Regolamento 45/2001 del Parlamento europeo e del Consiglio del 18 dicembre 2000 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati

Regulation 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

Having regard to the Treaty establishing the European Community, and in particular Article 286 thereof,

vista la proposta della Commissione(1),

Having regard to the proposal from the Commission(1),

visto il parere del Comitato economico e sociale(2),

Having regard to the opinion of the Economic and Social Committee(2),

deliberando secondo la procedura di cui all'articolo 251 del trattato(3),

Acting in accordance with the procedure laid down in Article 251 of the Treaty(3),

considerando quanto segue:

Whereas:

(1) L'articolo 286 del trattato stabilisce che gli atti comunitari sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati si applicano alle istituzioni e agli organismi comunitari.

(1) Article 286 of the Treaty requires the application to the Community institutions and bodies of the Community acts on the protection of individuals with regard to the processing of personal data and the free movement of such data.

(2) Un sistema di protezione dei dati personali richiede, per esser completo, non solo che si istituiscano diritti per le persone cui tali dati si riferiscono e obblighi per chi li elabora, ma anche adeguate sanzioni per i trasgressori e un'autorità di controllo indipendente.

(2) A fully-fledged system of protection of personal data not only requires the establishment of rights for data subjects and obligations for those who process personal data, but also appropriate sanctions for offenders and monitoring by an independent supervisory body.

(3) L'articolo 286, paragrafo 2 del trattato prescrive l'istituzione di un organo di controllo indipendente incaricato di sorvegliare l'applicazione di detti atti alle istituzioni e agli organismi comunitari.

(3) Article 286(2) of the Treaty requires the establishment of an independent supervisory body responsible for monitoring the application of such Community acts to Community institutions and bodies.

(4) L'articolo 286, paragrafo 2 del trattato prescrive l'adozione, se del caso, di tutte le altre pertinenti disposizioni.

(4) Article 286(2) of the Treaty requires the adoption of any other relevant provisions as appropriate.

(5) È necessario un regolamento per accordare alle persone fisiche diritti giuridicamente tutelati e per chiarire gli obblighi dei responsabili del trattamento dei dati in seno alle istituzioni e agli organismi comunitari, nonché per istituire un'autorità di controllo indipendente incaricata di sorvegliare il trattamento dei dati personali effettuato dalle istituzioni e dagli organismi comunitari.

(5) A Regulation is necessary to provide the individual with legally enforceable rights, to specify the data processing obligations of the controllers within the Community institutions and bodies, and to create an independent supervisory authority responsible for monitoring the processing of personal data by the Community institutions and bodies.

(6) Il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito dall'articolo 29 della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati(4), è stato consultato.

(6) The Working Party on the Protection of Individuals with regard to the Processing of Personal Data set up under Article 29 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data(4) has been consulted.

(7) Le persone che possono essere oggetto di tutela sono quelle i cui dati personali sono trattati da istituzioni o organismi comunitari, in qualsiasi circostanza, ad esempio in quanto impiegate presso tali istituzioni o organismi.

(7) The persons to be protected are those whose personal data are processed by Community institutions or bodies in any context whatsoever, for example because they are employed by those institutions or bodies.

(8) È necessario applicare i principi della protezione dei dati a tutte le informazioni relative ad una persona identificata o identificabile. Per stabilire se una persona è identificabile, occorre tener conto di tutti gli strumenti ragionevolmente impiegati dal responsabile del trattamento dei dati o da chiunque altro al fine d'identificare detta persona. Non occorre applicare detti principi di protezione ai dati resi anonimi in modo sufficiente ad impedire l'identificazione dell'interessato.

(8) The principles of data protection should apply to any information concerning an identified or identifiable person. To determine whether a person is identifiable, account should be taken of all the means likely to be reasonably used either by the controller or by any other person to identify the said person. The principles of protection should not apply to data rendered anonymous in such a way that the data subject is no longer identifiable.

