Le considerazioni
Estratto dal libro di Bruno DUMAY: GDPR DECRYPTION – Per manager, dipartimenti strategici e dipendenti di aziende e organizzazioni – Prefazione di Gaëlle MONTEILLER
Non potevamo lasciarvi sfuggire i considerando, almeno quelli principali che hanno motivato il GDPR. Essi costituiscono la filosofia ripristinata nel regolamento finale e nella direttiva, decifrano e armonizzano in un unico prisma tutte le considerazioni di ciascuna legislazione degli Stati membri in materia di protezione dei dati. Incarnano la diversità europea formando un corpus unico. Illuminano la nostra comprensione e danno significato, testimoniano il fatto che qualcosa di profondo sta accadendo, certamente e a prima vista, in risposta ai GAFA, Google, Apple, Facebook, Amazon, Deezer, Instagram, Snapchat e altri, che hanno saccheggiato i nostri comportamenti, i nostri desideri e le nostre aspirazioni... Attori la cui unica preoccupazione per noi è il nostro portafoglio!
Mi è sembrato essenziale fornirvi le principali considerazioni e/o i passaggi più importanti. Se desiderate approfondire, ancora una volta il sito web della CNIL è particolarmente completo e vi invito a visitarlo...
(Considerando 1) La protezione delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale. … prevede che ogni persona abbia diritto alla protezione dei dati personali che la riguardano.
(Considerando 2) I principi e le norme che disciplinano la protezione delle persone fisiche con riguardo al trattamento dei dati personali che le riguardano dovrebbero, a prescindere dalla nazionalità o dalla residenza di tali persone fisiche, rispettare i loro diritti e libertà fondamentali, in particolare il diritto alla protezione dei dati personali. … contribuire alla creazione di uno spazio di libertà, sicurezza e giustizia e di un'unione economica, al progresso economico e sociale, al consolidamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche.
(Considerando 3) … Il Consiglio mira ad armonizzare la tutela dei diritti e delle libertà fondamentali delle persone fisiche con riguardo alle attività di trattamento e a garantire la libera circolazione dei dati personali tra gli Stati membri.
(Considerando 4) Il trattamento dei dati personali dovrebbe essere concepito al servizio dell'umanità. Il diritto alla protezione dei dati personali non è un diritto assoluto; deve essere considerato in relazione alla sua funzione nella società e bilanciato con altri diritti fondamentali, conformemente al principio di proporzionalità. ...rispetto della vita privata e familiare, del domicilio e delle comunicazioni, protezione dei dati personali, libertà di pensiero, di coscienza e di religione, libertà di espressione e di informazione, libertà d'impresa, diritto a un ricorso effettivo e a un giudice imparziale, e diversità culturale, religiosa e linguistica.
(Considerando 6) I rapidi sviluppi tecnologici e la globalizzazione hanno creato nuove sfide per la protezione dei dati personali. La portata della raccolta e della condivisione dei dati personali è aumentata in modo significativo. La tecnologia consente sia alle aziende private che alle autorità pubbliche di utilizzare i dati personali nelle loro attività commerciali come mai prima d'ora. Gli individui rendono sempre più accessibili al pubblico e a livello globale le informazioni che li riguardano. La tecnologia ha trasformato le relazioni economiche e sociali e dovrebbe facilitare ulteriormente la libera circolazione dei dati personali all'interno dell'Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al contempo un elevato livello di protezione dei dati personali.
(Considerando 7) …è importante costruire la fiducia che permetterà all'economia digitale di prosperare in tutto il mercato interno. Gli individui dovrebbero avere il controllo sui propri dati personali. …
(Considerando 9) … la frammentazione dell'attuazione della protezione dei dati nell'Unione, l'incertezza giuridica o la diffusa percezione da parte dell'opinione pubblica che permangano rischi significativi per la protezione delle persone fisiche, in particolare in relazione all'ambiente online. Le differenze nel livello di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento dei dati personali negli Stati membri possono impedire la libera circolazione di tali dati in tutta l'Unione. Tali differenze possono pertanto costituire un ostacolo all'esercizio di attività economiche a livello dell'Unione, falsare la concorrenza e impedire alle autorità di adempiere ai propri obblighi ai sensi del diritto dell'Unione. …
(Considerando 10) Al fine di garantire un livello coerente ed elevato di protezione delle persone fisiche e di rimuovere gli ostacoli alla circolazione dei dati personali all'interno dell'Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È pertanto opportuno garantire un'applicazione coerente e uniforme delle norme a tutela dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l'Unione.
(Considerando 11) Un'efficace protezione dei dati personali in tutta l'Unione richiede il rafforzamento e la chiarificazione dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché la previsione, negli Stati membri, di poteri equivalenti di vigilanza e controllo del rispetto delle norme sulla protezione dei dati personali e di sanzioni equivalenti per le violazioni.
(Considerando 13)
Al fine di garantire un livello uniforme di protezione delle persone fisiche in tutta l'Unione ed evitare divergenze che ostacolino la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese, garantisca alle persone fisiche in tutti gli Stati membri lo stesso livello di diritti esecutivi, obblighi e responsabilità per i titolari del trattamento e i responsabili del trattamento e garantisca un controllo coerente del trattamento dei dati personali e sanzioni equivalenti in tutti gli Stati membri, nonché un'efficace cooperazione tra le autorità di controllo dei diversi Stati membri. Affinché il mercato interno funzioni correttamente, è necessario che la libera circolazione dei dati personali all'interno dell'Unione non sia limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
(Considerando 14) La protezione garantita dal presente regolamento dovrebbe applicarsi alle persone fisiche, indipendentemente dalla loro nazionalità o dal loro luogo di residenza, con riguardo al trattamento dei loro dati personali. Il presente regolamento non riguarda il trattamento dei dati personali relativi alle persone giuridiche, …
(Considerando 17) Il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio si applica al trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell'Unione. …
(Considerando 19) La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, nonché la libera circolazione di tali dati, è oggetto di uno specifico atto giuridico dell'Unione. …
(Considerando 22) Qualsiasi trattamento di dati personali effettuato nel contesto delle attività di uno stabilimento di un titolare del trattamento o di un responsabile del trattamento nel territorio dell'Unione dovrebbe essere effettuato conformemente al presente regolamento, indipendentemente dal fatto che il trattamento stesso avvenga o meno nell'Unione. Lo stabilimento presuppone l'esercizio effettivo e reale di un'attività mediante un'organizzazione stabile. …
(Considerando 23) Al fine di garantire che una persona fisica non sia esclusa dalla protezione cui ha diritto ai sensi del presente regolamento, il trattamento di dati personali relativi a interessati che si trovano nell'Unione da parte di un titolare del trattamento o di un responsabile del trattamento non stabilito nell'Unione dovrebbe essere soggetto al presente regolamento quando le attività di trattamento sono connesse all'offerta di beni o servizi a tali interessati, indipendentemente dal fatto che sia richiesto o meno un pagamento. Per determinare se tale titolare del trattamento o responsabile del trattamento offra beni o servizi a interessati che si trovano nell'Unione, è opportuno stabilire se sia chiaro che il titolare del trattamento o il responsabile del trattamento intenda offrire servizi a interessati in uno o più Stati membri dell'Unione.
