interactive GDPR 2016/0679 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Articolo 13 Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato
- 1 Articolo 14 Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato
- 3 Articolo 15 Diritto di accesso dell'interessato
- 2 Articolo 16 Diritto di rettifica
- 1 Articolo 17 Diritto alla cancellazione («diritto all'oblio»)
- 1 Articolo 18 Diritto di limitazione di trattamento
- 1 Articolo 20 Diritto alla portabilità dei dati
- 1 Articolo 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
- 1 Articolo 33 Notifica di una violazione dei dati personali all'autorità di controllo
- 1 Articolo 47 Norme vincolanti d'impresa
- 2 Articolo 58 Poteri
- 2 Articolo 60 Cooperazione tra l'autorità di controllo capofila e le altre autorità di controllo interessate
- 1 Articolo 64 Parere del comitato europeo per la protezione dei dati
- 1 Articolo 80 Rappresentanza degli interessati
- 2 Articolo 82 Diritto al risarcimento e responsabilità
- dato personale
- trattamento
- limitazione di trattamento
- profilazione
- pseudonimizzazione
- archivio
- titolare del trattamento
- responsabile del trattamento
- destinatario
- terzo
- consenso dell'interessato
- violazione dei dati personali
- dati genetici
- dati biometrici
- dati relativi alla salute
- stabilimento principale
- rappresentante
- impresa
- gruppo imprenditoriale
- norme vincolanti d'impresa
- autorità di controllo
- autorità di controllo interessata
- trattamento transfrontaliero
- obiezione pertinente e motivata
- servizio della società dell'informazione
- organizzazione internazionale
- trattamento 175
- dati 100
- titolare 74
- autorità_di_controllo 65
- personali 64
- interessato 62
- diritto 59
- informazioni 31
- responsabile 31
- decisione 27
- presente 22
- sensi 21
- membro 21
- ottenere 21
- stati 19
- caso 19
- l 18
- comitato 18
- protezione 17
- diritti 17
- paragrafo 16
- articolo 16
- misure 15
- capofila 15
- interessate 15
- oppure 15
- norma 14
- norme 14
- progetto 14
- vincolanti 14
- impresa 14
- questione 14
- reclamo 13
- parere 13
- lettera 13
- conformemente 12
- membri 12
- finalità 12
- qualora 11
- regolamento 11
- esistenza 11
- limitazione 11
- il 11
- paragrafi 10
- unione 10
- esercizio 10
- termine 10
- notifica 10
- pubblico 10
- competente 10
Articolo 13
Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato
1. In caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del trattamento fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
| a) | l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; |
| b) | i dati di contatto del responsabile della protezione dei dati, ove applicabile; |
| c) | le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; |
| d) | qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi; |
| e) | gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; |
| f) | ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un' organizzazione_internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili. |
2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
| a) | il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; |
| b) | l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; |
| c) | qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; |
| d) | il diritto di proporre reclamo a un' autorità_di_controllo; |
| e) | se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; |
| f) | l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato. |
3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.
4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l'interessato dispone già delle informazioni.
Articolo 14
Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato
1. Qualora i dati non siano stati ottenuti presso l'interessato, il titolare del trattamento fornisce all'interessato le seguenti informazioni:
| a) | l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; |
| b) | i dati di contatto del responsabile della protezione dei dati, ove applicabile; |
| c) | le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; |
| d) | le categorie di dati personali in questione; |
| e) | gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; |
| f) | ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un' organizzazione_internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili. |
2. Oltre alle informazioni di cui al paragrafo 1, il titolare del trattamento fornisce all'interessato le seguenti informazioni necessarie per garantire un trattamento corretto e trasparente nei confronti dell'interessato:
| a) | il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; |
| b) | qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi; |
| c) | l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; |
| d) | qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca; |
| e) | il diritto di proporre reclamo a un' autorità_di_controllo; |
| f) | la fonte da cui hanno origine i dati personali e, se del caso, l'eventualità che i dati provengano da fonti accessibili al pubblico; |
| g) | l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato. |
3. Il titolare del trattamento fornisce le informazioni di cui ai paragrafi 1 e 2:
| a) | entro un termine ragionevole dall'ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati; |
| b) | nel caso in cui i dati personali siano destinati alla comunicazione con l'interessato, al più tardi al momento della prima comunicazione all'interessato; oppure |
| c) | nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali. |
4. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni informazione pertinente di cui al paragrafo 2.