(9) La direttiva 95/46/CE fa obbligo agli Stati membri di garantire la tutela delle libertà e dei diritti fondamentali delle persone fisiche e particolarmente del diritto alla vita privata con riguardo al trattamento dei dati personali, al fine di assicurare la libera circolazione dei dati personali nella Comunità.

(9) Directive 95/46/EC requires Member States to protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data, in order to ensure the free flow of personal data in the Community.

(10) La direttiva 97/66/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni(5) precisa e integra la direttiva 95/46/CE quanto al trattamento dei dati personali nel settore delle telecomunicazioni.

(10) Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector(5) specifies and adds to Directive 95/46/EC with respect to the processing of personal data in the telecommunications sector.

(11) Diverse altre misure comunitarie, in particolare quelle in tema di assistenza reciproca tra le amministrazioni nazionali e la Commissione, mirano ugualmente a precisare e integrare la direttiva 95/46/CE nel settore cui esse si riferiscono.

(11) Various other Community measures, including measures on mutual assistance between national authorities and the Commission, are also designed to specify and add to Directive 95/46/EC in the sectors to which they relate.

(12) Occorre garantire su tutto il territorio comunitario un'applicazione coerente ed omogenea delle norme relative alla tutela delle libertà e dei diritti fondamentali delle persone fisiche con riguardo al trattamento dei dati personali.

(12) Consistent and homogeneous application of the rules for the protection of individuals' fundamental rights and freedoms with regard to the processing of personal data should be ensured throughout the Community.

(13) Il risultato perseguito è quello di garantire tanto l'effettivo rispetto delle norme relative alla tutela delle libertà e dei diritti fondamentali delle persone fisiche quanto la libera circolazione dei dati personali tra gli Stati membri e le istituzioni o gli organismi comunitari, nonché fra le istituzioni e gli organismi comunitari stessi ai fini dell'esercizio delle rispettive competenze.

(13) The aim is to ensure both effective compliance with the rules governing the protection of individuals' fundamental rights and freedoms and the free flow of personal data between Member States and the Community institutions and bodies or between the Community institutions and bodies for purposes connected with the exercise of their respective competences.

(14) Per meglio conseguire tale risultato occorre adottare norme vincolanti nei confronti delle istituzioni e degli organismi comunitari. È necessario applicare tali norme ad ogni trattamento di dati personali effettuato da tutte le istituzioni e gli organismi comunitari purché esso avvenga nell'esercizio di attività che rientrano in tutto o in parte nel campo di applicazione del diritto comunitario.

(14) To this end measures should be adopted which are binding on the Community institutions and bodies. These measures should apply to all processing of personal data by all Community institutions and bodies insofar as such processing is carried out in the exercise of activities all or part of which fall within the scope of Community law.

(15) Qualora tale trattamento venga effettuato dalle istituzioni e organi comunitari per esercitare attività che esulano dall'ambito di applicazione del presente regolamento, e in particolare quelle di cui ai titoli V e VI del trattato sull'Unione europea, la tutela dei diritti e delle libertà fondamentali delle persone è garantita ai sensi dell'articolo 6 del trattato sull'Unione europea. L'accesso ai documenti, anche contenenti dati personali, è soggetto alle disposizioni adottate in base all'articolo 255 TCE, che si applica anche ai titoli V e VI del TUE.

(15) Where such processing is carried out by Community institutions or bodies in the exercise of activities falling outside the scope of this Regulation, in particular those laid down in Titles V and VI of the Treaty on European Union, the protection of individuals' fundamental rights and freedoms shall be ensured with due regard to Article 6 of the Treaty on European Union. Access to documents, including conditions for access to documents containing personal data, is governed by the rules adopted on the basis of Article 255 of the EC Treaty the scope of which includes Titles V and VI of the Treaty on European Union.

(16) Dette misure non si applicano ad organismi istituiti al di fuori dell'ambito comunitario e il garante europeo della protezione dei dati non è competente per la sorveglianza del trattamento dei dati personali effettuato da tali organismi.