(Considerando 24) Il trattamento dei dati personali di interessati che si trovano nell'Unione da parte di un titolare del trattamento o di un responsabile del trattamento non stabilito nell'Unione dovrebbe anch'esso essere soggetto al presente regolamento, qualora tale trattamento sia correlato al monitoraggio del comportamento di tali interessati, nella misura in cui riguarda il loro comportamento all'interno dell'Unione. Per determinare se un'attività di trattamento possa essere considerata un monitoraggio del comportamento degli interessati, è opportuno accertare se le persone fisiche siano tracciate su Internet, il che include l'eventuale successivo utilizzo di tecniche di trattamento dei dati personali che consistono nella profilazione di una persona fisica, in particolare per prendere decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e gli atteggiamenti.
(Considerando 25) Laddove si applichi il diritto di uno Stato membro in virtù del diritto internazionale pubblico, il presente regolamento dovrebbe applicarsi anche a un titolare del trattamento non stabilito nell'Unione, …
(Considerando 26) I principi di protezione dei dati dovrebbero applicarsi a qualsiasi informazione relativa a una persona fisica identificata o identificabile. I dati personali pseudonimizzati e che potrebbero essere attribuiti a una persona fisica mediante informazioni aggiuntive dovrebbero essere considerati informazioni relative a una persona fisica identificabile. Nel determinare se una persona fisica è identificabile, si dovrebbe tenere conto di tutti i mezzi che il titolare del trattamento può ragionevolmente utilizzare...
(Considerando 27) Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono stabilire norme relative al trattamento dei dati personali delle persone decedute.
(Considerando 28) La pseudonimizzazione dei dati personali può ridurre i rischi per gli interessati e aiutare i titolari del trattamento e i responsabili del trattamento ad adempiere ai propri obblighi in materia di protezione dei dati. L'introduzione esplicita della pseudonimizzazione nel presente regolamento non intende escludere altre misure di protezione dei dati.
(Considerando 29) Al fine di incoraggiare la pseudonimizzazione nel trattamento dei dati personali, le misure di pseudonimizzazione dovrebbero essere possibili all'interno dello stesso titolare del trattamento, consentendo al contempo un'analisi generale, laddove il titolare del trattamento abbia adottato le misure tecniche e organizzative necessarie per garantire, per il trattamento in questione, l'attuazione del presente regolamento e che le informazioni aggiuntive che consentono l'attribuzione dei dati personali a un interessato specifico siano conservate separatamente. Il titolare del trattamento dei dati personali dovrebbe indicare le persone autorizzate a tal fine all'interno dello stesso titolare del trattamento.
(Considerando 30) Gli individui possono essere associati, attraverso i dispositivi, le applicazioni, gli strumenti e i protocolli che utilizzano, a identificatori online come indirizzi IP e cookie o altri identificatori, ad esempio tag di identificazione a radiofrequenza. Questi identificatori possono lasciare tracce che, in particolare se combinate con identificatori univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili di individui e identificarli.
(Considerando 31) Le autorità pubbliche alle quali vengono comunicati dati personali in base a un obbligo legale per l'esercizio delle loro funzioni ufficiali, quali autorità fiscali e doganali, unità di indagine finanziaria, autorità amministrative indipendenti o autorità dei mercati finanziari responsabili della regolamentazione e della supervisione dei mercati dei valori mobiliari, non dovrebbero essere considerate destinatari se ricevono dati personali che sono necessari per svolgere una particolare indagine nell'interesse pubblico, …
(Considerando 32) Il consenso dovrebbe essere prestato mediante un'azione positiva inequivocabile con la quale l'interessato manifesta liberamente, in modo specifico, informato e inequivocabile, il proprio assenso al trattamento dei dati personali che lo riguardano, ad esempio mediante una dichiarazione scritta, anche elettronica, o orale. Ciò potrebbe avvenire, ad esempio, selezionando una casella quando si visita un sito web, optando per determinate impostazioni tecniche per i servizi della società dell'informazione o mediante un'ulteriore dichiarazione o comportamento che indichi chiaramente in tale contesto che l'interessato acconsente al trattamento proposto dei suoi dati personali. Non si può pertanto presumere che il consenso si basi sul silenzio, sulle spunte predefinite o sull'inattività. …
(Considerando 36) Lo stabilimento principale di un titolare del trattamento nell'Unione dovrebbe essere il luogo in cui ha sede la sua amministrazione centrale nell'Unione, a meno che le decisioni sulle finalità e sui mezzi del trattamento dei dati personali non siano adottate in un altro stabilimento del titolare del trattamento nell'Unione, nel qual caso tale altro stabilimento dovrebbe essere considerato lo stabilimento principale. Lo stabilimento principale di un titolare del trattamento nell'Unione dovrebbe essere determinato sulla base di criteri oggettivi e dovrebbe comportare l'effettivo e reale esercizio di attività di gestione che determinino le principali decisioni sulle finalità e sui mezzi del trattamento nell'ambito di un'organizzazione stabile.
(Considerando 37) Un gruppo imprenditoriale dovrebbe comprendere un'impresa controllante e le sue controllate, essendo la prima quella che può esercitare un'influenza dominante sulle altre imprese in virtù, ad esempio, della sua proprietà del capitale, della sua partecipazione finanziaria o delle norme che la disciplinano, o del potere di far rispettare le norme sulla protezione dei dati personali. Un'impresa che controlla il trattamento dei dati personali in imprese ad essa affiliate dovrebbe essere considerata come facente parte di un gruppo imprenditoriale con tali imprese.
(Considerando 38) I minori meritano una protezione specifica per quanto riguarda i loro dati personali, poiché potrebbero essere meno consapevoli dei rischi, delle conseguenze e delle garanzie in questione, nonché dei loro diritti connessi al trattamento dei dati personali. Tale protezione specifica dovrebbe applicarsi, in particolare, all'utilizzo dei dati personali relativi ai minori per finalità di marketing o per la creazione di profili di personalità o di utente, nonché alla raccolta di dati personali relativi ai minori quando si utilizzano servizi offerti direttamente a un minore. Il consenso del titolare della responsabilità genitoriale non dovrebbe essere richiesto nel contesto di servizi di prevenzione o di consulenza offerti direttamente a un minore.
(Considerando 39) Ogni trattamento di dati personali dovrebbe essere lecito e corretto. Il fatto che dati personali relativi a persone fisiche siano raccolti, utilizzati, consultati o altrimenti trattati e la misura in cui tali dati sono o saranno trattati dovrebbero essere trasparenti per le persone fisiche interessate. Il principio di trasparenza richiede che tutte le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili, comprensibili e formulate in un linguaggio semplice e chiaro. Tale principio si applica, in particolare, alle informazioni fornite agli interessati sull'identità del titolare del trattamento e sulle finalità del trattamento, nonché ad altre informazioni volte a garantire un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e al loro diritto di ottenere conferma e comunicazione circa l'esistenza o meno di un trattamento di dati personali che li riguardano. Le persone fisiche dovrebbero essere informate dei rischi, delle norme, delle garanzie e dei diritti connessi al trattamento dei dati personali e delle modalità per esercitare i propri diritti in relazione a tale trattamento.
