DIRETTIVA N. 95/46/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 24 ottobre 1995

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato che istituisce la Comunità europea, inparticolare l'articolo 100 A,

vista la proposta della Commissione ⁽¹⁾,

visto il parere del Comitato economico e sociale ⁽²⁾,

deliberando conformemente alla procedura di cui all'articolo 189B del trattato ⁽³⁾,

(1) considerando che gli obiettivi della Comunità, enunciati nel trattato, come è stato modificato dal trattato sull'Unioneeuropea, consistono nel realizzare un'unione sempre piùstretta tra i popoli europei, nell'istituire relazioni piùstrette tra gli Stati che la Comunità riunisce, nell'assicuraremediante un'azione comune il progresso economico e sociale eliminandole barriere che dividono l'Europa, nel promuovere il miglioramentocostante delle condizioni di vita delle sue popolazioni, nel preservaree rafforzare la pace e la libertà e nel promuovere la democraziabasandosi sui diritti fondamentali sanciti dalle costituzionie dalle leggi degli Stati membri nonché dalla convenzioneeuropea di salvaguardia dei diritti dell'uomo e delle libertàfondamentali;

(2) considerando che i sistemi di trattamento dei dati sono alservizio dell'uomo; che essi, indipendentemente dalla nazionalitào dalla residenza delle persone fisiche, debbono rispettare lelibertà e i diritti fondamentali delle stesse, in particolarela vita privata, e debbono contribuire al progresso economicoe sociale, allo sviluppo degli scambi nonché al benesseredegli individui;

(3) considerando che l'instaurazione e il funzionamento del mercato interno, nel quale, conformemente all'articolo 7 A del trattato,è assicurata la libera circolazione delle merci, dellepersone, dei servizi e dei capitali, esigono non solo che i datipersonali possano circolare liberamente da uno Stato membro all'altro,ma che siano altresì salvaguardati i diritti fondamentalidella persona;

(4) considerando che nella Comunità si ricorre sempre piùfrequentemente al trattamento di dati personali nei vari settoridelle attività economiche e sociali; che i progressi registratidalle tecnologie dell'informazione facilitano notevolmente iltrattamento e lo scambio di tali dati;

(5) considerando che l'integrazione economica e sociale derivantedall'instaurazione e dal funzionamento del mercato interno aisensi dell'articolo 7A del trattato comporterà necessariamenteun sensibile aumento dei flussi transfrontalieri di dati personalitra tutti i soggetti della vita economica e sociale degli Statimembri, siano essi privati o pubblici; che lo scambio di datipersonali tra imprese stabilite in Stati membri differenti èdestinato ad aumentare; che le amministrazioni nazionali dei variStati membri debbono collaborare, in applicazione del dirittocomunitario, e scambiarsi i dati personali per poter svolgerela loro funzione o esercitare compiti per conto di un'amministrazionedi un altro Stato membro, nell'ambito dello spazio senza frontierecostituito dal mercato interno;

(6) considerando, inoltre, che il rafforzamento della cooperazionescientifica e tecnica e la messa in opera coordinata di nuovereti di telecomunicazioni nella Comunità richiedono e facilitanola circolazione transfrontaliera di dati personali;

(7) considerando che il divario nei livelli di tutela dei dirittie delle libertà personali, in particolare della vita privata,garantiti negli Stati membri relativamente al trattamento di datipersonali può impedire la trasmissione dei dati stessifra territori degli Stati membri e che tale divario puòpertanto costituire un ostacolo all'esercizio di una serie diattività economiche su scala comunitaria, falsare la concorrenzae ostacolare, nell'adempimento dei loro compiti, le amministrazioniche intervengono nella applicazione del diritto comunitario; chedetto divario nel grado di tutela deriva dalla diversitàdisposizioni legislative, regolamentari ed amministrative nazionali;

(8) considerando che, per eliminare gli ostacoli alla circolazionedei dati personali, il livello di tutela dei diritti e delle libertàdelle persone relativamente al trattamento di tali dati deve essereequivalente in tutti gli Stati membri; che tale obiettivo, fondamentaleper il mercato interno, non può essere conseguito esclusivamenteattraverso l'azione degli Stati membri, tenuto conto in particolaredell'ampia divergenza esistente attualmente tra le norme nazionaliin materia e della necessità di coordinarle affinchéil flusso transfrontaliero di dati personali sia disciplinatoin maniera coerente e conforme all'obiettivo del mercato internoai sensi dell'articolo 7A del trattato; che risulta pertanto necessarioun intervento della Comunità ai fini di un ravvicinamentodelle legislazioni;

(9) considerando che, data la protezione equivalente derivantedal ravvicinamento delle legislazioni nazionali, gli Stati membrinon potranno più ostacolare la libera circolazione traloro di dati personali per ragioni inerenti alla tutela dei dirittie delle libertà delle persone fisiche, segnatamente deldiritto alla vita privata; che gli Stati membri disporranno diun margine di manovra di cui potranno valersi, nell'applicazionedella Direttiva, i partner economici e sociali; che potranno quindiprecisare nella loro legislazione nazionale le condizioni generalidi liceità dei trattamenti; così facendo gli Statimembri si adopereranno per migliorare la protezione attualmenteprevista dalle loro leggi; che, nei limiti di tale margine dimanovra e conformemente al diritto comunitario, potranno verificarsidivergenze nell'applicazione della Direttiva e che queste potrannoripercuotersi sulla circolazione dei dati sia all'interno delloStato membro che nelle Comunità;

(10) considerando che le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto deidiritti e delle libertà fondamentali, in particolare deldiritto alla vita privata, riconosciuto anche dall'articolo 8della Convenzione europea per la salvaguardia dei diritti dell'uomoe delle libertà fondamentali e dai principi generali deldiritto comunitario; che pertanto il riavvicinamento di dettelegislazioni non deve avere per effetto un indebolimento dellatutela da esse assicurata ma deve anzi mirare a garantire un elevatogrado di tutela nella Comunità;

(11) considerando che i principi della tutela dei diritti e dellelibertà delle persone, in particolare del rispetto dellavita privata, contenuti dalla presente Direttiva precisano edampliano quelli enunciati dalla convenzione del 28 gennaio 1981del Consiglio d'Europa sulla protezione delle persone con riferimentoal trattamento automatizzato dei dati di carattere personale;

(12) considerando che i principi di tutela si devono applicarea tutti i trattamenti di dati personali quando le attivitàdel responsabile del trattamento rientrano nel campo d'applicazionedel diritto comunitario; che deve essere escluso il trattamentodi dati effettuato da una persona fisica nell'esercizio di attivitàa carattere esclusivamente personale o domestico quali la corrispondenzae la compilazione di elenchi di indirizzi;

(13) considerando che le attività previste dai titoli Ve VI del trattato sull'Unione europea attinenti alla pubblicasicurezza, alla difesa, alla sicurezza dello Stato o alle attivitàdello Stato in materia di diritto penale non rientrano nel campod'applicazione del diritto comunitario, fatti salvi gli obblighiche incombono agli Stati membri a norma dell'articolo 56, paragrafo2, dell'articolo 57 e 100A del trattato; che il trattamento didati personali che è necessario alla salvaguardia del benessereeconomico dello Stato non rientra nell'ambito della presente Direttivaqualora il trattamento sia legato a questioni di sicurezza delloStato;

(14) considerando che la presente Direttiva dovrebbe applicarsial trattamento dei dati in forma di suoni e immagini relativia persone fisiche, vista la notevole evoluzione in corso nellasocietà dell'informazione delle tecniche per captare, trasmettere,manipolare, registrare, conservare o comunicare siffatti dati;

(15) considerando che il trattamento de suddetti dati rientranella presente Direttiva soltanto se è automatizzato ose riguarda dati contenuti, o destinati ad essere contenuti, inun archivio strutturato secondo criteri specifici relativi allepersone, in modo da consentire un facile accesso ai dati personalidi cui trattasi;

(16) considerando che nel campo d'applicazione della presenteDirettiva non rientra il trattamento di dati in forma di suonie immagini, quali i dati di controllo video, finalizzato allapubblica sicurezza, alla difesa, alla sicurezza dello Stato oall'esercizio di attività dello Stato nella sfera del dirittopenale o di altre attività che esulano dal campo d'applicazionedel diritto comunitario;

(17) considerando che, per quanto attiene al trattamento di suonie immagini finalizzato all'attività giornalistica o all'espressioneletteraria o artistica, in particolare del settore audiovisivo,i principi della Direttiva hanno un'applicazione limitata, conformementea quanto dispone l'articolo 9;

(18) considerando che, onde evitare che una persona venga privatadella tutela cui ha diritto in forza della presente Direttiva,è necessario che qualsiasi trattamento di dati personalieffettuato nella Comunità rispetti la legislazione di unodegli Stati membri; che, a questo proposito, è opportunoassoggettare i trattamenti effettuati da una persona che operasotto l'autorità del responsabile del trattamento stabilitoin uno Stato membro alla legge di tale Stato;

(19) considerando che lo stabilimento nel territorio di uno Statomembro implica l'esercizio effettivo e reale dell'attivitàmediante un'organizzazione stabile; che la forma giuridica disiffatto stabilimento, si tratti di una semplice succursale odi una filiale dotata di personalità giuridica, non èil fattore determinante a questo riguardo; che quando un unicoresponsabile del trattamento è stabilito nel territoriodi diversi Stati membri, in particolare per mezzo di filiali,esso deve assicurare, segnatamente per evitare che le disposizionivengano eluse, che ognuno degli stabilimenti adempia gli obblighiprevisti dalla legge nazionale applicabile alle attivitàdi ciascuno di essi;

