EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52016AG0006(02)
Statement of the Council’s reasons: Position (EU) No 6/2016 of the Council at first reading with a view to the adoption of a Regulation of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
Motivazione del Consiglio: Posizione (UE) n. 6/2016 del Consiglio in prima lettura in vista dell’adozione del regolamento del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
Motivazione del Consiglio: Posizione (UE) n. 6/2016 del Consiglio in prima lettura in vista dell’adozione del regolamento del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
GU C 159 del 3.5.2016, p. 83–98
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
3.5.2016 |
IT |
Gazzetta ufficiale dell'Unione europea |
C 159/83 |
Motivazione del Consiglio: Posizione (UE) n. 6/2016 del Consiglio in prima lettura in vista dell’adozione del regolamento del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
(2016/C 159/02)
I. INTRODUZIONE
Il 25 gennaio 2012 la Commissione ha proposto una riforma completa della protezione dei dati comprendente:
|
— |
la succitata proposta di regolamento generale sulla protezione dei dati, intesa a sostituire la direttiva del 1995 sulla protezione dei dati (ex primo pilastro); |
|
— |
una proposta di direttiva concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati, intesa a sostituire la decisione quadro del 2008 sulla protezione dei dati (ex terzo pilastro). |
Il 12 marzo 2014 il Parlamento europeo ha adottato, in prima lettura, la sua posizione sulla proposta di regolamento generale sulla protezione dei dati (7427/14).
Il 15 giugno 2015 il Consiglio ha concordato un orientamento generale, dando così alla presidenza un mandato di negoziato per avviare triloghi con il Parlamento europeo (9565/15).
Il Parlamento europeo e il Consiglio, rispettivamente il 17 e il 18 dicembre 2015 a livello di commissione per le libertà civili, la giustizia e gli affari interni e di Comitato dei rappresentanti permanenti, hanno confermato l'accordo sul testo di compromesso derivante dai negoziati in sede di triloghi.
Nella sessione del 12 febbraio 2016, il Consiglio ha raggiunto un accordo politico sul progetto di regolamento (5455/15). L'8 aprile 2016 il Consiglio ha adottato la sua posizione in prima lettura che è pienamente in linea con il testo di compromesso del regolamento concordato durante i negoziati informali tra il Consiglio e il Parlamento europeo.
Il Comitato economico e sociale ha presentato un parere sul regolamento nel 2012 (GU C 229 del 31.7.2012, pag. 90).
Il Comitato delle regioni ha presentato un parere sul regolamento (GU C 391 del 18.12.2012, pag. 127).
Il garante europeo della protezione dei dati è stato consultato e ha formulato un primo parere nel 2012 (GU C 192 del 30.6.2012, pag. 7) e un secondo parere nel 2015 (GU C 301 del 12.9.2015, pagg. 1-8).
L'Agenzia per i diritti fondamentali ha presentato un parere il 1o ottobre 2012.
II. OBIETTIVO
Il regolamento generale sulla protezione dei dati armonizza le norme sulla protezione dei dati nell'Unione europea. Il regolamento si prefigge l'obiettivo di rafforzare i diritti delle persone fisiche con riguardo alla protezione dei dati, agevolare la libera circolazione dei dati personali nel mercato unico e ridurre gli oneri amministrativi.
III. ANALISI DELLA POSIZIONE DEL CONSIGLIO IN PRIMA LETTURA
A.
Tenuto conto dell'obiettivo del Consiglio europeo di raggiungere un accordo sulla riforma della protezione dei dati entro la fine del 2015, il Parlamento europeo e il Consiglio hanno condotto negoziati informali per far convergere le rispettive posizioni. Il testo della posizione del Consiglio in prima lettura sul regolamento generale sulla protezione dei dati rispecchia pienamente il compromesso raggiunto dai due colegislatori, assistiti dalla Commissione europea.
La posizione del Consiglio in prima lettura conferma gli obiettivi della direttiva 95/46/CE, ossia la tutela dei diritti con riguardo alla protezione dei dati e la libera circolazione dei dati. Nel contempo mira ad adattare le norme sulla protezione dei dati attualmente in vigore tenuto conto del volume sempre maggiore di dati personali trattati a seguito dei cambiamenti tecnologici e della globalizzazione. Al fine di rendere il regolamento adeguato alle esigenze future, le norme sulla protezione dei dati della posizione del Consiglio in prima lettura sono neutrali sotto il profilo tecnologico.
Per garantire un livello coerente di protezione delle persone fisiche in tutta l'Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno, la posizione del Consiglio in prima lettura prevede, in ampia misura, un unico insieme di norme direttamente applicabili in tutta l'Unione. Questa armonizzazione eliminerà la frammentazione derivante dalle diverse legislazioni degli Stati membri che attuano la direttiva 95/46. Ciononostante, per tener conto dei requisiti relativi a specifiche situazioni di trattamento dei dati, anche nel settore pubblico, la posizione del Consiglio in prima lettura consente agli Stati membri di precisare ulteriormente l'applicazione delle norme sulla protezione dei dati stabilite dal regolamento nel proprio diritto nazionale.
La protezione dei dati personali è un diritto fondamentale riconosciuto dall'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea. Inoltre, l'articolo 16 del trattato sul funzionamento dell'Unione europea stabilisce che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano, a prescindere dalla nazionalità o dalla residenza, e che è opportuno stabilire norme a tale scopo e ai fini della libera circolazione dei dati personali. Su tale base, la posizione del Consiglio in prima lettura stabilisce i principi e le norme sulla protezione delle persone fisiche con riguardo al trattamento dei loro dati personali.
Al fine di conseguire gli obiettivi del regolamento, la posizione del Consiglio in prima lettura rafforza la responsabilità dei titolari del trattamento (ai quali spetta determinare le finalità e i mezzi del trattamento dei dati personali) e dei responsabili del trattamento (ai quali spetta trattare i dati personali per conto del titolare del trattamento), in modo da promuovere una vera e propria cultura della protezione dei dati. Con queste premesse, viene introdotto in tutto il regolamento un approccio basato sul rischio che consente di calibrare gli obblighi del titolare del trattamento e del responsabile del trattamento in funzione del rischio del trattamento dati da essi effettuato. Inoltre, i codici di condotta e i meccanismi di certificazione contribuiscono al rispetto delle norme sulla protezione dei dati. Questo approccio evita norme eccessivamente prescrittive e riduce gli oneri amministrativi, senza abbassare il livello di conformità. Inoltre, la natura dissuasiva delle potenziali sanzioni che è possibile imporre costituisce un incentivo per i titolari del trattamento a conformarsi al regolamento.
Le nuove norme sulla protezione dei dati stabilite nella posizione del Consiglio in prima lettura conferiscono altresì ai cittadini diritti rafforzati e azionabili, consentendo un migliore controllo delle persone fisiche sui propri dati personali; ciò accrescerà la fiducia nei servizi on line su scala transfrontaliera contribuendo a rafforzare il mercato unico digitale. I minori necessitano di una specifica protezione in quanto possono essere meno consapevoli dei rischi inerenti al trattamento dei dati personali e dei loro diritti.
