RESIDENZA SOCIO-SANITARIA ASSISTENZIALE PER ANZIANI

Direttiva 95/46/CE

Sulla protezione dei dati personali

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 100 A,

vista la proposta della Commissione,

visto il parere del Comitato economico e sociale,

deliberando conformemente alla procedura di cui all'articolo 189 B del trattato,

(1) considerando che gli obiettivi della Comunità, enunciati nel trattato, come è stato modificato dal trattato sull'Unione europea, consistono nel realizzare un'unione sempre più stretta tra i popoli europei, nell'istituire relazioni più strette tra gli Stati che la Comunità riunisce, nell'assicurare mediante un'azione comune il progresso economico e sociale eliminando le barriere che dividono l'Europa, nel promuovere il miglioramento costante delle condizioni di vita delle sue popolazioni, nel preservare e rafforzare la pace e la libertà e nel promuovere la democrazia basandosi sui diritti fondamentali sanciti dalle costituzioni e dalle leggi degli Stati membri nonché dalla convenzione europea di salvaguardia dei diritti dell'uomo e delle libertà fondamentali;

(2) considerando che i sistemi di trattamento dei dati sono al servizio dell'uomo; che essi, indipendentemente dalla nazionalità o dalla residenza delle persone fisiche, debbono rispettare le libertà e i diritti fondamentali delle stesse, in particolare la vita privata, e debbono contribuire al progresso economico e sociale, allo sviluppo degli scambi nonché al benessere degli individui;

(3) considerando che l'instaurazione e il funzionamento del mercato interno, nel quale, conformemente all'articolo 7 A del trattato, è assicurata la libera circolazione delle merci, delle persone, dei servizi e dei capitali, esigono non solo che i dati personali possano circolare liberamente da uno Stato membro all'altro, ma che siano altresì salvaguardati i diritti fondamentali della persona;

(4) considerando che nella Comunità si ricorre sempre più frequentemente al trattamento di dati personali nei vari settori delle attività economiche e sociali; che i progressi registrati dalle tecnologie dell'informazione facilitano notevolmente il trattamento e lo scambio di tali dati;

(5) considerando che l'integrazione economica e sociale derivante dall'instaurazione e dal funzionamento del mercato interno ai sensi dell'articolo 7 A del trattato comporterà necessariamente un sensibile aumento dei flussi transfrontalieri di dati personali tra tutti i soggetti della vita economica e sociale degli Stati membri, siano essi privati o pubblici; che lo scambio di dati personali tra imprese stabilite in Stati membri differenti è destinato ad aumentare; che le amministrazioni nazionali dei vari Stati membri debbono collaborare, in applicazione del diritto comunitario, e scambiarsi i dati personali per poter svolgere la loro funzione o esercitare compiti per conto di un'amministrazione di un altro Stato membro, nell'ambito dello spazio senza frontiere costituito dal mercato interno;

(6) considerando, inoltre, che il rafforzamento della cooperazione scientifica e tecnica e la messa in opera coordinata di nuove reti di telecomunicazioni nella Comunità richiedono e facilitano la circolazione transfrontaliera di dati personali;

(7) considerando che il divario nei livelli di tutela dei diritti e delle libertà personali, in particolare della vita privata, garantiti negli Stati membri relativamente al trattamento di dati personali può impedire la trasmissione dei dati stessi fra territori degli Stati membri e che tale divario può pertanto costituire un ostacolo all'esercizio di una serie di attività economiche su scala comunitaria, falsare la concorrenza e ostacolare, nell'adempimento dei loro compiti, le amministrazioni che intervengono nell'applicazione del diritto comunitario; che detto divario nel grado di tutela deriva dalla diversità disposizioni legislative, regolamentari ed amministrative nazionali;

(8) considerando che, per eliminare gli ostacoli alla circolazione dei dati personali, il livello di tutela dei diritti e delle libertà delle persone relativamente al trattamento di tali dati deve essere equivalente in tutti gli Stati membri; che tale obiettivo, fondamentale per il mercato interno, non può essere conseguito esclusivamente attraverso l'azione degli Stati membri, tenuto conto in particolare dell'ampia divergenza esistente attualmente tra le normative nazionali in materia e della necessità di coordinarle affinché il flusso transfrontaliero di dati personali sia disciplinato in maniera coerente e conforme all'obiettivo del mercato interno ai sensi dell'articolo 7 A del trattato; che risulta pertanto necessario un intervento della Comunità ai fini di un ravvicinamento delle legislazioni;

(9) considerando che, data la protezione equivalente derivante dal ravvicinamento delle legislazioni nazionali, gli Stati membri non potranno più ostacolare la libera circolazione tra loro di dati personali per ragioni inerenti alla tutela dei diritti e delle libertà delle persone fisiche, segnatamente del diritto alla vita privata; che gli Stati membri disporranno di un margine di manovra di cui potranno valersi, nell'applicazione della direttiva, i partner economici e sociali; che potranno quindi precisare nella loro legislazione nazionale le condizioni generali di liceità dei trattamenti; che così facendo gli Stati membri si adopereranno per migliorare la protezione attualmente prevista dalle loro leggi; che, nei limiti di tale margine di manovra e conformemente al diritto comunitario, potranno verificarsi divergenze nell'applicazione della direttiva e che queste potranno ripercuotersi sulla circolazione dei dati sia all'interno dello Stato membro che nelle Comunità;

(10) considerando che le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, riconosciuto anche dall'articolo 8 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali e dai principi generali del diritto comunitario; che pertanto il ravvicinamento di dette legislazioni non deve avere per effetto un indebolimento della tutela da esse assicurata ma deve anzi mirare a garantire un elevato grado di tutela nella Comunità;

(11) considerando che i principi della tutela dei diritti e delle libertà delle persone, in particolare del rispetto della vita privata, contenuti dalla presente direttiva precisano ed ampliano quelli enunciati dalla convenzione del 28 gennaio 1981 del Consiglio d'Europa sulla protezione delle persone con riferimento al trattamento automatizzato dei dati di carattere personale;

(12) considerando che i principi di tutela si devono applicare a tutti i trattamenti di dati personali quando le attività del responsabile del trattamento rientrano nel campo d'applicazione del diritto comunitario; che deve essere escluso il trattamento di dati effettuato da una persona fisica nell'esercizio di attività a carattere esclusivamente personale o domestico quali la corrispondenza e la compilazione di elenchi di indirizzi;

(13) considerando che le attività previste dai titoli V e VI del trattato sull'Unione europea attinenti alla pubblica sicurezza, alla difesa, alla sicurezza dello Stato o alle attività dello Stato in materia di diritto penale non rientrano nel campo d'applicazione del diritto comunitario, fatti salvi gli obblighi che incombono agli Stati membri a norma dell'articolo 56, paragrafo 2, dell'articolo 57 e 100 A del trattato; che il trattamento di dati personali che è necessario alla salvaguardia del benessere economico dello Stato non rientra nell'ambito della presente direttiva qualora il trattamento sia legato a questioni di sicurezza dello Stato;

(14) considerando che la presente direttiva dovrebbe applicarsi al trattamento dei dati in forma di suoni e immagini relativi a persone fisiche, vista la notevole evoluzione in corso nella società dell'informazione delle tecniche per captare, trasmettere, manipolare, registrare, conservare o comunicare siffatti dati;

(15) considerando che il trattamento de suddetti dati rientra nella presente direttiva soltanto se è automatizzato o se riguarda dati contenuti, o destinati ad essere contenuti, in un archivio strutturato secondo criteri specifici relativi alle persone, in modo da consentire un facile accesso ai dati personali di cui trattasi;

(16) considerando che nel campo d'applicazione della presente direttiva non rientra il trattamento di dati in forma di suoni e immagini, quali i dati di controllo video, finalizzato alla pubblica sicurezza, alla difesa, alla sicurezza dello Stato o all'esercizio di attività dello Stato nella sfera del diritto penale o di altre attività che esulano dal campo d'applicazione del diritto comunitario;

(17) considerando che, per quanto attiene al trattamento di suoni e immagini finalizzato all'attività giornalistica o all'espressione letteraria o artistica, in particolare del settore audiovisivo, i principi della direttiva hanno un'applicazione limitata, conformemente a quanto dispone l'articolo 9;

(18) considerando che, onde evitare che una persona venga privata della tutela cui ha diritto in forza della presente direttiva, è necessario che qualsiasi trattamento di dati personali effettuato nella Comunità rispetti la legislazione di uno degli Stati membri; che, a questo proposito, è opportuno assoggettare i trattamenti effettuati da una persona che opera sotto l'autorità del responsabile del trattamento stabilito in uno Stato membro alla legge di tale Stato;

(19) considerando che lo stabilimento nel territorio di uno Stato membro implica l'esercizio effettivo e reale dell'attività mediante un'organizzazione stabile; che la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalità giuridica, non è il fattore determinante a questo riguardo; che quando un unico responsabile del trattamento è stabilito nel territorio di diversi Stati membri, in particolare per mezzo di filiali, esso deve assicurare, segnatamente per evitare che le disposizioni vengano eluse, che ognuno degli stabilimenti adempia gli obblighi previsti dalla legge nazionale applicabile alle attività di ciascuno di essi;

(20) considerando che la tutela delle persone prevista dalla presente direttiva non deve essere impedita dal fatto che il responsabile del trattamento sia stabilito in un paese terzo; che, in tal caso, è opportuno che i trattamenti effettuati siano disciplinati dalla legge dello Stato membro nel quale sono ubicati i mezzi utilizzati per il trattamento in oggetto e che siano prese le garanzie necessarie per consentire l'effettivo rispetto dei diritti e degli obblighi previsti dalla presente direttiva;

(21) considerando che la presente direttiva lascia impregiudicate le norme di territorialità applicabili in materia penale;

(22) considerando che gli Stati membri preciseranno, nella loro legislazione o in sede di applicazione delle norme di attuazione della presente direttiva, i requisiti generali di liceità del trattamento dei dati; che in particolare l'articolo 5, in combinato disposto con gli articoli 7 e 8, consente agli Stati membri di prevedere, indipendentemente dalle norme generali, condizioni particolari per il trattamento dei dati in settori specifici e per le varie categorie di dati di cui all'articolo 8;

(23) considerando che gli Stati membri sono autorizzati ad assicurare la messa in opera della tutela delle persone sia mediante una legge generale relativa alla tutela delle persone contro il trattamento dei dati personali, sia mediante leggi settoriali, quali quelle relative ad esempio agli istituti di statistica;

(24) considerando che la presente direttiva lascia impregiudicate le normative relative alla tutela delle persone giuridiche riguardo al trattamento dei dati che le riguardano;

(25) considerando che i principi di tutela si esprimono, da un lato, nei vari obblighi a carico delle persone, autorità pubbliche, imprese, agenzie o altri organismi responsabili del trattamento, obblighi relativi in particolare alla qualità dei dati, alla sicurezza tecnica, alla notificazione all'autorità di controllo, alle circostanze in cui il trattamento può essere effettuato e, dall'altro, nel diritto delle persone, i cui dati sono oggetto di trattamento, di esserne informate, di poter accedere ai dati, e chiederne la rettifica, o di opporsi al trattamento in talune circostanze;

(26) considerando che i principi della tutela si devono applicare ad ogni informazione concernente una persona identificata o identificabile; che, per determinare se una persona è identificabile, è opportuno prendere in considerazione l'insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona; che i principi della tutela non si applicano a dati resi anonimi in modo tale che la persona interessata non è più identificabile; che i codici di condotta ai sensi dell'articolo 27 possono costituire uno strumento utile di orientamento sui mezzi grazie ai quali dati possano essere resi anonimi e registrati in modo da rendere impossibile l'identificazione della persona interessata;

(27) considerando che la tutela delle persone fisiche deve essere applicata al trattamento dei dati sia automatizzato sia manuale; che la portata della tutela non deve infatti dipendere dalle tecniche impiegate poiché, in caso contrario, sussisterebbero gravi rischi di elusione delle disposizioni; che nondimeno, riguardo al trattamento manuale, la presente direttiva si applica soltanto agli archivi e non ai fascicoli non strutturati; che, in particolare, il contenuto di un archivio deve essere strutturato secondo criteri specifici relativi alle persone che consentano un facile accesso ai dati personali; che, in conformità alla definizione dell'articolo 2, lettera c), i diversi criteri che determinano gli elementi che costituiscono un insieme strutturato di dati personali, nonché i diversi criteri in virtù dei quali un siffatto insieme è accessibile, possono essere precisati dai singoli Stati membri; che i fascicoli o le serie di fascicoli, nonché le rispettive copertine, non strutturati secondo criteri specifici, non rientrano in nessun caso nel campo di applicazione della presente direttiva;

(28) considerando che qualsivoglia trattamento di dati personali deve essere eseguito lealmente e lecitamente nei confronti delle persone interessate; che esso deve in particolare avere per oggetto dati adeguati, pertinenti e non eccedenti rispetto alle finalità perseguite; che tali finalità devono essere esplicite e legittime e specificate al momento della raccolta dei dati; che le finalità dei trattamenti successivi alla raccolta non possono essere incompatibili con quelle originariamente specificate;

(29) considerando che l'ulteriore trattamento di dati personali per scopi storici, statistici o scientifici non è generalmente considerato incompatibile con le finalità per le quali i dati erano stati preventivamente raccolti, purché gli Stati membri forniscano adeguate garanzie; che tali garanzie devono soprattutto impedire l'uso dei dati per l'adozione di misure o decisioni nei confronti di singole persone;

(30) considerando che, per essere lecito, il trattamento di dati personali deve essere inoltre basato sul consenso della persona interessata oppure deve essere necessario ai fini della conclusione o dell'esecuzione di un contratto vincolante per la persona interessata, oppure deve essere previsto dalla legge, per l'esecuzione di un compito nell'interesse pubblico o per l'esercizio dell'autorità pubblica, o nell'interesse legittimo di un singolo individuo, a condizione che gli interessi o i diritti e le libertà della persona interessata non abbiano la prevalenza; che, segnatamente, per garantire un equilibrio degli interessi in causa, pur assicurando una concorrenza effettiva, gli Stati membri possono precisare le condizioni alle quali dati personali possono essere usati e comunicati a terzi nell'ambito di attività lecite di gestione corrente delle imprese o di altri organismi; che essi possono parimenti precisare le condizioni alle quali può essere effettuata la comunicazione a terzi di dati personali a fini di prospezione, sia che si tratti di invio di materiale pubblicitario che di invio di materiale promosso da un'associazione a scopo benefico o da altre associazioni o fondazioni, ad esempio a carattere politico, nel rispetto delle disposizioni volte a consentire alle persone interessate di opporsi senza dover fornire una motivazione e senza spese al trattamento dei dati che le riguardano;