(20) considerando che la tutela delle persone prevista dalla presenteDirettiva non deve essere impedita dal fatto che il responsabiledel trattamento sia stabilito in un paese terzo; che, in tal caso,è opportuno che i trattamenti effettuati siano disciplinatidalla legge dello Stato membro nel quale sono ubicati i mezziutilizzati per il trattamento in oggetto e che siano prese legaranzie necessarie per consentire l'effettivo rispetto dei dirittie degli obblighi previsti dalla presente Direttiva;

(21) considerando che la presente Direttiva lascia impregiudicatele norme di territorialità applicabili in materia penale;

(22) considerando che gli Stati membri preciseranno, nella lorolegislazione o in sede di applicazione delle norme di attuazionedella presente Direttiva, i requisiti generali di liceitàdel trattamento dei dati; che in particolare l'articolo 5, incombinato disposto con gli articoli 7 e 8, consente agli Statimembri di prevedere, indipendentemente dalle norme generali, condizioniparticolari per il trattamento dei dati in settori specifici eper le varie categorie di dati di cui all'articolo 8;

(23) considerando che gli Stati membri sono autorizzati ad assicurarela messa in opera della tutela delle persone sia mediante unalegge generale relativa alla tutela delle persone contro il trattamentodei dati personali, sia mediante leggi settoriali, quali quellerelative ad esempio agli istituti di statistica;

(24) considerando che la presente Direttiva lascia impregiudicatele norme relative alla tutela delle persone giuridiche riguardoal trattamento dei dati che le riguardano;

(25) considerando che i principi di tutela si esprimono, da unlato, nei vari obblighi a carico delle persone, autoritàpubbliche, imprese, agenzie o altri organismi responsabili deltrattamento, obblighi relativi in particolare alla qualitàdei dati, alla sicurezza tecnica, alla notificazione all'autoritàdi controllo, alle circostanze in cui il trattamento puòessere effettuato e, dall'altro, nel diritto delle persone, icui dati sono oggetto di trattamento, di esserne informate, dipoter accedere ai dati, e chiederne la rettifica, o di opporsial trattamento in talune circostanze;

(26) considerando che i principi della tutela si devono applicaread ogni informazione concernente una persona identificata o identificabile;che, per determinare se una persona è identificabile, èopportuno prendere in considerazione l'insieme dei mezzi che possonoessere ragionevolmente utilizzati dal responsabile del trattamentoo da altri per identificare detta persona; che i principi dellatutela non si applicano a dati resi anonimi in modo tale che lapersona interessata non è più identificabile; chei codici di condotta ai sensi dell'articolo 27 possono costituireuno strumento utile di orientamento sui mezzi grazie ai qualidati possano essere resi anonimi e registrati in modo da rendereimpossibile l'identificazione della persona interessata;

(27) considerando che la tutela delle persone fisiche deve essereapplicata al trattamento dei dati sia automatizzato sia manuale;che la portata della tutela non deve infatti dipendere dalle tecnicheimpiegate poiché, in caso contrario, sussisterebbero gravirischi di elusione delle disposizioni; che nondimeno, riguardoal trattamento manuale, la presente Direttiva si applica soltantoagli archivi e non ai fascicoli non strutturati; che, in particolare,il contenuto di un archivio deve essere strutturato secondo criterispecifici relativi alle persone che consentano un facile accessoai dati personali; che, in conformità alla definizionedell'articolo 2, lettera c), i diversi criteri che determinanogli elementi che costituiscono un insieme strutturato di datipersonali, nonché i diversi criteri in virtù deiquali un siffatto insieme è accessibile, possono essereprecisati dai singoli Stati membri; che i fascicoli o le seriedi fascicoli, nonché le rispettive copertine, non strutturatisecondo criteri specifici, non rientrano in nessun caso nel campodi applicazione della presente Direttiva;

(28) considerando che qualsivoglia trattamento di dati personalideve essere eseguito lealmente e lecitamente nei confronti dellepersone interessate; che esso deve in particolare avere per oggettodati adeguati, pertinenti e non eccedenti rispetto alle finalitàperseguite; che tali finalità devono essere esplicite elegittime e specificate al momento della raccolta dei dati; chele finalità dei trattamenti successivi alla raccolta nonpossono essere incompatibili con quelle originariamente specificate;

(29) considerando che l'ulteriore trattamento di dati personaliper scopi storici, statistici o scientifici non è generalmenteconsiderato incompatibile con le finalità per le qualii dati erano stati preventivamente raccolti, purché gliStati membri forniscano adeguate garanzie; che tali garanzie devonosoprattutto impedire l'uso dei dati per l'adozione di misure odecisioni nei confronti di singole persone;

(30) considerando che, per essere lecito, il trattamento di datipersonali deve essere inoltre basato sul consenso della personainteressata oppure deve essere necessario ai fini della conclusioneo dell'esecuzione di un contratto vincolante per la persona interessata,oppure deve essere previsto dalla legge, per l'esecuzione di uncompito nell'interesse pubblico o per l'esercizio dell'autoritàpubblica, o nell'interesse legittimo di un singolo individuo,a condizione che gli interessi o i diritti e le libertàdella persona interessata non abbiano la prevalenza; che, segnatamente,per garantire un equilibrio degli interessi in causa, pur assicurandouna concorrenza effettiva, gli Stati membri possono precisarele condizioni alle quali dati personali possono essere usati ecomunicati a terzi nell'ambito di attività lecite di gestionecorrente delle imprese o di altri organismi; che essi possonoparimenti precisare le condizioni alle quali può essereeffettuata la comunicazione a terzi di dati personali a fini diprospezione, sia che si tratti di invio di materiale pubblicitarioche di invio di materiale promosso da un'associazione a scopobenefico o da altre associazioni o fondazioni, ad esempio a caratterepolitico, nel rispetto delle disposizioni volte a consentire allepersone interessate di opporsi senza dover fornire una motivazionee senza spese al trattamento dei dati che le riguardano;

(31) considerando che un trattamento di dati personali deve essereugualmente considerato lecito quando è effettuato per tutelareun interesse essenziale alla vita della persona interessata;

(32) considerando che spetta alle legislazioni nazionali stabilirese il responsabile del trattamento investito di un compito diinteresse pubblico o connesso all'esercizio di pubblici poteridebba essere una pubblica amministrazione o un altro soggettodi diritto pubblico o di diritto privato, quale un'associazioneprofessionale;

(33) considerando che i dati che possono per loro natura lederele libertà fondamentali o la vita privata non dovrebberoessere oggetto di trattamento, salvo esplicito consenso dellapersona interessata; che tuttavia le deroghe a questo divietodevono essere espressamente previste nei casi di necessitàspecifiche, segnatamente laddove il trattamento di tali dati vieneeseguito da persone assoggettate per legge all'obbligo del segretoprofessionale per taluni fini connessi alla sanità o perle legittime attività di talune associazioni o fondazioniil cui scopo consista nel permettere l'esercizio delle libertàfondamentali;

(34) considerando che gli Stati membri devono anche essere autorizzati,quando un motivo di interesse pubblico rilevante lo giustifichi,a derogare al divieto di trattamento di categorie di dati di naturadelicata in settori quali la pubblica sanità e la protezionesociale - soprattutto al fine di assicurare la qualitàe la redditività per quanto riguarda le procedure per risponderealle richieste di prestazioni e servizi nell'ambito del regimedi assicurazione sanitaria -, la ricerca scientifica nonchéle statistiche pubbliche; che spetta loro tuttavia prevedere legaranzie appropriate e specifiche per tutelare i diritti fondamentalie la vita privata delle persone;

(35) considerando inoltre che il trattamento di dati personalida parte di pubbliche autorità per la realizzazione degliscopi, previsti dal diritto costituzionale o dal diritto internazionalepubblico, di associazioni religiose ufficialmente riconosciuteviene effettuato per motivi di rilevante interesse pubblico;

(36) considerando che, se nelle attività connesse con leelezioni il funzionamento del sistema democratico rende necessaria,in alcuni Stati membri, la raccolta da parte di partiti politicidi dati sulle opinioni politiche delle persone, può essereconsentito il trattamento di siffatti dati per motivi di interessepubblico rilevante, purché siano stabilite garanzie appropriate;

(37) considerando che il trattamento di dati personali a scopigiornalistici o di espressione artistica o letteraria, in particolarenel settore audiovisivo deve beneficiare di deroghe o di limitazionia determinate disposizioni della presente Direttiva ove sia necessarioper conciliare i diritti fondamentali della persona con la libertàdi espressione ed in particolare la libertà di ricevereo di comunicare informazioni, quale garantita in particolare dall'articolo10 della Convenzione europea per la salvaguardia dei diritti dell'uomoe delle libertà fondamentali; che pertanto, al fine distabilire un equilibrio fra i diritti fondamentali, gli Statimembri devono prevedere le deroghe e le limitazioni necessariein materia di misure generali concernenti la legittimitàdel trattamento di dati, di misure relative al trasferimento didati nei paesi terzi nonché di competenze degli ufficipreposti al controllo; che tuttavia ciò non dovrebbe permettereagli Stati membri di prevedere deroghe alle misure di garanziadella sicurezza del trattamento; che agli uffici preposti al controlloin tale settore dovrebbero essere parimenti conferite almeno determinatecompetenze a posteriori, ad esempio la competenza di pubblicareperiodicamente una relazione o di adire l'autorità giudiziaria;

(38) considerando che il trattamento leale dei dati presupponeche le persone interessate possano conoscere l'esistenza del trattamentoe disporre, quando i dati che le riguardano sono forniti direttamenteda loro, di un'informazione effettiva e completa in merito allecircostanze della raccolta;

