interactive GDPR 2016/0679 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- dato personale
- trattamento
- limitazione di trattamento
- profilazione
- pseudonimizzazione
- archivio
- titolare del trattamento
- responsabile del trattamento
- destinatario
- terzo
- consenso dell'interessato
- violazione dei dati personali
- dati genetici
- dati biometrici
- dati relativi alla salute
- stabilimento principale
- rappresentante
- impresa
- gruppo imprenditoriale
- norme vincolanti d'impresa
- autorità di controllo
- autorità di controllo interessata
- trattamento transfrontaliero
- obiezione pertinente e motivata
- servizio della società dell'informazione
- organizzazione internazionale
- trattamento 41
- autorità_di_controllo 23
- presente 23
- comitato 21
- sensi 19
- dati 17
- progetto 16
- condotta 15
- parere 15
- codice 15
- regolamento 14
- titolare 11
- articolo 11
- responsabile 10
- proroga 9
- membri 9
- personali 9
- modifica 9
- certificazione 9
- codici 8
- caso 8
- poteri 8
- paragrafo 8
- stati 8
- decisione 7
- tutti 7
- titolari 7
- protezione 7
- ingiungere 6
- competente 6
- misure 6
- garanzie 6
- membro 6
- termine 6
- adeguate 6
- lettera 5
- finalizzata 5
- conformità 5
- questione 5
- presidente 5
- diritto 5
- approvati 5
- responsabili 5
- ogni 5
- interessati 5
- approvare 5
- organismo 5
- diritti 4
- esecuzione 4
- informazioni 4
Articolo 40
Codici di condotta
1. Gli Stati membri, le autorità_di_controllo, il comitato e la Commissione incoraggiano l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.
2. Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l'applicazione del presente regolamento, ad esempio relativamente a:
| a) | il trattamento corretto e trasparente dei dati; |
| b) | i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici; |
| c) | la raccolta dei dati personali; |
| d) | la pseudonimizzazione dei dati personali; |
| e) | l'informazione fornita al pubblico e agli interessati; |
| f) | l'esercizio dei diritti degli interessati; |
| g) | l'informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore; |
| h) | le misure e le procedure di cui agli articoli 24 e 25 e le misure volte a garantire la sicurezza del trattamento di cui all'articolo 32; |
| i) | la notifica di una violazione_dei_dati_personali alle autorità_di_controllo e la comunicazione di tali violazioni dei dati personali all'interessato; |
| j) | il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali; o |
| k) | le procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari del trattamento e interessati in materia di trattamento, fatti salvi i diritti degli interessati ai sensi degli articoli 77 e 79. |
3. Oltre all'adesione ai codici di condotta approvati ai sensi del paragrafo 5 del presente articolo e aventi validità generale a norma del paragrafo 9 del presente articolo da parte di titolari o responsabili soggetti al presente regolamento, possono aderire a tali codici di condotta anche i titolari del trattamento o i responsabili del trattamento che non sono soggetti al presente regolamento ai sensi dell'articolo 3, al fine di fornire adeguate garanzie nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all'articolo 46, paragrafo 2, lettera e). Detti titolari del trattamento o responsabili del trattamento assumono l'impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati.
4. Il codice di condotta di cui al paragrafo 2 del presente articolo contiene i meccanismi che consentono all'organismo di cui all'articolo 41, paragrafo 1, di effettuare il controllo obbligatorio del rispetto delle norme del codice da parte dei titolari del trattamento o dei responsabili del trattamento che si impegnano ad applicarlo, fatti salvi i compiti e i poteri delle autorità_di_controllo competenti ai sensi degli articoli 55 o 56.
5. Le associazioni e gli altri organismi di cui al paragrafo 2 del presente articolo che intendono elaborare un codice di condotta o modificare o prorogare un codice esistente sottopongono il progetto di codice, la modifica o la proroga all' autorità_di_controllo competente ai sensi dell'articolo 55. L' autorità_di_controllo esprime un parere sulla conformità al presente regolamento del progetto di codice, della modifica o della proroga e approva tale progetto, modifica o proroga, se ritiene che offra in misura sufficiente garanzie adeguate.
6. Qualora il progetto di codice, la modifica o la proroga siano approvati ai sensi dell'articolo 55, e se il codice di condotta in questione non si riferisce alle attività di trattamento in vari Stati membri, l' autorità_di_controllo registra e pubblica il codice.