(31) considerando che un trattamento di dati personali deve essere ugualmente considerato lecito quando è effettuato per tutelare un interesse essenziale alla vita della persona interessata;

(32) considerando che spetta alle legislazioni nazionali stabilire se il responsabile del trattamento investito di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri debba essere una pubblica amministrazione o un altro soggetto di diritto pubblico o di diritto privato, quale un'associazione professionale;

(33) considerando che i dati che possono per loro natura ledere le libertà fondamentali o la vita privata non dovrebbero essere oggetto di trattamento, salvo esplicito consenso della persona interessata; che tuttavia le deroghe a questo divieto devono essere espressamente previste nei casi di necessità specifiche, segnatamente laddove il trattamento di tali dati viene eseguito da persone assoggettate per legge all'obbligo del segreto professionale per taluni fini connessi alla sanità o per le legittime attività di talune associazioni o fondazioni il cui scopo consista nel permettere l'esercizio delle libertà fondamentali;

(34) considerando che gli Stati membri devono anche essere autorizzati, quando un motivo di interesse pubblico rilevante lo giustifichi, a derogare al divieto di trattamento di categorie di dati di natura delicata in settori quali la pubblica sanità e la protezione sociale - soprattutto al fine di assicurare la qualità e la redditività per quanto riguarda le procedure per rispondere alle richieste di prestazioni e servizi nell'ambito del regime di assicurazione sanitaria -, la ricerca scientifica nonché le statistiche pubbliche; che spetta loro tuttavia prevedere le garanzie appropriate e specifiche per tutelare i diritti fondamentali e la vita privata delle persone;

(35) considerando inoltre che il trattamento di dati personali da parte di pubbliche autorità per la realizzazione degli scopi, previsti dal diritto costituzionale o dal diritto internazionale pubblico, di associazioni religiose ufficialmente riconosciute viene effettuato per motivi di rilevante interesse pubblico;

(36) considerando che, se nelle attività connesse con le elezioni il funzionamento del sistema democratico rende necessaria, in alcuni Stati membri, la raccolta da parte di partiti politici di dati sulle opinioni politiche delle persone, può essere consentito il trattamento di siffatti dati per motivi di interesse pubblico rilevante, purché siano stabilite garanzie appropriate;

(37) considerando che il trattamento di dati personali a scopi giornalistici o di espressione artistica o letteraria, in particolare nel settore audiovisivo deve beneficiare di deroghe o di limitazioni a determinate disposizioni della presente direttiva ove sia necessario per conciliare i diritti fondamentali della persona con la libertà di espressione ed in particolare la libertà di ricevere o di comunicare informazioni, quale garantita in particolare dall'articolo 10 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali; che pertanto, al fine di stabilire un equilibrio fra i diritti fondamentali, gli Stati membri devono prevedere le deroghe e le limitazioni necessarie in materia di misure generali concernenti la legittimità del trattamento di dati, di misure relative al trasferimento di dati nei paesi terzi nonché di competenze degli uffici preposti al controllo; che tuttavia ciò non dovrebbe permettere agli Stati membri di prevedere deroghe alle misure di garanzia della sicurezza del trattamento; che agli uffici preposti al controllo in tale settore dovrebbero essere parimenti conferite almeno determinate competenze a posteriori, ad esempio la competenza di pubblicare periodicamente una relazione o di adire l'autorità giudiziaria;

(38) considerando che il trattamento leale dei dati presuppone che le persone interessate possano conoscere l'esistenza del trattamento e disporre, quando i dati che le riguardano sono forniti direttamente da loro, di un'informazione effettiva e completa in merito alle circostanze della raccolta;

(39) considerando che alcuni trattamenti riguardano dati che il responsabile non ha raccolto direttamente presso la persona interessata; che è peraltro possibile che taluni dati siano legittimamente comunicati a terzi anche se tale comunicazione non era stata prevista all'atto della raccolta dei dati presso la persona interessata; che, in tutti questi casi, la persona interessata deve essere informata al momento della registrazione dei dati o al massimo quando essi sono comunicati per la prima volta a terzi;

(40) considerando che non è tuttavia necessario imporre tale obbligo se la persona interessata è già informata; che, inoltre, tale obbligo non è previsto se la registrazione o la comunicazione sono espressamente previste dalla legge ovvero se informare la persona interessata risulta impossibile o implica uno sforzo eccessivo, come può verificarsi per i trattamenti a fini storici, statistici o scientifici; che in questo caso si può tener conto del numero di persone interessate, dell'antichità dei dati e delle eventuali misure di compensazione;

(41) considerando che una persona deve godere del diritto d'accesso ai dati che la riguardano e che sono oggetto di trattamento, per poter verificare, in particolare, la loro esattezza e la liceità del trattamento; che, per le stesse ragioni, le persone devono avere inoltre il diritto di conoscere la logica su cui si basa il trattamento automatizzato dei dati che le riguardano, perlomeno nel caso delle decisioni automatizzate di cui all'articolo 15, paragrafo 1; che tale diritto deve lasciare impregiudicati il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d'autore che tutelano il software; che ciò non dovrebbe comunque tradursi nel rifiuto di fornire qualsiasi informazione alla persona interessata;

(42) considerando che gli Stati membri possono, a beneficio della persona interessata o a tutela dei diritti e delle libertà altrui, limitare il diritto d'accesso e d'informazione; che possono, ad esempio, precisare che l'accesso ai dati medici è possibile soltanto per il tramite del personale sanitario;

(43) considerando che gli Stati membri possono altresì imporre analoghe restrizioni al diritto di accesso e di informazione e ad alcuni obblighi del responsabile del trattamento nella misura in cui tali restrizioni siano necessarie per salvaguardare, ad esempio, la sicurezza nazionale, la difesa, la pubblica sicurezza, importanti interessi economici o finanziari di uno Stato membro o dell'Unione, nonché per indagini e procedimenti penali e in caso di violazioni dell'etica delle professioni regolamentate; che occorre elencare, a titolo di deroghe e restrizioni, i compiti di controllo, di indagine o di regolamentazione necessari negli ultimi tre settori suindicati relativamente alla pubblica sicurezza, agli interessi economici o finanziari e alla repressione penale; che l'elenco dei compiti relativi a questi tre settori lascia impregiudicata la legittimità delle deroghe e restrizioni giustificate da ragioni di sicurezza di Stato e di difesa;

(44) considerando che gli Stati membri possono essere indotti, in forza di disposizioni di diritto comunitario, a derogare alle disposizioni della presente direttiva in materia di diritto d'accesso, di informazione delle persone e di qualità dei dati, onde salvaguardare alcune delle finalità di cui sopra;

(45) considerando che, in caso di dati che potrebbero essere oggetto di un trattamento lecito per ragioni di interesse pubblico, di esercizio dell'autorità pubblica o di interesse legittimo di un singolo, qualsiasi persona interessata dovrebbe comunque avere il diritto, per ragioni preminenti e legittime connesse alla sua situazione particolare, di opporsi al trattamento dei dati che la riguardano; che gli Stati membri hanno tuttavia la facoltà di prevedere disposizioni nazionali contrarie;

(46) considerando che la tutela dei diritti e delle libertà delle persone interessate relativamente al trattamento di dati personali richiede l'adozione di adeguate misure tecniche ed organizzative sia al momento della progettazione che a quello dell'esecuzione del trattamento, in particolare per garantirne la sicurezza ed impedire in tal modo qualsiasi trattamento non autorizzato; che spetta agli Stati membri accertarsi che il responsabile del trattamento osservi tali misure; che queste devono assicurare un adeguato livello di sicurezza, tenuto conto delle conoscenze tecniche e dei costi dell'esecuzione rispetto ai rischi che i trattamenti presentano e alla natura dei dati da proteggere;

(47) considerando che, laddove un messaggio contenente dati personali sia trasmesso tramite un servizio di telecomunicazioni o di posta elettronica, finalizzato unicamente alla trasmissione di siffatti messaggi, si considera, di norma, responsabile del trattamento dei dati personali contenuti del messaggio la persona che lo ha emanato e non la persona che presta il servizio di trasmissione; che tuttavia le persone che prestano tali servizi sono di norma considerate responsabili del trattamento dei dati personali supplementari necessari per il funzionamento del servizio;

(48) considerando che la notificazione all'autorità di controllo ha lo scopo di dare pubblicità alle finalità del trattamento ed alle sul principali caratteristiche, per consentirne il controllo secondo le norme nazionali di attuazione della presente direttiva;

(49) considerando che, al fine di evitare formalità amministrative improprie, possono essere previste dagli Stati membri misure di esenzione dall'obbligo di notificazione o di semplificazione di quest'ultima per i trattamenti che non sono tali da recare pregiudizio ai diritti e alle libertà delle persone interessate, purché siano conformi ad un atto adottato dallo Stato membro che ne precisi i limiti; che gli Stati membri possono analogamente prevedere esenzioni o semplificazioni qualora una persona incaricata dal responsabile del trattamento si accerti che i trattamenti effettuati non sono tali da ledere i diritti e le libertà delle persone interessate; che detto incaricato della protezione dei dati, dipendente o meno del responsabile del trattamento, deve essere in grado di esercitare le sue funzioni in modo del tutto indipendente;

(50) considerando che potrebbero essere previste esenzioni o semplificazioni per i trattamenti il cui unico scopo sia la tenuta di registri finalizzati, ai sensi del diritto nazionale, all'informazione del pubblico e aperti alla consultazione del pubblico o di chiunque dimostri un interesse legittimo;

(51) considerando che il responsabile del trattamento beneficiario della semplificazione o dell'esenzione dall'obbligo di notificazione non è tuttavia dispensato da nessuno degli altri obblighi che gli incombono a norma della presente direttiva;

(52) considerando che, in questo contesto, il controllo a posteriori da parte delle autorità competenti deve essere ritenuto di norma sufficiente;

(53) considerando che, tuttavia, alcuni trattamenti possono presentare rischi particolari per i diritti e le libertà delle persone interessate, per natura, portata o finalità, quali quello di escludere una persona dal beneficio di un diritto, di una prestazione o di un contratto, ovvero a causa dell'uso particolare di una tecnologia nuova; che spetta agli Stati membri, se lo vorranno, precisare tali rischi nella legislazione nazionale;

(54) considerando che il numero dei trattamenti che presentano tali rischi particolari dovrebbe essere molto esiguo rispetto al totale dei trattamenti effettuati nella società; che, per siffatti trattamenti, gli Stati membri devono prevedere, prima che inizi il trattamento, un esame da parte dell'autorità di controllo, o dell'incaricato della protezione dei dati in collaborazione con essa; che a seguito di tale esame preliminare l'autorità di controllo può, in base al diritto nazionale d'applicazione, formulare un parere o autorizzare il trattamento dei dati; che detto esame può aver luogo anche durante il processo di elaborazione di un provvedimento del Parlamento nazionale ovvero di un provvedimento basato su tale provvedimento legislativo, in cui si definisca la natura del trattamento e si precisino le garanzie appropriate;

(55) considerando che, in caso di violazione dei diritti delle persone interessate da parte del responsabile del trattamento, le legislazioni nazionali devono prevedere vie di ricorso giurisdizionale; che i danni cagionati alle persone per effetto di un trattamento illecito devono essere riparati dal responsabile del trattamento, il quale può essere esonerato dalla propria responsabilità se prova che l'evento dannoso non gli è imputabile, segnatamente quando dimostra l'esistenza di un errore della persona interessata o un caso di forza maggiore; che sanzioni debbono essere applicate nei confronti di qualsiasi soggetto di diritto privato o di diritto pubblico che non rispetti le norme nazionali di attuazione della presente direttiva;

(56) considerando che lo sviluppo degli scambi internazionali comporta necessariamente il trasferimento oltre frontiera di dati personali; che la tutela delle persone garantita nella Comunità dalla presente direttiva non osta al trasferimento di dati personali verso paesi terzi che garantiscano un livello di protezione adeguato; che l'adeguatezza della tutela offerta da un paese terzo deve essere valutata in funzione di tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti;

(57) considerando, per contro, che deve essere vietato il trasferimento di dati personali verso un paese terzo che non offre un livello di protezione adeguato;

(58) considerando che devono essere previste, in talune circostanze, deroghe a tale divieto a condizione che la persona interessata vi abbia consentito, che il trasferimento sia necessario in relazione ad un contratto o da un'azione legale, oppure qualora il trasferimento sia necessario per la salvaguardia di un interesse pubblico rilevante, per esempio in casi di scambi internazionali di dati tra le amministrazioni fiscali o doganali oppure tra i servizi competenti per la sicurezza sociale, o qualora il trasferimento avvenga da un registro previsto dalla legge e destinato ad essere consultato dal pubblico o dalle persone aventi un interesse legittimo; che tale trasferimento non deve riguardare la totalità dei dati o delle categorie di dati contenuti nel registro suddetto; che il trasferimento di un registro destinato ad essere consultato dalle persone aventi un interesse legittimo dovrebbe essere possibile soltanto su richiesta di tali persone o qualora esse ne siano i destinatari;

(59) considerando che possono essere adottate misure particolari per rimediare al livello di protezione insufficiente di un paese terzo, qualora il responsabile del trattamento offra le opportune garanzie; che inoltre debbono essere previste procedure di negoziato fra la Comunità e i paesi terzi in questione;

(60) considerando che comunque i trasferimenti di dati verso i paesi terzi possono aver luogo soltanto nel pieno rispetto delle disposizioni prese dagli Stati membri in applicazione della presente direttiva, in particolare dell'articolo 8;

(61) considerando che gli Stati membri e la Commissione, nei rispettivi settori di competenza, devono incoraggiare gli ambienti professionali interessati a elaborare codici di condotta destinati a favorire, secondo le caratteristiche specifiche dei trattamenti effettuati in taluni settori, l'attuazione della presente direttiva nel rispetto delle disposizioni nazionali di applicazione della stessa;

(62) considerando che la designazione di autorità di controllo che agiscano in modo indipendente in ciascuno Stato membro è un elemento essenziale per la tutela delle persone con riguardo al trattamento di dati personali;

(63) considerando che tali autorità devono disporre dei mezzi necessari all'adempimento dei loro compiti, siano essi poteri investigativi o di intervento, segnatamente in caso di reclami di singoli individui, nonché poteri di avviare azioni legali; che esse debbono contribuire alla trasparenza dei trattamenti effettuati nello Stato membro da cui dipendono;

(64) considerando che le autorità dei vari Stati membri sono tenute a collaborare nello svolgimento dei propri compiti in modo tale da assicurare che le norme relative alla tutela vengano pienamente rispettate in tutta l'Unione europea;