Inoltre, la posizione del Consiglio in prima lettura rafforza l'indipendenza delle autorità di controllo e al tempo stesso ne armonizza i compiti e i poteri. Le norme per la cooperazione tra le autorità di controllo e, se del caso, con la Commissione su casi transfrontalieri (meccanismo di coerenza) contribuiranno alla coerente applicazione del regolamento in tutta l'Unione europea, il che aumenterà la certezza del diritto e ridurrà gli oneri amministrativi. Inoltre, il meccanismo di sportello unico prevedrà un interlocutore unico per i titolari del trattamento e per i responsabili del trattamento relativamente al trattamento transfrontaliero, comprese decisioni vincolanti in materia di controversie da parte del neoistituito comitato europeo per la protezione dei dati. Grazie a tale meccanismo, l'applicazione del regolamento sarà più coerente. Inoltre, il meccanismo garantirà una maggiore certezza del diritto e ridurrà gli oneri amministrativi.
Infine, la posizione del Consiglio in prima lettura stabilisce un quadro globale per i trasferimenti di dati personali dall'Unione europea a destinatari di paesi terzi o di organizzazioni internazionali in cui si prevedono nuovi strumenti rispetto alla direttiva 95/46/CE.
B.
Durante i negoziati informali il Consiglio e il Parlamento europeo, assistiti dalla Commissione europea, hanno fatto convergere le relative posizioni figuranti rispettivamente nell'orientamento generale del Consiglio e nella posizione in prima lettura del Parlamento. La posizione del Consiglio in prima lettura sul regolamento generale sulla protezione dei dati rispecchia pienamente il compromesso raggiunto. Le questioni fondamentali della posizione del Consiglio in prima lettura sono indicate in appresso.
1. Ambito di applicazione
1.1. Ambito di applicazione materiale del regolamento e delimitazione rispetto alla direttiva sull'applicazione della legge
La posizione del Consiglio in prima lettura prevede che il regolamento generale sulla protezione dei dati si applichi al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali che fanno parte di un insieme strutturato di dati personali accessibili secondo criteri determinati o che sono destinati a farvi parte. L'ambito di applicazione materiale del regolamento generale sulla protezione dei dati e l'ambito di applicazione della direttiva sulla protezione dei dati nel settore dell'applicazione della legge si escludono a vicenda. È specificato che il regolamento non si applica ai trattamenti di dati personali effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati, esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse. Questa delimitazione consente alle autorità incaricate dell'applicazione della legge, in particolare la polizia, di applicare di norma il regime di protezione dei dati della direttiva, garantendo nel contempo alle persone fisiche soggette a operazioni di contrasto un livello coerente ed elevato di protezione dei dati personali.
1.2. Istituzioni e organi dell'UE
Per garantire una protezione uniforme e coerente degli interessati con riguardo al trattamento dei dati personali, la posizione del Consiglio in prima lettura indica che si dovrebbe procedere, dopo l'adozione del regolamento generale sulla protezione dei dati, ai necessari adeguamenti del regolamento (CE) n. 45/2001 che si applica alle istituzioni, agli organi, agli uffici e alle agenzie dell'UE, al fine di consentirne l'applicazione contemporaneamente al regolamento generale sulla protezione dei dati.
1.3. Deroga relativa alle attività a carattere domestico
Onde evitare di stabilire norme che creino oneri inutili per le persone fisiche, la posizione del Consiglio in prima lettura prevede che il regolamento non si applichi al trattamento di dati personali effettuato da una persona fisica nell'ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un'attività commerciale o professionale.
1.4. Ambito di applicazione territoriale
La posizione del Consiglio in prima lettura assicura condizioni di parità ai titolari del trattamento e ai responsabili del trattamento in termini di ambito di applicazione territoriale, includendovi tutti i titolari del trattamento e i responsabili del trattamento, indipendentemente dal fatto che siano stabiliti o meno nell'Unione.
In primo luogo, il regolamento stabilisce che le norme sulla protezione dei dati si applicano al trattamento dei dati personali nell'ambito delle attività di uno stabilimento di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione. In secondo luogo, onde evitare che una persona fisica sia privata della protezione dei propri dati, il regolamento si applica al trattamento dei dati personali degli interessati che si trovano nell'Unione, anche se il titolare del trattamento o il responsabile del trattamento non è stabilito nell'Unione, quando le sue attività di trattamento sono tuttavia legate all'offerta di beni o servizi a detti interessati nell'Unione, come pure al monitoraggio del loro comportamento, nella misura in cui tale comportamento ha luogo all'interno dell'Unione europea. Inoltre, questo modo di determinare l'ambito di applicazione aumenta la certezza del diritto per i titolari del trattamento e gli interessati (le persone fisiche i cui dati personali sono trattati).
La posizione del Consiglio in prima lettura garantisce altresì che gli interessati e le autorità di controllo abbiano un punto di contatto nell'UE nel caso in cui i titolari del trattamento o i responsabili del trattamento non siano stabiliti nell'Unione ma rientrino nell'ambito di applicazione del regolamento: essi devono designare per iscritto un rappresentante nell'Unione. Onde evitare oneri amministrativi superflui, tale obbligo non si applica al trattamento che ha scarsa probabilità di presentare un rischio per i diritti e le libertà delle persone fisiche e al trattamento effettuato da un'autorità pubblica o da un organismo pubblico del paese terzo.
2. Principi applicabili al trattamento di dati personali
I principi della protezione dei dati si applicano a tutte le informazioni relative a una persona fisica identificata o identificabile, comprese le informazioni che non possono più essere attribuite a un interessato specifico senza l'utilizzo di informazioni aggiuntive, sempre che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire la non attribuzione a una persona fisica identificata o identificabile (pseudonimizzazione). Rispetto alla direttiva 95/46, il regolamento assicura, in ampia misura, la continuità riguardo ai principi che sono alla base del trattamento dei dati personali. Nel contempo, il principio della "minimizzazione dei dati" è stato modificato per tener conto della realtà digitale e per creare un equilibrio tra la protezione dei dati personali, da un lato, e le possibilità di trattamento dati dei titolari del trattamento, dall'altro.
3. Liceità del trattamento
3.1. Condizioni di liceità
Al fine di assicurare la certezza del diritto, la posizione del Consiglio in prima lettura si basa sulla direttiva 95/46 quando precisa che il trattamento di dati personali è lecito solo se almeno una delle seguenti condizioni è soddisfatta:
|
— |
consenso espresso dall'interessato per una o più specifiche finalità; |
|
— |
contratto; |
|
— |
obbligo legale; |
|
— |
salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica; |
|
— |
compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento; |
|
— |
legittimi interessi perseguiti dal titolare del trattamento o da terzi. |
Due condizioni meritano un approfondimento: il consenso e i legittimi interessi perseguiti dal titolare del trattamento o da terzi.
3.1.1. Consenso
Per consentire il trattamento dei propri dati personali, un interessato può prestare il suo consenso al trattamento mediante un'azione positiva inequivocabile con la quale manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare che i dati personali che lo riguardano siano oggetto di trattamento. Il consenso si applica a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso deve essere prestato per l'insieme delle finalità del trattamento. Inoltre, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha acconsentito al trattamento. Non costituiscono pertanto consenso il silenzio, l'inattività o la preselezione di caselle. La definizione del concetto di consenso garantisce continuità con l'acquis che si è sviluppato riguardo all'uso di questo concetto in base alla direttiva 95/46/CE, contribuendo nel contempo ad assicurare una comune interpretazione e applicazione del consenso in tutta l'Unione europea.