(39) considerando che alcuni trattamenti riguardano dati che ilresponsabile non ha raccolto direttamente presso la persona interessata;che è peraltro possibile che taluni dati siano legittimamentecomunicati a terzi anche se tale comunicazione non era stata previstaall'atto della raccolta dei dati presso la persona interessata;che, in tutti questi casi, la persona interessata deve essereinformata al momento della registrazione dei dati o al massimoquando essi sono comunicati per la prima volta a terzi;

(40) considerando che non è tuttavia necessario imporretale obbligo se la persona interessata è già informata;che, inoltre, tale obbligo non è previsto se la registrazioneo la comunicazione sono espressamente previste dalla legge ovverose informare la persona interessata risulta impossibile o implicauno sforzo eccessivo, come può verificarsi per i trattamentia fini storici, statistici o scientifici; che in questo caso sipuò tener conto del numero di persone interessate, dell'antichitàdei dati e delle eventuali misure di compensazione;

(41) considerando che una persona deve godere del diritto d'accessoai dati che la riguardano e che sono oggetto di trattamento, perpoter verificare, in particolare, la loro esattezza e la liceitàdel trattamento; che, per le stesse ragioni, le persone devonoavere inoltre il diritto di conoscere la logica su cui si basail trattamento automatizzato dei dati che le riguardano, perlomenonel caso delle decisioni automatizzate di cui all'articolo 15,paragrafo 1; che tale diritto deve lasciare impregiudicati ilsegreto industriale e aziendale e la proprietà intellettuale,segnatamente i diritti d'autore che tutelano il software; checiò non dovrebbe comunque tradursi nel rifiuto di fornirequalsiasi informazione alla persona interessata;

(42) considerando che gli Stati membri possono, a beneficio dellapersona interessata o a tutela dei diritti e delle libertàaltrui, limitare il diritto d'accesso e d'informazione; che possono,ad esempio, precisare che l'accesso ai dati medici è possibilesoltanto per il tramite del personale sanitario;

(43) considerando che gli Stati membri possono altresìimporre analoghe restrizioni al diritto di accesso e di informazionee ad alcuni obblighi del responsabile del trattamento nella misurain cui tali restrizioni siano necessarie per salvaguardare, adesempio, la sicurezza nazionale, la difesa, la pubblica sicurezza,importanti interessi economici o finanziari di uno Stato membroo dell'Unione, nonché per indagini e procedimenti penalie in caso di violazioni dell'etica delle professioni regolamentate;che occorre elencare, a titolo di deroghe e restrizioni, i compitidi controllo, di indagine o di regolamentazione necessari negliultimi tre settori suindicati relativamente alla pubblica sicurezza,agli interessi economici o finanziari e alla repressione penale;che l'elenco dei compiti relativi a questi tre settori lasciaimpregiudicata la legittimità delle deroghe e restrizionigiustificate da ragioni di sicurezza di Stato e di difesa;

(44) considerando che gli Stati membri possono essere indotti,in forza di disposizioni di diritto comunitario, a derogare alledisposizioni della presente Direttiva in materia di diritto d'accesso,di informazione delle persone e di qualità dei dati, ondesalvaguardare alcune delle finalità di cui sopra;

(45) considerando che, in caso di dati che potrebbero essere oggettodi un trattamento lecito per ragioni di interesse pubblico, diesercizio dell'autorità pubblica o di interesse legittimodi un singolo, qualsiasi persona interessata dovrebbe comunqueavere il diritto, per ragioni preminenti e legittime connessealla sua situazione particolare, di opporsi al trattamento deidati che la riguardano; che gli Stati membri hanno tuttavia lafacoltà di prevedere disposizioni nazionali contrarie;

(46) considerando che la tutela dei diritti e delle libertàdelle persone interessate relativamente al trattamento di datipersonali richiede l'adozione di adeguate misure tecniche ed organizzativesia al momento della progettazione che a quello dell'esecuzionedel trattamento, in particolare per garantirne la sicurezza edimpedire in tal modo qualsiasi trattamento non autorizzato; chespetta agli Stati membri accertarsi che il responsabile del trattamentoosservi tali misure; che queste devono assicurare un adeguatolivello di sicurezza, tenuto conto delle conoscenze tecniche edei costi dell'esecuzione rispetto ai rischi che i trattamentipresentano e alla natura dei dati da proteggere;

(47) considerando che, laddove un messaggio contenente dati personalisia trasmesso tramite un servizio di telecomunicazioni o di postaelettronica, finalizzato unicamente alla trasmissione di siffattimessaggi, si considera, di norma, responsabile del trattamentodei dati personali contenuti del messaggio la persona che lo haemanato e non la persona che presta il servizio di trasmissione;che tuttavia le persone che prestano tali servizi sono di normaconsiderate responsabili del trattamento dei dati personali supplementarinecessari per il funzionamento del servizio;

(48) considerando che la notificazione all'autorità dicontrollo ha lo scopo di dare pubblicità alle finalitàdel trattamento ed alle sul principali caratteristiche, per consentirneil controllo secondo le norme nazionali di attuazione della presenteDirettiva;

(49) considerando che, al fine di evitare formalità amministrativeimproprie, possono essere previste dagli Stati membri misure diesenzione dall'obbligo di notificazione o di semplificazione diquest'ultima per i trattamenti che non sono tali da recare pregiudizioai diritti e alle libertà delle persone interessate, purchésiano conformi ad un atto adottato dallo Stato membro che ne precisii limiti; che gli Stati membri possono analogamente prevedereesenzioni o semplificazioni qualora una persona incaricata dalresponsabile del trattamento si accerti che i trattamenti effettuatinon sono tali da ledere i diritti e le libertà delle personeinteressate; che detto incaricato della protezione dei dati, dipendenteo meno del responsabile del trattamento, deve essere in gradodi esercitare le sue funzioni in modo del tutto indipendente;

(50) considerando che potrebbero essere previste esenzioni o semplificazioniper i trattamenti il cui unico scopo sia la tenuta di registrifinalizzati, ai sensi del diritto nazionale, all'informazionedel pubblico e aperti alla consultazione del pubblico o di chiunquedimostri un interesse legittimo;

(51) considerando che il responsabile del trattamento beneficiariodella semplificazione o dell'esenzione dall'obbligo di notificazionenon è tuttavia dispensato da nessuno degli altri obblighiche gli incombono a norma della presente Direttiva;

(52) considerando che, in questo contesto, il controllo a posteriorida parte delle autorità competenti deve essere ritenutodi norma sufficiente;

(53) considerando che, tuttavia, alcuni trattamenti possono presentarerischi particolari per i diritti e le libertà delle personeinteressate, per natura, portata o finalità, quali quellodi escludere una persona dal beneficio di un diritto, di una prestazioneo di un contratto, ovvero a causa dell'uso particolare di unatecnologia nuova; che spetta agli Stati membri, se lo vorranno,precisare tali rischi nella legislazione nazionale;

(54) considerando che il numero dei trattamenti che presentanotali rischi particolari dovrebbe essere molto esiguo rispettoal totale dei trattamenti effettuati nella società; che,per siffatti trattamenti, gli Stati membri devono prevedere, primache inizi il trattamento, un esame da parte dell'autoritàdi controllo, o dell'incaricato della protezione dei dati in collaborazionecon essa; che a seguito di tale esame preliminare l'autoritàdi controllo può , in base al diritto nazionale d'applicazione,formulare un parere o autorizzare il trattamento dei dati; chedetto esame può aver luogo anche durante il processo dielaborazione di un provvedimento del Parlamento nazionale ovverodi un provvedimento basato su tale provvedimento legislativo,in cui si definisca la natura del trattamento e si precisino legaranzie appropriate;

(55) considerando che, in caso di violazione dei diritti dellepersone interessate da parte del responsabile del trattamento,le legislazioni nazionali devono prevedere vie di ricorso giurisdizionale;che i danni cagionati alle persone per effetto di un trattamentoillecito devono essere riparati dal responsabile del trattamento,il quale può essere esonerato dalla propria responsabilitàse prova che l'evento dannoso non gli è imputabile, segnatamentequando dimostra l'esistenza di un errore della persona interessatao un caso di forza maggiore; che sanzioni debbono essere applicatenei confronti di qualsiasi soggetto di diritto privato o di dirittopubblico che non rispetti le norme nazionali di attuazione dellapresente Direttiva;

(56) considerando che lo sviluppo degli scambi internazionalicomporta necessariamente il trasferimento oltre frontiera di datipersonali; che la tutela delle persone garantita nella Comunitàdalla presente Direttiva non osta al trasferimento di dati personaliverso paesi terzi che garantiscano un livello di protezione adeguato;che l'adeguatezza della tutela offerta da un paese terzo deveessere valutata in funzione di tutte le circostanze relative adun trasferimento o ad una categoria di trasferimenti;

(57) considerando, per contro, che deve essere vietato il trasferimentodi dati personali verso un paese terzo che non offre un livellodi protezione adeguato;

(58) considerando che devono essere previste, in talune circostanze,deroghe a tale divieto a condizione che la persona interessatavi abbia consentito, che il trasferimento sia necessario in relazionead un contratto o da un'azione legale, oppure qualora il trasferimentosia necessario per la salvaguardia di un interesse pubblico rilevante,per esempio in casi di scambi internazionali di dati tra le amministrazionifiscali o doganali oppure tra i servizi competenti per la sicurezzasociale, o qualora il trasferimento avvenga da un registro previstodalla legge e destinato ad essere consultato dal pubblico o dallepersone aventi un interesse legittimo; che tale trasferimentonon deve riguardare la totalità dei dati o delle categoriedi dati contenuti nel registro suddetto; che il trasferimentodi un registro destinato ad essere consultato dalle persone aventiun interesse legittimo dovrebbe essere possibile soltanto su richiestadi tali persone o qualora esse ne siano i destinatari;

