, ad agire per suo conto per quanto riguarda gli obblighi previsti dal presente regolamento. La nomina di tale rappresentante non pregiudica la responsabilità o l'obbligo dell'operatore o della persona autorizzata dall'operatore ai sensi del presente regolamento. Tale rappresentante dovrebbe svolgere le proprie funzioni in conformità al mandato ricevuto dall'operatore o dalla persona autorizzata dall'operatore, inclusa la collaborazione con le autorità di controllo competenti per quanto riguarda qualsiasi azione intrapresa per garantire il rispetto del presente regolamento. Il rappresentante designato dovrebbe essere soggetto a procedure atte a garantire il rispetto della legge in caso di mancato rispetto del presente regolamento da parte dell'operatore o della persona autorizzata dall'operatore.

(81) Al fine di garantire il rispetto dei requisiti imposti dal presente regolamento in merito al trattamento che deve essere effettuato per conto dell'operatore dalla persona autorizzata dall'operatore, quando si affidano le attività di trattamento a una persona autorizzata dall'operatore, quest'ultimo dovrebbero avvalersi solo di persone autorizzate che offrano garanzie sufficienti, soprattutto in termini di conoscenze specialistiche, affidabilità e risorse, per attuare misure tecniche e organizzative che soddisfino i requisiti imposti dal presente regolamento, anche per la sicurezza del trattamento. L'adesione da parte della persona autorizzata dall'operatore ad un codice di condotta approvato o ad un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi dell'operatore. Lo svolgimento del trattamento da parte di una persona autorizzata da un operatore dovrebbe essere regolato da un contratto o da un altro tipo di atto giuridico, basato sul diritto dell'Unione o nazionale, che crea obblighi per la persona autorizzata dall'operatore nei confronti dell'operatore e che stabilisce l'oggetto e la durata del trattamento, la natura e le finalità del trattamento, la tipologia dei dati personali e le categorie di persone interessate, e dovrebbe tenere conto dei compiti e delle responsabilità specifici della persona autorizzata dall'operatore nel contesto del trattamento da effettuare, nonché il rischio per i diritti e le libertà dell'interessato. L'operatore e la persona autorizzata dall'operatore possono scegliere di utilizzare un contratto individuale o clausole contrattuali tipo adottate direttamente dalla Commissione o da un'autorità di controllo in conformità con il meccanismo di coerenza e poi adottate dalla Commissione. Dopo aver completato il trattamento per conto dell'operatore, la persona autorizzata dall'operatore dovrebbe restituire o cancellare, a seconda della scelta dell'operatore, i dati personali, a meno che non vi sia l'obbligo di conservare i dati personali ai sensi del diritto dell'Unione o del diritto interno che stabilisce obblighi per la persona autorizzata dall'operatore.

(82) Al fine di dimostrare il rispetto del presente regolamento, l'operatore o la persona autorizzata dall'operatore dovrebbe tenere un registro delle attività di trattamento sotto la sua responsabilità. Ciascun operatore e ciascuna persona autorizzata dall'operatore dovrebbe avere l'obbligo di collaborare con l'autorità di controllo e di mettere a sua disposizione, su richiesta, tali registrazioni, affinché possano essere utilizzate ai fini del monitoraggio delle rispettive operazioni di trattamento. (83) Al fine di mantenere la sicurezza e prevenire trattamenti che violano il presente regolamento, l'operatore o la persona autorizzata dall'operatore dovrebbe valutare i rischi inerenti al trattamento e attuare misure per attenuare tali rischi, come la crittografia. Tali misure dovrebbero garantire un livello adeguato di sicurezza, compresa la riservatezza, tenendo conto dell'attuale stato di sviluppo e dei costi di attuazione in relazione ai rischi e alla natura dei dati con

carattere personale la cui tutela deve essere assicurata. Nel valutare il rischio per la sicurezza dei dati personali, occorre prestare attenzione ai rischi posti dal trattamento dei dati, quali distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato ai dati personali trasmessi, archiviati o trattati in altro modo, accidentalmente o illegalmente, il che può comportare in particolare danni fisici, materiali o morali.

(84) Al fine di promuovere il rispetto delle disposizioni del presente regolamento nei casi in cui le operazioni di trattamento potrebbero comportare un rischio elevato per i diritti e le libertà delle persone fisiche, l'operatore dovrebbe essere responsabile di effettuare una valutazione d'impatto sulla protezione dei dati, che stima, in particolare, l’origine, la natura, la specificità e la gravità di tale rischio. Il risultato della valutazione dovrebbe essere preso in considerazione al momento di determinare le misure adeguate da adottare per dimostrare che il trattamento dei dati personali è conforme al presente regolamento. Se dalla valutazione dell’impatto sulla protezione dei dati emerge che le operazioni di trattamento comportano un rischio elevato che l’operatore non può mitigare con misure adeguate in termini di tecnologia disponibile e costi di attuazione, prima del trattamento dovrebbe aver luogo una consultazione con l’autorità per la protezione dei dati .

(85) Se non viene risolta in tempo e in modo adeguato, una violazione della sicurezza dei dati personali può comportare danni fisici, materiali o morali alle persone fisiche, quali la perdita di controllo sui propri dati personali o la limitazione dei propri diritti, discriminazione, furto o frode d'identità, perdita finanziaria, revoca non autorizzata della pseudonimizzazione, compromissione della reputazione, perdita della riservatezza dei dati personali protetti dal segreto professionale o qualsiasi altro svantaggio significativo di natura economica o sociale per la persona fisica in questione. Pertanto, non appena viene a conoscenza del verificarsi di una violazione della sicurezza dei dati personali, l’operatore dovrebbe notificare tale violazione all’autorità di controllo, senza indebito ritardo e, se possibile, entro e non oltre 72 ore dalla presa di conoscenza della sua esistenza, salvo che l’operatore sia in grado di dimostrare, nel rispetto del principio di responsabilità, che la violazione della sicurezza dei dati personali non è idonea a generare un rischio per i diritti e le libertà delle persone fisiche. Quando la notifica non può essere effettuata entro 72 ore, dovrebbe includere i motivi del ritardo e le informazioni possono essere fornite gradualmente, senza ulteriori ritardi.

(86) L'operatore dovrebbe comunicare all'interessato una violazione della sicurezza dei dati personali, senza indebito ritardo, quando la violazione può comportare un rischio elevato per i diritti e le libertà della persona fisica, per consentirgli di prendere il controllo precauzioni necessarie. La comunicazione dovrebbe descrivere la natura della violazione della sicurezza dei dati personali e includere raccomandazioni per la persona fisica in questione al fine di mitigare eventuali effetti negativi. Le comunicazioni agli interessati dovrebbero essere effettuate non appena ragionevolmente possibile e in stretta collaborazione con l'autorità di controllo, rispettando le linee guida fornite da questa o da altre autorità competenti, quali le autorità di contrasto. Ad esempio, la necessità di mitigare un rischio immediato di danno richiederebbe una comunicazione tempestiva agli interessati, mentre la necessità di attuare misure adeguate contro ulteriori violazioni della sicurezza dei dati personali o violazioni simili della sicurezza dei dati personali potrebbe giustificare un termine più lungo per la comunicazione. (87) È opportuno stabilire se siano state attuate tutte le misure tecnologiche di protezione e organizzative adeguate al fine di accertare immediatamente se si è verificata una violazione della sicurezza dei dati personali e di informare tempestivamente l'autorità di controllo e la persona interessata. Il fatto che la notifica sia stata effettuata senza indebito ritardo dovrebbe essere accertato tenendo conto, in particolare, della natura e della gravità della violazione della sicurezza dei dati personali, nonché delle sue conseguenze e degli effetti negativi sull'interessato. Tale notifica potrà dar luogo ad un intervento dell'autorità di controllo, nel rispetto dei compiti e dei poteri specificati nel presente regolamento.

(88) Nello stabilire norme dettagliate riguardanti il ​​formato e le procedure applicabili alla notifica relativa alle violazioni della sicurezza dei dati personali, si dovrebbe prestare la dovuta attenzione alle circostanze in cui si è verificata la violazione, compreso stabilire se la protezione dei dati personali è

personale fosse o non fosse assicurato da adeguate misure tecniche di protezione, che limiterebbero effettivamente la probabilità di frodi d'identità o altre forme di uso abusivo. Inoltre, tali norme e procedure dovrebbero tenere conto dei legittimi interessi delle autorità di contrasto nei casi in cui una divulgazione anticipata potrebbe complicare inutilmente le indagini sulle circostanze in cui si è verificata una violazione dei dati personali.

(89) La direttiva 95/46/CE prevedeva un obbligo generale di notificare il trattamento dei dati personali alle autorità di controllo. Sebbene il rispettivo obbligo generi oneri amministrativi e finanziari, non sempre ha contribuito al miglioramento della protezione dei dati personali. Pertanto, tali obblighi generali indifferenziati di notifica dovrebbero essere abrogati e sostituiti con procedure e meccanismi efficaci che si concentrino invece su quei tipi di operazioni di trattamento che potrebbero generare un rischio elevato per i diritti e le libertà delle persone fisiche per la loro stessa natura, per la loro portata, per dal loro contesto e dai loro obiettivi. Tali tipi di trattamenti possono essere quelli che presuppongono, in particolare, l'uso di nuove tecnologie o che rappresentano un nuovo tipo di operazioni, per le quali non è stata precedentemente effettuata alcuna valutazione d'impatto sulla protezione dei dati da parte dell'operatore o che si rendono necessarie alla data periodo di tempo trascorso dalla prima elaborazione.

(90) In tali casi, l'operatore dovrebbe effettuare, prima del trattamento, una valutazione dell'impatto sulla protezione dei dati, al fine di valutare il grado specifico di probabilità del verificarsi del rischio elevato e la sua gravità, considerando la natura, la portata , il contesto e le finalità del trattamento, nonché le fonti di rischio. La rispettiva valutazione d'impatto dovrebbe includere, in particolare, le misure, le garanzie e i meccanismi considerati per mitigare il rispettivo rischio, garantire la protezione dei dati personali e dimostrare il rispetto del presente regolamento.

(91) Ciò dovrebbe applicarsi, in particolare, alle operazioni di trattamento su larga scala, che mirano a trattare un volume considerevole di dati personali a livello regionale, nazionale o sovranazionale, che potrebbero interessare un gran numero di persone interessate e che potrebbero generano un rischio elevato, ad esempio, a causa della loro sensibilità, se, in conformità con il livello di conoscenza tecnologica raggiunto, una nuova tecnologia viene utilizzata su larga scala, così come altre operazioni di trattamento che generano un rischio elevato per i diritti e libertà degli interessati, soprattutto se le rispettive operazioni limitano la capacità degli interessati di esercitare i propri diritti. Una valutazione dell’impatto sulla protezione dei dati dovrebbe essere effettuata anche nelle situazioni in cui i dati personali sono trattati al fine di prendere decisioni nei confronti di determinate persone fisiche a seguito di una valutazione sistematica e globale degli aspetti personali relativi alle persone fisiche, sulla base della creazione di profili relativi ai rispettivi dati, ovvero a seguito di trattamento di categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati o relative misure di sicurezza. Una valutazione dell’impatto sulla protezione dei dati è altrettanto necessaria per il monitoraggio su larga scala delle aree accessibili al pubblico, soprattutto nel caso dell’uso di dispositivi optoelettronici o per qualsiasi altra operazione per la quale l’autorità di controllo competente ritiene probabile il trattamento comportare un rischio elevato per i diritti e le libertà degli interessati, in particolare perché impediscono agli interessati di esercitare un diritto o di usufruire di un servizio o di un contratto, o perché sono effettuati sistematicamente su larga scala. Il trattamento dei dati personali non dovrebbe essere considerato su larga scala se si riferisce a dati personali di pazienti o clienti da parte di un particolare medico, altro operatore sanitario o avvocato. In questi casi, una valutazione d’impatto sulla protezione dei dati non dovrebbe essere obbligatoria.

(92) In alcune circostanze potrebbe essere ragionevole ed economicamente utile che una valutazione d'impatto sulla protezione dei dati abbia una prospettiva più ampia rispetto a quella di un singolo progetto, ad esempio quando le autorità o gli enti pubblici intendono istituire un'applicazione comune o una piattaforma di trattamento o nel caso più operatori intendono introdurre un'applicazione comune o un ambiente di elaborazione comune all'interno di un settore o segmento industriale o per un'attività orizzontale utilizzata su larga scala.

(93) Nel contesto dell'adozione della legislazione nazionale su cui si basa l'adempimento dei compiti dell'autorità pubblica o dell'organismo pubblico e che regola l'operazione o l'insieme dei trattamenti in questione, gli Stati membri possono ritenere necessario effettuare tale valutazione prima di effettuare le attività di trattamento.

(94) Se da una valutazione d'impatto sulla protezione dei dati emerge che il trattamento genererebbe, in assenza di garanzie, misure di sicurezza e meccanismi di attenuazione del rischio, un rischio elevato per i diritti e le libertà delle persone fisiche e l'operatore ritiene che il rischio non non può essere mitigato con mezzi ragionevoli in termini di tecnologie disponibili e costi di attuazione, l’autorità di controllo dovrebbe essere consultata prima di iniziare le attività di trattamento. È probabile che un rischio così elevato sia generato da determinati tipi di trattamento, nonché dalla portata e dalla frequenza del trattamento, che possono anche causare danni o pregiudicare i diritti e le libertà delle persone fisiche. L'autorità di controllo dovrebbe rispondere alla richiesta di consultazione entro un certo termine. Tuttavia, la mancata risposta da parte dell'autorità di controllo entro il rispettivo termine non dovrebbe pregiudicare l'eventuale intervento dell'autorità di controllo in conformità con i suoi compiti e poteri previsti dal presente regolamento, compreso il potere di vietare operazioni di trattamento. Nell’ambito di tale processo di consultazione, il risultato di una valutazione d’impatto sulla protezione dei dati effettuata in relazione al trattamento in questione potrà essere trasmesso all’autorità di controllo, in particolare le misure previste per attenuare il rischio per i diritti e le libertà delle persone fisiche.

(95) La persona autorizzata dall'operatore dovrebbe assistere l'operatore, se necessario e su richiesta, nel garantire il rispetto degli obblighi derivanti dallo svolgimento di valutazioni d'impatto sulla protezione dei dati e dalla previa consultazione dell'autorità di controllo.
(96) Durante l'elaborazione di un provvedimento legislativo o regolamentare che prevede il trattamento di dati personali, dovrebbe aver luogo anche la consultazione dell'autorità di controllo, per garantire la conformità del trattamento considerato con il presente regolamento e, in particolare, per mitigare il rischio al quale è esposto l’interessato.

(97) Se il trattamento è effettuato da un'autorità pubblica, ad eccezione di tribunali o autorità giudiziarie indipendenti quando agiscono in veste giudiziaria, se, nel settore privato, il trattamento è effettuato da un operatore la cui attività principale consiste nel operazioni di trattamento che richiedono un monitoraggio regolare e sistematico delle persone interessate su larga scala, o se l'attività principale dell'operatore o della persona autorizzata dall'operatore consiste nel trattamento su larga scala di categorie particolari di dati personali e dati di natura penale condanne e reati, una persona con conoscenze specialistiche della legislazione e delle pratiche in materia di protezione dei dati dovrebbe assistere l'operatore o la persona autorizzata dall'operatore a monitorare il rispetto interno del presente regolamento. Nel settore privato, le attività principali di un operatore si riferiscono alle sue attività core, e non al trattamento dei dati personali come attività accessorie. Il livello necessario di conoscenze specialistiche dovrebbe essere stabilito in particolare in funzione delle operazioni di trattamento dei dati effettuate e del livello di protezione richiesto per i dati personali trattati dall'operatore o dalla persona autorizzata dall'operatore. Questi responsabili della protezione dei dati, indipendentemente dal fatto che siano o meno dipendenti dell'operatore, dovrebbero essere in grado di svolgere i propri compiti e compiti in modo indipendente.

(98) Le associazioni o altri organismi che rappresentano categorie di operatori o persone autorizzate dagli operatori dovrebbero essere incoraggiati a elaborare codici di condotta, entro i limiti del presente regolamento, in modo da facilitare l'efficace applicazione del presente regolamento, tenendo conto delle caratteristiche specifiche di dei trattamenti effettuati in determinati settori e delle esigenze specifiche delle microimprese e delle piccole e medie imprese. In particolare, tali codici di condotta potrebbero adeguare gli obblighi degli operatori e delle persone autorizzate dagli operatori, tenendo conto del rischio connesso al trattamento che potrebbe generarsi per i diritti e le libertà delle persone fisiche.

(99) Quando redigono un codice di condotta o quando modificano o ampliano tale codice, le associazioni e gli altri enti che rappresentano categorie di operatori o persone autorizzate dalla

gli operatori dovrebbero consultare le parti interessate, compresi gli interessati, se possibile, e tenere conto dei contributi presentati e delle opinioni espresse in tali consultazioni. (100) Al fine di migliorare la trasparenza e il rispetto del presente regolamento, dovrebbe essere incoraggiata l'istituzione di meccanismi di certificazione nonché di sigilli e marchi di protezione dei dati, che consentano agli interessati di valutare rapidamente il livello di protezione dei dati relativi ai prodotti e servizi pertinenti.

(101) I flussi di dati personali da e verso paesi situati al di fuori dell'Unione e organizzazioni internazionali sono necessari per lo sviluppo del commercio internazionale e della cooperazione internazionale. La crescita di questi flussi ha generato nuove sfide e preoccupazioni riguardo alla protezione dei dati personali. Tuttavia, se i dati personali sono trasferiti dall’Unione a operatori, persone autorizzate da operatori o altri destinatari di paesi terzi o organizzazioni internazionali, il livello di protezione delle persone fisiche assicurato nell’Unione dal presente regolamento non dovrebbe essere ridotto, anche nei casi di successivi trasferimenti di dati personali dal paese terzo o organizzazione internazionale ad operatori, persone autorizzate da operatori dello stesso o da altro paese terzo o organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali potranno essere effettuati solo nel pieno rispetto di tale normativa. Un trasferimento potrebbe avvenire solo se, fatto salvo il rispetto delle altre disposizioni del presente regolamento, l'operatore o la persona autorizzata dall'operatore soddisfa le condizioni previste dalle disposizioni del presente regolamento relative al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali .

(102) Il presente regolamento non pregiudica gli accordi internazionali conclusi tra l'Unione e i paesi terzi per disciplinare il trasferimento di dati personali, comprese garanzie adeguate per le persone interessate. Gli Stati membri possono concludere accordi internazionali che comportano il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, nella misura in cui tali accordi non pregiudicano il presente regolamento o altre disposizioni del diritto dell'Unione e prevedono un livello adeguato di protezione dei diritti fondamentali delle persone interessate.

(103) La Commissione può decidere, con effetto in tutta l'Unione, che un paese terzo, un territorio o un determinato settore di un paese terzo o un'organizzazione internazionale offre un livello adeguato di protezione dei dati, garantendo così la certezza del diritto e l'uniformità nell'Unione in relazione al paese terzo o all'organizzazione internazionale che si ritiene fornisca tale livello di protezione. In questi casi, i trasferimenti di dati personali verso il rispettivo paese terzo o organizzazione internazionale possono avvenire senza la necessità di ottenere ulteriori autorizzazioni. Inoltre, la Commissione può decidere, dopo aver inviato una notifica e una motivazione completa al paese terzo o all'organizzazione internazionale, di annullare tale decisione.

(104) Conformemente ai valori fondamentali su cui si fonda l'Unione, in particolare la tutela dei diritti umani, la Commissione, nella sua valutazione del paese terzo o di un territorio o settore specifico di un paese terzo, dovrebbe prendere in considerazione tenere conto di come rispetta lo stato di diritto, l’accesso alla giustizia, nonché le norme e gli standard internazionali sui diritti umani e la sua legislazione generale e settoriale, compresa la legislazione in materia di pubblica sicurezza, difesa e sicurezza nazionale, nonché l’ordine pubblico e il diritto penale. Prendere una decisione sull'adeguatezza del livello di protezione per un territorio o settore specifico in un paese terzo dovrebbe tenere conto di criteri chiari e oggettivi, come le attività di trattamento specifiche e la portata delle norme giuridiche applicabili e della legislazione in vigore nei rispettivi paesi. paese terzo. Il Paese terzo dovrebbe offrire garanzie che assicurino un livello di protezione adeguato, sostanzialmente equivalente a quello previsto all’interno dell’Unione, soprattutto quando i dati personali sono trattati in uno o più settori specifici. In particolare, il paese terzo dovrebbe garantire un efficace controllo indipendente della protezione dei dati e fornire meccanismi di cooperazione con le autorità di protezione dei dati degli Stati membri, e gli interessati dovrebbero beneficiare di diritti effettivi e applicabili e di mezzi di ricorso efficaci sul piano amministrativo e giudiziario.

(105) Oltre agli impegni internazionali assunti dal paese terzo o dall'organizzazione internazionale, la Commissione dovrebbe tenere conto degli obblighi derivanti dalla partecipazione del paese terzo o dell'organizzazione internazionale a sistemi multilaterali o regionali, in particolare per quanto riguarda la protezione dei dati con

carattere personale, nonché l’attuazione di tali obblighi. In particolare, si dovrebbe tener conto dell'adesione del Paese terzo alla Convenzione del Consiglio d'Europa del 28 gennaio 1981 sulla protezione delle persone rispetto al trattamento automatizzato dei dati personali e al protocollo aggiuntivo. La Commissione dovrebbe consultare il comitato nel valutare il livello di protezione nei paesi terzi o nelle organizzazioni internazionali.

(106) La Commissione dovrebbe monitorare il funzionamento delle decisioni relative al livello di protezione in un paese terzo o in un territorio o un settore specifico in un paese terzo o in un'organizzazione internazionale e monitorare il funzionamento delle decisioni adottate ai sensi dell'articolo 25, paragrafo 6. ) o dell'articolo 26, paragrafo 4, della direttiva 95/46/CE. Nelle sue decisioni riguardanti l'adeguatezza del livello di protezione, la Commissione dovrebbe prevedere un meccanismo di revisione periodica del loro funzionamento. Tale revisione periodica dovrebbe essere effettuata in consultazione con il paese terzo o l'organizzazione internazionale interessata e dovrebbe tenere conto di tutti gli sviluppi pertinenti nel paese terzo o nell'organizzazione internazionale. Ai fini del monitoraggio e dello svolgimento di revisioni periodiche, la Commissione dovrebbe tenere conto dei pareri e dei risultati del Parlamento europeo e del Consiglio, nonché di altri organismi e fonti pertinenti. La Commissione dovrebbe valutare, entro un termine ragionevole, il funzionamento delle decisioni del passato e riferire al comitato tutti i risultati rilevanti, ai sensi del regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (1), come stabilito dal presente regolamento, del Parlamento europeo e del Consiglio.

(1) Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi ai meccanismi di controllo da parte degli Stati membri sull'esercizio dei poteri di esecuzione da parte della Commissione (GU L 55 del 28.2.2011, pag. 13 ).
(107) La Commissione può riconoscere che un paese terzo, un territorio o un settore specifico di un paese terzo o un'organizzazione internazionale non garantiscono più un livello adeguato di protezione dei dati. Di conseguenza, il trasferimento di dati personali verso il paese terzo o l’organizzazione internazionale interessata dovrebbe essere vietato, a meno che i requisiti stabiliti nel presente regolamento relativi ai trasferimenti non siano soddisfatti con garanzie adeguate, comprese norme aziendali obbligatorie e deroghe a situazioni specifiche. In tal caso è opportuno prevedere consultazioni tra la Commissione e tali paesi terzi o organizzazioni internazionali. La Commissione dovrebbe, in tempo utile, informare il paese terzo o l'organizzazione internazionale di tali motivi e avviare consultazioni con esso per porre rimedio alla situazione.

(108) In assenza di una decisione sull'adeguatezza del livello di protezione, l'operatore o la persona autorizzata dall'operatore dovrebbe adottare misure per compensare la mancanza di protezione dei dati in un paese terzo mediante garanzie adeguate per i dati soggetto. Tali garanzie adeguate possono consistere nel ricorso a norme aziendali obbligatorie, clausole tipo sulla protezione dei dati adottate dalla Commissione, clausole tipo sulla protezione dei dati adottate da un'autorità di controllo o clausole contrattuali autorizzate da un'autorità di controllo. Tali garanzie dovrebbero garantire il rispetto dei requisiti in materia di protezione dei dati e dei diritti degli interessati corrispondenti al trattamento all’interno dell’Unione, compresa la disponibilità di diritti opponibili degli interessati e di mezzi di ricorso effettivi, compreso il diritto di accesso a risarcimenti effettivi in ​​via amministrativa o giudiziaria e il diritto di chiedere un risarcimento, nell'Unione o in un paese terzo. Queste dovrebbero riguardare in particolare il rispetto dei principi generali relativi al trattamento dei dati personali: il principio della protezione dei dati a partire dal momento del concepimento e il principio della protezione implicita dei dati. I trasferimenti possono essere effettuati anche da autorità o enti pubblici presso autorità o enti pubblici di paesi terzi o presso organizzazioni internazionali aventi poteri e funzioni corrispondenti, anche sulla base di disposizioni che prevedono diritti opponibili ed effettivi in ​​capo agli interessati, che devono essere introdotti negli accordi amministrativi, come un memorandum d'intesa. Quando vengono offerte garanzie nell'ambito di accordi amministrativi non giuridicamente vincolanti occorre ottenere l'autorizzazione dell'autorità di vigilanza competente.

(109) La possibilità per l'operatore o la persona autorizzata dall'operatore di utilizzare clausole tipo in materia di protezione dei dati, adottate dalla Commissione o da un'autorità di controllo, non dovrebbe impedire agli operatori o alle persone da loro autorizzate di includere le clausole standard clausole in materia

della protezione dei dati in un contratto più ampio, come un contratto tra la persona autorizzata dall'operatore e un'altra persona autorizzata dall'operatore, né aggiungere altre clausole o garanzie aggiuntive, purché non contravvengano, direttamente o indirettamente, alle norme contrattuali clausole standard adottate dalla Commissione o da un'autorità di controllo o non pregiudica i diritti o le libertà fondamentali delle persone interessate. Gli operatori e le persone autorizzate dagli operatori dovrebbero essere incoraggiati a offrire garanzie aggiuntive attraverso impegni contrattuali che integrino le clausole tipo di protezione.

(110) Un gruppo di imprese o un gruppo di imprese coinvolti in un'attività economica comune dovrebbe poter utilizzare le norme societarie obbligatorie approvate per i suoi trasferimenti internazionali dall'Unione a organizzazioni appartenenti allo stesso gruppo di imprese o gruppo di imprese partecipanti in un'attività economica comune. attività economica comune, a condizione che tali norme societarie comprendano tutti i principi essenziali e i diritti opponibili al fine di garantire garanzie adeguate per i trasferimenti o le categorie di trasferimenti di dati personali.

(111) È opportuno prevedere la possibilità di effettuare trasferimenti in determinate circostanze in cui l'interessato ha dato il suo consenso esplicito, quando il trasferimento è occasionale e necessario in relazione a un contratto o ad un'azione legale, indipendentemente dal fatto che sia nell'ambito nell’ambito di un procedimento giudiziario ovvero nell’ambito di un procedimento amministrativo o stragiudiziale, anche nell’ambito delle procedure sottoposte agli organi di regolamentazione. Inoltre, dovrebbe essere prevista la possibilità di effettuare trasferimenti se importanti motivi di interesse pubblico stabiliti dal diritto dell'Unione o dal diritto nazionale lo richiedono o se il trasferimento è effettuato da un registro istituito dalla legge e destinato alla consultazione del pubblico o da soggetti che abbiano un legittimo interesse. In quest'ultimo caso, tale trasferimento non dovrebbe riguardare la totalità dei dati personali o tutte le categorie di dati contenuti nel registro, e quando il registro è destinato ad essere consultato da persone che hanno un legittimo interesse, il trasferimento dovrebbe essere effettuato solo su richiesta dei rispettivi soggetti o qualora questi ne siano i destinatari, tenendo pienamente conto degli interessi e dei diritti fondamentali dell'interessato.

(112) Tali esenzioni dovrebbero applicarsi, in particolare, ai trasferimenti di dati richiesti e necessari per importanti motivi di interesse pubblico, ad esempio nel caso di scambio internazionale di dati tra autorità garanti della concorrenza, amministrazioni fiscali o doganali, tra autorità di controllo finanziario, tra autorità competenti servizi in termini di previdenza sociale o sanità pubblica, ad esempio nel caso di individuazione di punti di contatto per malattie contagiose o per la riduzione e/o eliminazione del doping nello sport. Un trasferimento di dati personali dovrebbe essere considerato lecito anche se è necessario al fine di tutelare un interesse essenziale per gli interessi vitali dell'interessato o di un'altra persona, compresi l'integrità fisica o la vita della stessa, nel caso in cui l'interessato non ha la capacità di prestare il proprio consenso. In assenza di una decisione sull’adeguatezza del livello di protezione, il diritto dell’Unione o il diritto interno possono, per importanti motivi di interesse pubblico, stabilire espressamente limiti al trasferimento di specifiche categorie di dati verso un paese terzo o un’organizzazione internazionale. Gli Stati membri dovrebbero notificare tali disposizioni alla Commissione. Qualsiasi trasferimento a un'organizzazione umanitaria internazionale dei dati personali di una persona interessata che non è fisicamente o legalmente in grado di dare il proprio consenso, al fine di adempiere a un compito derivante dalle Convenzioni di Ginevra o al fine di rispettare il diritto internazionale umanitario applicabile nei conflitti armati, potrebbe essere considerato necessario per un importante motivo di interesse pubblico o perché è nell'interesse vitale dell'interessato.

(113) I trasferimenti che possono essere considerati non ripetitivi e che si riferiscono solo a un numero limitato di interessati, potrebbero essere effettuati anche per conseguire gli interessi legittimi perseguiti dall'operatore, quando tali interessi non prevalgono o i diritti e delle libertà dell'interessato e quando il gestore ha valutato tutte le circostanze relative al trasferimento dei dati. L'operatore dovrebbe prestare particolare attenzione alla natura dei dati personali, allo scopo e alla durata dell'operazione o delle operazioni di trattamento proposte, nonché alla situazione nel paese di origine, nel paese terzo e nel paese di destinazione finale e dovrebbe fornire adeguate garanzie per la tutela dei diritti e delle libertà fondamentali delle persone fisiche in quanto

riguardo al trattamento dei propri dati personali. Tali trasferimenti dovrebbero essere possibili solo in casi residui in cui non può essere applicato nessuno degli altri motivi del trasferimento. Per quanto riguarda gli scopi della ricerca scientifica o storica o i fini statistici, si dovrebbe tener conto delle legittime aspettative della società riguardo all’aumento del livello di conoscenza. L’operatore dovrebbe informare l’autorità di controllo e l’interessato del trasferimento.

(114) In ogni caso, quando la Commissione non ha adottato una decisione sul livello adeguato di protezione dei dati in un paese terzo, l'operatore o la persona autorizzata dall'operatore dovrebbe utilizzare soluzioni che offrano agli interessati diritti opponibili ed effettivi in ​​merito alla trattamento dei loro dati nell'Unione una volta trasferiti, in modo che le persone interessate continuino a beneficiare dei diritti e delle garanzie fondamentali.

(115) Alcuni paesi terzi hanno adottato leggi, regolamenti e altri atti giuridici il cui obiettivo è disciplinare direttamente le attività di trattamento dei dati delle persone fisiche e giuridiche sotto la giurisdizione degli Stati membri. Ciò può includere ordinanze di tribunali o decisioni di autorità amministrative di paesi terzi che richiedono a un operatore o a una persona autorizzata dall'operatore di trasferire o divulgare dati personali e che non si basano su un accordo internazionale, come un trattato di mutua assistenza giudiziaria, in vigore tra il Paese terzo richiedente e l’Unione o uno Stato membro. L'applicazione extraterritoriale di tali leggi, regolamenti e altri atti giuridici può violare il diritto internazionale e impedire la protezione delle persone fisiche assicurata nell'Unione dal presente regolamento. I trasferimenti dovrebbero essere consentiti solo se sono soddisfatte le condizioni previste dal presente regolamento per un trasferimento verso paesi terzi. Ciò potrebbe verificarsi, tra l'altro, quando la divulgazione è necessaria per un importante motivo di interesse pubblico riconosciuto dal diritto dell'Unione o dal diritto interno applicabile all'operatore.

(116) Il flusso transfrontaliero di dati personali al di fuori dell'Unione può esporre a un rischio maggiore la capacità delle persone fisiche di esercitare i propri diritti in materia di protezione dei dati, in particolare per garantire la protezione contro l'uso o la divulgazione illegali di tali informazioni. Allo stesso tempo, le autorità di controllo potrebbero trovarsi nell’impossibilità di gestire reclami o svolgere indagini riguardanti le attività svolte al di fuori dei loro confini. I loro sforzi di cooperare in un contesto transfrontaliero possono anche essere ostacolati dall’insufficienza dei poteri preventivi o correttivi, dal carattere eterogeneo dei regimi giuridici e dall’esistenza di ostacoli pratici, come i limiti delle risorse. È quindi necessario promuovere una più stretta cooperazione tra le autorità di controllo della protezione dei dati per poter scambiare informazioni e svolgere indagini insieme alle loro controparti internazionali. Al fine di sviluppare meccanismi di cooperazione internazionale volti a facilitare e fornire assistenza reciproca a livello internazionale nel garantire l'applicazione della legislazione nel campo della protezione dei dati personali, la Commissione e le autorità di controllo dovrebbero scambiarsi informazioni e cooperare nelle attività relative all'esercizio delle loro competenze con le autorità competenti autorità di paesi terzi, su base di reciprocità e conformemente al presente regolamento.

(117) L'istituzione negli Stati membri di autorità di controllo, abilitate a svolgere i propri compiti ed esercitare i propri poteri in completa indipendenza, costituisce un elemento essenziale della protezione delle persone fisiche con riguardo al trattamento dei loro dati personali. Gli Stati membri dovrebbero poter istituire diverse autorità di vigilanza, per rispecchiare la loro struttura costituzionale, organizzativa e amministrativa.