7. Qualora il progetto di codice di condotta si riferisca alle attività di trattamento in vari Stati membri, prima di approvare il progetto, la modifica o la proroga, l' autorità_di_controllo che è competente ai sensi dell'articolo 55 lo sottopone, tramite la procedura di cui all'articolo 63, al comitato, il quale formula un parere sulla conformità al presente regolamento del progetto di codice, della modifica o della proroga o, nel caso di cui al paragrafo 3 del presente articolo, sulla previsione di adeguate garanzie.
8. Qualora il parere di cui al paragrafo 7 confermi che il progetto di codice di condotta, la modifica o la proroga è conforme al presente regolamento o, nel caso di cui al paragrafo 3, fornisce adeguate garanzie, il comitato trasmette il suo parere alla Commissione.
9. La Commissione può decidere, mediante atti di esecuzione, che il codice di condotta, la modifica o la proroga approvati, che le sono stati sottoposti ai sensi del paragrafo 8 del presente articolo, hanno validità generale all'interno dell'Unione. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.
10. La Commissione provvede a dare un'adeguata pubblicità dei codici approvati per i quali è stata decisa la validità generale ai sensi del paragrafo 9.
11. Il comitato raccoglie in un registro tutti i codici di condotta, le modifiche e le proroghe approvati e li rende pubblici mediante mezzi appropriati.
Articolo 58
Poteri
1. Ogni autorità_di_controllo ha tutti i poteri di indagine seguenti:
| a) | ingiungere al titolare del trattamento e al responsabile del trattamento e, ove applicabile, al rappresentante del titolare del trattamento o del responsabile del trattamento, di fornirle ogni informazione di cui necessiti per l'esecuzione dei suoi compiti; |
| b) | condurre indagini sotto forma di attività di revisione sulla protezione dei dati; |
| c) | effettuare un riesame delle certificazioni rilasciate in conformità dell'articolo 42, paragrafo 7; |
| d) | notificare al titolare del trattamento o al responsabile del trattamento le presunte violazioni del presente regolamento; |
| e) | ottenere, dal titolare del trattamento o dal responsabile del trattamento, l'accesso a tutti i dati personali e a tutte le informazioni necessarie per l'esecuzione dei suoi compiti; e |
| f) | ottenere accesso a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell'Unione o il diritto processuale degli Stati membri. |
2. Ogni autorità_di_controllo ha tutti i poteri correttivi seguenti:
| a) | rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento; |
| b) | rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento; |
| c) | ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell'interessato di esercitare i diritti loro derivanti dal presente regolamento; |
| d) | ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine; |
| e) | ingiungere al titolare del trattamento di comunicare all'interessato una violazione_dei_dati_personali; |
| f) | imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento; |
| g) | ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell'articolo 17, paragrafo 2, e dell'articolo 19; |
| h) | revocare la certificazione o ingiungere all'organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all'organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti; |
| i) | infliggere una sanzione amministrativa pecuniaria ai sensi dell'articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; e |
| j) | ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un' organizzazione_internazionale. |
3. Ogni autorità_di_controllo ha tutti i poteri autorizzativi e consultivi seguenti:
| a) | fornire consulenza al titolare del trattamento, secondo la procedura di consultazione preventiva di cui all'articolo 36; |
| b) | rilasciare, di propria iniziativa o su richiesta, pareri destinati al parlamento nazionale, al governo dello Stato membro, oppure, conformemente al diritto degli Stati membri, ad altri organismi e istituzioni e al pubblico su questioni riguardanti la protezione dei dati personali; |
| c) | autorizzare il trattamento di cui all'articolo 36, paragrafo 5, se il diritto dello Stato membro richiede una siffatta autorizzazione preliminare; |
| d) | rilasciare un parere sui progetti di codici di condotta e approvarli, ai sensi dell'articolo 40, paragrafo 5; |
| e) | accreditare gli organismi di certificazione a norma dell'articolo 43; |
| f) | rilasciare certificazioni e approvare i criteri di certificazione conformemente all'articolo 42, paragrafo 5; |
| g) | adottare le clausole tipo di protezione dei dati di cui all'articolo 28, paragrafo 8, e all'articolo 46, paragrafo 2, lettera d); |
| h) | autorizzare le clausole contrattuali di cui all'articolo 46, paragrafo 3, lettera a); |
| i) | autorizzare gli accordi amministrativi di cui all'articolo 46, paragrafo 3, lettera b); |
| j) | approvare le norme vincolanti d' impresa ai sensi dell'articolo 47. |
4. L'esercizio da parte di un' autorità_di_controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie adeguate, inclusi il ricorso giurisdizionale effettivo e il giusto processo, previste dal diritto dell'Unione e degli Stati membri conformemente alla Carta.