Inoltre, al fine di tutelare i diritti dell'interessato con riguardo alla protezione dei dati, si specifica che, se l'interessato ha prestato il suo consenso nel contesto di una dichiarazione scritta che riguarda anche altre questioni, nessuna parte della dichiarazione che costituisce una violazione del regolamento è vincolante. Inoltre, nel valutare se il consenso sia stato liberamente prestato, si deve tenere nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto sia condizionata alla prestazione del consenso al trattamento non necessario all'esecuzione di tale contratto.
Infine, per consentire di derogare al divieto generale di trattare categorie particolari di dati personali, la posizione del Consiglio in prima lettura prevede una soglia più elevata rispetto ad altri trattamenti in quanto l'interessato deve prestare il proprio consenso esplicito al trattamento di tali dati personali sensibili.
Quanto ai minori, la posizione del Consiglio in prima lettura prevede uno specifico regime di protezione per il consenso dei minori in relazione all'offerta di servizi della società dell'informazione. Il trattamento di dati personali di minori al di sotto del limite di età di 16 anni è lecito se può essere ragionevolmente verificato, in considerazione delle tecnologie disponibili, che tale consenso è espresso o autorizzato dal titolare della responsabilità genitoriale sul minore. Gli Stati membri che ritengono più appropriata un'età inferiore sono autorizzati ad abbassare il limite di età, purché non al di sotto dei 13 anni.
3.1.2. Interesse legittimo del titolare del trattamento
Il trattamento dei dati personali è ritenuto lecito se il trattamento è necessario per il perseguimento degli interessi legittimi del titolare del trattamento o di terzi. Tuttavia, tali interessi legittimi non costituiscono un motivo sufficiente di liceità del trattamento se prevalgono gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
L'esistenza di legittimi interessi richiede una valutazione anche in merito all'eventualità che l'interessato, al momento e nell'ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto. Posto che spetta al legislatore prevedere per legge la base giuridica che autorizza le autorità pubbliche a trattare i dati personali, ciò non vale per il trattamento dei dati personali effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti.
3.2. Norme specifiche degli Stati membri che adeguano l'applicazione del regolamento
La posizione del Consiglio in prima lettura consente agli Stati membri di mantenere o introdurre disposizioni più specifiche che adeguano l'applicazione delle norme del regolamento qualora i dati personali siano trattati per l'adempimento di un obbligo legale o siano necessari per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Si prevedono inoltre deroghe, condizioni specifiche e altre misure in relazione a trattamenti specifici in cui gli Stati membri conciliano il diritto alla protezione dei dati personali con il diritto alla libertà d'espressione e di informazione, l'accesso del pubblico ai documenti ufficiali, il trattamento del numero di identificazione nazionale, il trattamento nei rapporti di lavoro e il trattamento per finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o per finalità statistiche.
3.3. Ulteriore trattamento
La posizione del Consiglio in prima lettura prevede che il trattamento per finalità diverse da quelle per le quali i dati personali sono stati originariamente raccolti sia lecito solo se tale ulteriore trattamento è compatibile con le finalità per le quali i dati personali sono stati originariamente trattati. Tuttavia, ove l'interessato abbia prestato il suo consenso o il trattamento si basi sul diritto dell'Unione o degli Stati membri che costituisce una misura necessaria e proporzionata in una società democratica per salvaguardare, in particolare, importanti obiettivi di interesse pubblico generale, il titolare del trattamento può sottoporre i dati personali a ulteriore trattamento a prescindere dalla compatibilità delle finalità. I diritti dell'interessato sono stati rafforzati in caso di ulteriore trattamento, in particolare per quanto riguarda il diritto di informazione e il diritto di opporsi a tale ulteriore trattamento qualora non sia necessario per l'esecuzione di un compito di interesse pubblico.
Per accertare se la finalità di un ulteriore trattamento sia compatibile con la finalità per la quale i dati personali sono stati originariamente raccolti, il titolare del trattamento deve tener conto, tra l'altro, di ogni nesso tra le finalità originarie e le finalità dell'ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in particolare le ragionevoli aspettative dell'interessato in base alla sua relazione con il titolare del trattamento con riguardo all'ulteriore utilizzo, della natura dei dati personali, delle conseguenze dell'ulteriore trattamento previsto per l'interessato e dell'esistenza di garanzie adeguate sia nel trattamento originario sia nell'ulteriore trattamento previsto.
3.4. Trattamento di categorie particolari di dati personali
Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili dal momento che il contesto del loro trattamento può creare rischi notevoli per i diritti e le libertà fondamentali delle persone fisiche. Per questo motivo, la posizione del Consiglio in prima lettura mantiene, di norma, l'approccio della direttiva 95/46 vietando il trattamento di categorie particolari di dati personali.
In deroga a tale norma, è ammesso il trattamento di dati sensibili in taluni casi elencati in modo esaustivo, ad esempio qualora l'interessato abbia prestato il proprio consenso esplicito, il trattamento sia necessario per motivi di interesse pubblico rilevante, oppure il trattamento sia necessario per altre finalità, tra l'altro nel settore della salute.
Infine, la posizione del Consiglio in prima lettura prevede che gli Stati membri possano introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute. Tali ulteriori condizioni non devono tuttavia ostacolare la libera circolazione dei dati all'interno dell'Unione.
4. Conferimento di poteri agli interessati
4.1. Introduzione
La posizione del Consiglio in prima lettura conferisce poteri agli interessati rafforzandone i diritti con riguardo alla protezione dei dati e imponendo obblighi ai titolari del trattamento. I diritti degli interessati comprendono il diritto di informazione, di accesso ai dati personali, di rettifica, di cancellazione dei dati personali, compreso il "diritto all'oblio", di limitazione del trattamento, di portabilità dei dati, di opporsi e di non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione. I diritti che hanno subito notevoli modifiche rispetto alla direttiva 95/46 sono descritti di seguito.
I titolari del trattamento sono tenuti ad agevolare l'esercizio dei diritti dell'interessato e a trattare dati personali in linea con il principio di trasparenza, in particolare fornendo informazioni sul trattamento dei dati personali da essi effettuato.
Tuttavia, se i dati personali che tratta non gli consentono di identificare un interessato, il titolare del trattamento non è obbligato ad acquisire ulteriori informazioni per identificare l'interessato al solo fine di rispettare una disposizione del regolamento in esame.
Nonostante i diritti conferiti agli interessati e gli obblighi imposti ai titolari del trattamento, la posizione del Consiglio in prima lettura mantiene l'approccio della direttiva 95/46 ammettendo limitazioni ai principi generali e ai diritti del singolo, qualora tali limitazioni siano basate sul diritto dell'Unione o degli Stati membri. Le limitazioni devono rispettare l'essenza dei diritti e delle libertà fondamentali ed essere necessarie e proporzionate in una società democratica per salvaguardare determinati interessi pubblici.
4.2. Trasparenza
In linea con il principio di trasparenza, il titolare del trattamento è tenuto a fornire le informazioni e le comunicazioni relative al trattamento dei dati personali in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate ai minori. Le informazioni devono essere fornite per iscritto o con altri mezzi, se del caso con mezzi elettronici.
La posizione del Consiglio in prima lettura stabilisce inoltre i termini per le richieste da parte del titolare del trattamento di informazioni, comunicazioni ed eventuali altre azioni, le quali devono essere fornite o intraprese di norma gratuitamente. Tuttavia, se le richieste dell'interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l'azione richiesta, oppure può rifiutare di soddisfare la richiesta. In tali casi, incombe al titolare del trattamento l'onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.