(65) considerando che, a livello comunitario, deve essere istituito un gruppo per la tutela delle persone con riguardo al trattamento dei dati personali e che esso deve esercitare le sue funzioni in piena indipendenza; che, tenuto conto di tale carattere specifico, esso deve consigliare la Commissione e contribuire in particolare all'applicazione omogenea delle norme nazionali di attuazione della presente direttiva;

(66) considerando che, in ordine al trasferimento di dati verso i paesi terzi, l'applicazione della presente direttiva richiede l'attribuzione alla Commissione di competenze d'esecuzione nonché l'istituzione di una procedura secondo le modalità fissate nella decisione 87/373/CEE del Consiglio (4);

(67) considerando che il 20 dicembre 1994 è stato raggiunto un accordo su un "modus vivendi" tra Parlamento europeo, Consiglio e Commissione sulle misure di attuazione degli atti adottati in base alla procedura stabilita all'articolo 189 B del trattato CE;

(68) considerando che i principi della tutela dei diritti e delle libertà delle persone, in particolare del rispetto della vita privata, con riguardo al trattamento di dati personali, oggetto della presente direttiva, potranno essere completati o precisati, soprattutto per taluni settori, da norme specifiche ad essi conformi;

(69) considerando che è opportuno concedere agli Stati membri un termine non superiore a tre anni a decorrere dall'entrata in vigore delle disposizioni nazionali di recepimento della presente direttiva, per consentire loro di applicare progressivamente a tutti i trattamenti già realizzati dette nuove disposizioni nazionali; che per agevolare un'applicazione efficiente in termini di costi sarà concesso agli Stati membri un ulteriore periodo che si concluderà dodici anni dopo la data di adozione della presente direttiva, in modo tale che venga assicurata la conformità degli archivi manuali esistenti con alcune disposizioni della direttiva; che i dati contenuti in detti archivi e oggetto di un trattamento manuale effettivo nel corso di questo periodo di transizione supplementare devono essere resi conformi con le presenti disposizioni all'atto di tale trattamento attivo;

(70) considerando che non occorre che la persona interessata dia nuovamente il suo consenso affinché il responsabile possa proseguire, dopo l'entrata in vigore delle disposizioni nazionali di attuazione della presente direttiva, i trattamenti dei dati di natura delicata necessari all'esecuzione di un contratto concluso in base ad un consenso libero e con cognizione di causa prima dell'entrata in vigore delle suddette disposizioni;

(71) considerando che la presente direttiva non osta alla disciplina da parte uno Stato membro delle attività di invio di materiale pubblicitario destinato ai consumatori residenti nel proprio territorio, purché detta disciplina non riguardi la tutela delle persone relativamente al trattamento dei dati personali;

(72) considerando che la presente direttiva consente che nell'applicazione dei principi in essa stabiliti si tenga conto del principio dell'accesso del pubblico ai documenti ufficiali,

HANNO ADOTTATO LA PRESENTE DIRETTIVA

CAPO I - DISPOSIZIONI GENERALI

Articolo 1 - Oggetto della direttiva

1. Gli Stati membri garantiscono, conformemente alle disposizioni della presente direttiva, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali.

2. Gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1.

Articolo 2 - Definizioni

Ai fini della presente direttiva si intende per:

a) "dati personali": qualsiasi informazione concernente una persona fisica identificata o identificabile ("persona interessata"); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;

b) "trattamento di dati personali" ("trattamento"): qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione o la modifica, l'estrazione, la consultazione, l'impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, nonché il congelamento, la cancellazione o la distruzione;

c) "archivio di dati personali" ("archivio"): qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

d) "responsabile del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o comunitarie, il responsabile del trattamento o i criteri specifici per al sua designazione possono essere fissati dal diritto nazionale o comunitario;

e) "incaricato del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;

f) "terzi": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che non sia la persona interessata, il responsabile del trattamento, l'incaricato del trattamento e le persone autorizzate all'elaborazione dei dati sotto la loro autorità diretta;

g) "destinatario": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati, che si tratti o meno di un terzo. Tuttavia, le autorità che possono ricevere comunicazione di dati nell'ambito di una missione d'inchiesta specifica non sono considerate destinatari;

h) "consenso della persona interessata": qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento.

Articolo 3 - Campo d'applicazione

1. Le disposizioni della presente direttiva si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi.

2. Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali;

- effettuati per l'esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull'Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale;

- effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico.

Articolo 4 - Diritto nazionale applicabile

1. Ciascuno Stato membro applica le disposizioni nazionali adottate per l'attuazione della presente direttiva al trattamento di dati personali:

a) effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro; qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l'osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile;

b) il cui responsabile non è stabilito nel territorio dello Stato membro, ma in un luogo in cui si applica la sua legislazione nazionale, a norma del diritto internazionale pubblico;

c) il cui responsabile, non stabilito nel territorio della Comunità, ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzati o non automatizzati, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio della Comunità europea.

2. Nella fattispecie di cui al paragrafo 1, lettera c), il responsabile del trattamento deve designare un rappresentante stabilito nel territorio di detto Stato membro, fatte salve le azioni che potrebbero essere promosse contro lo stesso responsabile del trattamento.

CAPO II - CONDIZIONI GENERALI DI LICEITÀ DEI TRATTAMENTI DI DATI PERSONALI

Articolo 5

Gli Stati membri precisano, nei limiti delle disposizioni del presente capo, le condizioni alle quali i trattamenti di dati personali sono leciti.

SEZIONE I - PRINCIPI RELATIVI ALLA QUALITÀ DEI DATI

Articolo 6

1. Gli Stati membri dispongono che i dati personali devono essere:

a) trattati lealmente e lecitamente;

b) rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Il trattamento successivo dei dati per scopi storici, statistici o scientifici non è ritenuto incompatibile, purché gli Stati membri forniscano garanzie appropriate;

c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati;

d) esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalità per le quali sono rilevati o sono successivamente trattati, cancellati o rettificati;

e) conservati in modo da consentire l'identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati. Gli Stati membri prevedono garanzie adeguate per i dati personali conservati oltre il suddetto arco di tempo per motivi storici, statistici o scientifici.

2. Il responsabile del trattamento e tenuto a garantire il rispetto delle disposizioni del paragrafo 1.

SEZIONE II - PRINCIPI RELATIVI ALLA LEGITTIMAZIONE DEL TRATTAMENTO DEI DATI

Articolo 7

Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando:

a) la persona interessata ha manifestato il proprio consenso in maniera inequivocabile, oppure

b) è necessario all'esecuzione del contratto concluso con la persona interessata o all'esecuzione di misure precontrattuali prese su richiesta di tale persona, oppure

c) è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, oppure

d) è necessario per la salvaguardia dell'interesse vitale della persona interessata, oppure

e) è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il responsabile del trattamento o il terzo a cui vengono comunicati i dati, oppure

f) è necessario per il perseguimento dell'interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l'interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell'articolo 1, paragrafo 1.

SEZIONE III CATEGORIE PARTICOLARI DI TRATTAMENTI

Articolo 8 - Trattamenti riguardanti categorie particolari di dati

1. Gli Stati membri vietano il trattamento di dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale.

2. Il paragrafo 1 non si applica qualora:

a) la persona interessata abbia dato il proprio consenso esplicito a tale trattamento, salvo nei casi in cui la legislazione dello Stato membro preveda che il consenso della persona interessata non sia sufficiente per derogare al divieto di cui al paragrafo 1, oppure

b) il trattamento sia necessario, per assolvere gli obblighi e i diritti specifici del responsabile del trattamento in materia di diritto del lavoro, nella misura in cui il trattamento stesso sia autorizzato da norme nazionali che prevedono adeguate garanzie, oppure

c) il trattamento sia necessario per salvaguardare un interesse vitale della persona interessata o di un terzo nel caso in cui la persona interessata è nell'incapacità fisica o giuridica di dare il proprio consenso; o

d) il trattamento sia effettuato, con garanzie adeguate, da una fondazione, un'associazione o qualsiasi altro organismo che non persegua scopi di lucro e rivesta carattere politico, filosofico, religioso o sindacale, nell'ambito del suo scopo lecito e a condizione che riguardi unicamente i suoi membri o le persone che abbiano contatti regolari con la fondazione, l'associazione o l'organismo a motivo del suo oggetto e che i dati non vengano comunicati a terzi senza il consenso delle persone interessate; o

e) il trattamento riguardi dati resi manifestamente pubblici dalla persona interessata o sia necessario per costituire, esercitare o difendere un diritto per via giudiziaria.

3. Il paragrafo 1 non si applica quando il trattamento dei dati è necessario alla prevenzione o alla diagnostica medica, alla somministrazione di cure o alla gestione di centri di cura e quando il trattamento dei medesimi dati viene effettuato da un professionista in campo sanitario soggetto al segreto professionale sancito dalla legislazione nazionale, comprese le norme stabilite dagli organi nazionali competenti, o da un'altra persona egualmente soggetta a un obbligo di segreto equivalente.

4. Purché siano previste le opportune garanzie, gli Stati membri possono, per motivi di interesse pubblico rilevante, stabilire ulteriori deroghe oltre a quelle previste dal paragrafo 2 sulla base della legislazione nazionale o di una decisione dell'autorità di controllo.

5. I trattamenti riguardanti i dati relativi alle infrazioni, alle condanne penali o alle misure di sicurezza possono essere effettuati solo sotto controllo dell'autorità pubblica, o se vengono fornite opportune garanzie specifiche, sulla base del diritto nazionale, fatte salve le deroghe che possono essere fissate dallo Stato membro in base ad una disposizione nazionale che preveda garanzie appropriate e specifiche. Tuttavia un registro completo delle condanne penali può essere tenuto solo sotto il controllo dell'autorità pubblica. Gli Stati membri possono prevedere che i trattamenti di dati riguardanti sanzioni amministrative o procedimenti civili siano ugualmente effettuati sotto controllo dell'autorità pubblica.

6. Le deroghe al paragrafo 1 di cui ai paragrafi 4 e 5 sono notificate alla Commissione.

7. Gli Stati membri determinano a quali condizioni un numero nazionale di identificazione o qualsiasi altro mezzo identificativo di portata generale può essere oggetto di trattamento.

Articolo 9 - Trattamento di dati personali e libertà d'espressione

Gli Stati membri prevedono, per il trattamento di dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria, le esenzioni o le deroghe alle disposizioni del presente capo e dei capi IV e VI solo qualora si rivelino necessarie per conciliare il diritto alla vita privata con le norme sulla libertà d'espressione.

SEZIONE IV INFORMAZIONE DELLA PERSONA INTERESSATA

Articolo 10 - Informazione in caso di raccolta dei dati presso la persona interessata

Gli Stati membri dispongono che il responsabile del trattamento, o il suo rappresentante, debba fornire alla persona presso la quale effettua la raccolta dei dati che la riguardano almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata:

a) l'identità del responsabile del trattamento ed eventualmente del suo rappresentante;

b) le finalità del trattamento cui sono destinati i dati;

c) ulteriori informazioni riguardanti quanto segue:

- i destinatari o le categorie di destinatari dei dati,

- se rispondere alle domande è obbligatorio o volontario, nonché le possibili conseguenze di una mancata risposta,

- se esistono diritti di accesso ai dati e di rettifica in merito ai dati che la riguardano nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronto della persona interessata.

Articolo 11 - Informazione in caso di dati non raccolti presso la persona interessata

1. In caso di dati non raccolti presso la persona interessata, gli Stati membri dispongono che, al momento della registrazione dei dati o qualora sia prevista una comunicazione dei dati a un terzo, al più tardi all'atto della prima comunicazione dei medesimi, il responsabile del trattamento o il suo rappresentante debba fornire alla persona interessata almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata:

a) l'identità del responsabile del trattamento ed eventualmente del suo rappresentante,

b) le finalità del trattamento,

c) ulteriori informazioni riguardanti quanto segue:
- le categorie di dati interessate,
- i destinatari o le categorie di destinatari dei dati,
- se esiste un diritto di accesso ai dati e di rettifica in merito ai dati che la riguardano,
nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronti della persona interessata.

2. Le disposizioni del paragrafo 1 non si applicano quando, in particolare nel trattamento di dati a scopi statistici, o di ricerca storica o scientifica, l'informazione della persona interessata si rivela impossibile o richiede sforzi sproporzionati o la registrazione o la comunicazione è prescritta per legge. In questi casi gli Stati membri prevedono garanzie appropriate.

SEZIONE V - DIRITTO DI ACCESSO AI DATI DA PARTE DELLA PERSONA INTERESSATA

Articolo 12 - Diritto di accesso

Gli Stati membri garantiscono a qualsiasi persona interessata il diritto di ottenere dal responsabile del trattamento:

a) liberamente e senza costrizione, ad intervalli ragionevoli e senza ritardi o spese eccessivi:

- la conferma dell'esistenza o meno di trattamenti di dati che la riguardano, e l'informazione almeno sulle finalità dei trattamenti, sulle categorie di dati trattati, sui destinatari o sulle categorie di destinatari cui sono comunicati i dati;

- la comunicazione in forma intelligibile dei dati che sono oggetto dei trattamenti, nonché di tutte le informazioni disponibili sull'origine dei dati;

- la conoscenza della logica applicata nei trattamenti automatizzati dei dati che lo interessano, per lo meno nel caso delle decisioni automatizzate di cui all'articolo 15, paragrafo 1;

b) a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni della presente direttiva, in particolare a causa del carattere incompleto o inesatto dei dati;

c) la notificazione ai terzi, ai quali sono stati comunicati i dati, di qualsiasi rettifica, cancellazione o congelamento, effettuati conformemente alla lettera b), se non si dimostra che è impossibile o implica uno sforzo sproporzionato.

SEZIONE VI DEROGHE E RESTRIZIONI

Articolo 13 - Deroghe e restrizioni

1. Gli Stati membri possono adottare disposizioni legislative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell'articolo 6, paragrafo 1, dell'articolo 10, dell'articolo 11, paragrafo 1 e degli articoli 12 e 21, qualora tale restrizione costituisca una misura necessaria alla salvaguardia:

a) della sicurezza dello Stato;

b) della difesa;

c) della pubblica sicurezza;

d) della prevenzione, della ricerca, dell'accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate;

e) di un rilevante interesse economico o finanziario di uno Stato membro o dell'Unione europea, anche in materia monetaria, di bilancio e tributaria;

f) di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente, con l'esercizio dei pubblici poteri nei casi di cui alle lettere c), d) ed e); g) della protezione della persona interessata o dei diritti e delle libertà altrui.