(59) considerando che possono essere adottate misure particolariper rimediare al livello di protezione insufficiente di un paeseterzo, qualora il responsabile del trattamento offra le opportunegaranzie; che inoltre debbono essere previste procedure di negoziatofra la Comunità e i paesi terzi in questione;

(60) considerando che comunque i trasferimenti di dati verso ipaesi terzi possono aver luogo soltanto nel pieno rispetto delledisposizioni prese dagli Stati membri in applicazione della presenteDirettiva, in particolare dell'articolo 8;

(61) considerando che gli Stati membri e la Commissione, nei rispettivisettori di competenza, devono incoraggiare gli ambienti professionaliinteressati a elaborare codici di condotta destinati a favorire,secondo le caratteristiche specifiche dei trattamenti effettuatiin taluni settori, l'attuazione della presente Direttiva nel rispettodelle disposizioni nazionali di applicazione della stessa;

(62) considerando che la designazione di autorità di controlloche agiscano in modo indipendente in ciascuno Stato membro èun elemento essenziale per la tutela delle persone con riguardoal trattamento di dati personali;

(63) considerando che tali autorità devono disporre deimezzi necessari all'adempimento dei loro compiti, siano essi poteriinvestigativi o di intervento, segnatamente in caso di reclamidi singoli individui, nonché poteri di avviare azioni legali;che esse debbono contribuire alla trasparenza dei trattamentieffettuati nello Stato membro da cui dipendono;

(64) considerando che le autorità dei vari Stati membrisono tenute a collaborare nello svolgimento dei propri compitiin modo tale da assicurare che le norme relative alla tutela venganopienamente rispettate in tutta l'Unione europea;

(65) considerando che, a livello comunitario, deve essere istituitoun gruppo per la tutela delle persone con riguardo al trattamentodei dati personali e che esso deve esercitare le sue funzioniin piena indipendenza; che, tenuto conto di tale carattere specifico,esso deve consigliare la Commissione e contribuire in particolareall'applicazione omogenea delle norme nazionali di attuazionedella presente Direttiva;

(66) considerando che, in ordine al trasferimento di dati versoi paesi terzi, l'applicazione della presente Direttiva richiedel'attribuzione alla Commissione di competenze d'esecuzione nonchél'istituzione di una procedura secondo le modalità fissatenella decisione 87/373/CEE del Consiglio ⁽⁴⁾;

(67) considerando che il 20 dicembre 1994 è stato raggiuntoun accordo su un "modus vivendi" tra Parlamento europeo,Consiglio e Commissione sulle misure di attuazione degli attiadottati in base alla procedura stabilita all'articolo 189 B deltrattato CE;

(68) considerando che i principi della tutela dei diritti e dellelibertà delle persone, in particolare del rispetto dellavita privata, con riguardo al trattamento di dati personali, oggettodella presente Direttiva, potranno essere completati o precisati,soprattutto per taluni settori, da norme specifiche ad essi conformi;

(69) considerando che è opportuno concedere agli Statimembri un termine non superiore a tre anni a decorrere dall'entratain vigore delle disposizioni nazionali di recepimento della presenteDirettiva, per consentire loro di applicare progressivamente atutti i trattamenti già realizzati dette nuove disposizioninazionali; che per agevolare un'applicazione efficiente in terminidi costi sarà concesso agli Stati membri un ulteriore periodoche si concluderà dodici anni dopo la data di adozionedella presente Direttiva, in modo tale che venga assicurata laconformità degli archivi manuali esistenti con alcune disposizionidella Direttiva; che i dati contenuti in detti archivi e oggettodi un trattamento manuale effettivo nel corso di questo periododi transizione supplementare devono essere resi conformi con lepresenti disposizioni all'atto di tale trattamento attivo;

(70) considerando che non occorre che la persona interessata dianuovamente il suo consenso affinché il responsabile possaproseguire, dopo l'entrata in vigore delle disposizioni nazionalidi attuazione della presente Direttiva, i trattamenti dei datidi natura delicata necessari all'esecuzione di un contratto conclusoin base ad un consenso libero e con cognizione di causa primadell'entrata in vigore delle suddette disposizioni;

(71) considerando che la presente Direttiva non osta alla disciplinada parte uno Stato membro delle attività di invio di materialepubblicitario destinato ai consumatori residenti nel proprio territorio,purché detta disciplina non riguardi la tutela delle personerelativamente al trattamento dei dati personali;

(72) considerando che la presente Direttiva consente che, nell'applicazionedei principi in essa stabiliti si tenga conto del principio dell'accessodel pubblico ai documenti ufficiali,

HANNO ADOTTATO LA PRESENTE DIRETTIVA

CAPO I
DISPOSIZIONI GENERALI

Articolo 1
Oggetto della direttiva

1. Gli Stati membri garantiscono, conformemente alle disposizionidella presente Direttiva, la tutela dei diritti e delle libertàfondamentali delle persone fisiche e particolarmente del dirittoalla vita privata, con riguardo al trattamento dei dati personali.

2. Gli Stati membri non possono restringere o vietare la liberacircolazione dei dati personali tra Stati membri, per motivi connessialla tutela garantita a norma del paragrafo 1.

Articolo 2
Definizioni

Ai fini della presente Direttiva si intende per:

a) "dati personali": qualsiasi informazione concernenteuna persona fisica identificata o identificabile ("personainteressata"); si considera identificabile la persona chepuò essere identificata, direttamente o indirettamente,in particolare mediante riferimento ad un numero di identificazioneo ad uno o più elementi specifici caratteristici dellasua identità fisica, fisiologica, psichica, economica,culturale o sociale;

b) "trattamento di dati personali" ("trattamento"):qualsiasi operazione o insieme di operazioni compiute con o senzal'ausilio di processi automatizzati e applicate a dati personali,come la raccolta, la registrazione, l'organizzazione, la conservazione,l'elaborazione o la modifica, l'estrazione, la consultazione,l'impiego, la comunicazione mediante trasmissione, diffusioneo qualsiasi altra forma di messa a disposizione, il raffrontoo l'interconnessione, nonché il congelamento, la cancellazioneo la distruzione;

c) "archivio di dati personali" ("archivio"):qualsiasi insieme strutturato di dati personali accessibili, secondocriteri determinati, indipendentemente dal fatto che tale insiemesia centralizzato, decentralizzato o ripartito in modo funzionaleo geografico;

d) "responsabile del trattamento": la persona fisicao giuridica, l'autorità pubblica, il servizio o qualsiasialtro organismo che, da solo o insieme ad altri, determina lefinalità e gli strumenti del trattamento di dati personali.Quando le finalità e i mezzi del trattamento sono determinatida disposizioni legislative o regolamentari nazionali o comunitarie,il responsabile del trattamento o i criteri specifici per al suadesignazione possono essere fissati dal diritto nazionale o comunitario;

e) "incaricato del trattamento": la persona fisica ogiuridica, l'autorità pubblica, il servizio o qualsiasialtro organismo che elabora dati personali per conto del responsabiledel trattamento;

f) "terzi": la persona fisica o giuridica, l'autoritàpubblica, il servizio o qualsiasi altro organismo che non siala persona interessata, il responsabile del trattamento, l'incaricatodel trattamento e le persone autorizzate all'elaborazione deidati sotto la loro autorità diretta;

g) "destinatario": la persona fisica o giuridica, l'autoritàpubblica, il servizio o qualsiasi altro organismo che riceve comunicazionedi dati, che si tratti o meno di un terzo. Tuttavia, le autoritàche possono ricevere comunicazione di dati nell'ambito di unamissione d'inchiesta specifica non sono considerate destinatari;

h) "consenso della persona interessata": qualsiasi manifestazionedi volontà libera, specifica e informata con la quale lapersona interessata accetta che i dati personali che la riguardanosiano oggetto di un trattamento.

Articolo 3
Campo d'applicazione

1. Le disposizioni della presente Direttiva si applicano al trattamentodi dati personali interamente o parzialmente automatizzato nonchéal trattamento non automatizzato di dati personali contenuti odestinati a figurare negli archivi.

2. Le disposizioni della presente Direttiva non si applicano aitrattamenti di dati personali:

- effettuati per l'esercizio di attività che non rientranonel campo di applicazione del diritto comunitario, come quellepreviste dai titoli V e VI del trattato sull'Unione europea ecomunque ai trattamenti aventi come oggetto la pubblica sicurezza,la difesa, la sicurezza dello Stato (compreso il benessere economicodello Stato, laddove tali trattamenti siano connessi a questionidi sicurezza dello Stato) e le attività dello Stato inmateria di diritto penale;

- effettuati da una persona fisica per l'esercizio di attivitàa carattere esclusivamente personale o domestico.

Articolo 4
Diritto nazionale applicabile

1. Ciascuno Stato membro applica le disposizioni nazionali adottateper l'attuazione della presente Direttiva al trattamento di datipersonali:

a) effettuato nel contesto delle attività di uno stabilimentodel responsabile del trattamento nel territorio dello Stato membro;qualora uno stesso responsabile del trattamento sia stabilitonel territorio di più Stati membri, esso deve adottarele misure necessarie per assicurare l'osservanza, da parte diciascuno di detti stabilimenti, degli obblighi stabiliti dal dirittonazionale applicabile;

b) il cui responsabile non è stabilito nel territorio delloStato membro, ma in un luogo in cui si applica la sua legislazionenazionale, a norma del diritto internazionale pubblico;

c) il cui responsabile, non stabilito nel territorio della Comunità,ricorre, ai fini del trattamento di dati personali, a strumenti,automatizzati o non automatizzati, situati nel territorio di dettoStato membro, a meno che questi non siano utilizzati ai soli finidi transito nel territorio della Comunità europea.

