23. 11. 9S Gazzetta ufficiale delle C:omunita europee N. L 281131
DIRETTIVA 95/46/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 24 ottobre 1995
rclativa alia tutela delle personc fisiche con riguardo al trattamento dei dati pcrsonali, nonchc alia Iibera circolazione di tali dati
IL PARLAMENTO EUROPEO E IL CONSICLIO DELL'UNIONE EUROPEA,
visto il trattato che istituisce Ia Comunita europea, in particolare l'articolo 100 A,
vista la proposta della Commissione (1),
visto il parere del C:omitato economico e sociale e),
deliberando conformemente alia procedura di cui all'arti- colo 189 B del trattato (~),
(1)
(2)
considerando che gli obiettivi della Comunid, enunciati nel trattato, come e stato modificato dal trattato sull'Unione europea, consistono nel realiz- zarc un'unione sempre piu stretta tra i popoli curopci, nell'istituire relazioni piu strettc tra gli Stati che Ia Comunit;1 riuniscc, nell'assicurarc mediante un'azione comune il progresso economico e sociale eliminando le barriere chc dividono !'Eu- ropa, nel promuovcrc il miglioramento costante delle condizioni di vita delle sue popolazioni, nel preservare e rafforzare Ia pace e Ia liberta e nel promuovere Ia democrazia basandosi sui diritti fondamentali sanciti dalle costituzioni c dalle leggi degli Stati mcmbri nonche dalla convenzione euro- pea eli salvaguardia dci diritti dell'uomo e delle Iibert;'! fondamcntali;
considerando che i sistemi di trattarnento dei dati sono al servizio dell'uomo; che essi, indipendente- mente dalla nazionalid o dalla rcsidenza delle persone fisichc, debbono rispettare le liberta e i diritti fondamentali delle stesse, in particolare la vita privata, c debbono contribuire al progresso economico c sociale, allo sviluppo clegli scambi nonchc al benessere clegli inclividui;
(3) consideranclo chc l'instaurazionc e il funziona- mento del mercato interno, nel qualc, conforme-
e) GUn. C 277 del S. 11. 1990, pag. 3, e GUn. C .311 del27. 1 I. 1992, pag. 30.
(2 ) c;u 11. C I59 del 17. 6. 1991, pag. 38. (') Parere del Parbmento curopeo dell'11 marzo 1992 (GU 11. C:
94 del \3. 4. I 992, pag. 198), co11fcrmato il 2 dicemhrc 1993 (GU n. C: .342 del 20. 12. 1993, pag. 30); posizione comune del Consiglio del 20 febbraio 1995 (GU n. C 93 del 13. 4. 1995, pag. 1) e decisione del Parlamento europco del 1S giugno 1995 (GU n. C 166 del 3. 7. 1995).
(4)
(5)
(6)
(7)
mente all'articolo 7 A del trattaro, e assicurata Ia Iibera circolazionc delle merci, delle persone, dei servizi e dei capitali, esigono non solo che i dati personali possano circolare libcramente cia uno Stato membro all'altro, ma chc siano altres] salva- guarclati i diritti fonclamentali della persona;
considerando che nella Comunita si ricorre sempre piu frequentemente al trattamento di dati personali nei vari settori delle attivira economiche e sociali; chc i progressi registrati dallc tccnologie dell'infor- mazionc facilitano notevolmcntc il trattamento c lo scambio di tali dati;
considerando che l'integrazione econom1ca e sociale derivante dall'instaurazionc c dal funziona- mento del mcrcato interno ai sensi dell'articolo 7 A del trattato comportcra necessan amente un sensi- bile aumento dei flussi transfrontalieri di dati per- sonali tra tutti i soggctti della vita cconomica e sociale degli Stati membri, siano cssi privati o pubblici; che lo scambio di dati personali tra impresc stabilite in Stati membri differenti c clesti- nato ad aumentare; che le amministrazioni nazio- nali dei vari Stati membri debbono collaborare, in applicazione del diritto comunitario, e scambiarsi i dati personali per poter svolgere la loro funzione o esercitare compiti per conto di un'amministrazione di un altro Stato memhro, nell'arnbito dello spazio senza frontiere costituito dal mercato interno;
considerando, inoltre, chc il ra fforzamento della cooperazione scientifica e tecnica e Ia messa in opera coordinata di nuove rcti di telecomunica- zioni nella C:omunit;1 richiedono e facilitano Ia circolazionc transfrontaliera di dati personali;
considerando che il divario nei livelli di tutela dei diritti e delle liberta personali, in particolare della vita privata, garantiti ncgli Stati membri relativa- mcnte al trattamento di dati personali puo impe- dirc la trasmissionc dei dati stessi fra territori clcgli Stati membri c che talc divario puo pertanto costi- tuirc un ostacolo all'escrcizio eli una serie eli attivi- ta economiche su scala comunitaria, falsare Ia concorrenza e ostacolare, ncll'adcmpimcnto dei loro compiti, le amministrazioni chc intervengono
N. L 281/32 Gazzetta ufficiale delle Comunira europee 23. 11. 95
nell'applicazione del diritto comunitario; che detto divario nel grado eli tutela deriva dalla diversira disposizioni legislative, regolamentari eel ammini- strative nazionali;
(8) considerando che, per eliminare gli ostacoli alia circolazione dei dati personali, il livello eli tutela dei diritti e delle liberta delle persone relativarnente al trattarnento eli tali dati deve essere equivalente in tutti gli Stati membri; che tale obiettivo, fondamen- tale per il mercato interno, non puo essere conse- guito esclusivamente attraverso l'azione degli Stati membri, tenuto conto in particolare dell'ampia divergcnza esistente attualmente tra le normative nazionali in materia e della necessira eli coordinarle affinche il flusso transfrontaliero eli dati personali sia disciplinato in maniera coerente e conforme all'obiettivo del mercato interno ai sensi dell'arti- colo 7 A del trattato; che risulta pertanto necessa- ria un intervento della Comunita ai fini di un ravvicinamento delle legislazioni;
(9) considerando che, data la protezione equivalente derivante dal ravvicinamento delle legislazioni nazionali, gli Stati rnembri non potranno piu osta- colare Ia Iibera circolazione tra loro eli dati perso- nali per ragioni inerenti alla tutela dei diritti e delle liberra delle persone fisiche, segnatamente del diritto alla vita privata; che gli Stati membri disporranno eli un margine eli manovra eli cui potranno valersi, nell'applicazione della direttiva, i partner economici e sociali; che potranno quindi precisare nella loro legislazione nazionale le condi- zioni generali eli liceita dei trattarnenti; che cos! facendo gli Stati mernbri si adopereranno per migliorare Ia protezione attualmente prevista dalle \oro leggi; che, nei limiti di tale margine eli mano- vra e conformemente al diritto comunitario, potranno verificarsi divergenze nell'applicazione della direttiva e che queste potranno ripercuotersi sulla circolazione dei dati sia all'interno dello Stato membro che nelle Comunita;
(10) considerando che le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto dei diritti e delle liberra fonda- mentali, in particolare del diritto alia vita privata, riconosciuto anche dall'articolo 8 della Conven- zionc europea per Ia salvaguardia dei diritti dell'uomo e delle liberta fondamentali e dai prin- cipi generali del diritto comunitario; che pertanto il ravvicinarnento eli dette legislazioni non deve avcre per cffetto un indebolimento della tutela cia esse assicurata ma deve anzi mirare a garantire un clevato grado di tutela nella Comunita;
(11) considerando che i principi della tutela dei diritti e delle liberra delle persone, in particolare del rispetto della vita privata, contenuti dalla presente direttiva precisano ed arnpliano quelli enunciati dalla convenzione del 28 gennaio 1981 del Consi- glio ci'Europa sulla protezione delle persone con riferimento al trattamento automatizzato dei dati eli carattere pcrsonalc;
(12) consiclerando che i principi eli tutela si devono applicare a tutti i trattamenti eli dati personali quando le attivira del rcsponsabile del trattamento rientrano nel campo d'applicazione del cliritto comunitario; che deve essere escluso il trattamento eli dati effcttuato da una persona fisica ncll'eserci- zio eli attivira a carattere esclusivamente pcrsonalc o domestico quali la corrispondenza e la compila- zione eli elenchi eli indirizzi;
(13) considerando che le attiVIta previste dai titoli V c VI del trattato sull'Unione europea attinenti alia pubblica sicurezza, alia clifesa, alla sicurezza dello Stato o aile attivira dcllo Stato in materia eli diritto penale non rientrano nel campo d'applicazione del diritto comunitario, fatti salvi gli obblighi chc incombono agli Stati membri a norma dell'articolo 56, paragrafo 2, dell'articolo 57 e 100 A del trattato; che il trattamento eli dati personali chc (? necessario alia salvaguardia del benessere econo- mico dello Stato non rientra nell'ambito della pre- sente dircttiva qualora il trattamento sia legato a questioni di sicurezza dello Stato;
(14) considerando che la presente direttiva dovrebbe applicarsi al trattamento dei dati in forma eli suoni e immagini relativi a persone fisiche, vista la note- vole evoluzione in corso nella societa dell'informa- zione delle tecniche per captare, trasmettere, mani- polare, registrare, conservare o comunicare siffatti dati;
(15) considerando che il trattamento de suddetti dati rientra nella prcscnte direttiva soltanto se e auto- matizzato o se riguarcla dati contenuti, o destinati ad essere contenuti, in un archivio strutturato secondo criteri spccifici relativi aile persone, in modo da consentire un facile accesso ai dati perso- nali di cui trattasi;
(16) considerando che nel campo d'applicazione della presente direttiva non rientra il trattamento eli dati in forma eli suoni e immagini, quali i dati eli controllo video, finalizzato alia pubblica sicurezza, alia difesa, alia sicurezza dello Stato o all'esercizio eli attivid dello Stato nella sfera del diritto penale o eli altre attivita che esulano dal campo d'applica- zione del diritto comunitario;
(17) considerando che, per quanto attiene al tratta- mento eli suoni e immagini finalizzato all'attivira
23. 11. 95 Gazzetta ufficiale delle Comunita europee N. L 281133
giornalistica o all'espressione letter,aria o artistica, in particolare del settore audiovisivo, i principi della direttiva hanno un'applicazione limitata, con- formemente a quanto dispone l'articolo 9;
(18) considcrando che, onde evitare che una persona venga privata della tutela cui ha diritto in forza della presente direttiva, e necessario che qualsiasi trattamento di dati personali effettuato nella Comunira rispetti Ia legislazione di uno degli Stati membri; che, a questo proposito, e opportuno assoggcttare i trattamenti effettuati da una persona che opera sotto l'autorita del responsabile del trat- tamento stabilito in uno Stato membro alia Iegge di tale Stato;