2. Fatte salve garanzie legali appropriate, che escludano in particolare che i dati possano essere utilizzati a fini di misure o di specifiche decisioni che si riferiscono a persone, gli Stati membri possono, nel caso in cui non sussista manifestamente alcun rischio di pregiudizio alla vita privata della persona interessata, limitare con un provvedimento legislativo i diritti di cui all'articolo 12 qualora i dati siano trattati esclusivamente ai fini della ricerca scientifica o siano memorizzati sotto forma di dati personali per un periodo che non superi quello necessario alla sola finalità di elaborazione delle statistiche.

SEZIONE VII - DIRITTO DI OPPOSIZIONE DELLA PERSONA INTERESSATA

Articolo 14 - Diritto di opposizione della persona interessata

Gli Stati membri riconoscono alla persona interessata il diritto:

a) almeno nei casi di cui all'articolo 7, lettere e) e f), di opporsi in qualsiasi momento, per motivi preminenti e legittimi, derivanti dalla sua situazione particolare, al trattamento di dati che la riguardano, salvo disposizione contraria prevista dalla normativa nazionale. In caso di opposizione giustificata il trattamento effettuato dal responsabile non può più riguardare tali dati;

b) - di opporsi, su richiesta e gratuitamente, al trattamento dei dati personali che la riguardano previsto dal responsabile del trattamento a fini di invio di materiale pubblicitario ovvero di essere informata prima che i dati personali siano, per la prima volta, comunicati a terzi o utilizzati per conto di terzi, a fini di invio di materiale pubblicitario;
- la persona interessata deve essere informata in modo esplicito del diritto di cui gode di opporsi gratuitamente alla comunicazione o all'utilizzo di cui sopra.

Gli Stati membri prendono le misure necessarie per garantire che le persone interessate siano a conoscenza che esiste il diritto di cui al primo comma della lettera b).

Articolo 15 - Decisioni individuali automatizzate

1. Gli Stati membri riconoscono a qualsiasi persona il diritto di non essere sottoposta ad una decisione che produca effetti giuridici o abbia effetti significativi nei suoi confronti fondata esclusivamente su un trattamento automatizzato di dati destinati a valutare taluni aspetti della sua personalità, quali il rendimento professionale, il credito, l'affidabilità, il comportamento, ecc.

2. Gli Stati membri dispongono, salve le altre disposizioni della presente direttiva, che una persona può essere sottoposta a una decisione di cui al paragrafo 1, qualora una tale decisione:

a) sia presa nel contesto della conclusione o dell'esecuzione di un contratto, a condizione che la domanda relativa alla conclusione o all'esecuzione del contratto, presentata dalla persona interessata sia stata accolta, oppure che misure adeguate, fra le quali la possibilità di far valere il proprio punto di vista garantiscano la salvaguardia del suo interesse legittimo, oppure

b) sia autorizzata da una legge che precisi i provvedimenti atti a salvaguardare un interesse legittimo della persona interessata.

SEZIONE VIII - RISERVATEZZA E SICUREZZA DEI TRATTAMENTI

Articolo 16 - Riservatezza dei trattamenti

L'incaricato del trattamento o chiunque agisca sotto la sua autorità o sotto quella del responsabile del trattamento non deve elaborare i dati personali ai quali ha accesso, se non dietro istruzione del responsabile del trattamento oppure in virtù di obblighi legali.

Articolo 17 - Sicurezza dei trattamenti

1. Gli Stati membri dispongono che il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione o dall'accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all'interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali. Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell'applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere.

2. Gli Stati membri dispongono che il responsabile del trattamento, quando quest'ultimo sia eseguito per suo conto, deve scegliere un incaricato del trattamento che presenti garanzie sufficienti in merito alle misure di sicurezza tecnica e di organizzazione dei trattamenti da effettuare e deve assicurarsi del rispetto di tali misure.

3. L'esecuzione dei trattamenti su commissione deve essere disciplinata da un contratto o da un atto giuridico che vincoli l'incaricato del trattamento al responsabile del trattamento e che preveda segnatamente:

- che l'incaricato del trattamento operi soltanto su istruzioni del responsabile del trattamento;

- che gli obblighi di cui al paragrafo 1, quali sono definiti dalla legislazione dello Stato membro nel quale è stabilito l'incaricato del trattamento, vincolino anche quest'ultimo.

4. A fini di conservazione delle prove, gli elementi del contratto o dell'atto giuridico relativi alla protezione dei dati e i requisiti concernenti le misure di cui al paragrafo 1 sono stipulati per iscritto o in altra forma equivalente.

SEZIONE IX - NOTIFICAZIONE

Articolo 18 - Obbligo di notificazione all'autorità di controllo

1. Gli Stati membri prevedono un obbligo di notificazione a carico del responsabile del trattamento, od eventualmente del suo rappresentante, presso l'autorità di controllo di cui all'articolo 28, prima di procedere alla realizzazione di un trattamento, o di un insieme di trattamenti, interamente o parzialmente automatizzato, destinato al conseguimento di una o più finalità correlate.

2. Gli Stati membri possono prevedere una semplificazione o l'esonero dall'obbligo di notificazione soltanto nei casi e alle condizioni seguenti:

- qualora si tratti di categorie di trattamento che, in considerazione dei dati oggetto di trattamento, non siano tali da recare pregiudizio ai diritti e alle libertà della persona interessata, essi precisano le finalità dei trattamenti, i dati o le categorie dei dati trattati, la categoria o le categorie di persone interessate, i destinatari o le categorie di destinatari cui sono comunicati i dati e il periodo di conservazione dei dati, e/o

- qualora il responsabile del trattamento designi, conformemente alla legislazione nazionale applicabile, un incaricato della protezione dei dati, a cui è demandato in particolare:

- di assicurare in maniera indipendente l'applicazione interna delle disposizioni nazionali di attuazione della presente direttiva;

- di tenere un registro dei trattamenti effettuati dal responsabile del trattamento in cui figurino le informazioni di cui all'articolo 21, paragrafo 2, garantendo in tal modo che il trattamento non sia tale da recare pregiudizio ai diritti e alle libertà della persona interessata.

3. Gli Stati membri possono prevedere che le disposizioni del paragrafo 1 non si applichino ai trattamenti la cui unica finalità è la compilazione di registri i quali, in forza di disposizioni legislative o regolamentari, siano predisposti per l'informazione del pubblico e siano aperti alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo.

4. Gli Stati membri possono prevedere una deroga all'obbligo della notificazione o una semplificazione della notificazione per i trattamenti di cui all'articolo 8, paragrafo 2, lettera d).

5. Gli Stati membri possono prevedere che i trattamenti non automatizzati di dati personali, o alcuni di essi, siano oggetto di una notificazione eventualmente semplificata.

Articolo 19 - Oggetto della notificazione

1. Gli Stati membri definiscono le informazioni che devono essere contenute nella notificazione. Esse comprendono almeno:

a) il nome e l'indirizzo del responsabile del trattamento e, eventualmente, del suo rappresentante;

b) la o le finalità del trattamento;

c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime;

d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;

e) i trasferimenti di dati previsti verso paesi terzi;

f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento in applicazione dell'articolo 17.

2. Gli Stati membri precisano le modalità di notificazione all'autorità di controllo dei mutamenti relativi alle informazioni di cui al paragrafo 1.

Articolo 20 - Controllo preliminare

1. Gli Stati membri precisano i trattamenti che potenzialmente presentano rischi specifici per i diritti e le libertà delle persone e provvedono a che tali trattamenti siano esaminati prima della loro messa in opera.

2. Tali esami preliminari sono effettuati dall'autorità di controllo una volta ricevuta la notificazione del responsabile del trattamento, oppure dalla persona incaricata della protezione dei dati che, nei casi dubbi, deve consultare l'autorità di controllo medesima.

3. Gli Stati membri possono effettuare tale esame anche durante il processo di elaborazione di un provvedimento del Parlamento nazionale, o in base ad un provvedimento fondato su siffatto provvedimento legislativo, in cui si definisce il tipo di trattamento e si stabiliscono appropriate garanzie.

Articolo 21 - Pubblicità dei trattamenti

1. Gli Stati membri adottano misure intese ad assicurare la pubblicità dei trattamenti.

2. Gli Stati membri devono prevedere che l'autorità di controllo tenga un registro dei trattamenti notificati in virtù dell'articolo 18. Il registro riprende almeno le informazioni enumerate all'articolo 19, paragrafo 1, lettere da a) a e). Il registro può essere consultato da chiunque.

3. Gli Stati membri prevedono che i responsabili dei trattamenti o un altro organismo designato dagli Stati membri comunichino nelle opportune forme, a chiunque ne faccia richiesta, almeno le informazioni di cui all'articolo 19, paragrafo 1, lettere da a) a e), relative ai trattamenti esenti da notificazione. Gli Stati membri possono prevedere che questa disposizione non si applichi ai trattamenti la cui unica finalità è la compilazione di registri i quali, in forza di disposizioni legislative o regolamentari, siano predisposti per l'informazione del pubblico e siano aperti alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo.

CAPO III - RICORSI GIURISDIZIONALI, RESPONSABILITÀ E SANZIONI

Articolo 22 - Ricorsi

Fatti salvi ricorsi amministrativi che possono essere promossi, segnatamente dinanzi all'autorità di controllo di cui all'articolo 28, prima che sia adita l'autorità giudiziaria, gli Stati membri stabiliscono che chiunque possa disporre di un ricorso giurisdizionale in caso di violazione dei diritti garantitigli dalle disposizioni nazionali appicabili al trattamento in questione.

Articolo 23 - Responsabilità

1. Gli Stati membri dispongono che chiunque subisca un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni nazionali di attuazione della presente direttiva abbia il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento.

2. Il responsabile del trattamento può essere esonerato in tutto o in parte da tale responsabilità se prova che l'evento dannoso non gli è imputabile.

Articolo 24 - Sanzioni

Gli Stati membri adottano le misure appropriate per garantire la piena applicazione delle disposizioni della presente direttiva e in particolare stabiliscono le sanzioni da applicare in caso di violazione delle disposizioni di attuazione della presente direttiva.

CAPO IV - TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI

Articolo 25 - Principi

1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.

2. L'adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d'origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate.

3. Gli Stati membri e la Commissione si comunicano a vicenda i casi in cui, a loro parere, un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2.

4. Qualora la Commissione constati, secondo la procedura dell'articolo 31, paragrafo 2, che un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, gli Stati membri adottano le misure necessarie per impedire ogni trasferimento di dati della stessa natura verso il paese terzo in questione.

5. La Commissione avvia, al momento opportuno, negoziati per porre rimedio alla situazione risultante dalla constatazione di cui al paragrafo 4.

6. La Commissione può constatare, secondo la procedura di cui all'articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona. Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.

Articolo 26 - Deroghe

1. In deroga all'articolo 25 e fatte salve eventuali disposizioni contrarie della legislazione nazionale per casi specifici, gli Stati membri dispongono che un trasferimento di dati personali verso un paese terzo che non garantisce una tutela adeguata ai sensi del'articolo 25, paragrafo 2 può avvenire a condizione che:

a) la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto, oppure

b) il trasferimento sia necessario per l'esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento o per l'esecuzione di misure precontrattuali prese a richiesta di questa, oppure

c) il trasferimento sia necessario per la conclusione o l'esecuzione di un contratto, concluso o da concludere nell'interesse della persona interessata, tra il responsabile del trattamento e un terzo, oppure

d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, esercitare o difendere un diritto per via giudiziaria, oppure

e) il trasferimento sia necessario per la salvaguardia dell'interesse vitale della persona interessata, oppure

f) il trasferimento avvenga a partire da un registro pubblico il quale, in forza di disposizioni legislative o regolamentari, sia predisposto per l'informazione del pubblico e sia aperto alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo, nella misura in cui nel caso specifico siano rispettate le condizioni che la legge prevede per la consultazione.

2. Salvo il disposto del paragrafo 1, uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell'articolo 25, paragrafo 2, qualora il responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi; tali garanzie possono segnatamente risultare da clausole contrattuali appropriate.

3. Lo Stato membro informa la Commissione e gli altri Stati membri in merito alle autorizzazioni concesse a norma del paragrafo 2. In caso di opposizione notificata da un altro Stato membro o dalla Commissione, debitamente motivata sotto l'aspetto della tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, la Commissione adotta le misure appropriate secondo la procedura di cui all'articolo 31, paragrafo 2. Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.

4. Qualora la Commissione decida, secondo la procedura di cui all'articolo 31, paragrafo 2, che alcune clausole contrattuali tipo offrono le garanzie sufficienti di cui al paragrafo 2, gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.

CAPO V - CODICI DI CONDOTTA

Articolo 27

1. Gli Stati membri e la Commissione incoraggiano l'elaborazione di codici di condotta destinati a contribuire, in funzione delle specificità settoriali, alla corretta applicazione delle disposizioni nazionali di attuazione della presente direttiva, adottate dagli Stati membri.

2. Gli Stati membri dispongono che le associazioni professionali e gli altri organismi rappresentanti altre categorie di responsabili del trattamento, che hanno elaborato i progetti di codice nazionali o intendono modificare o prorogare i codici nazionali esistenti, possano sottoporli all'esame dell'autorità nazionale. Gli Stati membri prevedono che tale autorità accerti, in particolare, la conformità dei progetti che le sono sottoposti alle disposizioni nazionali di attuazione della presente direttiva. Qualora lo ritenga opportuno, l'autorità nazionale raccoglie le osservazioni delle persone interessate o dei loro rappresentanti.

3. I progetti di codici comunitari, nonché le modifiche o proroghe di codici comunitari esistenti, possono essere sottoposti al gruppo di cui all'articolo 29, il quale si pronuncia, in particolare, sulla conformità dei progetti che gli sono sottoposti alle disposizioni nazionali di attuazione della presente direttiva. Qualora lo ritenga opportuno, esso raccoglie le osservazioni delle persone interessate o dei loro rappresentanti. La Commissione può provvedere ad un'appropriata divulgazione dei codici che sono stati approvati dal gruppo.

CAPO VI - AUTORITÀ DI CONTROLLO E GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

Articolo 28 - Autorità di controllo

1. Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l'applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri. Tali autorità sono pienamente indipendenti nell'esercizio delle funzioni loro attribuite.

2. Ciascuno Stato membro dispone che le autorità di controllo siano consultate al momento dell'elaborazione delle misure regolamentari o amministrative relative alla tutela dei diritti e delle libertà della persona con riguardo al trattamento dei dati personali.

3. Ogni autorità di controllo dispone in particolare:

- di poteri investigativi, come il diritto di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi informazione necessaria all'esercizio della sua funzione di controllo;

- di poteri effettivi d'intervento, come quello di formulare pareri prima dell'avvio di trattamenti, conformemente all'articolo 20, e di dar loro adeguata pubblicità o quello di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un monito al responsabile del trattamento o quello di adire i Parlamenti o altre istituzioni politiche nazionali;

- del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva ovvero di adire per dette violazioni le autorità giudiziarie. È possibile un ricorso giurisdizionale avverso le decisioni dell'autorità di controllo recanti pregiudizio.