5. I paragrafi da 1 a 4 non si applicano se e nella misura in cui:
| a) | l'interessato dispone già delle informazioni; |
| b) | comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all'articolo 89, paragrafo 1, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni; |
| c) | l'ottenimento o la comunicazione sono espressamente previsti dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell'interessato; oppure |
| d) | qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell'Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge. |
Articolo 15
Diritto di accesso dell'interessato
1. L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:
| a) | le finalità del trattamento; |
| b) | le categorie di dati personali in questione; |
| c) | i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; |
| d) | quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; |
| e) | l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; |
| f) | il diritto di proporre reclamo a un' autorità_di_controllo; |
| g) | qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine; |
| h) | l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato. |
2. Qualora i dati personali siano trasferiti a un paese terzo o a un' organizzazione_internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate ai sensi dell'articolo 46 relative al trasferimento.
3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l'interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell'interessato, le informazioni sono fornite in un formato elettronico di uso comune.
4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.
Articolo 16
Diritto di rettifica
L'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Articolo 17
Diritto alla cancellazione («diritto all'oblio»)
1. L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
| a) | i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; |
| b) | l'interessato revoca il consenso su cui si basa il trattamento conformemente all'articolo 6, paragrafo 1, lettera a), o all'articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento; |
| c) | l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2; |
| d) | i dati personali sono stati trattati illecitamente; |
| e) | i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento; |
| f) | i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione di cui all'articolo 8, paragrafo 1. |
2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:
| a) | per l'esercizio del diritto alla libertà di espressione e di informazione; |
| b) | per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento; |
| c) | per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell'articolo 9, paragrafo 2, lettere h) e i), e dell'articolo 9, paragrafo 3; |
| d) | a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all'articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o |
| e) | per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. |
Articolo 18
Diritto di limitazione di trattamento
1. L'interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
| a) | l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali; |
| b) | il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo; |
| c) | benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria; |
| d) | l'interessato si è opposto al trattamento ai sensi dell'articolo 21, paragrafo 1, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato. |
2. Se il trattamento è limitato a norma del paragrafo 1, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso_dell'interessato o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un'altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell'Unione o di uno Stato membro.
3. L'interessato che ha ottenuto la limitazione del trattamento a norma del paragrafo 1 è informato dal titolare del trattamento prima che detta limitazione sia revocata.
Articolo 20
Diritto alla portabilità dei dati
1. L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:
| a) | il trattamento si basi sul consenso ai sensi dell'articolo 6, paragrafo 1, lettera a), o dell'articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell'articolo 6, paragrafo 1, lettera b); e |
| b) | il trattamento sia effettuato con mezzi automatizzati. |
2. Nell'esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l'interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all'altro, se tecnicamente fattibile.
3. L'esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l'articolo 17. Tale diritto non si applica al trattamento necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.
4. Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà altrui.
Articolo 22
Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
1. L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
2. Il paragrafo 1 non si applica nel caso in cui la decisione:
| a) | sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento; |
| b) | sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato; |
| c) | si basi sul consenso esplicito dell'interessato. |
3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, a meno che non sia d'applicazione l'articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato.
Articolo 33
Notifica di una violazione_dei_dati_personali all' autorità_di_controllo
1. In caso di violazione_dei_dati_personali, il titolare del trattamento notifica la violazione all' autorità_di_controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione_dei_dati_personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all' autorità_di_controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
3. La notifica di cui al paragrafo 1 deve almeno:
| a) | descrivere la natura della violazione_dei_dati_personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; |
| b) | comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; |
| c) | descrivere le probabili conseguenze della violazione_dei_dati_personali; |
| d) | descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione_dei_dati_personali e anche, se del caso, per attenuarne i possibili effetti negativi. |
4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
5. Il titolare del trattamento documenta qualsiasi violazione_dei_dati_personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all' autorità_di_controllo di verificare il rispetto del presente articolo.