(19) considcrando che lo stabilimento nel territorio eli uno Stato membro implica l'esercizio effettivo e realc dell'attivira mediante un'organizzazionc sta- bile; chc la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalira giuridica, non e il fattore determinantc a questo riguardo; chc quando . un unico rcsponsabile del trattamento e stabilito nd tcrritorio di divcrsi Stati membri, in particolare per mezzo di filiali, esso deve assicurare, scgnatamente per evitarc che le disposizioni vengano eluse, che ognuno degli stabilimenti adempia gli obblighi prc- visti dalla Iegge nazionale applicabile aile attivira di ciascuno eli essi;
(20) considcrando che Ia tutela delle persone prevista dalla presente direttiva non deve essere impedita dal fatto che il responsabile del trattamento sia stabilito in un paese terzo; che, in tal caso, e opportuno che i trattamenti effettuati siano disci- plinati dalla Iegge dello Stato membro nel quale sono ubicati i mezzi utilizzati per il trattamento in oggetto e che siano prese le garanzie necessarie per consentire l'effettivo rispetto dei diritti e degli obblighi previsti dalla presente direttiva;
(21) considcrando chc Ia presente direttiva lascia impre- giudicatc lc norme di territorialira applicabili in materia penale;
(22) considerando che gli Stati membri preciseranno, nella !oro legislazione o in sede di applicazione delle norme di attuazione della presente direttiva, i rcquisiti gencrali di liceita del trattamento dei dati; che in particolare l'articolo 5, in combinato dispo- sto con gli articoli 7 e 8, consente agli Stati membri di prevedere, indipendentemente dalle norme gene- rali, condizioni particolari per il trattamento dei dati in settori specifici e per le varic categoric di dati di cui all'articolo 8;
(23) considerando che gli Stati membri sono autorizzati ad assicurare la messa in opera della tutela delle persone sia mediante una Iegge generale relativa alia tutela delle persone contro il trattamento dci
dati personali, sia mediante leggi settoriali, quali quelle relative ad esempio agli istituti di statistica;
(24) considerando che Ia prescnte direttiva lascia impre- giudicatc le normative relative alia tutela delle persone giuridiche riguardo al trattamento dei dati che le riguardano;
(25) considerando che i principi di tutela si esprimono, da un Jato, nei vari obblighi a carico delle persone, autorita pubbliche, imprese, agenzie o altri organi- smi responsabili del trattamento, obblighi relativi in particolare alia qualita dei dati, alla sicurezza tecnica, alia notificazionc all'autorid di controllo, aile circostanze in cui il trattamento puo essere cffettuato e, dall'altro, nel diritto delle persone, i cui dati sono oggetto di trattamento, di esserne informate, di poter accedere ai dati, e chiederne Ia rettifica, o di opporsi a\ trattamento in talune circostanze;
(26) considerando che i pnnopt della tutela si devono applicare ad ogni informazione concernente una persona identificata o identificabile; che, per deter- minare se una persona e identificabile, eopportuno prcndere in considerazione l'insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identifi- care detta persona; che i principi della tutela non si applicano a dati resi anonimi in modo tale che Ia persona interessata non e piu idcntificabile; che i codici di condotta ai sensi del1'articolo 27 possono costituire uno strumento utile di orientamento sui mezzi grazie ai quali dati possano essere resi ano- nimi e registrati in modo da rendere impossibile l'identificazione della persona interessata;
(27) considerando che Ia tutela delle persone fisiche dcve essere applicata al trattamento dei dati sia automatizzato sia manuale; che Ia portata della tutela non deve infatti dipendere dalle tecniche impiegate poich<.;, in caso contrario, sussisterebbero gravi rischi di elusione delle disposizioni; che non- dimeno, riguardo al trattamento manuale, Ia pre- sente direttiva si applica soltanto agli archivi e non ai fascicoli non strutturati; che, in particolare, il contenuto di un archivio deve essere strutturato secondo criteri specifici relativi alle persone che consentano un facile accesso ai dati personali; che, in conformita alla definizionc dell 'articolo 2, lettera c), i diversi criteri che determinano gli elementi che costituiscono un insieme strutturato di dati perso- nali, nonche i diversi criten in virtu dei quali un siffatto insieme e accessibile, possono essere preci-
N. L 281/34 Gazzetta ufficiale delle Comunira europee 23. 11. 95
sati dai singoli Stati membri; che i fascicoli o le serie di fascicoli, nonche le rispettive copertine, non strutturati secondo criteri specifici, non rientrano in nessun caso nel campo di applicazione della prescnte direttiva;
(28) considerando che qualsivoglia trattamento di dati pcrsonali deve essere eseguito lealmente e lecita- mente nei confronti delle persone interessate; chc csso dcve in particolare avere per oggctto dati adcguati, pertincnti e non eccedenti rispetto alle finalita perseguite; che tali finalira devono essere esplicite c lcgittime e specificate al momento della raccolta dei dati; chc le finalira dei trattamenti succcssivi alia raccolta non possono essen· incom- patihili con quelle originariamente specificate;
(29) considerando che l'ulteriore trattamento di dati personali per scopi storici, statistici o scientifici non c generalmente considerato incompatibile con le finalita per le quali i dati erano stati prcventiva- mente raccolti, purche gli Stati membri forniscano adeguate garanzie; che tali garanzie devono soprat- tutto impedire l'uso dci dati per l'adozione di m1surc o decisioni nei confronti di singole per- sone;
(30) considerando che, per essere lecito, il trattamento di dati personali deve essere inoltre basato sui consenso della persona interessata oppure devc essere necessario ai fini della conclusionc o dell'ese- cuzione di un contratto vincolante per Ia persona interessata, oppurc deve essere previsto dalla Iegge, per l'esecuzione di un compito nell'interesse pub- blico o per l'esercizio dell'autorira pubblica, o nell'interessc legittimo di un singolo individuo, a condizione che gli interessi o i diritti e le liberta della persona interessata non abbiano Ia preva- lei1Za; che, segnatamente, per garantire un equili- brio degli interessi in causa, pur assicurando una concorrenza effettiva, gli Stati membri possono prccisare lc condizioni aile quali dati personali possono essere usati e comunicati a terzi nell'am- bito di attivita lecite di gestione corrente delle imprese o di altri organismi; che essi possono parimenti precisare le condizioni aile quali puo essere effettuata la comunicazione a terzi di dati personali a fini di prospezionc, sia che si tratti di invio di materiale pubblicitario che di invio di materiale promosso da un'associazione a scopo bendico o da altre associazioni o fondazioni, ad esempio a carattere politico, nel rispetto delle disposizioni volte a consentire aile persom· interes- sate di opporsi senza dover fornire una motiva- zrone e senza spese a! trattamento dei dati che le riguardano;
(31) considerando che un trattamento di dati personali devc cssere ugualmente considerato lecito quando e effettuato per tutelare un interesse essenziale alia vita della persona interessata;
(32) considerando che spetta aile legislazioni nazionali stabilire se il responsabile del trattamento investito di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri debba essere una pubblica amministrazione o un altro soggetto di diritto pubblico o di diritto privato, quale un'asso- ciazione professionalc;
(33) considerando chc i dati che possono per Ioro natura ledere le libertil fondamentali o Ia vita privata non dovrebbero essere oggetto di tratta- mento, salvo esplicito consenso della persona inte- ressata; che tuttavia le deroghe ·a questo divieto devono essere cspressamente previste nci casi di necessitil specifiche, segnatamente laddove il tratta- mento di tali dati vienc eseguito da persone assog- gettate per Iegge all'obbligo del segreto professio- nale per taluni fini connessi alia sanita o per le legittime attivira di talune associazioni o fondazioni il cui scopo consista nel permettere I'escrcizio delle libcrra fondamcntali;
(34) considerando che gli Stati membri devono anche essere autorizzati, quando un motivo di interesse pubblico rilevante lo giustifichi, a derogare al divieto di trattamento di categoric di dati di natura dclicata in settori quali Ia pubblica sanira e Ia protezione sociale - soprattutto a! fine di assicu- rare Ia qualita e Ia redditivira per quanto riguarda le procedure per rispondere alle richiestc di presta- zioni c servizi nell'ambito del regime di assicura- zione sanitaria -, Ia ricerca scientifica nonche le statistiche pubbliche; che spetta loro tuttavia preve- dere le garanzie appropriate e specifiche per tute- lare i diritti fondamentali e Ia vita privata delle personc;
(35) considerando inoltre che il trattamento di dati personali da parte di pubbliche autorira per Ia realizzazione degli scopi, previsti dal diritto costitu- zionalc o dal diritto internazionale pubblico, di assoCiaziom religiose ufficialmcnte riconosciute viene effettuato per motivi di rilevante interesse pubblico;
(36) considerando che, se nelle attivira connesse con le elezioni il funzionamento del sistema democratico rende necessaria, in alcuni Stati membri, la raccolta da parte di partiti politici di dati sulle opinioni politiche delle persone, pw) essere consentito il trattamento di siffatti dati per motivi di interesse pubblico rilevante, purche siano stabilite garanzie appropriate;
(37) considerando che il trattamento di dati personali a scopi giornalistici o di espressione artistica o lette- raria, in particolare nel scttore audiovisivo deve beneficiare di deroghc o di limitazioni a determi- nate disposizioni della presente direttiva ove sia necessario per conciliarc i diritti fondamentali della
23. 11. 95 Gazzetta ufficiale delle Comunira europee N. L 281/35