CAPO II
CONDIZIONI GENERALI DI LICEITÀ DEI TRATTAMENTI DI DATI PERSONALI

Articolo 5

Gli Stati membri precisano, nei limiti delle disposizioni delpresente capo, le condizioni alle quali i trattamenti di datipersonali sono leciti.

Sezione I
Principi relativi alla qualità dei dati

Articolo 6

1. Gli Stati membri dispongono che i dati personali devono essere:

a) trattati lealmente e lecitamente;

b) rilevati per finalità determinate, esplicite e legittime,e successivamente trattati in modo non incompatibile con talifinalità.
Il trattamento successivo dei dati per scopi storici, statisticio scientifici non è ritenuto incompatibile, purchégli Stati membri forniscano garanzie appropriate;

c) adeguati, pertinenti e non eccedenti rispetto alle finalitàper le quali vengono rilevati e/o per le quali vengono successivamentetrattati;

d) esatti e, se necessario, aggiornati; devono essere prese tuttele misure ragionevoli per cancellare o rettificare i dati inesattio incompleti rispetto alle finalità per le quali sono rilevatio sono successivamente trattati, cancellati o rettificati;

e) conservati in modo da consentire l'identificazione delle personeinteressate per un arco di tempo non superiore a quello necessarioal conseguimento delle finalità per le quali sono rilevatio sono successivamente trattati.

2. Il responsabile del trattamento e tenuto a garantire il rispettodelle disposizioni del paragrafo 1.

Sezione II
Principi relativi alla legittimazione del trattamentodei dati

Articolo 7

Gli Stati membri dispongono che il trattamento di dati personalipuò essere effettuato soltanto quando:

a) la persona interessata ha manifestato il proprio consenso inmaniera inequivocabile,

oppure

b) è necessario all'esecuzione del contratto concluso conla persona interessata o all'esecuzione di misure precontrattualiprese su richiesta di tale persona,

oppure

c) è necessario per adempiere un obbligo legale al qualeè soggetto il responsabile del trattamento,

oppure

d) è necessario per la salvaguardia dell'interesse vitaledella persona interessata,

oppure

e) è necessario per l'esecuzione di un compito di interessepubblico o connesso all'esercizio di pubblici poteri di cui èinvestito il responsabile del trattamento o il terzo a cui vengonocomunicati i dati,

oppure

f) è necessario per il perseguimento dell'interesse legittimodel responsabile del trattamento oppure del o dei terzi cui vengonocomunicati i dati, a condizione che non prevalgano l'interesseo i diritti e le libertà fondamentali della persona interessata,che richiedono tutela ai sensi dell'articolo 1, paragrafo 1.

Sezione III
Categorie particolari di trattamenti

Articolo 8
Trattamenti riguardanti categorie particolari di dati

1. Gli Stati membri vietano il trattamento di dati personali cherivelano l'origine razziale o etnica, le opinioni politiche, leconvinzioni religiose o filosofiche, l'appartenenza sindacale,nonché il trattamento di dati relativi alla salute e allavita sessuale.

2. Il paragrafo 1 non si applica qualora:

a) la persona interessata abbia dato il proprio consenso esplicitoa tale trattamento, salvo nei casi in cui la legislazione delloStato membro preveda che il consenso della persona interessatanon sia sufficiente per derogare al divieto di cui al paragrafo1,

oppure

b) il trattamento sia necessario, per assolvere gli obblighi ei diritti specifici del responsabile del trattamento in materiadi diritto del lavoro, nella misura in cui il trattamento stessosia autorizzato da norme nazionali che prevedono adeguate garanzie,

oppure

c) il trattamento sia necessario per salvaguardare un interessevitale della persona interessata o di un terzo nel caso in cuila persona interessata è nell'incapacità fisicao giuridica di dare il proprio consenso;

o

d) il trattamento sia effettuato, con garanzie adeguate, da unafondazione, un'associazione o qualsiasi altro organismo che nonpersegua scopi di lucro e rivesta carattere politico, filosofico,religioso o sindacale, nell'ambito del suo scopo lecito e a condizioneche riguardi unicamente i suoi membri o le persone che abbianocontatti regolari con la fondazione, l'associazione o l'organismoa motivo del suo oggetto e che i dati non vengano comunicati aterzi senza il consenso delle persone interessate;

o

e) il trattamento riguardi dati resi manifestamente pubblici dallapersona interessata o sia necessario per costituire, esercitareo difendere un diritto per via giudiziaria.

3. Il paragrafo 1 non si applica quando il trattamento dei datiè necessario alla prevenzione o alla diagnostica medica,alla somministrazione di cure o alla gestione di centri di curae quando il trattamento dei medesimi dati viene effettuato daun professionista in campo sanitario soggetto al segreto professionalesancito dalla legislazione nazionale, comprese le norme stabilitedagli organi nazionali competenti, o da un'altra persona egualmentesoggetta a un obbligo di segreto equivalente.

4. Purché siano previste le opportune garanzie, gli Statimembri possono, per motivi di interesse pubblico rilevante, stabilireulteriori deroghe oltre a quelle previste dal paragrafo 2 sullabase della legislazione nazionale o di una decisione dell'autoritàdi controllo.

5. I trattamenti riguardanti i dati relativi alle infrazioni,alle condanne penali o alle misure di sicurezza possono essereeffettuati solo sotto controllo dell'autorità pubblica,o se vengono fornite opportune garanzie specifiche, sulla basedel diritto nazionale, fatte salve le deroghe che possono esserefissate dallo Stato membro in base ad una disposizione nazionaleche preveda garanzie appropriate e specifiche.

Tuttavia un registro completo delle condanne penali puòessere tenuto solo sotto il controllo dell'autorità pubblica.

Gli Stati membri possono prevedere che i trattamenti di dati riguardantisanzioni amministrative o procedimenti civili siano ugualmenteeffettuati sotto controllo dell'autorità pubblica.

6. Le deroghe al paragrafo 1 di cui ai paragrafi 4 e 5 sono notificatealla Commissione.

7. Gli Stati membri determinano a quali condizioni un numero nazionaledi identificazione o qualsiasi altro mezzo identificativo di portatagenerale può essere oggetto di trattamento.

Articolo 9
Trattamento di dati personali e libertà d'espressione

Gli Stati membri prevedono, per il trattamento di dati personalieffettuato esclusivamente a scopi giornalistici o di espressioneartistica o letteraria, le esenzioni o le deroghe alle disposizionidel presente capo e dei capi IV e VI solo qualora si rivelinonecessarie per conciliare il diritto alla vita privata con lenorme sulla libertà d'espressione.

Sezione IV
Informazione della persona interessata

Articolo 10
Informazione in caso di raccolta dei dati presso la persona interessata

Gli Stati membri dispongono che il responsabile del trattamento,o il suo rappresentante, debba fornire alla persona presso laquale effettua la raccolta dei dati che la riguardano almeno leinformazioni elencate qui di seguito, a meno che tale personane sia già informata:

a) l'identità del responsabile del trattamento ed eventualmentedel suo rappresentante;

b) le finalità del trattamento cui sono destinati i dati;

c) ulteriori informazioni riguardanti quanto segue:


- i destinatari o le categorie di destinatari dei dati,

- se rispondere alle domande è obbligatorio o volontario,nonché le possibili conseguenze di una mancata risposta,

- se esistono diritti di accesso ai dati e di rettifica in meritoai dati che la riguardano nella misura in cui, in considerazionedelle specifiche circostanze in cui i dati vengono raccolti, taliinformazioni siano necessarie per effettuare un trattamento lealenei confronti della persona interessata.

Articolo 11
Informazione in caso di dati non raccolti presso la persona interessata

1. In caso di dati non raccolti presso la persona interessata,gli Stati membri dispongono che, al momento della registrazionedei dati o qualora sia prevista una comunicazione dei dati a unterzo, al più tardi all'atto della prima comunicazionedei medesimi, il responsabile del trattamento o il suo rappresentantedebba fornire alla persona interessata almeno le informazionielencate qui di seguito, a meno che tale persona ne sia giàinformata:

a) l'identità del responsabile del trattamento ed eventualmentedel suo rappresentante,

b) le finalità del trattamento,

c) ulteriori informazioni riguardanti quanto segue:

- le categorie di dati interessate,

- i destinatari o le categorie di destinatari dei dati,

- se esiste un diritto di accesso ai dati e di rettifica in meritoai dati che la riguardano, nella misura in cui, in considerazionedelle specifiche circostanze in cui i dati vengono raccolti, taliinformazioni siano necessarie per effettuare un trattamento lealenei confronti della persona interessata.

2. Le disposizioni del paragrafo 1 non si applicano quando, inparticolare nel trattamento di dati a scopi statistici, o di ricercastorica o scientifica, l'informazione della persona interessatasi rivela impossibile o richiede sforzi sproporzionati o la registrazioneo la comunicazione è prescritta per legge. In questi casigli Stati membri prevedono garanzie appropriate.