4. Qualsiasi persona, o associazione che la rappresenti, può presentare a un'autorità di controllo una domanda relativa alla tutela dei suoi diritti e libertà con riguardo al trattamento di dati personali. La persona interessata viene informata del seguito dato alla sua domanda. Qualsiasi persona può, in particolare, chiedere a un'autorità di controllo di verificare la liceità di un trattamento quando si applicano le disposizioni nazionali adottate a norma dell'articolo 13 della presente direttiva. La persona viene ad ogni modo informata che una verifica ha avuto luogo.

5. Ogni autorità di controllo elabora a intervalli regolari una relazione sulla sua attività. La relazione viene pubblicata.

6. Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell'autorità di un altro Stato membro. Le autorità di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile.

7. Gli Stati membri dispongono che i membri e gli agenti delle autorità di controllo sono soggetti, anche dopo la cessazione delle attività, all'obbligo del segreto professionale in merito alle informazioni riservate cui hanno accesso.

Articolo 29 - Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali

1. È istituito un gruppo per la tutela della persone con riguardo al trattamento dei dati personali, in appresso denominato "il gruppo". Il gruppo ha carattere consultivo e indipendente.

2. Il gruppo è composto da un rappresentante della o delle autorità di controllo designate da ciascuno Stato membro e da un rappresentante della o delle autorità create per le istituzioni e gli organismi comunitari, nonché da un rappresentante della Commissione. Ogni membro del gruppo è designato dall'istituzione oppure dalla o dalle autorità che rappresenta. Qualora uno Stato membro abbia designato più autorità di controllo, queste procedono alla nomina di un rappresentante comune. Lo stesso vale per le autorità create per le istituzioni e gli organismi comunitari.

3. Il gruppo adotta le sue decisioni alla maggioranza semplice dei rappresentanti delle autorità di controllo.

4. Il gruppo elegge il proprio presidente. La durata del mandato del presidente è di due anni. Il mandato è rinnovabile.

5. Al segretariato del gruppo provvede la Commissione.

6. Il gruppo adotta il proprio regolamento interno.

7. Il gruppo esamina le questioni iscritte all'ordine del giorno dal suo presidente, su iniziativa di questo o su richiesta di un rappresentante delle autorità di controllo oppure su richiesta della Commissione.

Articolo 30

1. Il gruppo ha i seguenti compiti:

a) esaminare ogni questione attinente all'applicazione delle norme nazionali di attuazione della presente direttiva per contribuire alla loro applicazione omogenea;

b) formulare, ad uso della Commissione, un parere sul livello di tutela nella Comunità e nei paesi terzi;

c) consigliare la Commissione in merito a ogni progetto di modifica della presente direttiva, ogni progetto di misure addizionali o specifiche da prendere ai fini della tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di dati personali, nonché in merito a qualsiasi altro progetto di misure comunitarie che incidano su tali diritti e libertà;

d) formulare un parere sui codici di condotta elaborati a livello comunitario.

2. Il gruppo, qualora constati che tra le legislazioni o prassi degli Stati membri si manifestano divergenze che possano pregiudicare l'equivalenza della tutela delle persone in materia di trattamento dei dati personali nella Comunità, ne informa la Commissione.

3. Il gruppo può formulare di propria iniziativa raccomandazioni su qualsiasi questione riguardante la tutela delle persone nei confronti del trattamento di dati personali nella Comunità.

4. I pareri e le raccomandazioni del gruppo vengono trasmessi alla Commissione e al comitato di cui all'articolo 31.

5. La Commissione informa il gruppo del seguito da essa dato ai pareri e alle raccomandazioni. A tal fine redige una relazione che viene trasmessa anche al Parlamento europeo e al Consiglio. La relazione è oggetto di pubblicazione.

6. Il gruppo redige una relazione annuale sullo stato della tutela delle persone fisiche con riguardo al trattamento dei dati personali nella Comunità e nei paesi terzi e la trasmette alla Commissione, al Parlamento europeo e al Consiglio. La relazione è oggetto di pubblicazione.

CAPO VII - MISURE COMUNITARIE D'ESECUZIONE

Articolo 31 - Comitato

1. La Commissione è assistita da un comitato composto dai rappresentanti degli Stati membri e presieduto dal rappresentante della Commissione.

2. Il rappresentante della Commissione sottopone al comitato un progetto delle misure da adottare. Il comitato, entro un termine che il presidente può fissare in funzione dell'urgenza della questione in esame, formula il suo parere sul progetto. Il parere è formulato alla maggioranza prevista all'articolo 148, paragrafo 2 del trattato. Nelle votazioni in seno al comitato, ai voti dei rappresentanti degli Stati membri è attribuita la ponderazione fissata nell'articolo precitato. Il presidente non partecipa al voto. La Commissione adotta misure che sono applicabili immediatamente. Tuttavia, se queste misure non sono conformi al parere del comitato saranno subito comunicate dalla Commissione al Consiglio. In tal caso: - la Commissione rinvia l'applicazione delle misure da essa decise per un periodo di tre mesi, a decorrere dalla data della comunicazione; - il Consiglio, deliberando a maggioranza qualificata, può prendere una decisione diversa entro il termine di cui al comma precedente.

DISPOSIZIONI FINALI

Articolo 32

1. Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari ed amministrative necessarie per conformarsi alla presente direttiva al più tardi alla scadenza del terzo anno successivo alla sua adozione. Quando gli Stati membri adottano tali disposizioni, queste contengono un riferimento alla presente direttiva o sono corredate da un siffatto riferimento all'atto della pubblicazione ufficiale. Le modalità di tale riferimento sono decise dagli Stati membri.

2. Gli Stati membri provvedono affinché i trattamenti avviati prima della data di entrata in vigore delle disposizioni nazionali di attuazione della presente direttiva si conformino a dette disposizioni entro i tre anni successivi alla data summenzionata. In deroga al comma precedente, gli Stati membri possono prevedere che, per quanto riguarda gli articoli 6, 7 ed 8, la messa in conformità dei trattamenti di dati già contenuti in archivi manuali alla data dell'entrata in vigore delle disposizioni nazionali di attuazione della presente direttiva sia effettuata man mano che si procede a successive operazioni di trattamento di tali dati, diverse dalla semplice memorizzazione. Questa messa in conformità deve, tuttavia, essere terminata entro il dodicesimo anno a decorrere dalla data di adozione della presente direttiva. Gli Stati membri consentono comunque alla persona interessata di ottenere a sua richiesta e in particolare in sede di esercizio del diritto di accesso, la rettifica, la cancellazione o il congelamento dei dati incompleti, inesatti o conservati in modo incompatibile con i fini legittimi perseguiti dal responsabile del trattamento.

3. In deroga al paragrafo 2, gli Stati membri possono prevedere, con riserva di garanzie adeguate, che i dati conservati esclusivamente per ricerche storiche non siano resi conformi alle disposizioni degli articoli 6, 7 e 8 della presente direttiva.

4. Gi Stati membri comunicano alla Commissione le disposizioni di diritto interno che adottano nel settore disciplinato dalla presente direttiva.

Articolo 33

La Commissione presenta periodicamente al Consiglio e al Parlamento europeo, per la prima volta entro tre anni dalla data di cui all'articolo 32, paragrafo 1, una relazione sull'applicazione della presente direttiva, accompagnata, se del caso, dalle opportune proposte di modifica. La relazione è oggetto di pubblicazione. La Commissione esaminerà in particolare l'applicazione della presente direttiva al trattamento dei dati sotto forma di suoni o immagini relativi a persone fisiche e presenterà le eventuali proposte necessarie, tenuto conto dell'evoluzione della tecnologia dell'informazione e alla luce dei progressi della società dell'informazione.

Articolo 34

Gli Stati membri sono destinatari della presente direttiva.

Raccomandazione CE

CE - GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

RACCOMANDAZIONE
relativa ai requisiti minimi per la raccolta di dati on-line nell'Unione Europea
- wp43

Adottata il 17 maggio 2001

IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995 1 ,

visti gli articoli 29 e 30, paragrafo 1, lettera a), e paragrafo 3 di detta direttiva,

visto il regolamento interno, in particolare gli articoli 12 e 14,

ha adottato la presente raccomandazione:

I. Introduzione

1. Nel documento di lavoro intitolato "Tutela della vita privata su Internet — Un approccio integrato dell'EU alla protezione dei dati on-line", del 21 novembre 2000 2, il Gruppo di lavoro ha evidenziato come sia importante garantire la messa in atto di strumenti adeguati per assicurare che l'utente Internet riceva tutte le informazioni necessarie affinché possa riporre la propria fiducia, con cognizione di causa, sui siti visitati e, se necessario, esercitare determinate scelte conformemente ai propri diritti come previsto dalla normativa europea.

Tale fattore risulta particolarmente importante in considerazione del fatto che l'uso di Internet moltiplica le possibilità di raccolta di dati personali e, conseguentemente, i pericoli per i diritti fondamentali e le libertà degli individui, soprattutto per quel che riguarda la loro vita privata. Nel suo Parere n. 4/2000 del 16 maggio 2000 sul livello di tutela dei dati offerto dai principi dell'"approdo sicuro" (Safe Harbor), il Gruppo di lavoro ha invitato la Commissione a valutare con urgenza l'opportunità di creare un marchio di qualità per i siti Internet, che si basi su criteri comuni che potrebbero essere stabiliti a livello comunitario.

Questa raccomandazione fa seguito ai due documenti sopracitati. Essa intende contribuire all'effettiva ed omogenea applicazione delle disposizioni nazionali adottate in conformità alle direttive 3 sulla tutela dei dati personali fornendo indicazioni concrete sull'attuazione delle norme contenute in tali direttive relativamente alle pratiche più comuni esercitate attraverso Internet. Tali pratiche si verificano soprattutto al momento del "contatto iniziale" tra l'utente Internet ed un sito Web sia nel caso di esclusiva ricerca di informazioni, sia nel caso di esecuzione di operazioni commerciali su base graduale.

Le indicazioni fornite di seguito riguardano in particolar modo la raccolta di dati personali su Internet e si prefiggono di identificare le misure che dovranno essere attuate nei confronti delle persone interessate per garantire la lealtà e la liceità di tali pratiche (applicazione degli articoli 6, 7, 10 e 11 della direttiva 95/46/CE). Tali indicazioni focalizzano in particolare sul come, quando e quali informazioni occorre fornire all'utente individuale, con l'aggiunta di dettagli pratici relativi a diritti ed obblighi risultanti da dette direttive.

Il principale obiettivo di questa raccomandazione consiste dunque nel fornire un concreto valore aggiunto all'attuazione dei principi generali della direttiva. Il Gruppo di lavoro considera la presente raccomandazione come la prima iniziativa per la presentazione a livello europeo dell'insieme "minimo" di obblighi ai quali i responsabili del trattamento (le persone fisiche o giuridiche responsabili del trattamento dati nell'ambito di un sito Web)4 che si occupano di siti Internet in cui vengono richieste informazioni particolareggiate o la specificazione del campo d'azione 5 possano facilmente conformarsi. Certamente questa raccomandazione non esonera i responsabili del trattamento dall'obbligo attualmente vigente di verificare la conformità di tali trattamenti all'intera serie di requisiti e condizioni precisati nel diritto nazionale applicabile per renderlo legittimo, verifica senza la quale tale trattamento non risulta idoneo.

Tale raccomandazione si applica nel caso in cui il responsabile del trattamento abbia sede in uno degli Stati membri dell'Unione europea. In questa circostanza sarà applicato il diritto nazionale dello Stato membro in oggetto al trattamento dei dati personali che avvenga nel contesto delle attività di tale stabilimento. Tale raccomandazione si applica altresì quando il responsabile del trattamento non ha sede nel territorio della Comunità ma ricorre, ai fini del trattamento di dati personali, a strumenti automatizzati o non automatizzati situati nel territorio di uno degli Stati membri dell'UE. Tale trattamento è contemplato dalla legislazione nazionale dello Stato membro in cui si trovano i supporti tecnici o le risorse 6 .

2. La raccomandazione, per poter conseguire tale obiettivo, è rivolta particolarmente:

- ai responsabili del trattamento che raccolgono dati on-line, dotandoli di una guida pratica che elenchi l'insieme minimo delle misure concrete da attuare;

- ai singoli utenti Internet affinché siano informati a riguardo e affinché possano esercitare i propri diritti;

- alle istituzioni desiderose di assegnare un'etichetta certificante la conformità delle procedure di trattamento impiegate alle direttive europee sulla protezione dei dati, dotandole di criteri di riferimento per l'assegnazione di tale etichetta riguardo alle informazioni da apporre e alla raccolta di dati personali. È ovvio che, al momento dell'assegnazione dell'etichetta, occorrerà tener conto di separati criteri concernenti altri obblighi e diritti oltre ai suddetti criteri di riferimento. Il Gruppo di lavoro pubblicherà successivamente un esauriente documento relativo a detta problematica;

- alle autorità europee responsabili della protezione dei dati per poterle dotare di un quadro di riferimento comune per il loro compito di verifica della conformità alle disposizioni nazionali adottate dagli Stati membri, conformemente alle direttive sopracitate;

3. Il Gruppo di lavoro è inoltre del parere che tale raccomandazione dovrebbe servire da riferimento per la definizione dei criteri per software e hardware preposti alla raccolta e al trattamento di dati personali su Internet.

II. Raccomandazioni sulle informazioni da fornire in caso di raccolta di dati nel territorio degli Stati membri dell'Unione europea.