(118) L'indipendenza delle autorità di controllo non dovrebbe significare che le autorità di controllo non possano essere soggette a meccanismi di controllo o monitoraggio delle loro spese o a un controllo giurisdizionale.
(119) Se uno Stato membro istituisce diverse autorità di vigilanza, dovrebbe stabilire per legge meccanismi per garantire l'effettiva partecipazione delle rispettive autorità di vigilanza al meccanismo volto a garantire la coerenza. Il rispettivo Stato membro dovrebbe, in particolare, designare l'autorità di controllo che svolge la funzione di punto di contatto unico per l'effettiva partecipazione di tali autorità al meccanismo, al fine di garantire una cooperazione rapida e armoniosa con le altre autorità di controllo, con il comitato e con la Commissione.

(120) Ciascuna autorità di controllo dovrebbe beneficiare delle risorse finanziarie e umane, dei locali e delle infrastrutture necessarie per l'efficace svolgimento dei propri compiti, compresi quelli relativi all'assistenza reciproca e alla cooperazione con altre autorità di controllo in tutta l'Unione. Ciascuna autorità di vigilanza dovrebbe disporre di un bilancio pubblico annuale separato, che può far parte del bilancio statale generale o nazionale.

(121) Le condizioni generali per il membro o i membri dell'autorità di controllo dovrebbero essere stabilite dalla legge in ciascuno Stato membro e dovrebbero, in particolare, prevedere che i rispettivi membri siano nominati attraverso una procedura trasparente da parte del parlamento, del governo o dell'autorità di controllo. capo di Stato dello Stato membro su proposta del governo, di un membro del governo, del parlamento o di una camera del parlamento, o da un organismo indipendente abilitato dalla legge nazionale. Al fine di garantire l'indipendenza dell'autorità di controllo, il suo membro o i suoi membri dovrebbero agire con integrità, non intraprendere azioni incompatibili con le loro funzioni e, durante il mandato, non dovrebbero svolgere attività incompatibili, retribuite o meno. L'autorità di controllo dovrebbe disporre di un proprio personale, scelto dall'autorità di controllo o da un organismo indipendente istituito ai sensi del diritto interno, che dovrebbe essere subordinato esclusivamente al membro o ai membri dell'autorità di controllo.

(122) Ciascuna autorità di controllo dovrebbe avere, nel territorio dello Stato membro a cui appartiene, il potere di esercitare i poteri e di adempiere ai compiti di cui è investita ai sensi del presente regolamento.
Ciò dovrebbe includere in particolare il trattamento nell'ambito delle attività della sede dell'operatore o della persona autorizzata dall'operatore nel territorio del proprio Stato membro, il trattamento dei dati personali effettuato da autorità pubbliche o organismi privati ​​che agiscono in l'interesse pubblico, il trattamento che riguarda interessati dal suo territorio o il trattamento effettuato da un operatore o da una persona autorizzata dall'operatore che non ha sede nell'Unione se si tratta di interessati che hanno la residenza nel suo territorio. Ciò dovrebbe includere la gestione dei reclami presentati da un interessato, lo svolgimento di indagini sull’applicazione del presente regolamento e la promozione dell’informazione pubblica sui rischi, sulle norme, sulle garanzie e sui diritti nel campo del trattamento dei dati personali.

(123) Le autorità di controllo dovrebbero monitorare l'applicazione delle disposizioni del presente regolamento e contribuire alla sua applicazione coerente in tutta l'Unione, al fine di garantire la protezione delle persone fisiche con riguardo al trattamento dei loro dati personali e agevolare la libera circolazione dei dati personali nel mercato interno. In questo senso, le autorità di controllo dovrebbero cooperare tra loro, nonché con la Commissione, senza la necessità di alcun accordo tra gli Stati membri in merito alla concessione di mutua assistenza o in merito a detta cooperazione.

(124) Se il trattamento dei dati personali ha luogo nell'ambito delle attività dell'ufficio di un operatore o di una persona autorizzata dall'operatore nell'Unione e l'operatore o la persona autorizzata dall'operatore ha uffici in diversi Stati membri, o nel caso in cui il trattamento che ha luogo nell'ambito delle attività di un unico ufficio di un operatore o di una persona autorizzata dall'operatore nell'Unione incide o è idoneo a incidere in modo significativo interessati di più Stati membri, l'autorità di controllo del principale l'ufficio dell'operatore o la persona autorizzata dall'operatore o la sede unica dell'operatore o della persona autorizzata dall'operatore dovrebbero fungere da autorità principale. Dovrebbe cooperare con le altre autorità interessate, perché l'operatore o la persona autorizzata dall'operatore ha un ufficio nel territorio del loro Stato membro, perché le persone interessate che hanno la residenza nel loro territorio sono gravemente colpite o perché sono state denunciate una denuncia. Inoltre, se un interessato che non risiede nel rispettivo Stato membro ha presentato un reclamo, anche l’autorità di controllo a cui è stato presentato il reclamo dovrebbe essere un’autorità di controllo interessata. Nell’ambito dei suoi compiti di fornire orientamenti su qualsiasi questione relativa all’attuazione del presente regolamento, il comitato dovrebbe essere in grado di fornire orientamenti, in particolare, sui criteri da prendere in considerazione per determinare se

il trattamento in questione interessa in modo significativo interessati di più Stati membri e riguarda il contenuto di un'opposizione pertinente e motivata.
(125) L'autorità principale dovrebbe avere il potere di adottare decisioni vincolanti riguardo alle misure per l'applicazione dei poteri ad essa conferiti ai sensi del presente regolamento. Nella sua qualità di autorità principale, l'autorità di controllo dovrebbe coinvolgere e coordinare strettamente le attività delle autorità di controllo interessate nel processo decisionale. Nei casi in cui la decisione consiste nel rigetto parziale o totale del reclamo presentato dall'interessato, tale decisione dovrebbe essere adottata dall'autorità di controllo a cui è stato proposto il reclamo. (126) La decisione dovrebbe essere concordata congiuntamente dall'autorità di controllo principale e dalle autorità di controllo interessate e dovrebbe riguardare la sede principale o la sede unica dell'operatore o la persona autorizzata dall'operatore ed essere vincolante per l'operatore e la persona autorizzata dall'operatore. l'operatore. L'operatore o la persona autorizzata dall'operatore deve adottare le misure necessarie per garantire il rispetto del presente regolamento e l'attuazione della decisione notificata dall'autorità di controllo principale della sede centrale dell'operatore o dalla persona autorizzata dall'operatore per quanto riguarda la attività di trattamento nell’Unione.

(127) Ciascuna autorità di controllo che non agisce come autorità di controllo principale dovrebbe avere la competenza per trattare i casi locali, in cui l'operatore o la persona autorizzata dall'operatore ha uffici in diversi Stati membri, ma l'oggetto del rispettivo trattamento riguarda solo il trattamento effettuato in un unico Stato membro e che coinvolge solo interessati provenienti da quel singolo Stato membro, ad esempio se l'oggetto è il trattamento dei dati personali dei dipendenti nello specifico contesto relativo alla forza lavoro da uno Stato membro. In tali casi, l’autorità di controllo dovrebbe informare della questione senza indugio l’autorità di controllo capofila. Dopo essere stata informata, l'autorità di controllo capofila dovrebbe decidere se trattare il caso essa stessa ai sensi della disposizione sulla cooperazione tra l'autorità di controllo capofila e le altre autorità di controllo interessate (il "meccanismo dello sportello unico"), o se l'autorità di controllo che l'ha informata dovrebbe occuparsi del caso a livello locale. Al momento di decidere se trattare il caso, l'autorità di controllo capofila dovrebbe tenere conto se esiste uno stabilimento del titolare del trattamento o della persona autorizzata dal titolare del trattamento nello Stato membro dell'autorità di controllo che l'ha informata, al fine di garantire l'effettiva conformità con decisioni riguardanti l'operatore o la persona autorizzata dall'operatore. Se l'autorità di controllo principale decide di occuparsi del caso, l'autorità di controllo che l'ha informata dovrebbe avere la possibilità di presentare un progetto di decisione, di cui l'autorità di controllo principale dovrebbe tenere quanto più conto possibile quando prepara il suo progetto di decisione nell’ambito del rispettivo meccanismo di sportello unico.

(128) Le norme relative all'autorità di controllo principale e al meccanismo dello sportello unico non dovrebbero applicarsi se il trattamento è effettuato da autorità pubbliche o organismi privati ​​nell'interesse pubblico. In tali casi, l'unica autorità di controllo competente ad esercitare i poteri ad essa attribuiti ai sensi del presente regolamento dovrebbe essere l'autorità di controllo dello Stato membro in cui ha sede l'autorità pubblica o l'organismo privato.

(129) Al fine di garantire la coerenza del monitoraggio e dell'applicazione del presente regolamento in tutta l'Unione, le autorità di controllo dovrebbero avere gli stessi compiti e poteri effettivi in ​​ciascuno Stato membro, compresi poteri di indagine, poteri correttivi e sanzioni, nonché poteri di autorizzazione poteri e consulenza, soprattutto nel caso di denunce presentate da persone fisiche, nonché, fatti salvi i poteri delle autorità giudiziarie penali basati sul diritto interno, di portare all'attenzione dell'autorità giudiziaria i casi di violazione della presente norma e di essere coinvolto in procedimenti giudiziari. Tali poteri dovrebbero comprendere anche quello di imporre una limitazione temporanea o definitiva, compreso un divieto, al trattamento. Gli Stati membri possono stabilire altri obblighi relativi alla protezione dei dati personali ai sensi del presente regolamento. Le competenze delle autorità di controllo dovrebbero essere esercitate nel rispetto delle adeguate garanzie procedurali previste dal diritto nazionale e dell'Unione, in modo imparziale, equo ed entro un termine ragionevole. In particolare, ciascuna misura dovrebbe essere adeguata, necessaria e proporzionata al fine di

garantire il rispetto delle disposizioni del presente regolamento, tenendo conto delle circostanze di ogni singolo caso, rispettare il diritto di ogni persona di essere ascoltata prima di adottare qualsiasi misura individuale che possa riguardarla ed evitare costi inutili e disagi eccessivi per le persone in domanda . I poteri investigativi riguardanti l'accesso ai locali dovrebbero essere esercitati nel rispetto dei requisiti specifici del diritto procedurale nazionale, come l'obbligo di ottenere la previa autorizzazione giudiziaria. Ogni misura giuridicamente vincolante adottata dall'autorità di controllo deve essere presentata per iscritto, essere chiara e inequivocabile, indicare l'autorità di controllo che ha emesso la misura, la data di emissione della misura, recare la firma del responsabile o di un membro dell'autorità di controllo autorizzato da lui, di motivare il provvedimento per cui è stato adottato e di far riferimento al diritto ad un ricorso effettivo. Ciò non dovrebbe precludere ulteriori requisiti ai sensi del diritto procedurale nazionale. L’adozione di tali decisioni giuridicamente vincolanti implica che possa sorgere un controllo giurisdizionale nello Stato membro dell’autorità di controllo che ha adottato la decisione.

(130) Se l'autorità di controllo a cui è stato presentato il reclamo non è l'autorità di controllo principale, l'autorità di controllo principale dovrebbe cooperare strettamente con l'autorità di controllo a cui è stato presentato il reclamo, in conformità con le disposizioni in materia di cooperazione e coerenza previste nel presente regolamento. regolamento. In tali casi, l’autorità di controllo capofila, nell’adottare misure intese a produrre effetti giuridici, compresa l’irrogazione di sanzioni amministrative, dovrebbe tenere conto quanto più possibile del parere dell’autorità di controllo a cui è stato presentato il reclamo e che dovrebbe mantenere è competente a svolgere qualsiasi indagine sul territorio del proprio Stato membro, in collaborazione con la principale autorità di controllo.

(131) Nei casi in cui un'altra autorità di controllo dovrebbe agire come autorità di controllo principale per le attività di trattamento dell'operatore o della persona autorizzata dall'operatore, ma l'oggetto concreto di un reclamo o della possibile violazione riguarda solo le attività di trattamento dell'operatore o la persona autorizzata dall'operatore nello Stato membro in cui è stato presentato il reclamo o è stata rilevata la possibile violazione e la questione non colpisce o non è idonea a colpire sostanzialmente le persone interessate di altri Stati membri, l'autorità di controllo che ha ricevuto una segnalazione denunciato o rilevato o comunque informato di situazioni di possibile violazione della presente norma dovrà cercare di trovare una soluzione amichevole con l'operatore e, in caso di insuccesso, esercitare tutti i suoi poteri. Ciò dovrebbe includere attività di trattamento specifiche svolte nel territorio dello Stato membro dell'autorità di controllo o nei confronti di interessati provenienti dal territorio di tale Stato membro, attività di trattamento che hanno luogo nel contesto di un'offerta di beni o servizi specificamente destinati per persone prese di mira nel territorio dello Stato membro dell'autorità di controllo o attività di trattamento che devono essere valutate tenendo conto dei pertinenti obblighi legali previsti dal diritto nazionale.

(132) Le attività di sensibilizzazione organizzate per il pubblico dalle autorità di vigilanza dovrebbero includere misure specifiche rivolte agli operatori e alle persone autorizzate dagli operatori, comprese le micro, piccole e medie imprese, nonché alle persone fisiche, in particolare nel contesto educativo.

(133) Le autorità di vigilanza dovrebbero prestarsi reciproca assistenza nell'adempimento dei loro compiti, al fine di garantire la coerenza dell'applicazione del presente regolamento al mercato interno. Un'autorità di controllo che richiede assistenza giudiziaria può adottare una misura provvisoria se non riceve risposta a una richiesta di assistenza giudiziaria entro un mese dal ricevimento della richiesta da parte dell'altra autorità di controllo.

(134) Ciascuna autorità di controllo dovrebbe partecipare, se del caso, alle operazioni congiunte tra autorità di controllo. L'autorità di controllo cui è stata indirizzata la richiesta dovrebbe avere l'obbligo di rispondere alla richiesta entro un certo termine.
(135) Al fine di garantire l'applicazione coerente del presente regolamento in tutta l'Unione, è opportuno istituire un meccanismo volto a garantire la coerenza nell'ambito del quale le autorità di vigilanza

cooperare. Tale meccanismo dovrebbe applicarsi, in particolare, qualora un’autorità di controllo intenda adottare un provvedimento destinato a produrre effetti giuridici rispetto a trattamenti che incidono sostanzialmente su un numero significativo di interessati provenienti da più di uno Stato membro. Il meccanismo dovrebbe applicarsi anche qualora un'autorità di controllo interessata o la Commissione richieda che il rispettivo aspetto sia trattato nell'ambito del meccanismo di coerenza. Questo meccanismo non dovrebbe pregiudicare le misure che la Commissione può adottare nell'esercizio dei suoi poteri ai sensi dei trattati.

(136) Nell'applicare il meccanismo volto a garantire la coerenza, il comitato dovrebbe, entro un certo periodo, emettere un parere se la maggioranza dei suoi membri lo decide o se un'autorità di controllo interessata o la Commissione lo richiede. Il comitato dovrebbe inoltre avere il potere di adottare decisioni giuridicamente vincolanti in caso di controversie tra autorità di vigilanza. A tal fine dovrebbe emanare, in linea di principio con una maggioranza di due terzi dei suoi membri, decisioni giuridicamente vincolanti, in casi ben definiti, se esistono opinioni divergenti tra le autorità di vigilanza, soprattutto nel quadro del meccanismo di cooperazione tra l’autorità di controllo principale e le autorità di controllo interessate riguardo al merito del caso, in particolare all’esistenza o meno di una violazione del presente regolamento. (137) È possibile che sussista un'urgente necessità di agire per garantire la tutela dei diritti e delle libertà degli interessati, soprattutto se esiste il pericolo che l'esercizio di un diritto dell'interessato venga notevolmente ostacolato. Pertanto, un'autorità di controllo dovrebbe poter adottare sul suo territorio misure provvisorie, debitamente giustificate, aventi un periodo di validità determinato che non dovrebbe superare i tre mesi.

(138) L'applicazione di tale meccanismo dovrebbe costituire una condizione di legittimità di una misura intesa a produrre effetti giuridici, adottata da un'autorità di controllo, nei casi in cui la sua applicazione è obbligatoria. In altri casi di rilevanza transfrontaliera, dovrebbe essere istituito il meccanismo di cooperazione tra l’autorità di vigilanza principale e le autorità di vigilanza interessate, e le autorità di vigilanza interessate potrebbero fornire assistenza reciproca e condurre operazioni congiunte su base bilaterale o multilaterale, senza innescare il meccanismo per garantire la coerenza.

(139) Al fine di promuovere l'applicazione coerente del presente regolamento, il comitato dovrebbe essere istituito come organismo indipendente dell'Unione. Per raggiungere i suoi obiettivi, il comitato dovrebbe avere personalità giuridica. Il comitato dovrebbe essere rappresentato dal suo presidente. Dovrebbe sostituire il Gruppo di lavoro per la tutela delle persone fisiche con riguardo al trattamento dei dati personali, istituito dalla direttiva 95/46/CE. Dovrebbe essere composto dai capi delle autorità di controllo di ciascuno Stato membro e dall’Autorità europea per la protezione dei dati o dai loro rappresentanti. La Commissione dovrebbe partecipare alle attività del comitato senza diritto di voto e l'Autorità europea per la protezione dei dati dovrebbe avere diritti di voto speciali. Il comitato dovrebbe contribuire all'applicazione coerente del presente regolamento in tutta l'Unione, anche fornendo consulenza alla Commissione, in particolare per quanto riguarda il livello di protezione nei paesi terzi e nell'ambito delle organizzazioni internazionali, e promuovendo la cooperazione delle autorità di controllo in tutta l'Unione. Il comitato dovrebbe agire in modo indipendente nell'esercizio delle sue funzioni. (140) Il comitato dovrebbe essere assistito da un segretariato fornito dall'autorità europea per la protezione dei dati. Il personale dell'Autorità europea per la protezione dei dati coinvolto nello svolgimento dei compiti assegnati al comitato ai sensi del presente regolamento dovrebbe svolgere i propri compiti esclusivamente secondo le istruzioni del presidente del comitato e riferire a lui.

(141) Ogni interessato dovrebbe avere il diritto di proporre reclamo a un'unica autorità di controllo, in particolare nello Stato membro in cui risiede abitualmente, nonché il diritto a un ricorso effettivo ai sensi dell'articolo 47 della Carta, se l'interessato ritiene che i suoi diritti ai sensi del presente regolamento siano violati o se l'autorità di controllo non reagisce a un reclamo, respinge o respinge un reclamo in tutto o in parte o non agisce quando tale azione è necessaria per garantire la protezione dei dati i diritti dell'interessato. L'indagine successiva ad una denuncia dovrebbe essere condotta, sotto controllo giudiziario, nella misura necessaria, a seconda dei casi. L’autorità di controllo dovrebbe informare

all’interessato circa l’evoluzione e la risoluzione del reclamo entro un termine congruo. Nel caso in cui il caso richieda ulteriori indagini o coordinamento con un'altra autorità di controllo, dovrebbero essere fornite all'interessato informazioni intermedie. Al fine di agevolare la presentazione dei reclami, ciascuna autorità di controllo dovrebbe adottare misure quali la messa a disposizione di un modulo per la presentazione dei reclami, compilabile anche in formato elettronico, senza escludere altri mezzi di comunicazione.

(142) Se l'interessato ritiene che i suoi diritti ai sensi del presente regolamento siano violati, dovrebbe avere il diritto di conferire mandato a un ente, un'organizzazione o un'associazione senza scopo di lucro costituita conformemente alla legge interna, i cui (i cui) obiettivi statutari siano nell'interesse pubblico e che svolge la propria attività nel campo della protezione dei dati personali, di proporre reclamo per suo conto a un'autorità di controllo, di esercitare il diritto di ricorso per suo conto agli interessati o, in caso di nel caso previsto dal diritto interno, esercitare il diritto a ricevere un risarcimento per conto degli interessati. Uno Stato membro può prevedere che tale organismo, organizzazione o associazione abbia il diritto di proporre reclamo in tale Stato membro, indipendentemente dal mandato conferitogli dall'interessato, e abbia diritto a un ricorso effettivo se ha motivo di ritenere che i diritti dell’interessato sono stati violati a seguito di un trattamento di dati personali che viola il presente regolamento. L'ente, organizzazione o associazione in questione non può pretendere un risarcimento per conto dell'interessato, indipendentemente dal mandato conferitogli dall'interessato. (143) Qualsiasi persona fisica o giuridica ha il diritto di proporre ricorso di annullamento contro le decisioni del comitato dinanzi alla Corte di giustizia, alle condizioni previste dall'articolo 263 TFUE. In quanto destinatarie di tali decisioni, le autorità di controllo interessate che intendano impugnarle devono proporre ricorso contro le rispettive decisioni entro due mesi dalla data in cui sono state notificate, ai sensi dell'articolo 263 TFUE. Se le decisioni del comitato colpiscono direttamente e individualmente un operatore, una persona autorizzata dall'operatore o il denunciante, quest'ultimo può proporre ricorso per l'annullamento delle rispettive decisioni entro due mesi dalla loro pubblicazione sul sito web del comitato, ai sensi dell'articolo 263 del il TFUE. Fatto salvo tale diritto ai sensi dell'articolo 263 TFUE, qualsiasi persona fisica o giuridica dovrebbe avere il diritto a un ricorso giurisdizionale effettivo dinanzi al giudice nazionale competente contro una decisione di un'autorità di controllo che produce effetti giuridici su quella persona. Tale decisione si riferisce in particolare all'esercizio di poteri investigativi, correttivi e autorizzativi da parte dell'autorità di controllo o al rifiuto o al rigetto dei reclami. Tuttavia, il diritto a un ricorso giurisdizionale effettivo non comprende le misure delle autorità di controllo che non sono giuridicamente vincolanti, come i pareri emessi dall’autorità di controllo o i pareri forniti dalla stessa. Le azioni contro un'autorità di controllo dovrebbero essere proposte dinanzi ai giudici dello Stato membro in cui è stabilita l'autorità di controllo e dovrebbero essere condotte conformemente al diritto procedurale di tale Stato membro. Tali tribunali dovrebbero esercitare la loro piena giurisdizione giudiziaria, che dovrebbe includere il potere di esaminare tutte le questioni di fatto o di diritto rilevanti per la controversia di cui sono investiti.

Se un reclamo è stato respinto o respinto da un'autorità di controllo, il reclamante può proporre ricorso davanti ai tribunali dello stesso Stato membro. Nell'ambito dei ricorsi giurisdizionali riguardanti l'applicazione del presente regolamento, i giudici nazionali che ritengono necessaria una decisione sulla questione in questione per poter pronunciarsi possono o, nel caso previsto dall'articolo 267 TFUE, devono chiedere spetta alla Corte di giustizia pronunciarsi in via preliminare sull'interpretazione del diritto dell'Unione, compreso il presente regolamento. Inoltre, se una decisione di un'autorità di controllo che attua una decisione del comitato viene contestata dinanzi a un tribunale nazionale e la validità della decisione del comitato è messa in dubbio, tale giudice nazionale non ha il potere di dichiarare nulla la decisione del comitato, ma deve sottoporre la questione della validità davanti alla Corte di giustizia, ai sensi dell’articolo 267 del TFUE, come interpretato dalla Corte di giustizia, ogni volta che il giudice nazionale considera la decisione nulla. Tuttavia, un tribunale nazionale non può sollevare una questione relativa alla validità della decisione del comitato su richiesta di una persona

persone fisiche o giuridiche che hanno avuto la possibilità di proporre ricorso di annullamento contro tale decisione, soprattutto se erano direttamente e individualmente interessate dalla decisione in questione, ma non lo hanno fatto entro il termine previsto dall'articolo 263 TFUE.
(144) Quando un tribunale investito di un procedimento contro una decisione di un'autorità di controllo ha motivo di ritenere che sia stato avviato un procedimento dinanzi a un tribunale competente in un altro Stato membro riguardo allo stesso trattamento, come lo stesso oggetto del trattamento, dallo stesso operatore o la stessa persona autorizzata dall'operatore, o per la stessa causa, il tribunale competente dovrà contattare il secondo tribunale per confermare l'esistenza di tali procedure correlate. Se tali procedimenti connessi sono pendenti davanti a un tribunale di un altro Stato membro, qualsiasi tribunale, escluso quello originariamente citato, può sospendere il procedimento o, su richiesta di una delle parti, dichiarare inizialmente la propria giurisdizione a favore del tribunale adito, a condizione che che quest'ultimo ha la competenza a risolvere i procedimenti in questione e che la legge ad esso applicata gli consente di unificare tali procedimenti correlati. I procedimenti si considerano collegati quando sono così strettamente connessi tra loro che è opportuno attuarli e giudicarli contemporaneamente, per evitare il rischio di pronunciare decisioni inconciliabili in caso di giudicarli separatamente.

(145) Per quanto riguarda le azioni avviate contro un operatore o una persona autorizzata dall'operatore, l'attore dovrebbe avere la possibilità di adire i giudici degli Stati membri in cui l'operatore o la persona autorizzata dall'operatore ha un ufficio o in cui ha residenza la persona interessata, a meno che l'operatore non sia un'autorità pubblica di uno Stato membro che agisce nell'esercizio dei suoi pubblici poteri.

(146) L'operatore o la persona autorizzata dall'operatore dovrebbe risarcire eventuali danni che una persona potrebbe subire a seguito di un trattamento che viola il presente regolamento. L'operatore o la persona da lui autorizzata dovrebbero essere esonerati da ogni responsabilità se dimostrano di non essere in alcun modo responsabili del danno. Il concetto di danno dovrebbe essere interpretato in senso ampio, dal punto di vista della giurisprudenza della Corte di giustizia, in modo da riflettere pienamente gli obiettivi del presente regolamento. La presente disposizione non pregiudica l'eventuale richiesta di risarcimento derivante dalla violazione di altre norme del diritto dell'Unione o del diritto interno. Un trattamento che viola il presente regolamento comprende anche il trattamento che viola gli atti delegati e di esecuzione adottati ai sensi del presente regolamento e il diritto interno che specifica le norme di questo regolamento. Le persone interessate dovrebbero ricevere un risarcimento completo ed effettivo per il danno subito. Qualora nello stesso trattamento siano coinvolti operatori o persone da questi autorizzate, ciascun operatore o ciascuna persona autorizzata dall'operatore dovrà essere ritenuto responsabile dell'intero danno. Tuttavia, quando le procedure giuridiche che li riguardano sono connesse, conformemente al diritto interno, il risarcimento può essere ripartito secondo la responsabilità di ciascun operatore o di ciascuna persona autorizzata dall'operatore, a condizione che il risarcimento completo ed effettivo dell'interessato sia assicurato chi ha subito il danno. Qualsiasi operatore o persona autorizzata dall'operatore che abbia pagato l'intero risarcimento potrà successivamente proporre ricorso contro altri operatori o persone autorizzate dagli operatori coinvolti nello stesso trattamento.

(147) Nel caso in cui il presente regolamento contenga norme specifiche in materia di competenza giudiziaria, in particolare per quanto riguarda i ricorsi giurisdizionali, comprese le azioni di risarcimento danni, contro un operatore o una persona autorizzata dall'operatore, si applicano le norme generali in materia di competenza giudiziaria come quelle del regolamento (UE ) NO. 1215/2012 del Parlamento europeo e del Consiglio (1) non dovrebbe pregiudicare l'applicazione di tali norme specifiche.

(1) Regolamento (UE) n. 1215/2012 del Parlamento Europeo e del Consiglio del 12 dicembre 2012 relativo alla competenza giudiziaria, al riconoscimento e all'esecuzione delle decisioni in materia civile e commerciale (GU L 351 del 20.12.2012, pag. 1).
(148) Al fine di rafforzare il rispetto dell'applicazione delle norme previste dal presente regolamento, dovrebbero essere imposte sanzioni, comprese sanzioni amministrative, per qualsiasi violazione del presente regolamento, in aggiunta o in sostituzione delle misure appropriate imposte dall'autorità di controllo ai sensi questo regolamento. In caso di violazione lieve o nel caso in cui venga comminata la sanzione pecuniaria

costituisce un onere sproporzionato per una persona fisica, anziché una sanzione pecuniaria può essere emessa un'ammonizione. Tuttavia, si dovrebbe prestare la dovuta considerazione alla natura, alla gravità e alla durata della violazione, alla natura intenzionale della violazione, alle azioni intraprese per mitigare il danno causato, al grado di responsabilità o ad eventuali violazioni precedenti rilevanti, al modo in cui la violazione è stata portata a conoscenza dell'autorità di controllo, il rispetto delle misure adottate nei confronti dell'operatore o della persona autorizzata dall'operatore, l'adesione ad un codice di condotta e ogni altra aggravante o attenuante. L'imposizione di sanzioni, comprese sanzioni amministrative, dovrebbe essere soggetta a garanzie procedurali adeguate, in conformità dei principi generali del diritto dell'Unione e della Carta, tra cui una tutela giurisdizionale effettiva e un giusto processo.

(149) Gli Stati membri dovrebbero essere in grado di stabilire norme sulle sanzioni penali per le violazioni del presente regolamento, comprese le violazioni del diritto interno adottate sulla base ed entro i limiti del presente regolamento. Le rispettive sanzioni penali possono consentire anche la privazione dei profitti ottenuti violando la presente norma. Tuttavia, l’irrogazione di sanzioni penali per la violazione di tali norme di diritto interno e di sanzioni amministrative non dovrebbe comportare la violazione del principio ne bis in idem, come interpretato dalla Corte di Giustizia.

(150) Al fine di consolidare e armonizzare le sanzioni amministrative in caso di violazione del presente regolamento, ciascuna autorità di controllo dovrebbe avere il potere di imporre sanzioni amministrative. Tale regolamento dovrebbe indicare le violazioni, nonché il limite massimo e i criteri per la determinazione delle relative sanzioni amministrative, che dovrebbero essere stabilite dall'autorità di controllo competente in ogni singolo caso, tenendo conto di tutte le circostanze rilevanti della specifica situazione, tenendo conto la dovuta considerazione, in particolare, della natura, della gravità e della durata della violazione, nonché delle sue conseguenze e delle misure adottate per garantire il rispetto degli obblighi previsti dal presente regolamento e per prevenire o attenuare le conseguenze della violazione. Quando vengono inflitte sanzioni amministrative a un'impresa, a tali fini per impresa va intesa un'impresa ai sensi degli articoli 101 e 102 TFUE. Se vengono inflitte sanzioni amministrative a persone che non sono imprese, l'autorità di controllo dovrebbe tenere conto del livello generale di reddito del rispettivo Stato membro, nonché della situazione economica della persona nello stimare l'importo appropriato della sanzione. Il meccanismo di coerenza può essere utilizzato anche per promuovere l’applicazione coerente delle sanzioni amministrative. La competenza per determinare se e in quale misura le autorità pubbliche debbano essere soggette a sanzioni amministrative dovrebbe spettare agli Stati membri. L'irrogazione di una sanzione amministrativa o l'invio di un avvertimento non pregiudica l'applicazione degli altri poteri delle autorità di controllo o delle altre sanzioni previste dal presente regolamento. (151) Gli ordinamenti giuridici di Danimarca ed Estonia non consentono le sanzioni amministrative previste dal presente regolamento. Le norme sulle sanzioni amministrative possono essere applicate in modo tale che, in Danimarca, l'ammenda sia imposta dai tribunali nazionali competenti come sanzione penale, e in Estonia l'ammenda sia imposta dall'autorità di controllo nell'ambito di una procedura per responsabilità civile, a condizione che tale applicazione delle sanzioni amministrative norme nei rispettivi Stati membri abbiano effetto equivalente a quello delle sanzioni amministrative irrogate dalle autorità di controllo. Pertanto, i giudici nazionali competenti dovrebbero tenere conto della raccomandazione dell’autorità di controllo che ha disposto l’ammenda. In ogni caso, le sanzioni irrogate dovrebbero essere effettive, proporzionate e dissuasive. (152) Laddove il presente regolamento non armonizzi le sanzioni amministrative o in altri casi, ove necessario, ad esempio in caso di violazioni gravi del presente regolamento, gli Stati membri dovrebbero attuare un sistema che preveda sanzioni efficaci, proporzionate e dissuasive. La natura di tali sanzioni, siano esse penali o amministrative, dovrebbe essere determinata dal diritto interno.

(153) Il diritto degli Stati membri dovrebbe stabilire un equilibrio tra le norme che disciplinano la libertà di espressione e di informazione, compresa l'espressione giornalistica, accademica, artistica e/o letteraria, e il diritto alla protezione dei dati personali ai sensi del presente regolamento. Il trattamento dei dati personali esclusivamente per fini giornalistici o per fini di espressione accademica, artistica o letteraria dovrebbe essere soggetto a esenzioni o eccezioni

alcune disposizioni del presente regolamento nel caso in cui sia necessario stabilire un equilibrio tra il diritto alla protezione dei dati personali e il diritto alla libertà di espressione e di informazione, come previsto dall'articolo 11 della carta. Ciò dovrebbe applicarsi in particolare al trattamento dei dati personali nel settore audiovisivo, nonché negli archivi di notizie e nelle emeroteche. Pertanto, gli Stati membri dovrebbero adottare misure legislative che prevedano le eccezioni e deroghe necessarie per garantire l’equilibrio tra questi diritti fondamentali. Gli Stati membri dovrebbero adottare tali eccezioni e deroghe per quanto riguarda i principi generali, i diritti degli interessati, dell'operatore e della persona autorizzata dall'operatore, il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, autorità di controllo indipendenti, cooperazione e coerenza , nonché riguardo a specifiche situazioni di trattamento dei dati. Se tali eccezioni o esenzioni differiscono da uno Stato membro all'altro, dovrebbe applicarsi la legge dello Stato membro in cui rientra l'operatore. Per tenere conto dell’importanza del diritto alla libertà di espressione in ogni società democratica, è necessario che le nozioni legate a questa libertà, come quella del giornalismo, siano interpretate in senso lato.