Sezione V
Diritto di accesso ai dati da parte della persona interessata

Articolo 12
Diritto di accesso

Gli Stati membri garantiscono a qualsiasi persona interessatail diritto di ottenere dal responsabile del trattamento:

1. liberamente e senza costrizione, ad intervalli ragionevolie senza ritardi o spese eccessivi:

- la conferma dell'esistenza o meno di trattamenti di dati chela riguardano, e l'informazione almeno sulle finalità deitrattamenti, sulle categorie di dati trattati, sui destinatario sulle categorie di destinatari cui sono comunicati i dati;

- la comunicazione in forma intelligibile dei dati che sono oggettodei trattamenti, nonché di tutte le informazioni disponibilisull'origine dei dati;

- la conoscenza della logica applicata nei trattamenti automatizzatidei dati che lo interessano, per lo meno nel caso delle decisioniautomatizzate di cui all'articolo 15, paragrafo 1;

Sezione VI
Deroghe e restrizioni

Articolo 13
Deroghe e restrizioni

1. Gli Stati membri possono adottare disposizioni legislativeintese a limitare la portata degli obblighi e dei diritti previstidalle disposizioni dell'articolo 6, paragrafo 1, dell'articolo10, dell'articolo 11, paragrafo 1 e degli articoli 12 e 21, qualoratale restrizione costituisca una misura necessaria alla salvaguardia:

a) della sicurezza dello Stato;

b) della difesa;

c) della pubblica sicurezza;

d) della prevenzione, della ricerca, dell'accertamento e del perseguimentodi infrazioni penali o di violazioni della deontologia delle professioniregolamentate;

e) di un rilevante interesse economico o finanziario di uno Statomembro o dell'Unione europea, anche in materia monetaria, di bilancioe tributaria;

f) di un compito di controllo, ispezione o disciplina connesso,anche occasionalmente, con l'esercizio dei pubblici poteri neicasi di cui alle lettere c), d) ed e);

g) della protezione della persona interessata o dei diritti edelle libertà altrui.

2. Fatte salve adeguate garanzie legali, che escludano in particolareche i dati possano essere utilizzati a fini di misure o di specifichedecisioni che si riferiscono a persone, gli Stati membri possono,nel caso in cui non sussista manifestamente alcun rischio di pregiudizioalla vita privata della persona interessata, limitare con un provvedimentolegislativo i diritti di cui all'articolo 12, qualora i dati sianotrattati esclusivamente ai fini della ricerca scientifica o sianomemorizzati sotto forma di dati personali per un periodo che nonsuperi quello necessario alla sola finalità di elaborazionedelle statistiche.

Sezione VII
Diritto di opposizione della persona interessata

Articolo 14
Diritto di opposizione della persona interessata

Gli Stati membri riconoscono alla persona interessata il diritto:

a) almeno nei casi di cui all'articolo 7, lettere e) e f), diopporsi in qualsiasi momento, per motivi preminenti e legittimi,derivanti dalla sua situazione particolare, al trattamento didati che la riguardano, salvo disposizione contraria previstadalla normativa nazionale. In caso di opposizione giustificatail trattamento effettuato dal responsabile non può piùriguardare tali dati;

b) di opporsi, su richiesta e gratuitamente, al trattamento deidati personali che la riguardano previsto dal responsabile deltrattamento a fini di invio di materiale pubblicitario ovverodi essere informata prima che i dati personali siano, per la primavolta, comunicati a terzi o utilizzati per conto di terzi, a finidi invio di materiale pubblicitario;

oppure:

la persona interessata deve essere informata in modo esplicitodel diritto di cui gode di opporsi gratuitamente alla comunicazioneo all'utilizzo di cui sopra.

Articolo 15
Decisioni individuali automatizzate

1. Gli Stati membri riconoscono a qualsiasi persona il dirittodi non essere sottoposta ad una decisione che produca effettigiuridici o abbia effetti significativi nei suoi confronti fondataesclusivamente su un trattamento automatizzato di dati destinatia valutare taluni aspetti della sua personalità, qualiil rendimento professionale, il credito, l'affidabilità,il comportamento, ecc.

2. Gli Stati membri dispongono, salve le altre disposizioni dellapresente Direttiva, che una persona può essere sottopostaa una decisione di cui al paragrafo 1, qualora una tale decisione:

a) sia presa nel contesto della conclusione o dell'esecuzionedi un contratto, a condizione che la domanda relativa alla conclusioneo all'esecuzione del contratto, presentata dalla persona interessatasia stata accolta, oppure che misure adeguate, fra le quali lapossibilità di far valere il proprio punto di vista garantiscanola salvaguardia del suo interesse legittimo,

oppure

b) sia autorizzata da una legge che precisi i provvedimenti attia salvaguardare un interesse legittimo della persona interessata.

Sezione VIII
Riservatezza e sicurezza dei trattamenti

Articolo 16
Riservatezza dei trattamenti

L'incaricato del trattamento o chiunque agisca sotto la sua autoritào sotto quella del responsabile del trattamento non deve elaborarei dati personali ai quali ha accesso, se non dietro istruzionedel responsabile del trattamento oppure in virtù di obblighilegali.

Articolo 17
Sicurezza dei trattamenti

1. Gli Stati membri dispongono che il responsabile del trattamentodeve attuare misure tecniche ed organizzative appropriate al finedi garantire la protezione dei dati personali dalla distruzioneaccidentale o illecita, dalla perdita accidentale o dall'alterazione,dalla diffusione o dall'accesso non autorizzati, segnatamentequando il trattamento comporta trasmissioni di dati all'internodi una rete, o da qualsiasi altra forma illecita di trattamentodi dati personali.

Tali misure devono garantire, tenuto conto delle attuali conoscenzein materia e dei costi dell'applicazione, un livello di sicurezzaappropriato rispetto ai rischi presentati dal trattamento e allanatura dei dati da proteggere.

2. Gli Stati membri dispongono che il responsabile del trattamento,quando quest'ultimo sia eseguito per suo conto, deve scegliereun incaricato del trattamento che presenti garanzie sufficientiin merito alle misure di sicurezza tecnica e di organizzazionedei trattamenti da effettuare e deve assicurarsi del rispettodi tali misure.

3. L'esecuzione dei trattamenti su commissione deve essere disciplinatada un contratto o da un atto giuridico che vincoli l'incaricatodel trattamento al responsabile del trattamento e che prevedasegnatamente:

- che l'incaricato del trattamento operi soltanto su istruzionidel responsabile del trattamento;

- che gli obblighi di cui al paragrafo 1, quali sono definitidalla legislazione dello Stato membro nel quale è stabilitol'incaricato del trattamento, vincolino anche quest'ultimo.

4. A fini di conservazione delle prove, gli elementi del contrattoo dell'atto giuridico relativi alla protezione dei dati e i requisiticoncernenti le misure di cui al paragrafo 1 sono stipulati periscritto o in altra forma equivalente.

Sezione IX
Notificazione

Articolo 18
Obbligo di notificazione all'autorità di controllo

1. Gli Stati membri prevedono un obbligo di notificazione a caricodel responsabile del trattamento, od eventualmente del suo rappresentante,presso l'autorità di controllo di cui all'articolo 28,prima di procedere alla realizzazione di un trattamento, o diun insieme di trattamenti, interamente o parzialmente automatizzato,destinato al conseguimento di una o più finalitàcorrelate.

2. Gli Stati membri possono prevedere una semplificazione o l'esonerodall'obbligo di notificazione soltanto nei casi e alle condizioniseguenti:

- qualora si tratti di categorie di trattamento che, in considerazionedei dati oggetto di trattamento, non siano tali da recare pregiudizioai diritti e alle libertà della persona interessata, essiprecisano le finalità dei trattamenti, i dati o le categoriedei dati trattati, la categoria o le categorie di persone interessate,i destinatari o le categorie di destinatari cui sono comunicatii dati e il periodo di conservazione dei dati,

e/o

- qualora il responsabile del trattamento designi, conformementealla legislazione nazionale applicabile, un incaricato della protezionedei dati, a cui è demandato in particolare:

- di assicurare in maniera indipendente l'applicazione internadelle disposizioni nazionali di attuazione della presente Direttiva;

- di tenere un registro dei trattamenti effettuati dal responsabiledel trattamento in cui figurino le informazioni di cui all'articolo21, paragrafo 2, Garantendo in tal modo che il trattamento nonsia tale da recare pregiudizio ai diritti e alle libertàdella persona interessata.

3. Gli Stati membri possono prevedere che le disposizioni delparagrafo 1 non si applichino ai trattamenti la cui unica finalitàè la compilazione di registri i quali, in forza di disposizionilegislative o regolamentari, siano predisposti per l'informazionedel pubblico e siano aperti alla consultazione del pubblico odi chiunque possa dimostrare un interesse legittimo.

4. Gli Stati membri possono prevedere una deroga all'obbligo dellanotificazione o una semplificazione della notificazione per itrattamenti di cui all'articolo 8, paragrafo 2, lettera d).

5. Gli Stati membri possono prevedere che i trattamenti non automatizzatidi dati personali, o alcuni di essi, siano oggetto di una notificazioneeventualmente semplificata.

Articolo 19
Oggetto della notificazione

1. Gli Stati membri definiscono le informazioni che devono esserecontenute nella notificazione.

Esse comprendono almeno:

a) il nome e l'indirizzo del responsabile del trattamento e, eventualmente,del suo rappresentante;

b) la o le finalità del trattamento;

c) una descrizione della o delle categorie di persone interessatee dei dati o delle categorie di dati relativi alle medesime;

d) i destinatari o le categorie di destinatari a cui i dati possonoessere comunicati;

e) i trasferimenti di dati previsti verso paesi terzi;

f) una descrizione generale che permetta di valutare in via preliminarel'adeguatezza delle misure adottate per garantire la sicurezzadel trattamento in applicazione dell'articolo 17.

2. Gli Stati membri precisano le modalità di notificazioneall'autorità di controllo dei mutamenti relativi alle informazionidi cui al paragrafo 1.

Articolo 20
Controllo preliminare

1. Gli Stati membri precisano i trattamenti che potenzialmentepresentano rischi specifici per i diritti e le libertàdelle persone e provvedono a che tali trattamenti siano esaminatiprima della loro messa in opera.