(16) The measures should not apply to bodies established outside the Community framework, nor should the European Data Protection Supervisor be competent to monitor the processing of personal data by such bodies.

(17) L'efficacia della tutela delle persone in relazione al trattamento dei dati personali nell'Unione presuppone la coerenza delle norme e delle procedure applicabili in materia ad attività inserite in quadri giuridici diversi. L'elaborazione di principi fondamentali relativi alla protezione dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione doganale e di polizia, nonché la creazione di un segretariato per le autorità di controllo comuni, istituite dalla convenzione Europol, la convenzione sull'uso dell'informatica nel settore doganale e la Convenzione Schengen, rappresentano una prima tappa a tale riguardo.

(17) The effectiveness of the protection of individuals with regard to the processing of personal data in the Union presupposes the consistency of the relevant rules and procedures applicable to activities pertaining to different legal contexts. The development of fundamental principles on the protection of personal data in the fields of judicial cooperation in criminal affairs and police and customs cooperation, and the setting-up of a secretariat for the joint supervisory authorities established by the Europol Convention, the Convention on the Use of Information Technology for Customs Purposes and the Schengen Convention represent a first step in this regard.

(18) È necessario che il presente regolamento prescinda dai diritti e gli obblighi degli Stati membri a titolo delle direttive 95/46/CE e 97/66/CE. Esso non si prefigge di modificare prassi e procedure legalmente applicate dagli Stati membri in materia di sicurezza nazionale, di tutela dell'ordine pubblico nonché di prevenzione, indagine, accertamento e perseguimento di reati, nel rispetto del Protocollo sui privilegi e sulle immunità delle Comunità europee e del diritto internazionale.

(18) This Regulation should not affect the rights and obligations of Member States under Directives 95/46/EC and 97/66/EC. It is not intended to change existing procedures and practices lawfully implemented by the Member States in the field of national security, prevention of disorder or prevention, detection, investigation and prosecution of criminal offences in compliance with the Protocol on Privileges and Immunities of the European Communities and with international law.

(19) Le istituzioni e gli organismi comunitari si rivolgono alle autorità competenti degli Stati membri se ravvisano l'opportunità di effettuare intercettazioni di comunicazioni sulle loro reti di telecomunicazioni conformemente alle disposizioni nazionali applicabili.

(19) The Community institutions and bodies should inform the competent authorities in the Member States when they consider that communications on their telecommunications networks should be intercepted, in keeping with the national provisions applicable.

(20) È opportuno che le misure applicabili alle istituzioni e agli organismi comunitari corrispondano alle disposizioni previste per il ravvicinamento delle legislazioni nazionali o l'attuazione di altre politiche comunitarie, segnatamente in materia di assistenza reciproca. Tuttavia può rendersi necessario precisare e integrare tali disposizioni per garantire la protezione dei dati personali sottoposti a trattamento da istituzioni ed organismi comunitari.

(20) The provisions applicable to the Community institutions and bodies should correspond to those provisions laid down in connection with the harmonisation of national laws or the implementation of other Community policies, notably in the mutual assistance sphere. It may be necessary, however, to specify and add to those provisions when it comes to ensuring protection in the case of the processing of personal data by the Community institutions and bodies.

(21) Ciò vale ugualmente per i diritti delle persone fisiche i cui dati personali sono sottoposti a trattamento, per gli obblighi delle istituzioni e degli organismi comunitari responsabili del trattamento, nonché per i poteri da conferire all'autorità di controllo indipendente incaricato di verificare la corretta applicazione del presente regolamento.

(21) This holds true for the rights of the individuals whose data are being processed, for the obligations of the Community institutions and bodies doing the processing, and for the powers to be vested in the independent supervisory authority responsible for ensuring that this Regulation is properly applied.

(22) È necessario che i diritti dell'interessato e il loro esercizio non pregiudichino gli obblighi imposti al responsabile del trattamento.