Articolo 47
Norme vincolanti d' impresa
1. L' autorità_di_controllo competente approva le norme vincolanti d' impresa in conformità del meccanismo di coerenza di cui all'articolo 63, a condizione che queste:
| a) | siano giuridicamente vincolanti e si applichino a tutti i membri interessati del gruppo_imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune, compresi i loro dipendenti; |
| b) | conferiscano espressamente agli interessati diritti azionabili in relazione al trattamento dei loro dati personali; e |
| c) | soddisfino i requisiti di cui al paragrafo 2. |
2. Le norme vincolanti d' impresa di cui al paragrafo 1 specificano almeno:
| a) | la struttura e le coordinate di contatto del gruppo_imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune e di ciascuno dei suoi membri; |
| b) | i trasferimenti o il complesso di trasferimenti di dati, in particolare le categorie di dati personali, il tipo di trattamento e relative finalità, il tipo di interessati cui si riferiscono i dati e l'identificazione del paese terzo o dei paesi terzi in questione; |
| c) | la loro natura giuridicamente vincolante, a livello sia interno che esterno; |
| d) | l'applicazione dei principi generali di protezione dei dati, in particolare in relazione alla limitazione della finalità, alla minimizzazione dei dati, alla limitazione del periodo di conservazione, alla qualità dei dati, alla protezione fin dalla progettazione e alla protezione per impostazione predefinita, alla base giuridica del trattamento e al trattamento di categorie particolari di dati personali, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organismi che non sono vincolati dalle norme vincolanti d' impresa; |
| e) | i diritti dell'interessato in relazione al trattamento e i mezzi per esercitarli, compresi il diritto di non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione ai sensi dell'articolo 22, il diritto di proporre reclamo all' autorità_di_controllo competente e di ricorrere alle autorità giurisdizionali competenti degli Stati membri conformemente all'articolo 79, e il diritto di ottenere riparazione e, se del caso, il risarcimento per violazione delle norme vincolanti d' impresa; |
| f) | il fatto che il titolare del trattamento o il responsabile del trattamento stabilito nel territorio di uno Stato membro si assume la responsabilità per qualunque violazione delle norme vincolanti d' impresa commesse da un membro interessato non stabilito nell'Unione; il titolare del trattamento o il responsabile del trattamento può essere esonerato in tutto o in parte da tale responsabilità solo se dimostra che l'evento dannoso non è imputabile al membro in questione; |
| g) | le modalità in base alle quali sono fornite all'interessato le informazioni sulle norme vincolanti d' impresa, in particolare sulle disposizioni di cui alle lettere d), e) e f), in aggiunta alle informazioni di cui agli articoli 13 e 14; |
| h) | i compiti di qualunque responsabile della protezione dei dati designato ai sensi dell'articolo 35 o di ogni altra persona o entità incaricata del controllo del rispetto delle norme vincolanti d' impresa all'interno del gruppo_imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune e il controllo della formazione e della gestione dei reclami; |
| i) | le procedure di reclamo; |
| j) | i meccanismi all'interno del gruppo_imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune per garantire la verifica della conformità alle norme vincolanti d' impresa. Tali meccanismi comprendono verifiche sulla protezione dei dati e metodi per assicurare provvedimenti correttivi intesi a proteggere i diritti dell'interessato. I risultati di tale verifica dovrebbero essere comunicati alla persona o entità di cui alla lettera h) e all'organo amministrativo dell' impresa controllante del gruppo_imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune e dovrebbero essere disponibili su richiesta all' autorità_di_controllo competente; |
| k) | i meccanismi per riferire e registrare le modifiche delle norme e comunicarle all' autorità_di_controllo; |
| l) | il meccanismo di cooperazione con l' autorità_di_controllo per garantire la conformità da parte di ogni membro del gruppo_imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune, in particolare la messa a disposizione dell' autorità_di_controllo dei risultati delle verifiche delle misure di cui alla lettera j); |
| m) | i meccanismi per segnalare all' autorità_di_controllo competente ogni requisito di legge cui è soggetto un membro del gruppo_imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune in un paese terzo che potrebbe avere effetti negativi sostanziali sulle garanzie fornite dalle norme vincolanti d' impresa; e |
| n) | l'appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali. |
3. La Commissione può specificare il formato e le procedure per lo scambio di informazioni tra titolari del trattamento, responsabili del trattamento e autorità_di_controllo in merito alle norme vincolanti d' impresa ai sensi del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.