2.1. Informazioni da fornire alla persona interessata e tempi da rispettare.

4. Qualsiasi raccolta di dati personali individuali ottenuta attraverso un sito Web richiede l'anticipata fornitura di determinate informazioni. In termini di contenuto la conformità a tale obbligo rende necessario:

5. menzionare l'identità, l'indirizzo fisico e quello elettronico del responsabile del trattamento e, ove possibile, quello dell'eventuale rappresentante in forza all'articolo 4.2 della direttiva;

6. menzionare chiaramente la/le finalità del trattamento con il quale il responsabile raccoglie dati attraverso un sito Web. Ad esempio, nel caso in cui tali dati vengano raccolti per stipulare un contratto (abbonamento ad Internet, ordine di prodotti, ecc.) ed anche per la commercializzazione diretta, occorre che il responsabile specifichi chiaramente le due finalità in questione;

7. menzionare chiaramente il carattere obbligatorio o facoltativo delle informazioni richieste. Le informazioni obbligatorie sono quelle indispensabili all'espletamento del servizio richiesto. Ad esempio, è possibile evidenziare il carattere obbligatorio o facoltativo apponendo un asterisco all'informazione di carattere obbligatorio oppure, in alternativa, è possibile scrivere "facoltativo" accanto all'informazione non obbligatoria. Il fatto che la persona interessata non fornisca informazioni facoltative non deve tornarle a svantaggio in nessun modo;

8. menzionare l'esistenza di diritti, e delle condizioni per il loro esercizio, in base ai quali l'interessato possa esprimere il proprio consenso o, eventualmente, opporsi al trattamento di dati personali 7 . È necessario parimenti fornire indicazioni sulle modalità di accesso, di rettifica o di cancellazione di tali dati o informazioni, sia riguardo la persona o il servizio al quale occorre rivolgersi per l'esercizio di tali diritti, che relativamente alla possibilità di esercitarli on-line e all'indirizzo fisico del responsabile;

9. elencare i destinatari o le categorie di destinatari delle informazioni raccolte. Al momento della raccolta di dati i siti Internet dovrebbero specificare se i dati raccolti saranno comunicati o resi disponibili a terzi — tra cui, in particolare, partner commerciali, imprese figlie, ecc. — e le relative motivazioni (con finalità diverse dalla fornitura del servizio richiesto e per la commercializzazione diretta 8 ).

In questi casi è fondamentale che gli utenti Internet dispongano di un'effettiva possibilità di opporsi on-line a detta comunicazione cliccando su di una casella di spunta ed esprimendo così il proprio favore alla comunicazione dei dati con finalità diverse dalla fornitura del servizio richiesto. Dal momento che il diritto di opporsi può essere esercitato in qualunque momento, occorre menzionare anche nelle informazioni fornite alla persona interessata la possibilità di esercitare tale diritto on-line. Il Gruppo di lavoro, consapevole degli svantaggi recati dal sovraccarico di informazioni negli schermi, è del parere che, se non appaiono nomi di destinatari, il responsabile del trattamento si impegna a non comunicare le informazioni raccolte a terzi i cui nomi ed indirizzi non siano stati forniti (a meno che la loro identità sia ovvia), garantisce che la comunicazione dei dati sia necessaria all'espletamento del servizio richiesto dall'utente Internet e che tale comunicazione sia effettuata esclusivamente con quella finalità.

10. Nel caso in cui sia previsto che il responsabile del trattamento trasmetta i dati a paesi esterni all'Unione europea, specificare se tali paesi garantiscono una protezione adeguata degli individui riguardo al trattamento dei loro dati personali, in forza dell'articolo 25 della direttiva 95/46/CE. In questo caso è necessario fornire informazioni specifiche a proposito dell'identità e dell'indirizzo dei destinatari (indirizzo fisico e/o elettronico)9;

11. fornire nome ed indirizzo (indirizzo fisico e/o elettronico) del servizio o della persona incaricata di rispondere ad eventuali quesiti riguardanti la protezione di dati personali;

12. menzionare chiaramente l'esistenza di procedure di raccolta automatica di dati prima di utilizzare simili metodi per detta raccolta 10.

Nel caso di un ricorso a tali procedure è necessario che la persona interessata riceva le informazioni contenute in questo documento. Detta persona dovrà inoltre essere informata circa il nome del dominio dal quale il server del sito trasmette le procedure di raccolta automatica, le finalità di dette procedure, il loro periodo di validità, l'eventualità in cui l'accettazione di tali procedure sia necessaria per visitare il sito e le possibili conseguenze di una loro disattivazione. Se vi sono altri responsabili del trattamento coinvolti nella raccolta dei dati personali occorre che la persona interessata riceva tutte le informazioni riguardanti l'identità del responsabile e le finalità del trattamento relativamente a ciascun responsabile di detto trattamento.

È necessario comunicare la possibilità di opporsi alla raccolta prima di ricorrere a qualsiasi procedura automatica che provochi la connessione di un utente PC ad un altro sito Web. Es. allo scopo di evitare che un secondo sito possa raccogliere dati ad insaputa di in utente Internet nel caso in cui questo venga automaticamente connesso da un sito Web ad un altro per visualizzare pubblicità sotto forma di banner.

Ad esempio, se un cookie viene collocato dal server del responsabile del trattamento è necessario comunicare detta informazione prima che venga spedito all'hard disk dell'utente Internet, in aggiunta alle informazioni fornite grazie alla tecnologia esistente che si limita a specificare il nome del sito di trasmissione ed il periodo di validità di detto cookie 11 .

13. Indicare le misure di sicurezza a garanzia dell'autenticità del sito, del grado di completezza e riservatezza delle informazioni trasmesse nella detta rete in applicazione della legislazione nazionale applicabile.12

14. Fornire le informazioni in tutte le lingue usate nel sito Web e, specialmente, in quei passaggi ove avviene la raccolta dei dati personali.

15. Che i responsabili del trattamento verifichino la coerenza delle informazioni contenute nei vari documenti destinati al sito (le sezioni "dati personali e protezione della vita privata", i moduli elettronici, testi relativi alle condizioni generali di vendita e ad altre comunicazioni commerciali).

2.2. Modalità di presentazione delle informazioni

16. Il Gruppo di lavoro ritiene che le seguenti informazioni debbano apparire direttamente sullo schermo prima che avvenga la raccolta, così da assicurare un giusto trattamento dei dati.

Dette informazioni riguardano:

- l'identità del responsabile del trattamento;

- la/le finalità;

- la natura obbligatoria o facoltativa delle informazioni richieste;

- i destinatari o le categorie di destinatari dei dati raccolti;

- l'esistenza del diritto di accesso e di rettifica;

- l'esistenza del diritto di opporsi a qualsiasi comunicazione dei dati a terzi con finalità diverse dalla fornitura del servizio richiesto e le modalità per esercitare tale diritto (ad esempio fornendo la possibilità di cliccare su una casella di spunta)

- le informazioni da fornire in caso di utilizzo di procedure di raccolta automatica;

- il livello di sicurezza nel corso di tutte le fasi del trattamento compresa la trasmissione, ad esempio sulle reti.

In tali situazioni le informazioni devono essere fornite interattivamente e devono apparire sullo schermo. Così, nel caso di metodi automatici di raccolta dati, dette informazioni possono essere fornite, se necessarie, tramite la tecnica delle finestre pop-up.

A proposito del livello di sicurezza nel corso della trasmissione dei dati dall'apparecchiatura occorre visualizzare un'intestazione del tipo "Stai accedendo ad una connessione protetta" oppure le procedure di informazione automatica presenti nei browser, come la comparsa di icone specifiche sotto forma di chiave o di lucchetto.

17. Il Gruppo di lavoro ritiene inoltre che sia necessario poter accedere ad informazioni esaustive riguardo alla politica di tutela della sfera privata (comprese le modalità per l'esercizio del diritto d'accesso) direttamente dalla pagina d'entrata del sito e ovunque vengano raccolti dati personali on-line. Il titolo dell'intestazione su cui cliccare deve essere sufficientemente messo in risalto, chiaro e preciso in modo da consentire all'utente Internet di crearsi un'idea chiara del contenuto al quale sta per accedere. Ad esempio, l'intestazione potrebbe asserire "Stiamo raccogliendo e trattando dati personali che La riguardano. Per ulteriori informazioni clicchi qui" oppure "Dati personali o tutela della sfera privata". Il contenuto delle informazioni alle quali l'utente Internet è indirizzato deve altresì essere sufficientemente preciso.

III. Raccomandazioni per il perfezionamento degli altri diritti e doveri

Il Gruppo di lavoro desidera inoltre attirare l'attenzione dei destinatari della presente Raccomandazione su altri diritti dell'individuo ed obblighi dei responsabili del trattamento basati su direttive di particolare attinenza nell'ambito della raccolta di dati personali su siti Web. Il Gruppo di lavoro ritiene che le raccomandazioni seguenti, così come le indicazioni sulle informazioni, abbiano un'utilità pratica immediata sia per i responsabili del trattamento che per gli utenti Internet.

18. Raccogliere esclusivamente i dati necessari per il conseguimento dello scopo prefisso;

19. garantire che i dati siano trattati esclusivamente nelle suddette legittime modalità, conformemente ad uno dei criteri elencati nell'articolo 7 della direttiva 95/46/CE;

20. garantire l'effettivo esercizio del diritto di accesso e di rettifica; l'esercizio di tali diritti dovrebbe essere possibile sia all'indirizzo fisico del responsabile del trattamento che on-line. È necessario predisporre particolari misure di sicurezza affinché esclusivamente la persona interessata abbia accesso on-line alle informazioni che la riguardano;

21. conformarsi al principio della "finalità" o "scopo" in base al quale occorre far uso di dati personali solo se necessario e per finalità determinate. In altri termini, in assenza di un motivo legittimo, non è possibile fare uso di dati personali ed è necessario mantenere l'anonimato degli individui (articolo 6, paragrafo 1, punto b) della direttiva 95/46/CE). Detto principio è altresì denominato "principio di minimizzazione".

22. Fornire ed incoraggiare la consultazione in modalità anonima di siti commerciali, nello stesso ambito descritto nel punto 21, senza richieste di identificazione degli utenti per cognome, nome, indirizzo di posta elettronica o altri dati identificativi.

Qualora sia necessario un collegamento ad una persona senza completa identificazione della stessa è bene suggerire ed accogliere l'uso di pseudonimi di qualsivoglia natura.

Ove non sussistano necessità di identificazione legale occorre incoraggiare ed accogliere l'uso di pseudonimi, anche nel caso di determinate operazioni. Un esempio è dato dall'uso di certificati pseudonimi per le firme elettroniche (cfr. articolo 8 della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche).

23. Stabilire un periodo di conservazione per i dati raccolti. È possibile conservare detti dati esclusivamente per il tempo necessario allo scopo del trattamento indicato e perseguito (articolo 6 della direttiva 95/46/CE e articolo 6 della direttiva 97/66/CE).

24. Adottare gli accorgimenti necessari per garantire la sicurezza dei dati nel corso del loro trattamento e della loro trasmissione (ad esempio limitare e determinare il numero delle persone che hanno accesso ai dati, far uso di trasmissioni cifrate, ecc.; articolo 17 della direttiva 95/46/CE).

25. Se è coinvolto un responsabile per l'elaborazione, ad esempio per ospitare un sito Web, stipulare un contratto che gli imponga di attuare appropriate misure di sicurezza in conformità anche della normativa dello Stato membro in cui si trova il responsabile per l'elaborazione, nonché effettuare il trattamento dei dati personali attenendosi esclusivamente alle indicazioni del responsabile di detto trattamento.

26. A seconda dei casi e in forza della legge nazionale, procedere alla notificazione dell'autorità di controllo (se il responsabile dell'elaborazione del sito si trova nell'Unione europea o se lo stesso dispone di un rappresentante nell'Unione europea). Il numero di registrazione di detta notifica può essere indicato all'interno del sito, in modo vantaggioso, al di sotto dell'intestazione destinata alla protezione dei dati.

27. Se vengono trasferite informazioni ad un paese terzo in cui non è garantito un adeguato livello di protezione è necessario assicurare che il trasferimento dei dati avvenga esclusivamente se lo stesso è in linea con le deroghe all'articolo 26 della direttiva 95/46/CE. In questi casi occorre informare le persone delle adeguate garanzie fornite affinché il trasferimento risulti lecito.

IV. Raccolta di indirizzi per la commercializzazione diretta tramite posta elettronica e per la spedizione di newsletter

28. Per ciò che concerne la commercializzazione diretta per posta elettronica:

- il Gruppo di lavoro ripropone il proprio parere secondo il quale gli indirizzi di posta elettronica reperiti nelle aree pubbliche di Internet all'insaputa delle persone interessate, ad esempio nei gruppi di discussione, non sono stati raccolti lecitamente. Tali indirizzi non possono perciò essere utilizzati con finalità diverse da quelle per le quali sono stati originariamente resi pubblici; in particolar modo non possono essere utilizzati per la commercializzazione diretta 13

- fare uso di indirizzi di posta elettronica per la commercializzazione diretta a condizione che questi siano stati raccolti lealmente e legalmente. Affinché la raccolta sia leale e legaleè necessario che le persone interessate siano state informate della possibilità dell'uso di tali dati per la commercializzazione diretta e che dette persone abbiano potuto acconsentire a tale uso direttamente al momento della raccolta (cliccando su una casella di spunta)14 . L'invio di posta elettronica a scopo promozionale deve altresì prevedere la possibilità di esercitare il recesso on-line dall'elenco di indirizzi impiegato 15 .

29. Per ciò che concerne la spedizione di newsletter:

- Procurarsi il previo consenso delle persone interessate e garantire la possibilità di un loro recesso da tali spedizioni in qualsiasi momento; occorrerà pertanto informare dette persone riguardo a questa possibilità ogniqualvolta viene spedita una newsletter.

Il gruppo di lavoro invita il Consiglio d'Europa, la Commissione europea, il Parlamento europeo e gli Stati membri a tener conto della presente raccomandazione.

Il gruppo si riserva la facoltà di formulare ulteriori osservazioni.

Fatto a Bruxelles, 21 maggio 2001

Per il gruppo
Il Presidente
Stefano RODOTÀ


NOTE

1 Gazzetta ufficiale L 281 del 23/11/1995, pag. 31, disponibile su:
http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm

2 WP 37 (5063/00): documento di lavoro - Tutela della vita privata su Internet — Un approccio integrato dell'EU alla protezione dei dati on-line. Adottato il 21 novembre 2000. Disponibile su:
http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wp37en.htm

3 Direttiva 95/46/CE del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e direttiva 97/66/CE del 15 dicembre 1997 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni. Disponibili su:
http://europa.eu.int/comm/inernal_market/en/media/dataprot/law.htm

4 A titolo di riferimento, l'articolo 2 della direttiva 95/46/CE definisce il responsabile del trattamento come "la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o comunitarie, il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati dal diritto nazionale o comunitario"

5 Le raccomandazioni concrete della presente raccomandazione costituiscono i requisiti minimi nel senso che non sono le uniche. In futuro tali raccomandazioni dovrebbero essere integrate da altre relative al trattamento di dati personali ancor più sensibili, come il trattamento riguardante siti sanitari e siti rivolti a bambini o i servizi offerti dai portali. In quanto ad altre specifiche modalità di trattamento, come la divulgazione di dati personali in un sito o la conservazione dei dati sul traffico da parte dei fornitori di servizi Internet e dei fornitori di contenuti e servizi Internet, si rimanda alle raccomandazioni del Gruppo di lavoro contenute nel documento citato nella nota n. 1 e alle altre posizioni del caso assunte dal Gruppo di lavoro, come il WP 25 (5085/99): Raccomandazione 3/99 relativa alla conservazione dei dati sulle comunicazioni da parte dei fornitori di servizi Internet a fini giudiziari. Approvata il 7 settembre 1999. WP 18 (5005/99): Raccomandazione 2/99 relativa al rispetto della vita privata nel contesto dell'intercettazione delle telecomunicazioni. Approvata il 3 maggio 1999. WP 17 (5093/98): Raccomandazione 1/99 sul trattamento invisibile ed automatico dei dati personali su Internet effettuato da software ed hardware. Approvata il 23 febbraio 1999. Tutto disponibile su: cfr. nota n. 1.