(154) Il presente regolamento consente di prendere in considerazione il principio dell'accesso del pubblico ai documenti ufficiali nell'applicazione del presente regolamento. L’accesso del pubblico ai documenti ufficiali può essere considerato nell’interesse pubblico. I dati personali contenuti nei documenti detenuti da un'autorità pubblica o da un organismo pubblico dovrebbero poter essere divulgati da tale autorità o organismo se il diritto dell'Unione o il diritto interno cui è soggetto l'autorità pubblica o l'organismo pubblico lo prevede. Il diritto dell’Unione e il diritto nazionale dovrebbero garantire un equilibrio tra l’accesso del pubblico ai documenti ufficiali e il riutilizzo delle informazioni del settore pubblico, da un lato, e il diritto alla protezione dei dati personali, dall’altro, e potrebbero pertanto fornire le misure necessarie equilibrio con il diritto alla protezione dei dati personali ai sensi del presente regolamento. Il riferimento alle autorità e agli organismi pubblici dovrebbe, in questo contesto, includere tutte le autorità o altri organismi regolati dalla legislazione nazionale in materia di accesso del pubblico ai documenti. La direttiva 2003/98/CE del Parlamento europeo e del Consiglio (1) lascia inalterato e non pregiudica in alcun modo il livello di protezione delle persone fisiche con riguardo al trattamento dei dati personali conformemente al diritto interno e dell'Unione e, in particolare, non modifica i diritti e gli obblighi previsti dal presente regolamento. In particolare, la predetta direttiva non si applica ai documenti il ​​cui accesso è escluso o limitato in regime di accesso per ragioni attinenti alla protezione dei dati personali, né a parti di documenti accessibili in regime di tali regimi che contengono dati personali il cui riutilizzo è stato stabilito dalla legge in quanto incompatibile con la normativa relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.

(1) Direttiva 2003/98/CE del Parlamento europeo e del Consiglio, del 17 novembre 2003, relativa al riutilizzo dell'informazione del settore pubblico (GU L 345 del 31.12.2003, pag. 90).
(155) Il diritto interno o i contratti collettivi, compresi i "contratti di lavoro", possono prevedere norme specifiche per disciplinare il trattamento dei dati personali dei dipendenti nel contesto del rapporto di lavoro, in particolare le condizioni in cui i dati personali nel contesto del rapporto di lavoro di un luogo di lavoro possono essere essere trattati in base al consenso del dipendente, per finalità di assunzione, rispetto dei termini del contratto di lavoro, compreso l'adempimento degli obblighi previsti dalla legge o dai contratti collettivi, gestione, pianificazione e organizzazione del lavoro, uguaglianza e diversità sul lavoro, garanzia della salute e sicurezza sul lavoro, nonché al fine di esercitare e beneficiare, individualmente o collettivamente, dei diritti e dei benefici connessi al lavoro, nonché allo scopo di cessazione del rapporto di lavoro.

(156) Il trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici dovrebbe essere soggetto a garanzie adeguate per i diritti e le libertà dell'interessato ai sensi del presente regolamento. Le rispettive garanzie dovrebbero garantire che siano state stabilite le misure tecniche e organizzative necessarie per garantire, in particolare, il principio della minimizzazione dei dati. Il successivo trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici viene effettuato quando l'operatore ha valutato la fattibilità dell'adempimento

tali obiettivi trattando dati personali che non consentono o non consentono più l'identificazione degli interessati, purché sussistano garanzie adeguate (come ad esempio la pseudonimizzazione dei dati personali). Gli Stati membri dovrebbero fornire garanzie adeguate per il trattamento dei dati personali a fini di archiviazione nel pubblico interesse, a fini di ricerca scientifica o storica o a fini statistici. Gli Stati membri dovrebbero essere autorizzati a fornire, a determinate condizioni e nel rispetto di adeguate garanzie per gli interessati, chiarimenti ed esenzioni riguardo alle richieste di informazioni e al diritto di rettifica, diritto alla cancellazione, diritto all'oblio, diritto alla limitazione del trattamento , il diritto alla portabilità dei dati, nonché il diritto di opposizione in caso di trattamento dei dati personali a fini di archiviazione nel pubblico interesse, a fini di ricerca scientifica o storica o a fini statistici. Le condizioni e garanzie in questione potranno dar luogo a specifiche procedure affinché gli interessati esercitino i rispettivi diritti qualora ciò sia opportuno nell'ambito delle finalità oggetto dello specifico trattamento, nonché misure tecniche e organizzative volte a ridurre al minimo il trattamento dei dati personali , nel rispetto dei principi di proporzionalità e necessità. Il trattamento dei dati personali per scopi scientifici dovrebbe rispettare anche altre normative pertinenti, come quelle sulle sperimentazioni cliniche.

(157) Combinando le informazioni provenienti dai registri, i ricercatori possono acquisire nuove preziose conoscenze su malattie diffuse come le malattie cardiovascolari, il cancro e la depressione. Basandosi sui registri, i risultati della ricerca possono essere rafforzati, poiché si basano su una popolazione più ampia. Nelle scienze sociali, la ricerca basata sui registri consente ai ricercatori di ottenere informazioni essenziali sulla correlazione a lungo termine di una serie di condizioni sociali, come la disoccupazione o l’istruzione, con altre condizioni di vita. I risultati della ricerca ottenuti sulla base dei registri forniscono conoscenze solide e di alta qualità, che possono costituire la base per lo sviluppo e l’attuazione di politiche basate sulla conoscenza e che possono migliorare la qualità della vita di un certo numero di persone, l’efficienza dei servizi sociali servizi. Al fine di agevolare la ricerca scientifica, i dati personali possono essere trattati per scopi di ricerca scientifica, fatte salve le condizioni e le corrispondenti garanzie stabilite dal diritto dell'Unione o dal diritto nazionale.

(158) Se i dati personali sono trattati a fini di archiviazione, il presente regolamento dovrebbe applicarsi anche a tale trattamento, tenendo conto del fatto che il presente regolamento non dovrebbe applicarsi alle persone decedute. Le autorità pubbliche o gli organismi pubblici o privati ​​che detengono documenti di interesse pubblico dovrebbero, ai sensi del diritto dell'Unione o nazionale, avere l'obbligo giuridico di acquisire, conservare, valutare, preparare, descrivere, comunicare, promuovere, diffondere e garantire l'accesso a documenti di valore duraturo di interesse pubblico generale. Gli Stati membri dovrebbero inoltre essere in grado di prevedere un ulteriore trattamento dei dati personali a fini di archiviazione, ad esempio per fornire informazioni specifiche sul comportamento politico durante i precedenti regimi statali totalitari, sui genocidi, sui crimini contro l'umanità, in particolare l'Olocausto, o sui crimini di guerra.

(159) Se i dati personali sono trattati a fini di ricerca scientifica, il presente regolamento dovrebbe applicarsi anche a tale trattamento. Ai fini del presente regolamento, il trattamento dei dati personali per finalità di ricerca scientifica dovrebbe essere interpretato in senso ampio, includendo ad esempio le attività di sviluppo tecnologico e dimostrazione, la ricerca fondamentale, la ricerca applicata e la ricerca finanziata da fonti private. Inoltre, andrebbe tenuto conto dell'obiettivo dell'Unione di creare uno Spazio europeo della ricerca, come menzionato all'articolo 179, paragrafo 1, del TFUE. Tra gli obiettivi della ricerca scientifica dovrebbero rientrare anche gli studi condotti nell’interesse pubblico nel campo della sanità pubblica. Per soddisfare le caratteristiche specifiche del trattamento dei dati personali a fini di ricerca scientifica, dovrebbero applicarsi condizioni specifiche, in particolare per quanto riguarda la pubblicazione o comunicazione in altro modo di dati personali nell'ambito di fini di ricerca scientifica. Se il risultato della ricerca scientifica, soprattutto in ambito sanitario, costituisce motivo di misure aggiuntive nell’interesse dell’interessato, le norme generali del presente regolamento dovrebbero essere applicate tenendo presenti tali misure.

(160) Se i dati personali sono trattati a fini di ricerca storica, il presente regolamento dovrebbe applicarsi anche a tale trattamento. Ciò dovrebbe includere anche la ricerca storica e la ricerca a fini genealogici, tenendo presente che questo regolamento non dovrebbe applicarsi alle persone decedute.

(161) Ai fini del rilascio del consenso a partecipare ad attività di ricerca scientifica nell'ambito di sperimentazioni cliniche, si applicano le pertinenti disposizioni del regolamento (UE) n. 536/2014 del Parlamento Europeo e del Consiglio (1).
(1) Regolamento (UE) n. 536/2014 del Parlamento europeo e del Consiglio, del 16 aprile 2014, relativo alla sperimentazione clinica interventistica con medicinali per uso umano e che abroga la direttiva 2001/20/CE (GU L 158 del 27.5.2014, pag. 1).

(162) Se i dati personali sono trattati a fini statistici, il presente regolamento dovrebbe applicarsi a tale trattamento. Il diritto dell'Unione o il diritto nazionale dovrebbero, entro i limiti del presente regolamento, determinare il contenuto statistico, il controllo dell'accesso, le specifiche per il trattamento dei dati personali a fini statistici e le misure adeguate per tutelare i diritti e le libertà degli interessati e per garantire la riservatezza di dati statistici. Questi risultati statistici possono essere utilizzati successivamente per diversi scopi, anche per scopi di ricerca scientifica. Per finalità statistiche si intende qualsiasi operazione di raccolta e trattamento di dati personali necessaria per indagini statistiche o per la produzione di risultati statistici. Le finalità statistiche presuppongono che il risultato del trattamento a fini statistici non costituisca dati personali, ma dati aggregati e che tale risultato o dati personali non vengano utilizzati per supportare misure o decisioni riguardanti una determinata persona fisica.

(163) Le informazioni riservate che le autorità statistiche a livello dell'Unione e nazionale raccolgono per elaborare statistiche ufficiali europee e nazionali dovrebbero essere protette. Le statistiche europee dovrebbero essere progettate, prodotte e diffuse conformemente ai principi statistici di cui all’articolo 338, paragrafo 2, del TFUE, mentre le statistiche nazionali dovrebbero essere conformi anche al diritto nazionale. Regolamento (CE) n. 223/2009 del Parlamento europeo e del Consiglio (2) fornisce ulteriori specificazioni in merito alla riservatezza dei dati statistici per le statistiche europee.

(2) Regolamento (CE) n. 223/2009 del Parlamento Europeo e del Consiglio dell'11 marzo 2009 relativo alle statistiche europee e che abroga il regolamento (CE, Euratom) n. 1101/2008 del Parlamento Europeo e del Consiglio relativo alla trasmissione di dati statistici riservati all'Istituto statistico delle Comunità europee, del regolamento (CE) n. 322/97 del Consiglio relativo alle statistiche comunitarie e Decisione 89/382/CEE, Euratom del Consiglio che istituisce il Comitato per i programmi statistici delle Comunità europee (GU L 87 del 31.3.2009, pag. 164).

(164) Per quanto riguarda i poteri delle autorità di controllo di ottenere dall'operatore o dalla persona autorizzata dall'operatore l'accesso ai dati personali e l'accesso ai propri edifici, gli Stati membri possono adottare, mediante legislazione e nei limiti stabiliti dal presente regolamento, norme specifiche per la tutela del segreto professionale o altri obblighi equivalenti, nella misura in cui ciò sia necessario per garantire un equilibrio tra il diritto alla protezione dei dati personali e l'obbligo di preservare il segreto professionale. Ciò non pregiudica gli obblighi esistenti degli Stati membri di adottare norme in materia di segreto professionale nelle situazioni richieste dal diritto dell'Unione.

(165) Il presente regolamento rispetta e non pregiudica lo status di cui godono, in base al diritto costituzionale vigente, le chiese e le associazioni o comunità religiose negli Stati membri, come riconosciuto dall'articolo 17 del TFUE.
(166) Al fine di conseguire gli obiettivi del presente regolamento, vale a dire tutelare i diritti e le libertà fondamentali delle persone fisiche e, in particolare, il loro diritto alla protezione dei dati personali, e garantire la libera circolazione dei dati personali nel territorio dell'Unione, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 TFUE. In particolare, dovrebbero essere adottati atti delegati riguardanti i criteri e i requisiti per i meccanismi di certificazione, le informazioni che devono essere presentate mediante pittogrammi standardizzati e le procedure per fornire tali pittogrammi. È particolarmente importante che, all'interno

nelle sue attività preparatorie, la Commissione organizza adeguate consultazioni, anche a livello di esperti. Nella preparazione e nell'elaborazione degli atti delegati, la Commissione dovrebbe garantire la trasmissione simultanea, tempestiva e adeguata dei documenti pertinenti al Parlamento europeo e al Consiglio.

(167) Al fine di garantire condizioni uniformi per l'attuazione del presente regolamento, la Commissione dovrebbe essere investita di poteri esecutivi nelle situazioni stabilite dal presente regolamento. Le rispettive competenze dovrebbero essere esercitate in conformità al Regolamento (UE) n. 182/2011. In questo contesto, la Commissione dovrebbe prendere in considerazione misure specifiche per le microimprese e per le piccole e medie imprese.

(168) La procedura d'esame dovrebbe essere utilizzata per l'adozione di atti di esecuzione riguardanti: clausole contrattuali tipo tra operatori e persone autorizzate dagli operatori, nonché tra persone autorizzate dagli operatori; codici di condotta; norme tecniche e meccanismi di certificazione; il livello adeguato di protezione offerto da un paese terzo, un territorio o un determinato settore di trattamento in quel paese terzo, o da un'organizzazione internazionale; clausole tipo di protezione dei dati; formati e procedure per lo scambio elettronico di informazioni tra operatori, soggetti autorizzati dagli operatori e autorità di vigilanza per norme aziendali cogenti; assistenza reciproca; nonché le modalità per lo scambio elettronico di informazioni tra le autorità di vigilanza, nonché tra le autorità di vigilanza e il comitato.

(169) La Commissione dovrebbe adottare atti di esecuzione immediatamente applicabili qualora le prove disponibili dimostrino che un paese terzo, un territorio o un determinato settore di trattamento in tale paese terzo, o un'organizzazione internazionale non garantiscono un livello di protezione adeguato, nonché per imperativi motivi di urgenza.

(170) Poiché l'obiettivo del presente regolamento, vale a dire garantire un livello equivalente di protezione delle persone fisiche e la libera circolazione dei dati personali in tutta l'Unione, non può essere conseguito in modo soddisfacente dagli Stati membri, ma, considerata la portata o gli effetti dell'azione, può essere meglio realizzato a livello dell'Unione, può adottare misure in conformità del principio di sussidiarietà, come definito all'articolo 5 del trattato sull'Unione europea ("trattato UE"). In conformità al principio di proporzionalità, come definito nel rispettivo articolo, il presente regolamento non va oltre quanto necessario per il raggiungimento degli obiettivi prefissati.

(171) La direttiva 95/46/CE dovrebbe essere abrogata dal presente regolamento. I trattamenti in corso alla data di applicazione del presente regolamento dovranno essere adeguati al presente regolamento entro due anni dalla data di entrata in vigore del presente regolamento. Se il trattamento si basa sul consenso ai sensi della direttiva 95/46/CE, non è necessario che l'interessato fornisca nuovamente il proprio consenso se il modo in cui il consenso è stato prestato è conforme alle condizioni di tale regolamento, in modo che il all'operatore è consentito proseguire tale trattamento dopo la data di applicazione del presente regolamento. Le decisioni adottate dalla Commissione e le autorizzazioni delle autorità di controllo rilasciate sulla base della direttiva 95/46/CE restano in vigore finché non vengono modificate, sostituite o abrogate.

(172) L'Autorità europea per la protezione dei dati è stata consultata ai sensi dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 e ha rilasciato parere il 7 marzo 2012 (1).
(1) GU C 192 del 30.6.2012, pag.7.
(173) Il presente regolamento dovrebbe applicarsi a tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali connessi al trattamento dei dati personali, che non sono soggetti a obblighi specifici aventi lo stesso obiettivo di quello stabilito nella direttiva 2002/58/CE del Parlamento europeo e del Consiglio (2), compresi gli obblighi relativi all'operatore e i diritti delle persone fisiche. Per chiarire il rapporto tra il presente regolamento e la direttiva 2002/58/CE, è opportuno modificare di conseguenza tale direttiva. Dopo l'adozione del presente regolamento, la direttiva 2002/58/CE dovrebbe essere rivista, in particolare per garantirne la coerenza con il presente regolamento,

(2) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, sul trattamento dei dati personali e sulla tutela della riservatezza nel settore delle comunicazioni pubbliche (direttiva sulla riservatezza e sulle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).
ACCETTO QUESTO REGOLAMENTO:

-****-

CAPITOLO I: Disposizioni generali
Art. 1: Oggetto e finalità
(1) Il presente regolamento stabilisce le norme relative alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché le norme relative alla libera circolazione dei dati personali.
(2) Il presente regolamento garantisce la tutela dei diritti e delle libertà fondamentali delle persone fisiche e in particolare il loro diritto alla protezione dei dati personali.
(3) La libera circolazione dei dati personali all'interno dell'Unione non può essere limitata o vietata per motivi connessi alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.
Art. 2: Scopo materiale
(1) Il presente regolamento si applica al trattamento dei dati personali, effettuato in tutto o in parte con mezzi automatizzati, nonché al trattamento con mezzi non automatizzati di dati personali che fanno parte di un sistema di registrazione di dati o che sono destinati far parte di un sistema di registrazione dei dati.
(2) Il presente regolamento non si applica al trattamento dei dati personali:
a) nell'ambito di un'attività che non rientra nel diritto dell'Unione;
b) dagli Stati membri nello svolgimento di attività rientranti nel capo 2 del titolo V del Trattato UE;
c) da una persona fisica nell'esercizio di un'attività esclusivamente personale o domestica;
d) dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento penale di reati o di esecuzione di sanzioni penali, compresa la protezione dalle minacce alla pubblica sicurezza e la loro prevenzione.
(3) Per il trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione si applica il Regolamento (CE) n. 45/2001. Regolamento (CE) n. 45/2001 e altri atti giuridici dell'Unione applicabili a tale trattamento dei dati personali sono adattati ai principi e alle regole di questo regolamento in conformità con l'articolo 98.
(4) Il presente regolamento non pregiudica l'applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi, previste dagli articoli 12-15 di detta direttiva.
Art. 3: Ambito territoriale
(1) Il presente regolamento si applica al trattamento dei dati personali nell'ambito delle attività della sede di un operatore o di una persona autorizzata dall'operatore nel territorio dell'Unione, indipendentemente dal fatto che il trattamento avvenga o meno nel territorio dell'Unione.
(2) Il presente regolamento si applica al trattamento dei dati personali degli interessati che si trovano nell'Unione da parte di un operatore o di una persona autorizzata dall'operatore che non è stabilito nell'Unione, quando le attività di trattamento riguardano:
a) offrire beni o servizi a tali soggetti nell'Unione, indipendentemente dal fatto che l'interessato richieda o meno un pagamento; O
b) monitorare il loro comportamento qualora si manifesti all'interno dell'Unione.
(3) Il presente regolamento si applica al trattamento dei dati personali da parte di un operatore che non è stabilito nell'Unione, ma in un luogo in cui si applica il diritto interno basato sul diritto pubblico internazionale.
Art. 4: Definizioni
Ai fini del presente regolamento:
1.per “dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); una persona fisica identificabile è una persona che può esserlo

identificare, direttamente o indirettamente, in particolare mediante riferimento a un elemento identificativo, come un nome, un numero di identificazione, dati relativi all'ubicazione, un identificatore online, o a uno o più elementi specifici, la propria identità fisica, fisiologica, genetica, psicologica, economico, culturale o sociale; 2. Per "trattamento" si intende qualsiasi operazione o insieme di operazioni eseguite su dati personali o insiemi di dati personali, con o senza l'uso di mezzi automatizzati, come raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione , utilizzo, divulgazione mediante trasmissione, diffusione o messa a disposizione in qualsiasi altro modo, allineamento o combinazione, limitazione, cancellazione o distruzione 3. “limitazione del trattamento”: il contrassegno dei dati personali memorizzati al fine di limitarne il trattamento futuro;

4. Per "profilazione" si intende qualsiasi forma di trattamento automatizzato di dati personali che consiste nell'utilizzo di dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti del rendimento lavorativo, della situazione economica , salute, preferenze personali, interessi, affidabilità, comportamento, luogo in cui si trova la rispettiva persona fisica o i suoi spostamenti;

5. "pseudonimizzazione": il trattamento dei dati personali in modo tale che non possano più essere attribuiti a una persona interessata specifica senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano archiviate separatamente e siano soggette a determinate misure tecniche e organizzative per garantire che i rispettivi dati personali non siano assegnati a una persona fisica identificata o identificabile;

6. "sistema di registrazione dei dati": qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, siano essi centralizzati, decentralizzati o distribuiti secondo criteri funzionali o geografici;
7. “operatore”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi del trattamento sono stabiliti dal diritto dell'Unione o dal diritto nazionale, il gestore o i criteri specifici per la sua designazione possono essere previsti dal diritto dell'Unione o dal diritto nazionale;

8. "persona autorizzata dall'operatore": la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto dell'operatore; 9. "destinatario": la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo a cui (a chi) vengono comunicati i dati personali, indipendentemente dal fatto che si tratti o meno di terzi. Non sono tuttavia considerate destinatari le autorità pubbliche alle quali i dati personali possono essere comunicati nell’ambito di una determinata indagine ai sensi del diritto dell’Unione o del diritto interno; il trattamento di questi dati da parte delle rispettive autorità pubbliche è conforme alle norme sulla protezione dei dati applicabili, conformemente alle finalità del trattamento;

10. "terzo": una persona fisica o giuridica, un'autorità pubblica, un servizio o un organismo diverso dall'interessato, l'operatore, la persona autorizzata dall'operatore e le persone che, sotto la diretta autorità dell'operatore o della persona autorizzata dal gestore, sono autorizzati al trattamento dei dati personali;

11. Per “consenso” dell'interessato si intende qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell'interessato con la quale accetta, mediante una dichiarazione o un atto inequivocabile, che i dati personali che lo riguardano siano trattati ; 12. “violazione della sicurezza dei dati personali”: una violazione della sicurezza che comporta, accidentalmente o illegalmente, la distruzione, la perdita, la modifica o la divulgazione non autorizzata dei dati personali trasmessi, conservati o trattati in altro modo, o l'accesso non autorizzato agli stessi;

13. Per "dati genetici" si intendono i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni uniche sulla fisiologia o sulla salute della persona in questione e che risultano in particolare dall'analisi di un campione di dati biologici materiale raccolto dall'interessato;

14. "dati biometrici": i dati personali risultanti da specifiche tecniche di trattamento relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che consentono o confermano l'identificazione univoca di tale persona, come immagini del volto o dati dattiloscopici;

15. “dati sanitari”: dati personali relativi alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza medica, che rivelano informazioni sullo stato di salute;
16. "sede principale":

a) nel caso di operatore con sede in almeno due Stati membri, il luogo in cui è ubicata la sua amministrazione centrale nell'Unione, salvo che le decisioni relative alle finalità e ai mezzi del trattamento di dati personali siano prese in un'altra sede dell'operatore operatore nell'Unione, sede che ha la competenza per ordinare l'attuazione di tali decisioni, nel qual caso la sede che ha adottato le rispettive decisioni è considerata sede principale;

b) nel caso di persona autorizzata dall'operatore con sede in almeno due Stati membri, il luogo in cui è ubicata la sua amministrazione centrale nell'Unione, oppure, se la persona autorizzata dall'operatore non ha un'amministrazione centrale in dell'Unione, la sede dell'Unione della persona autorizzata dall'operatore in cui si svolgono le principali attività di trattamento, nell'ambito delle attività di un ufficio della persona autorizzata dall'operatore, nella misura in cui sia soggetto a specifiche obblighi previsti dal presente regolamento;

17. "rappresentante": una persona fisica o giuridica stabilita nell'Unione, designata per iscritto dall'operatore o dalla persona autorizzata dall'operatore ai sensi dell'articolo 27, che rappresenta l'operatore o la persona autorizzata per quanto riguarda i rispettivi obblighi ai sensi del presente regolamenti;

18. "impresa": una persona fisica o giuridica che esercita un'attività economica, indipendentemente dalla sua forma giuridica, comprese le società di persone o associazioni che esercitano regolarmente un'attività economica;
19. per “gruppo di imprese” si intende l'impresa che esercita il controllo e le imprese da questa controllate;

20. Per "regole aziendali obbligatorie" si intendono le politiche di protezione dei dati personali che devono essere rispettate da un operatore o da una persona autorizzata dall'operatore stabilito nel territorio di uno Stato membro, per quanto riguarda i trasferimenti o gli insiemi di trasferimenti di dati aventi carattere personale verso un operatore o persona autorizzata dall'operatore in uno o più paesi terzi all'interno di un gruppo di società o di un gruppo di società coinvolte in un'attività economica comune;

21. "autorità di vigilanza": un'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51;
22. "autorità di controllo mirata": un'autorità di controllo interessata dal trattamento dei dati personali perché:

a) l'operatore o la persona autorizzata dall'operatore è stabilito nel territorio dello Stato membro della rispettiva autorità di controllo;
(b) gli interessati che risiedono nello Stato membro in cui ha sede la rispettiva autorità di controllo sono interessati o possono essere interessati in modo significativo dal trattamento; O

(c) è stato presentato reclamo alla rispettiva autorità di controllo;
23. Per "trattamento transfrontaliero" si intende:
a) il trattamento di dati personali che ha luogo nell'ambito delle attività degli uffici in diversi Stati membri di un operatore o di una persona autorizzata dall'operatore nel territorio dell'Unione, se l'operatore o la persona autorizzata dall'operatore l'operatore ha sedi in almeno due Stati membri; O
b) il trattamento di dati personali che ha luogo nell'ambito delle attività di una sede unica di un operatore o di una persona autorizzata dall'operatore nel territorio dell'Unione, ma che incide in

in modo significativo o è probabile che incida in modo significativo sugli interessati di almeno due Stati membri;
24. Per "obiezione pertinente e motivata" si intende un'opposizione ad un progetto di decisione volta a stabilire se sussista una violazione del presente regolamento o se le misure previste nei confronti dell'operatore o della persona autorizzata dall'operatore siano conformi al presente regolamento, il che dimostra chiaramente l'importanza dei rischi presentati dal progetto di decisione per quanto riguarda i diritti e le libertà fondamentali delle persone interessate e, se del caso, la libera circolazione dei dati personali all'interno dell'Unione;

25. Per «servizi della società dell'informazione» si intende un servizio quale definito all'articolo 1

paragrafo (1) lettera (b) della direttiva 2015/1535/CE del Parlamento europeo e del Consiglio (1);

(1) Direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio, del 9 settembre 2015, relativa alla procedura d'informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione (GU L 241 del 17.9.2015, pag. 1).

(dal 23 maggio 2018, art. 4, punto 25. del Capo I rettificato dal punto 2. della Rettifica del 23 maggio 2018)

26. "organizzazione internazionale": un'organizzazione e i suoi organismi subordinati regolati dal diritto internazionale pubblico o qualsiasi altro organismo istituito da un accordo concluso tra due o più paesi o sulla base di tale accordo.
CAPITOLO II: Principi

Art. 5: Principi relativi al trattamento dei dati personali
(1) I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (“liceità, correttezza e trasparenza”);
b) raccolti per scopi determinati, espliciti e legittimi e non sono successivamente trattati in modo incompatibile con tali scopi; il successivo trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è considerato incompatibile con le finalità iniziali, ai sensi dell'articolo 89, comma 1 ("limitazioni delle finalità");
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure necessarie per garantire che i dati personali inesatti rispetto alle finalità per le quali sono trattati siano cancellati o rettificati senza ritardo (“esattezza”);
e) conservati in una forma che consenta l'identificazione degli interessati per un periodo non superiore a quello necessario per conseguire le finalità per le quali i dati sono trattati; i dati personali possono essere conservati per periodi più lunghi nella misura in cui saranno trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, ai sensi dell'articolo 89, paragrafo 1, fatta salva l'attuazione delle misure tecniche e organizzative adeguate previste dal presente regolamento per garantire i diritti e le libertà dell'interessato (“limitazioni relative alla conservazione”);
f) trattati in modo da garantire un'adeguata sicurezza dei dati personali, compresa la protezione contro trattamenti non autorizzati o illegali e contro la perdita, la distruzione o il danneggiamento accidentali, adottando misure tecniche o organizzative adeguate ("integrità e riservatezza").
(2) L'operatore è responsabile del rispetto del paragrafo (1) e può dimostrarlo ("responsabilità").
Art. 6: Legittimità del trattamento
(1) Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l'interessato ha espresso il consenso al trattamento dei suoi dati personali per una o più finalità specifiche;
b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o per adottare misure su richiesta dell'interessato prima della conclusione di un contratto;
c) il trattamento è necessario per adempiere un obbligo legale a carico del gestore;

d) il trattamento è necessario per tutelare gli interessi vitali dell'interessato o di un'altra persona fisica;
e) il trattamento è necessario per l'adempimento di un compito di interesse pubblico o derivante dall'esercizio dei pubblici poteri di cui è investito il gestore;

f) il trattamento è necessario per il perseguimento del legittimo interesse del gestore o di terzi, a meno che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare quando l'interessato è un bambino.

La lettera f) del primo comma non si applica in caso di trattamento effettuato da pubbliche autorità nell'adempimento delle loro funzioni.
(2) Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adattare l'applicazione delle norme del presente regolamento in materia di trattamento al fine di conformarsi al paragrafo (1), lettere (c) ed (e), definendo requisiti specifici più precisi in merito al trattamento e altre misure per garantire un trattamento lecito e corretto, anche per altre specifiche situazioni di trattamento, come previsto al capo IX.

(3) La base del trattamento di cui al paragrafo (1) lettere (c) ed (e) deve essere prevista: a) dal diritto dell'Unione; O
b) il diritto interno applicabile all'operatore.
La finalità del trattamento è stabilita sulla base della rispettiva base giuridica oppure, per quanto riguarda il trattamento di cui al paragrafo (1) lettera (e), è necessario per l'esecuzione di un compito svolto nel pubblico interesse o nell'ambito l'esercizio di una funzione pubblica affidata all'operatore. La rispettiva base giuridica può contenere disposizioni specifiche riguardanti l'adeguamento dell'applicazione delle norme del presente regolamento, tra le altre: le condizioni generali che regolano la liceità del trattamento da parte dell'operatore; le tipologie di dati oggetto del trattamento; le persone interessate; i soggetti ai quali i dati potranno essere comunicati e le finalità per le quali i rispettivi dati personali potranno essere comunicati; limitazioni dello scopo; periodi di conservazione; e operazioni e procedure di trattamento, comprese le misure per garantire un trattamento legale ed equo come quelle per altre situazioni di trattamento specifiche come previsto nel Capo IX. Il diritto dell’Unione o il diritto nazionale persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.

(4) Se il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non si basa sul consenso dell'interessato o sul diritto dell'Unione o interno, che costituisce una misura necessaria e proporzionata in una società democratica per Per tutelare le finalità di cui all’articolo 23, comma 1, il titolare, al fine di determinare se il trattamento per finalità diverse è compatibile con lo scopo per il quale i dati personali sono stati inizialmente raccolti, tiene conto, tra gli altri:

a) l'eventuale collegamento tra le finalità per le quali i dati personali sono stati raccolti e le finalità del successivo trattamento previsto;
b) il contesto in cui i dati personali sono stati raccolti, con particolare riferimento al rapporto tra interessati e gestore;

c) la natura dei dati personali, in particolare se si tratta di categorie particolari di dati personali, ai sensi dell'articolo 9, o nel caso in cui siano trattati dati personali relativi a condanne penali e reati, ai sensi dell'articolo 10;
d) le possibili conseguenze sugli interessati degli ulteriori trattamenti previsti;

e) l'esistenza di garanzie adeguate, che possono includere la crittografia o la pseudonimizzazione.
Art. 7: Condizioni relative al consenso
(1) Se il trattamento si basa sul consenso, l'operatore deve essere in grado di dimostrare che l'interessato ha dato il proprio consenso al trattamento dei suoi dati personali.
(2) Se il consenso dell'interessato è prestato nell'ambito di una dichiarazione scritta che si riferisce anche ad altri aspetti, la richiesta di consenso deve essere presentata in una forma che la distingua chiaramente dagli altri aspetti, in una forma comprensibile e facilmente accessibile, utilizzando a

linguaggio chiaro e semplice. Qualsiasi parte di tale dichiarazione che costituisca violazione del presente regolamento non è obbligatoria.
(3) L'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento effettuato sulla base del consenso prima della revoca. Prima di prestare il consenso l'interessato viene informato di ciò. Revocarne il consenso è semplice quanto prestarlo.

(4) Nel valutare se il consenso è prestato liberamente, si tiene conto, per quanto possibile, del fatto che, tra l'altro, l'esecuzione di un contratto, compresa la fornitura di un servizio, è condizionata o meno dal consenso relativo alla trattamento dei dati personali personali che non è necessario per l'esecuzione del presente contratto.

Art. 8: Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione

(1) Se si applica l'articolo 6, paragrafo 1, lettera a), per quanto riguarda la fornitura di servizi della società dell'informazione direttamente a un bambino, il trattamento dei dati personali di un bambino è legale se il bambino ha almeno 16 anni. Se il minore ha meno di 16 anni, il relativo trattamento è lecito solo se e nella misura in cui il rispettivo consenso viene concesso o autorizzato dal titolare della responsabilità genitoriale sul minore.

Gli Stati membri possono prevedere per legge un'età inferiore a tali fini, a condizione che l'età inferiore non sia inferiore a 13 anni.
(2) L'operatore compie ogni ragionevole sforzo per verificare in tali casi che il titolare della responsabilità genitoriale abbia concesso o autorizzato il consenso, tenendo conto delle tecnologie disponibili.

(3) Il paragrafo (1) non pregiudica il diritto contrattuale generale applicabile negli Stati membri, come le norme relative alla validità, alla conclusione o agli effetti di un contratto in relazione a un minore.
Art. 9: Trattamento di categorie particolari di dati personali
(1) È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, la confessione religiosa o le convinzioni filosofiche o l'appartenenza sindacale nonché trattare dati genetici, dati biometrici idonei all'identificazione univoca di una persona fisica, dati relativi alla salute o dati riguardanti la vita sessuale o l’orientamento sessuale di una persona fisica.