(Considerando 40) Per essere lecito, il trattamento dei dati personali deve basarsi sul consenso dell'interessato o su qualsiasi altro fondamento legittimo previsto dalla legge, …
(Considerando 42) Quando il trattamento è basato sul consenso dell'interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l'interessato ha acconsentito all'operazione di trattamento. …
(Considerando 43) Per garantire che il consenso sia liberamente prestato, esso non dovrebbe costituire una valida base giuridica per il trattamento dei dati personali in un caso specifico in cui vi sia uno squilibrio manifesto tra l'interessato e il titolare del trattamento, in particolare quando il titolare del trattamento è un'autorità pubblica ed è improbabile che il consenso sia stato prestato liberamente in tutte le circostanze di quella particolare situazione. Si presume che il consenso non sia stato prestato liberamente se non è possibile prestare un consenso separato a diverse operazioni di trattamento dei dati personali, sebbene ciò sarebbe appropriato nel singolo caso, o se l'esecuzione di un contratto, inclusa la fornitura di un servizio, è subordinata al consenso, sebbene il consenso non sia necessario per tale esecuzione.
(Considerando 44) Il trattamento deve essere considerato lecito quando è necessario all'esecuzione di un contratto o all'intenzione di stipulare un contratto.
(Considerando 45) Quando il trattamento è effettuato in ottemperanza a un obbligo legale al quale è soggetto il titolare del trattamento o è necessario per l'esecuzione di un compito svolto nel pubblico interesse o nell'esercizio di pubblici poteri, il trattamento dovrebbe avere una base giuridica nel diritto dell'Unione o degli Stati membri. …
(Considerando 46) Il trattamento dei dati personali dovrebbe inoltre essere considerato lecito quando è necessario per tutelare un interesse essenziale per la vita dell'interessato o di un'altra persona fisica. Il trattamento dei dati personali basato sull'interesse vitale di un'altra persona fisica dovrebbe, in linea di principio, aver luogo solo quando il trattamento non può manifestamente basarsi su un'altra base giuridica.
(Considerando 47) Gli interessi legittimi di un titolare del trattamento, compresi quelli del titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica per il trattamento, a meno che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, tenuto conto delle ragionevoli aspettative degli interessati in base alla loro relazione con il titolare del trattamento. …
(Considerando 48) I titolari del trattamento che fanno parte di un gruppo di società o di stabilimenti affiliati a un organismo centrale possono avere un legittimo interesse a trasmettere dati personali all'interno del gruppo di società per scopi amministrativi interni, incluso il trattamento di dati personali relativi a clienti o dipendenti. …
(Considerando 49) Il trattamento dei dati personali nella misura strettamente necessaria e proporzionata al fine di garantire la sicurezza delle reti e dell'informazione, vale a dire la capacità di una rete o di un sistema informativo di resistere, a un dato livello di fiducia, a eventi accidentali o azioni illecite o dolose che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati personali conservati o trasmessi, nonché la sicurezza dei servizi correlati offerti o resi accessibili tramite tali reti e sistemi, da autorità pubbliche, Computer Emergency Response Team (CERT), Computer Security Incident Response Team (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza, costituisce un legittimo interesse del titolare del trattamento interessato. Ciò potrebbe includere, ad esempio, la prevenzione dell'accesso non autorizzato alle reti di comunicazione elettronica e la distribuzione di codice dannoso, nonché l'arresto di attacchi di "denial of service" e danni ai sistemi informatici e di comunicazione elettronica.
(Considerando 50) Il trattamento dei dati personali per finalità diverse da quelle per cui i dati personali sono stati originariamente raccolti dovrebbe essere consentito solo se compatibile con le finalità per cui i dati personali sono stati originariamente raccolti. …
Qualora l'interessato abbia espresso il consenso o il trattamento sia basato sul diritto dell'Unione o degli Stati membri che costituisce una misura necessaria e proporzionata in una società democratica per garantire, in particolare, importanti obiettivi di interesse pubblico generale, il titolare del trattamento dovrebbe essere autorizzato a effettuare un ulteriore trattamento dei dati personali indipendentemente dalla compatibilità delle finalità. …
(Considerando 51) I dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali meritano una protezione specifica, in quanto il contesto in cui vengono trattati potrebbe comportare rischi significativi per tali diritti e libertà. Tali dati personali dovrebbero includere i dati personali che rivelano l'origine razziale o etnica, fermo restando che l'uso del termine "origine razziale" nel presente regolamento non implica che l'Unione approvi teorie sull'esistenza di razze umane distinte.
(Considerando 52) Dovrebbero essere consentite deroghe al divieto di trattamento di categorie particolari di dati personali anche laddove il diritto dell'Unione o degli Stati membri lo preveda e fatte salve le garanzie appropriate, al fine di proteggere i dati personali e altri diritti fondamentali, ove l'interesse pubblico lo richieda, incluso il trattamento dei dati personali nel settore del diritto del lavoro e della protezione sociale, comprese le pensioni, e per finalità di sicurezza, sorveglianza sanitaria e di allerta, prevenzione o controllo delle malattie trasmissibili e di altre gravi minacce per la salute. …
(Considerando 53) Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate solo per finalità connesse alla salute, ove necessario per conseguire tali finalità nell'interesse delle persone e della società nel suo complesso, in particolare nel contesto della gestione dei servizi e dei sistemi sanitari o di assistenza sociale, compreso il trattamento di tali dati da parte delle autorità di gestione nazionali e delle autorità sanitarie centrali, a fini di controllo di qualità, informazione dei dirigenti e supervisione generale, a livello nazionale e locale, del sistema sanitario o di assistenza sociale e al fine di garantire la continuità dell'assistenza sanitaria o sociale e dell'assistenza sanitaria transfrontaliera o per finalità di sicurezza sanitaria, sorveglianza e allerta, o per finalità di archiviazione nel pubblico interesse, per finalità di ricerca scientifica o storica o per finalità statistiche, sulla base del diritto dell'Unione o degli Stati membri che deve perseguire un obiettivo di interesse pubblico, nonché per studi svolti nel pubblico interesse nel settore della sanità pubblica. …
(Considerando 54) Il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell'interessato. … Tale trattamento di dati relativi alla salute per motivi di interesse pubblico non dovrebbe comportare il trattamento di dati personali per altre finalità da parte di terzi, quali datori di lavoro, compagnie assicurative e banche.
(Considerando 56) Qualora, nel contesto di attività elettorali, il funzionamento del sistema democratico di uno Stato membro richieda ai partiti politici di raccogliere dati personali relativi alle opinioni politiche degli individui, il trattamento di tali dati può essere consentito per motivi di interesse pubblico, a condizione che siano fornite garanzie appropriate.
(Considerando 57) Se i dati personali trattati non consentono di identificare una persona fisica, il titolare del trattamento non dovrebbe essere tenuto a ottenere ulteriori informazioni per identificare l'interessato al solo scopo di conformarsi a una disposizione del presente regolamento. Tuttavia, il titolare del trattamento non dovrebbe rifiutare ulteriori informazioni fornite dall'interessato per agevolare l'esercizio dei suoi diritti. L'identificazione dovrebbe includere l'identificazione digitale di un interessato, ad esempio mediante un meccanismo di autenticazione come le stesse credenziali utilizzate dall'interessato per accedere al servizio online offerto dal titolare del trattamento.
(Considerando 58) Il principio di trasparenza richiede che qualsiasi informazione rivolta al pubblico o all'interessato sia concisa, facilmente accessibile e comprensibile, formulata in termini chiari e semplici e, inoltre, ove opportuno, illustrata con elementi visivi. Tali informazioni potrebbero essere fornite in formato elettronico, ad esempio tramite un sito web, se rivolte al pubblico. … Poiché i minori meritano una protezione specifica, tutte le informazioni e le comunicazioni, quando il trattamento li riguarda, dovrebbero essere redatte in termini chiari e semplici, facilmente comprensibili per il minore.