5. Ogni Stato membro dispone per legge che la sua autorità_di_controllo abbia il potere di intentare un'azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso.
6. Ogni Stato membro può prevedere per legge che la sua autorità_di_controllo abbia ulteriori poteri rispetto a quelli di cui ai paragrafi 1, 2 e 3. L'esercizio di tali poteri non pregiudica l'operatività effettiva del capo VII.
Articolo 64
Parere del comitato europeo per la protezione dei dati
1. Il comitato emette un parere ove un' autorità_di_controllo competente intenda adottare una delle misure in appresso. A tal fine, l' autorità_di_controllo competente comunica il progetto di decisione al comitato, quando la decisione:
| a) | è finalizzata a stabilire un elenco di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35, paragrafo 4; |
| b) | riguarda una questione di cui all'articolo 40, paragrafo 7, relativa alla conformità al presente regolamento di un progetto di codice di condotta o una modifica o proroga di un codice di condotta; |
| c) | è finalizzata ad approvare i criteri per l'accreditamento di un organismo ai sensi dell'articolo 41, paragrafo 3, o di un organismo di certificazione ai sensi dell'articolo 43, paragrafo 3; |
| d) | è finalizzata a determinare clausole tipo di protezione dei dati di cui all'articolo 46, paragrafo 2, lettera d), e all'articolo 28, paragrafo 8; |
| e) | è finalizzata ad autorizzare clausole contrattuali di cui all'articolo 46, paragrafo 3, lettera a); oppure |
| f) | è finalizzata ad approvare norme vincolanti d' impresa ai sensi dell'articolo 47. |
2. Qualsiasi autorità_di_controllo, il presidente del comitato o la Commissione può richiedere che le questioni di applicazione generale o che producono effetti in più di uno Stato membro siano esaminate dal comitato al fine di ottenere un parere, in particolare se un' autorità_di_controllo competente non si conforma agli obblighi relativi all'assistenza reciproca ai sensi dell'articolo 61 o alle operazioni congiunte ai sensi dell'articolo 62.
3. Nei casi di cui ai paragrafi 1 e 2, il comitato emette un parere sulla questione che gli è stata presentata, purché non abbia già emesso un parere sulla medesima questione. Tale parere è adottato entro un termine di otto settimane a maggioranza semplice dei membri del comitato. Tale termine può essere prorogato di sei settimane, tenendo conto della complessità della questione. Per quanto riguarda il progetto di decisione di cui al paragrafo 1 trasmesso ai membri del comitato conformemente al paragrafo 5, il membro che non abbia sollevato obiezioni entro un termine ragionevole indicato dal presidente è considerato assentire al progetto di decisione.
4. Senza ingiustificato ritardo, le autorità_di_controllo e la Commissione comunicano per via elettronica, usando un modulo standard, al comitato tutte le informazioni utili, in particolare, a seconda del caso, una sintesi dei fatti, il progetto di decisione, i motivi che rendono necessaria l'attuazione di tale misura e i pareri delle altre autorità_di_controllo interessate.
5. Il presidente del comitato informa, senza ingiustificato ritardo, con mezzi elettronici:
| a) | i membri del comitato e la Commissione di tutte le informazioni utili che sono state comunicate al comitato con modulo standard. Se necessario, il segretariato del comitato fornisce una traduzione delle informazioni utili; e |
| b) | l' autorità_di_controllo di cui, secondo i casi, ai paragrafi 1 e 2, e la Commissione in merito al parere, che rende pubblico. |
6. L' autorità_di_controllo competente si astiene dall'adottare il suo progetto di decisione di cui al paragrafo 1 entro il termine di cui al paragrafo 3.
7. L' autorità_di_controllo di cui al paragrafo 1 tiene nella massima considerazione il parere del comitato e, entro due settimane dal ricevimento del parere, comunica per via elettronica, usando un modulo standard, al presidente del comitato se intende mantenere o modificare il progetto di decisione e, se del caso, il progetto di decisione modificato.
8. Se entro il termine di cui al paragrafo 7 del presente articolo l' autorità_di_controllo interessata informa il presidente del comitato, fornendo le pertinenti motivazioni, che non intende conformarsi al parere del comitato, in tutto o in parte, si applica l'articolo 65, paragrafo 1.
whereas
dal 2004 diritto e informatica