4.3. Informazioni e comunicazioni che deve fornire il titolare del trattamento
Per trovare un equilibrio tra, da un lato, la necessità di fornire agli interessati informazioni sufficienti in merito al trattamento dei loro dati personali e, dall'altro, quella di evitare obblighi gravosi per i titolari del trattamento, la posizione del Consiglio in prima lettura prevede un approccio in due fasi per garantire che gli interessati siano adeguatamente informati sia nel caso in cui i dati personali siano raccolti presso l'interessato sia nel caso in cui i dati personali non siano stati ottenuti presso l'interessato. In una prima fase, il titolare del trattamento è tenuto a fornire all'interessato, nel momento in cui i dati personali sono ottenuti, le informazioni elencate nel regolamento. In una seconda fase, il titolare del trattamento deve fornire le ulteriori informazioni elencate nel regolamento e necessarie per garantire un trattamento corretto ed efficace. I titolari del trattamento informano inoltre gli interessati qualora intendano trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati originariamente raccolti.
Il titolare del trattamento non è tenuto a fornire le informazioni elencate né nella prima né nella seconda fase se l'interessato dispone già delle informazioni. Qualora i dati personali non siano stati ottenuti presso l'interessato, il titolare del trattamento non fornisce a quest'ultimo alcuna informazione se la registrazione o la comunicazione dei dati personali ad altre parti sono espressamente previste per legge o se comunicare tali informazioni all'interessato risulta impossibile o implicherebbe sforzi sproporzionati.
Infine, il titolare del trattamento è tenuto a comunicare a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche, cancellazioni o limitazioni del trattamento, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Inoltre, il titolare del trattamento deve comunicare all'interessato tali destinatari qualora l'interessato lo richieda.
4.4. Icone
I principi di trattamento trasparente implicano che l'interessato sia informato dell'esistenza del trattamento e delle sue finalità. Con queste premesse, la posizione del Consiglio in prima lettura stabilisce che le informazioni fornite all'interessato possono essere accompagnate da icone standardizzate. I titolari del trattamento possono decidere, su base volontaria, se l'uso di tali icone standardizzate possa essere utile per il trattamento dei dati personali che essi effettuano. Le icone dovrebbero presentare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d'insieme del trattamento previsto. Le icone devono essere fornite contestualmente alle informazioni. Se presentate elettronicamente, le icone devono essere leggibili da dispositivo automatico. Al fine di contribuire all'uso standardizzato di icone nell'UE, il regolamento conferisce alla Commissione il potere di adottare atti delegati per stabilire le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate. Il comitato europeo per la protezione dei dati deve emettere un parere sulle icone proposte dalla Commissione. La possibilità di adottare atti delegati non impedisce al comitato europeo per la protezione dei dati di pubblicare linee guida, pareri e migliori prassi sulle icone.
4.5. Diritto di accesso
L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, se è in corso tale trattamento, l'accesso alle informazioni elencate nel regolamento. Su tale base, il regolamento specifica che il titolare del trattamento deve fornire gratuitamente una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Il diritto di ottenere una copia non deve ledere i diritti e le libertà altrui.
4.6. Diritto alla cancellazione ("diritto all'oblio")
La posizione del Consiglio in prima lettura autorizza gli interessati a chiedere la cancellazione dei dati personali che li riguardano se il trattamento di tali dati non è conforme al regolamento o al diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento.
La necessità di adeguare il diritto alla cancellazione, in particolare in un contesto digitale, è riconosciuta facendo riferimento al "diritto all'oblio". Il titolare del trattamento che ha reso pubblici dati personali in merito ai quali l'interessato intende esercitare il diritto all'oblio è tenuto ad adottare le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link verso i dati in questione o copia o riproduzione degli stessi, tenendo conto della tecnologia disponibile e dei costi di attuazione. Il comitato europeo per la protezione dei dati può pubblicare linee guida, raccomandazioni e migliori prassi in materia di procedure per la cancellazione di link, copie o riproduzioni di dati personali dai servizi di comunicazione accessibili al pubblico.
Il diritto alla cancellazione e l'obbligo fatto al titolare del trattamento di informare gli altri titolari del trattamento della richiesta di cancellazione non si applicano nella misura in cui il trattamento dei dati personali sia necessario per finalità elencate in modo esaustivo nel regolamento, quale il diritto alla libertà di espressione e di informazione.
4.7. Diritto alla portabilità dei dati
La posizione del Consiglio in prima lettura prevede che, qualora i dati personali siano trattati con mezzi automatizzati, l'interessato abbia il diritto di ricevere, in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile, i dati personali che lo riguardano che abbia fornito a un titolare del trattamento e di trasmettere tali dati a un altro titolare del trattamento. Inoltre, è precisato che, ove tecnicamente fattibile, l'interessato ha il diritto di ottenere che i dati personali siano trasmessi direttamente da un titolare del trattamento a un altro. In tal modo si rafforza ulteriormente il controllo dell'interessato sui propri dati. Viene inoltre incoraggiata la concorrenza tra titolari del trattamento.
Tuttavia, il diritto alla portabilità dei dati non si applica al trattamento necessario per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Inoltre, qualora un certo insieme di dati personali riguardi più di un interessato, il diritto di un interessato di ricevere i dati personali non pregiudica i diritti e le libertà degli altri.
4.8. Diritto di opposizione
Nei casi in cui i dati personali possano essere lecitamente trattati, essendo il trattamento necessario per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento, ovvero per i legittimi interessi di un titolare del trattamento o di terzi, l'interessato ha il diritto di opporsi al trattamento dei dati personali che riguardano la sua situazione particolare. In tal caso, il titolare del trattamento non può più trattare i dati personali, salvo che egli dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Al riguardo è precisato che, qualora i dati personali siano trattati per finalità di marketing diretto, l'interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano. È compresa la profilazione nella misura in cui sia connessa a tale marketing diretto. Per "profilazione" s'intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica. Qualora l'interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non possono più essere oggetto di trattamento per tali finalità. Inoltre, tale diritto deve essere esplicitamente e chiaramente portato all'attenzione dell'interessato al più tardi al momento della prima comunicazione del titolare del trattamento con l'interessato.
Inoltre, la posizione del Consiglio in prima lettura include un riferimento alle funzioni on line di "antitracciamento" (Do-Not-Track) precisando che, nel contesto dell'utilizzo di servizi della società dell'informazione, l'interessato può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche tecniche.
4.9. Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato che valuti aspetti personali relativi alla sua persona e produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Ne sono un esempio il rifiuto automatico di una domanda di credito on line o pratiche di assunzione elettronica senza interventi umani. Tale trattamento automatizzato può comprendere la profilazione. Tuttavia, il diritto di non essere sottoposto al trattamento automatizzato non si applica quando:
|
— |
è necessario per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento, |
|
— |
è autorizzato dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato, quali il monitoraggio delle frodi e dell'evasione fiscale, o |
|
— |
si basa sul consenso esplicito dell'interessato. |
|
— |
Tranne nel secondo caso in cui il trattamento è autorizzato dal diritto dell'Unione o dello Stato membro, il titolare del trattamento che effettua il trattamento con mezzi automatizzati deve mettere in atto garanzie adeguate a tutela dei diritti e delle libertà dell'interessato e dei suoi legittimi interessi. Tali garanzie devono includere almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento e la possibilità per l'interessato di esprimere la propria opinione e di contestare la decisione. Inoltre, al fine di garantire un trattamento corretto e trasparente, il titolare del trattamento dovrebbe utilizzare procedure matematiche e statistiche appropriate per la profilazione e misure che minimizzino i potenziali rischi per gli interessi dell'interessato. |
I poteri dell'interessato sono ulteriormente rafforzati poiché il titolare del trattamento, per garantire un trattamento corretto e trasparente, è tenuto a fornire all'interessato le informazioni necessarie sull'esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.