(Considerando 59) Dovrebbero essere predisposte modalità per agevolare l'esercizio da parte dell'interessato dei suoi diritti ai sensi del presente regolamento, compresi i mezzi per richiedere e, se del caso, ottenere gratuitamente, in particolare, l'accesso ai dati personali, la rettifica o la cancellazione degli stessi e l'esercizio del diritto di opposizione. Il titolare del trattamento dovrebbe inoltre fornire i mezzi per presentare le richieste per via elettronica, in particolare quando i dati personali sono trattati elettronicamente. Il titolare del trattamento dovrebbe essere tenuto a rispondere alle richieste dell'interessato senza ingiustificato ritardo e al più tardi entro un mese e a motivare la propria risposta qualora non intenda darvi seguito.
(Considerando 60) Il principio di trattamento equo e trasparente richiede che l'interessato sia informato dell'esistenza del trattamento e delle sue finalità. Il titolare del trattamento dovrebbe fornire all'interessato qualsiasi altra informazione necessaria a garantire un trattamento equo e trasparente, tenendo conto delle circostanze e del contesto specifici in cui i dati personali vengono trattati. Inoltre, l'interessato dovrebbe essere informato dell'esistenza della profilazione e delle relative conseguenze. Qualora i dati personali siano raccolti direttamente dall'interessato, è importante che quest'ultimo sappia anche se è obbligato a fornire i dati personali e quali sono le conseguenze della mancata comunicazione.
(Considerando 61) Le informazioni sul trattamento dei dati personali relativi all'interessato dovrebbero essergli fornite al momento della raccolta dei dati personali o, se i dati personali sono ottenuti da un'altra fonte, entro un termine ragionevole in base alle circostanze di ciascun caso. Qualora i dati personali possano essere legittimamente comunicati a un altro destinatario, l'interessato dovrebbe essere informato del momento in cui i dati personali sono stati comunicati per la prima volta a tale destinatario.
(Considerando 62) Tuttavia, non è necessario imporre un obbligo di informazione quando l'interessato dispone già di tali informazioni, quando la registrazione o la comunicazione dei dati personali è espressamente prevista dalla legge o quando la comunicazione delle informazioni all'interessato risulta impossibile o richiederebbe uno sforzo sproporzionato. …
(Considerando 63) L'interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che lo riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, al fine di essere consapevole del trattamento e verificarne la liceità. Ciò include il diritto degli interessati di accedere ai dati relativi alla propria salute, ad esempio ai dati delle proprie cartelle cliniche contenenti informazioni quali diagnosi, risultati di esami, pareri dei medici curanti e qualsiasi trattamento o intervento somministrato. Di conseguenza, ogni interessato dovrebbe avere il diritto di conoscere ed essere informato, in particolare, sulle finalità del trattamento dei dati personali, se possibile sulla durata del trattamento di tali dati personali, sull'identità dei destinatari di tali dati personali, sulla logica applicata a qualsiasi trattamento automatizzato e sulle possibili conseguenze di tale trattamento, almeno in caso di profilazione.
(Considerando 64) Il titolare del trattamento dovrebbe adottare tutte le misure ragionevoli per verificare l'identità dell'interessato che richiede l'accesso ai dati, in particolare nel contesto di servizi online e identificatori. Il titolare del trattamento non dovrebbe conservare i dati personali al solo scopo di poter rispondere a potenziali richieste.
(Considerando 65) Gli interessati dovrebbero avere il diritto di ottenere la rettifica dei dati personali che li riguardano e il "diritto all'oblio" qualora la conservazione di tali dati violi il presente regolamento o il diritto dell'Unione o degli Stati membri cui è soggetto il titolare del trattamento. In particolare, gli interessati dovrebbero avere il diritto di ottenere la cancellazione e la cessazione del trattamento dei propri dati personali qualora tali dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, qualora gli interessati abbiano revocato il consenso al trattamento o si siano opposti al trattamento dei dati personali che li riguardano, o qualora il trattamento dei loro dati personali sia altrimenti incompatibile con il presente regolamento. Tale diritto è rilevante, in particolare, qualora l'interessato abbia prestato il consenso quando era minorenne e non fosse pienamente consapevole dei rischi connessi al trattamento, e successivamente desideri che tali dati personali vengano cancellati, in particolare su Internet.
(Considerando 66) Al fine di rafforzare il "diritto all'oblio" digitale, è opportuno estendere anche il diritto alla cancellazione, in modo che il titolare del trattamento che ha reso pubblici dati personali sia tenuto a informare i titolari del trattamento che trattano tali dati personali che tutti i link, le copie o le riproduzioni di tali dati devono essere cancellati. …
(Considerando 67) I metodi per limitare il trattamento dei dati personali potrebbero includere, tra l'altro, lo spostamento temporaneo di dati selezionati in un altro sistema di elaborazione, la messa inaccessibile agli utenti di dati personali selezionati o la rimozione temporanea di dati pubblicati da un sito web. Negli archivi automatizzati, la limitazione del trattamento dovrebbe, in linea di principio, essere garantita con mezzi tecnici tali da impedire che i dati personali siano soggetti a ulteriori trattamenti e non possano essere modificati. La limitazione del trattamento dei dati personali dovrebbe essere chiaramente indicata nell'archivio.
(Considerando 68) Per rafforzare ulteriormente il controllo sui propri dati, gli interessati dovrebbero inoltre avere il diritto, qualora i dati personali siano trattati con mezzi automatizzati, di ricevere i dati personali che li riguardano, forniti a un titolare del trattamento, in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile, e di trasmettere tali dati a un altro titolare del trattamento. I titolari del trattamento dovrebbero essere incoraggiati a sviluppare formati interoperabili che consentano la portabilità dei dati.
(Considerando 69) Laddove i dati personali possano essere trattati lecitamente perché il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, o per i legittimi interessi del titolare del trattamento o di terzi, gli interessati dovrebbero comunque avere il diritto di opporsi al trattamento di qualsiasi dato personale relativo alla loro situazione particolare. L'onere di dimostrare che i propri legittimi interessi cogenti prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell'interessato dovrebbe spettare al titolare del trattamento.
(Considerando 70) Qualora i dati personali siano trattati per finalità di marketing diretto, l'interessato dovrebbe avere il diritto di opporsi in qualsiasi momento e gratuitamente a tale trattamento, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto, sia per il trattamento iniziale che per quello successivo. …
(Considerando 71) L'interessato dovrebbe avere il diritto di non essere sottoposto a una decisione, che può includere una misura, che implichi la valutazione di determinati aspetti personali che lo riguardano, basata esclusivamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona, come il rigetto automatico di una domanda di credito online o di pratiche di reclutamento online senza alcun intervento umano. Questo tipo di trattamento include la "profilazione", che consiste in qualsiasi forma di trattamento automatizzato di dati personali per valutare aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, o l'ubicazione e gli spostamenti dell'interessato, nella misura in cui produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
(Considerando 73) Limitazioni a determinati principi specifici, nonché al diritto all'informazione, al diritto di accesso ai dati personali, al diritto di rettifica o cancellazione di tali dati, al diritto alla portabilità dei dati, al diritto di opposizione, alle decisioni basate sulla profilazione, nonché alla comunicazione di una violazione dei dati personali a un interessato e a determinati obblighi correlati dei titolari del trattamento possono essere imposte dal diritto dell'Unione o degli Stati membri, …
(Considerando 74) È opportuno stabilire la responsabilità del titolare del trattamento per qualsiasi trattamento di dati personali effettuato da lui stesso o per suo conto. In particolare, è importante che il titolare del trattamento sia tenuto ad attuare misure adeguate ed efficaci e sia in grado di dimostrare la conformità delle attività di trattamento al presente regolamento, compresa l'efficacia di tali misure.