6 Cfr. articolo 4, paragrafo 1, punti a) e c) della direttiva 95/46/CE. È necessario mantenere nettamente distinto tale aspetto dalla questione del trasferimento legale di dati personali dall'UE ad un paese terzo. Tale problematica è trattata dagli articoli 25 e 26 della direttiva 95/46/CE e dalle connesse decisioni della Commissione europea relative all'adeguatezza della tutela nei paesi terzi. Ad esempio, se un sito Web americano fa uso di strumenti situati all'interno dell'UE per la raccolta ed il trattamento di dati personali sarà applicata alle operazioni di raccolta e di trattamento la legislazione dello stato europeo in questione, a prescindere dall'adeguatezza del livello di protezione fornito da tale compagnia e conformemente alla decisione della Commissione europea relativa all'approdo sicuro. Tale problematica relativa all'adesione o meno dello Stato destinatario di dati all'approdo sicuro sarà pertinente esclusivamente in merito alla liceità delle successive cessioni di dati personali dalla compagnia con sede all'interno dell'UE a quell'altra.

7 Il trattamento a finalità specifiche è consentito solo se motivato da una delle considerazioni elencate nell'articolo 7 della direttiva 95/46/CE (tra l'altro nei casi in cui la persona interessata abbia fornito esplicitamente il proprio consenso, in cui il trattamento risulti indispensabile per l'esecuzione del contratto con la persona interessata, in cui il trattamento risulti indispensabile per adempiere ad un obbligo legale del responsabile del trattamento e in cui tale trattamento risulti indispensabile per il perseguimento dell'interesse legittimo del responsabile oppure di quello di terzi che hanno fatto uso di tali dati, a meno che l'interesse della persona in oggetto non risulti prevalente).

Il diritto ad opporsi (cfr. articolo 14) è fissato dagli Stati membri in almeno due situazioni di cui all'articolo 7, inclusa l'ultima menzionata sopracitata. L'individuo ha il diritto, salvo disposizione contraria prevista dalla normativa nazionale, di opporsi in qualsiasi momento per motivi preminenti e legittimi, derivanti dalla sua situazione particolare, al trattamento di dati che lo riguardano. Il diritto di opporsi su richiesta e gratuitamente sussiste in ogni caso quando il trattamento in oggetto è finalizzato alla commercializzazione diretta. La persona interessata può inoltre opporsi gratuitamente (una volta informata ed a partire dalla prima comunicazione) alla comunicazione di dati personali a terzi o al loro utilizzo per conto di terzi per la commercializzazione diretta.

8 La comunicazione a terzi è consentita solo nel caso in cui la finalità prevista non sia incompatibile con quella per la quale i dati sono stati raccolti e se motivata da una delle considerazioni elencate nell'articolo 7, condizioni che rendono legittimo il trattamento.

9 Informazioni riguardo l'adeguatezza delle decisioni sono disponibili sul sito Web della Commissione al seguente indirizzo: http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm

10 Il trattamento "invisibile" ed automatico dei dati personali è soggetto alle medesime modalità, condizioni e garanzie delle altre tipologie di trattamento di dati personali. Cfr. Raccomandazione 1/99 del Gruppo di lavoro sul trattamento invisibile ed automatico dei dati personali su Internet effettuato da software e hardware (23 febbraio 1999), disponibile sul sito Web citato nella nota n. 1

11 Se il cookie è collocato da un'organizzazione attraverso il proprio sito Web e soltanto questa è in grado di accedere al contenuto di detto cookie non occorre fornire informazioni aggiuntive riguardo l'organizzazione responsabile del collocamento del cookie, purché l'organizzazione che ospita tale sito Web sia già stata adeguatamente identificata.

12 Cfr. le norme specifiche dell'articolo 17, paragrafi 1 e 3 secondo trattino della direttiva 95/46/CE.

13 Cfr. WP 28 (5007/00): "Parere 1/2000 su alcuni aspetti del commercio elettronico relativi alla protezione dei dati personali", approvato il 3.2.2000, WP 29 (5009/00): "Parere 2/2000 concernente la revisione generale del quadro giuridico delle telecomunicazioni", approvato il 3.2.2000, e, specialmente, riguardo l'applicazione degli articoli 6 e 7 della direttiva 95/46/CE, WP 36 (5042/00): "Parere 7/2000 sulla proposta della Commissione europea di direttiva del Parlamento europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche del 12 luglio 2000 (COM(2000)385)", approvato il 2.11.2000 e WP 37 (5063/00): "Documento di lavoro: Tutela della vita privata su Internet, un approccio integrato dell'UE alla protezione dei dati on-line", approvato il 21.11.2000.

14 All'interno dell'Unione europea cinque Stati membri (Germania, Austria, Italia, Finlandia e Danimarca) hanno adottato misure intese a vietare le comunicazioni commerciali non sollecitate. In altri Stati membri esiste un sistema di possibilità di recesso oppure permane una situazione poco chiara. È bene notare che la proposta di direttiva della Commissione relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (COM(2000) 385) del 12 luglio 2000 è in favore di una soluzione armonizzata basata sulla possibilità di adesione; tale approccio è stato unanimemente sostenuto dal Gruppo di lavoro nel Parere 7/2000 (WP 36 sopracitato). Si veda inoltre lo studio di S. Gauthronet e di E. Drouard (ARETE) per la Commissione, "Messaggi pubblicitari indesiderati e protezione dei dati personali", gennaio 2001,
http://europa.eu.int/comm/internal_market/en/media/dataprot/studies/spamsumit.pdf

15 La direttiva sul commercio elettronico stabilisce ulteriori requisiti relativi alle comunicazioni commerciali non sollecitate in quei casi in cui è consentita la possibilità di recesso conformemente alla direttiva 97/66/EC

 

Privacy policy

In materia di protezione dei dati personali

Con la presente nota la Società Cooperativa Sociale “Villa Elena” intende informare gli utenti visitatori del sito web www.casariposovillaelena.it (di seguito denominato "Sito") della Politica adottata in materia di Protezione dei dati personali sottolineando il proprio impegno ed attenzione con riferimento alla tutela della privacy dei visitatori del Sito.

La navigazione all'interno del Sito è libera e non richiede registrazione alcuna, con eccezione di alcune aree in cui l'utente può liberamente ed espressamente fornire una serie di dati che lo riguardano per contattarci od inviare specifiche richieste. Laddove, pertanto, il visitatore/utente del Sito intenda fornire i propri dati personali, esso sarà espressamente informato in accordo ai requisiti di cui al Regolamento UE 679/2016, con specifica indicazione (a titolo esemplificativo) delle finalità e modalità di utilizzo dei dati da parte della Società Cooperativa Sociale “Villa Elena” , nonché del diritto di richiedere in ogni momento la cancellazione dei dati o l'aggiornamento degli stessi.

Informazioni Sulla Tutela Dei Dati Personali

Ai sensi e per gli effetti del Regolamento UE 679/2016 (regolamento generale sulla protezione dei dati – il “Regolamento”), la Società Cooperativa Sociale “Villa Elena”  fornisce le seguenti informazioni.

  1. Il Titolare e Responsabile del Trattamento

Il Titolare del trattamento dei dati personali trattati è la Società Cooperativa Sociale “Villa Elena”, nella persona del suo Amministratore Unico Dott. Settimo Paladini, con sede in Via Giordano Bruno n. 10 – Castrì di Lecce. Responsabile del Trattamento, relativamente alla gestione del Sito, è il Dott. Settimo Paladini. Potrà richiedere il nominativo l'elenco completo dei Responsabili del trattamento inviando una richiesta ai recapiti indicati al punto 7.

  1. Tipi di dati personali trattati

Per accedere al Sito non è necessario procedere ad alcuna registrazione. Esistono tuttavia all'interno del Sito dei servizi per il cui utilizzo è necessario fornire i propri dati (ad es. i dati potranno essere richiesti per inviare specifiche richieste di informazioni o contattare Società Cooperativa Sociale “Villa Elena” , ecc.).

Qualora la Società Cooperativa Sociale “Villa Elena”  acquisisca informazioni e dati personali informerà preventivamente gli utenti, ai sensi del Regolamento (UE) 2016/679, delle finalità per cui tali dati sono richiesti e delle modalità con cui saranno utilizzati. Ove necessario, la Società Cooperativa Sociale “Villa Elena”  provvederà ad acquisire il consenso specifico dell'utente al relativo utilizzo dei dati. A titolo esemplificativo, potranno essere richiesti dati personali quali nome e cognome, numero di telefono, l'indirizzo di posta elettronica ed altre informazioni che l'utente accetta di fornire attraverso la compilazione di uno specifico modulo di registrazione. La Società Cooperativa Sociale “Villa Elena”  utilizzerà i dati personali raccolti on-line ai soli fini indicati in sede di registrazione.

I dati relativi alla connessione e navigazione all'interno del Sito (quali gli indirizzi in notazione URI-Uniform Resource Identifier delle risorse richieste, l'orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all'ambiente informatico dell'utente sono raccolti al solo fine di ricavare informazioni statistiche anonime sull'uso del Sito e per controllarne il corretto funzionamento e vengono cancellati immediatamente dopo l'elaborazione. I dati potrebbero essere utilizzati per l'accertamento di responsabilità in caso di ipotetici reati informatici ai danni del Sito: con esclusione di tale eventualità, i dati saranno cancellati decorso il tempo utile per l'erogazione dei servizi illustrati nel Sito (es in ogni caso sino ad un massimo di sette giorni).

Con riferimento ai dati relativi alla navigazione all'interno del Sito si veda anche il successivo punto 6. riguardante gli Strumenti di profilazione utilizzati dal Sito.

  1. Facoltatività del conferimento dei dati personali

Il conferimento dei dati personali ha in linea generale natura facoltativa. Solo in determinati casi il mancato conferimento dei dati può comportare l'impossibilità di accedere a servizi specifici ed ottenere quanto eventualmente richiesto (ad es. contattare la Società Cooperativa Sociale “Villa Elena” ).

  1. Modalità di trattamento dei dati ed ambito di comunicazione

I dati saranno trattati prevalentemente su supporto elettronico. La Società Cooperativa Sociale “Villa Elena” garantisce il trattamento lecito e secondo correttezza dei dati personali forniti attraverso il Sito, nel pieno rispetto della normativa vigente, nonché la massima riservatezza dei dati forniti in sede di registrazione. Tutte le informazioni raccolte sono trasmesse in connessione protetta in modo da impedirne l'intercettazione da parte di estranei. La sicurezza del Sito è garantita e certificata da una società leader tra i provider di servizi per la sicurezza su internet.

I dati non saranno comunicati o diffusi a terzi se non nei limiti ed alle condizioni espressamente indicate nell'informativa di volta in volta fornita all'utente e previa autorizzazione da parte dello stesso, ovvero in presenza di specifici obblighi di legge.

  1. Collegamenti ad altri siti

La presente informativa è fornita solo per il Sito www.casariposovillaelena.it e non anche per altri siti web eventualmente consultati dall'utente tramite link di collegamento. La Società Cooperativa Sociale “Villa Elena”  non può essere ritenuta responsabile dei dati personali forniti dagli utenti a soggetti esterni o a eventuali siti Web collegati al presente Sito.

  1. Strumenti di "profilazione" e/o personalizzazione

Il Sito utilizza “Cookies”: si tratta di file di testo che vengono inviati da un server web (che è il computer sul quale è in esecuzione il sito web visitato) al browser dell’utente e memorizzati nel disco fisso del PC dell'utente quando questi visita il Sito. Il cookie consente al Sito di identificare il PC dell'utente, attraverso le informazioni in esso memorizzate, ogni qualvolta l'utente si ricollega al Sito attraverso quel PC.

Attraverso l'utilizzo dei cookies ci è possibile facilitare la navigazione dell'utente all'interno del Sito.

I cookies non raccolgono informazioni direttamente identificative dell'utente. Infatti la Società Cooperativa Sociale “Villa Elena”  non può attraverso i cookies risalire a nessuna informazione personale direttamente identificativa (es. nome, cognome) se non fornita direttamente dall’utente. Inoltre, un altro sito web non può utilizzare un cookie rilasciato dal Sito per accedere ad altre informazioni contenute nel computer dell’utente. Una volta salvato nel computer, il cookie può essere letto solo dal sito web che lo ha creato (e quindi, nel nostro caso, da www.casariposovillaelena.it).

Il Sito utilizza Cookies tecnici, utilizzati esclusivamente al fine di garantire la navigazione e quindi la trasmissione telematica dei dati sulla rete o strettamente necessari alla fornitura dei servizi forniti dal Sito. Tali cookies sono solitamente temporanei, cd. "cookies di sessione", e sono rilasciati dal Sito sul computer dell’utente durante la navigazione, ma vengono memorizzati esclusivamente per il tempo di durata della sessione di navigazione stessa. Ciò significa che quando l’utente chiude il suo browser i cookies vengono cancellati automaticamente e scompaiono, senza rimanere memorizzati sul computer. Sono formati da numeri casuali generati dal server e servono a consentire l’esplorazione sicura ed efficiente del Sito.

Attraverso l'utilizzo di tali cookies è possibile facilitare la navigazione dell'utente all'interno del Sito, per raccogliere in forma aggregata informazioni in merito al numero dei visitatori del sito e sulle pagine più visitate (c.d. cookies analytics utilizzati con meccanismi di oscuramento parziale dell’IP), ecc.

Tali cookies non richiedono l’acquisizione di un consenso preventivo ed espresso dell’utente in quanto strettamente necessari ad erogare il servizio richiesto dall’utente del Sito.

Non sono utilizzati cookies di profilazione o altri strumenti di profilazione dell'utente in questo Sito (ad es. spyware).

6.1 Informazioni sui cookies rilasciati dal Sito

In merito ai cookies utilizzati nel Sito forniamo le seguenti informazioni:

1) Il nome di dominio dal quale il server del Sito trasmette i cookies è: www.casariposovillaelena.it.

2) Finalità della raccolta:

I cookies sono utilizzati ai fini di consentire una navigazione più facile e veloce all'interno del Sito od effettuare analisi/verifiche statistiche ed anonime sull’utilizzo del sito (cookie tecnici).

3) Dati raccolti:

Sono memorizzate le seguenti informazioni: gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l'orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all'ambiente informatico dell'utente.