(2) Il paragrafo (1) non si applica nelle seguenti situazioni:
a) l'interessato ha prestato il suo consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, a meno che il diritto dell'Unione o il diritto interno non preveda che il divieto di cui al paragrafo (1) non possa essere revocato con il consenso dell'interessato ;
b) il trattamento è necessario ai fini dell'adempimento degli obblighi e dell'esercizio di diritti specifici del gestore o dell'interessato in materia di occupazione e sicurezza sociale e protezione sociale, nella misura in cui ciò sia autorizzato dal diritto dell'Unione o dal diritto interno oppure un contratto collettivo di lavoro concluso ai sensi del diritto interno che offra garanzie adeguate per i diritti e gli interessi fondamentali della persona interessata;
c) il trattamento è necessario per tutelare gli interessi vitali dell'interessato o di un'altra persona fisica, quando l'interessato è nell'impossibilità fisica o giuridica di prestare il consenso;
d) il trattamento sia svolto nell'ambito delle loro attività legittime e con adeguate garanzie da una fondazione, un'associazione o qualsiasi altro organismo senza scopo di lucro avente specificità politiche, filosofiche, religiose o sindacali, purché il trattamento sia riferito solo ai suoi aderenti o a agli ex membri del rispettivo organo o alle persone con le quali ha contatti permanenti in relazione ai suoi scopi e che i dati personali non vengono comunicati a terzi senza il consenso degli interessati; e) il trattamento riguarda dati personali resi pubblicamente pubblici dall'interessato;
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali agiscano nell'esercizio della loro funzione giurisdizionale;

g) il trattamento è necessario per motivi di interesse pubblico rilevante, basato sul diritto dell'Unione o interno, che è proporzionato all'obiettivo perseguito, rispetta l'essenza del diritto alla protezione dei dati e prevede misure adeguate e specifiche per proteggere i diritti fondamentali e interessi dell'interessato;

h) il trattamento è necessario per finalità relative alla medicina preventiva o del lavoro, alla valutazione della capacità lavorativa del dipendente, all'instaurazione di una diagnosi medica, alla prestazione di assistenza medica o sociale o di cure mediche o alla gestione di sistemi e servizi sanitari o di assistenza sociale, basata sul diritto dell'Unione o sul diritto interno o basata su un contratto concluso con personale medico e soggetta al rispetto delle condizioni e delle garanzie previste al paragrafo 3;

i) il trattamento è necessario per motivi di interesse pubblico nel campo della sanità pubblica, come la protezione contro gravi minacce per la salute a carattere transfrontaliero o la garanzia di elevati standard di qualità e di sicurezza delle cure mediche e dei medicinali o dei dispositivi medici, sulla base del diritto dell'Unione o del diritto interno, che prevede misure adeguate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale; o j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, a fini di ricerca scientifica o storica o a fini statistici, ai sensi dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o del diritto interno, che sia proporzionale all'obiettivo seguito, rispetta l’essenza del diritto alla protezione dei dati e prevede misure adeguate e specifiche per tutelare i diritti e gli interessi fondamentali dell’interessato.

(3) I dati personali di cui al paragrafo (1) possono essere trattati per le finalità di cui al paragrafo (2) lettera (h) se i relativi dati sono trattati da un professionista soggetto all'obbligo di mantenere il segreto professionale o ai sensi del responsabilità, sulla base del diritto dell’Unione o del diritto interno o sulla base delle norme stabilite dai competenti organismi nazionali o da un altro soggetto soggetto anche ad un obbligo di riservatezza sulla base del diritto dell’Unione o del diritto interno o delle norme stabilite dai competenti organismi nazionali.

(4) Gli Stati membri possono mantenere o introdurre condizioni aggiuntive, comprese restrizioni, riguardo al trattamento dei dati genetici, dei dati biometrici o dei dati sanitari.
Art. 10: Trattamento dei dati personali relativi a condanne penali e reati

Il trattamento di dati personali relativi a condanne penali e reati o a connesse misure di sicurezza ai sensi dell'articolo 6, comma 1, è effettuato solo sotto il controllo di un'autorità statale o quando il trattamento è autorizzato dal diritto dell'Unione o dal diritto nazionale che prevede garanzie adeguate per i diritti e le libertà delle persone interessate. Qualsiasi registro completo delle condanne penali è tenuto solo sotto il controllo di un'autorità statale.

Art. 11: Trattamenti che non richiedono l'identificazione
(1) Se gli scopi per i quali l'operatore tratta i dati personali non richiedono o non richiedono più l'identificazione dell'interessato da parte dell'operatore, l'operatore non ha l'obbligo di conservare, ottenere o elaborare ulteriori informazioni per identificare l'interessato in al solo scopo di rispettare il presente regolamento.
(2) Se, nei casi menzionati al paragrafo (1) del presente articolo, l'operatore può dimostrare di non essere in grado di identificare l'interessato, l'operatore ne informa l'interessato, se possibile. In tali casi non si applicano gli articoli da 15 a 20, a meno che l'interessato, per esercitare i diritti previsti da tali articoli, non fornisca ulteriori informazioni che ne consentano l'identificazione.
CAPO III: Diritti dell'interessato
Sezione 1: Trasparenza e modalità
Art. 12: Trasparenza delle informazioni, delle comunicazioni e delle modalità di esercizio dei diritti dell'interessato
(1) Il gestore adotta misure idonee a fornire all'interessato le informazioni di cui agli articoli 13 e 14 e le eventuali comunicazioni basate sugli articoli 15-22 e 34 relative al trattamento, in forma concisa, trasparente, intelligibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice, in particolare

per qualsiasi informazione specificatamente indirizzata a un bambino. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, in formato elettronico. Su richiesta dell'interessato, le informazioni possono essere fornite oralmente, a condizione che l'identità dell'interessato sia comprovata con altri mezzi.

(2) Il gestore facilita l'esercizio dei diritti dell'interessato ai sensi degli articoli 15-22. Nei casi di cui all'articolo 11, comma 2, il gestore non si rifiuta di ottemperare alla richiesta dell'interessato di esercitare i diritti di cui agli articoli 15-22, salvo che il gestore dimostri di non essere in grado di identificare l'interessato .

(3) L'operatore fornisce all'interessato informazioni sulle azioni intraprese a seguito di una richiesta basata sugli articoli 15-22, senza indebito ritardo e in ogni caso entro un mese dal ricevimento della richiesta. Questo periodo può essere prorogato di due mesi, se necessario, tenendo conto della complessità e del numero delle domande. L'operatore informa l'interessato dell'eventuale proroga, entro un mese dal ricevimento della richiesta, esponendo i motivi del ritardo. Se l'interessato presenta una richiesta in formato elettronico, le informazioni sono fornite ove possibile in formato elettronico, a meno che l'interessato non richieda un formato diverso. (4) Se non adotta misure in merito alla richiesta dell'interessato, l'operatore informa l'interessato, senza indugio e al massimo entro un mese dal ricevimento della richiesta, sui motivi per cui non adotta misure e sulle modalità possibilità di proporre reclamo ad un’autorità di controllo e di proporre ricorso giurisdizionale.

(5) Le informazioni fornite ai sensi degli articoli 13 e 14 nonché le comunicazioni e gli eventuali provvedimenti adottati ai sensi degli articoli 15-22 e 34 sono fornite gratuitamente. Se le richieste dell'interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il gestore può:

a) imporre un compenso ragionevole tenendo conto dei costi amministrativi per fornire le informazioni o la comunicazione o per adottare le misure richieste;

b) ovvero rifiutarsi di ottemperare alla richiesta.
In questi casi spetta all'operatore l'onere di provare il carattere manifestamente infondato o eccessivo della richiesta.
(6) Fatto salvo l'articolo 11, se nutre ragionevoli dubbi sull'identità della persona fisica che presenta la richiesta di cui agli articoli da 15 a 21, l'operatore può richiedere la fornitura di ulteriori informazioni necessarie per confermare l'identità dell'interessato. (7) Le informazioni da fornire agli interessati ai sensi degli articoli 13 e 14 possono essere fornite in combinazione con icone standardizzate per fornire in modo facilmente visibile, intelligibile e chiaramente leggibile una panoramica significativa del trattamento previsto. Se le icone sono presentate in formato elettronico, devono poter essere lette automaticamente. (8) Alla commissione è conferito il potere di adottare atti delegati conformemente all'articolo 92 al fine di determinare le informazioni che devono essere presentate dai pittogrammi e le procedure per fornire pittogrammi standardizzati.
Sezione 2: Informazioni e accesso ai dati personali
Art. 13: Informazioni da fornire qualora siano raccolti dati personali presso l'interessato
(1) Se i dati personali relativi a un interessato vengono raccolti presso di lui, l'operatore, al momento dell'ottenimento di tali dati personali, fornisce all'interessato tutte le seguenti informazioni:
a) l'identità e i dati di contatto dell'operatore e, se del caso, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, a seconda dei casi;
c) le finalità per le quali i dati personali sono trattati, nonché la base giuridica del trattamento; d) se il trattamento è effettuato ai sensi dell'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal gestore o da terzi;
e) destinatari o categorie di destinatari dei dati personali;
f) se applicabile, l'intenzione dell'operatore di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione della Commissione sull'adeguatezza

o, nel caso dei trasferimenti di cui all'articolo 46 o 47 o all'articolo 49, paragrafo 1, secondo comma, un riferimento alle garanzie adeguate o opportune e ai mezzi per ottenerne copia, se sono state poste in essere disposizione.
(2) Oltre alle informazioni di cui al paragrafo (1), quando vengono ottenuti i dati personali, l'operatore fornisce all'interessato le seguenti informazioni aggiuntive necessarie per garantire un trattamento corretto e trasparente:

a) il periodo durante il quale i dati personali saranno conservati oppure, se non è possibile, i criteri utilizzati per stabilire tale periodo;
b) l'esistenza del diritto di chiedere all'operatore, relativamente ai dati personali relativi all'interessato, l'accesso agli stessi, la loro rettifica o cancellazione o la limitazione del trattamento o il diritto di opporsi al trattamento, nonché il diritto di portabilità dei dati; c) quando il trattamento è basato sull'articolo 6, paragrafo 1, lettera (a) o sull'articolo 9, paragrafo 2, lettera (a), l'esistenza del diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato sulla base del consenso prima della sua revoca;

d) il diritto di proporre reclamo davanti ad un'autorità di controllo;
e) se il conferimento dei dati personali rappresenta un obbligo legale o contrattuale oppure un obbligo necessario per la conclusione di un contratto, nonché se l'interessato è obbligato a fornire tali dati personali e quali sono le possibili conseguenze del mancato rispetto di tale obbligo obbligo;
f) l'esistenza di un processo decisionale automatizzato comportante la creazione di profili, di cui all'articolo 22, commi 1 e 4, nonché, almeno nei rispettivi casi, le informazioni pertinenti alla logica utilizzata e alle modalità l’importanza e le conseguenze previste di tale trattamento per l’interessato.
(3) Qualora il gestore intenda trattare successivamente i dati personali per una finalità diversa da quella per cui sono stati raccolti, il gestore fornirà all'interessato, prima di tale ulteriore trattamento, informazioni relative alla rispettiva finalità secondaria ed eventuali ulteriori informazioni pertinente, in conformità al paragrafo (2).
(4) I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l'interessato possiede già le rispettive informazioni.
Art. 14: Informazioni da fornire qualora i dati personali non siano stati acquisiti presso l'interessato

(1) Se i dati personali non sono stati ottenuti presso l'interessato, l'operatore fornisce all'interessato le seguenti informazioni:
a) l'identità e i dati di contatto dell'operatore e, se del caso, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, a seconda dei casi;

c) le finalità per le quali i dati personali sono trattati, nonché la base giuridica del trattamento; d) categorie di dati personali interessati;
e) destinatari o categorie di destinatari dei dati personali, a seconda dei casi;
f) se applicabile, l'intenzione del gestore di trasferire dati personali a un destinatario di un paese terzo o un'organizzazione internazionale e l'esistenza o l'assenza di una decisione della Commissione in merito all'adeguatezza o, nel caso dei trasferimenti di cui all'art. articolo 46 o 47 o all'articolo 49, comma 1, secondo comma, un riferimento alle garanzie adeguate o opportune e ai mezzi per ottenerne copia, se sono state messe a disposizione.

(2) Oltre alle informazioni di cui al paragrafo (1), l'operatore fornisce all'interessato le seguenti informazioni necessarie per garantire un trattamento corretto e trasparente relativo all'interessato:
a) il periodo durante il quale i dati personali saranno conservati oppure, se non è possibile, i criteri utilizzati per stabilire tale periodo;

b) se il trattamento è effettuato ai sensi dell'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal gestore o da terzi;

c) l'esistenza del diritto di chiedere al gestore, relativamente ai dati personali relativi all'interessato, l'accesso agli stessi, la loro rettifica o cancellazione o limitazione del trattamento e il diritto di opporsi al trattamento, nonché il diritto alla portabilità dei dati ; d) quando il trattamento è basato sull'articolo 6, paragrafo 1, lettera (a) o sull'articolo 9, paragrafo 2, lettera (a), l'esistenza del diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato sulla base del consenso prima della sua revoca;

e) il diritto di proporre reclamo davanti ad un'autorità di controllo;
f) l'origine dei dati personali ed eventualmente se provengono da fonti pubblicamente disponibili;
g) l'esistenza di un processo decisionale automatizzato ivi compresa la creazione dei profili di cui all'articolo 22, commi 1 e 4, nonché, almeno nei rispettivi casi, informazioni rilevanti sulla logica utilizzata e sulle modalità l’importanza e le conseguenze previste di tale trattamento per l’interessato.
(3) L'operatore fornisce le informazioni di cui ai paragrafi (1) e (2):
a) entro un termine ragionevole dall'ottenimento dei dati personali, ma non superiore a un mese, tenuto conto delle specifiche circostanze in cui i dati personali sono trattati; b) se i dati personali devono essere utilizzati per la comunicazione con l'interessato, al più tardi al momento della prima comunicazione all'interessato; O
c) qualora si intenda comunicare i dati personali ad un altro destinatario, al più tardi alla data in cui essi sono comunicati per la prima volta.
(4) Se il gestore intende trattare successivamente i dati personali per uno scopo diverso da quello per cui sono stati ottenuti, il gestore fornirà all'interessato, prima di questo ulteriore trattamento, informazioni relative alla rispettiva finalità secondaria ed eventuali ulteriori informazioni pertinente, in conformità al paragrafo (2).
(5) I paragrafi da (1) a (4) non si applicano se e nella misura in cui:
a) l'interessato è già in possesso dei dati;
b) il conferimento di tali informazioni si rivela impossibile o implicherebbe sforzi sproporzionati, soprattutto in caso di trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie previste nell'articolo 89, paragrafo 1, o nella misura in cui l'obbligo di cui al paragrafo 1 di questo articolo rischia di rendere impossibile o di pregiudicare gravemente il raggiungimento degli obiettivi del rispettivo trattamento. In tali casi, l'operatore prende le opportune misure misure volte a tutelare i diritti, le libertà e gli interessi legittimi dell'interessato, compresa la messa a disposizione del pubblico delle informazioni;
c) l'ottenimento o la comunicazione dei dati sia espressamente previsto dal diritto dell'Unione o interno cui rientra l'operatore e che prevede misure adeguate a tutela dei legittimi interessi dell'interessato; O
d) se i dati personali devono rimanere riservati sulla base di un obbligo legale di segreto professionale regolato dal diritto dell'Unione o dal diritto interno, compreso un obbligo legale di mantenere la segretezza.
Art. 15: Diritto di accesso dell'interessato
(1) L'interessato ha il diritto di ottenere dal gestore la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, l'accesso ai rispettivi dati e alle seguenti informazioni:
a) le finalità del trattamento;
b) delle categorie di dati personali interessati;
c) destinatari o categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare destinatari di paesi terzi o organizzazioni internazionali;
d) quando possibile, il periodo durante il quale è prevista la conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per stabilire tale periodo; e) l'esistenza del diritto di chiedere all'operatore la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali relativi all'interessato o il diritto di opporsi al trattamento;

f) il diritto di proporre reclamo davanti ad un'autorità di controllo;
g) se i dati personali non sono raccolti presso l'interessato, l'eventuale informazione disponibile circa la loro fonte;
h) l'esistenza di un processo decisionale automatizzato ivi compresa la creazione dei profili di cui all'articolo 22, commi 1 e 4, nonché, almeno nei rispettivi casi, le informazioni pertinenti alla logica utilizzata e alle modalità l’importanza e le conseguenze previste di tale trattamento per l’interessato.
(2) Se i dati personali sono trasferiti verso un paese terzo o un'organizzazione internazionale, l'interessato ha il diritto di essere informato sulle garanzie adeguate ai sensi dell'articolo 46 riguardo al trasferimento.
(3) L'operatore fornisce una copia dei dati personali oggetto del trattamento. Per eventuali altre copie richieste dall'interessato, l'operatore può addebitare un contributo spese ragionevole, basato sui costi amministrativi. Se l'interessato presenta la domanda in formato elettronico e a meno che l'interessato non richieda un formato diverso, le informazioni sono fornite nel formato elettronico comunemente utilizzato.
(4) Il diritto di ottenere una copia di cui al paragrafo (3) non pregiudica i diritti e le libertà altrui.
Sezione 3: rettifica e cancellazione
Art. 16: Diritto di rettifica
L'interessato ha il diritto di ottenere dal gestore, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che lo riguardano. Tenuto conto delle finalità per le quali i dati sono stati trattati, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Arte. 17: Diritto alla cancellazione dei dati ("diritto all'oblio")
(1) L'interessato ha il diritto di ottenere dal gestore la cancellazione dei dati personali che lo riguardano, senza ingiustificato ritardo, e il gestore ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali se si applica uno dei seguenti motivi: a ) i dati personali non sono più necessari per conseguire le finalità per le quali sono stati raccolti o trattati;
b) l'interessato revoca il consenso in base al quale avviene il trattamento, ai sensi dell'articolo 6, paragrafo 1, lettera (a) o dell'articolo 9, paragrafo 2, lettera (a), e non sussiste altra base giuridica per il trattamento;
c) l'interessato si oppone al trattamento ai sensi dell'articolo 21, comma 1, e non esistono motivi legittimi prevalenti rispetto al trattamento oppure l'interessato si oppone al trattamento ai sensi dell'articolo 21, comma 2;
d) i dati personali sono stati trattati in violazione di legge;
e) i dati personali devono essere cancellati per adempiere a un obbligo legale che spetta all'operatore in base al diritto dell'Unione o al diritto interno in base al quale si trova l'operatore; f) i dati personali sono stati raccolti nell'ambito della fornitura di servizi della società dell'informazione di cui all'articolo 8, comma 1.
(2) Se l'operatore ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, l'operatore, tenendo conto della tecnologia disponibile e dei costi di implementazione, adotta misure ragionevoli, comprese misure tecniche, per informare agli operatori che trattano dati personali che l'interessato ha richiesto la cancellazione da parte di tali operatori di eventuali collegamenti ai rispettivi dati o di eventuali copie o riproduzioni di tali dati personali.

(3) I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento è necessario:

a) per l'esercizio del diritto alla libera espressione e informazione;

b) per adempiere a un obbligo legale che prevede un trattamento basato sul diritto dell'Unione o interno applicabile al gestore o per l'adempimento di un compito svolto nell'interesse

pubblicamente o nell'esercizio di pubblici poteri di cui è investito l'operatore;

c) per motivi di interesse pubblico nel campo della sanità pubblica, ai sensi dell'articolo 9, comma 2

lettere (h) e (i) e dell'articolo 9, comma (3);

d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di renderlo impossibile, oppure pregiudicare gravemente il raggiungimento degli obiettivi del trattamento

rispettivamente; O

e) per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. (dal 23 maggio 2018, art. 17, comma 3, del Capo III, Sezione 3, così modificato dal punto 3 della Modifica del 23 maggio

2018)
Art. 18: Diritto di limitazione di trattamento
(1) L'interessato ha il diritto di ottenere dal gestore la limitazione del trattamento se ricorre uno dei seguenti casi:
a) l'interessato contesta l'esattezza dei dati, per un periodo che consenta al gestore di verificare l'esattezza dei dati;
b) il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali, chiedendo invece la limitazione del loro utilizzo;
c) il gestore non ha più bisogno dei dati personali ai fini del trattamento, ma l'interessato li richiede per accertare, esercitare o difendere un diritto in sede giudiziaria; O
d) l'interessato si è opposto al trattamento ai sensi dell'articolo 21, comma 1, per il periodo in cui viene verificato se i diritti legittimi del titolare prevalgono su quelli dell'interessato.
(2) Se il trattamento è stato limitato ai sensi del paragrafo (1), tali dati personali possono essere trattati, salvo che per la conservazione, solo con il consenso dell'interessato o per accertare, esercitare o difendere un diritto in sede giudiziaria o per la tutela dei diritti di un'altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell'Unione o di uno Stato membro.
(3) L'interessato che ha ottenuto la limitazione del trattamento ai sensi del paragrafo 1 viene informato dall'operatore prima della revoca della limitazione del trattamento.
Art. 19: Obbligo di notifica in merito alla rettifica o cancellazione dei dati personali o limitazione del trattamento
Il gestore comunica a ciascun destinatario al quale sono stati comunicati i dati personali le eventuali rettifiche o cancellazioni dei dati personali o limitazioni del trattamento effettuate ai sensi dell'articolo 16, dell'articolo 17, comma 1, e dell'articolo 18, salvo che ciò si riveli impossibile o richieda un trattamento sproporzionato. sforzi. Se l'interessato lo richiede, il gestore informa l'interessato sui rispettivi destinatari.
Art. 20: Diritto alla portabilità dei dati
(1) L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano e che ha fornito all'operatore e ha il diritto di trasmettere tali dati a un altro operatore, senza ostacoli dal gestore a cui sono stati forniti i dati personali, nel caso in cui:
a) il trattamento sia basato sul consenso ai sensi dell'articolo 6, paragrafo 1, lettera (a) o dell'articolo 9, paragrafo 2, lettera (a) o su un contratto ai sensi dell'articolo 6, paragrafo 1, lettera (b); e b) il trattamento è effettuato con mezzi automatizzati.
(2) Nell'esercizio del diritto alla portabilità dei dati ai sensi del paragrafo 1, l'interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un operatore all'altro ove ciò sia tecnicamente fattibile.
(3) L'esercizio del diritto di cui al paragrafo 1 del presente articolo non pregiudica l'articolo 17. Questo diritto non si applica al trattamento necessario per l'adempimento di un compito svolto nel pubblico interesse o nell'esercizio di pubblici poteri con cui è investito l'operatore.
(4) Il diritto di cui al paragrafo (1) non pregiudica i diritti e le libertà altrui.
Sezione 4: Il diritto di opposizione e il processo decisionale individuale automatizzato
Art. 21: Diritto di opposizione

(1) In ogni momento, l'interessato ha diritto di opporsi, per motivi connessi alla sua situazione particolare, al trattamento ai sensi dell'articolo 6, paragrafo 1, lettera (e) o (f) dei dati personali

personale che lo riguarda, compresa la creazione di profili sulla base di tali disposizioni. Il gestore si astiene dal trattare più dati personali, a meno che il gestore non dimostri di avere motivi legittimi e impellenti che giustificano il trattamento e che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato o che lo scopo è quello di accertare, esercitare o difendere un diritto In

esempio.

(ad oggi

23 maggio 2018 Art. 21, par. (1) dal capo III, comma 4 rettificato dal punto 4. della rettifica del 23 maggio 2018)

(2) Quando il trattamento dei dati personali è finalizzato al marketing diretto, l'interessato ha il diritto di opporsi in qualsiasi momento al trattamento effettuato per tale finalità dei dati personali che lo riguardano, compresa la creazione di profili, nella misura in cui ciò sia è legato al rispettivo marketing diretto.

(3) Se l'interessato si oppone al trattamento a fini di marketing diretto, i dati personali non saranno più trattati a tale scopo.
(4) Al più tardi al momento della prima comunicazione con l'interessato, i diritti di cui ai paragrafi (1) e (2) sono esplicitamente portati a conoscenza dell'interessato e presentati in modo chiaro e separato da qualsiasi altra informazione .

(5) Nel contesto dell'utilizzo dei servizi della società dell'informazione e nonostante la direttiva 2002/58/CE, l'interessato può esercitare il proprio diritto di opposizione attraverso mezzi automatici che utilizzano specifiche tecniche.
(6) Se i dati personali sono trattati a fini di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, l’interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento dei dati personali. che la riguardano, salvo che il trattamento sia necessario per l'esecuzione di un compito per motivi di interesse pubblico.

Art. 22: Il processo decisionale individuale automatizzato, compresa la creazione di profili
(1) L'interessato ha il diritto di non essere soggetto a una decisione basata esclusivamente sul trattamento automatizzato, compresa la creazione di profili, che produca effetti giuridici che riguardano l'interessato o che lo incidano in modo analogo in misura significativa.

(2) Il paragrafo 1 non si applica se la decisione:
a) è necessario per la conclusione o l'esecuzione di un contratto tra l'interessato e un operatore dei dati;
b) sia autorizzato dal diritto dell'Unione o interno che si applica al gestore e che prevede anche misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato; O
c) si basa sul consenso esplicito dell'interessato.
(3) Nei casi di cui al paragrafo (2) lettere (a) e (c), l'operatore dei dati adotta misure adeguate per proteggere i diritti, le libertà e gli interessi legittimi dell'interessato, almeno il suo diritto di ottenere l'intervento umano da parte dell'operatore, di esprimere il proprio punto di vista e di impugnare la decisione.
(4) Le decisioni di cui al paragrafo (2) non si basano sulle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, a meno che non si applichi l'articolo 9, paragrafo 2, lettera a) o g) e in cui sono state istituite misure adeguate per tutelare i diritti, le libertà e gli interessi legittimi dell'interessato.
Sezione 5: Restrizioni
Art. 23: Restrizioni
(1) Il diritto dell'Unione o il diritto interno applicabile al gestore dei dati o alla persona autorizzata dal gestore può limitare mediante una misura legislativa la portata degli obblighi e dei diritti previsti dagli articoli 12-22 e 34, nonché dall'articolo 5 nella misura in cui le sue disposizioni corrispondono ai diritti e agli obblighi previsti dagli articoli 12-22, quando tale

La restrizione rispetta l’essenza dei diritti e delle libertà fondamentali ed è una misura necessaria e proporzionata in una società democratica per garantire:
a) sicurezza nazionale;
b) difesa;

c) pubblica sicurezza;
d) la prevenzione, l'indagine, l'accertamento o il perseguimento penale di reati o l'esecuzione di sanzioni penali, compresa la protezione dalle minacce alla pubblica sicurezza e la loro prevenzione; e) altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, in particolare un importante interesse economico o finanziario dell'Unione o di uno Stato membro, anche nei settori monetario, di bilancio e fiscale e nel campo della pubblica amministrazione sanità e previdenza sociale;
f) tutelare l'indipendenza della magistratura e le procedure giudiziarie;
g) prevenzione, indagine, accertamento e perseguimento delle violazioni etiche nel caso di professioni regolamentate;
h) la funzione di controllo, ispezione o regolamentazione connessa, anche occasionalmente, all'esercizio dei pubblici poteri nei casi di cui alle lettere (a)-(e) e (g);
i) tutela dell'interessato o dei diritti e delle libertà altrui; (j) esecuzione di pretese di diritto civile.
(2) In particolare, qualsiasi misura legislativa di cui al paragrafo (1) contiene disposizioni specifiche almeno, se applicabili, riguardanti:
a) le finalità del trattamento o le categorie di trattamento;
b) categorie di dati personali;
c) la portata delle restrizioni introdotte;
d) garanzie per prevenire abusi o accessi o trasferimenti illeciti;
e) menzione dell'operatore o delle categorie di operatori;
f) periodi di conservazione e garanzie applicabili tenuto conto della natura, dell'ambito e delle finalità del trattamento o delle categorie di trattamento;
g) i rischi per i diritti e le libertà delle persone interessate; E
h) il diritto delle persone interessate ad essere informate della limitazione, a meno che ciò non possa incidere sullo scopo della limitazione.
CAPO IV: L'operatore e la persona autorizzata dall'operatore
Sezione 1: Obblighi generali
Art. 24: Responsabilità dell'operatore
(1) Tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché dei rischi con diversi gradi di probabilità e gravità per i diritti e le libertà delle persone fisiche, l'operatore adotta misure tecniche e organizzative adeguate per garantire e essere al fine di dimostrare che il trattamento viene effettuato in conformità al presente regolamento. Le rispettive misure vengono riviste e aggiornate, se necessario.
(2) Quando sono proporzionate in relazione alle operazioni di trattamento, le misure di cui al paragrafo (1) comprendono l'attuazione da parte dell'operatore di adeguate politiche di protezione dei dati. (3) L'adesione ai codici di condotta approvati, di cui all'articolo 40, o a un meccanismo di certificazione approvato, di cui all'articolo 42, può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte dell'operatore.
Art. 25: Garantire la protezione dei dati fin dal momento del concepimento e per impostazione predefinita (1) Considerando lo stato attuale della tecnologia, i costi di attuazione, nonché la natura, l'ambito, il contesto e le finalità del trattamento, nonché i rischi con diversi gradi di probabilità e gravità per i diritti e le libertà delle persone fisiche che il trattamento presenta, il titolare, sia al momento di stabilire le modalità del trattamento, sia al momento del trattamento stesso, mette in atto misure tecniche e organizzative adeguate, come la pseudonimizzazione, che hanno lo scopo di attuare efficacemente i principi di protezione dei dati, come la minimizzazione dei dati, e di integrare le garanzie necessarie nel trattamento, per soddisfare i requisiti del presente regolamento e proteggere i diritti degli interessati.

(2) L'operatore adotta misure tecniche e organizzative adeguate per garantire che, per impostazione predefinita, vengano trattati solo i dati personali necessari per ciascuna specifica finalità del trattamento. Tale obbligo si applica al volume dei dati raccolti, al grado del loro trattamento, al loro periodo di conservazione e alla loro accessibilità. In particolare, tali misure garantiscono che, per impostazione predefinita, i dati personali non siano accessibili, senza l’intervento dell’interessato, ad un numero illimitato di persone.

(3) Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare l'adempimento dei requisiti previsti dai paragrafi (1) e (2) del presente articolo.
Art. 26: Operatori associati
(1) Se due o più operatori stabiliscono congiuntamente le finalità e i mezzi del trattamento, si tratta di operatori associati. Stabiliscono in modo trasparente le responsabilità di ciascuno in termini di adempimento degli obblighi previsti dal presente regolamento, in particolare in termini di esercizio dei diritti degli interessati e gli obblighi di ciascuno di fornire le informazioni previste dagli articoli 13 e 14 , mediante un accordo tra loro, salvo il caso e nella misura in cui le responsabilità degli operatori siano stabilite dal diritto dell'Unione o dal diritto interno ad essi applicabile. L'accordo può designare un punto di contatto per le persone interessate.

(2) L'accordo di cui al comma (1) riflette adeguatamente i rispettivi ruoli e rapporti degli operatori associati nei confronti dei soggetti interessati. L'essenza del presente accordo viene resa nota all'interessato.
(3) Indipendentemente dalle clausole contrattuali di cui al comma (1), l'interessato potrà esercitare i diritti previsti dal presente regolamento nei confronti di ciascuno degli operatori.

Art. 27: Rappresentanti degli operatori o persone autorizzate dagli operatori che non hanno sede nell'Unione
(1) Se si applica l'articolo 3 capoverso 2, l'operatore o la persona da lui autorizzata designa per iscritto un rappresentante nell'Unione.

(2) L’obbligo di cui al paragrafo 1 del presente articolo non si applica:
a) trattamenti che abbiano carattere occasionale, che non comprende, su larga scala, il trattamento di categorie particolari di dati, come previsto dall'articolo 9, comma 1, o il trattamento di dati personali relativi a condanne penali e reati menzionato all'articolo 10, e che difficilmente può comportare un rischio per i diritti e le libertà delle persone, tenuto conto della natura, del contesto, dell'ambito e delle finalità del trattamento; O
b) un'autorità o un ente pubblico.
(3) Il rappresentante ha sede in uno degli Stati membri in cui si trovano gli interessati i cui dati personali sono trattati in relazione alla fornitura di beni e servizi o il cui comportamento è monitorato.
(4) Il rappresentante riceve dall'operatore o dalla persona autorizzata dall'operatore un mandato con il quale le autorità di vigilanza e le persone interessate in particolare possono rivolgersi al rappresentante, oltre all'operatore o alla persona autorizzata dall'operatore o al suo posto di essi, per quanto riguarda tutte le questioni connesse al trattamento, al fine di garantire il rispetto della presente normativa.
(5) La nomina di un rappresentante da parte dell'operatore o della persona autorizzata dall'operatore non pregiudica le azioni legali che potrebbero essere intentate contro l'operatore o la persona autorizzata dall'operatore stesso.
Art. 28: La persona autorizzata dall'operatore
(1) Se il trattamento deve essere effettuato per conto di un operatore, l'operatore si avvale esclusivamente di persone autorizzate che offrono garanzie sufficienti per l'attuazione di misure tecniche e organizzative adeguate, affinché il trattamento sia conforme ai requisiti stabiliti nel presente regolamento e per garantire la tutela dei diritti dell’interessato.
(2) La persona autorizzata dall'operatore non assume un'altra persona autorizzata dall'operatore senza aver prima ricevuto un'autorizzazione scritta, specifica o generale, da parte dell'operatore. In caso di autorizzazione scritta generale, la persona autorizzata dall'operatore informa l'operatore di tutto

modifiche anticipate riguardanti l'aggiunta o la sostituzione di altre persone autorizzate dall'operatore, dando così la possibilità all'operatore di opporsi a tali modifiche.