persona con la liberta di espressione ed in partico- lare la liberra di ricevere o di comunicare informa- zioni, quale garantita in particolare dall'articolo 10 della Convenzione europea per la salvaguardia dci diritti dell'uomo c delle liberta fondamentali; chc pertanto, al fine di stabilire un equilibrio fra i diritti fondamentali, gli Stati mcmbri devono prc- vcdere le deroghe e le limitazioni necessarie in materia di misure generali concernenti la legittimita del trattamcnto di dati, di misurc relative al trasfe- rimento di dati nei paesi terzi nonchc di compe- tenze dcgli uffici preposti al controllo; che tuttavia cio non dovrebbe permettere agli Stati membri di prevcdere deroghe aile misurc di garanzia della sicurezza del trattamento; che agli uffici preposti al controllo in tale settore dovrebbero essere pari- menti conferite almeno determinate competenze a posteriori, ad esempio Ia competenza di pubblicarc periodicamente una relazione o di adire l'autorit<l giudiziaria;
(38) considerando che il trattamento leale dei dati pre- supponc che le persone interessate possano cono- scere l'esistenza del trattamento e disporre, quando i dati che le riguardano sono forniti direttamentc da !oro, di un'informazione effcttiva e completa 111 merito aile circostanze della raccolta;
(39) considerando che alcuni trattamenti riguardano dati che il responsabile non ha raccolto diretta- mente presso Ia persona interessata; che c peraltro possibile che taluni dati Siano legittimamente comunicati a terzi anche se tale comunicazione non era stata prevista all'atto della raccolta dei dati presso Ia persona interessata; che, in tutti questi casi, Ia persona interessata deve essere informata al momento della rcgistrazione dei dati o al massimo quando essi sono comunicati per Ia prima volta a terzi;
(40) considerando che non etuttavia necessario imporre tale obbligo se la persona interessata e gia infor- mata; che, inoltre, tale obbligo non eprcvisto se la registrazione o la comunicazione sono espressa- mente previste dalla Iegge ovvero se informare la persona interessata risulta impossibile o implica uno sforzo eccessivo, come puo verificarsi per i trattamenti a fini storici, statistici o scientifici; che in questo caso si puo tener conto del numero di personc intcressate, dell'antichita dei dati e delle eventuali misure di compensazione;
(41) considerando che una persona deve godere del diritto d'accesso ai dati che la riguardano e che sono oggetto di trattamento, per poter verificarc, in particolare, Ia loro esattezza e la liceita del trattamento; che, per le stesse ragioni, lc personc devono avere inoltre il diritto di conoscere la logica su cui si basa il trattamento automatizzato dei dati
che le riguardano, perlomeno ~el caso delle deci- sioni automatizzate di cui all'articolo 15, paragrafo 1; che tale diritto deve lasciare tmpregiudicati il segrcto industrialc c azicndalc e L1 proprieta intel- lettuale, segnatamente i diritti d';wtore che tutc- lano il software; che cio non dovrcbbe comunque tradursi nel rifiuto di fornire qualsiasi informa- zione alla persona interessata;
(42) considcrando che gli Stati membri possono, a bene- ficio della persona interessata o a tutela dei diritti e delle liberra altrui, limitare il diritto d'accesso e d'informazione; che possono, ad escmpio, precisare che l'accesso ai dati medici e possibile soltanto per- il tramite del personale sanitario;
(43) considerando che gli Stati membn possono altresi imporre analoghe restrizioni al diritto di accesso e di informazione e ad alcuni obblighi del responsa- bilc del trattamento nella misura in cui tali restri- zioni siano necessarie per salvaguardarc, ad esem- pio, Ia sicurezza nazionalc, Ia difesa, la pubblica sicurezza, importanti interessi economici o finan- ziari di uno Stato mcmbro o deii'Unione, nonche per indagini c procedimenti penali c in caso di violazioni dell'etica delle professioni rcgolamentate; chc occorre elencare, a titolo di deroghe e restri- zioni, i compiti di controllo, d1 indagine o di regolamentazionc necessari negli ultimi tre settori suindicati relativamcntc alia puhblica sicurezza, agli interessi economici o finanziari e alla repres- sione penale; che l'elenco dei compiti relativi a questi tre settori lascia impregiudicata la legittimita delle deroghe e rcstrizioni giustificatc da ragioni di sicurezza di Stato e di difesa;
(44) considerando che gli Stati membri possono esscrc indotti, in forza di disposizioni di diritto comunita- rio, a derogare aile disposizioni della presentc direttiva in materia di diritto d'accesso, di informa- zione delle persone e di qualita dci dati, onde salvaguardare alcune delle finalita di cui sopra;
(45) considerando che, in caso di dat1 che potrcbbero essere oggetto di un trattamento lecito per ragioni di interesse pubblico, di esercizio dcll'autorira pub- blica o di interesse legittimo di un singolo, qual- siasi persona intcressata dovrebbc comunque avere il diritto, per ragioni premincnti e legittime con- nesse alia sua situazionc particolare, di opporsi al trattamento dci dati che la riguardano; che gli Stati membri hanno tuttavia Ia facolta di prevedere disposizioni nazionali contrarie;
(46) considerando che Ia tutela dei dintti e delle liberta delle persone interessatc relativamente al tratta- mcnto di dati personali richiedc I'adozione di ade-
N. L 281/36 Gazzetta ufficiale delle Comunita europee 23. 11. 95
guate misure tecniche ed organizzative sia al momento della progettazione che a quello dell'ese- cuzione del trattamento, in particolare per garan- tirne Ia sicurezza ed impedire in tal modo qualsiasi trattamento non autorizzato; che spetta agli Stati membri accertarsi che il responsabile del tratta- mento osservi tali misure; che queste devono assi- curare un adeguato livello di sicurezza, tenuto conto delle conoscenze tecniche e dei costi dell'ese- cuzione rispetto ai rischi chc i trattamenti presen- tano e alla natura dei dati da proteggere;
(47) considerando che, laddove un messaggio conte- nente dati personali sia trasmesso tramite un servi- zio di telecomunicazioni o di posta elettronica, finalizzato unicamente alla trasmissione di siffatti messaggi, si considera, di norma, responsabile del trattamento dei dati personali contenuti del mes- saggio la persona che lo ha emanato e non Ia persona che presta il servizio di trasmissiOne; che tuttavia le persone che prestano tali servizi sono di norma considerate responsabili del trattamento dei dati personali supplementari necessari per il funzio- namcnto del servizio;
(4~) considerando che la notificazione all'autorita di controllo ha lo scopo di dare pubblicita alle finalita del trattamento ed alle sui principali caratteristiche, per consentirne il controllo secondo le norme nazionali di attuazione della presente direttiva;
(49) considerando che, al fine di evitare formalita amministrative improprie, possono essere previste dagli Stati membri misure di esenzione dall'obbligo di notificazione o di semplificazione di quest'ultima per i trattamenti che non sono tali da recue pregiudizio ai diritti e alle liberta delle persone interessate, purche siano conformi ad un atto adot- tato c.iallo Stato membro che ne precisi i limiti; che gli Stati membri possono analogamente prevedere esenzioni o semplificazioni qualora una persona incaricata dal responsabilc del trattamento si accerti che i trattamenti effettuati non sono tali da Ieclere i diritti e le liberta delle persone interessate; che detto incaricato della protezione dei dati, dipendente o meno del responsabile del tratta- mento, deve essere in grado di esercitare le sue funzioni in modo del tutto indipendente;
(SO) considerando che potrebbero essere previste esen- zioni o semplificazioni per i trattamenti il cui unico scopo sia la tenuta di registri finalizzati, ai sensi del diritto nazionale, all'informazione del pubblico c aperti alla consultazione del pubblico o di chiun- que dimostri un interesse legittimo;
(51) considerando che il responsabile del trattamento beneficiario della semplificazione o dell'esenzione dall'obbligo di notificazione non e tuttavia dispen- sato da nessuno degli altri obblighi che gli mcom- bono a norma della presente direttiva;
(52) considerando che, in questo contesto, il controllo a posteriori da parte delle autorita competenti deve essere ritenuto di norma sufficiente;
(53) considerando che, tuttavia, alcuni trattamenti pos- sono presentare rischi particolari per i diritti e le Iiberti delle persone interessate, per natura, portata o finalita, quali quello di esdudere una persona dal beneficio di un diritto, di una prestazione o di un contratto, ovvero a causa dell'uso particolare di una tecnologia nuova; che spetta agli Stati membri, se lo vorranno, precisare tali rischi nella legisla- zione nazionale;
(54) considerando che il numero dei trattamenti che presentano tali rischi particolari dovrebbe essere molto esiguo rispetto al totale dei trattamenti effet- tuati nella socicta; che, per siffatti trattamenti, gli Stati membri devono prevedere, prima che inizi il trattamento, un esame da parte dell'autorita di controllo, o dell'incaricato della protezione dei dati in collaborazione con essa; che a seguito di tale esame preliminare l'autorita di controllo puo, in base al diritto nazionale d'applicazione, formulare un parere o autorizzare il trattamento dei dati; che detto esame puo aver luogo anche durante il pro- cesso di elaborazione di un provvedimento del Parlamento nazionale ovvero di un provvedimento basato su tale provvedimento legislativo, in cui si definisca Ia natura del trattamento e si precisino le garanzie appropriate;
(55) considerando che, in caso di violazione dei diritti delle persone interessate da parte del responsabile del trattamento, le legislazioni nazionali devono prevedere vie di ricorso giurisdizionale; che i danni cagionati aile persone per effetto di un trattamento illecito devono essere riparati dal responsabile del trattamento, il quale puc> essere esonerato dalla propria responsabilita se prova che l'evento dan- noso non gli c imputabile, segnatamente quando dimostra l'esistenza di un errore della persona intercssata o un caso di forza maggiore; chc san- zioni debbono essere applicate nei confronti di qualsiasi soggetto di diritto privato o di diritto pubblico che non rispett1 le norme nazionali di attuazione della presente clirettiva;
(56) considerando che lo sviluppo degli scambi interna- zionali comporta necessariamente il trasferimento oltre frontiera di dati personali; che Ia tutela delle persone garantita nella Comunira dalla presente direttiva non osta a! trasfcrimento di dati pcrsonali
23. 11. 95 Gazzetta ufficiale delle Comunita europee N. L 281/37