Infine, il processo decisionale automatizzato e la profilazione basati su categorie particolari di dati personali sono consentiti solo a determinate condizioni, compreso il diritto dell'interessato di opporsi al trattamento quando tali dati personali sono trattati ulteriormente a fini di ricerca scientifica o storica o a fini statistici, salvo se il trattamento è necessario per l'esecuzione di un compito di interesse pubblico.
Il comitato europeo per la protezione dei dati può pubblicare linee guida, raccomandazioni e migliori prassi per specificare ulteriormente i criteri e le condizioni delle decisioni basate sulla profilazione.
5. Titolare del trattamento e responsabile del trattamento
5.1. Introduzione
La posizione del Consiglio in prima lettura definisce il quadro giuridico relativo alla responsabilità generale per qualsiasi trattamento di dati personali effettuato dal titolare del trattamento o, per suo conto, dal responsabile del trattamento. In linea con il principio di responsabilità, il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate e ad essere in grado di dimostrare che il trattamento è effettuato conformemente al regolamento. In tale contesto, il regolamento stabilisce norme relative alle responsabilità del titolare del trattamento concernenti le valutazioni d'impatto, la tenuta di registri delle attività di trattamento, le violazioni di dati, la designazione di un responsabile della protezione dei dati, i codici di condotta e i meccanismi di certificazione.
5.2. Valutazioni d'impatto
Il titolare del trattamento è responsabile dello svolgimento di una valutazione d'impatto sulla protezione dei dati quando il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. La posizione del Consiglio in prima lettura definisce i casi in cui, in particolare, si necessita di una valutazione d'impatto sulla protezione dei dati, come determinati trattamenti specifici su larga scala. Nel caso in cui la valutazione d'impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologie disponibili e costi di attuazione, prima del trattamento deve essere consultata l'autorità di controllo. L'autorità di controllo può allora fornire un parere al titolare del trattamento e avvalersi dei suoi poteri.
Il comitato europeo per la protezione dei dati può pubblicare linee guida sui trattamenti che sono suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche e indicare quali misure possono essere sufficienti in tali casi per far fronte a rischi potenziali.
5.3. Registri delle attività di trattamento
Per consentire all'autorità di controllo di effettuare controlli ex post, il titolare del trattamento, o l'eventuale rappresentante, o il responsabile del trattamento devono tenere registri delle attività di trattamento svolte sotto la loro responsabilità, anche sulle violazioni di dati. Per ridurre gli oneri amministrativi, l'obbligo di tenere registri non si applica alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di dati sensibili o di dati relativi a condanne penali e a reati.
5.4. Violazioni dei dati
Una violazione dei dati personali può provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei loro dati personali o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati protetti da segreto professionale o qualsiasi altro danno economico o sociale alla persona fisica interessata. La posizione del Consiglio in prima lettura prevede che i titolari del trattamento notifichino le violazioni dei dati alle autorità di controllo, a meno che sia improbabile che la violazione dei dati presenti un rischio per i diritti e le libertà delle persone fisiche. Devono inoltre comunicare agli interessati le violazioni che possano presentare un rischio elevato. Le notifiche alle autorità di controllo consentiranno a queste ultime di intervenire, se necessario. Inoltre, la comunicazione all'interessato consentirà a quest'ultimo di prendere misure precauzionali.
Al fine di ridurre gli oneri amministrativi, la posizione del Consiglio in prima lettura applica soglie diverse per le notifiche all'autorità di controllo e le comunicazioni agli interessati, con una soglia più elevata per la comunicazione rispetto alla notifica. I titolari del trattamento hanno l'obbligo, non appena vengono a conoscenza di un'avvenuta violazione dei dati personali, di notificarla, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne sono venuti a conoscenza, all'autorità di controllo competente. Tuttavia, i titolari del trattamento possono astenersi dalla notifica qualora siano in grado di dimostrare che è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. A parte alcune eccezioni, i titolari del trattamento hanno l'obbligo di comunicare la violazione dei dati agli interessati, senza ingiustificato ritardo, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà di detti interessati.
Il comitato europeo per la protezione dei dati può pubblicare linee guida, raccomandazioni e migliori prassi per accertare la violazione di dati personali e determinare l'ingiustificato ritardo dopo che il titolare del trattamento è venuto a conoscenza della violazione e le circostanze particolari in cui il titolare del trattamento è tenuto a notificare la violazione dei dati personali, nonché le circostanze in cui una violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
5.5. Responsabile della protezione dei dati
Scopo della designazione di un responsabile della protezione dei dati è il miglioramento della conformità al regolamento. Pertanto, il responsabile della protezione dei dati deve essere una persona che abbia una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e deve assistere il titolare del trattamento o il responsabile del trattamento nel controllo del rispetto a livello interno del regolamento in esame. Può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi. Un unico responsabile della protezione dei dati può essere designato per un gruppo imprenditoriale o qualora il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica. La posizione del Consiglio in prima lettura prevede la designazione obbligatoria del responsabile della protezione dei dati quando:
|
— |
il trattamento è effettuato da un'autorità pubblica, eccettuate le autorità giurisdizionali o autorità giudiziarie indipendenti quando esercitano le loro funzioni giurisdizionali; |
|
— |
le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure |
|
— |
le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di dati sensibili o di dati relativi a condanne penali e a reati. |
5.6. Codici di condotta e meccanismi di certificazione
La posizione del Consiglio in prima lettura incoraggia l'applicazione di codici di condotta e promuove un uso più ampio di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati. Tali iniziative contribuiscono al rispetto delle norme in materia di protezione dei dati e, nel contempo, evitano norme eccessivamente prescrittive e riducono i costi per le autorità pubbliche incaricate dell'applicazione della normativa. Inoltre, i codici di condotta possono tenere conto delle caratteristiche specifiche dei trattamenti effettuati in alcuni settori nonché delle esigenze delle micro, piccole e medie imprese. I meccanismi di certificazione e, peraltro, i sigilli e i marchi di protezione dei dati contribuiscono al rispetto del regolamento in quanto gli interessati possono valutare facilmente il livello di protezione dei dati dei relativi prodotti e servizi.
La posizione del Consiglio in prima lettura comprende un insieme elaborato di norme con riguardo a codici di condotta e meccanismi di certificazione, sigilli e marchi di protezione dei dati che lascia spazio all'iniziativa privata proteggendo nel contempo le norme in materia di protezione dei dati mediante il coinvolgimento delle autorità di controllo.
5.6.1. Codici di condotta
L'autorità di controllo può approvare codici di condotta o modifiche o proroghe di tali codici di condotta. Qualora il progetto di codice di condotta si riferisca alle attività di trattamento in vari Stati membri, l'autorità di controllo competente, prima dell'approvazione, deve sottoporre, per parere, il progetto di codice, la modifica o la proroga al comitato europeo per la protezione dei dati.