(3) Il trattamento da parte di una persona autorizzata da un operatore è regolato da un contratto o altro atto giuridico basato sul diritto dell'Unione o interno che vincola la persona autorizzata dall'operatore nei confronti dell'operatore e che ne stabilisce l'oggetto e la durata del trattamento, la natura e la finalità del trattamento, la tipologia dei dati personali e le categorie di soggetti interessati nonché gli obblighi e i diritti del gestore. Il rispettivo contratto o atto giuridico prevede in particolare che la persona autorizzata dall'operatore:

a) trattare i dati personali solo sulla base di istruzioni documentate da parte dell'operatore, anche per quanto riguarda i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, a meno che tale obbligo non spetti alla persona autorizzata ai sensi del diritto dell'Unione o del diritto interno che si applica ad esso; in tal caso, notificare tale obbligo legale all'operatore prima del trattamento, a meno che la rispettiva legge vieti tale notifica per importanti motivi legati all'interesse pubblico;

b) sia garantito che le persone autorizzate al trattamento dei dati personali si siano impegnate a rispettare la riservatezza o abbiano un adeguato obbligo legale di riservatezza;
c) adottare tutte le misure necessarie ai sensi dell'articolo 32;
d) rispettare le condizioni di cui ai paragrafi (2) e (4) per quanto riguarda l'assunzione di un'altra persona autorizzata dall'operatore;

e) tenendo conto della natura del trattamento, offre assistenza all'operatore attraverso misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per l'adempimento dell'obbligo dell'operatore di rispondere alle richieste relative all'esercizio da parte dell'interessato di i diritti previsti al Capo III; f) aiutare l'operatore a garantire il rispetto degli obblighi previsti dagli articoli 32-36, tenendo conto della natura del trattamento e delle informazioni a disposizione della persona autorizzata dall'operatore;

g) su scelta dell'operatore, cancellare o restituire all'operatore tutti i dati personali dopo la cessazione della fornitura di servizi relativi al trattamento ed eliminare le copie esistenti, a meno che il diritto dell'Unione o il diritto interno non richieda la conservazione dei dati personali;
h) fornisce all'operatore tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal presente articolo, consente gli audit, comprese le ispezioni, effettuati dall'operatore o da altro auditor autorizzato e contribuisce ad essi.

Per quanto riguarda il primo comma lettera (h), la persona autorizzata dall'operatore informa immediatamente l'operatore se, a suo avviso, un'istruzione viola il presente regolamento o altre disposizioni del diritto interno o dell'Unione in materia di protezione dei dati.
(4) Nel caso in cui una persona autorizzata da un operatore assuma un'altra persona autorizzata per svolgere specifiche attività di trattamento per conto dell'operatore, valgono gli stessi obblighi di protezione dei dati previsti dal contratto o da altro atto giuridico concluso tra l'operatore e la persona autorizzata da parte dell'operatore, come previsto al paragrafo 3, spetta alla seconda persona autorizzata, mediante un contratto o altro atto giuridico, basato sul diritto dell'Unione o sul diritto interno, in particolare la fornitura di garanzie sufficienti per l'attuazione di un adeguato misure tecniche e organizzative, affinché il trattamento soddisfi i requisiti del presente regolamento. Nel caso in cui questa seconda persona autorizzata non rispetti i suoi obblighi in materia di protezione dei dati, la prima persona autorizzata rimane pienamente responsabile nei confronti dell'operatore per quanto riguarda l'adempimento degli obblighi di questa seconda persona autorizzata.

(5) L'adesione della persona autorizzata dall'operatore a un codice di condotta approvato, di cui all'articolo 40, o a un meccanismo di certificazione approvato, di cui all'articolo 42, può essere utilizzata come elemento per dimostrare l'esistenza di sufficienti garanzie di cui ai commi (1) e (4) del presente articolo.

(6) Fatto salvo il contratto individuale concluso tra l'operatore e la persona autorizzata dall'operatore, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, , sulle clausole contrattuali tipo di cui ai commi 7 e 8 del presente articolo, anche quando fanno parte di una certificazione rilasciata all'operatore o alla persona autorizzata dall'operatore ai sensi degli articoli 42 e 43.

(7) La Commissione può prevedere clausole contrattuali tipo per gli aspetti di cui ai paragrafi (3) e (4) del presente articolo e in conformità con la procedura di esame di cui all'articolo 93, paragrafo (2).
(8) Un'autorità di controllo può adottare clausole contrattuali tipo per gli aspetti di cui ai commi 3 e 4 del presente articolo e in conformità al meccanismo di coerenza di cui all'articolo 63.

(9) Il contratto o altro atto giuridico di cui ai paragrafi (3) e (4) deve essere redatto per iscritto, anche in formato elettronico.
(10) Fatti salvi gli articoli 82, 83 e 84, se una persona autorizzata dall'operatore viola il presente regolamento, stabilendo le finalità e i mezzi del trattamento dei dati personali, la persona autorizzata dall'operatore è considerata un operatore per quanto riguarda i rispettivi elaborazione.

Art. 29: Svolgimento dell'attività di trattamento sotto l'autorità del gestore o della persona autorizzata dal gestore
La persona autorizzata dall'operatore e qualsiasi persona che agisce sotto l'autorità dell'operatore o la persona autorizzata dall'operatore che ha accesso ai dati personali non li tratta se non su richiesta dell'operatore, a meno che il diritto dell'Unione o il diritto interno non lo obblighi a farlo.

Art. 30: Registro delle attività di trattamento
(1) Ciascun operatore e, se del caso, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Il registro comprende tutte le seguenti informazioni:
a) il nome e i dati di contatto dell'operatore e, se del caso, dell'operatore associato, del rappresentante dell'operatore e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) la descrizione delle categorie dei soggetti interessati e delle categorie dei dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi destinatari di paesi terzi o organizzazioni internazionali;
e) se applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del rispettivo paese terzo o organizzazione internazionale e, nel caso dei trasferimenti di cui all'articolo 49, paragrafo 1, secondo comma, la documentazione comprovante l'esistenza di adeguate garanzie;
f) ove possibile, i termini previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure tecniche e organizzative di sicurezza di cui all'articolo 32, comma 1.

(2) Ciascuna persona autorizzata dall'operatore ed eventualmente il rappresentante della persona autorizzata dall'operatore tiene un registro di tutte le categorie di attività di trattamento svolte per conto di

l'operatore, che comprende:

a) il nome e i dati di contatto della persona o delle persone autorizzate dall'operatore e di ciascun operatore per conto del quale questa persona (queste persone) agisce, nonché, a seconda dei casi, di

il rappresentante dell'operatore o il rappresentante della persona autorizzata dall'operatore, e di

il responsabile della protezione dei dati;

b) le categorie di trattamenti effettuati per conto di ciascun operatore;

c) se applicabile, trasferimenti di dati personali verso un paese terzo o un'organizzazione

internazionale, compresa l'identificazione del rispettivo Paese terzo o organizzazione internazionale e, nel caso dei trasferimenti previsti dall'articolo 49, paragrafo 1, secondo comma, la documentazione comprovante

l'esistenza di adeguate garanzie;

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative

di cui all'articolo 32 comma (1).

(dal 23 maggio 2018, art. 30, comma (2) del c

capo IV, comma 1 rettificato dal punto 5. della Correzione del 23 maggio- (3) Le registrazioni di cui ai commi (1) e (2) sono redatte per iscritto, anche in formato elettronico.

2018)

(4) L'operatore o la persona da lui autorizzata e, se del caso, il rappresentante dell'operatore o la persona autorizzata dall'operatore, su sua richiesta, mettono i registri a disposizione dell'autorità di controllo.
(5) Gli obblighi di cui ai paragrafi 1 e 2 non si applicano a un'impresa o organizzazione con meno di 250 dipendenti, a meno che il trattamento effettuato possa comportare un rischio per i diritti e le libertà delle persone interessate, il trattamento non non è occasionale né il trattamento riguarda categorie particolari di dati, come previsto dall'articolo 9, comma 1, ovvero dati personali relativi a condanne penali e reati, come previsto dall'articolo 10.

Art. 31: Collaborazione con l'autorità di controllo

L'operatore e la persona autorizzata dall'operatore e, se del caso, il loro rappresentante collaborano, a

richiesta, con l'autorità di controllo nell'adempimento dei suoi compiti.

(in data 23 maggio 2018, art. 31 del Capo IV, comma 1 modificato dal punto 7. del Re

rettifica del 23-maggio-2018)

Sezione 2: Sicurezza dei dati personali
Art.32: Sicurezza del trattamento
(1) Tenendo conto dell'attuale fase di sviluppo, dei costi di attuazione, della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché del rischio con vari gradi di probabilità e gravità per i diritti e le libertà delle persone fisiche, dell'operatore e la persona da lui autorizzata mette in atto misure tecniche e organizzative adeguate al fine di garantire un livello di sicurezza corrispondente a tale rischio, tra cui, a seconda dei casi:
a) pseudonimizzazione e crittografia dei dati personali;
b) la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resistenza continua dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità dei dati personali e l'accesso agli stessi in caso di incidente fisico o tecnico;
d) un processo di test periodici, valutazione e accertamento dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.
(2) Nel valutare il livello di sicurezza adeguato si tiene conto in particolare dei rischi derivanti dal trattamento, generati in particolare, accidentalmente o illegalmente, dalla distruzione, perdita, modifica, divulgazione non autorizzata o accesso non autorizzato ai dati personali trasmessi , archiviati o trattati in altro modo.
(3) L'adesione a un codice di condotta approvato, di cui all'articolo 40, o a un meccanismo di certificazione approvato, di cui all'articolo 42, può essere utilizzata come elemento per dimostrare il rispetto dei requisiti di cui al paragrafo (1) di questo articolo.
(4) L'operatore e la persona da lui autorizzata adottano misure affinché qualsiasi persona fisica che agisce sotto l'autorità dell'operatore o la persona autorizzata dall'operatore e che ha accesso ai dati personali li tratti solo su richiesta dell'operatore , salvo nel caso in cui tale obbligo grava su di lui ai sensi del diritto dell'Unione o del diritto interno.
Art. 33: Notifica all'autorità di controllo in caso di violazione della sicurezza dei dati personali

(1) In caso di violazione della sicurezza dei dati personali, l'operatore deve avvisarlo

di comunicarlo alle autorità di controllo competenti ai sensi dell'articolo 55, senza indebito ritardo e, possibilmente, entro 72 ore dalla data in cui ne ha avuto conoscenza, salvo che sia improbabile che generi un rischio per i diritti e le libertà

persone fisiche. Se la comunicazione all'autorità di controllo non avviene entro il termine

di 72 ore, accompagnato da una motivazione motivata del ritardo.

(in data 23 maggio 2018 art. 33, comma (1) del capo IV, comma 2 così modificato dal punto

8. dalla Correzione del 23 maggio-

2018)
(2) La persona autorizzata dall'operatore informa l'operatore senza indebito ritardo dopo essere venuta a conoscenza di una violazione della sicurezza dei dati personali.
(3) La notifica di cui al paragrafo (1) almeno:

a) descrivere la natura della violazione della sicurezza dei dati personali, comprese, ove possibile, le categorie e il numero approssimativo delle persone interessate, nonché le categorie e il numero approssimativo di registrazioni di dati personali in questione;
b) comunicare il nome e gli estremi di contatto del responsabile della protezione dei dati o di altro punto di contatto presso il quale poter ottenere maggiori informazioni;

c) descrivere le probabili conseguenze della violazione della sicurezza dei dati personali;
d) descrivere le misure adottate o di cui si propone l'adozione da parte dell'operatore per porre rimedio al problema della violazione della sicurezza dei dati personali, comprese, a seconda dei casi, le misure per attenuarne i possibili effetti negativi.
(4) Quando e nella misura in cui non è possibile fornire le informazioni contemporaneamente, queste possono essere fornite in più fasi, senza ritardi ingiustificati.
(5) L'operatore conserva i documenti relativi a tutti i casi di violazione della sicurezza dei dati personali, che includono una descrizione della situazione fattuale in cui si è verificata la violazione della sicurezza dei dati personali, i suoi effetti e le misure correttive adottate. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.
Art. 34: Informare l'interessato della violazione della sicurezza dei dati personali
(1) Se la violazione della sicurezza dei dati personali rischia di comportare un rischio elevato per i diritti e le libertà delle persone fisiche, l'operatore informa l'interessato senza indebito ritardo in merito a tale violazione.
(2) Le informazioni inviate all'interessato previste dal paragrafo 1 del presente articolo includono una descrizione in un linguaggio chiaro e semplice della natura della violazione della sicurezza dei dati personali, nonché almeno le informazioni e le misure di cui all'articolo 33 comma (3) lettere (b), (c) e (d).

(3) L'informazione dell'interessato di cui al paragrafo (1) non è necessaria se è soddisfatta una delle seguenti condizioni:
a) l'operatore ha implementato misure di protezione tecniche e organizzative adeguate e tali misure sono state applicate nel caso di dati personali interessati dalla violazione della sicurezza dei dati personali, in particolare misure per garantire che i dati personali diventino incomprensibili a qualsiasi persona che non lo sia autorizzati ad accedervi, come la crittografia;

b) l'operatore ha adottato ulteriori misure per garantire che non sia più probabile che si realizzi l'elevato rischio per i diritti e le libertà delle persone interessate di cui al paragrafo 1;
c) richiederebbe uno sforzo sproporzionato. In questa situazione, viene invece effettuata un'informazione pubblica o viene adottata una misura simile con la quale le persone interessate vengono informate in modo altrettanto efficace.

(4) Se l'operatore non ha ancora comunicato all'interessato la violazione della sicurezza dei dati personali, l'autorità di controllo, tenuto conto della probabilità che la violazione della sicurezza dei dati personali generi un rischio elevato, può chiedergli di farlo o può decidere che una qualsiasi delle condizioni menzionate al paragrafo (3) è soddisfatta.

Sezione 3: Valutazione d'impatto sulla protezione dei dati e consultazione preventiva

Art. 35: Valutazione dell'impatto sulla protezione dei dati
(1) Considerando la natura, la portata, il contesto e le finalità del trattamento, se un tipo di trattamento, in particolare quello basato sull'uso di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, l'operatore effettua, prima del trattamento, una valutazione di incidenza dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può riguardare una serie di operazioni di trattamento simili che presentano rischi elevati simili.
(2) Nell'effettuare una valutazione dell'impatto sulla protezione dei dati, l'operatore richiede il parere del responsabile della protezione dei dati, se nominato.
(3) La valutazione dell'impatto sulla protezione dei dati di cui al paragrafo (1) è richiesta soprattutto nel caso di:

a) una valutazione sistematica e completa degli aspetti personali relativi alle persone fisiche, che si basa sul trattamento automatizzato, compresa la creazione di profili, e che costituisce la base delle decisioni che producono effetti giuridici riguardanti la persona fisica o che la riguardano in un modo simile in misura significativa;

b) trattamento su larga scala di categorie particolari di dati, di cui all'articolo 9, comma 1, ovvero di dati personali relativi a condanne penali e reati, di cui all'articolo 10; O
c) monitoraggio sistematico su larga scala di un'area accessibile al pubblico.

(4) L'autorità di controllo redige e pubblica un elenco dei tipi di trattamenti soggetti all'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati, ai sensi del paragrafo 1. L'autorità di controllo comunica tali elenchi al comitato di cui all'articolo 68.

(5) L'autorità di controllo può anche stabilire e rendere pubblico un elenco dei tipi di trattamenti per i quali non è necessaria una valutazione dell'impatto sulla protezione dei dati. L'autorità di vigilanza comunica tali elenchi al comitato.
(6) Prima di adottare gli elenchi di cui ai commi 4 e 5, l'autorità di controllo competente applica il meccanismo di coerenza di cui all'articolo 63 nel caso in cui tali elenchi attivi riguardino trattamenti che comportano la fornitura di beni ovvero la fornitura di servizi agli interessati o il monitoraggio del loro comportamento in più Stati membri o che possano incidere in modo sostanziale sulla libera circolazione dei dati personali all'interno dell'Unione. (7) La valutazione contiene almeno:

a) una descrizione sistematica delle operazioni di trattamento previste e delle finalità del trattamento, compreso, se del caso, l'interesse legittimo perseguito dall'operatore;
b) una valutazione della necessità e proporzionalità dei trattamenti rispetto a tali finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al comma 1; e d) le misure previste per affrontare i rischi, comprese garanzie, misure di sicurezza e meccanismi volti a garantire la protezione dei dati personali e dimostrare il rispetto delle disposizioni del presente regolamento, tenendo conto dei diritti e degli interessi legittimi degli interessati e di altri persone interessate.

(8) Nel valutare l'impatto dei trattamenti effettuati dagli operatori o dalle persone autorizzate dagli operatori interessati, il rispetto da parte dei rispettivi operatori o persone autorizzate dei codici di condotta approvati di cui all'articolo 40, in particolare con un vista di una valutazione d’impatto sulla protezione dei dati.

(9) L'operatore richiede, se del caso, il consenso degli interessati o dei loro rappresentanti in merito al trattamento fornito, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza delle operazioni di trattamento.
(10) Quando il trattamento di cui all'articolo 6, paragrafo 1, lettera (c) o (e) ha base giuridica nel diritto dell'Unione o di uno Stato membro in cui ricade il titolare e tale diritto regola lo specifico trattamento operazione o l'insieme di operazioni specifiche in questione e una valutazione d'impatto sulla protezione dei dati è già stata effettuata nell'ambito di una valutazione d'impatto generale nel contesto dell'adozione della rispettiva base giuridica, i paragrafi (1)-(7) non si applicano , a meno che gli Stati membri non ritengano necessario effettuare tale valutazione prima di effettuare le attività di trattamento.

(11) Se necessario, l'operatore effettua un'analisi per valutare se il trattamento avviene in conformità con la valutazione d'impatto sulla protezione dei dati, almeno quando si verifica un cambiamento nel rischio rappresentato dalle operazioni di trattamento.
Art. 36: Consultazione preventiva

(1) L'operatore consulta l'autorità di controllo prima del trattamento quando la valutazione dell'impatto sulla protezione dei dati prevista dall'articolo 35 indica che il trattamento genererebbe un rischio elevato in assenza di misure adottate dall'operatore per attenuare il rischio.
(2) Quando ritiene che il trattamento fornito di cui al paragrafo (1) violerebbe il presente regolamento, soprattutto quando il rischio non è stato identificato o mitigato in misura sufficiente

all'operatore, l'autorità di vigilanza fornisce un parere scritto all'operatore e, se del caso, alla persona autorizzata dall'operatore, entro otto settimane al massimo dal ricevimento della richiesta di consultazione, e può avvalersi di tutti i poteri di cui all'art. articolo 58. Tale termine può essere prorogato di sei settimane, tenendo conto della complessità del trattamento fornito. L'autorità di controllo informa l'operatore ed eventualmente la persona da lui autorizzata, entro un mese dal ricevimento della richiesta, dell'eventuale proroga, esponendo i motivi del ritardo. Tali termini possono essere sospesi finché l'autorità di controllo non abbia ottenuto le informazioni richieste ai fini della consultazione.

(3) L'operatore, consultando l'autorità di vigilanza ai sensi del paragrafo 1, le fornisce:
a) se applicabile, le rispettive responsabilità del titolare, degli operatori associati e delle persone autorizzate dal titolare coinvolti nelle attività di trattamento, in particolare per i trattamenti all'interno di un gruppo di società;

b) le finalità e i mezzi del trattamento previsto;
c) le misure e le garanzie previste per la tutela dei diritti e delle libertà degli interessati, ai sensi del presente regolamento;
d) se applicabile, i dati di contatto del responsabile della protezione dei dati;
e) la valutazione d'impatto sulla protezione dei dati prevista dall'articolo 35; E
f) ogni altra informazione richiesta dall'autorità di controllo.
(4) Gli Stati membri consultano l'autorità di controllo nel processo di preparazione di una proposta di misura legislativa che deve essere adottata da un parlamento nazionale o di una misura regolamentare basata su tale misura legislativa, che si riferisce al trattamento. (5) Nonostante il paragrafo (1), il diritto interno può imporre agli operatori di consultare l'autorità di controllo e di ottenere da essa la previa autorizzazione in relazione al trattamento da parte di un operatore al fine di svolgere un compito da lui esercitato nell'interesse pubblico, compreso trattamenti legati alla protezione sociale e alla sanità pubblica.
Sezione 4: Responsabile della protezione dei dati
Art. 37: Designazione del responsabile della protezione dei dati
(1) Il gestore e la persona autorizzata dal gestore nominano un responsabile della protezione dei dati ogni volta che:
a) il trattamento è effettuato da un'autorità o da un organismo pubblico, ad eccezione degli organi giurisdizionali che agiscono nell'esercizio della loro funzione giurisdizionale;
b) le principali attività del gestore o della persona autorizzata dal gestore consistono in operazioni di trattamento che, per la loro natura, ambito e/o finalità, richiedono un monitoraggio periodico e sistematico degli interessati su larga scala; O

c) le principali attività dell'operatore o della persona autorizzata dall'operatore consistono in

trattamento su larga scala di categorie particolari di dati ai sensi dell'articolo 9 o di dati con

carattere personale relativo a condanne penali e reati, di cui all'articolo 10.

(in data 23 maggio 2018, art. 37, comma (1), lettera C. del capo IV, comma 4 così come modificato dal punto 9. della Rettifica del 23-

maggio-2018)
(2) Un gruppo di imprese può nominare un unico responsabile della protezione dei dati, a condizione che il responsabile della protezione dei dati sia facilmente raggiungibile da ciascuna impresa.
(3) Se l'operatore o la persona autorizzata dall'operatore è un'autorità pubblica o un ente pubblico, per più di queste autorità o organismi può essere nominato un unico responsabile della protezione dei dati, tenendo conto della loro struttura organizzativa e delle loro dimensioni. (4) Nei casi diversi da quelli di cui al paragrafo 1, l'operatore o la persona autorizzata dall'operatore o le associazioni e altri organismi che rappresentano categorie di operatori o persone autorizzate dagli operatori possono nominare o, ove il diritto dell'Unione o il diritto interno lo richieda questo lavoro, designa un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire a favore di tali associazioni e altri enti che rappresentano gli operatori o persone autorizzate dagli operatori.

(5) Il responsabile della protezione dei dati è nominato sulla base delle qualifiche professionali e, in particolare, delle conoscenze specialistiche della legislazione e delle pratiche nel campo della protezione dei dati, nonché sulla base della capacità di svolgere i compiti previsti nell'articolo 39.
(6) Il responsabile della protezione dei dati può essere un membro del personale dell'operatore o una persona autorizzata dall'operatore o può svolgere i suoi compiti sulla base di un contratto di servizi. (7) L'operatore o la persona autorizzata dall'operatore pubblica i dati di contatto del responsabile della protezione dei dati e li comunica alle autorità di controllo.

Art. 38: Funzione del responsabile della protezione dei dati
(1) L'operatore e la persona autorizzata dall'operatore garantiscono che il responsabile della protezione dei dati sia adeguatamente e tempestivamente coinvolto in tutti gli aspetti relativi alla protezione dei dati personali.
(2) L'operatore e la persona autorizzata dall'operatore supportano il responsabile della protezione dei dati nell'adempimento dei compiti di cui all'articolo 39, fornendogli le risorse necessarie per l'esecuzione di tali compiti, nonché l'accesso ai dati personali e alle operazioni di trattamento, e per mantenere la sua specialità di conoscenza.
(3) L'operatore e la persona autorizzata dall'operatore garantiscono che il responsabile della protezione dei dati non riceva istruzioni riguardo all'esecuzione di questi compiti. Non viene licenziato né sanzionato dall'operatore o dalla persona autorizzata dall'operatore all'adempimento dei suoi compiti. Il responsabile della protezione dei dati è direttamente responsabile nei confronti del più alto livello dirigenziale dell'operatore o della persona autorizzata dall'operatore.
(4) Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati e all'esercizio dei loro diritti ai sensi del presente regolamento. (5) Il responsabile della protezione dei dati ha l'obbligo di rispettare il segreto o la riservatezza nell'esercizio delle sue funzioni, in conformità al diritto dell'Unione o al diritto nazionale. (6) Il responsabile della protezione dei dati può svolgere altri compiti e responsabilità. L'operatore o la persona autorizzata dall'operatore garantisce che nessuno di questi compiti e doveri generi un conflitto di interessi.
Art. 39: Compiti del responsabile della protezione dei dati
(1) Il responsabile della protezione dei dati ha almeno i seguenti compiti:
a) informare e consigliare l'operatore, o la persona autorizzata dall'operatore, nonché i dipendenti che si occupano del trattamento in merito agli obblighi previsti dal presente regolamento e da altre disposizioni del diritto dell'Unione o del diritto interno in materia di protezione dei dati; b) monitorare il rispetto del presente regolamento, di altre disposizioni del diritto dell'Unione o del diritto interno relative alla protezione dei dati e delle politiche dell'operatore o della persona autorizzata dall'operatore in materia di protezione dei dati personali, compresa la ripartizione delle responsabilità e le azioni di sensibilizzazione e formazione del personale coinvolto nelle operazioni di trattamento, nonché relativi controlli;
c) la prestazione di consulenza su richiesta in merito alla valutazione dell'impatto sulla protezione dei dati e al monitoraggio del suo funzionamento, ai sensi dell'articolo 35;
d) collaborazione con l'autorità di controllo;
e) assumere il ruolo di punto di contatto dell'autorità di controllo per le questioni relative al trattamento, compresa la consultazione preventiva di cui all'articolo 36, nonché, se necessaria, la consultazione su qualsiasi altra questione.
(2) Nell'adempimento dei suoi compiti, il responsabile della protezione dei dati tiene conto del rischio associato alle operazioni di trattamento, tenendo conto della natura, dell'ambito, del contesto e delle finalità del trattamento.
Sezione 5: Codici di condotta e certificazione
Art. 40: Codici di condotta
(1) Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, tenendo conto delle caratteristiche specifiche dei vari settori di trasformazione e delle esigenze specifiche dei microimprese e piccole imprese e quelle medie.

(2) Le associazioni e gli altri enti che rappresentano categorie di operatori o persone autorizzate dagli operatori possono predisporre codici di condotta o modificare o ampliare quelli esistenti, al fine di specificare le modalità di applicazione del presente regolamento, ad esempio per quanto riguarda:
a) trattamento corretto e trasparente;

b) i legittimi interessi perseguiti dagli operatori in specifici contesti; c) raccolta dei dati personali;
d) pseudonimizzazione dei dati personali;
e) informare il pubblico e gli interessati;

f) esercitare i diritti degli interessati;
g) l'informazione e la tutela dei minori e le modalità con cui deve essere acquisito il consenso dei titolari della responsabilità genitoriale sui minori;
h) le misure e procedure di cui agli articoli 24 e 25 e le misure volte a garantire la sicurezza del trattamento, di cui all'articolo 32;
i) segnalare alle autorità di controllo eventuali violazioni della sicurezza dei dati personali e informare gli interessati di tali violazioni;
j) il trasferimento dei dati personali verso paesi terzi o organizzazioni internazionali; O
k) procedure stragiudiziali e altre procedure di risoluzione delle controversie tra gestori e interessati in merito al trattamento, fermi restando i diritti degli interessati, ai sensi degli articoli 77 e 79.
(3) Ai codici di condotta approvati ai sensi del comma 5 del presente articolo e che hanno validità generale ai sensi del comma 9 del presente articolo possono aderire non solo gli operatori o le persone autorizzate dagli operatori soggetti al presente regolamento , ma anche operatori o persone autorizzate dagli operatori che non sono soggetti al presente regolamento ai sensi dell'articolo 3, al fine di prestare adeguate garanzie nell'ambito dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all'articolo 46 comma (2) lettera (e). Tali operatori o persone da essi autorizzate assumono impegni vincolanti ed esecutivi, mediante strumenti contrattuali o altri strumenti giuridicamente vincolanti, al fine di applicare le rispettive garanzie adeguate, anche in merito ai diritti degli interessati.
(4) Il codice di condotta previsto dal comma 2 del presente articolo prevede meccanismi che consentono all'organismo di cui all'articolo 41, comma 1, di effettuare il controllo obbligatorio sul rispetto delle sue disposizioni da parte degli operatori o delle persone autorizzate dal operatori che si impegnano ad applicarla, fermi restando i compiti e i poteri delle autorità di vigilanza competenti ai sensi dell'articolo 55 o 56.
(5) Le associazioni e gli altri enti di cui al comma 2 del presente articolo che intendano elaborare un codice di condotta ovvero modificare o ampliare un codice esistente sottopongono il progetto di codice, modifica o estensione all'autorità di controllo competente in materia. ai sensi dell'articolo 55. L'autorità di vigilanza esprime un parere sulla conformità al presente regolamento della proposta di codice, di modifica o di estensione e lo approva se ritiene che offra garanzie sufficienti e adeguate.
(6) Se il progetto di codice, la modifica o l'estensione è approvato ai sensi del paragrafo 5 e il codice di condotta in questione non è correlato ad attività di trattamento in più Stati membri, l'autorità di controllo registra anche la pubblicazione del codice.
(7) Se un progetto di codice di condotta, modifica o estensione riguarda attività di trattamento in più Stati membri, prima dell'approvazione, l'autorità di controllo competente ai sensi dell'articolo 55 lo trasmette, mediante la procedura di cui all'articolo 63, al comitato, che emette un parere in merito alla conformità con questo regolamento del rispettivo progetto o, nella situazione menzionata al paragrafo (3) di questo articolo, offre garanzie adeguate.
(8) Se il parere di cui al comma (7) conferma la conformità al presente regolamento del progetto di codice, modifica o estensione o se, nella situazione di cui al comma (3), offre adeguate garanzie, il comitato trasmette il parere della Commissione.

(9) La Commissione può adottare atti di esecuzione per decidere che il codice di condotta approvato, la modifica o l'estensione presentatale a norma del paragrafo 8 del presente articolo hanno validità generale nell'Unione. I rispettivi atti di esecuzione sono adottati secondo la procedura d'esame prevista dall'articolo 93, comma 2.

(10) La commissione assicura un'adeguata pubblicità ai codici approvati di cui è stata decisa la validità generale ai sensi del paragrafo (9).
(11) Il Comitato raggruppa in un registro tutti i codici di condotta approvati, le modifiche e le estensioni e li mette a disposizione del pubblico con mezzi adeguati.

Art. 41: Controllo dei codici di condotta approvati
(1) Fatti salvi i compiti e i poteri dell'autorità di controllo competente ai sensi degli articoli 57 e 58, il controllo del rispetto del codice di condotta ai sensi dell'articolo 40 può essere effettuato da un organismo dotato di adeguato livello di competenza in materia relazione all’oggetto del codice e che sia a tal fine accreditato dalla competente autorità di controllo.
(2) Un organismo di cui al paragrafo (1) può essere accreditato per monitorare il rispetto di un codice di condotta se:
a) ha dimostrato alle competenti autorità di vigilanza, in modo soddisfacente, la propria indipendenza e competenza rispetto all'oggetto del codice;
b) ha istituito procedure che gli consentano di valutare l'idoneità degli operatori e delle persone autorizzate dagli operatori all'applicazione del codice, di vigilare sulla loro osservanza delle disposizioni del codice e di verificarne periodicamente il funzionamento;
c) istituito procedure e strutture per la gestione dei reclami riguardanti violazioni del codice o su come il codice è stato o viene attuato da un operatore o da una persona autorizzata dall'operatore, nonché garantire la trasparenza di tali procedure e strutture per le persone interessati e per il pubblico; E
d) dimostrato alle competenti autorità di vigilanza, in modo soddisfacente, che i suoi compiti e le sue attribuzioni non creano conflitti di interesse.

(3) L'autorità di controllo competente sottopone al comitato il progetto di requisiti per l'accreditamento di un organismo di cui al paragrafo 1 del presente articolo, secondo il meccanismo

assicurare la coerenza di cui all'articolo 63.

(in data 23 maggio 2018, art. 41, comma (3) del capo IV, sez.

nea 5 rettificato dal punto 10. della Rettifica del 23 maggio

2018)
(4) Fermi i compiti e le competenze dell'autorità di controllo competente e le disposizioni del capo VIII, l'organismo di cui al comma 1 del presente articolo adotta misure adeguate, salve adeguate garanzie, in caso di violazione del codice da un operatore o da una persona da questo autorizzata, anche mediante la sospensione o l'esclusione di quell'operatore o di quella persona dal codice. L'organismo in questione informa l'autorità di controllo competente in merito a tali misure e alle ragioni che le hanno determinate.

(5) L'autorità di vigilanza competente revoca l'accreditamento di un organismo di cui al paragrafo

(1) nel caso in cui i requisiti per l'accreditamento o le misure adottate dall'organismo non siano più soddisfatti

in questione viola questo regolamento.

(dal 23 maggio 2018, art. 41, comma (5) del c

capo IV, comma 5 rettificato dal punto 11. della Rettifica del 23 maggio

2018)
(6) Il presente articolo non si applica ai trattamenti effettuati dalle autorità e dagli enti pubblici.
Art. 42: Certificazione
(1) Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, soprattutto a livello dell'Unione, l'istituzione di meccanismi di certificazione nel campo della protezione dei dati, nonché di sigilli e marchi in questo campo, che consentano di dimostrare il fatto che le operazioni di trattamento effettuate dagli operatori e dalle persone autorizzate dagli operatori siano conformi al presente regolamento. Vengono prese in considerazione le esigenze specifiche delle microimprese e delle piccole e medie imprese. (2) I meccanismi di certificazione, i sigilli o i marchi di protezione dei dati approvati ai sensi del paragrafo (5) del presente articolo sono stabiliti non solo per essere rispettati dagli operatori o dalle persone autorizzate dagli operatori soggetti al presente regolamento, ma anche per dimostrare l'esistenza di adeguate garanzie offerte dagli operatori o dalle persone da questi autorizzate

operatori che non sono soggetti al presente regolamento, ai sensi dell'articolo 3, nell'ambito di trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all'articolo 46, comma 2, lettera f). Tali operatori o persone da essi autorizzate assumono impegni vincolanti ed esecutivi, mediante strumenti contrattuali o altri strumenti giuridicamente vincolanti, al fine di applicare le rispettive garanzie adeguate, anche in merito ai diritti degli interessati.

(3) La certificazione è volontaria e disponibile attraverso un processo trasparente.
(4) La certificazione ai sensi del presente articolo non riduce la responsabilità dell'operatore o della persona autorizzata dall'operatore a conformarsi al presente regolamento e non pregiudica i compiti e i poteri delle autorità di vigilanza competenti ai sensi degli articoli 55 o 56. (5) Gli organismi di certificazione di cui all'articolo 43 o l'autorità di controllo competente rilasciano una certificazione ai sensi del presente articolo, sulla base dei criteri approvati dall'autorità di controllo competente in questione ai sensi dell'articolo 58, paragrafo 3, o dal comitato di cui all'articolo 63. Se i criteri vengono approvati dal comitato, ciò può portare ad una certificazione comune, vale a dire il sigillo europeo per la protezione dei dati.
(6) L'operatore o la persona autorizzata dall'operatore che sottopone le sue attività di trattamento al meccanismo di certificazione offre all'organismo di certificazione di cui all'articolo 43 o, se del caso, alle autorità di controllo competenti, tutte le informazioni necessarie per effettuare la procedura di certificazione, nonché l'accesso alle attività di relativo trattamento.