2. Tali esami preliminari sono effettuati dall'autoritàdi controllo una volta ricevuta la notificazione del responsabiledel trattamento, oppure dalla persona incaricata della protezionedei dati che, nei casi dubbi, deve consultare l'autoritàdi controllo medesima.

3. Gli Stati membri possono effettuare tale esame anche duranteil processo di elaborazione di un provvedimento del Parlamentonazionale, o in base ad un provvedimento fondato su siffatto provvedimentolegislativo, in cui si definisce il tipo di trattamento e si stabilisconoappropriate garanzie.

Articolo 21
Pubblicità dei trattamenti

1. Gli Stati membri adottano misure intese ad assicurare la pubblicitàdei trattamenti.

2. Gli Stati membri devono prevedere che l'autorità dicontrollo tenga un registro dei trattamenti notificati in virtùdell'articolo 18. Il registro riprende almeno le informazionienumerate all'articolo 19, paragrafo 1, lettere da a) ad e). Ilregistro può essere consultato da chiunque.

3. Gli Stati membri prevedono che i responsabili dei trattamentio un altro organismo designato dagli Stati membri comunichinonelle opportune forme, a chiunque ne faccia richiesta, almenole informazioni di cui all'articolo 19, paragrafo 1, lettere daa) a e), relative ai trattamenti esenti da notificazione.

Gli Stati membri possono prevedere che questa disposizione nonsi applichi ai trattamenti la cui unica finalità èla compilazione di registri i quali, in forza di disposizionilegislative o regolamentari, siano predisposti per l'informazionedel pubblico e siano aperti alla consultazione del pubblico odi chiunque possa dimostrare un interesse legittimo.

CAPO III
RICORSI GIURISDIZIONALI, RESPONSABILITA' E SANZIONI

Articolo 22
Ricorsi

Fatti salvi ricorsi amministrativi che possono essere promossi,segnatamente dinanzi all'autorità di controllo di cui all'articolo28, prima che sia adita l'autorità giudiziaria, gli Statimembri stabiliscono che chiunque possa disporre di un ricorsogiurisdizionale in caso di violazione dei diritti garantitiglidalle disposizioni nazionali applicabili al trattamento in questione.

Articolo 23
Responsabilità

1. Gli Stati membri dispongono che chiunque subisca un danno cagionatoda un trattamento illecito o da qualsiasi altro atto incompatibilecon le disposizioni nazionali di attuazione della presente Direttivaabbia il diritto di ottenere il risarcimento del pregiudizio subitodal responsabile del trattamento.

2. Il responsabile del trattamento può essere esoneratoin tutto o in parte da tale responsabilità se prova chel'evento dannoso non gli è imputabile.

Articolo 24
Sanzioni

Gli Stati membri adottano le misure appropriate per garantirela piena applicazione delle disposizioni della presente Direttivae in particolare stabiliscono le sanzioni da applicare in casodi violazione delle disposizioni di attuazione della presenteDirettiva.

CAPO IV
TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI

Articolo 25
Principi

1. Gli Stati membri dispongono che il trasferimento verso un paeseterzo di dati personali oggetto di un trattamento o destinatia essere oggetto di un trattamento dopo il trasferimento puòaver luogo soltanto se il paese terzo di cui trattasi garantisceun livello di protezione adeguato, fatte salve le misure nazionalidi attuazione delle altre disposizioni della presente Direttiva.

2. L'adeguatezza del livello di protezione garantito da un paeseterzo è valutata con riguardo a tutte le circostanze relativead un trasferimento o ad una categoria di trasferimenti di dati;in particolare sono presi in considerazione la natura dei dati,le finalità del o dei trattamenti previsti, il paese d'originee il paese di destinazione finale, le norme di diritto, generalio settoriali, vigenti nel paese terzo di cui trattasi, nonchéle regole professionali e le misure di sicurezza ivi osservate.

3. Gli Stati membri e la Commissione si comunicano a vicenda icasi in cui, a loro parere, un paese terzo non garantisce un livellodi protezione adeguato ai sensi del paragrafo 2.

4. Qualora la Commissione constati, secondo la procedura dell'articolo31, paragrafo 2, che un paese terzo non garantisce un livellodi protezione adeguato ai sensi del paragrafo 2 del presente articolo,gli Stati membri adottano le misure necessarie per impedire ognitrasferimento di dati della stessa natura verso il paese terzoin questione.

5. La Commissione avvia, al momento opportuno, negoziati per porrerimedio alla situazione risultante dalla constatazione di cuial paragrafo 4.

6. La Commissione può constatare, secondo la proceduradi cui all'articolo 31, paragrafo 2, che un paese terzo garantisceun livello di protezione adeguato ai sensi del paragrafo 2 delpresente articolo, in considerazione della sua legislazione nazionaleo dei suoi impegni internazionali, in particolare di quelli assuntiin seguito ai negoziati di cui al paragrafo 5, ai fini della tuteladella vita privata o delle libertà e dei diritti fondamentalidella persona.

Gli Stati membri adottano le misure necessarie per conformarsialla decisione della Commissione.

Articolo 26
Deroghe

1. In deroga all'articolo 25 e fatte salve eventuali disposizionicontrarie della legislazione nazionale per casi specifici, gliStati membri dispongono che un trasferimento di dati personaliverso un paese terzo che non garantisce una tutela adeguata aisensi dell'articolo 25, paragrafo 2 può avvenire a condizioneche:

a) la persona interessata abbia manifestato il proprio consensoin maniera inequivocabile al trasferimento previsto,

oppure

b) il trasferimento sia necessario per l'esecuzione di un contrattotra la persona interessata ed il responsabile del trattamentoo per l'esecuzione di misure precontrattuali prese a richiestadi questa,

oppure

c) il trasferimento sia necessario per la conclusione o l'esecuzionedi un contratto, concluso o da concludere nell'interesse dellapersona interessata, tra il responsabile del trattamento e unterzo,

oppure

d) il trasferimento sia necessario o prescritto dalla legge perla salvaguardia di un interesse pubblico rilevante, oppure percostatare, esercitare o difendere un diritto per via giudiziaria,

oppure

e) il trasferimento sia necessario per la salvaguardia dell'interessevitale della persona interessata,

oppure

f) il trasferimento avvenga a partire da un registro pubblicoil quale, in forza di disposizioni legislative o regolamentari,sia predisposto per l'informazione del pubblico e sia aperto allaconsultazione del pubblico o di chiunque possa dimostrare un interesselegittimo, nella misura in cui nel caso specifico siano rispettatele condizioni che la legge prevede per la consultazione.

2. Salvo il disposto del paragrafo 1, uno Stato membro puòautorizzare un trasferimento o una categoria di trasferimentidi dati personali verso un paese terzo che non garantisca un livellodi protezione adeguato ai sensi dell'articolo 25, paragrafo 2,qualora il responsabile del trattamento presenti garanzie sufficientiper la tutela della vita privata e dei diritti e delle libertàfondamentali delle persone, nonché per l'esercizio deidiritti connessi; tali garanzie possono segnatamente risultareda clausole contrattuali appropriate.

3. Lo Stato membro informa la Commissione e gli altri Stati membriin merito alle autorizzazioni concesse a norma del paragrafo 2.

In caso di opposizione notificata da un altro Stato membro o dallaCommissione, debitamente motivata sotto l'aspetto della tuteladella vita privata e dei diritti e delle libertà fondamentalidelle persone, la Commissione adotta le misure appropriate secondola procedura di cui all'articolo 31, paragrafo 2.

Gli Stati membri adottano le misure necessarie per conformarsialla decisione della Commissione.

4. Qualora la Commissione decida, secondo la procedura di cuiall'articolo 31, paragrafo 2, che alcune clausole contrattualitipo offrono le garanzie sufficienti di cui al paragrafo 2, gliStati membri adottano le misure necessarie per conformarsi alladecisione della Commissione.

CAPO V
CODICI DI CONDOTTA

Articolo 27

1. Gli Stati membri e la Commissione incoraggiano l'elaborazionedi codici di condotta destinati a contribuire, in funzione dellespecificità settoriali, alla corretta applicazione delledisposizioni nazionali di attuazione della presente Direttiva,adottate dagli Stati membri.

2. Gli Stati membri dispongono che le associazioni professionalie gli altri organismi rappresentanti altre categorie di responsabilidel trattamento, che hanno elaborato i progetti di codice nazionalio intendono modificare o prorogare i codici nazionali esistenti,possano sottoporli all'esame dell'autorità nazionale.

Gli Stati membri prevedono che tale autorità accerti, inparticolare, la conformità dei progetti che le sono sottopostialle disposizioni nazionali di attuazione della presente Direttiva.

Qualora lo ritenga opportuno, l'autorità nazionale raccogliele osservazioni delle persone interessate o dei loro rappresentanti.

3. I progetti di codici comunitari, nonché le modificheo proroghe di codici comunitari esistenti, possono essere sottopostial gruppo di cui all'articolo 29, il quale si pronuncia, in particolare,sulla conformità dei progetti che gli sono sottoposti alledisposizioni nazionali di attuazione della presente Direttiva.

Qualora lo ritenga opportuno, esso raccoglie le osservazioni dellepersone interessate o dei loro rappresentanti.

La Commissione può provvedere ad un'appropriata divulgazionedei codici che sono stati approvati dal gruppo.

CAPO VI
AUTORITA' DI CONTROLLO E GRUPPO PER LA TUTELA DELLE PERSONE
CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

Articolo 28
Autorità di controllo

1. Ogni Stato membro dispone che una o più autoritàpubbliche siano incaricate di sorvegliare, nel suo territorio,l'applicazione delle disposizioni di attuazione della presenteDirettiva, adottate dagli Stati membri.