(Considerando 75) Rischi per i diritti e le libertà delle persone fisiche, la cui probabilità e gravità variano, possono derivare dal trattamento di dati personali che può comportare un danno fisico, materiale o non patrimoniale, in particolare: quando il trattamento può dar luogo a discriminazione, furto o frode d'identità, perdite finanziarie, danni alla reputazione, perdita di riservatezza dei dati protetti dal segreto professionale, decifrazione non autorizzata del processo di pseudonimizzazione o qualsiasi altro danno economico o sociale significativo; quando gli interessati possono essere privati dei loro diritti e delle loro libertà o impedito loro di esercitare il controllo sui loro dati personali; quando il trattamento riguarda dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, la religione o le convinzioni filosofiche, l'appartenenza sindacale, nonché dati genetici, dati relativi alla salute o dati relativi alla vita sessuale o dati relativi a condanne penali e reati, o a relative misure di sicurezza; quando vengono valutati aspetti personali, in particolare nel contesto dell'analisi o della previsione di elementi riguardanti il rendimento lavorativo, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili individuali; quando il trattamento riguarda dati personali relativi a persone fisiche vulnerabili, in particolare minori; o quando il trattamento riguarda un volume elevato di dati personali e riguarda un numero elevato di interessati.
(Considerando 76) La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento. …
(Considerando 78) La tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali richiede l'adozione di misure tecniche e organizzative adeguate per garantire il rispetto dei requisiti del presente regolamento. Per poter dimostrare la conformità al presente regolamento, il titolare del trattamento dovrebbe adottare norme interne e attuare misure che rispettino, in particolare, i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero includere, tra l'altro, la riduzione al minimo del trattamento dei dati personali, la pseudonimizzazione dei dati personali ove possibile, la garanzia della trasparenza in merito alle funzioni e al trattamento dei dati personali, la possibilità per l'interessato di controllare il trattamento dei dati e la possibilità per il titolare del trattamento di implementare o migliorare le caratteristiche di sicurezza. Nello sviluppo, nella progettazione, nella selezione e nell'utilizzo di applicazioni, servizi e prodotti che si basano sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i fabbricanti di prodotti, i fornitori di servizi e i produttori di applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati nello sviluppo e nella progettazione di tali prodotti, servizi e applicazioni e, tenendo debitamente conto dello stato dell'arte, a garantire che i titolari del trattamento e i responsabili del trattamento siano in grado di adempiere ai propri obblighi in materia di protezione dei dati. Anche negli appalti pubblici si dovrebbe tenere conto dei principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default.
(Considerando 79) La tutela dei diritti e delle libertà degli interessati, nonché la responsabilità dei titolari del trattamento e dei responsabili del trattamento, anche nel contesto del controllo da parte delle autorità di controllo e delle misure da queste adottate, richiedono una chiara ripartizione delle responsabilità ai sensi del presente regolamento, …
(Considerando 80) Qualora un titolare del trattamento o un responsabile del trattamento non stabilito nell'Unione tratti dati personali di interessati che si trovano nell'Unione e le sue attività di trattamento siano connesse all'offerta di beni o servizi a tali interessati nell'Unione, indipendentemente dal fatto che sia richiesto o meno un pagamento, o al monitoraggio del loro comportamento, nella misura in cui ciò avvenga all'interno dell'Unione, il titolare del trattamento o il responsabile del trattamento dovrebbe designare un rappresentante, a meno che il trattamento non sia occasionale, non implichi il trattamento, su larga scala, di categorie particolari di dati personali o il trattamento di dati personali relativi a condanne penali e reati e sia improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del contesto, dell'ambito di applicazione e delle finalità del trattamento, o il titolare del trattamento sia un'autorità pubblica o un organismo pubblico. Il rappresentante dovrebbe agire per conto del titolare del trattamento o del responsabile del trattamento e può essere contattato da qualsiasi autorità di controllo. Il rappresentante dovrebbe essere espressamente designato, mediante mandato scritto del titolare del trattamento o del responsabile del trattamento, ad agire per suo conto in relazione agli obblighi derivanti dal presente regolamento. La designazione di tale rappresentante non pregiudica le responsabilità del titolare del trattamento o del responsabile del trattamento ai sensi del presente regolamento.
(Considerando 81) Al fine di garantire che i requisiti del presente regolamento siano soddisfatti nel contesto del trattamento effettuato da un responsabile del trattamento per conto del titolare del trattamento, quando quest'ultimo affida attività di trattamento a un responsabile del trattamento, il titolare del trattamento dovrebbe avvalersi esclusivamente di responsabili del trattamento che offrano garanzie sufficienti, in particolare in termini di competenza specialistica, affidabilità e risorse, per l'attuazione di misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, compresa la sicurezza del trattamento. …
(Considerando 82) Per dimostrare la conformità al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento svolte sotto la propria responsabilità. …
(Considerando 83) Per garantire la sicurezza e prevenire trattamenti che violino il presente regolamento, è importante che il titolare del trattamento o il responsabile del trattamento valuti i rischi inerenti al trattamento e adotti misure per attenuarli, come la cifratura. Tali misure dovrebbero garantire un livello adeguato di sicurezza, inclusa la riservatezza, tenendo conto dello stato dell'arte e dei costi di attuazione in relazione ai rischi e alla natura dei dati personali da proteggere.
(Considerando 84) Al fine di garantire meglio la conformità al presente regolamento laddove i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere tenuto a effettuare una valutazione d'impatto sulla protezione dei dati per valutare, in particolare, l'origine, la natura, la specificità e la gravità di tale rischio. L'esito di tale valutazione dovrebbe essere preso in considerazione al momento di determinare le misure appropriate per dimostrare che il trattamento dei dati personali è conforme al presente regolamento. Qualora la valutazione d'impatto sulla protezione dei dati dimostri che i trattamenti dei dati comportano un rischio elevato che non può essere attenuato dal titolare del trattamento adottando misure appropriate, tenendo conto delle tecniche disponibili e dei costi relativi alla loro attuazione, l'autorità di controllo dovrebbe essere consultata prima che il trattamento abbia luogo.
(Considerando 85) Una violazione dei dati personali può, in assenza di un'azione tempestiva e appropriata, causare danni fisici, materiali o morali alle persone fisiche interessate, quali la perdita del controllo sui propri dati personali o la limitazione dei propri diritti, la discriminazione, il furto o l'usurpazione d'identità, la perdita finanziaria, l'annullamento non autorizzato della procedura di pseudonimizzazione, il danno alla reputazione, la perdita della riservatezza dei dati personali protetti dal segreto professionale o altri danni economici o sociali significativi. Di conseguenza, non appena il titolare del trattamento viene a conoscenza di una violazione dei dati personali, dovrebbe notificarla all'autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che non possa dimostrare, conformemente al principio di responsabilizzazione, che è improbabile che la violazione in questione comporti un rischio per i diritti e le libertà delle persone fisiche. Qualora tale notifica non possa essere effettuata entro il termine di 72 ore, la notifica dovrebbe essere corredata dei motivi del ritardo e le informazioni possono essere fornite in più fasi senza ulteriore ingiustificato ritardo.