La Commissione può decidere, mediante atti di esecuzione, che i nuovi codici di condotta e le modifiche o proroghe dei codici di condotta esistenti approvati dall'autorità di controllo competente hanno validità generale all'interno dell'Unione.
Il comitato europeo per la protezione dei dati dovrebbe incoraggiare l'elaborazione di codici di condotta. Deve inoltre raccogliere in un registro tutti i codici di condotta e le relative modifiche approvati e renderli pubblici con qualsiasi mezzo appropriato.
5.6.2. Meccanismi di certificazione, sigilli e marchi di protezione dei dati
La posizione del Consiglio in prima lettura prevede che ogni Stato membro debba stabilire se gli organismi di certificazione sono accreditati dall'autorità di controllo o dall'organismo nazionale di accreditamento. Gli organismi di certificazione accreditati possono certificare i titolari del trattamento e i responsabili del trattamento in base ai criteri approvati dall'autorità di controllo competente o, conformemente al meccanismo di coerenza, dal comitato europeo per la protezione dei dati. In quest'ultimo caso i criteri approvati dal comitato europeo per la protezione dei dati possono risultare in una certificazione comune, il sigillo europeo per la protezione dei dati. La certificazione è rilasciata a un titolare o responsabile del trattamento per un periodo massimo di tre anni con possibilità di rinnovo. L'organismo di certificazione deve trasmettere all'autorità di controllo i motivi del rilascio o della revoca della certificazione richiesta. Successivamente, l'autorità di controllo può respingere o invalidare una tale certificazione.
La Commissione è competente ad adottare atti delegati al fine di precisare i requisiti di cui tenere conto per i meccanismi di certificazione della protezione dei dati. Il comitato europeo per la protezione dei dati deve emettere un parere su tali requisiti. La Commissione può inoltre adottare atti di esecuzione su norme tecniche riguardanti i meccanismi di certificazione e i sigilli e marchi di protezione dei dati e sulle modalità per promuovere e riconoscere i meccanismi di certificazione e i sigilli e marchi di protezione dei dati.
Infine, il comitato europeo per la protezione dei dati dovrebbe incoraggiare l'istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati.
6. Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali
6.1. Introduzione
I flussi transfrontalieri di dati personali verso e da paesi al di fuori dell'Unione e organizzazioni internazionali sono fondamentali in un contesto di commercio mondiale e economia digitale transfrontaliera. Il livello di protezione garantito dall'Unione non deve essere pregiudicato se i dati personali dei cittadini dell'UE sono trasferiti al di fuori dell'Unione.
In linea di principio, qualunque trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale può essere ammesso soltanto se i titolari del trattamento e i responsabili del trattamento rispettano le norme del regolamento. La posizione del Consiglio in prima lettura tiene pienamente conto della giurisprudenza della Corte di giustizia dell'Unione europea, compresa la sua sentenza del 6 ottobre 2015 nella causa C-362/14. La posizione del Consiglio mantiene i diversi modi per consentire trasferimenti transfrontalieri di dati personali rafforzando nel contempo le garanzie sul rispetto dei diritti con riguardo alla protezione dei dati. Tali diversi modi per consentire trasferimenti di dati personali sono decisioni di adeguatezza, garanzie adeguate e deroghe.
La posizione del Consiglio in prima lettura precisa che le sentenze di un'autorità giurisdizionale e le decisioni di un'autorità amministrativa di un paese terzo che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento possono essere riconosciute o assumere qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l'Unione o un suo Stato membro. La posizione del Consiglio in prima lettura specifica inoltre esplicitamente che detti accordi internazionali fanno salvi gli altri presupposti di trasferimento transfrontaliero previsti nel regolamento.
6.2. Decisioni di adeguatezza
I trasferimenti internazionali possono essere ammessi sulla base di una decisione di adeguatezza della Commissione secondo la quale il paese terzo, o un territorio o uno o più settori specifici all'interno di detto paese terzo, o l'organizzazione internazionale in questione garantiscono un livello di protezione sostanzialmente equivalente a quello garantito all'interno dell'Unione. In tal modo, la certezza del diritto e l'uniformità sono garantite in tutta l'Unione.
La Commissione può decidere, dopo aver fornito una comunicazione e una motivazione completa al paese terzo o all'organizzazione internazionale, di revocare una decisione di adeguatezza. La Commissione adotta decisioni di adeguatezza e decisioni di revoca di tali decisioni mediante atti di esecuzione. Gli atti di esecuzione devono prevedere un meccanismo di riesame periodico, almeno ogni quattro anni. La Commissione deve controllare gli sviluppi nei paesi terzi e nelle organizzazioni internazionali che potrebbero incidere sul funzionamento delle decisioni di adeguatezza. Ai fini del controllo e dello svolgimento dei riesami periodici, la Commissione dovrebbe tener conto delle posizioni e delle conclusioni del Parlamento europeo e del Consiglio, nonché di altri organismi e fonti pertinenti. Nel contesto della valutazione e del riesame del regolamento, la Commissione deve inoltre trasmettere relazioni, a scadenze regolari, al Consiglio e al Parlamento europeo. Infine, il comitato europeo per la protezione dei dati deve fornire alla Commissione un parere per valutare l'adeguatezza del livello di protezione in un paese terzo o in un'organizzazione internazionale, così come per valutare se non è più assicurato un livello adeguato di protezione.
Le decisioni adottate dalla Commissione in base all'articolo 25, paragrafo 6, della direttiva 95/46/CE restano in vigore fino a quando non vengono modificate, sostituite o abrogate da una decisione della Commissione. Nella stessa ottica, le autorizzazioni rilasciate da uno Stato membro o dall'autorità di controllo in base all'articolo 26, paragrafo 2, della direttiva 95/46/CE e le decisioni adottate dalla Commissione in base all'articolo 26, paragrafo 4, della direttiva 95/46/CE restano valide fino a quando non vengono modificate, sostituite o abrogate, se necessario, rispettivamente dalla medesima autorità di controllo o da una decisione della Commissione. Assicurando continuità, la posizione del Consiglio in prima lettura garantisce la certezza del diritto.
6.3. Garanzie adeguate
Oltre alle decisioni di adeguatezza, i trasferimenti transfrontalieri possono inoltre essere ammessi se il titolare del trattamento o il responsabile del trattamento ha predisposto garanzie adeguate per compensare la carenza di protezione dei dati nel paese terzo o nell'organizzazione internazionale. Tali garanzie possono consistere in strumenti giuridicamente vincolanti e aventi efficacia esecutiva tra autorità pubbliche o organismi pubblici, norme vincolanti d'impresa, clausole tipo di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un'autorità di controllo o clausole contrattuali autorizzate da un'autorità di controllo. I titolari del trattamento o i responsabili del trattamento in un paese terzo possono altresì fornire garanzie adeguate per i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali attraverso un codice di condotta approvato, unitamente all'impegno vincolante ed esecutivo ad applicare le garanzie adeguate mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, anche per quanto riguarda i diritti degli interessati, oppure tramite un meccanismo di certificazione approvato dall'autorità di controllo competente, unitamente all'impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.