Articolo 58
Poteri
1. Ogni autorità_di_controllo ha tutti i poteri di indagine seguenti:
| a) | ingiungere al titolare del trattamento e al responsabile del trattamento e, ove applicabile, al rappresentante del titolare del trattamento o del responsabile del trattamento, di fornirle ogni informazione di cui necessiti per l'esecuzione dei suoi compiti; |
| b) | condurre indagini sotto forma di attività di revisione sulla protezione dei dati; |
| c) | effettuare un riesame delle certificazioni rilasciate in conformità dell'articolo 42, paragrafo 7; |
| d) | notificare al titolare del trattamento o al responsabile del trattamento le presunte violazioni del presente regolamento; |
| e) | ottenere, dal titolare del trattamento o dal responsabile del trattamento, l'accesso a tutti i dati personali e a tutte le informazioni necessarie per l'esecuzione dei suoi compiti; e |
| f) | ottenere accesso a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell'Unione o il diritto processuale degli Stati membri. |
2. Ogni autorità_di_controllo ha tutti i poteri correttivi seguenti:
| a) | rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento; |
| b) | rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento; |
| c) | ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell'interessato di esercitare i diritti loro derivanti dal presente regolamento; |
| d) | ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine; |
| e) | ingiungere al titolare del trattamento di comunicare all'interessato una violazione_dei_dati_personali; |
| f) | imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento; |
| g) | ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell'articolo 17, paragrafo 2, e dell'articolo 19; |
| h) | revocare la certificazione o ingiungere all'organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all'organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti; |
| i) | infliggere una sanzione amministrativa pecuniaria ai sensi dell'articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; e |
| j) | ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un' organizzazione_internazionale. |
3. Ogni autorità_di_controllo ha tutti i poteri autorizzativi e consultivi seguenti:
| a) | fornire consulenza al titolare del trattamento, secondo la procedura di consultazione preventiva di cui all'articolo 36; |
| b) | rilasciare, di propria iniziativa o su richiesta, pareri destinati al parlamento nazionale, al governo dello Stato membro, oppure, conformemente al diritto degli Stati membri, ad altri organismi e istituzioni e al pubblico su questioni riguardanti la protezione dei dati personali; |
| c) | autorizzare il trattamento di cui all'articolo 36, paragrafo 5, se il diritto dello Stato membro richiede una siffatta autorizzazione preliminare; |
| d) | rilasciare un parere sui progetti di codici di condotta e approvarli, ai sensi dell'articolo 40, paragrafo 5; |
| e) | accreditare gli organismi di certificazione a norma dell'articolo 43; |
| f) | rilasciare certificazioni e approvare i criteri di certificazione conformemente all'articolo 42, paragrafo 5; |
| g) | adottare le clausole tipo di protezione dei dati di cui all'articolo 28, paragrafo 8, e all'articolo 46, paragrafo 2, lettera d); |
| h) | autorizzare le clausole contrattuali di cui all'articolo 46, paragrafo 3, lettera a); |
| i) | autorizzare gli accordi amministrativi di cui all'articolo 46, paragrafo 3, lettera b); |
| j) | approvare le norme vincolanti d' impresa ai sensi dell'articolo 47. |
4. L'esercizio da parte di un' autorità_di_controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie adeguate, inclusi il ricorso giurisdizionale effettivo e il giusto processo, previste dal diritto dell'Unione e degli Stati membri conformemente alla Carta.
5. Ogni Stato membro dispone per legge che la sua autorità_di_controllo abbia il potere di intentare un'azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso.
6. Ogni Stato membro può prevedere per legge che la sua autorità_di_controllo abbia ulteriori poteri rispetto a quelli di cui ai paragrafi 1, 2 e 3. L'esercizio di tali poteri non pregiudica l'operatività effettiva del capo VII.
Articolo 60
Cooperazione tra l' autorità_di_controllo capofila e le altre autorità_di_controllo interessate
1. L' autorità_di_controllo capofila coopera con le altre autorità_di_controllo interessate conformemente al presente articolo nell'impegno per raggiungere un consenso. L' autorità_di_controllo capofila e le autorità_di_controllo interessate si scambiano tutte le informazioni utili.