(Considerando 86) Il titolare del trattamento dovrebbe notificare all'interessato una violazione dei dati personali senza ingiustificato ritardo qualora la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, in modo che l'interessato possa adottare le opportune precauzioni. …
(Considerando 87) È opportuno verificare se siano state implementate tutte le opportune misure di sicurezza tecniche e organizzative per stabilire immediatamente se si è verificata una violazione dei dati personali e informare tempestivamente l'autorità di controllo e l'interessato.
(Considerando 91) Ciò dovrebbe applicarsi in particolare ai trattamenti su larga scala che mirano a trattare una quantità considerevole di dati personali a livello regionale, nazionale o sovranazionale, che possono interessare un numero significativo di interessati e che possono presentare un rischio elevato, ad esempio a causa della loro sensibilità, quando, conformemente allo stato dell'arte, una nuova tecnica viene applicata su larga scala, nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, in particolare quando, a seguito di tali trattamenti, risulta più difficile per gli interessati esercitare i propri diritti. Una valutazione d'impatto sulla protezione dei dati dovrebbe essere effettuata anche quando i dati personali sono trattati al fine di adottare decisioni relative a specifiche persone fisiche, a seguito di una valutazione sistematica e approfondita di aspetti personali specifici delle persone fisiche basata sulla profilazione di tali dati o a seguito del trattamento di categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati, o di connesse misure di sicurezza.
(Considerando 92) Vi sono casi in cui può essere ragionevole ed economicamente conveniente ampliare l'ambito della valutazione d'impatto sulla protezione dei dati oltre un singolo progetto, ad esempio quando le autorità pubbliche o gli enti pubblici intendono implementare un'applicazione o una piattaforma di elaborazione comune, o quando diversi titolari del trattamento intendono creare un'applicazione o un ambiente di elaborazione comune per un intero settore o segmento professionale, o per un'attività interfunzionale ampiamente utilizzata.
(Considerando 94) Qualora una valutazione d'impatto sulla protezione dei dati dimostri che, in assenza di garanzie, misure di sicurezza e meccanismi di mitigazione del rischio, il trattamento presenterebbe un rischio elevato per i diritti e le libertà delle persone fisiche e il titolare del trattamento ritiene che il rischio non possa essere mitigato con mezzi ragionevoli, tenendo conto della tecnologia disponibile e dei costi di attuazione, l'autorità di controllo dovrebbe essere consultata prima dell'inizio delle operazioni di trattamento. …
(Considerando 97) Quando il trattamento è effettuato da un'autorità pubblica, ad eccezione delle autorità giurisdizionali o delle autorità giudiziarie indipendenti nell'esercizio delle loro funzioni giurisdizionali, quando, nel settore privato, è effettuato da un titolare del trattamento le cui attività principali consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, o quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati personali e di dati relativi a condanne penali e reati, una persona con una conoscenza approfondita della normativa e della prassi in materia di protezione dei dati dovrebbe assistere il titolare del trattamento o il responsabile del trattamento nella verifica della conformità interna al presente regolamento. …
(Considerando 98) Le associazioni o altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento dovrebbero essere incoraggiati a elaborare codici di condotta, entro i limiti del presente regolamento, in modo da facilitarne la corretta applicazione, tenendo conto delle specificità dei trattamenti effettuati in determinati settori e delle esigenze specifiche delle micro, piccole e medie imprese. …
(Considerando 101) I flussi di dati personali da e verso paesi terzi e organizzazioni internazionali sono necessari per lo sviluppo del commercio internazionale e della cooperazione internazionale. L'aumento di tali flussi ha creato nuove sfide e preoccupazioni in materia di protezione dei dati personali. Tuttavia, è importante che, quando i dati personali sono trasferiti dall'Unione a titolari del trattamento, responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di protezione delle persone fisiche garantito nell'Unione dal presente regolamento non sia compromesso, anche nel caso di trasferimenti successivi di dati personali dal paese terzo o dall'organizzazione internazionale a titolari del trattamento o responsabili del trattamento nello stesso paese terzo o in un altro paese terzo, o a un'altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali possono avvenire solo nel pieno rispetto del presente regolamento.
(Considerando 103) La Commissione può decidere, con effetto in tutta l'Unione, che un paese terzo, un territorio o un settore specifico all'interno di un paese terzo, o un'organizzazione internazionale offre un livello adeguato di protezione dei dati, garantendo in tal modo la certezza del diritto e l'uniformità in tutta l'Unione nei confronti del paese terzo o dell'organizzazione internazionale che si ritiene offra tale livello di protezione. In tal caso, i trasferimenti di dati personali verso tale paese terzo o organizzazione internazionale possono aver luogo senza la necessità di ottenere ulteriori autorizzazioni.
(Considerando 104) Tenuto conto dei valori fondamentali su cui si fonda l'Unione, in particolare la tutela dei diritti umani, la Commissione dovrebbe, nella sua valutazione di un paese terzo, di un territorio o di un settore specifico all'interno di un paese terzo, tenere conto del modo in cui un determinato paese terzo rispetta lo Stato di diritto, garantisce l'accesso alla giustizia e osserva le norme e gli standard internazionali nel settore dei diritti umani, nonché la sua legislazione generale e settoriale, compresa la legislazione in materia di sicurezza pubblica, difesa e sicurezza nazionale, nonché ordine pubblico e diritto penale.
(Considerando 105) Oltre agli impegni internazionali assunti dal paese terzo o dall'organizzazione internazionale, la Commissione dovrebbe tenere conto degli obblighi derivanti dalla partecipazione del paese terzo o dell'organizzazione internazionale a sistemi multilaterali o regionali, in particolare per quanto riguarda la protezione dei dati personali, e dell'attuazione di tali obblighi. In particolare, si dovrebbe tenere conto dell'adesione del paese terzo alla Convenzione del Consiglio d'Europa del 28 gennaio 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale e al suo Protocollo addizionale.
(Considerando 108) In assenza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento dovrebbe adottare misure per compensare l’inadeguatezza della protezione dei dati nel paese terzo mediante garanzie appropriate per l’interessato. …
(Considerando 109) La possibilità per i titolari del trattamento e i responsabili del trattamento di utilizzare clausole tipo di protezione dei dati adottate dalla Commissione o da un'autorità di controllo non dovrebbe impedire loro di includere tali clausole in un contratto più ampio, come un contratto tra il responsabile del trattamento e un altro responsabile del trattamento, o di aggiungere altre clausole o garanzie supplementari, a condizione che queste non contraddicano, direttamente o indirettamente, le clausole contrattuali tipo adottate dalla Commissione o da un'autorità di controllo e non pregiudichino i diritti e le libertà fondamentali degli interessati. …
(Considerando 110) Un gruppo di imprese o un gruppo di imprese impegnato in un'attività economica comune dovrebbe poter utilizzare norme vincolanti d'impresa approvate per i suoi trasferimenti internazionali dall'Unione a entità dello stesso gruppo di imprese o dello stesso gruppo di imprese impegnato in un'attività economica comune, a condizione che tali norme d'impresa includano tutti i principi essenziali e i diritti esecutivi per garantire garanzie adeguate per i trasferimenti o le categorie di trasferimenti di dati personali.