6.4. Deroghe
In mancanza di una decisione di adeguatezza o di garanzie adeguate, il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale può essere ammesso soltanto sulla base delle deroghe elencate in modo esaustivo nel regolamento. Una di tali deroghe riguarda i legittimi interessi perseguiti dal titolare del trattamento nel caso in cui gli interessi o i diritti e le libertà dell'interessato non prevalgano su tali interessi. Al fine di fornire garanzie sufficienti per i trasferimenti transfrontalieri di dati personali, i legittimi interessi del titolare del trattamento sono strettamente delimitati e possono essere invocati solo come extrema ratio. Per assicurare un'applicazione coerente del regolamento, il comitato europeo per la protezione dei dati deve, di propria iniziativa o su richiesta della Commissione, elaborare e riesaminare linee guida, raccomandazioni e migliori prassi al fine di specificare ulteriormente i criteri e i requisiti dei trasferimenti di dati in mancanza di una decisione di adeguatezza o di garanzie adeguate.
7. Autorità di controllo
7.1. Indipendenza
Al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento dei loro dati personali e di agevolare la libera circolazione dei dati personali all'interno dell'Unione, ogni Stato membro deve disporre che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l'applicazione del regolamento nel loro territorio. Ogni autorità di controllo e i suoi membri devono agire in piena indipendenza, nonché con integrità, nell'adempimento dei compiti e nell'esercizio dei poteri che sono stati loro conferiti.
Ogni autorità di controllo deve contribuire alla coerente applicazione del regolamento in tutta l'Unione. A tal fine, le autorità di controllo devono cooperare tra loro, e con il comitato europeo per la protezione dei dati, così come con la Commissione. Un'applicazione coerente del regolamento è ulteriormente assicurata stabilendo le competenze delle autorità di controllo e definendo i compiti e i poteri di indagine, correttivi, autorizzativi e consultivi di cui le autorità di controllo devono almeno disporre.
7.2. Segreto professionale
La posizione del Consiglio in prima lettura stabilisce le norme in materia di segreto professionale per le autorità di controllo e i loro membri. In primo luogo, il membro o i membri e il personale di ogni autorità di controllo sono tenuti, in virtù del diritto dell'Unione o degli Stati membri, al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso nell'esecuzione dei loro compiti o nell'esercizio dei loro poteri, sia durante che dopo il mandato. È ulteriormente precisato che, per tutta la durata del loro mandato, l'obbligo del segreto professionale si applica in particolare alle segnalazioni da parte di persone fisiche di violazioni del regolamento. Inoltre, il comitato europeo per la protezione dei dati è incaricato di pubblicare linee guida, raccomandazioni e migliori prassi per stabilire procedure comuni per le segnalazioni da parte di persone fisiche di violazioni del regolamento.
8. Cooperazione e coerenza
8.1. Comitato europeo per la protezione dei dati
La posizione del Consiglio in prima lettura istituisce il comitato europeo per la protezione dei dati come organismo dell'Unione dotato di personalità giuridica al fine di assicurare una corretta e coerente applicazione del regolamento. Gli interventi del comitato consistono in particolare nell'emissione di pareri, nell'adozione di decisioni vincolanti nel contesto della composizione delle controversie tra le autorità di controllo o nella pubblicazione di linee guida su qualsiasi questione relativa all'applicazione del regolamento in esame al fine di garantire l'applicazione coerente dello stesso.
Il comitato europeo per la protezione dei dati è composto dalla figura di vertice di un'autorità di controllo per ciascuno Stato membro e dal garante europeo della protezione dei dati, o dai rispettivi rappresentanti. La Commissione ha il diritto di partecipare alle attività e alle riunioni del comitato europeo per la protezione dei dati senza diritto di voto. Se il comitato europeo per la protezione dei dati lo ritiene necessario, le sue deliberazioni hanno carattere riservato, come previsto dal suo regolamento interno.
Quando il comitato europeo per la protezione dei dati adotta una decisione vincolante nel contesto della composizione delle controversie, il garante europeo della protezione dei dati ha diritto di voto solo per decisioni che riguardano principi e norme applicabili a istituzioni, organi, uffici e agenzie dell'Unione che corrispondono nella sostanza a quelli del regolamento.
8.2. Meccanismo di coerenza
Nei casi di trattamento transfrontaliero dei dati personali in cui intervengano più autorità di controllo, il meccanismo di coerenza assicura che sia adottata un'unica decisione, che sarà applicabile in tutta l'Unione europea, pur tenendo conto del parere delle varie autorità di controllo interessate. Il meccanismo di coerenza pertanto migliora la prossimità tra gli interessati e l'autorità di controllo dotata di potere decisionale tramite il coinvolgimento delle autorità di controllo "locali" nel processo decisionale. Inoltre, in caso di controversie tra autorità di controllo di diversi Stati membri, il neoistituito comitato europeo per la protezione dei dati è competente ad adottare decisioni vincolanti.
Le norme sul meccanismo di coerenza non si applicano quando il trattamento è effettuato da autorità pubbliche o da organismi privati nell'interesse pubblico. In tali casi l'unica autorità di controllo competente è l'autorità di controllo dello Stato membro in cui l'autorità pubblica o l'organismo privato sono stabiliti.
La posizione del Consiglio in prima lettura prevede che l'applicazione del meccanismo di cooperazione e di coerenza sia esaminata nel contesto della valutazione del regolamento effettuata dalla Commissione.
9. Mezzi di ricorso, responsabilità e sanzioni
La posizione del Consiglio in prima lettura stabilisce un'articolata serie di norme che mette a disposizione degli interessati una gamma di mezzi di ricorso, inclusa la richiesta di risarcimento in caso di danni causati da violazioni del regolamento.
9.1. Diritto di proporre reclamo e diritto a un ricorso giurisdizionale
La posizione del Consiglio in prima lettura prevede che l'interessato abbia il diritto di proporre reclamo a un'autorità di controllo, qualora ritenga che il trattamento che lo riguarda non sia conforme al regolamento in esame. Inoltre, ciascun interessato ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell'autorità di controllo che lo riguarda. Ha inoltre diritto a un ricorso effettivo qualora l'autorità di controllo non abbia trattato un reclamo o non lo abbia informato dello stato o dell'esito del reclamo.
Ogni interessato ha inoltre il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del regolamento in esame siano stati violati a seguito del trattamento dei dati personali non conforme al regolamento.
La prossimità tra l'interessato e le autorità giurisdizionali nazionali è assicurata, dal momento che l'interessato ha diritto di ottenere il riesame da parte di una sua autorità giurisdizionale nazionale di una decisione adottata dalla propria autorità incaricata della protezione dei dati, indipendentemente dallo Stato membro nel quale il titolare del trattamento o il responsabile del trattamento è stabilito. Le azioni nei confronti del titolare del trattamento o del responsabile del trattamento devono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l'interessato risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica di uno Stato membro nell'esercizio dei pubblici poteri.
Infine, qualsiasi persona fisica o giuridica ha diritto di proporre un ricorso per l'annullamento delle decisioni del comitato europeo per la protezione dei dati dinanzi alla Corte di giustizia dell'Unione europea, alle condizioni previste all'articolo 263 TFUE.