Tali autorità sono pienamente indipendenti nell'eserciziodelle funzioni loro attribuite.

2. Ciascuno Stato membro dispone che le autorità di controllosiano consultate al momento dell'elaborazione delle misure regolamentario amministrative relative alla tutela dei diritti e delle libertàdella persona con riguardo al trattamento dei dati personali.

3. Ogni autorità di controllo dispone in particolare:

- di poteri investigativi, come il diritto di accesso ai datioggetto di trattamento e di raccolta di qualsiasi informazionenecessaria all'esercizio della sua funzione di controllo;

- di poteri effettivi d'intervento, come quello di formulare pareriprima dell'avvio di trattamenti, conformemente all'articolo 20,e di dar loro adeguata pubblicità o quello di ordinareil congelamento, la cancellazione o la distruzione dei dati, oppuredi vietare a titolo provvisorio o definitivo un trattamento, ovveroquello di rivolgere un avvertimento o un monito al responsabiledel trattamento o quello di adire i Parlamenti o altre istituzionipolitiche nazionali;

- del potere di promuovere azioni giudiziarie in caso di violazionedelle disposizioni nazionali di attuazione della presente Direttivaovvero di adire per dette violazioni le autorità giudiziarie.

4. Qualsiasi persona, o associazione che la rappresenti, puòpresentare a un'autorità di controllo una domanda relativaalla tutela dei suoi diritti e libertà con riguardo altrattamento di dati personali.

La persona interessata viene informata del seguito dato alla suadomanda.

Qualsiasi persona può, in particolare, chiedere a un'autoritàdi controllo di verificare la liceità di un trattamentoquando si applicano le disposizioni nazionali adottate a normadell'articolo 13 della presente Direttiva.

La persona viene ad ogni modo informata che una verifica ha avutoluogo.

5. Ogni autorità di controllo elabora a intervalli regolariuna relazione sulla sua attività.

La relazione viene pubblicata.

6. Ciascuna autorità di controllo, indipendentemente dallalegge nazionale applicabile al trattamento in questione, ècompetente per esercitare, nel territorio del suo Stato membro,i poteri attribuitile a norma del paragrafo 3.

Ciascuna autorità può essere invitata ad esercitarei suoi poteri su domanda dell'autorità di un altro Statomembro.

Le autorità di controllo collaborano tra loro nella misuranecessaria allo svolgimento dei propri compiti, in particolarescambiandosi ogni informazione utile.

7. Gli Stati membri dispongono che i membri e gli agenti delleautorità di controllo sono soggetti, anche dopo la cessazionedelle attività, all'obbligo del segreto professionale inmerito alle informazioni riservate cui hanno accesso.

Articolo 29
Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali

1. E' istituito un gruppo per la tutela della persone con riguardoal trattamento dei dati personali, in appresso denominato "ilgruppo".

Il gruppo ha carattere consultivo e indipendente.

2. Il gruppo è composto da un rappresentante della o delleautorità di controllo designate da ciascuno Stato membroe da un rappresentante della o delle autorità create perle istituzioni e gli organismi comunitari, nonché da unrappresentante della Commissione.

Ogni membro del gruppo è designato dall'istituzione oppuredalla o dalle autorità che rappresenta.

Qualora uno Stato membro abbia designato più autoritàdi controllo, queste procedono alla nomina di un rappresentantecomune.

Lo stesso vale per le autorità create per le istituzionie gli organismi comunitari.

3. Il gruppo adotta le sue decisioni alla maggioranza semplicedei rappresentanti delle autorità di controllo.

4. Il gruppo elegge il proprio presidente. La durata del mandatodel presidente è di due anni. Il mandato è rinnovabile.

5. Al segretariato del gruppo provvede la Commissione.

6. Il gruppo adotta il proprio regolamento interno.

7. Il gruppo esamina le questioni iscritte all'ordine del giornodal suo presidente, su iniziativa di questo o su richiesta diun rappresentante delle autorità di controllo oppure surichiesta della Commissione.

Articolo 30

1. Il gruppo ha i seguenti compiti:

a) esaminare ogni questione attinente all'applicazione delle normenazionali di attuazione della presente Direttiva per contribuirealla loro applicazione omogenea;

b) formulare, ad uso della Commissione, un parere sul livellodi tutela nella Comunità e nei paesi terzi;

c) consigliare la Commissione in merito a ogni progetto di modificadella presente Direttiva, ogni progetto di misure addizionalio specifiche da prendere ai fini della tutela dei diritti e dellelibertà delle persone fisiche con riguardo al trattamentodi dati personali, nonché in merito a qualsiasi altro progettodi misure comunitarie che incidano su tali diritti e libertà;

d) formulare un parere sui codici di condotta elaborati a livellocomunitario.

2. Il gruppo, qualora constati che tra le legislazioni o prassidegli Stati membri si manifestano divergenze che possano pregiudicarel'equivalenza della tutela delle persone in materia di trattamentodei dati personali nella Comunità, ne informa la Commissione.

3. Il gruppo può formulare di propria iniziativa raccomandazionisu qualsiasi questione riguardante la tutela delle persone neiconfronti del trattamento di dati personali nella Comunità.

4. I pareri e le raccomandazioni del gruppo vengono trasmessialla Commissione e al comitato di cui all'articolo 31.

5. La Commissione informa il gruppo del seguito da essa dato aipareri e alle raccomandazioni.

A tal fine redige una relazione che viene trasmessa anche al Parlamentoeuropeo e al Consiglio.

La relazione è oggetto di pubblicazione.

6. Il gruppo redige una relazione annuale sullo stato della tuteladelle persone fisiche con riguardo al trattamento dei dati personalinella Comunità e nei paesi terzi e la trasmette alla Commissione,al Parlamento europeo e al Consiglio.

La relazione è oggetto di pubblicazione.

CAPO VII
MISURE COMUNITARIE D'ESECUZIONE

Articolo 31
Comitato

1. La Commissione è assistita da un comitato composto dairappresentanti degli Stati membri e presieduto dal rappresentantedella Commissione.

2. Il rappresentante della Commissione sottopone al comitato unprogetto delle misure da adottare.

Il comitato, entro un termine che il presidente può fissarein funzione dell'urgenza della questione in esame, formula ilsuo parere sul progetto.

Il parere è formulato alla maggioranza prevista all'articolo148, paragrafo 2 del trattato.

Nelle votazioni in seno al comitato, ai voti dei rappresentantidegli Stati membri è attribuita la ponderazione fissatanell'articolo precitato.

Il presidente non partecipa al voto.

La Commissione adotta misure che sono applicabili immediatamente.

Tuttavia, se queste misure non sono conformi al parere del comitatosaranno subito comunicate dalla Commissione al Consiglio.

In tal caso:

- la Commissione rinvia l'applicazione delle misure da essa deciseper un periodo di tre mesi, a decorrere dalla data della comunicazione;

- il Consiglio, deliberando a maggioranza qualificata, puòprendere una decisione diversa entro il termine di cui al commaprecedente.

DISPOSIZIONI FINALI

Articolo 32

1. Gli Stati membri mettono in vigore le disposizioni legislative,regolamentari ed amministrative necessarie per conformarsi allapresente Direttiva al più tardi alla scadenza del terzoanno successivo alla sua adozione.

Quando gli Stati membri adottano tali disposizioni, queste contengonoun riferimento alla presente Direttiva o sono corredate da unsiffatto riferimento all'atto della pubblicazione ufficiale.

Le modalità di tale riferimento sono decise dagli Statimembri.

2. Gli Stati membri provvedono affinché i trattamenti avviatiprima della data di entrata in vigore delle disposizioni nazionalidi attuazione della presente Direttiva si conformino a dette disposizionientro i tre anni successivi alla data summenzionata.

In deroga al comma precedente, gli Stati membri possono prevedereche, per quanto riguarda gli articoli 6, 7 ed 8, la messa in conformitàdei trattamenti di dati già contenuti in archivi manualialla data dell'entrata in vigore delle disposizioni nazionalidi attuazione della presente Direttiva sia effettuata man manoche si procede a successive operazioni di trattamento di talidati, diverse dalla semplice memorizzazione.

Questa messa in conformità deve, tuttavia, essere terminataentro il dodicesimo anno a decorrere dalla data di adozione dellapresente Direttiva.

Gli Stati membri consentono comunque alla persona interessatadi ottenere a sua richiesta e in particolare in sede di eserciziodel diritto di accesso, la rettifica, la cancellazione o il congelamentodei dati incompleti, inesatti o conservati in modo incompatibilecon i fini legittimi perseguiti dal responsabile del trattamento.

3. In deroga al paragrafo 2, gli Stati membri possono prevedere,con riserva di garanzie adeguate, che i dati conservati esclusivamenteper ricerche storiche non siano resi conformi alle disposizionidegli articoli 6, 7 e 8 della presente Direttiva.

4. Gli Stati membri comunicano alla Commissione le disposizionidi diritto interno che adottano nel settore disciplinato dallapresente Direttiva.

Articolo 33

La Commissione presenta periodicamente al Consiglio e al Parlamentoeuropeo, per la prima volta entro tre anni dalla data di cui all'articolo32, paragrafo 1, una relazione sull'applicazione della presenteDirettiva, accompagnata, se del caso, dalle opportune propostedi modifica. La relazione è oggetto di pubblicazione.

La Commissione esaminerà in particolare l'applicazionedella presente Direttiva al trattamento dei dati sotto forma disuoni o immagini relativi a persone fisiche e presenteràle eventuali proposte necessarie, tenuto conto dell'evoluzionedella tecnologia dell'informazione e alla luce dei progressi dellasocietà dell'informazione.

Articolo 34

Gli Stati membri sono destinatari della presente Direttiva.