(Considerando 114) In ogni caso, qualora la Commissione non abbia preso posizione sull'adeguatezza del livello di protezione dei dati in un paese terzo, il titolare del trattamento o il responsabile del trattamento dovrebbe adottare soluzioni che garantiscano agli interessati diritti effettivi e azionabili in relazione al trattamento dei loro dati nell'Unione una volta che tali dati siano stati trasferiti, in modo che tali interessati continuino a beneficiare dei diritti e delle garanzie fondamentali.
(Considerando 116) Quando i dati personali attraversano le frontiere esterne dell'Unione, ciò può aumentare il rischio che le persone non siano in grado di esercitare i propri diritti in materia di protezione dei dati, in particolare di tutelarsi dall'uso o dalla divulgazione illeciti di tali informazioni. … Di conseguenza, è necessario promuovere una più stretta cooperazione tra le autorità di controllo della protezione dei dati, per aiutarle a scambiare informazioni e condurre indagini con le loro controparti internazionali. …
(Considerando 121) Le condizioni generali applicabili al/ai membro/i dell'autorità di controllo dovrebbero essere stabilite dalla legge di ciascuno Stato membro e dovrebbero prevedere in particolare che tali membri siano nominati, secondo una procedura trasparente, dal parlamento, dal governo o dal capo di Stato di tale Stato membro, su proposta del governo o di un membro del governo, oppure dal parlamento o da una camera del parlamento, oppure da un organismo indipendente incaricato di tale compito in base alla legge di uno Stato membro. …
(Considerando 122) Ciascuna autorità di controllo dovrebbe essere competente nel territorio del proprio Stato membro a esercitare i compiti e i poteri ad essa conferiti conformemente al presente regolamento. …
(Considerando 124) Qualora il trattamento dei dati personali abbia luogo nel contesto delle attività di uno stabilimento di un titolare del trattamento o di un responsabile del trattamento nell'Unione e tale titolare del trattamento o responsabile del trattamento sia stabilito in più di uno Stato membro, o qualora il trattamento che abbia luogo nel contesto delle attività di un unico stabilimento di un titolare del trattamento o di un responsabile del trattamento nell'Unione incida o sia probabile che incida in modo sostanziale sugli interessati in più di uno Stato membro, l'autorità di controllo avente giurisdizione sullo stabilimento principale o unico del titolare del trattamento o del responsabile del trattamento dovrebbe fungere da autorità capofila. …
(Considerando 125) L'autorità capofila dovrebbe essere competente ad adottare decisioni vincolanti sulle misure di attuazione dei poteri ad essa conferiti ai sensi del presente regolamento. In qualità di autorità capofila, l'autorità di controllo dovrebbe coinvolgere strettamente le autorità di controllo competenti nel processo decisionale e garantire uno stretto coordinamento in tale contesto.
(Considerando 129) Al fine di garantire un'applicazione e un monitoraggio coerenti del presente regolamento in tutta l'Unione, le autorità di controllo dovrebbero avere, in ciascuno Stato membro, gli stessi compiti e poteri effettivi, compresi poteri di indagine, il potere di adottare misure correttive e imporre sanzioni, nonché il potere di autorizzare e di emettere pareri consultivi, in particolare in caso di reclami presentati da persone fisiche, e, fatti salvi i poteri delle autorità responsabili dell'azione penale ai sensi del diritto degli Stati membri, il potere di portare le violazioni del presente regolamento all'attenzione delle autorità giudiziarie e di intraprendere azioni legali. Tali poteri dovrebbero includere anche il potere di imporre una limitazione temporanea o permanente del trattamento, incluso un divieto. …
(Considerando 130) Qualora l'autorità di controllo a cui è stato presentato il reclamo non sia l'autorità di controllo capofila, quest'ultima dovrebbe cooperare strettamente con l'autorità di controllo a cui è stato presentato il reclamo, conformemente alle disposizioni in materia di cooperazione e coerenza stabilite nel presente regolamento. …
(Considerando 137) Un intervento urgente può essere necessario per tutelare i diritti e le libertà degli interessati, in particolare quando sussiste il rischio che l'esercizio di un diritto dell'interessato possa essere ostacolato in modo significativo. Di conseguenza, un'autorità di controllo dovrebbe poter adottare, nel proprio territorio, misure provvisorie debitamente giustificate e con un periodo di validità determinato, che non dovrebbe superare i tre mesi.
(Considerando 138) L’applicazione di tale meccanismo dovrebbe condizionare la legittimità di una misura volta a produrre effetti giuridici adottata da un’autorità di controllo nei casi in cui tale applicazione è obbligatoria. …
(Considerando 141) Ogni interessato dovrebbe avere il diritto di proporre reclamo a un'unica autorità di controllo, in particolare nello Stato membro in cui ha la residenza abituale, e il diritto a un ricorso giurisdizionale effettivo ai sensi dell'articolo 47 della Carta, qualora ritenga che siano stati violati i diritti di cui gode ai sensi del presente regolamento o qualora l'autorità di controllo non dia seguito al suo reclamo, lo respinga o lo respinga, in tutto o in parte, o non agisca quando è necessario intervenire per tutelare i diritti dell'interessato. L'indagine a seguito di un reclamo dovrebbe essere condotta, sotto controllo giudiziario, nella misura appropriata richiesta dal singolo caso.
(Considerando 142) Qualora un interessato ritenga che i suoi diritti ai sensi del presente regolamento siano stati violati, dovrebbe avere il diritto di dare mandato a un organismo, un'organizzazione o un'associazione senza scopo di lucro, costituiti conformemente al diritto di uno Stato membro, i cui obiettivi statutari siano di interesse pubblico e che operino nel settore della protezione dei dati personali, di proporre reclamo per suo conto a un'autorità di controllo, di esercitare il diritto a un ricorso giurisdizionale per conto degli interessati o, se previsto dal diritto dello Stato membro, di esercitare il diritto di ottenere un risarcimento per conto degli interessati. …
(Considerando 143) Qualsiasi persona fisica o giuridica ha il diritto di proporre ricorso di annullamento contro le decisioni del Comitato dinanzi alla Corte di giustizia, alle condizioni previste dall'articolo 263 del Trattato sul funzionamento dell'Unione europea. Una volta ricevute tali decisioni, le autorità di controllo interessate che intendono impugnarle devono farlo entro due mesi dalla loro notifica, conformemente all'articolo 263 del Trattato sul funzionamento dell'Unione europea.
Qualora un reclamo sia stato respinto o respinto da un'autorità di controllo, il reclamante può proporre ricorso dinanzi ai tribunali dello stesso Stato membro. …
(Considerando 144) Qualora un'autorità giurisdizionale investita di un ricorso avverso una decisione adottata da un'autorità di controllo abbia motivo di ritenere che azioni riguardanti lo stesso trattamento, ad esempio lo stesso oggetto, svolte dallo stesso titolare del trattamento o responsabile del trattamento, o la stessa causa, siano intentate dinanzi a un'autorità giurisdizionale competente in un altro Stato membro, dovrebbe contattare tale altra autorità giurisdizionale al fine di confermare l'esistenza di tali azioni correlate. …
(Considerando 145) Per quanto riguarda le azioni contro un titolare del trattamento o un responsabile del trattamento, il richiedente dovrebbe poter scegliere di proporre l'azione dinanzi ai tribunali degli Stati membri in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento o dello Stato membro in cui risiede l'interessato, a meno che il titolare del trattamento non sia un'autorità pubblica di uno Stato membro che agisce nell'esercizio dei suoi poteri pubblici.