verso paesi terzi che garantiscano un livello di protezione adeguato; che l'adeguatezza della tutela offerta da un paese terzo deve essere valutata in funzione di tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti:
(57) considerando, per contro, che deve essere vietato il trasferimento di dati personali verso un paese terzo che non offre un livello di protezione adeguato;
(58) considerando che devono essere previste, in talune circostanze, deroghe a tale divieto a condizione che Ia persona interessata vi abbia consentito, che il trasferimento sia necessario in relazione ad un contratto o da un'azione legale, oppure qualora il trasferimento sia necessario per Ia salvaguardia di un interesse pubblico rilevante, per esempio in casi di scambi internazionali di dati tra le amministra- zioni fiscali o doganali oppure tra i servizi compe- tenti per Ia sicurezza sociale, o qualora il trasferi- mento avvenga da un registro previsto dalla Iegge e destinato ad essere consultato dal pubblico o dalle persone aventi un interesse legittimo; che tale tra- sferimento non deve riguardare Ia totalira dei dati o delle categoric di dati contenuti nel registro suddetto; che il trasferimento di un registro desti- nato ad essere consultato dalle persone aventi un interesse legittimo dovrebbe essere possibile sol- tanto su richiesta di tali persone o qualora esse ne siano i destinatari;
(59) considerando che possono essere adottate misure particolari per rimediare al livello di protezione insufficiente di un paese terzo, qualora il responsa- bile del trattamento offra le opportune garanzie; che inoltre debbono essere previste procedure di negoziato fra Ia Comunira e i paesi terzi in que- stione;
(60) considerando che comunque i trasferimenti di dati verso i paesi terzi possono aver luogo soltanto nel pieno rispetto delle disposizioni prese dagli Stati membri in applicazione della presente direttiva, in particolare dell'articolo 8;
(61) considerando che gli Stati membri e Ia Commis- sione, nei rispettivi settori di competenza, devono incoraggiare gli ambienti professionali interessati a elaborare codici di condotta destinati a favorire, secondo le caratteristiche specifiche dei trattamenti effettuati in taluni settori, l'attuazione della pre- sente direttiva nel rispetto delle disposizioni nazio- nali di applicazione della stessa;
(62) considerando che Ia designazione di autorita di controllo che agiscano in modo indipendente in ciascuno Stato membro e un elemento essenziale per la tutela delle persone con riguardo al tratta- mento di dati personali;
(63) considerando che tali autorira devono disporre dei mezzi necessari all'adempimento dei loro compiti, siano essi poteri investigativi o di intervento, segna- tamente in caso di reclami di singoli individui, nonche poteri di avviare azioni legali; che esse debbono contribuire alia trasparenza dei tratta- menti effettuati nello Stato membro da cui dipen- dono;
(64) considerando che le aut:orira dei vari Stati membri wno tenure a collaborare nello svolgimento dei propri compiti in modo talc da assicurare che le norme relative alia tutela vengano pienamente rispettate in tutta l'Unione europca;
(65) considerando che, a livello comunitario, deve essere istituito un gruppo per Ia tutela delle persone con riguardo al trattamento dei dati personali e che esso dcve esercitare le sue funzioni in piena indi- pendenza; che, tenuto conto di talc carattere speci- fico, csso deve consigliare Ia Commissione e contri- buirc in particolare all'applicazionc omogenea delle norme nazionali di attuazionc della presente diret- tiva;
(66) considerando che, in ordine al trasferimento di dati verso i paesi terzi, l'applicazione della presente direttiva richiede l'attribuzione alia Commissione di competenze d'esecuzione nonche l'istituzione di una procedura secondo le modalita fissate nella decisione 87/373/CEE del Consiglio (1);
(67) considerando che il 20 dicembre 1994 e stato raggiunto un accordo su un <<modus vivendi» tra Parlamento curopeo, Consiglio e Commissione sulle misure di attuazione degli atti adottati in base alia procedura stabilita all'articollo 189 B del trat- tato CE;
(68) considerando che i principi della tutela dei diritti e delle liberra delle persone, in particolare del rispetto della vita privata, con riguardo al tratta- mento di dati personali, oggetto della presente direttiva, potranno esserc completati o precisati, soprattutto per taluni settori, da norme specifiche ad essi conformi;
(69) considerando che e opportuno concedere agli Stati membrl un termine non sup~riore a tre anni a decorrere dall'entrata in vigore delle disposizioni nazionali eli recepimento della presente direttiva, per consentire loro di applicare progressivamente a tutti i trattamenti gia rcalizzati dette nuove disposi- zioni nazionali; che per agevolare un'applicazione
( 1) GUn. L 197 del1H. 7. 19H7, pag. 33.
N. L 281/38 Gazzetta ufficiale delle Comunita europee 23. 11. 95
cfficicnte in termini di costi sara concesso agli Stati membri un ulteriore periodo che si concludcra dodici anni dopo la data di adozione della presente direttiva, in modo tale che venga assicurata Ia conformita degli archivi manuali esistenti con alcune disposizioni della direttiva; che i dati conte- nuti in detti archivi e oggetto di un trattamento manuale cffcttivo nel corso di questo periodo di transizione supplemcntare devono cssere resi con- formi con le prcsenti disposizioni all'atto di tale trattamento attivo;
(70) considerando che non occorrc che la persona intc- ressata dia nuovamente il suo consenso affinche il responsabile possa proseguire, dopo l'entrata in vigore delle disposizioni nazionali di attuazione della prescnte direttiva, i trattamenti dci dati di
natura delicata necessari all'esecuzione di un con- tratto concluso in base ad un consenso libero e con cognizione di causa prima dell'entrata in vigore delle suddette disposizioni;
(71) considerando che Ia presente direttiva non osta alia disciplina da parte uno Stato membro delle attivira di invio di materiale pubblicitario destinato ai consumatori residenti nel proprio territorio, purche detta disciplina non riguardi la tutela delle persone relativamente al trattamento dei dati personali;
(72) considerando chc la presente direttiva consente che nell'applicazione dei principi in essa stabiliti si tenga conto del principio dell'accesso del pubblico ai documcnti ufficiali,
HANNO ADOTTATO LA PRESENTE DIRETTIVA:
CAPO r
DISPOSIZIONI GENERAL!
Articolo 1
Oggetto della direttiva
I. Gli Stati mcmbri garantiscono, conformemcnte aile disposizioni della presente direttiva, la tutela dei diritti e delle liberta fondamentali delle persone fisiche e partico- larmente del diritto alla vita privata, con riguardo a! trattamento dei dati personali.
2. Gli Stati membri non possono restringere o vietare la Iibera circolazione dei dati personali tra Stati mcmbri, per motivi connessi alia tutela garantita a norma del para- grafo 1.
Articolo 2
Definizioni
Ai fini della presente direttiva si intcnde per:
a) <<dati pcrsonali>>: qualsiasi informazione concernente una persona fisica identificata o identificabile (<<per- sona interessata» ); si considera identificabile la per- sona che puo essere identificata, direttamente o incli- rettamentc, in particolare mediante riferimento ad un numcro di identificazione o ad uno o piu clementi spccifici carattcristici della sua identita fisica, fisiolo- gica, psichica, cconomica, culturale o sociale;
b) <<trattamento di dati personali>> (<<trattamento>> ): qual- siasi opcrazione o insieme di operazioni compiute con o scnza l'ausilio di processi automatizzati e applicate
a dati personali, come Ia raccolta, Ia registrazione, l'organizzazione, Ia conservazionc, l'elaborazione o Ia modifica, l'estrazione, la consultazione, l'impiego, Ia comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raf- fronto o l'interconnessione, nonche il congelamento, Ia cancellazione o Ia distruzione;
c) «archivio di dati personali>> (<<archivio» ): qualsiasi ms1eme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
d) «responsabile del trattamento>>: Ia persona fisica o giuridica, l'autorira pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina lc finalita e gli strumenti del trattamento di dati personali. Quando le finalira e i mezzi del tratta- mento sono determinati da disposizioni legislative o regolamentari nazionali o comunitarie, il responsabile del trattamento o i criteri specifici per al sua designa- zJone possono essere fissati dal diritto nazionalc o comunitario;
e) <<incaricato del trattamento>>: Ia persona fisica o giuri- dica, l'autorira pubblica, il servizio o qualsiasi altro organismo chc elabora dati personali per conto del responsabile del trattamento;
23. 11. 95 Gazzetta ufficiale delle Comunita europee N. L 281/39
f) «terzi»: la persona fisica o giuridica, l'autorita pub- blica, il servizio o qualsiasi altro organismo che non sia la persona interessata, il responsabile del tratta- mento, l'incaricato del trattamento e le persone auto- rizzate all'elaborazione dei dati sotto la loro autorit;! diretta;
g) «destinatario»: la persona fisica o giuridica, l'autorit<l pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati, che si tratti o meno di un terzo. Tuttavia, le autorira che possono ricevere comunicazione di dati nell'ambito di una missione d'inchicsta spccifica non sono considerate destina- tari;
h) «consenso della persona interessata»: qualsiasi mani- festazione eli volonta Iibera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto eli un tratta- mento.
Articolo 3
Campo d'applicazione
1. Le disposizioni della presente direttiva si applicano al trattamento eli dati personali interamente o parzialmente automatizzato nonche al trattamento non automatizzato eli dati personali contenuti o destinati a figurare negli archivi.
2. Le disposizioni della presente direttiva non s1 appli- cano ai trattamenti eli dati personali;
effettuati per l'esercizio eli attivita che non rientrano nel campo eli applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull'Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, Ia sicurezza dello Stato (compreso il benessere econo-
mico dello Stato, laddove tali trattamenti siano con- nessi a questioni eli sicurezza dello Stato) e le attivita dello Stato in materia eli diritto penale;
effettuati da una persona fisica per l'esercizio di attivita a carattere esclusivamcnte personale o dome- stico.