2. L' autorità_di_controllo capofila può chiedere in qualunque momento alle altre autorità_di_controllo interessate di fornire assistenza reciproca a norma dell'articolo 61 e può condurre operazioni congiunte a norma dell'articolo 62, in particolare per lo svolgimento di indagini o il controllo dell'attuazione di una misura riguardante un titolare del trattamento o responsabile del trattamento stabilito in un altro Stato membro.
3. L' autorità_di_controllo capofila comunica senza indugio le informazioni utili sulla questione alle altre autorità_di_controllo interessate. Trasmette senza indugio alle altre autorità_di_controllo interessate un progetto di decisione per ottenere il loro parere e tiene debitamente conto delle loro opinioni.
4. Se una delle altre autorità_di_controllo interessate solleva un' obiezione_pertinente_e_motivata al progetto di decisione entro un termine di quattro settimane dopo essere stata consultata conformemente al paragrafo 3 del presente articolo, l' autorità_di_controllo capofila, ove non dia seguito all' obiezione_pertinente_e_motivata o ritenga l'obiezione non pertinente o non motivata, sottopone la questione al meccanismo di coerenza di cui all'articolo 63.
5. L' autorità_di_controllo capofila, qualora intenda dare seguito all' obiezione_pertinente_e_motivata sollevata, trasmette un progetto di decisione riveduto alle altre autorità_di_controllo interessate per ottenere il loro parere. Tale progetto di decisione riveduto è soggetto alla procedura di cui al paragrafo 4 entro un termine di due settimane.
6. Se nessuna delle altre autorità_di_controllo interessate ha sollevato obiezioni al progetto di decisione trasmesso dall' autorità_di_controllo capofila entro il termine di cui ai paragrafi 4 e 5, si deve considerare che l' autorità_di_controllo capofila e le autorità_di_controllo interessate concordano su tale progetto di decisione e sono da esso vincolate.
7. L' autorità_di_controllo capofila adotta la decisione e la notifica allo stabilimento_principale o allo stabilimento unico del titolare del trattamento o responsabile del trattamento, a seconda dei casi, e informa le altre autorità_di_controllo interessate e il comitato la decisione in questione, compresa una sintesi dei fatti e delle motivazioni pertinenti. L' autorità_di_controllo cui è stato proposto un reclamo informa il reclamante riguardo alla decisione.
8. In deroga al paragrafo 7, in caso di archiviazione o di rigetto di un reclamo, l' autorità_di_controllo cui è stato proposto il reclamo adotta la decisione e la notifica al reclamante e ne informa il titolare del trattamento.
9. Se l' autorità_di_controllo capofila e le autorità_di_controllo interessate convengono di archiviare o rigettare parti di un reclamo e di intervenire su altre parti di tale reclamo, è adottata una decisione separata per ciascuna di tali parti della questione. L' autorità_di_controllo capofila adotta la decisione per la parte riguardante azioni in relazione al titolare del trattamento e la notifica allo stabilimento_principale o allo stabilimento unico del responsabile del trattamento o del responsabile del trattamento sul territorio del suo Stato membro e ne informa il reclamante, mentre l' autorità_di_controllo del reclamante adotta la decisione per la parte riguardante l'archiviazione o il rigetto di detto reclamo, la notifica a detto reclamante e ne informa il titolare del trattamento o il responsabile del trattamento.
10. Dopo aver ricevuto la notifica della decisione dell' autorità_di_controllo capofila a norma dei paragrafi 7 e 9, il titolare del trattamento o responsabile del trattamento adotta le misure necessarie per garantire la conformità alla decisione per quanto riguarda le attività di trattamento nel contesto di tutti i suoi stabilimenti nell'Unione. Il titolare del trattamento o responsabile del trattamento notifica le misure adottate per conformarsi alla decisione all' autorità_di_controllo capofila, che ne informa le altre autorità_di_controllo interessate.
11. Qualora, in circostanze eccezionali, un' autorità_di_controllo interessata abbia motivo di ritenere che urga intervenire per tutelare gli interessi degli interessati, si applica la procedura d'urgenza di cui all'articolo 66.
12. L' autorità_di_controllo capofila e le altre autorità_di_controllo interessate si scambiano reciprocamente con mezzi elettronici, usando un modulo standard, le informazioni richieste a norma del presente articolo.