(7) La certificazione viene rilasciata ad un operatore o ad una persona autorizzata dall'operatore per a

il periodo massimo di tre anni e può essere rinnovato alle stesse condizioni, purché i relativi criteri siano ancora soddisfatti. La certificazione è revocata, a seconda dei casi, dagli organismi di certificazione di cui all'articolo 43 o dall'autorità di controllo competente nel caso in cui non sia più

i criteri per la certificazione sono soddisfatti.

(dal 23 maggio 2018, art. 42, comma (7) del cap

IV, comma 5 rettificato dal punto 12. della rettifica del 23 maggio

2018)
(8) Il comitato raggruppa tutti i meccanismi di certificazione e i sigilli e marchi di protezione dei dati in un registro e li mette a disposizione del pubblico con qualsiasi mezzo appropriato.
Art. 43: Organismi di certificazione
(1) Fatti salvi i compiti e i poteri dell'autorità di controllo competente, previsti dagli articoli 57 e 58, gli organismi di certificazione che hanno un livello adeguato di competenza in materia di protezione dei dati, dopo aver informato l'autorità di controllo per consentirle di esercitare i poteri di cui all'articolo 58, comma 2, lettera h), rilasciare e rinnovare la certificazione. Gli Stati membri garantiscono che tali organismi di certificazione siano accreditati da uno o entrambi i seguenti organismi:
a) l'autorità di vigilanza competente ai sensi dell'articolo 55 o 56;
b) l'organismo nazionale di accreditamento designato ai sensi del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (1) in conformità alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi stabiliti dall'autorità di controllo competente ai sensi dell'articolo 55 o 56.
(1) Regolamento (CE) n. 765/2008 del Parlamento Europeo e del Consiglio del 9 luglio 2008 che stabilisce i requisiti per l'accreditamento e la vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008, pag. 30)
(2) Un organismo di certificazione di cui al paragrafo (1) è accreditato ai sensi di tale paragrafo solo se:
a) ha dimostrato alle competenti autorità di vigilanza, in modo soddisfacente, la propria indipendenza e competenza rispetto all'oggetto della certificazione;
b) si impegnano a rispettare i criteri indicati nell'articolo 42, comma 5, e approvati dall'autorità di vigilanza competente ai sensi degli articoli 55 o 56, o dal comitato di cui all'articolo 63;
c) ha istituito procedure per il rilascio, il riesame periodico e la revoca di certificazioni, sigilli e marchi in materia di protezione dei dati;

d) istituito procedure e strutture per la gestione dei reclami riguardanti violazioni della certificazione o riguardanti il ​​modo in cui la certificazione è stata o viene attuata da un operatore o da una persona autorizzata dall'operatore, nonché per garantire la trasparenza di tali procedure e strutture per le persone interessate e per il pubblico; E

e) dimostrato alle competenti autorità di vigilanza, in modo soddisfacente, che i suoi compiti e le sue attribuzioni non creano conflitti di interesse.

(3) L'accreditamento degli organismi di certificazione di cui ai paragrafi 1 e 2 del presente articolo viene effettuato sulla base dei requisiti approvati dall'autorità di vigilanza competente ai sensi degli articoli 55 o 56, o dal comitato di cui all'articolo 63. Nel caso di accreditamento in

ai sensi del comma 1, lettera b) del presente articolo, tali requisiti integrano quelli previsti dal regolamento (CE) n. 765/2008 e le norme tecniche che descrivono le modalità e le procedure degli organismi

certificare.

(il 23

i-2018 Art. 43, par. (3) dal capo IV, comma 5 rettificato dal punto 13. della rettifica del 23 maggio

2018)
(4) Gli organismi di certificazione di cui al paragrafo (1) sono responsabili di effettuare un'adeguata valutazione al fine di certificare o ritirare tale certificazione, fatta salva la responsabilità dell'operatore o della persona autorizzata dall'operatore a rispettare il presente regolamento. L'accreditamento è rilasciato per un periodo massimo di cinque anni e può essere rinnovato alle stesse condizioni, a condizione che l'organismo di certificazione soddisfi i requisiti previsti dal presente articolo.
(5) Gli organismi di certificazione di cui al paragrafo (1) trasmettono alle competenti autorità di controllo le ragioni della concessione o della revoca della certificazione richiesta.

(6) I requisiti di cui al comma 3 del presente articolo e i criteri di cui all'articolo 42, comma 5 sono pubblicati dall'autorità di vigilanza in una forma facilmente accessibile. autorità

di vigilanza trasmettono anche tali requisiti e criteri al comitato.

(in data 23 maggio 2018 art. 43, comma (6) del capo IV, comma 5 modificato dal punto 1

4. dalla Correzione del 23 maggio-

2018)
(7) Fatte salve le disposizioni del capo VIII, l'autorità di controllo competente o l'organismo nazionale di accreditamento revoca l'accreditamento concesso a un organismo di certificazione ai sensi del paragrafo (1) del presente articolo se le condizioni per l'accreditamento non sono o non sono più soddisfatte oppure le misure adottate dall'organismo di accreditamento violano questo regolamento.
(8) Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 92, al fine di specificare i requisiti di cui tenere conto per i meccanismi di certificazione della protezione dei dati, di cui all'articolo 42, paragrafo 1.
(9) La Commissione può adottare atti di esecuzione per stabilire norme tecniche per i meccanismi di certificazione, i sigilli e i marchi nel settore della protezione dei dati, nonché meccanismi per promuovere e riconoscere tali meccanismi di certificazione, sigilli e marchi. I rispettivi atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.
CAPO V: Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali
Art. 44: Il principio generale dei trasferimenti
I dati personali oggetto di trattamento o da trattare dopo essere stati trasferiti a un paese terzo o a un'organizzazione internazionale possono essere trasferiti solo se, fatte salve le altre disposizioni del presente regolamento, sono soddisfatte le condizioni stabilite in questo capitolo da parte dell’operatore e della persona autorizzata dall’operatore, anche per quanto riguarda i successivi trasferimenti di dati personali dal paese terzo o dall’organizzazione internazionale ad un altro paese terzo o ad un’altra organizzazione internazionale. Tutte le disposizioni del presente capo sono applicate affinché non venga compromesso il livello di protezione delle persone fisiche garantito dal presente regolamento.
Art. 45: Trasferimenti basati su decisione sull'adeguatezza del livello di protezione
(1) Il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale può essere effettuato quando la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici

da quel paese terzo o organizzazione internazionale in questione garantisce un livello di protezione adeguato. I trasferimenti effettuati a queste condizioni non necessitano di autorizzazioni speciali.
(2) Nel valutare l'adeguatezza del livello di protezione, la Commissione tiene conto, in particolare, dei seguenti elementi:

a) lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la legislazione pertinente, sia generale che settoriale, anche in materia di pubblica sicurezza, difesa, sicurezza nazionale e diritto penale, nonché l'accesso delle autorità pubbliche ai dati personali, come nonché l'attuazione di tale legislazione, le norme sulla protezione dei dati, le regole professionali e le misure di sicurezza, comprese le norme relative al successivo trasferimento di dati personali verso un altro paese terzo o un'organizzazione internazionale, che sono rispettate rispettivamente nel rispettivo paese terzo o organizzazione internazionale, il giurisprudenza, nonché dell’esistenza di diritti effettivi ed opponibili degli interessati e di effettivi risarcimenti amministrativi e giurisdizionali a favore degli interessati i cui dati personali sono trasferiti;

b) l'esistenza e l'efficace funzionamento di una o più autorità di controllo indipendenti nel paese terzo o sotto la cui giurisdizione rientra un'organizzazione internazionale, con la responsabilità di garantire e far rispettare le norme sulla protezione dei dati, compresi poteri adeguati per garantire il rispetto della domanda, per fornire assistenza e consulenza agli interessati nell'esercizio dei loro diritti e nella cooperazione con le autorità di controllo degli Stati membri; E

c) gli impegni internazionali ai quali ha aderito il paese terzo o l'organizzazione internazionale in questione o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti, nonché dalla sua partecipazione a sistemi multilaterali o regionali, in particolare nel campo della protezione dei dati personali.

(3) La Commissione, dopo aver valutato l'adeguatezza del livello di protezione, può decidere, mediante un atto di esecuzione, che un paese terzo, un territorio o uno o più settori specifici di un paese terzo o un'organizzazione internazionale garantiscano un livello adeguato di protezione tutela ai sensi del comma 2 del presente articolo. L'atto di esecuzione prevede un meccanismo di revisione periodica, almeno una volta ogni quattro anni, che tiene conto di tutti gli sviluppi rilevanti nel paese terzo o nell'organizzazione internazionale. L'atto di esecuzione menziona l'applicazione geografica e settoriale e, se del caso, individua l'autorità o le autorità di controllo di cui al comma 2, lettera b) del presente articolo. L'atto di esecuzione è adottato secondo la procedura d'esame di cui all'articolo 93, comma 2.

(4) La Commissione monitora costantemente gli sviluppi nei paesi terzi e a livello di organizzazioni internazionali che potrebbero incidere sul funzionamento delle decisioni adottate ai sensi del paragrafo (3) del presente articolo e delle decisioni adottate ai sensi dell'articolo 25, paragrafo (6) della Direttiva 95/ 46/ COSA.
(5) Se le informazioni disponibili rivelano, in particolare a seguito della revisione di cui al paragrafo (3) del presente articolo, che un paese terzo, un territorio o un settore specifico di quel paese terzo o un'organizzazione internazionale non garantiscono più un livello di protezione adeguata ai sensi del comma 2 del presente articolo, la Commissione, se necessario, abroga, modifica o sospende, mediante un atto di esecuzione, la decisione di cui al comma 3 del presente articolo senza effetto retroattivo. I rispettivi atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.

Per imperativi motivi di urgenza, la Commissione adotta atti di esecuzione immediatamente applicabili secondo la procedura di cui all'articolo 93, paragrafo 3.
(6) La commissione avvia consultazioni con il paese terzo o l'organizzazione internazionale per porre rimedio alla situazione che era alla base della decisione presa ai sensi del paragrafo (5).

(7) Una decisione presa ai sensi del paragrafo 5 del presente articolo non pregiudica i trasferimenti di dati personali verso un paese terzo, un territorio o uno o più settori determinati di tale paese terzo o verso un'organizzazione internazionale in questione ai sensi degli articoli 46-49. (8) La Commissione pubblica nella Gazzetta ufficiale dell'Unione europea e sul suo sito web un elenco di paesi terzi, territori e settori specifici di un paese terzo e organizzazioni internazionali nel caso in cui abbia deciso che il livello di protezione adeguato è assicurato o non è più assicurato.

(9) Le decisioni adottate dalla Commissione ai sensi dell'articolo 25, paragrafo 6, della direttiva 95/46/CE restano in vigore fino a quando non vengono modificate, sostituite o abrogate da una decisione della Commissione adottata conformemente ai paragrafi 3 o 5. da questo articolo.
Art. 46: Trasferimenti basati su garanzie adeguate

(1) In assenza di una decisione ai sensi dell’articolo 45, paragrafo 3, l’operatore o la persona autorizzata dall’operatore può trasferire dati personali a un paese terzo o a un’organizzazione internazionale solo se l’operatore o la persona autorizzata dall’operatore ha offerto garanzie adeguate e con la condizione che esistano diritti opponibili e mezzi di ricorso effettivi per gli interessati.

(2) Le garanzie adeguate di cui al comma 1 possono essere prestate, senza necessità di specifica autorizzazione da parte di un'autorità di controllo, da:
a) uno strumento giuridicamente vincolante ed esecutivo tra autorità o organismi pubblici;

b) norme imperative d'impresa ai sensi dell'articolo 47;
c) clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d'esame di cui all'articolo 93, comma 2;
d) clausole tipo di protezione dei dati adottate da un'autorità di controllo e approvate dalla Commissione secondo la procedura d'esame di cui all'articolo 93, comma 2;
e) un codice di condotta approvato ai sensi dell'articolo 40, accompagnato dall'impegno vincolante ed esecutivo da parte dell'operatore o della persona autorizzata dall'operatore nel Paese terzo ad applicare garanzie adeguate, anche riguardo ai diritti degli interessati; O
f) un meccanismo di certificazione approvato ai sensi dell'articolo 42, accompagnato da un impegno vincolante ed esecutivo da parte dell'operatore o della persona autorizzata dall'operatore nel Paese terzo ad applicare garanzie adeguate, anche con riguardo ai diritti degli interessati.

(3) Previa autorizzazione dell'autorità di controllo competente, le garanzie adeguate di cui al paragrafo (1) possono essere fornite, in particolare, anche da:
a) clausole contrattuali tra l'operatore o la persona autorizzata dall'operatore e l'operatore, la persona autorizzata dall'operatore o il destinatario dei dati personali del paese terzo o dell'organizzazione internazionale; O

b) disposizioni da inserire negli accordi amministrativi tra autorità o enti pubblici, che prevedano diritti opponibili ed effettivi per gli interessati.
(4) L'autorità di controllo applica il meccanismo di coerenza di cui all'articolo 63, nei casi di cui al paragrafo 3 del presente articolo.

(5) Le autorizzazioni concesse da uno Stato membro o da un'autorità di controllo ai sensi dell'articolo 26, paragrafo 2, della direttiva 95/46/CE sono valide fino alla data in cui vengono modificate, sostituite o abrogate, se necessario, dalle rispettive autorità. autorità di vigilanza. Le decisioni adottate dalla Commissione ai sensi dell'articolo 26, paragrafo 4, della direttiva 95/46/CE restano in vigore finché non vengono modificate, sostituite o abrogate, se necessario, da una decisione della Commissione adottata conformemente al paragrafo (2) del presente articolo.

Art. 47: Norme obbligatorie d'impresa
(1) L’autorità di vigilanza competente, secondo il meccanismo di coerenza previsto dall’articolo 63, approva le norme obbligatorie d’impresa, a condizione che:
a) essere giuridicamente vincolante e applicabile a ciascun membro interessato del gruppo di imprese o del gruppo di imprese coinvolti in un'attività economica comune, compresi i suoi dipendenti, nonché essere attuato dai membri in questione;
b) di conferire, espressamente, diritti opponibili agli interessati in relazione al trattamento dei loro dati personali; E
c) soddisfare i requisiti di cui al comma (2).
(2) Le norme societarie obbligatorie di cui al paragrafo (1) specificano almeno:
a) la struttura e i recapiti del gruppo di imprese o del gruppo di imprese che esercita un'attività economica comune e di ciascuno dei suoi membri;

b) i trasferimenti di dati o l'insieme di trasferimenti, comprese le categorie di dati personali, il tipo di trattamento e le finalità del trattamento, le tipologie di interessati interessati e l'identificazione del paese terzo o dei paesi terzi in questione;
c) il loro carattere giuridico obbligatorio, sia all'interno che all'esterno;

d) applicazione dei principi generali in materia di protezione dei dati, in particolare limitazione delle finalità, minimizzazione dei dati, periodi di conservazione limitati, qualità dei dati, protezione dei dati a partire dal momento del concepimento e protezione implicita, base giuridica del trattamento, trattamento di categorie particolari di dati personali , misure per garantire la sicurezza dei dati, nonché adempimenti relativi ai successivi trasferimenti verso organismi non soggetti a norme aziendali imperative;

e) i diritti degli interessati in merito al trattamento e le modalità per esercitare tali diritti, compreso il diritto di non essere sottoposto a decisioni basate esclusivamente sul trattamento automatizzato, compresa la creazione di profili, ai sensi dell'articolo 22, il diritto di presentare una domanda reclamo dinanzi all'autorità di controllo competente e davanti ai giudici competenti degli Stati membri, ai sensi dell'articolo 79, nonché il diritto ad ottenere risarcimenti e, se del caso, indennizzi per la violazione delle norme imperative d'impresa;

f) l'accettazione da parte dell'operatore o della persona da lui autorizzata, che ha sede nel territorio di uno Stato membro, della responsabilità per qualsiasi violazione delle norme imperative aziendali da parte di qualsiasi membro del caso che non abbia sede nello Unione; l'operatore o la persona da lui autorizzata è esonerato da tale responsabilità, in tutto o in parte, solo se dimostra che il rispettivo membro non è stato responsabile dell'evento che ha causato il danno;

g) le modalità con cui le informazioni relative alle norme imperative aziendali, in particolare relative alle disposizioni di cui alle lettere (d), (e) ed (f) del presente paragrafo, sono fornite ai soggetti interessati, oltre alle informazioni di cui alle articoli 13 e 14;
h) i compiti del responsabile della protezione dei dati nominato ai sensi dell'articolo 37 o di ogni altra persona o ente incaricato di vigilare sul rispetto delle norme obbligatorie d'impresa all'interno del gruppo di società o del gruppo di società che esercita un'attività economica comune, attività di formazione e gestione dei reclami;

i) modalità di formulazione dei reclami;
j) i meccanismi interni al gruppo di società o al gruppo di società partecipanti ad un'attività economica comune, diretti a garantire il rispetto delle norme societarie imperative. Questi meccanismi includono controlli sulla protezione dei dati e metodi per garantire azioni correttive progettate per proteggere i diritti dell’interessato. I risultati di tali controlli dovrebbero essere comunicati alla persona o all'ente di cui alla lettera h) e al consiglio di amministrazione della società che esercita il controllo sul gruppo di società o sul gruppo di società che esercita un'attività economica comune e dovrebbero essere comunicati messi a disposizione dell'autorità di vigilanza competente, su richiesta;
k) i meccanismi di segnalazione e registrazione delle modifiche apportate alle norme e di segnalazione di tali modifiche all'autorità di vigilanza;
l) il meccanismo di cooperazione con l'autorità di controllo al fine di garantire il rispetto delle norme da parte di qualsiasi membro del gruppo di imprese o del gruppo di imprese coinvolti in un'attività economica comune, in particolare mettendo a disposizione dell'autorità di controllo i risultati di verifiche relative alle misure di cui al punto (j);
m) meccanismi di segnalazione all'autorità di vigilanza competente di eventuali obblighi legali imposti a un membro del gruppo di società o del gruppo di società coinvolti in un'attività economica comune in un paese terzo che potrebbero avere un effetto negativo considerevole sulle garanzie fornite da le norme corporative obbligatorie; E
n) una formazione adeguata in materia di protezione dei dati per il personale che ha accesso permanente o periodico ai dati personali.
(3) La Commissione può specificare il formato e le procedure per lo scambio di informazioni tra operatori, persone autorizzate dagli operatori e autorità di controllo delle norme aziendali

obbligatorio ai sensi del presente articolo. I rispettivi atti di esecuzione sono adottati secondo la procedura d'esame prevista dall'articolo 93, comma 2.
Art. 48: Trasferimenti o comunicazioni di informazioni non autorizzati dal diritto dell'Unione
Qualsiasi decisione di un tribunale o di un'autorità amministrativa di un paese terzo che imponga a un operatore o alla persona autorizzata dall'operatore di trasferire o divulgare dati personali può essere riconosciuta o eseguita in qualsiasi modo solo se si basa su un diritto internazionale accordo, quale un trattato di assistenza giudiziaria in vigore tra il paese terzo richiedente e l'Unione o uno Stato membro, fatti salvi altri motivi di trasferimento ai sensi del presente capo.

Art. 49: Esenzioni per situazioni specifiche
(1) In assenza di una decisione sull'adeguatezza del livello di protezione ai sensi dell'articolo 45, paragrafo 3, o di garanzie adeguate ai sensi dell'articolo 46, comprese le norme aziendali obbligatorie, un trasferimento o una serie di trasferimenti di dati con trasferimento personale verso un Paese terzo o un'organizzazione internazionale può avvenire solo ad una delle seguenti condizioni: a) l'interessato ha espresso esplicitamente il proprio consenso al trasferimento proposto, dopo essere stato informato degli eventuali rischi che tali trasferimenti possono comportare per l'interessato persona a causa della mancata decisione in merito all'adeguatezza del livello di protezione e di garanzie adeguate;
b) il trasferimento è necessario all'esecuzione di un contratto tra l'interessato e il gestore o all'applicazione di misure precontrattuali adottate su richiesta dell'interessato;
c) il trasferimento è necessario per la conclusione di un contratto o per l'esecuzione di un contratto concluso nell'interesse dell'interessato tra il gestore e un'altra persona fisica o giuridica;
d) il trasferimento è necessario per importanti motivi di pubblico interesse;
e) il trasferimento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
f) il trasferimento è necessario per tutelare gli interessi vitali dell'interessato o di altre persone, quando l'interessato non ha la capacità fisica o giuridica di esprimere il proprio consenso; g) il trasferimento è effettuato da un registro che, secondo il diritto dell'Unione o nazionale, ha lo scopo di fornire informazioni al pubblico e che può essere consultato sia dal pubblico in generale sia da chiunque possa dimostrare un interesse legittimo, ma solo nella misura in cui sono soddisfatte le condizioni relative alla consultazione previste dal diritto dell'Unione o dal diritto interno in quel caso specifico. Se il trasferimento non può basarsi su una disposizione prevista dall'articolo 45 o 46, comprese le disposizioni in materia di norme imperative d'impresa, e non è applicabile alcuna delle deroghe per situazioni specifiche previste dal primo comma del presente paragrafo, il trasferimento verso un paese terzo o un'organizzazione internazionale può avvenire solo se il trasferimento non è ripetitivo, si riferisce solo a un numero limitato di interessati, è necessario al fine di conseguire i principali interessi legittimi perseguiti dall'operatore sui quali gli interessi o i diritti non prevalgono e le libertà dell'interessato e del gestore hanno valutato tutte le circostanze relative al trasferimento dei dati e, sulla base di tale valutazione, hanno presentato garanzie adeguate in merito alla protezione dei dati personali. L'operatore informa l'autorità di controllo del trasferimento. L'operatore, oltre a fornire le informazioni di cui agli articoli 13 e 14, informa l'interessato del trasferimento e dei principali interessi legittimi che persegue.
(2) Il trasferimento di cui al comma (1), primo comma, lettera (g) non riguarda tutti i dati personali o tutte le categorie di dati personali inseriti nel registro. Quando il registro deve essere consultato da soggetti che abbiano un legittimo interesse, il trasferimento è effettuato solo su richiesta dei rispettivi soggetti o qualora questi ne siano i destinatari. (3) Il comma 1, primo comma, lettere a), b) ec) e secondo comma non si applicano nel caso di attività svolte dalle autorità pubbliche nell'esercizio dei pubblici poteri.
(4) L'interesse pubblico previsto al paragrafo 1, primo comma, lettera d) è riconosciuto nel diritto dell'Unione o nel diritto dello Stato membro in cui rientra l'operatore.
(5) In assenza di una decisione sull'adeguatezza del livello di protezione, il diritto dell'Unione o il diritto interno possono, per importanti considerazioni di interesse pubblico, stabilire espressamente limiti

sul trasferimento di categorie specifiche di dati personali verso un paese terzo o un'organizzazione internazionale. Gli Stati membri notificano tali disposizioni alla Commissione.
(6) L'operatore o la persona autorizzata dall'operatore registra la valutazione, nonché le garanzie adeguate previste dal secondo comma del paragrafo 1 del presente articolo, nei registri di cui all'articolo 30.

Art. 50: Cooperazione internazionale nel campo della protezione dei dati personali
Per quanto riguarda i paesi terzi e le organizzazioni internazionali, la Commissione e le autorità di controllo adottano misure adeguate per:
(a) lo sviluppo di meccanismi di cooperazione internazionale per facilitare l'effettiva applicazione della legislazione sulla protezione dei dati personali;
(b) la concessione di assistenza reciproca a livello internazionale per garantire l'applicazione della legislazione nel campo della protezione dei dati personali, anche attraverso la notifica, il trasferimento di reclami, l'assistenza nelle indagini e lo scambio di informazioni, fatte salve adeguate garanzie per la protezione dei dati personali e altri diritti e le libertà fondamentali;
(c) il coinvolgimento delle parti interessate rilevanti nelle discussioni e nelle attività volte a intensificare la cooperazione internazionale nel campo dell'applicazione della legislazione in materia di protezione dei dati personali; d) promuovere lo scambio reciproco e la documentazione riguardante la legislazione e le pratiche in materia di protezione dei dati personali, compresi i conflitti giurisdizionali con paesi terzi.
CAPO VI: Autorità di vigilanza indipendenti
Sezione 1: Stato indipendente
Art. 51: L'autorità di controllo
(1) Ciascuno Stato membro garantisce che una o più autorità pubbliche indipendenti siano responsabili del controllo dell'applicazione del presente regolamento, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e al fine di facilitare la libera circolazione dei dati personali dati all’interno dell’Unione (“l’autorità di controllo”). (2) Ciascuna autorità di controllo contribuisce all'applicazione coerente del presente regolamento in tutta l'Unione. A tal fine le autorità di controllo cooperano sia tra loro che con la Commissione, conformemente al capo VII.
(3) Se in uno Stato membro sono istituite più autorità di vigilanza, designa l'autorità di vigilanza che rappresenta le rispettive autorità in seno al comitato e istituisce un meccanismo per garantire il rispetto da parte delle altre autorità delle norme relative al meccanismo di garanzia della coerenza previsto nell'articolo 63.
(4) Ciascuno Stato membro notifica alla Commissione le disposizioni giuridiche che adotta ai sensi del presente capo entro il 25 maggio 2018 e, senza indugio, ogni successiva modifica che apporta a tali disposizioni.
Art.52: Indipendenza
(1) Ciascuna autorità di controllo gode di piena indipendenza nell'adempimento dei propri compiti e nell'esercizio dei propri poteri in conformità del presente regolamento.
(2) Il membro o i membri di ciascuna autorità di controllo, nell'adempimento dei propri compiti e nell'esercizio dei propri poteri ai sensi del presente regolamento, rimangono indipendenti da qualsiasi influenza esterna diretta o indiretta e non sollecitano né accettano istruzioni da un soggetto esterno.
(3) Il membro o i membri di ciascuna autorità di controllo si astengono dal compiere atti incompatibili con le loro attribuzioni e, nel corso del mandato, non svolgono attività incompatibili, retribuite o meno.
(4) Ciascuno Stato membro garantisce che ciascuna autorità di controllo disponga di risorse umane, tecniche e finanziarie, di una sede e delle infrastrutture necessarie per l'adempimento dei compiti e l'effettivo esercizio dei suoi poteri, compresi quelli da applicare nel contesto dell'assistenza reciproca , cooperazione e partecipazione all'interno del comitato.

(5) Ciascuno Stato membro garantisce che ciascuna autorità di controllo selezioni il proprio personale e abbia il proprio personale sotto la direzione esclusiva del membro o dei membri della rispettiva autorità di controllo.
(6) Ciascuno Stato membro garantisce che ciascuna autorità di controllo sia soggetta a un controllo finanziario che non ne pregiudichi l'indipendenza e che disponga di bilanci annuali pubblici e separati, che possono far parte del bilancio statale generale o nazionale.

Art. 53: Condizioni generali applicabili ai membri dell'autorità di controllo
(1) Gli Stati membri garantiscono che ciascun membro della propria autorità di controllo sia nominato mediante una procedura trasparente:
– dal parlamento;
– dal governo;
- dal capo dello Stato; O
- da un organismo indipendente abilitato a procedere alle nomine ai sensi del diritto interno.
(2) Ciascun membro in questione possiede le qualifiche, l'esperienza e le competenze necessarie, soprattutto nel campo della protezione dei dati personali, per poter adempiere ai propri compiti ed esercitare le proprie competenze.
(3) Le funzioni di membro cessano in caso di scadenza del mandato, in caso di dimissioni o pensionamento d'ufficio conformemente al diritto interno pertinente.
(4) Un membro può essere licenziato solo in caso di colpa grave o se non soddisfa più le condizioni necessarie per l'adempimento delle sue funzioni.
Art. 54: Norme concernenti l'istituzione dell'autorità di vigilanza
(1) Ciascuno Stato membro prevede, mediante legislazione, quanto segue:
a) l'istituzione di ciascuna autorità di controllo;
b) le qualifiche e le condizioni di idoneità necessarie per essere nominato membro di ciascuna autorità di controllo;
c) le regole e le procedure per la nomina del membro o dei membri di ciascuna autorità di controllo;
d) la durata in carica del membro o dei membri di ciascuna autorità di controllo, di almeno quattro anni, fatta eccezione per la prima nomina successiva al 24 maggio 2016, parte del quale può essere di durata inferiore qualora ciò sia necessario per tutelare la tutela dell'autorità. indipendenza della vigilanza attraverso una procedura di nomina scaglionata;
e) se e quante volte il mandato del membro o dei membri di ciascuna autorità di controllo è rinnovabile;
f) le condizioni che regolano gli obblighi del membro o dei membri e del personale di ciascuna autorità di controllo, i divieti riguardanti gli atti, le occupazioni e i benefici con essi incompatibili durante il mandato e dopo la sua cessazione, nonché le norme che regolano la cessazione del rapporto il contratto di lavoro.
(2) Il membro o i membri e il personale di ciascuna autorità di controllo hanno l'obbligo, conformemente al diritto dell'Unione o al diritto interno, di rispettare sia durante il mandato che dopo la sua cessazione, il segreto professionale per quanto riguarda le informazioni riservate di cui sono venuti a conoscenza nell'adempimento dei loro compiti o nell'esercizio dei loro poteri. Durante il loro mandato, tale obbligo di segreto professionale si applica in particolare alla segnalazione da parte di persone fisiche di violazioni del presente regolamento.
Sezione 2: Qualifiche, compiti e competenze
Art. 55: Competenza
(1) Ciascuna autorità di controllo ha la competenza per svolgere i compiti ed esercitare i poteri ad essa attribuiti ai sensi del presente regolamento sul territorio dello Stato membro a cui appartiene.

(2) Se il trattamento viene effettuato da autorità pubbliche o da organismi privati ​​che agiscono sulla base dell'articolo 6, paragrafo 1, lettera c) o e), l'autorità di controllo dello Stato

rispettivo membro ha la competenza. In tali casi non si applica l’articolo 56.

(dal 23 maggio 2018, art. 55, comma (2), del capo VI, comma 2, modificato dal punto 15 della modifica del 23 maggio 2018)
(3) Le autorità di controllo non sono competenti per controllare le operazioni di trattamento dei tribunali che agiscono nell'esercizio della loro funzione giudiziaria.