Articulo 4
Diritto nazionah: applicabitlc
1. Ciascuno Stato membro applica le disposizioni nazio- nali adottate per l'attuazione della presentc direttiva al trattamento di dati personali:
a) effettuato nel contesto delle attivita eli uno stabili- mento del responsabile del trattamento nel territorio dcllo Stato membn;; qualora uno stesso responsabile del trattamento sia stabilito nel terriwrio eli piu Stati membri, esso deve adottare le misure necessarie per assicurare l'osservanza, cia parte di ciascuno di detti stabilimenti, clegli obblighi stabiliti dal diritto nazio- nale applicabile;
b) il cui responsabile non e stabilito m·l territorio dello Stato membro, rna in un luogo in cui si applica la sua legislazione nazionale, a norma del diritto internazio- nale pubblico;
c) il cui rcsponsabilc, non stabilito nel territorio della Comunita, ricorre, ai fini del trattamento eli dati personali, a strumenti, automatizzati o non automa- tizzati, situati nel territorio eli detto Stato membro, a mcno che questi non siano utilizzati ai soli fini di transito nel territorio della Comunit~t europea.
2. Nella fattispecie eli cui al paragrafo 1, lettera c), il responsabile del trattamento deve dcsignare un rappresen- tante stabilito nel territorio di detto Staro mcmbro, fatte salve le azioni che potrcbbero esscre promosse contro lo stesso responsabile del trattamento.
CAPO II
CONDIZIONI GENERAL! DI LICEITA DEl TRATTAMENT! DI DATI PERSONAU
Articolo 5
Gli Stati membri precisano, nei limiti delle disposizioni del prcsente capo, le condizioni aile quali i trattamenti di dati personali sono leciti.
N. L 281/40 Gazzetta ufficiale delle Comunita europee 23. 11. 9S
SEZIONE I
PRINCIPI RELATIVI ALLA QUALITA DEI DATI
Articolo 6
1. Gli Stati membri dispongono che i dati personali devono essere:
a) trattati lealmente e lecitamente;
b) rilcvati per finalita determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalita. II trattamento successivo dei dati per scopi storici, statistici o scientifici non c ritenuto incompatibile, purche gli Stati membri forniscano garanzic appropriate;
c) adcguati, pcrtinenti e non eccedenti rispetto aile finali- ta per le quali vengono rilevati e/o per le quali vengono successivamente trattati;
d) esatti e, se necessario, aggiornati; devono esscre prese tuttc le misurc ragionevoli per cancellare o rettificare i dati incsatti o incompleti rispetto alle finalita per le quali sono rilevati o sono successivamente trattati, cancellati o rettificati;
e) conservati in modo da consentire l'identificazione delle persone interessate per un arco di tempo non superiore a quello necessaria al conseguimcnto delle finalira per le quali sono rilevati o sono successiva- mente trattati. Gli Stati membri prevedono garanzie adcguate per i dati personali conservati oltrc il sud- dctto arco di tempo per motivi storici, statistici o scienti fici.
2. II responsabile del trattamento e tenuto a garantire il rispetto delle disposizioni del paragrafo 1.
SEZIONE II
PRINCIPI RELATIVI ALLA LEGITTIMAZIONE DEL TRATTAMENTO DEI DATI
Articolo 7
Gli Stati memhri dispongono che il trattamento di dati pcrsonali puo esscre effettuato soltanto quando:
a) Ia persona interessata ha manifestato il proprio con- senso in maniera inequivocahile, oppure
b) e necessaria all'esecuzione del contratto concluso con Ia persona interessata o all'esecuzione di misure pre- contrattuali prese su richiesta di tale persona, oppure
c) e necessario per adempiere un ohbligo legale al quale e soggetto il responsabile del trattamento, oppure
d) e necessario per Ia salvaguardia dell'interesse vitale della persona interessata, oppure
e) e necessaria per l'esecuzione di un compito di inte- resse pubblico o connesso all'esercizio di pubhlici poteri di cui einvestito il responsabile del trattamento o il terzo a cui vengono comunicati i dati, oppure
f) e necessario per il perseguimento dell'interesse legit- timo del responsahile del trattamcnto oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano )'interesse o i diritti e le liherra fondamentali della persona interessata, che richiedono tutela ai sensi dell'articolo 1, paragrafo 1.
SEZlONE Ill
CATEGORIE PARTICOLARI DI TRATTAMENTI
Articolo 8
Trattamcnti riguardanti categoric particolari di dati
1. Gli Stati membri vietano il trattamento di dati perso- nali chc rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartc- nenza sindacale, nonche il trattamento di dati relativi alia salute e alia vita sessuale.
2. Il paragrafo 1 non si applica qualora:
a) Ia persona interessata abbia dato il proprio consenso csplicito a tale trattamento, salvo nei casi in cui Ia legislazione dello Stato membro preveda che il con- senso della persona interessata non sia sufficiente per dcrogare al divicto di cui al paragrafo 1, oppure
b) il trattamento sia nccessario, per assolvere gli obblighi c i diritti specifici del responsabile del trattamento in materia di diritto del lavoro, nella misura in cui il trattamento stesso sia autorizzato da norme nazionali che prevedono adeguate garanzie, oppure
c) il trattamento sia necessario per salvaguardare un interesse vitale della persona interessata o di un terzo nel caso in cui Ia persona interessata e nell'incapacira fisica o giuridica di dare il proprio consenso; o
d) il trattamento sia effettuato, con garanzie adeguate, da una fondazione, un'associazione o qualsiasi altro organismo chc non persegua scopi di lucro e rivesta carattere politico, filosofico, religioso o sindacale, nell'amhito del suo scopo lecito e a condizione che riguardi unicamente i suoi memhri o le persone chc ahhiano contatti regolari con Ia fondazione, l'associa-
23. 11. 95 Gazzetta ufficiale delle Comunita europee N. L 281/41
zione o l'organismo a motivo del suo oggetto e che i dati non vengano comunicati a terzi senza il consenso delle persone interessate; o
e) il trattamento riguardi dati resi manifestamente pub- blici dalla persona interessata o s1a necessaria per costituire, esercitare o difendere un diritto per via giudiziaria.
3. II paragrafo 1 non si applica quando il trattamento dei dati e necessaria alla prevenzione o alla diagnostica medica, alia somministrazione di cure o alla gestione di centri di cura e quando il trattamento dei medesimi dati viene effettuato da un professionista in campo sanitario soggetto al segreto professionale sancito dalla legislazione nazionale, comprese le norme stabilite dagli organi nazio- nali competenti, o da un'altra persona egualmente sog- getta a un obbligo di segreto equivalente.
4. Purche siano previste le opportune garanzie, gli Stati membri possono, per motivi di interesse pubblico rile- vante, stabilirc ulteriori deroghe oltre a quelle previste dal paragrafo 2 sulla base della legislazione nazionale o di una decisione dell'autorita di controllo.
5. I trattamenti riguardanti i dati relativi alle infrazioni, alle condanne penali o aile misure di sicurezza possono essere effettuati solo sotto controllo dell'autorita pub- blica, o se vengono fornite opportune garanzie specifichc, sulla base del diritto nazionale, fatte salve le deroghe che possono essere fissate dallo Stato membro in base ad una disposizione nazionale che preveda garanzie appropriate e specifiche. Tuttavia un registro completo delle condanne penali puo essere tenuto solo sotto il controllo dell'auto- rira pubblica.
Gli Stati membri possono prevedere che i trattamenti di dati riguardanti sanzioni amministrative o procedimenti civili siano ugualmente effettuati sotto controllo dell'au- torita pubblica.
6. Le deroghe al paragrafo 1 di cui at paragrafi 4 e S sono notificate alia C:ommissione.
7. Gli Stati membri determinano a quali condizioni un numero nazionale di identificazione o qualsiasi altro mezzo identificativo di portata generale puo essere oggetto di trattamento.
Articolo 9
Trattamento di dati personali e liberta d'espressione
Gli Stati membri prevedono, per il trattamento di dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria, le esenzioni o le deroghe aile disposizioni del presente capo e dei capi IV e
VI solo qualora s1 rivelino necessarie per conciliare il diritto alla vita privata con le norme sulla liberta d'espressione.
SEZIONE IV
INFORMAZIONE DELLA PERSONA INTERESSAT A
Articolo 10
Informazione in caso di raccolta dei dati presso la persona inH~ressata
Gli Stati membri dispongono che il responsabile del trattamento, o il suo rappresentante, debba fornire alla persona presso la quale effettua Ia raccolta dei dati che Ia riguardano almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia gia informata:
a) l'identira del responsabile del trattamento ed eventual- mente del suo rappresentante;
b) le finalita del trattamento cui sono destinati i dati;
c) ulteriori informazioni riguardanti quanto segue:
i destinatari o le categoric di destinatari dei dati,
se risponderc aile domande e obbligatorio 0 volontario, nonche le possibili conseguenze di una mancata risposta,
se esistono diritti di accesso ai dati e di rettifica in merito ai dati che la riguardano
nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informa- zioni siano necessarie per effettuare un trattamento leale nei confronto della persona interessata.
Articulo 11
Informazione m caso di dati non raccolti presso ]a persona interessata
1. In caso di dati non raccolti presso la persona interes- sata, gli Stati membri dispongono che, al momento della registrazione dei dati o qualora sia prevista una comuni- cazione dei dati a un terzo, al piu tardi all'atto della prima comunicazionc dei medesimi, il responsabile del trattamento o il suo rappresentante debba fornire alla persona interessata almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia gia informata:
a) l'identita del responsabilc del trattamento ed eventual- mente del suo rappresentante,
b) le finalita del trattamento,
N. L 281142 Gazzetta ufficiale delle Comunita europee 23. 11. 95
c) ulteriori informazioni riguardanti quanto segue:
le categoric di dati interessate,
i destinatari o le categoric di destinatari dei dati,
se csistc un diritto di accesso ai dati e di rcttifica in merito ai dati che la riguardano,
nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informa- zioni siano necessarie per effettuare un trattamento leale nci confronti della persona interessata.