(Considerando 146) Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire qualsiasi danno che un interessato possa subire a causa di un trattamento effettuato in violazione del presente regolamento. Il titolare del trattamento o il responsabile del trattamento dovrebbe essere esonerato da responsabilità se dimostra che il danno non gli è in alcun modo imputabile. … Tuttavia, qualora titolari del trattamento e responsabili del trattamento siano coinvolti nello stesso procedimento giudiziario, conformemente al diritto di uno Stato membro, il risarcimento può essere ripartito in base alla quota di responsabilità di ciascun titolare del trattamento o responsabile del trattamento per il danno causato dal trattamento, a condizione che il danno subito dall'interessato sia pienamente ed effettivamente risarcito. …
(Considerando 148) Al fine di rafforzare l'applicazione delle norme del presente regolamento, è opportuno imporre sanzioni, comprese sanzioni amministrative pecuniarie, per qualsiasi violazione del presente regolamento, in aggiunta o in sostituzione delle misure appropriate imposte dall'autorità di controllo ai sensi del presente regolamento. In caso di violazione lieve o qualora la sanzione pecuniaria irrogata imponga un onere sproporzionato a una persona fisica, è possibile emettere un avvertimento anziché una sanzione pecuniaria. Tuttavia, si dovrebbe tenere debitamente conto della natura, della gravità e della durata della violazione, della natura intenzionale della violazione e delle misure adottate per attenuare il danno subito, del grado di responsabilità o di eventuali precedenti violazioni pertinenti, del modo in cui l'autorità di controllo è venuta a conoscenza della violazione, del rispetto delle misure disposte nei confronti del titolare del trattamento o del responsabile del trattamento, dell'applicazione di un codice di condotta e di qualsiasi altra circostanza aggravante o attenuante. L'applicazione di sanzioni, comprese sanzioni amministrative pecuniarie, dovrebbe essere soggetta a garanzie procedurali adeguate, in conformità con i principi generali del diritto dell'Unione e della Carta, compreso il diritto a una tutela giurisdizionale effettiva e al giusto processo.
(Considerando 150) Al fine di rafforzare e armonizzare le sanzioni amministrative applicabili alle violazioni del presente regolamento, ciascuna autorità di controllo dovrebbe avere il potere di imporre sanzioni amministrative pecuniarie. Il presente regolamento dovrebbe definire le violazioni, l'importo massimo e i criteri per la determinazione delle sanzioni amministrative pecuniarie cui sono soggette, che dovrebbero essere stabiliti dall'autorità di controllo competente caso per caso, tenendo conto di tutte le caratteristiche specifiche di ciascun caso e tenendo debitamente conto, in particolare, della natura, della gravità e della durata della violazione e delle sue conseguenze, nonché delle misure adottate per garantire il rispetto degli obblighi derivanti dal regolamento e per prevenire o attenuare le conseguenze della violazione.
(Considerando 152) Nei casi in cui il presente regolamento non armonizzi le sanzioni amministrative o, ove necessario in altre circostanze, ad esempio in caso di gravi violazioni del presente regolamento, gli Stati membri dovrebbero attuare un sistema che preveda sanzioni efficaci, proporzionate e dissuasive. La natura di tali sanzioni, siano esse penali o amministrative, dovrebbe essere determinata dal diritto degli Stati membri.
(Considerando 153) Il diritto degli Stati membri dovrebbe conciliare le norme che disciplinano la libertà di espressione e di informazione, compresa l'espressione giornalistica, accademica, artistica o letteraria, con il diritto alla protezione dei dati personali ai sensi del presente regolamento. Nel contesto del trattamento dei dati personali effettuato esclusivamente a fini giornalistici o di espressione accademica, artistica o letteraria, dovrebbero essere previste deroghe o esenzioni da determinate disposizioni del presente regolamento, ove necessario per conciliare il diritto alla protezione dei dati personali con il diritto alla libertà di espressione e di informazione, come sancito dall'articolo 11 della Carta.
(Considerando 154) Il presente regolamento consente di tenere conto, nella sua applicazione, del principio dell'accesso del pubblico ai documenti ufficiali. L'accesso del pubblico ai documenti ufficiali può essere considerato di interesse pubblico. …
(Considerando 155) La legislazione degli Stati membri o i contratti collettivi, compresi gli "accordi aziendali", possono prevedere norme specifiche sul trattamento dei dati personali dei dipendenti nel contesto dei rapporti di lavoro, comprese le condizioni in base alle quali i dati personali nel contesto dei rapporti di lavoro possono essere trattati sulla base del consenso del dipendente, ai fini dell'assunzione, dell'esecuzione del contratto di lavoro, compreso il rispetto degli obblighi stabiliti dalla legge o dai contratti collettivi, della gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, e ai fini dell'esercizio e del godimento dei diritti e dei benefici del lavoro, individualmente o collettivamente, nonché ai fini della cessazione del rapporto di lavoro.
(Considerando 162) Qualora i dati personali siano trattati a fini statistici, il presente regolamento dovrebbe applicarsi a tale trattamento. Il diritto dell'Unione o degli Stati membri dovrebbe, nei limiti del presente regolamento, determinare il contenuto statistico, definire il controllo dell'accesso ai dati e stabilire disposizioni specifiche per il trattamento dei dati personali a fini statistici, nonché misure appropriate per tutelare i diritti e le libertà dell'interessato e per mantenere la riservatezza statistica.
(Considerando 163) Le informazioni riservate raccolte dalle autorità statistiche dell'Unione e degli Stati membri ai fini della produzione di statistiche ufficiali europee e nazionali dovrebbero essere protette. …
(Considerando 164) Per quanto riguarda i poteri delle autorità di controllo di ottenere dal titolare del trattamento o dal responsabile del trattamento l'accesso ai dati personali e l'accesso ai loro locali, gli Stati membri possono, nei limiti del presente regolamento, adottare con legge norme specifiche per garantire l'obbligo del segreto professionale o altri obblighi di segretezza equivalenti, nella misura in cui ciò sia necessario per conciliare il diritto alla protezione dei dati personali e l'obbligo del segreto professionale. …
(Considerando 166) Al fine di conseguire gli obiettivi del presente regolamento, vale a dire tutelare i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali, e garantire la libera circolazione di tali dati all'interno dell'Unione, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 del trattato sul funzionamento dell'Unione europea. In particolare, è opportuno adottare atti delegati riguardanti i criteri e i requisiti per i meccanismi di certificazione, le informazioni da presentare sotto forma di icone standardizzate e le procedure per la fornitura di tali icone.
(Considerando 168) Considerata la portata generale degli atti in questione, la procedura d'esame dovrebbe essere utilizzata per l'adozione di atti di esecuzione in relazione alle clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento e tra responsabili del trattamento; codici di condotta; norme tecniche e meccanismi di certificazione; …
(Considerando 170) Poiché l'obiettivo del presente regolamento, vale a dire garantire un livello equivalente di protezione delle persone fisiche e la libera circolazione dei dati personali in tutta l'Unione, non può essere conseguito in misura sufficiente dagli Stati membri ma, a motivo della portata o degli effetti dell'azione, può essere conseguito meglio a livello di Unione, quest'ultima può adottare misure, …
IT 
FR 
EN 
DE 
ES 
EL 
HR 
PT 
NL 
DE_AT 
ET 
FI 
LV 
LT 
SK 
SL