Articolo 64
Parere del comitato europeo per la protezione dei dati
1. Il comitato emette un parere ove un' autorità_di_controllo competente intenda adottare una delle misure in appresso. A tal fine, l' autorità_di_controllo competente comunica il progetto di decisione al comitato, quando la decisione:
| a) | è finalizzata a stabilire un elenco di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35, paragrafo 4; |
| b) | riguarda una questione di cui all'articolo 40, paragrafo 7, relativa alla conformità al presente regolamento di un progetto di codice di condotta o una modifica o proroga di un codice di condotta; |
| c) | è finalizzata ad approvare i criteri per l'accreditamento di un organismo ai sensi dell'articolo 41, paragrafo 3, o di un organismo di certificazione ai sensi dell'articolo 43, paragrafo 3; |
| d) | è finalizzata a determinare clausole tipo di protezione dei dati di cui all'articolo 46, paragrafo 2, lettera d), e all'articolo 28, paragrafo 8; |
| e) | è finalizzata ad autorizzare clausole contrattuali di cui all'articolo 46, paragrafo 3, lettera a); oppure |
| f) | è finalizzata ad approvare norme vincolanti d' impresa ai sensi dell'articolo 47. |
2. Qualsiasi autorità_di_controllo, il presidente del comitato o la Commissione può richiedere che le questioni di applicazione generale o che producono effetti in più di uno Stato membro siano esaminate dal comitato al fine di ottenere un parere, in particolare se un' autorità_di_controllo competente non si conforma agli obblighi relativi all'assistenza reciproca ai sensi dell'articolo 61 o alle operazioni congiunte ai sensi dell'articolo 62.
3. Nei casi di cui ai paragrafi 1 e 2, il comitato emette un parere sulla questione che gli è stata presentata, purché non abbia già emesso un parere sulla medesima questione. Tale parere è adottato entro un termine di otto settimane a maggioranza semplice dei membri del comitato. Tale termine può essere prorogato di sei settimane, tenendo conto della complessità della questione. Per quanto riguarda il progetto di decisione di cui al paragrafo 1 trasmesso ai membri del comitato conformemente al paragrafo 5, il membro che non abbia sollevato obiezioni entro un termine ragionevole indicato dal presidente è considerato assentire al progetto di decisione.
4. Senza ingiustificato ritardo, le autorità_di_controllo e la Commissione comunicano per via elettronica, usando un modulo standard, al comitato tutte le informazioni utili, in particolare, a seconda del caso, una sintesi dei fatti, il progetto di decisione, i motivi che rendono necessaria l'attuazione di tale misura e i pareri delle altre autorità_di_controllo interessate.
5. Il presidente del comitato informa, senza ingiustificato ritardo, con mezzi elettronici:
| a) | i membri del comitato e la Commissione di tutte le informazioni utili che sono state comunicate al comitato con modulo standard. Se necessario, il segretariato del comitato fornisce una traduzione delle informazioni utili; e |
| b) | l' autorità_di_controllo di cui, secondo i casi, ai paragrafi 1 e 2, e la Commissione in merito al parere, che rende pubblico. |
6. L' autorità_di_controllo competente si astiene dall'adottare il suo progetto di decisione di cui al paragrafo 1 entro il termine di cui al paragrafo 3.
7. L' autorità_di_controllo di cui al paragrafo 1 tiene nella massima considerazione il parere del comitato e, entro due settimane dal ricevimento del parere, comunica per via elettronica, usando un modulo standard, al presidente del comitato se intende mantenere o modificare il progetto di decisione e, se del caso, il progetto di decisione modificato.
8. Se entro il termine di cui al paragrafo 7 del presente articolo l' autorità_di_controllo interessata informa il presidente del comitato, fornendo le pertinenti motivazioni, che non intende conformarsi al parere del comitato, in tutto o in parte, si applica l'articolo 65, paragrafo 1.
Articolo 80
Rappresentanza degli interessati
1. L'interessato ha il diritto di dare mandato a un organismo, un'organizzazione o un'associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all'articolo 82.
2. Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall'interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all' autorità_di_controllo competente, e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento.
Articolo 82
Diritto al risarcimento e responsabilità
1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l'evento dannoso non gli è in alcun modo imputabile.
4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell'eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato.
5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l'intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
6. Le azioni legali per l'esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all'articolo 79, paragrafo 2.
whereas
dal 2004 diritto e informatica