2. Le disposizioni del paragrafo 1 non si applicano quando, in particolare nel trattamento di dati a scopi statistici, o di ricerca storica o scientifica, l'informazione della persona intcressata si rivela impossibile o richiede sforzi sproporzionati o la registrazione o la comunica- zione eprescritta per Iegge. In questi casi gli Stati membri prevedono garanzie appropriate.
SEZIONE V
DIRITTO DI ACCESSO AI DATI DA PARTE DELLA PERSONA INTERESSATA
Articolo 12
Diritto di accesso
Gli Stati membri garantiscono a qualsiasi persona interes- sata il diritto di ottenere dal responsabile del tratta- mento:
a) liberamente e ~enza costrizione, ad intervalli ragiOne- voli e senza ritardi o spese eccessivi:
la conferma dell'esistenza o meno di trattamenti di dati che la riguardano, e l'informazione almeno sullc finalita dei trattamenti, sulle categoric di dati trattati, sui destinatari o sulle categoric di destina- tari cui sono comunicati i dati;
Ia comunicazione in forma intelligibile dei dati che sono oggetto dei trattamenti, nonche di tutte le informazioni disponibili sull'origine dei dati;
Ia conoscenza della logica applicata nei tratta- menti automatizzati dei dati che lo interessano, per lo meno nel caso delle decisioni automatizzate di cui all'articolo 15, paragrafo 1;
b) a seconda dei casi, la rettifica, Ia cancellazione o il congelamento dei dati il cui trattamento non e con- forme aile disposizioni della presente dircttiva, in particolare a causa del carattere incompleto o inesatto dci dati;
c) Ia notificazione ai terzi, ai quali sono stati comunicati i dati, di qualsiasi rettifica, cancellazione o congela- mento, effettuati conformemente alla lettera b), se non si dimostra che e impossibile 0 implica uno sforzo sproporzionato.
SEZIONE VI
DEROGHE E RESTRIZIONI
Articolo 13
Deroghe e restrizioni
1. Gli Stati membri possono adottare disposizioni legi- slative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell'articolo 6, paragrafo 1, dell'articolo 10, dcll'articolo 11, paragrafo 1 e degli articoli 12 e 21, qualora tale restrizione costituisca una misura necessaria alla salvaguardia:
a) della sicurezza dello Stato;
b) della difesa;
c) della pubblica sicurezza;
d) della prevenzione, della ricerca, dell'accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate;
e) di un rilevante interesse cconornico o finanziario di uno Stato membro o dell'lJnione europea, anche 111 materia monetaria, di bilancio e tributaria;
f) di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente, con l'esercizio dei pubblici poteri nei casi di cui aile lettere c), d) ed e);
g) della protezione della persona interessata o dei diritti e delle liberra altrui.
2. Fatte salve garanzie legali appropriate, che escludano in particolare che i dati possano essere utilizzati a fini di misure o di specifiche decisioni che si riferiscono a pcrsonc, gli Stati membri possono, nel caso in cui non sussista manifestamente alcun rischio di pregiudizio alla vita privata della persona interessata, limitare con un provvedimento legislativo i diritti di cui all'articolo 13 qualora i dati siano trattati esclusivamente ai fini della ricerca scientifica o siano memorizzati sott-o forma di dati personali per un periodo chc non superi quello necessario alia sola finalita di elaborazione delle statistiche.
SEZIONE VII
DIRITTO DI OPPOSIZIONE DELLA PERSONA INTERESSATA
Articolo 14
Diritto di opposizione della persona interessata
Gli Stati membri riconoscono alia persona interessata il diritto:
a) almeno nei casi di cui all'articolo 7, lettere e) e f), di opporsi in qualsiasi momento, per motivi preminenti e legittimi, derivanti dalla sua situazione particolare, al
23. 11. 95 Gazzetta ufficiale delle Comunita europee N. L 281/43
trattamento di dati che la riguardano, salvo disposi- zione contraria prevista dalla normativa nazionale. In caso di opposizione giustificata il trattamento effet- tuato dal responsabile non puo piu riguardare tali dati;
b) di opporsi, su richicsta e gratuitamcnte, al tratta- mento dei dati personali che Ia riguardano previsto dal responsabile del trattamento a fini di invio di materiale pubblicitario ovvero di essere informata prima chc i dati personali siano, per Ia prima volta, comunicati a terzi o utilizzati per conto di terzi, a fini di invio di materiale pubblicitario; la persona interes- sata devc essere informata in modo csplicito del diritto di cui gode di opporsi gratuitamente alia comunicazionc o all'utilizzo di cui sopra.
Gli Stati mcmbri prendono le misure necessarie per garantire che le persone interessate siano a conoscenza che esistc il diritto di cui al primo comma della lettera b).
Articolo 15
Decisioni individuali automatizzate
1. Gli Stati membri riconoscono a qualsiasi persona il diritto di non essere sottoposta ad una decisione che produca effetti giuridici o abbia effetti significativi nei suoi confronti fondata esclusivamente su un trattamento automatizzato di dati dcstinati a valutare taluni aspetti della sua personalita, quali il rendimento professionale, il credito, l'affidabilita, il comportamento, ecc.
2. Gli Stati membri dispongono, salve le altrc disposi- zioni della presente direttiva, che una persona puo essere sottoposta a una decisione di cui al paragrafo 1, qualora una tale decisione:
a) sia presa nel contesto della conclusione o dell'esecu- zione di un contratto, a condizione che la domanda relativa alia conclusione o all'esecuzione del contratto, presentata dalla persona interessata sia stata accolta, oppure che misure adeguate, fra le quali la possibilira di far valere il proprio punto di vista garantiscano Ia salvaguardia del suo interesse legittimo, oppure
b) sia autorizzata da una Iegge che precisi i provvedi- menti atti a salvaguardare un interesse legittimo della persona interessata.
SEZIONE VIII
RISERVATEZZA E SICUREZZA DEI TRATTAMENTI
Articolo 16
Riservatezza dei trattamenti
L'incaricato del trattamento o chiunque agisca sotto Ia sua autorita o sotto quella del rcsponsabile del tratta-
mento non deve elaborare i dati personali ai quali ha accesso, se non dietro istruzione del responsabile del trattamento oppure in virtu di obblighi legali.
Articolo 17
Sicurezza dei trattamenti
l. Gli Stati membri dispongono chc il responsabile del trattamento deve attuare misure· tecnichc cd organizzative appropriate al fine di garantire Ia protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione o dall'accesso non autorizzati, segnatamentc quando il trat- tamento comporta trasmissioni di dati all'interno di una rete, o da qualsiasi altra forma illccita di trattamento di dati personali.
Tali misure devono garantire, tenuto conto delle attuali conoscenzc in materia c dci costi dell'applicazione, un livello di sicurezza appropriato rispetto ai rischi presen- tati dal trattamento e alia natura dei dati da proteggere.
2. Gli Stati membri dispongono chc il responsabile del trattamento, quando quest'ultimo sia cseguito per suo conto, devc scegliere un incaricato del trattamento chc presenti garanzie sufficienti in merito alle misure di sicurezza tecnica e di organizzazione dei trattamenti cia effettuare c cleve assicurarsi del rispetto di tali m1sure.
3. L'esecuzione dei trattamenti su commisswne deve essere disciplinata da un contratto o da un atto giuridico che vincoli l'incaricato del trattamcnto al responsabile del trattamento e che preveda segnatamcntc:
che l'incaricato del trattamento operi soltanto su istruzioni del responsabile del trattamento;
chc gli obblighi di cui al paragrafo 1, quali sono definiti dalla legislazione dello Stato membro nel quale cstabilito l'incaricato del trattamento, vincolino anchc quest'ultimo.
4. A fini di conservazione delle prove, gli elementi del contratto o dell'atto giuridico relativi alia protezione dei dati e i requisiti concernenti le misure di cui al paragrafo 1 sono stipulati per iscritto o in altra forma equivalente.
SEZIONE IX
NOTIFICAZIONE
Articolo 18
Obbligo di notificazionc all'autoritit di controllo
1. Gli Stati membri prevedono un obbligo di notifica- zionc a carico del rcsponsabile del trattamento, od even-
N. L 281144 Gazzetta ufficiale delle Comunid europee 23. 11. 95
tualmente del suo rappresentante, presso l'autorita di controllo di cui all'articolo 30, prima di procedere alia realizzazione di un trattamento, o di un insieme di trattamenti, interamente o parzialmente automatizzato, destinato al conseguimento di una o piu finalid corre- late.
2. Gli Stati membri possono prevedere una semplifica- zione o l'esonero dall'obbligo di notificazione soltanto nei casi e aile condizioni seguenti:
qualora si tratti di categoric di trattamento che, in considerazione dei dati oggetto di trattamento, non siano tali da recare pregiudizio ai diritti e aile liberta della persona interessata, essi precisano le finalita dei trattamenti, i dati o le categoric dei dati trattati, Ia categoria o le categoric di persone lmeressate, i desti- natari o le categoric di destinatari cui sono comuni- cati i dati e il periodo di conservazione dei dati, e/o
qualora il responsabile del trattamento designi, con- formemente alia legislazione nazionale applicabile, un mcaricato della protezione dei dati, a cui edemandato in particolare:
di assicurare in maniera indipendente l'applica- zione interna delle disposizioni nazionali di attua- zione della presente direttiva;
di tenere un registro dei trattamenti effettuati dal responsabile del trattamento in cui figurino le informazioni di cui all'articolo 21, paragrafo 2,
garantendo in tal modo che il trattamento non sia tale da recarc pregiudizio ai diritti e aile libcrta della persona interessata.
3. Gli Stati membri possono prevedere che le disposi- zioni del paragrafo 1 non si applichino ai trattamenti Ia cui unica finalira c la compilazione di registri i quali, in forza di disposizioni legislative o regolamentari, siano predisposti per l'informazione del pubblico e siano aperti alia consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo.
4. Gli Stati membri possono prevedere una deroga all'obbligo della notificazione o una semplificazione della notificazione per i trattamenti di cui all'articolo 8, para- grafo 2, lettera d).