Sotto un profilo tecnico nei cookies (trasmessi dal dominio www.casariposovillaelena.it) sono contenute le seguenti informazioni: un ID numerico che identifica in modo univoco la Società Cooperativa Sociale “Villa Elena”  e un ID numerico che identifica l’utente (che effettua la navigazione all’interno del Sito), entrambi memorizzati all'interno del nostro data base; un ID alfanumerico di sessione pseudo-casuale automaticamente cancellato dal browser alla sua chiusura (cookie di sessione).

4) Validità dei cookies:

Il Sito utilizza cookies di sessione (ovvero cookies che vengono automaticamente cancellati alla chiusura del browser).

5) Necessità di accettazione dei cookies:

L’accettazione dei cookies non è obbligatoria ma la loro disattivazione, sebbene consenta la navigazione all’interno del Sito, potrebbe non rendere possibile il rilascio di alcuni contenuti e funzionalità del Sito.

6) Comunicazione dei dati:

Le informazioni raccolte tramite i cookies sono riservate e non sono comunicate a terzi.

6.2 Cookies di terze parti

Il Sito utilizza c.d. “cookies di terze parti” (in particolare Google Analytics e cookies di Social Network), ovvero cookies che sono rilasciati e gestiti da parte di soggetti diversi dalla Società Cooperativa Sociale “Villa Elena” , per finalità proprie di tali soggetti.

Al fine di consentire ai propri utenti di effettuare una scelta libera ed informata riportiamo di seguito indicazione in merito alla tipologia e identificativo dei cookies, alle caratteristiche e finalità dei cookies, nonché il link all’informativa dettagliata relativa a tali cookies:

  1. Cookies Tecnici Rilasciati da Terze Parti
  • Soggetto che rilascia i cookies:

Google

  • Finalità del cookies:

Google Analytics: si tratta di cookies che, registrando la navigazione dell’utente con oscuramento dell’IP, consentono di ricevere analisi dettagliate in merito alla navigazione degli utenti nel sito.

  1. Link all’informativa ed ai moduli di consenso.
  2. Strumento per disabilitare google analytics sul proprio browser.

6.3 Disattivazione/cancellazione dei cookies tramite web browser

È in ogni caso possibile disattivare/attivare o cancellare i cookies in ogni momento mediante utilizzo delle impostazioni del tuo web browser. In particolare se si desidera non ricevere cookies, è possibile impostare il proprio browser in modo tale da essere avvertiti della presenza di un cookie potendo così decidere se accettarlo o meno; si possono anche rifiutare automaticamente tutti i cookies, attivando l'apposita opzione nel browser. È anche possibile eliminare cookie specifici che sono già stati memorizzati all'interno del browser, o bloccare la memorizzazione di cookie sul vostro computer da parte di siti Web specifici, oppure bloccare i cookie di terze parti.

Ogni browser ha la sua tipologia di gestione dei cookie, nel pannello di amministrazione o di preferenze è possibile modificare/gestire i parametri e procedere alla cancellazione. Per disabilitare l'uso di tutti o solo di alcuni cookies è necessario modificare le impostazioni del browser di navigazione (Firefox, Google Chrome, Explorer, Safari, ecc.).

Per farlo puoi consultare le informazioni riportate nella Manuale d'uso del browser (c.d. Help Page) oppure cliccare sui seguenti link:

  • Internet explorer
  • Google Chrome
  • Firefox
  • Safari
  • Edge
  1. Luogo di trattamento dei dati

I trattamenti connessi ai servizi forniti dal Sito sono svolti presso la sede della Società Cooperativa Sociale “Villa Elena”  indicata al punto 1 che precede e sono svolti dagli incaricati del trattamento nominati dall’Amministratore Unico Dott. Settimo Paladini.

  1. Diritti degli interessati

In relazione ai predetti trattamenti potete esercitare i diritti di cui agli artt. 15 e ss. del Regolamento (UE) 2016/679, tra cui:

1) ottenere, senza ritardo, la conferma dell'esistenza o meno di dati personali che la riguardano;

2) ottenere:

  1. a) l'indicazione dell'origine dei dati personali, delle finalità e modalità del trattamento, della logica del trattamento effettuato con l'ausilio di strumenti elettronici, degli estremi identificativi del titolare o dei responsabili, dei soggetti o delle categorie di soggetti a cui i dati possono venire comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati; l'aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l'integrazione dei dati;
  2. b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge;

3) opporsi, in tutto o in parte, al trattamento di dati personali che lo riguardano, previsto ai fini di informazioni promozionali o di invio di materiale pubblicitario o di vendita ovvero per il compimento di ricerche di mercato o di comunicazione commerciale.

Potrete in qualsiasi momento esercitare i vostri diritti inviando una comunicazione alla Società Cooperativa Sociale “Villa Elena”  direttamente dal Sito:

www.casariposovillaelena.it.

Resta fermo il diritto di ottenere la copia/portabilità dei dati a lei relativi, ottenerne la limitazione del trattamento, o di revocare in qualsiasi momento il consenso al trattamento eventualmente prestato, nonché di proporre reclamo avverso al trattamento dinanzi al Garante per la protezione dei dati personali www.garanteprivacy.it.

  1. Clausola di revisione

La Società Cooperativa Sociale “Villa Elena”  si riserva di rivedere, modificare o semplicemente aggiornare, in tutto o in parte, a propria esclusiva discrezione, in qualsiasi modo e/o in qualsiasi momento, senza preavviso, la presente Privacy Policy anche in considerazione di modifiche di norme di legge o di regolamento in materia di protezione dei dati personali. Le modifiche e gli aggiornamenti della Privacy Policy saranno notificati agli utenti nella Home Page del Sito non appena adottati e saranno vincolanti non appena pubblicati sul Sito in questa stessa sezione. Vi preghiamo, pertanto, di accedere con regolarità a questa sezione per verificare la pubblicazione della più recente ed aggiornata Privacy Policy.

Il Regolamento (UE) 2016/679) è consultabile sul sito del Garante per la Protezione dei dati personali www.garanteprivacy.it.

  1. Informativa "Contattaci"

Società Cooperativa Sociale “Villa Elena” , nella persona del suo Amministratore Unico Dott. Settimo Paladini, in qualità di Titolare del trattamento la informa - ai sensi del Regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati – il “Regolamento”) - che i dati personali che ci fornisce contattandoci ai recapiti e-mail indicati o compilando il modulo  che segue saranno utilizzati su supporti cartacei od elettronici, in modo da garantirne sicurezza e riservatezza ed al solo fine di rispondere alle segnalazioni o richieste di informazioni. I suoi dati sono facoltativi.

Per poterla ricontattare e rispondere alla sua segnalazione/richiesta non necessitiamo del suo consenso ai sensi del Regolamento (UE) 2016/679. I dati non saranno diffusi, né comunicati a terzi, e potranno venire a conoscenza degli incaricati dell’Ufficio “Relazioni con gli Utenti” che gestiranno la sua segnalazione/richiesta.

Utilizzando i nostri contatti o presente modulo che segue potrà in ogni momento esercitare i diritti riconosciuti dal Regolamento (UE) 2016/679  ed in particolare: 1) ottenere, senza ritardo, la conferma dell'esistenza o meno di dati personali che la riguardano; 2) ottenere: a) l’indicazione dell’origine dei dati personali, delle finalità e modalità del trattamento, della logica del trattamento effettuato con l’ausilio di strumenti elettronici, degli estremi identificativi del titolare o dei responsabili, dei soggetti o delle categorie di soggetti a cui i dati possono venire comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati;  b) l'aggiornamento, la rettificazione, l'integrazione dei dati; c) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge […].

Resta fermo il diritto di ottenere la copia/portabilità dei dati a lei relativi, ottenerne la limitazione del trattamento, nonché di proporre reclamo avverso al trattamento dinanzi al Garante per la protezione dei dati personali www.garanteprivacy.it.

Il Responsabile del trattamento è il Dott. Settimo Paladini ed i suoi dati di contatto le saranno forniti inviando richiesta direttamente attraverso il sito www.casariposovillaelena.it.

Informativa Cliente

PRIVACY INFORMATIVA E CONSENSO AL TRATTAMENTO DEI DATI PERSONALI E SENSIBILI IN BASE AL REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO DEL 27/04/2016 (GDPR)

Ai sensi del Regolamento 2016/679 (GDPR), il trattamento delle informazioni riguardanti la sua persona sarà improntato ai principi di correttezza, liceità, trasparenza e tutela della riservatezza, in particolare i suoi dati (sensibili) idonei a rivelare l’origine razziale ed etica, nonché lo stato di salute e la vita sessuale possono essere oggetto di trattamento solo ai sensi degli artt.5, 6, 7 e 8 del capo II del GDPR. Inoltre i dati conferiti e raccolti saranno comunicati al personale sanitario della R.S.S.A. “Villa Elena” (medici, infermieri) che li tratteranno esclusivamente al fine di espletare l’assistenza sanitaria ed alla persona prevista e disciplinata dall’art. 66 del Regolamento Regione Puglia n. 4/2007 e s.m.i..

Il titolare del trattamento è la Società Cooperativa Sociale “Villa Elena” – con sede legale ed operativa in Castrì (Le) in Via Giordano Bruno n. 10, che gestisce la Residenza Socio Sanitaria Assistenziale “Villa Elena”, ivi ubicata, e il responsabile del trattamento è l’amministratore unico, Dott. Settimo Paladini, il quale tratterà i suoi dati personali, forniti al momento dell’ingresso e durante tutto il periodo di degenza, in conformità a quanto stabilito dalla normativa applicabile in materia di privacy e protezione dei dati personali e dalla presente informativa.

La società cooperativa Sociale “Villa Elena” ha nominato un Responsabile della Protezione dei Dati (RPD) che può essere contattato al seguente indirizzo mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

La società cooperativa Sociale “Villa Elena” tratterà i suoi Dati Personali per il conseguimento di finalità precise e solo in presenza di una specifica base giuridica prevista dalla legge applicabile in materia di privacy e protezione dei dati personali. Nello specifico la società cooperativa Sociale “Villa Elena” tratterà i dati personali solo quando quando ricorre una o più delle seguenti basi giuridiche:

  • Lei ha prestato il suo consenso libero, specifico, informato, inequivocabile ed espresso al trattamento;
  • Il trattamento è necessario all’esecuzione di un contratto di cui lei è parte e dall’esecuzione di misure precontrattuali adottate su sua richiesta;
  • In presenza di un legittimo interesse della società cooperativa Sociale “Villa Elena”;
  • la società cooperativa Sociale “Villa Elena” è tenuta in forza di un obbligo di legge a trattare i Dati Personali.

Al titolare del trattamento o al responsabile lei potrà rivolgersi per far valere i suoi diritti, così come previsto dagli articoli 11 (esercizio dei diritti), 12 (modalità di esercizio) e 15 (diritto di accesso ai dati personali) ed altri diritti del regolamento GDPR. In relazione ai dati conferiti Lei potrà esercitare i diritti previsti dal regolamento Europeo quali il diritto di revocare il proprio consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; di chiedere l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che la riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; di proporre reclamo all’Autorità Garante per la protezione dei dati personali italiana. Lei potrà esercitare i suoi diritti in forma cartacea inviando una richiesta scritta al titolare del trattamento, anche a mezzo mail, all’indirizzo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo..

Il/la sottoscritto/a dichiara di essere stato/a informato/a sui diritti e sui limiti di cui al regolamento 2016/679 (GDPR), di aver acquisito le informazioni fornite dal titolare del trattamento ai sensi dell’art. 13 par. 1 e 14 par. 1 del citato regolamento (GDRP) con l’informativa sopra indicata e di essere consapevole, in particolare, che il trattamento riguarderà anche i dati “sensibili”, come definiti dall’art 4 del medesimo regolamento (GDPR), costituiti esclusivamente dai dati personali utili alla definizione delle condizioni sanitarie personali; il/la sottoscritto/a è inoltre consapevole che comunque e ad ulteriore maggiore tutela i dati saranno trattati nel pieno rispetto della normativa che regola il segreto professionale medico sia a livello di legge nazionale che di codice deontologico, al solo ed unico fine di consentire la predisposizione del (PAI) Piano Assistenziale Individuale per il paziente e la sua regolare esecuzione, la registrazione della cartella clinica ed il suo aggiornamento periodico e archiviazione.

I suoi Dati Personali potranno essere resi accessibili, per le finalità sopra menzionate:

  • ai medici di base, ai medici specialisti convenzionati della Asl territorialmente competente, ad eventuali medici specialisti privati si sua fiducia, al coordinatore sanitario della R.S.S.A. “Villa Elena”;
  • al personale infermieristico, ai terapisti occupazionali, educatori professionali, terapisti della riabilitazione e assistenti sociali;

 

Tutti i dati predetti e gli altri costituenti il Suo rapporto d’assistenza con questa Società verranno conservati, anche dopo la cessazione del rapporto medesimo, per l’espletamento di tutti i residui adempimenti connessi o derivanti dalla conclusione stessa, come disciplinato dal Documento di Organizzazione Aziendale della R.S.S.A. “Villa Elena”.

In caso di mia incapacità, nessun altro oltre a me stesso o i miei familiari o il mio medico curante, potranno richiedere copie della cartella clinica o di informazione ad essa relative.

 

Acquisito ciò, il/la sottoscritto/a

  • Presta il proprio consenso al trattamento dei dati personale e “sensibili” che lo riguardano per attività sanitarie e per quelle correlate all’oggetto dei servizi assistenziali erogati presso la R.S.S.A. “Villa Elena”;
  • Presta il proprio consenso affinchè i dati personali, compresi i dati inerenti lo stato di salute – siano comunicati a medici specialisti e da questi utilizzati per finalità di diagnosi e refertazione;
  • Presta il proprio consenso per l’elaborazione ai fini di ricerca scientifica (e comunque di ogni analisi utile ai fini della tutela della salute pubblica con possibile diffusione in forma singola o aggregata) dei risultati, in modo assolutamente anonimo.

 

 

Castrì, lì __________________________

 

 

  • Firma cliente _________________________

 

 

  • In qualità di rappresentante legale (tutore, curatore, amministratore di sostegno, etc.) di persona anziana in situazione di non autosufficienza che firma per impedimento temporaneo del richiedente a sottoscrivere (art. 4 D.P.R. 445/2000).

 

 

tutore/curatore/amministratore di sostegno

 

 

_____________________________________________

 

  • Familiare (entro il 4° grado ed affine entro il 2° grado) di persona anziana in situazione di non autosufficienza, autosufficienza che firma per impedimento temporaneo del richiedente a sottoscrivere (art. 4 D.P:R. 445/2000).

 

Il/la Familiare (specificare il grado di parentela)

 

 

 

_____________________________________________