Art. 56: Competenza dell'autorità di controllo principale
(1) Fatto salvo l'articolo 55, l'autorità di controllo della sede principale o della sede unica dell'operatore o la persona autorizzata dall'operatore è competente ad agire come autorità di controllo principale per il trattamento transfrontaliero effettuato dai rispettivi operatore o la relativa persona autorizzata nel caso secondo la procedura prevista dall'articolo 60.
(2) In deroga al comma (1), ciascuna autorità di controllo è competente a trattare un reclamo portato alla sua attenzione o un'eventuale violazione del presente regolamento, se il suo oggetto si riferisce esclusivamente ad un ufficio situato nel territorio dello Stato o membro o colpisce in modo significativo le persone prese di mira solo nel suo Stato membro.
(3) Nei casi di cui al comma (2) del presente articolo, l'autorità di controllo informa senza indugio l'autorità di controllo principale della questione. Entro tre settimane dal momento dell'informazione, l'autorità di controllo principale decide se trattare o meno il caso in questione secondo la procedura prevista dall'articolo 60, tenendo conto dell'esistenza o meno di una sede dell'operatore o della persona autorizzato dall'operatore sul territorio dello Stato membro la cui autorità di vigilanza lo ha informato.
(4) Se l'autorità di controllo principale decide di trattare il caso, si applica la procedura prevista dall'articolo 60. L'autorità di controllo che ha informato l'autorità di controllo principale può sottoporre a quest'ultima un progetto di decisione. L'autorità di controllo principale tiene conto nella massima misura possibile del rispettivo progetto nell'elaborare il progetto di decisione di cui all'articolo 60 paragrafo 3.
(5) Se l'autorità di controllo principale decide di non trattare il caso, l'autorità di controllo che ha informato l'autorità di controllo principale tratta il caso conformemente agli articoli 61 e 62.
(6) L'autorità di controllo principale è l'unico interlocutore dell'operatore o della persona autorizzata dall'operatore per quanto riguarda il trattamento transfrontaliero effettuato dal rispettivo operatore o dalla rispettiva persona autorizzata dall'operatore.
Art. 57: Compiti
(1) Fatti salvi gli altri compiti stabiliti dal presente regolamento, ciascuna autorità di controllo, nel proprio territorio:
a) monitorare e garantire l'applicazione del presente regolamento;
b) promuove azioni di sensibilizzazione e comprensione del pubblico sui rischi, sulle regole, sulle garanzie e sui diritti in tema di trattamento. Particolare attenzione è riservata alle attività specificamente rivolte ai bambini;
c) fornisce consulenza, conformemente al diritto interno, al parlamento nazionale, al governo e ad altre istituzioni e organi in merito alle misure legislative e amministrative relative alla tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento;
d) promuove azioni di sensibilizzazione degli operatori e dei soggetti da questi autorizzati circa gli obblighi derivanti dal presente regolamento;
e) su richiesta, fornisce informazioni a qualsiasi persona interessata in relazione all'esercizio dei suoi diritti ai sensi del presente regolamento e, se necessario, collabora a tal fine con le autorità di controllo di altri Stati membri;
f) trattare i reclami presentati da un interessato, un ente, un organismo o un'associazione ai sensi dell'articolo 80 e svolgere gli accertamenti adeguati sull'oggetto del reclamo e informare il reclamante sullo stato e sull'esito dell'indagine, entro un termine un tempo ragionevole, soprattutto se è necessario svolgere un'indagine più approfondita o coordinarsi con un'altra autorità di controllo;

g) collabora, anche mediante scambio di informazioni, con le altre autorità di controllo e si offre reciproca assistenza per garantire la coerenza di applicazione e il rispetto del presente regolamento;
h) svolge accertamenti sull'applicazione del presente regolamento, anche sulla base di informazioni ricevute da altra autorità di controllo o da altra autorità pubblica;

i) monitora gli sviluppi rilevanti, nella misura in cui hanno un impatto sulla protezione dei dati personali, in particolare l'evoluzione delle tecnologie dell'informazione e della comunicazione e delle pratiche commerciali;
j) adottare le clausole contrattuali tipo di cui all'articolo 28, comma 8, e all'articolo 46, comma 2, lettera (d);

k) redigere e tenere aggiornato un elenco relativo agli obblighi relativi alla valutazione dell'impatto sulla protezione dei dati, ai sensi dell'articolo 35, comma 4;
l) offre consulenza sulle operazioni di trattamento di cui all'articolo 36, comma 2; m) incoraggia l'elaborazione di codici di condotta ai sensi dell'articolo 40, comma 1, esprime il proprio parere su di essi e approva quelli che offrono garanzie sufficienti, ai sensi dell'articolo 40, comma 5;

n) incoraggia l'istituzione di meccanismi di certificazione, nonché di sigilli e marchi nel campo della protezione dei dati ai sensi dell'articolo 42, paragrafo 1 e approva i criteri di certificazione ai sensi dell'articolo 42, paragrafo 5;
o) ove applicabile, effettuare una revisione periodica delle certificazioni rilasciate, ai sensi dell'articolo 42, comma 7;

p) elabora e pubblica i requisiti di accreditamento di un organismo di controllo del codice di condotta

secondo l'articolo 41 e di un organismo di certificazione secondo l'articolo 43;

(in data 23 maggio 2018 art. 57, comma (1), lettera P. del capo VI, comma 2 rettificato dal punto 16. della Rettifica del 23-

maggio-2018)
q) coordina la procedura di accreditamento di un organismo di controllo del codice di condotta ai sensi dell'articolo 41 e di un organismo di certificazione ai sensi dell'articolo 43; r) autorizza le clausole e disposizioni contrattuali di cui all'articolo 46, comma 3;
s) approvare le regole aziendali obbligatorie ai sensi dell'articolo 47;
t) contribuisce alle attività del Comitato;
u) tenere aggiornata la documentazione interna riguardante le violazioni della presente norma e i provvedimenti adottati, in particolare le segnalazioni emesse e le sanzioni irrogate ai sensi dell'articolo 58, comma 2; e v) svolge ogni altro compito relativo alla protezione dei dati personali.
(2) Ciascuna autorità di controllo agevola la presentazione dei reclami di cui al comma 1, lettera f), mediante misure quali la messa a disposizione di un modulo per la presentazione dei reclami compilabile anche in formato elettronico, senza escludere altri mezzi di comunicazione. (3) L'adempimento dei compiti di ciascuna autorità di controllo è gratuito per l'interessato e, se del caso, per il responsabile della protezione dei dati.
(4) Se le richieste sono manifestamente infondate o eccessive, soprattutto per il loro carattere ripetitivo, l'autorità di controllo può addebitare un contributo spese ragionevole, basato sui costi amministrativi, o può rifiutarsi di trattarle. L'onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta spetta all'autorità di controllo.
Art. 58: Poteri
(1) Ciascuna autorità di controllo ha tutti i seguenti poteri di indagine:
a) incaricare l'operatore e la persona autorizzata dall'operatore e, se del caso, il rappresentante dell'operatore o la persona autorizzata dall'operatore a fornire tutte le informazioni richieste dall'autorità di controllo per adempiere ai suoi compiti;
b) svolgere indagini sotto forma di audit sulla protezione dei dati;
c) effettuare la verifica delle certificazioni rilasciate ai sensi dell'articolo 42, comma 7;
d) denunciare all'operatore o alla persona da lui autorizzata la presunta violazione del presente regolamento;
e) ottenere, dall'operatore e dalla persona autorizzata dall'operatore, l'accesso a tutti i dati personali e a tutte le informazioni necessarie per l'adempimento dei suoi compiti;

f) ottenere l'accesso a qualsiasi sede dell'operatore e della persona autorizzata dall'operatore, comprese eventuali apparecchiature e mezzi di elaborazione dei dati, in conformità con il diritto dell'Unione o il diritto procedurale interno.
(2) Ciascuna autorità di controllo dispone di tutti i seguenti poteri correttivi:

a) avvertire un operatore o una persona autorizzata dall'operatore in merito alla possibilità che le operazioni di trattamento previste violino le disposizioni del presente regolamento;

b) emettere diffide indirizzate ad un operatore o ad una persona autorizzata dall'operatore nel caso

in cui le operazioni di trattamento hanno violato le disposizioni del presente regolamento;

(in data 23 maggio 2018 Art. 58, comma (2), lettera B. del capo VI, comma 2 rettificato dal punto 17. della Rettifica del 23-

maggio-2018)
c) incaricare il gestore o la persona da questo autorizzata di ottemperare alle richieste dell'interessato per l'esercizio dei diritti previsti dal presente regolamento;
d) incaricare il gestore o la persona da lui autorizzata di garantire la conformità delle operazioni di trattamento alle disposizioni del presente regolamento, precisandone, se del caso, le modalità ed il termine;
e) obbligare il gestore ad informare l'interessato circa una violazione della protezione dei dati personali;
f) imporre una limitazione temporanea o definitiva, compreso il divieto di trattamento;
g) ordinare la rettifica o la cancellazione dei dati personali o la limitazione del trattamento, ai sensi degli articoli 16, 17 e 18, nonché la notifica di tali atti ai destinatari ai quali i dati personali sono stati comunicati, ai sensi dell'articolo 17 comma (2) e con l'articolo 19; h) revocare una certificazione o obbligare l'organismo di certificazione a ritirare una certificazione rilasciata ai sensi degli articoli 42 e 43 ovvero obbligare l'organismo di certificazione a non rilasciare una certificazione se i requisiti di certificazione non sono o non sono più soddisfatti;
i) imporre sanzioni amministrative ai sensi dell'articolo 83, in aggiunta o in sostituzione delle misure indicate nel presente comma, a seconda delle circostanze di ciascun singolo caso;
j) disporre la sospensione dei flussi di dati verso un destinatario proveniente da un Paese terzo o verso un'organizzazione internazionale.
(3) Ciascuna autorità di controllo ha tutti i seguenti poteri autorizzativi e consultivi: a) offrire consulenza all'operatore secondo la procedura di consultazione preventiva di cui all'articolo 36;
b) rilasciare pareri, di propria iniziativa o su richiesta, al parlamento nazionale, al governo dello Stato membro o, in conformità alla legislazione interna, ad altre istituzioni e organismi, nonché al pubblico, su qualsiasi aspetto correlato alla protezione dei dati personali;
c) autorizzare il trattamento di cui all'articolo 36, comma 5, se la legislazione dello Stato membro prevede tale previa autorizzazione;
d) esprimere parere e approvare i progetti di codici di condotta, ai sensi dell'articolo 40, comma 5;
e) accreditare gli organismi di certificazione ai sensi dell'articolo 43;
f) rilasciare certificazioni e approvare criteri di certificazione ai sensi dell'articolo 42, comma 5; g) adottare le clausole tipo sulla protezione dei dati di cui all'articolo 28, comma 8, e all'articolo 46, comma 2, lettera d);
h) autorizzare le clausole contrattuali di cui all'articolo 46 comma (3) lettera (a);
i) di autorizzare gli accordi amministrativi di cui all'articolo 46 comma 3 lettera b); E
j) approvare le regole aziendali obbligatorie ai sensi dell'articolo 47.
(4) L'esercizio dei poteri conferiti all'autorità di controllo ai sensi del presente articolo è soggetto a garanzie adeguate, compresi ricorsi giurisdizionali efficaci e processi equi, previsti dal diritto dell'Unione e dal diritto interno conformemente alla carta.
(5) Ciascuno Stato membro prevede, mediante legislazione, il fatto che la propria autorità di controllo ha la competenza di sottoporre all'autorità giudiziaria i casi di violazione di tale norma e,

a seconda dei casi, avviare o comunque farsi coinvolgere in procedimenti giudiziari, al fine di garantire l'applicazione delle disposizioni del presente regolamento.
(6) Ciascuno Stato membro può prevedere nella propria legge o fatto che la propria autorità di vigilanza abbia ulteriori poteri oltre a quelli menzionati ai paragrafi (1), (2) e (3). L'esercizio di tali poteri non pregiudica l'efficace funzionamento del Capo VII.

Art. 59: Rapporti di attività
Ciascuna autorità di controllo redige una relazione annuale sulla propria attività, che può comprendere un elenco delle tipologie di violazioni notificate e delle tipologie di misure adottate ai sensi dell'articolo 58, comma 2. I rapporti sono presentati al parlamento nazionale, al governo e alle altre autorità designate dalla legislazione nazionale. Sono messi a disposizione del pubblico, della Commissione e del comitato.
CAPITOLO VII: Cooperazione e coerenza
Sezione 1: Cooperazione
Art. 60: Cooperazione tra l'autorità di controllo principale e le altre autorità di controllo interessate
(1) L'autorità di controllo principale collabora con le altre autorità di controllo interessate, conformemente al presente articolo, nel tentativo di raggiungere un consenso. L'autorità di controllo principale e le autorità di controllo interessate si comunicano reciprocamente tutte le informazioni pertinenti. (2) L'autorità di controllo principale può in qualsiasi momento chiedere ad altre autorità di controllo interessate di prestarsi assistenza reciproca ai sensi dell'articolo 61 e può effettuare operazioni congiunte ai sensi dell'articolo 62, in particolare al fine di svolgere indagini o monitorare l'attuazione di un'azione misure relative a un operatore o una persona autorizzata dall'operatore, stabilito in un altro Stato membro.
(3) L'autorità di controllo principale comunica senza indugio le informazioni rilevanti in merito alla questione alle altre autorità di controllo interessate. L'autorità di controllo principale trasmette senza indugio un progetto di decisione alle altre autorità di controllo interessate, al fine di ottenere il loro parere, e tiene debitamente conto dei loro pareri.
(4) Se una delle altre autorità di controllo interessate esprime, entro quattro settimane dopo essere stata consultata ai sensi del paragrafo 3 del presente articolo, un'obiezione pertinente e motivata al progetto di decisione, l'autorità di controllo, l'organo principale, se lo fa non dà seguito all'opposizione pertinente e motivata o ritiene che l'opposizione non sia pertinente o motivata, comunica il meccanismo di coerenza di cui all'articolo 63.
(5) Se intende dare seguito all'obiezione pertinente e motivata, l'autorità di controllo principale invia un progetto di decisione riveduto alle altre autorità di controllo interessate per ottenere il loro parere. Il presente progetto di decisione riveduto è soggetto alla procedura di cui al paragrafo 4 per un periodo di due settimane.
(6) Nel caso in cui nessuna delle altre autorità di controllo interessate abbia sollevato obiezioni al progetto di decisione presentato dall'autorità di controllo principale entro il termine di cui ai paragrafi (4) e (5), si ritiene che l'autorità di controllo principale e le autorità di vigilanza interessate approvano il rispettivo progetto di decisione, che diventa per loro vincolante.
(7) L'autorità di controllo principale adotta la decisione e la notifica alla sede principale o alla sede unica dell'operatore o alla persona autorizzata dall'operatore, a seconda dei casi, e informa le altre autorità di controllo interessate e il comitato in merito alla decisione decisione in questione, comprensiva di una sintesi degli elementi e delle relative motivazioni. L'autorità di controllo a cui è stato presentato il reclamo informa il reclamante della decisione.
(8) In deroga al paragrafo (7), se un reclamo viene rifiutato o respinto, l'autorità di controllo a cui è stato presentato il reclamo adotta la decisione, informa il reclamante e ne informa l'operatore.
(9) Se l'autorità di controllo principale e le autorità di controllo interessate concordano di respingere o respingere alcune parti di un reclamo e di procedere con altre parti del rispettivo reclamo, viene adottata una decisione separata per ciascuna di queste parti. L'autorità di controllo principale adotta la decisione nei confronti dell'interessato con atti riconducibili al gestore, mediante notifica alla sede centrale

sede principale o unica dell'operatore o della persona autorizzata dall'operatore nel territorio dello Stato membro in questione e ne informa il reclamante, mentre l'autorità di controllo del reclamante adotta la decisione per l'interessato in merito al rifiuto o al rigetto dell'autorizzazione il rispettivo reclamo, una notifica al reclamante e ne informa l'operatore o la persona autorizzata dall'operatore.

(10) Dopo la notifica della decisione dell'autorità di controllo principale ai sensi dei paragrafi (7) e (9), l'operatore o la persona autorizzata dall'operatore adotta le misure necessarie per garantire che le attività di trattamento siano conformi alla decisione in tutte le sue sedi nell'Unione. L'operatore o la persona autorizzata dall'operatore notifica le misure adottate per conformarsi alla decisione dell'autorità di controllo principale, che informa le altre autorità di controllo interessate.

(11) Se, in circostanze eccezionali, un'autorità di controllo interessata ha motivo di ritenere che vi sia un'urgente necessità di agire per proteggere gli interessi delle persone interessate, si applica la procedura d'urgenza prevista dall'articolo 66.
(12) L'autorità di controllo principale e le altre autorità di controllo interessate si scambiano reciprocamente le informazioni richieste ai sensi del presente articolo, in formato elettronico, utilizzando un modulo standard.

Art. 61: Mutua assistenza
(1) Le autorità di vigilanza si forniscono reciprocamente le informazioni pertinenti e l'assistenza per l'attuazione coerente del presente regolamento e per stabilire tra loro misure di cooperazione efficaci. L'assistenza giudiziaria si riferisce, in particolare, alle richieste di informazioni e misure di sorveglianza, come richieste di autorizzazioni e consultazioni preventive, ispezioni e indagini.
(2) Ciascuna autorità di controllo adotta tutte le misure adeguate necessarie per rispondere a una richiesta di un'altra autorità di controllo, senza indebito ritardo e al più tardi entro un mese dalla data di ricevimento della richiesta. Tali misure possono includere, in particolare, la trasmissione di informazioni rilevanti relative allo svolgimento di un'indagine.
(3) Le richieste di assistenza contengono tutte le informazioni necessarie, compreso lo scopo della richiesta e le ragioni alla base della stessa. Le informazioni oggetto dello scambio vengono utilizzate solo per lo scopo per il quale sono state richieste.

(4) L'autorità di controllo richiesta non può rifiutarsi di ottemperare alla richiesta, a meno che:

a) non ha competenza in merito all'oggetto della richiesta né alle misure che è tenuta a eseguire; O
b) l'adempimento della richiesta violerebbe il presente regolamento o il diritto dell'Unione o il diritto interno cui ricade l'autorità di controllo che ha ricevuto la richiesta.
(5) L'autorità di controllo a cui è stata indirizzata la richiesta informa l'autorità di controllo che ha presentato la richiesta in merito ai risultati o, a seconda dei casi, ai progressi compiuti o alle misure adottate per rispondere alla richiesta. L'autorità di controllo richiesta motiva ogni rifiuto di ottemperare alla richiesta ai sensi del comma 4.
(6) Di norma, le autorità di controllo richieste forniscono le informazioni richieste da altre autorità di controllo in formato elettronico, utilizzando un modulo standard.
(7) Le autorità di controllo richieste non riscuotono alcun compenso per le azioni da loro intraprese sulla base di una richiesta di assistenza giudiziaria. Le autorità di vigilanza possono concordare alcune regole relative alla remunerazione reciproca nel caso di spese specifiche derivanti dalla concessione di assistenza giudiziaria in situazioni eccezionali.
(8) Se un'autorità di controllo non fornisce le informazioni di cui al comma 5 del presente articolo entro un mese dal ricevimento della richiesta di un'altra autorità di controllo, quest'ultima può adottare un provvedimento provvisorio nel territorio del proprio Stato membro, ai sensi dell’articolo 55 paragrafo 1. In questo caso, l'urgenza di agire ai sensi dell'articolo 66, paragrafo 1 si ritiene soddisfatta e richiede una decisione urgente e vincolante da parte del comitato ai sensi dell'articolo 66, paragrafo 2.
(9) La commissione, mediante atto di esecuzione, può specificare la forma e le modalità dell'assistenza reciproca di cui al presente articolo, nonché le modalità di scambio elettronico di informazioni tra le autorità di controllo e tra le autorità di controllo e il comitato, in particolare

il modulo tipo di cui al comma (6) del presente articolo. I rispettivi atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.
Art. 62: Operazioni congiunte delle autorità di vigilanza

(1) Le autorità di vigilanza eseguono, a seconda dei casi, operazioni congiunte, comprese indagini congiunte e misure congiunte di contrasto, alle quali partecipano membri o personale delle autorità di vigilanza di altri Stati membri.
(2) Se l'operatore o la persona autorizzata dall'operatore ha sedi in più Stati membri o se un numero significativo di interessati di più Stati membri rischia di essere influenzato in modo significativo dalle operazioni di trattamento, un'autorità di controllo da ciascuno dei rispettivi Stati membri Gli stati hanno il diritto di partecipare ad operazioni congiunte. L'autorità di controllo competente ai sensi dell'articolo 56, paragrafo 1 o 4, invita le autorità di controllo di ciascuno di tali Stati membri a partecipare a tali operazioni congiunte e risponde senza indugio alla richiesta di partecipazione di un'autorità di controllo .

(3) Un'autorità di controllo può, conformemente al diritto interno e con l'accordo dell'autorità di controllo dello Stato membro d'origine, conferire poteri, compresi poteri di indagine, ai membri o al personale dell'autorità di controllo dello Stato membro d'origine coinvolti in operazioni congiunte o, nella misura in cui il diritto dello Stato membro dell'autorità di controllo dello Stato membro ricevente lo consente, può autorizzare i membri o il personale dell'autorità di controllo dello Stato membro d'origine ad esercitare i propri poteri di indagine conformemente all' la legge di quello Stato membro delle seguenti autorità. Tali poteri di indagine possono essere esercitati solo sotto il coordinamento e in presenza di membri o personale dell'autorità di controllo dello Stato membro ospitante. I membri o il personale dell'autorità di controllo nello Stato membro d'origine sono soggetti al diritto interno cui è soggetta l'autorità di controllo nello Stato membro ricevente.

(4) Se, ai sensi del paragrafo 1, il personale di un'autorità di controllo dello Stato membro d'origine svolge la propria attività in un altro Stato membro, lo Stato membro ricevente si assume la responsabilità per le azioni del rispettivo personale, compresa la responsabilità per eventuali danni causati dai rispettivi membri del personale nel corso delle loro operazioni, in conformità con la legge dello Stato membro sul cui territorio svolgono le loro operazioni.

(5) Lo Stato membro nel cui territorio si sono verificati i danni ripara tali danni alle condizioni applicabili ai danni causati dal proprio personale. Lo Stato membro d'origine dell'autorità di controllo il cui personale ha causato un danno ad una persona sul territorio di un altro Stato membro rimborsa a quest'altro Stato membro tutte le somme versate per loro conto agli aventi diritto.

(6) Fatto salvo l'esercizio dei propri diritti nei confronti dei terzi e salvo il comma (5), ciascuno Stato membro si astiene, nel caso previsto dal comma (1), dal pretendere da un altro Stato membro la restituzione del risarcimento dei danni di cui al comma (4).
(7) Se è prevista un'operazione congiunta e un'autorità di controllo non adempie, entro un mese, all'obbligo previsto dal comma 2, seconda frase, del presente articolo, le altre autorità di controllo possono adottare una misura provvisoria sul territorio dello Stato membro di tale autorità, ai sensi dell'articolo 55. In tal caso, l'urgenza dell'intervento di cui all'articolo 66, comma 1, si considera soddisfatta e richiede una comunicazione urgente o una decisione urgente e vincolante da parte del comitato, ai sensi dell'articolo 66 comma 2).

Sezione 2: Garantire la coerenza
Art. 63: Il meccanismo per garantire la coerenza
Al fine di contribuire all'applicazione coerente del presente regolamento in tutta l'Unione, le autorità di controllo cooperano tra loro e, se del caso, con la Commissione attraverso il meccanismo volto a garantire la coerenza, come previsto nella presente sezione.

Art. 64: Il parere del comitato
(1) Il comitato esprime un parere ogni volta che un'autorità di controllo competente intende adottare una delle misure di seguito indicate. A tal fine, l’autorità di controllo competente comunica il progetto di decisione al comitato, quando:
a) mira ad adottare un elenco dei trattamenti soggetti all'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati, ai sensi dell'articolo 35, comma 4;
b) ai sensi dell'articolo 40, comma 7, si riferisce all'osservanza del presente regolamento di un progetto di codice di condotta o di una modifica o estensione di un codice di condotta;

c) mira ad approvare i requisiti per l'accreditamento di un organismo ai sensi dell'articolo 41

paragrafo (3), di un organismo di certificazione ai sensi dell'articolo 43 paragrafo (3) o dei criteri

di certificazione di cui all'articolo 42 comma (5);

(dal 23 maggio 2018, art. 64, comma (1), lettera C. del capo

VII, comma 2 rettificato dal punto 18. di Rettifica da

23-maggio-2018 )
d) è volto a determinare le clausole tipo sulla protezione dei dati di cui all'articolo 46, comma 2, lettera d) o all'articolo 28, comma 8;
e) ha lo scopo di autorizzare le clausole contrattuali di cui all'articolo 46, comma 3, lettera a); ovvero f) si riferisca all'approvazione di regole aziendali obbligatorie ai sensi dell'articolo 47.
(2) Qualsiasi autorità di controllo, il presidente del comitato o la Commissione possono chiedere che qualsiasi questione di portata generale o che produca effetti in più di uno Stato membro sia esaminata dal comitato per ottenere un parere, soprattutto se un'autorità competente l’autorità di vigilanza non rispetta gli obblighi relativi all’assistenza reciproca ai sensi dell’articolo 61 o alle operazioni congiunte ai sensi dell’articolo 62.
(3) Nei casi di cui ai commi (1) e (2), il comitato esprime un parere sulla questione sottopostagli, a condizione che non sia già stato espresso un parere sulla stessa questione. Il rispettivo parere viene adottato entro otto settimane con la maggioranza semplice dei membri della commissione. Questo periodo può essere prorogato di sei settimane, tenendo conto della complessità della questione. Per quanto riguarda il progetto di decisione di cui al comma (1) inviato ai membri della commissione ai sensi del comma (5), il membro che non ha sollevato obiezioni entro un termine congruo indicato dal presidente si considera d'accordo con il progetto di decisione.
(4) Le autorità di controllo e la Commissione comunicano elettronicamente al comitato, senza indebito ritardo, mediante un modulo standard, tutte le informazioni pertinenti, compresi, se del caso, una sintesi dei fatti, il progetto di decisione, le ragioni che rendono necessario adottare tali misure, nonché i pareri delle altre autorità di controllo interessate.

(5) Il presidente del comitato informa elettronicamente, senza indebito ritardo:
a) i membri dei comitati e la Commissione in merito a tutte le informazioni rilevanti loro comunicate, utilizzando un modulo standard. La segreteria del comitato fornisce, ove necessario, la traduzione delle informazioni pertinenti; E
b) l'autorità di controllo menzionata, a seconda dei casi, ai commi 1 e 2, e la Commissione riguardo al parere e lo pubblica.

(6) L'autorità di controllo competente di cui al paragrafo (1) non adotta il suo progetto

decisione di cui al comma 1 entro il termine di cui al comma 3.

(in data 23 maggio 2018 art. 64, comma (6) del capo VII, comma 2 modificato da

(7) L'autorità di controllo competente di cui al paragrafo (1) tiene pienamente conto del parere

punto 19. della Rettifica del 23 maggio

2018)

comitato e comunica per via elettronica al presidente del comitato, entro due settimane dal ricevimento del parere, se manterrà o modificherà il suo progetto di decisione e, se necessario,

presentare il progetto di decisione modificato, utilizzando un modulo standard.

(in data 23 maggio 2018 art. 64, comma (7) del capo VII, comma 2 modificato da

(8) Se l'autorità di controllo competente di cui al comma (1) informa il presidente del comitato, entro il termine di cui al comma (7) del presente articolo, che non intende conformarsi al parere del comitato, in tutto o in parte in parte, motivata, l'articolo trova applicazione

punto 19. della Rettifica del 23 maggio

2018)

65 comma (1).

(dal 23 maggio 2018, art. 64, comma (8), del capo VII, comma 2, modificato dal punto 19 della modifica del 23 maggio 2018)
Art. 65: Risoluzione delle controversie da parte del comitato
(1) Per garantire l'applicazione corretta e coerente del presente regolamento nei singoli casi, il comitato adotta una decisione vincolante nei seguenti casi:

a) quando, in uno dei casi di cui all'articolo 60, comma 4, un'autorità di controllo interessata ha formulato un'opposizione pertinente e motivata ad un progetto di decisione dell'autorità

vigilanza principale e l’autorità di controllo principale non hanno risposto all’obiezione o hanno respinto tale obiezione in quanto non pertinente o motivata. La decisione vincolante si riferisce a tutte le questioni oggetto dell'opposizione pertinente e motivata, in particolare alla questione se tale regolamento fosse

violato;

(ad oggi

23-maggio-2018 Art. 65, par. (1), lettera A. del capo VII, comma 2, rettificata dal punto 20. del Rettifica del 23 maggio 2018)

b) nel caso in cui esistano opinioni divergenti su quale delle autorità di vigilanza interessate abbia la competenza per la sede principale;
c) se un'autorità di vigilanza competente non richiede il parere del comitato nei casi di cui all'articolo 64, comma 1, o non tiene conto del parere del comitato rilasciato ai sensi dell'articolo 64. In tal caso, l'eventuale autorità di vigilanza autorità interessata oppure la Commissione può comunicare la questione al comitato.

(2) La decisione di cui al comma (1) è adottata entro un mese dalla presentazione della questione, con la maggioranza dei due terzi dei membri del comitato. Questo termine può essere prorogato di un mese, tenendo conto della complessità della questione. La decisione di cui al comma 1 è motivata e indirizzata all'autorità di controllo principale e a tutte le autorità di controllo interessate, essendo per queste vincolante.

(3) Se il comitato non è riuscito a prendere una decisione entro i termini di cui al paragrafo (2), adotta la sua decisione entro due settimane dalla data di scadenza del secondo mese di cui al paragrafo (2), a maggioranza semplice dei suoi membri. Se i membri del comitato hanno opinioni divergenti in proporzioni uguali, la decisione viene adottata con il voto del presidente. (4) Le autorità di vigilanza interessate non adottano una decisione sulla questione presentata al comitato ai sensi del paragrafo (1) entro i termini indicati ai paragrafi (2) e (3).

(5) Il presidente del comitato notifica, senza indebito ritardo, la decisione di cui al paragrafo (1) alle autorità di vigilanza interessate. Il Comitato ne informa la Commissione. La decisione è pubblicata sul sito internet del comitato, senza ritardo, previa comunicazione da parte dell'autorità di controllo della decisione definitiva di cui al comma 6.

(6) L'autorità di controllo principale o, se del caso, l'autorità di controllo a cui è stato presentato il reclamo, adotta la sua decisione definitiva sulla base della decisione di cui al paragrafo 1 del presente articolo, senza indebito ritardo ed entro e non oltre un mese dalla notifica da parte del comitato della sua decisione. L'autorità di controllo principale o, se del caso, l'autorità di controllo a cui è stato presentato il reclamo informa il comitato della data in cui la sua decisione finale viene notificata all'operatore o alla persona autorizzata dall'operatore e, rispettivamente, all'interessato. La decisione finale delle autorità di controllo interessate è adottata nel rispetto delle condizioni previste dall'articolo 60, commi 7, 8 e 9. La decisione finale fa riferimento alla decisione di cui al comma (1) del presente articolo e precisa che la decisione di cui a tale comma sarà pubblicata sul sito web del comitato, ai sensi del comma (5). La decisione di cui al comma 1 del presente articolo è allegata alla decisione finale.

Art. 66: Procedura d'urgenza
(1) In circostanze eccezionali, quando un'autorità di controllo interessata ritiene che vi sia un'urgente necessità di agire per proteggere i diritti e le libertà delle persone interessate, può, in deroga al meccanismo volto a garantire la coerenza di cui all'art. articoli 63, 64 e 65 o dalla procedura di cui all'articolo 60, adottare immediatamente provvedimenti provvisori destinati a produrre effetti giuridici nel proprio territorio, con durata determinata, non superiore a tre mesi. L'autorità di controllo comunica senza indugio tali misure e le ragioni della loro adozione alle altre autorità di controllo interessate, al comitato e alla Commissione.

(2) Se un'autorità di controllo ha adottato un provvedimento ai sensi del paragrafo 1 e ritiene che sia necessario adottare urgentemente misure definitive, può chiedere al comitato un parere urgente o una decisione urgente vincolante, indicando i motivi di tale richiesta. .

(3) Qualsiasi autorità di controllo può chiedere al comitato un parere urgente o una decisione urgente e vincolante, a seconda dei casi, se un'autorità di controllo competente non ha adottato misure adeguate in una situazione in cui esiste un'urgente necessità di agire per proteggere i diritti e le libertà degli interessati, indicando i motivi per richiedere tale parere o tale decisione, compresa l'urgenza di agire.

(4) In deroga all'articolo 64, paragrafo 3 e all'articolo 65, paragrafo 2, l'avviso urgente o la decisione urgente e vincolante di cui ai paragrafi 2 e 3 del presente articolo sono adottati entro due settimane con la maggioranza semplice dei membri della commissione.
Art. 67: Scambio di informazioni

La Commissione può adottare atti di esecuzione di portata generale per definire le modalità per lo scambio elettronico di informazioni tra le autorità di controllo, nonché tra le autorità di controllo e il comitato, in particolare il modulo standard di cui all'articolo 64. la rispettiva attuazione è adottato secondo la procedura d'esame di cui all'articolo 93, comma 2.

Sezione 3: Comitato europeo per la protezione dei dati
Art. 68: Comitato europeo per la protezione dei dati
(1) Il Comitato europeo per la protezione dei dati (il "Comitato") è istituito come organismo dell'Unione ed è dotato di personalità giuridica.
(2) Il comitato è rappresentato dal suo presidente.
(3) Il Comitato è composto dal capo di un'autorità di controllo di ciascuno Stato membro e dall'Autorità europea per la protezione dei dati o dai rispettivi rappresentanti.
(4) Se in uno Stato membro più autorità di vigilanza sono responsabili del controllo dell'applicazione delle disposizioni adottate ai sensi del presente regolamento, viene nominato un rappresentante comune conformemente al diritto interno del rispettivo Stato membro.
(5) La commissione ha il diritto di partecipare alle attività e alle riunioni del comitato senza diritto di voto. La commissione nomina un rappresentante. Il presidente del comitato comunica alla Commissione le attività del comitato. (6) Nei casi di cui all'articolo 65, il Garante europeo per la protezione dei dati ha diritto di voto soltanto sulle decisioni che riguardano i principi e le norme applicabili riguardanti le istituzioni, gli organi e gli organismi dell'Unione che corrispondono nella sostanza a quelli del presente regolamento.
Art.69: Indipendenza
(1) Il comitato agisce in modo indipendente nell’adempimento dei suoi compiti o nell’esercizio dei suoi poteri ai sensi degli articoli 70 e 71.

(2) Fatte salve le richieste della Commissione di cui all'articolo 70, paragrafi 1 e 2, il comitato, nello svolgimento delle sue funzioni o nell'esercizio dei suoi poteri, non richiede né accetta

istruzioni da parte di soggetti esterni.