5. Gli Stati membri possono prevedere che i trattamenti non automatizzati di dati personali, o alcuni di essi, siano oggetto di una notificazione eventualmente semplificata.
Articolo 19
Oggetto della notificazione
1. Gli Stati membri definiscono le informazioni che devono essere contenute nella notificazione. Esse com- prendono almeno:
a) il nome e l'indirizzo del responsabile del trattamento e, eventualmente, del suo rappresentante;
b) la o le finalira del trattamento;
c) una descrizione della o delle categoric di persone interessate e dei dati o delle categoric di dati relativi aile medesime;
d) i destinatari o le categoric di destinatari a cUI dati possono essere comunicati;
e) i trasferimenti di dati previsti verso paesi terzi;
f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento in applicazione dell'articolo 17.
2. Gli Stati membri precisano le modalid di notifica- zionc all'autorita di controllo dei mutamenti relativi aile informazioni di cui a! paragrafo l.
Articolo 20
Controllo preliminare
1. Gli Stati membri precisano i trattamenti che poten- zialmente presentano rischi specifici per i diritti e le liberra delle persone e provvedono a che tali trattamenti siano esaminati prima della !oro messa in opera.
2. Tali esami preliminari sono effettuati dall'autorira di controllo una volta ricevuta Ia notificazione del responsa- bile del trattamento, oppure dalla persona incaricata della protezione dei dati che, nei casi dubbi, deve consultare l'autorira di controllo medesima.
3. Gli Stati membri possono effettuare tale esame anche durante il processo di elaborazione di un provvedimento del Parlamento nazionale, o in base ad un provvedimento fondato su siffatto provvedimento legislativo, in cui si definisce il tipo di trattamento e si stabiliscono appro- priate garanzic.
Articolo 21
Pubblicita dei trattamenti
1. Gli Stati membri adottano misure intese ad assicurare Ia pubblicita dei trattamenti.
2. Gli Stati membri devono prevedere che l'autorira di controllo tenga un registro dei trattamenti notificati m virtu dell'articolo 18.
23. 11. 95 Gazzetta ufficiale delle Comunita europee N. L 281/45
II registro riprende almeno le informazioni enumerate all'articolo 19, paragrafo 1, lettere da a) a e).
colo 19, paragrafo 1, !etten~ da a) a e), relative ai trattamenti esenti da notificazione.
II registro puc) essere consultato da chiunque.
3. Gli Stati membri prevedono che i responsabili dei trattamenti o un altro organismo designato dagli Stati membri comunichino nelle opportune forme, a chiunque ne faccia richiesta, almeno le informazioni di cui all'arti-
Gli Stati membri possono prevedere che questa disposi- zione non si applichi ai trattamenti la cui unica finalira e Ia compilazione di registri i quali, in forza di disposizioni legislative o regolamentari, siano predisposti per l'infor- mazione del pubblico e siano aperti alia consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo.
CAPO III
RICORSI GIURISDIZIONALI, RESPONSABILITA E SANZIONI
Articolo 22
Ricorsi
Fatti salvi ricorsi amministrativi che possono essere promossi, segnatamente dinanzi all'autorita di controllo di cui all'articolo 28, prima che sia adita l'autorira giudiziaria, gli Stati mernbri stabiliscono che chiunque possa disporre di un ricorso giurisdizionale in caso di violaziom dei diritti garantitigli dalle disposizioni nazionali appicabili al trattamento in questione.
Articolo 23
Responsabilita
1. Gli Stati membri dispongono che chiunque subisca un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatihile con le disposizioni nazionali di attuazione della presente direttiva abbia il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento.
2. II responsabile del trattamento puo essere esonerato in tutto o in parte da tale responsabilira se prova che l'evento dannoso non gli e imputabile.
Articolo 24
Sanzioni
Gli Stati membri adottano le misure appropriate per garantire Ia piena applicazione delle disposizioni della presente direttiva e in particolare stabiliscono le sanzioni da applicare in caso di violazione delle disposizioni di attuazione della presente direttiva.
CAPO IV
TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI
Articolo 25
Principi
1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento puo aver luogo soltanto se il paese
terzo di cui trattasi garantiscc un livelllo di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.
2. L'adeguatezza del livello di protezione garantito da un paese terzo e valutata con riguardo a tutte le circo- stanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in conside-
N. L 281/46 Gazzetta ufficiale delle Comunita europee 23. 11. 95
razione la natura dei dati, le finalita del o dei trattamenti previsti, il paese d'origine e il paesc di destinazione finale, lc norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonche le regole professionali e le misurc di sicurezza ivi osservate.
3. Gli Stati membri e la Commissione si comumcano a vicenda i casi in cui, a loro parere, un paese tcrzo non garantiscc un livello di protezione adeguato ai sensi del paragrafo 2.
4. Qualora la Commissione constati, secondo la proce- dura dell'articolo .11, paragrafo 2, che un paese tcrzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presentc articolo, gli Stati membri adot- tano lc misure nccessarie per impedire ogni trasfcrimento di dati della stessa natura verso il paese terzo in que- stione.
5. La Commissione avvia, al momento opportuno, nego- ziati per porre rimedio alia situazione risultante dalla constatazionc di cui al paragrafo 4.
6. La Commissione puo constatarc, secondo la proce- dura di cui all'articolo 31, paragrafo 2, che un paese terzo garantiscc un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua lcgislazione nazionale o dei suoi impegni intcr- nazionali, in particolare di quclli assunti in scguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle liberra e dei diritti fondamentali della persona.
Gli Stati membri adottano le misure necessarie per con- formarsi alia dccisione della Commissione.
Articolo 26
Deroghe
1. In deroga all'articolo 25 e fattc salve eventuali dispo- sizioni contrarie della legislazione nazionale per casi spe- cifici, gli Stati membri dispongono che un trasferimcnto di dati personali verso un paese terzo che non garantisce una tutela adeguata ai sensi del'articolo 25, paragrafo 2 puc) avven1rc a condizione che:
a) la persona interessata abbia manifestato il propno consenso m mamera incquivocabile al trasferimento prcvisto, oppurc
b) il trasfcrimento s1a necessario per l'esecuzione eli un contratto tra Ia persona interessata ed il rcsponsabile
del trattamento o per l'esecuzione di m1sure precon- trattuali prese a richiesta di questa, oppure
c) il trasferimento sia necessaria per la conclusione o l'esecuzione di un contratto, concluso o da concludere ncll'interesse della persona interessata, tra il responsa- bile del trattamcnto e un terzo, oppure
d) il trasferimento sia necessario o prescritto dalla Iegge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, escrcitare o difendere un diritto per via giudiziaria, oppure
e) il trasferimento sia necessario per la salvaguardia dcll'intcresse vitalc della persona interessata, oppure
f) il trasferimento avvenga a partire da un registro pubblico il quale, in forza eli disposizioni legislative o regolamentari, sia predisposto per l'informazione del pubblico e sia aperto alia consultazione del pubblico o eli chiunque possa dimostrare un interesse legittimo, nella misura in cui ncl caso specifico siano rispettate le condizioni che Ia Iegge prevede per la consulta- zione.
2. Salvo il disposto del paragrafo 1, uno Stato membro puc) autorizzare un trasferimento o una categoria eli trasferimenti eli dati personali verso un paese terzo che non garantisca un livello eli protezione adeguato ai sensi dell'articolo 25, paragrafo 2, qualora il responsabile del trattamento presenti garanzie sufficienti per Ia tutela della vita privata e dei diritti e delle liberta fondamentali delle persone, nonche per l'esercizio dei diritti connessi; tali garanzie possono segnatamente risultare da clausole con- trattuali appropriate.
3. Lo Stato membro informa la Commissione e gli altri Stati membri in merito aile autorizzazioni concesse a norma del paragrafo 2.
In caso di opposizione notificata da un altro Stato membro o dalla Commissione, debitamente motivata sotto l'aspetto della tutela della vita privata e dei diritti e delle liberta fondamentali delle persone, la Commissione adotta le misure appropriate secondo la procedura eli cui all'articolo 31, paragrafo 2.
Gli Stati membri adottano le misure necessarie per con- formarsi alia decisione della Commissione.
4. Qualora la Commissione dccida, secondo la proce- dura eli cui all' articolo 31, paragrafo 2, che alcune clausole contrattuali tipo offrono le garanzie sufficienti eli cui al paragrafo 2, gli Stati membri adottano le misure necessane per conformarsi alia decisione della Commis- sJone.
23. 11. 95 Gazzetta ufficiale delle Comunira europee
CAPO V
CODICI DI CONDOTTA
Articolo 27
1. Gli Stati membri e la Commissione incoraggiano l'elaborazione di codici di condotta destinati a contribuire, in funzione delle specificira settoriali, alla corretta applicazione delle disposizioni nazionali di attuazione della presente direttiva, adottate dagli Stati membri.
2. Gli Stati membri dispongono che le associazioni professionali e gli altri organismi rappresen- tanti altre categoric di responsabili del trattamento, che hanno elaborato i progetti di codice nazionali o intendono modificare o prorogare i codici nazionali esistenti, possano sottoporli all'esame dell'autorira nazionale.
Gli Stati membri prevedono che tale autorira accerti, in particolare, la conformita dei progetti che le sono sottoposti alle disposizioni nazionali di attuazione della presente direttiva. Qualora lo ritenga opportuno, l'autorira nazionale raccoglie le osservazioni delle persone interessate o dei loro rappresentanti.
3. I progetti di codici comunitari, nonche le modifiche o proroghe di codici comunitari esistenti, possono essere sottoposti al gruppo di cui all'articolo 29, il quale si pronuncia, in particolare, sulla conformira dei progetti che gli sono sottoposti alle disposizioni nazionali di attuazione della presente direttiva. Qualora lo ritenga opportuno, esso raccoglie le osservazllOni delle persone interessate o dei loro rappresentanti. La Commissione puo provvedere ad un'appropriata divulgazione dei codici che sono stati approvati dal gruppo.