9.2. Rappresentanza degli interessati
L'interessato ha il diritto di dare mandato a organismi, organizzazioni o associazioni che soddisfino criteri specifici, quali l'operare senza scopo di lucro e l'essere attivi nel settore della protezione dei dati, di proporre il reclamo per suo conto e di esercitare i diritti a un ricorso giurisdizionale per suo conto nonché di esercitare il diritto di ottenere il risarcimento per suo conto, se previsto dal diritto degli Stati membri. Tali criteri specifici sono intesi a evitare lo sviluppo di una cultura del contenzioso commerciale nel settore della protezione dei dati. Inoltre, gli Stati membri possono prevedere che tale organismo, organizzazione o associazione, indipendentemente dal mandato conferito dall'interessato, abbia in tale Stato membro il diritto di proporre reclamo all'autorità di controllo competente e di esercitare il diritto a un ricorso giurisdizionale, qualora ritenga che i diritti di un interessato siano stati violati in seguito a un trattamento dei dati personali non conforme al regolamento.
9.3. Sospensione delle azioni
Al fine di evitare che lo stesso oggetto relativamente al trattamento dello stesso titolare del trattamento o dello stesso responsabile del trattamento sia esaminato da autorità giurisdizionali diverse, qualunque autorità giurisdizionale competente successivamente adita può sospendere le azioni o, su richiesta di una delle parti, dichiarare la propria incompetenza.
9.4. Diritto al risarcimento e responsabilità
La posizione del Consiglio in prima lettura prevede che qualunque interessato subisca un danno materiale o immateriale causato da una violazione del regolamento abbia il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Per dare agli interessati la possibilità di chiedere il risarcimento in caso di danno, garantendo nel contempo la certezza del diritto al titolare e al responsabile del trattamento, il regolamento specifica le responsabilità di questi ultimi. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato. Un responsabile del trattamento risponde solo se non ha adempiuto gli obblighi del regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Tuttavia, il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità se dimostra che l'evento dannoso non gli è in alcun modo imputabile.
Qualora più titolari del trattamento o responsabili del trattamento oppure un titolare del trattamento e un responsabile del trattamento siano coinvolti nello stesso trattamento e siano responsabili dell'eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato. Tuttavia, qualora un titolare del trattamento o un responsabile del trattamento abbia pagato l'intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno.
9.5. Sanzioni
Per assicurare la coerenza con il regolamento, la posizione del Consiglio in prima lettura prevede che le autorità di controllo possano infliggere sanzioni amministrative pecuniarie. Tali sanzioni devono essere effettive, proporzionate e dissuasive. Ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro. Oltre a infliggere sanzioni amministrative pecuniarie, le autorità di controllo possono altresì esercitare altri poteri correttivi quali avvertimenti o ammonimenti. Ai fini di una maggiore armonizzazione, il comitato europeo per la protezione dei dati deve elaborare per le autorità di controllo linee guida riguardanti l'esercizio dei poteri correttivi di tali autorità e la fissazione delle sanzioni amministrative pecuniarie.
La posizione del Consiglio in prima lettura contiene un elenco di criteri che l'autorità di controllo deve applicare al momento di decidere se infliggere una sanzione amministrativa pecuniaria e, in caso affermativo, di fissare l'ammontare della stessa. Tali criteri riguardano tra l'altro la natura, la gravità e la durata o il carattere doloso o colposo della violazione del regolamento. Il regolamento elenca sia le violazioni sia le sanzioni amministrative pecuniarie massime corrispondenti. Nei limiti di tali sanzioni amministrative pecuniarie massime, l'autorità di controllo deve determinare l'importo appropriato in funzione delle circostanze di ogni singola violazione. Al fine di garantire la certezza del diritto ai titolari e ai responsabili del trattamento e di armonizzare ulteriormente le sanzioni amministrative pecuniarie all'interno dell'Unione, mantenendo nel contempo un margine di discrezionalità per le autorità di controllo, tali violazioni sono suddivise in tre categorie. Le violazioni che rientrano nella prima categoria e riguardano gli obblighi dei titolari del trattamento e dei responsabili del trattamento, possono essere soggette a sanzioni pecuniarie fino a un massimo di 10 000 000 EUR o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. Per la seconda categoria di violazioni dei diritti degli interessati e dei principi generali il massimale è fissato a 20 000 000 EUR o al 4% del fatturato. La terza categoria di violazioni riguarda l'inosservanza di un ordine da parte dell'autorità di controllo e prevede anch'essa una sanzione pecuniaria massima pari a 20 000 000 EUR o al 4% del fatturato.
10. Specifiche situazioni di trattamento dei dati
10.1. Trattamento di dati personali e libertà d'espressione e di informazione
Gli Stati membri devono prevedere per legge la conciliazione del diritto alla protezione dei dati personali con il diritto alla libertà d'espressione e di informazione, incluso il trattamento di dati personali a scopi giornalistici o di espressione accademica, artistica o letteraria. Al fine di assicurare la trasparenza riguardo alla conciliazione di tali diritti, ogni Stato membro ha l'obbligo di notificare alla Commissione le pertinenti disposizioni di legge adottate e relative modifiche, nonché eventuali nuove disposizioni pertinenti.
10.2. Trattamento dei dati nei rapporti di lavoro
Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro.
Tali norme devono includere misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati. Ogni Stato membro deve notificare alla Commissione le pertinenti disposizioni di legge adottate e relative modifiche, nonché eventuali nuove disposizioni pertinenti.
10.3. Garanzie e deroghe per il trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
La posizione del Consiglio in prima lettura stabilisce norme specifiche per il trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. Tali norme sono intese a conciliare, da un lato, l'interesse di disporre di dati personali al fine di tenere archivi, fornire statistiche e fare ricerca e, dall'altro, i diritti con riguardo alla protezione dei dati.
Il trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici deve essere soggetto a garanzie adeguate per i diritti e le libertà dell'interessato, in conformità del regolamento. Gli Stati membri sono autorizzati a fornire, a specifiche condizioni e fatte salve adeguate garanzie per gli interessati, specifiche e deroghe relative ai requisiti in materia di informazione e ai diritti alla rettifica, alla cancellazione, all'oblio, alla limitazione del trattamento, alla portabilità dei dati personali, nonché al diritto di opporsi in caso di trattamento di dati personali per finalità di archiviazione nel pubblico interesse, per finalità di ricerca scientifica o storica o per finalità statistiche.
La posizione del Consiglio in prima lettura consente altresì di derogare al divieto di trattare dati personali sensibili in caso di trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. Una tale deroga è consentita se il trattamento in questione è basato sul diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.
11. Accordi precedentemente conclusi
La posizione del Consiglio in prima lettura specifica che restano in vigore, fino alla loro modifica, sostituzione o revoca, gli accordi internazionali che comportano il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali conclusi dagli Stati membri prima dell'entrata in vigore del regolamento in esame e conformi al diritto dell'Unione applicabile prima dell'entrata in vigore del regolamento. Tale disposizione garantisce la certezza del diritto per i titolari del trattamento e evita oneri amministrativi superflui per gli Stati membri. Tiene inoltre conto del fatto che gli Stati membri dipendono dalla cooperazione del paese terzo o dell'organizzazione internazionale per modificare accordi esistenti.
IV. CONCLUSIONE
La posizione del Consiglio in prima lettura rispecchia il compromesso raggiunto nei negoziati informali tra il Consiglio e il Parlamento europeo, con l'aiuto della Commissione. Il Consiglio invita il Parlamento europeo ad approvare formalmente la posizione del Consiglio in prima lettura senza emendamenti, così che il nuovo quadro legislativo dell'UE per la protezione dei dati possa essere istituito, il che rafforzerà i diritti con riguardo alla protezione dei dati agevolando nel contempo la circolazione dei dati personali nel mercato digitale.