(in data 23 maggio 2018, art. 69, comma (2) d

capitolo VII, sezione 3 corretto dal punto 21. della rettifica del 23 maggio

2018)
Art. 70: Compiti del comitato
(1) Il comitato garantisce l'applicazione coerente del presente regolamento. A tal fine, di propria iniziativa o, se del caso, su richiesta della Commissione, il comitato ha in particolare i seguenti compiti:
a) vigilare e garantire la corretta applicazione del presente regolamento, nei casi previsti dagli articoli 64 e 65, fatti salvi i compiti delle autorità nazionali di vigilanza;
b) fornire consulenza alla Commissione su qualsiasi aspetto relativo alla protezione dei dati personali all'interno dell'Unione, compresa qualsiasi proposta di modifica del presente regolamento;
c) fornire consulenza alla Commissione sul formato e sulle procedure per lo scambio di informazioni tra operatori, persone autorizzate dagli operatori e autorità di controllo per norme aziendali obbligatorie;

d) emanare linee guida, raccomandazioni e buone pratiche relative alle procedure per l'eliminazione dei collegamenti ai dati personali, delle loro copie o riproduzioni disponibili nei servizi di comunicazione accessibili al pubblico, di cui all'articolo 17, comma 2;
e) esaminare, di propria iniziativa, su richiesta di uno dei suoi membri o su richiesta della Commissione, qualsiasi questione relativa all'applicazione del presente regolamento ed emanare linee guida, raccomandazioni e migliori pratiche per incoraggiare l'applicazione coerente del presente regolamento questo regolamento;

f) emanare linee guida, raccomandazioni e buone pratiche ai sensi del presente paragrafo, lettera e), al fine di dettagliare i criteri e le condizioni per le decisioni basate sulla creazione dei profili di cui all'articolo 22, comma 2;
g) emanare linee guida, raccomandazioni e migliori pratiche ai sensi della lettera (e) del presente paragrafo per l'accertamento delle violazioni della sicurezza dei dati personali e l'accertamento dei ritardi ingiustificati di cui all'articolo 33, commi 1 e 2, nonché per quanto riguarda le circostanze particolari in cui un operatore o una persona autorizzata dall'operatore ha l'obbligo di notificare la violazione della sicurezza dei dati personali;

h) emanare linee guida, raccomandazioni e buone pratiche conformemente alla lettera (e) del presente paragrafo riguardo alle circostanze in cui una violazione della sicurezza dei dati personali può generare un rischio elevato per i diritti e le libertà delle persone fisiche, menzionate nell'articolo 34 comma (1);

i) emanare linee guida, raccomandazioni e migliori pratiche ai sensi della lettera (e) del presente paragrafo al fine di dettagliare i criteri e i requisiti applicabili ai trasferimenti di dati personali sulla base delle norme aziendali obbligatorie che devono essere rispettate dagli operatori e da coloro che devono essere rispettati dai soggetti autorizzati dagli operatori, nonché riguardo agli ulteriori requisiti necessari per garantire la protezione dei dati personali degli interessati di cui all'articolo 47;

j) emanare linee guida, raccomandazioni e migliori pratiche ai sensi della lettera (e) del presente paragrafo al fine di dettagliare i criteri e i requisiti per i trasferimenti di dati personali di cui all'articolo 49, paragrafo 1;
k) elaborare linee guida per le autorità di controllo, riguardo all'applicazione delle misure di cui all'articolo 58, commi 1, 2 e 3, e stabilire sanzioni amministrative ai sensi dell'articolo 83;

l 22. da Rettifica da

23-maggio-2018 )
m) emanare linee guida, raccomandazioni e buone pratiche ai sensi della lettera e) del presente comma al fine di stabilire procedure comuni di segnalazione da parte delle persone fisiche delle violazioni del presente regolamento ai sensi dell'articolo 54, comma 2;
n) incoraggiare lo sviluppo di codici di condotta e l'istituzione di meccanismi di certificazione, nonché di sigilli e marchi nel campo della protezione dei dati, in conformità con gli articoli 40 e 42;

l) rivedere l'applicazione pratica di linee guida, raccomandazioni e buone pratiche; (in data 23 maggio 2018 art. 70, comma 1, lettera L. del capo VII, comma 3 così modificato dal punto

o) approvare i criteri di certificazione ai sensi dell'articolo 42, comma 5, e tenerne un pubblico registro

meccanismi di certificazione e sigilli e contrassegni di protezione dei dati, ai sensi dell'articolo 42, comma 8, e operatori certificati o persone autorizzate dagli operatori

certificati, stabiliti (stabiliti) in Paesi terzi, ai sensi dell'articolo 42 comma 7;

(in data 23 maggio 2018 art. 70, comma (1), lettera O. del capo VII, comma 3 rettificato da p.

unctul 23. da Rettifica da

23-maggio-2018 )

p) approvare i requisiti di cui all'articolo 43, comma 3, per l'accreditamento degli organi

certificazione di cui all'articolo 43;

(in data 23 maggio 2018, art. 70, comma (1), lett

ra P. dal capitolo VII, paragrafo 3 rettificato dal punto 24. da Rettifica da

23-maggio-2018 )
q) presentare un parere alla Commissione in merito agli obblighi di certificazione di cui all'articolo 43, comma 8; r) presentare un parere alla Commissione in merito ai pittogrammi di cui all'articolo 12, comma 7;
s) presentare alla Commissione un parere per valutare l'adeguatezza del livello di protezione in un paese terzo o un'organizzazione internazionale, anche per determinare se un paese terzo, un territorio o uno o più settori specifici di quel paese terzo, oppure un’organizzazione internazionale non garantisce più un livello di protezione adeguato. A questo scopo la Commissione mette tutti a disposizione del comitato

la documentazione necessaria, compresa la corrispondenza svolta con le autorità pubbliche del Paese terzo, riguardante quel Paese terzo, quel territorio o quel settore, o con l'organizzazione internazionale;
t) esprimere pareri sui progetti di decisione delle autorità di vigilanza secondo il meccanismo di garanzia della coerenza di cui all'articolo 64, comma 1, per quanto riguarda le questioni presentate ai sensi dell'articolo 64, comma 2, ed emanare decisioni vincolanti ai sensi dell'articolo 65, anche nei casi previsti dall'articolo 66;

u) promuovere la cooperazione e un efficiente scambio bilaterale e multilaterale di informazioni e buone pratiche tra le autorità di vigilanza;
v) promuovere programmi di formazione congiunti e agevolare gli scambi di personale tra autorità di vigilanza, nonché, se del caso, con autorità di vigilanza di paesi terzi o organizzazioni internazionali;

w) promuovere lo scambio di conoscenze e documenti riguardanti la legislazione e le pratiche in materia di protezione dei dati con le autorità di controllo della protezione dei dati in tutto il mondo;
x) esprimere pareri in merito ai codici di condotta elaborati a livello dell'Unione ai sensi dell'articolo 40, comma 9; E

y) tenere un registro elettronico accessibile al pubblico delle decisioni assunte dalle autorità di vigilanza e dai tribunali in merito a questioni trattate nell'ambito del meccanismo di garanzia della coerenza.
(2) Se la Commissione consulta il comitato, può indicare un termine, tenendo conto dell'urgenza della questione.

(3) Il comitato trasmette i propri pareri, orientamenti, raccomandazioni e buone pratiche alla Commissione e al comitato di cui all'articolo 93 e li rende pubblici.
(4) Se necessario, il comitato consulta le parti interessate e offre loro la possibilità di formulare osservazioni entro un termine ragionevole. Fermo restando quanto previsto dall'articolo 76, il comitato pubblica i risultati della procedura di consultazione.

Art. 71: Denunce
(1) Il comitato elabora una relazione annuale sulla tutela delle persone fisiche con riguardo al trattamento nell'Unione e, se del caso, nei paesi terzi e nelle organizzazioni internazionali. Il rapporto viene reso pubblico e inviato al Parlamento europeo, al Consiglio e alla Commissione.
(2) La relazione annuale comprende un esame dell’applicazione pratica delle linee guida, delle raccomandazioni e delle buone pratiche di cui all’articolo 70, paragrafo 1, lettera l), nonché delle decisioni obbligatorie di cui all’articolo 65.
Art.72: Procedura
(1) Il Comitato adotta le decisioni a maggioranza semplice dei suoi membri, salvo diversa disposizione del presente regolamento.
(2) Il comitato adotta il proprio regolamento interno con la maggioranza dei due terzi dei suoi membri e organizza i propri meccanismi di funzionamento.
Art. 73: Il Presidente
(1) Il comitato elegge tra i suoi membri, con maggioranza semplice, un presidente e due vicepresidenti. (2) Il mandato del presidente e dei vicepresidenti è di cinque anni ed è rinnovabile una sola volta.
Art. 74: Compiti del presidente
(1) Il Presidente ha i seguenti compiti:
a) convocare le riunioni dei comitati e fissarne l'ordine del giorno;
b) comunicare le decisioni adottate dal comitato, ai sensi dell'articolo 65, alle principali autorità di controllo e alle autorità di controllo interessate;
c) assicurare il tempestivo adempimento dei compiti del comitato, con particolare riguardo al meccanismo di garanzia della coerenza di cui all'articolo 63.
(2) Il comitato stabilisce nel suo regolamento e nelle sue procedure la ripartizione dei compiti tra il presidente e i vicepresidenti.
Art. 75: Il Segretariato
(1) Il comitato dispone di un segretariato assicurato dall'Autorità europea per la protezione dei dati.
(2) La segreteria svolge i suoi compiti esclusivamente sulla base delle istruzioni del presidente della commissione.

(3) Il personale dell'Autorità europea per la protezione dei dati coinvolto nello svolgimento dei compiti assegnati al comitato ai sensi del presente regolamento è soggetto a linee di riporto distinte rispetto al personale coinvolto nello svolgimento dei compiti assegnati all'Autorità europea per la protezione dei dati Autorità. (4) Se opportuno, il comitato e l'Autorità europea per la protezione dei dati elaborano e pubblicano un memorandum d'intesa per l'attuazione del presente articolo, che stabilirà le condizioni di cooperazione e si applicherà al personale dell'Autorità europea per la protezione dei dati coinvolto nell'adempimento i compiti attribuiti al comitato ai sensi del presente regolamento. (5) Il segretariato fornisce supporto analitico, amministrativo e logistico al comitato.

(6) Il Segretariato è particolarmente responsabile di quanto segue:
a) la gestione corrente delle attività del comitato;
b) comunicazione tra i membri della commissione, il suo presidente e la Commissione;
c) comunicazione con altre istituzioni e con il pubblico;
d) l'utilizzo di mezzi elettronici per la comunicazione interna ed esterna;
e) traduzione delle informazioni rilevanti;
f) predisporre e monitorare le azioni successive alle riunioni del comitato;
g) la predisposizione, redazione e pubblicazione di pareri, decisioni in materia di risoluzione delle controversie tra autorità di vigilanza e di altri testi adottati dal comitato.
Art. 76: Riservatezza
(1) Le discussioni in seno al comitato sono riservate se il comitato lo ritiene necessario conformemente al regolamento o alla procedura.

(2) L'accesso ai documenti presentati ai membri dei comitati, agli esperti e ai rappresentanti di terzi è regolato dal regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio (1).
(1) Regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001, pag. 43).

CAPO VIII: Rimedi, responsabilità e sanzioni
Art. 77: Diritto di proporre reclamo a un'autorità di controllo
(1) Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, ogni interessato ha il diritto di proporre reclamo a un'autorità di controllo, in particolare nello Stato membro in cui ha la residenza abituale, in cui si trova la sua sede di attività di lavoro o del luogo in cui è avvenuta la presunta violazione, qualora ritenga che il trattamento dei dati personali che lo riguardano violi la presente normativa.
(2) L'autorità di controllo a cui è stato presentato il reclamo informa il reclamante sullo stato e sull'esito del reclamo, compresa la possibilità di esercitare un ricorso giurisdizionale ai sensi dell'articolo 78.
Art. 78: Diritto ad un ricorso giurisdizionale effettivo contro l'autorità di controllo
(1) Fatti salvi eventuali altri rimedi amministrativi o stragiudiziali, ogni persona fisica o giuridica ha il diritto di esercitare un ricorso giurisdizionale effettivo contro una decisione giuridicamente vincolante di un'autorità di controllo che la riguarda.
(2) Fatti salvi eventuali altri ricorsi amministrativi o stragiudiziali, ciascun interessato ha il diritto di esercitare un ricorso giurisdizionale effettivo se l'autorità di controllo competente ai sensi degli articoli 55 e 56 non tratta un reclamo o non informa l'interessato all'interessato entro tre mesi circa l'andamento o la soluzione del reclamo proposto ai sensi dell'articolo 77.
(3) Le azioni contro un'autorità di controllo sono proposte davanti ai tribunali dello Stato membro in cui ha sede l'autorità di controllo.
(4) Se i ricorsi sono intentati contro una decisione dell'autorità di controllo preceduta da un parere o da una decisione del comitato nell'ambito del meccanismo di garanzia della coerenza, l'autorità di controllo sottopone il rispettivo parere o decisione al tribunale.

Art. 79: Diritto ad un ricorso giurisdizionale effettivo contro un operatore o una persona autorizzata dall'operatore
(1) Fatto salvo ogni ricorso amministrativo o stragiudiziale disponibile, compreso il diritto di proporre reclamo a un'autorità di controllo ai sensi dell'articolo 77, ciascun interessato ha diritto a un ricorso giurisdizionale effettivo se ritiene che i diritti di cui gode ai sensi di questo regolamento sono stati violati a seguito del trattamento dei suoi dati personali senza rispettare tale regolamento.

(2) Le azioni intentate contro l'operatore o la persona autorizzata dall'operatore si presentano davanti ai tribunali dello Stato membro in cui ha sede l'operatore o la persona autorizzata dall'operatore. In alternativa, tale azione può essere proposta dinanzi ai giudici dello Stato membro in cui l'interessato ha la residenza abituale, a meno che l'operatore o la persona autorizzata dall'operatore non sia un'autorità pubblica di uno Stato membro che agisce nell'esercizio dei suoi poteri pubblici.

Art. 80: Rappresentanza degli interessati
(1) L’interessato ha il diritto di conferire mandato a un ente, un’organizzazione o un’associazione senza scopo di lucro, debitamente costituita in conformità con il diritto interno, i cui obiettivi statutari sono di interesse pubblico, che sono attivi nel campo della tutela dei diritti e delle libertà degli interessati rispetto alla protezione dei dati personali, di proporre reclamo per loro conto, di esercitare per loro conto i diritti di cui agli articoli 77, 78 e 79, nonché di esercitare il diritto al risarcimento di cui all'art. l'articolo 82 a nome dell'interessato, se ciò è previsto dal diritto interno.
(2) Gli Stati membri possono prevedere che qualsiasi organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato della persona interessata, abbia il diritto di presentare reclamo all'autorità di vigilanza nel rispettivo Stato membro. competente ai sensi dell'articolo 77 e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che in conseguenza del trattamento siano stati violati i diritti dell'interessato ai sensi del presente regolamento.
Art. 81: Sospensione del procedimento
(1) Se un tribunale competente di uno Stato membro viene a conoscenza che davanti a un tribunale di un altro Stato membro è pendente un'azione con lo stesso oggetto riguardante le attività di trattamento dello stesso operatore o della stessa persona autorizzata dall'operatore, il tribunale competente contatta al tribunale dell'altro Stato membro per confermare l'esistenza di tali azioni.
(2) Quando un tribunale di un altro Stato membro ha un'azione con lo stesso oggetto riguardo alle attività di trattamento dello stesso operatore o della stessa persona autorizzata dall'operatore, qualsiasi tribunale competente diverso da quello inizialmente notificato può sospendere l'azione pendente con suo.
(3) Se tale azione viene proposta dinanzi al primo tribunale, anche qualsiasi tribunale successivamente adito può, su richiesta di una delle parti, dichiararsi incompetente, a condizione che detta azione sia di competenza del primo tribunale adito e che la legge ad esso applicabile consente la connessione delle azioni.
Art. 82: Diritto al risarcimento e responsabilità
(1) Chiunque abbia subito un danno materiale o morale a seguito di una violazione del presente regolamento ha il diritto di ottenere dall'operatore o dalla persona autorizzata dall'operatore il risarcimento del danno subito.
(2) Qualsiasi operatore coinvolto nelle operazioni di trattamento è responsabile dei danni causati dalle sue operazioni di trattamento che violano il presente regolamento. La persona autorizzata dall'operatore è responsabile del danno causato dal trattamento solo se non ha rispettato gli obblighi del presente regolamento che ricadono specificamente sulle persone autorizzate dall'operatore o ha agito al di fuori o in contraddizione con le istruzioni legali dell'operatore operatore.

(3) L'esercente o la persona da lui autorizzata è esonerato dalla responsabilità ai sensi del comma (2) se dimostra di non essere in alcun modo responsabile dell'evento che ha causato il danno.
(4) Se più operatori o più persone autorizzate dall'operatore, o un operatore e una persona autorizzata dall'operatore sono coinvolti (coinvolti) nella stessa operazione di trattamento e rispondono, ai sensi dei paragrafi (2) e (3), per qualsiasi danni causati dal trattamento, ciascun operatore o persona autorizzata dall'operatore è responsabile (responsabile) dell'intero danno per garantire l'effettivo risarcimento dell'interessato.

(5) Nel caso in cui un operatore o una persona autorizzata dall'operatore abbia pagato, ai sensi del paragrafo (4), l'intero risarcimento per il danno causato, il rispettivo operatore o la rispettiva persona autorizzata dall'operatore ha il diritto chiedere agli altri operatori o alle altre persone autorizzate dall'operatore coinvolte nella stessa operazione di trattamento il recupero della parte del risarcimento che corrisponde alla loro parte di responsabilità per il danno, secondo le condizioni stabilite al comma (2).

(6) Le azioni per l'esercizio del diritto al recupero delle indennità versate sono proposte ai tribunali competenti in base alla legge dello Stato membro di cui all'articolo 79, paragrafo 2.
Art. 83: Condizioni generali per l'irrogazione di sanzioni amministrative
(1) Ciascuna autorità di controllo assicura che l'irrogazione delle sanzioni amministrative ai sensi del presente articolo per le violazioni della presente norma di cui ai commi (4), (5) e (6) sia, in ogni caso, efficace, proporzionata e dissuasiva. .

(2) A seconda delle circostanze di ogni singolo caso, in aggiunta o in sostituzione delle misure di cui all'articolo 58, paragrafo 2, lettere (a)-(h) e (j), vengono irrogate sanzioni amministrative. Quando si decide se imporre una sanzione amministrativa e si decide in merito all'importo della sanzione amministrativa in ogni singolo caso, viene prestata la dovuta attenzione ai seguenti aspetti:

a) la natura, la gravità e la durata della violazione, tenendo conto della natura, della portata o dello scopo del trattamento in questione, nonché del numero degli interessati interessati e dell'entità dei danni da essi subiti;
b) se la violazione è stata commessa intenzionalmente o per negligenza;

c) eventuali azioni intraprese dall'operatore o dalla persona autorizzata dall'operatore per ridurre il danno subito dall'interessato;
d) il grado di responsabilità dell'operatore o della persona da esso autorizzata, tenuto conto delle misure tecniche e organizzative da questi adottate ai sensi degli articoli 25 e 32; e) eventuali precedenti violazioni rilevanti commesse dall'operatore o dalla persona autorizzata dall'operatore;

f) il grado di collaborazione con l'autorità di controllo per porre rimedio alla violazione e attenuare i possibili effetti negativi della violazione;
g) le categorie di dati personali interessati dalla violazione;
h) le modalità con cui la violazione è stata portata a conoscenza dell'autorità di controllo, soprattutto se e in che misura l'operatore o la persona da lui autorizzata ha segnalato la violazione;

i) se i provvedimenti di cui all'articolo 58, comma 2, sono stati precedentemente disposti nei confronti dell'operatore o della persona da lui autorizzata nella causa riguardante la stessa cosa, l'osservanza di tali provvedimenti;
j) adesione a codici di condotta approvati, ai sensi dell'articolo 40, o a meccanismi di certificazione approvati, ai sensi dell'articolo 42; E

k) qualsiasi altra circostanza aggravante o attenuante applicabile alle circostanze del caso, quali benefici economici acquisiti o perdite evitate direttamente o indirettamente a seguito della violazione.
(3) Se un operatore o una persona autorizzata dall'operatore viola, intenzionalmente o per negligenza, per la stessa operazione di trattamento o per operazioni di trattamento correlate, diverse disposizioni del presente regolamento, l'importo complessivo della sanzione amministrativa non può superare l'importo previsto per la sanzione amministrativa pecuniaria. violazione più grave.

(4) Per le violazioni delle seguenti disposizioni, ai sensi del comma (2), si applica la sanzione amministrativa fino a 10 di euro o, se si tratta di impresa, fino al 000% dell'importo del

totale annuo del business mondiale corrispondente all'esercizio finanziario precedente, tenendo conto del valore più alto:
a) gli obblighi dell'operatore e della persona autorizzata dall'operatore ai sensi degli articoli 8, 11, 25-39, 42 e 43;

b) gli obblighi dell'organismo di certificazione ai sensi degli articoli 42 e 43;
c) gli obblighi dell'organismo di controllo ai sensi dell'articolo 41, comma 4.
(5) Per le violazioni delle seguenti disposizioni, ai sensi del paragrafo (2), sanzioni amministrative fino a 20 di euro o, nel caso di un'impresa, fino al 000% del fatturato totale annuo mondiale corrispondente all'anno finanziario precedente vengono applicati, tenendo conto del valore più alto:
a) i principi base del trattamento, ivi comprese le condizioni relative al consenso, ai sensi degli articoli 5, 6, 7 e 9;
b) i diritti dell'interessato ai sensi degli articoli 12-22;
c) trasferimenti di dati personali a un destinatario di un paese terzo o di un'organizzazione internazionale, ai sensi degli articoli 44-49;
d) eventuali obblighi previsti dalla normativa nazionale adottata ai sensi del Capo IX;
e) inosservanza di un ordine o di limitazione temporanea o definitiva del trattamento, o di sospensione dei flussi, impartiti dall'autorità di controllo ai sensi dell'articolo 58, comma 2, o mancato conferimento dell'accesso, in violazione dell'articolo 58, comma ( 1).
(6) In caso di violazione di un ordine emesso dall'autorità di controllo ai sensi dell'articolo 58, comma 2, si applica la sanzione amministrativa fino a 2 di euro, ai sensi del comma 20 del presente articolo, o, nel caso di un'impresa, fino al 000% del fatturato totale annuo mondiale corrispondente all'anno finanziario precedente, tenendo conto del valore più alto. (000) Fatti salvi i poteri correttivi delle autorità di controllo di cui all'articolo 4, comma 7, ciascuno Stato membro può prevedere norme per stabilire se e in quale misura possono essere irrogate sanzioni amministrative alle pubbliche autorità e agli enti pubblici stabiliti nel territorio rispettivo Stato membro.
(8) L'esercizio da parte dell'autorità di controllo dei poteri ad essa attribuiti dal presente articolo avviene a condizione che sussistano adeguate garanzie procedurali conformi al diritto dell'Unione e al diritto interno, compresi ricorsi giurisdizionali effettivi e il diritto a un giusto processo.
(9) Qualora l'ordinamento giuridico dello Stato membro non preveda sanzioni amministrative, il presente articolo può essere applicato in modo che la sanzione sia disposta dall'autorità di controllo competente e irrogata dai competenti tribunali nazionali, garantendo, al tempo stesso, la fatto che tali ricorsi sono effettivi e hanno effetto equivalente a quello delle sanzioni amministrative irrogate dalle autorità di controllo. In ogni caso, le sanzioni irrogate devono essere effettive, proporzionate e dissuasive. I rispettivi Stati membri informano la Commissione delle disposizioni di diritto interno che adottano ai sensi del presente paragrafo entro il 25 maggio 2018, nonché, senza indugio, di qualsiasi atto legislativo modificativo o di qualsiasi successivo emendamento dello stesso.

Art. 84: Sanzioni
(il 29 l'art. 2017 del Capo VIII era correlato al Regolamento 84/2226)

(1) Gli Stati membri stabiliscono le norme relative alle altre sanzioni applicabili in caso di violazione del presente regolamento, in particolare per le violazioni che non sono soggette a sanzioni amministrative ai sensi dell'articolo 83, e adottano tutte le misure necessarie per garantirne l'attuazione. Le rispettive sanzioni sono effettive, proporzionate e dissuasive.

(2) Ciascuno Stato membro informa la Commissione sulle disposizioni di diritto interno che adotta ai sensi del paragrafo (1) fino al 25 maggio 2018, nonché, senza indugio, su qualsiasi successiva modifica delle stesse.
CAPO IX: Disposizioni relative a situazioni specifiche di trattamento

Art. 85: Trattamento e libertà di espressione e informazione
(1) Attraverso il diritto interno, gli Stati membri garantiscono un equilibrio tra il diritto alla protezione dei dati personali ai sensi del presente regolamento e il diritto alla libertà di espressione e

delle informazioni, compreso il trattamento per scopi giornalistici o per finalità di espressione accademica, artistica o letteraria.
(2) Per i trattamenti effettuati per finalità giornalistiche o per finalità di espressione accademica, artistica o letteraria, gli Stati membri prevedono esenzioni o deroghe alle disposizioni del capo II (principi), del capo III (diritti dell'interessato ), del capo IV (il gestore e la persona autorizzata dal gestore), del capo V (trasferimento di dati personali verso paesi terzi o organizzazioni internazionali), del capo VI (autorità di controllo indipendenti), del capo VII (cooperazione e coerenza) e del capo IX (situazioni specifiche del trattamento dei dati) se sono necessari per garantire un equilibrio tra il diritto alla protezione dei dati personali e la libertà di espressione e di informazione.

(3) Ciascuno Stato membro informa la Commissione sulle disposizioni di diritto interno adottate ai sensi del paragrafo (2) nonché, senza indugio, su qualsiasi atto legislativo che lo modifichi o su qualsiasi successivo emendamento.
Art. 86: Elaborazione e accesso del pubblico agli atti ufficiali

I dati personali contenuti in documenti ufficiali detenuti da un'autorità pubblica o da un organismo pubblico o privato per l'esecuzione di un compito di interesse pubblico possono essere divulgati da tale autorità o organismo conformemente al diritto dell'Unione o al diritto interno in base al quale l'autorità o l'organismo dell’organismo, al fine di stabilire un equilibrio tra l’accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali previsto dal presente regolamento.

Art. 87: Elaborazione di un numero di identificazione nazionale
Gli Stati membri possono dettagliare ulteriormente le condizioni specifiche per il trattamento di un numero di identificazione nazionale o di qualsiasi altro identificatore di applicabilità generale. In questo caso, il numero di identificazione nazionale o qualsiasi altro identificatore con applicabilità generale viene utilizzato solo sulla base di garanzie adeguate per i diritti e le libertà della persona interessata ai sensi del presente regolamento.
rt. 88: Trattamenti in ambito lavorativo
(1) Con la legge o mediante contratti collettivi, gli Stati membri possono prevedere norme più dettagliate per garantire la tutela dei diritti e delle libertà in merito al trattamento dei dati personali dei dipendenti nell'ambito dell'impiego, in particolare ai fini dell'assunzione, dell'adempimento degli obblighi le clausole del contratto di lavoro, compreso l'adempimento degli obblighi previsti dalla legge o dai contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, di uguaglianza e diversità sul lavoro, di garanzia della salute e sicurezza sul lavoro, di tutela beni del datore di lavoro o del cliente, nonché al fine di esercitare e beneficiare, individualmente o collettivamente, dei diritti e dei benefici connessi al rapporto di lavoro, nonché per la cessazione dei rapporti di lavoro.
(2) Tali norme comprendono misure adeguate e specifiche per garantire la dignità umana, gli interessi legittimi e i diritti fondamentali delle persone interessate, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali all'interno di un gruppo di società o di un gruppo di imprese coinvolte in un'attività economica comune e sistemi di monitoraggio sul posto di lavoro.
(3) Ciascuno Stato membro informa la Commissione sulle disposizioni di diritto interno che adotta ai sensi del paragrafo (1) fino al 25 maggio 2018, nonché, senza indugio, su qualsiasi successiva modifica delle stesse.
Art. 89: Garanzie e deroghe al trattamento per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o per fini statistici
(1) Il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici avviene a condizione che sussistano garanzie adeguate, ai sensi del presente regolamento, per i diritti e le libertà degli interessati. Le rispettive garanzie assicurano che siano state stabilite le misure tecniche e organizzative necessarie per garantire, in particolare, il rispetto del principio di minimizzazione dei dati. Queste misure possono includere la pseudonimizzazione, a condizione che i rispettivi scopi siano soddisfatti in questo modo. Quando le rispettive finalità possono essere soddisfatte attraverso un trattamento successivo che non consente o non consente più l'identificazione degli interessati, le rispettive finalità sono così soddisfatte.

(2) Se i dati personali sono trattati a fini di ricerca scientifica o storica o a fini statistici, il diritto dell'Unione o il diritto interno possono prevedere esenzioni dai diritti di cui agli articoli 15, 16, 18 e 21, fatte salve le condizioni e le garanzie previste nell'articolo 1, XNUMX, XNUMX e XNUMX. paragrafo (XNUMX) del presente articolo, nella misura in cui i rispettivi diritti siano tali da rendere impossibile o pregiudicare gravemente il raggiungimento degli obiettivi specifici, e le rispettive deroghe siano necessarie per il raggiungimento di tali obiettivi.

(3) Se i dati personali sono trattati a fini di archiviazione nel pubblico interesse, il diritto dell'Unione o il diritto nazionale possono prevedere esenzioni dai diritti di cui agli articoli 15, 16, 18, 19, 20 e 21, alle condizioni e garanzie previste al comma (1) del presente articolo, nella misura in cui i rispettivi diritti siano tali da rendere impossibile o da pregiudicare gravemente il raggiungimento degli obiettivi specifici, e le rispettive deroghe siano necessarie per il raggiungimento di tali obiettivi.

(4) Se il trattamento menzionato ai paragrafi (2) e (3) serve contemporaneamente ad un altro scopo, le deroghe si applicano solo al trattamento per le finalità menzionate nei rispettivi paragrafi.
Art. 90: Obblighi di riservatezza
(1) Gli Stati membri possono adottare norme specifiche per stabilire i poteri delle autorità di controllo, previste dall'articolo 58, paragrafo 1, lettere e) e f), nei confronti degli operatori o delle persone autorizzate dagli operatori che, ai sensi del diritto dell'Unione o dal diritto interno o dalle norme stabilite dagli organismi nazionali competenti, hanno l'obbligo di mantenere il segreto professionale o altri obblighi equivalenti di riservatezza, se ciò è necessario e proporzionato per stabilire un equilibrio tra il diritto alla protezione dei dati personali e l'obbligo di riservatezza. Le rispettive norme si applicano solo per quanto riguarda i dati personali che l'operatore o la persona autorizzata dall'operatore ha ricevuto a seguito o nel contesto di un'attività che rientra in questo obbligo di riservatezza. (2) Ciascuno Stato membro comunica alla Commissione le norme adottate ai sensi del paragrafo (1) entro il 25 maggio 2018, nonché, senza indugio, ogni successiva modifica delle stesse.

Art. 91: Norme vigenti in materia di protezione dei dati per le chiese e le associazioni religiose
(1) Se in uno Stato membro le chiese e le associazioni o comunità religiose applicano, alla data di entrata in vigore del presente regolamento, un complesso di norme per la tutela delle persone fisiche con riguardo al trattamento, tali norme possono continuare ad applicarsi si applicano, purché in linea con il presente regolamento.

(2) Le chiese e le associazioni religiose che applicano un insieme completo di norme ai sensi del paragrafo (1) del presente articolo sono soggette al controllo di un'autorità di controllo indipendente che può essere specificata, a condizione che soddisfino le condizioni stabilite nel capitolo VI del questo regolamento.

CAPO X: Atti delegati e atti di esecuzione
Art. 92: Esercizio della delega
(1) La competenza ad adottare atti delegati è conferita alla Commissione alle condizioni previste dal presente articolo.
(2) La delega di poteri prevista dall'articolo 12, comma 8, e dall'articolo 43, comma 8, è conferita alla Commissione per un periodo indeterminato a partire dal 24 maggio 2016.
(3) La delega di potere di cui all'articolo 12, paragrafo 8 e all'articolo 43, paragrafo 8 può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. Una decisione di revoca pone fine alla delega dei poteri specificati nella rispettiva decisione. La decisione ha effetto dal giorno successivo alla sua pubblicazione nella Gazzetta ufficiale dell'Unione europea o da una data successiva menzionata nella decisione. La decisione non pregiudica la validità degli atti delegati già in vigore.
(4) Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.
(5) Un atto delegato adottato ai sensi dell'articolo 12, paragrafo 8, e dell'articolo 43, paragrafo 8 entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro tre mesi dalla notifica dello stesso al Parlamento europeo e al Parlamento europeo. Consiglio, o in

se, prima della scadenza del rispettivo mandato, il Parlamento europeo e il Consiglio hanno informato la Commissione che non solleveranno obiezioni. Il rispettivo mandato è prorogato di tre mesi su iniziativa del Parlamento europeo o del Consiglio.
Art. 93: Procedura del comitato

(1) La commissione è assistita da un comitato. Il rispettivo comitato è un comitato ai sensi del regolamento (UE) n. 182/2011.
(2) Se si fa riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011.

(3) Se si fa riferimento al presente paragrafo, si applica l'articolo 8 del regolamento (UE) n. 182/2011 in combinato disposto con l'articolo 5 del medesimo regolamento.
CAPITOLO XI: Disposizioni finali
Art. 94: Abrogazione della direttiva 95/46/CE

(1) La decisione 95/46/CE è abrogata con effetto dal 25 maggio 2018.
(2) I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento. I riferimenti al Gruppo di lavoro per la tutela delle persone fisiche con riguardo al trattamento dei dati personali istituito dall'articolo 29 della direttiva 95/46/CE si interpretano come riferimenti al Comitato europeo per la protezione dei dati istituito da tale regolamento.
Art. 95: Rapporto con la Direttiva 2002/58/CE
Il presente regolamento non impone obblighi aggiuntivi alle persone fisiche o giuridiche con riguardo al trattamento connesso alla fornitura di servizi di comunicazione elettronica destinati al pubblico nelle reti pubbliche di comunicazione dell'Unione, riguardo agli aspetti per i quali hanno obblighi specifici con la stessa finalità previste dalla Direttiva 2002/58/CE.
Art. 96: Rapporto con i contratti precedentemente conclusi
Gli accordi internazionali che comportano il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, conclusi dagli Stati membri prima del 24 maggio 2016 e conformi al diritto dell'Unione applicabile prima di tale data, restano in vigore finché non vengono modificati, sostituiti o revocato.
Art. 97: Relazioni della Commissione
(1) Fino al 25 maggio 2020 e, successivamente, ogni quattro anni, la Commissione presenta al Parlamento europeo e al Consiglio una relazione sulla valutazione e revisione del presente regolamento. Le relazioni vengono rese pubbliche.
(2) Nel contesto delle valutazioni e revisioni di cui al paragrafo (1), la Commissione esamina in particolare l'applicazione e il funzionamento di:
a) capo V relativo al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, tenendo conto in particolare delle decisioni adottate ai sensi dell'articolo 45, comma 3, del presente regolamento e delle decisioni adottate ai sensi dell'articolo 25, comma 6, della Direttiva 95/46/CE;
b) il capitolo VII riguardante la cooperazione e la coerenza.
(3) Ai fini del paragrafo (1), la Commissione può chiedere informazioni agli Stati membri e alle autorità di vigilanza.
(4) Nell'effettuare le valutazioni e le revisioni di cui ai paragrafi (1) e (2), la Commissione tiene conto delle posizioni e delle conclusioni del Parlamento europeo, del Consiglio e di altri organismi o fonti pertinenti.
(5) La Commissione presenta, se necessario, proposte adeguate per modificare il presente regolamento, tenendo conto soprattutto degli sviluppi nel campo della tecnologia dell'informazione e dei progressi della società dell'informazione.
Art. 98: Revisione di altri atti giuridici dell'Unione in materia di protezione dei dati
Se necessario, la Commissione presenta proposte legislative per modificare altri atti giuridici dell'Unione in materia di protezione dei dati personali, al fine di garantire una protezione uniforme e coerente delle persone fisiche in termini di trattamento. Ciò riguarda in particolare le norme relative alla tutela delle persone fisiche in termini di trattamento da parte delle istituzioni, degli organi e degli organismi dell'Unione, nonché le norme relative alla libera circolazione di tali dati.

Art. 99: Entrata in vigore e applicazione
(1) Il presente regolamento entra in vigore il ventesimo giorno dalla data di pubblicazione nella Gazzetta Ufficiale dell'Unione Europea.
(2) Il presente regolamento si applica dal 25 maggio 2018.
Questo regolamento è obbligatorio in tutti i suoi elementi e si applica direttamente in tutti gli Stati membri.
-****-
Fatto a Bruxelles, il 27 aprile 2016.

JA HENNIS-PLASSCHAERT

Pubblicato sulla Gazzetta Ufficiale numero 119L del 4 maggio 2016

Per il Parlamento europeo il Presidente
M SCHULZ
Per il Consiglio il Presidente