CAPO VI
AUTORITA DI CONTROLLO E GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONAL!
N. L 281/47
Articolo 28
Autorita di controllo
informazione necessaria all'esercizio della sua fun- zione di controllo;
1. Ogni Stato membro dispone che una o pm autorira pubbliche siano incaricate di sorvegliare, nel suo territo- rio, l'applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri.
di poteri effettivi d'intervento, come quello di formu- lare pareri prima dell'avvio di trattarnenti, conforme- mente all'articolo 20, e di dar loro acleguata pubblici- ra o quello di ordinare il congelamento, la cancella- zione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un monito al responsabile del trattamento o quello di adire i Parla- menti o altre istituzioni politiche nazionali;
Tali autorira sono pienamente indipendenti nell'esercizio delle funzioni loro attribuite.
2. Ciascuno Stato membro dispone che le autorira di controllo siano consultate al momento dell'elaborazione delle misure regolamentari o amministrative relative alla tutela dei diritti e delle liberra della persona con riguardo al trattamento dei dati personali.
3. Ogni autorita di controllo dispone in particolare:
di poteri investigativi, come il diritto di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi
del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva ovvero di adire per dette violazioni le autorira giudiziarie.
E possibile un ricorso giurisdizionale avverso le decisioni dell'autorita di controllo recanti pregiudtzio.
N. L 281/48 Gazzetta ufficiale delle Comunita europee 23. 11. 95
4. Qualsiasi persona, o assooazione che la rappresenti, puo presentare a un'autorira di controllo una domanda relativa alia tutela dei suoi diritti e liberta con riguardo al trattamento di dati personali. La persona interessata viene informata del seguito dato alia sua domanda.
Qualsiasi persona puo, in particolare, chiedere a un'auto- rira di controllo di verificare Ia liceita di un trattamento quando si applicano le disposizioni nazionali adottate a norma dell'articolo 13 della presente direttiva. La per- sona viene ad ogni modo informata che una verifica ha avuto luogo.
5. Ogni autorita di controllo elabora a intervalli regolari una rclazione sulla sua attivira. La relazione viene pubbli- cata.
6. Ciascuna autorita di controllo, indipendentemente dalla Iegge nazionale applicabile al trattamento in que- stione, e competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorita puo essere invitata ad esercitare i suoi potcri su domanda de!Pautorita di un altro Stato membro.
Le autorita di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti, in partico- lare scambiandosi ogni informazione utile.
7. Gli Stati membri dispongono che i membri e gli agenti delle autorita di controllo sono soggetti, anche dopo la cessazione delle attivita, all'obbligo del segreto professio- nale in merito aile informazioni riservate cui hanno accesso.
Articolo 29
Gruppo per Ia tutela delle persone con riguardo al trattamento dei dati personali
1. E istituito un gruppo per Ia tutela della persone con riguardo al trattamento dei dati personali, m appresso denominato «il gruppo».
II gruppo ha carattere consultivo e indipendente.
2. II gruppo c composto da un rappresentante della o delle autorita di controllo designate da ciascuno Stato membro e da un rappresentante della o delle autorita create per le istituzioni e gli organismi comunitari, non- chi' da un rappresentante della Commissione.
Ogni membro del gruppo e designato dall'istituzione oppure dalla o dalle autorita che rappresenta. Qualora uno Stato membro abbia designato pili autorita di con- trollo, queste procedono alia nomina di un rappresen- tante comune. Lo stesso vale per le autorita create per le istituzioni e gli organismi comunitari.
3. Il gruppo adotta le sue decisioni alia maggioranza semplice dei rappresentanti delle autorita di controllo.
4. II gruppo elegge il proprio presidente. La durata del mandato del presidente e di due anni. II mandato e rinnovabile.
5. AI segretariato del gruppo provvede Ia Commissione.
6. II gruppo adotta il proprio regolamento interno.
7. II gruppo esamina le questioni iscritte all'ordine del giorno dal suo presidente, su iniziativa di questo o su richiesta di un rappresentante delle autorita di controllo oppure su richiesta della Commissione.
Articolo 30
1. II gruppo ha i seguenti compiti:
a) esaminare ogni questione attinente all'applicazione delle norme nazionali di attuazione della presente direttiva per contribuire alia loro applicazione omoge- nca;
b) formulare, ad uso della Commissione, un parere sui livello di tutela nella Comumta e nei paesi terzi;
c) consigliare Ia Commissione in merito a ogni progetto di modifica della presente direttiva, ogni progetto di misure addizionali o specifiche da prendere ai fini della tutela dei diritti e delle liberta delle personc fisiche con riguardo al trattamento di dati personali, nonche in merito a qualsiasi altro progetto di misure comunitarie che incidano su tali diritti e liberta;
d) formulare un parere sui codici di condotta elaborati a liveilo comunitario.
2. II gruppo, qualora constati che tra le legislazioni o prassi degli Stati membri si manifestano divergenze che possano pregiudicarc l'equivalenza della tutela delle per- sone in materia di trattamento dei dati personali nella Comunira, ne informa Ia Commissione.
3. Il gruppo pui> formulare di propria iniziativa racco- mandazioni su qualsiasi questione riguardante Ia tutela delle persone nei confronti del trattamento di dati perso- nali nella Comunira. ·
4. I pareri e le raccomandazioni del gruppo vengono trasmessi alla C:ommissione e al comitato di cui all'arti- colo 31.
5. La C:ommissione informa il gruppo del seguito da essa dato ai pareri e aile raccomandazioni. A tal fine redige una relazione che viene trasmessa anche al Parla-
23. 11. 95 Gazzetta ufficiale delle Comunita europee N. L 281/49
mento europeo e al Consiglio. La relazione e oggetto di pubblicazione.
mento dei dati personali nella Comunita e nei paesi terzi e la trasmette alla Commissione, al Parlamento europeo e al Consiglio. La relazione eoggetto di pubblicazione.
6. II gruppo rcdige una relazione annuale sullo stato della tutela delle persone fisiche con riguardo al tratta-
CAPO VII
MISURE COMUNITARIE D'ESECUZIONE
Articolo 31
Comitato
1. La Commissione eassistita da un comitato cornposto dai rappresenranti degli Stati membri e presieduto dal rappresentante della Commissione.
2. II rappresentante della Commissione sottopone al comitato un progetto delle misure da adottare. II comitato, entro un termine che il presidente pu<) fissare in funzionc dell'urgenza della questione in esame, formula il suo parere sui progetto.
II parere e formulato alla maggioranza prevista all'articolo 148, paragrafo 2 del trattato. Nelle votazioni in seno al comitato, ai voti dei rappresentanti degli Stati membri e attribuita la ponderazione fissata nell'articolo precitato. II presidente non partecipa al voto.
La Commissione adotta misure che sono applicabili immediatamente. Tuttavia, se queste misure non sono conformi al parere del comitato saranno subito comunicate dalla Commissionc al Consiglio. In tal caso:
la Commissione rinvia l'applicazione delle misure da essa decise per un periodo di tre mes.i, a decorrere dalla data della comunicazione;
il Consiglio, deliberando a maggioranza qualificata, puo prendere una decisione diversa entro il termine di cui al comma precedente.
DISPOSIZIONI FINALI
Articolo 32
1. Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari ed amministrative necessarie per conformarsi alia presente direttiva al piu tardi alia sca- denza del terzo anno successivo alia sua adozione.
Quando gli Stati membri adottano tali disposizioni, que- ste contengono un riferimento alia presente direttiva o sono corredate da un siffatto riferimento all'atto della puhblicazione ufficiale. Le modalita di tale riferimento sono decise dagli Stati membri.
2. Gli Stati membri provvedono affinche i trattamenti avviati prima della data di entrata in vigore delle disposi- zioni nazionali di attuazione della presente direttiva si conformino a dette disposizioni entro i tre anni successivi alia data summenzionata.
In deroga al comma precedente, gli Stati membri possono prevedere che, per quanto riguarda gli articoli 6, 7 ed 8, la messa in conformita dei trattamenti di dati gia conte- nuti in archivi manuali alia data dell'entrata in vigore delle disposizioni nazionali di attuazione della presente direttiva sia effettuata man mano che si procede a succes- sive operazioni di trattamento di tali dati, diverse dalla semplice memorizzazione. Questa messa in conformid deve, tuttavia, essere terminata entro il dodicesimo anno a decorrere dalla data di adozione della presente direttiva. Gli Stati membri consentono comunque alia persona interessata di ottenere a sua richiesta e in particolare in sede di esercizio del diritto di accesso, la rettifica, la cancellazione o il congelamento dei dati incompleti, me- satti o conservati in modo incompat1bile con i fini legittimi perseguiti dal responsahile del trattamento.
3. In deroga al paragrafo 2, gli Stati membri possono prevedere, con riserva di garanzic adeguate, che i dati
N. L 281/50 Gazzetta ufficiale delle Comunita europee 23. 11. 95
conservati esclusivamente per ricerche storiche non siano resi conformi aile disposizioni degli articoli 6, 7 e 8 della prcsente direttiva.
4. Gi Stati membri comumcano alla Commissione le disposizioni di diritto interno che adottano nel settore disciplinato dalla presente direttiva.
Articolo 33
La Commissione presenta periodicamente al Consiglio e al Parlamento europeo, per Ia prima volta entro tre anni dalla data di cui all'articolo 32, paragrafo 1, una rela- zione sull'applicazione della presente direttiva, accompa- gnata, se del caso, dalle opportune proposte di modifica. La relazione e oggetto di pubblicazione.
La Commissione esaminera in particolare l'applicazione della presente direttiva al trattamento dei dati sotto
forma di suoni o immagini relativi a persone fisiche e presented le eventuali proposte necessarie, tenuto conto dell'evoluzione della tecnologia dell'informazione e alia luce dei progressi della sociera dell'informazione.
Articolo 34
Gli Stati membri sono destinatari della presente diret- tiva.
Farro a Lussemburgo, addi 24 ottobre 1995.
Per il Parlamento europeo
Il Presidente
K. HANSCH
Per il Consiglio
Il Presidente
L. ATIENZA SERNA