(22) The rights accorded the data subject and the exercise thereof should not affect the obligations placed on the controller.

(23) L'autorità di controllo indipendente esercita il suo incarico in conformità del trattato e nel rispetto dei diritti dell'uomo e delle libertà fondamentali. Esso conduce le sue indagini nel rispetto del protocollo sui privilegi e sulle immunità e nel rispetto dello statuto dei funzionari e del regime applicabile agli altri agenti delle Comunità europee.

(23) The independent supervisory authority should exercise its supervisory functions in accordance with the Treaty and in compliance with human rights and fundamental freedoms. It should conduct its enquiries in compliance with the Protocol on Privileges and Immunities and with the Staff Regulations of Officials of the European Communities and the conditions of employment applicable to Other Servants of the Communities.

(24) Occorrerà adottare le misure tecniche necessarie per consentire l'accesso ai registri dei trattamenti tenuti dai responsabili della protezione dei dati tramite l'autorità di controllo indipendente.

(24) The necessary technical measures should be adopted to allow access to the registers of processing operations carried out by Data Protection Officers through the independent supervisory authority.

(25) È opportuno che le decisioni dell'autorità di controllo indipendente riguardanti le deroghe, le garanzie, le autorizzazioni e le condizioni relative ai trattamenti di dati, quali definiti dal presente regolamento, siano pubblicate nel rapporto sulle attività svolte. A prescindere dalla pubblicazione annuale del rapporto sulle attività svolte, l'autorità di controllo indipendente può pubblicare relazioni su temi specifici.

(25) The decisions of the independent supervisory authority regarding exemptions, guarantees, authorisations and conditions relating to data processing operations, as defined in this Regulation, should be published in the activities report. Independently of the publication of an annual activities report, the independent supervisory authority may publish reports on specific subjects.

(26) Taluni trattamenti che possono presentare rischi particolari per quanto riguarda i diritti e le libertà degli interessati sono soggetti a controllo preventivo dell'autorità di controllo indipendente. È necessario che il parere, anche tacito, emesso nell'ambito di detto controllo preventivo, non pregiudichi l'esercizio ulteriore da parte dell'organo di controllo indipendente delle sue competenze rispetto al trattamento in questione.

(26) Certain processing operations likely to present specific risks with respect to the rights and freedoms of data subjects are subject to prior checking by the independent supervisory authority. The opinion given in the context of such prior checking, including the opinion resulting from failure to reply within the set period, should be without prejudice to the subsequent exercise by the independent supervisory authority of its powers with regard to the processing operation in question.

(27) Il trattamento di dati personali per l'esercizio delle funzioni svolte dalle istituzioni e dagli organismi comunitari nel pubblico interesse comprende il trattamento dei dati personali necessari alla gestione e al funzionamento di tali istituzioni e organismi.

(27) Processing of personal data for the performance of tasks carried out in the public interest by the Community institutions and bodies includes the processing of personal data necessary for the management and functioning of those institutions and bodies.

(28) In certi casi, è necessario prevedere che il trattamento dei dati sia autorizzato da disposizioni comunitarie o atti di recepimento di disposizioni comunitarie. Tuttavia, a titolo transitorio, allorché tali disposizioni non esistono e in attesa della loro adozione, il garante europeo della protezione dei dati può autorizzare il trattamento di tali dati mediante l'adozione di garanzie adeguate. Al riguardo, egli tiene conto in particolare delle disposizioni adottate dagli Stati membri per casi simili.

(28) In certain cases the processing of data should be authorised by Community provisions or by acts transposing Community provisions. Nevertheless, in the transitional period during which such provisions do not exist, pending their adoption, the European Data Protection Supervisor may authorise processing of such data provided that adequate safeguards are adopted. In so doing, he should take account in particular of the provisions adopted by the Member States to deal with similar cases.

(29) Tali casi riguardano il trattamento di dati che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, come pure il trattamento di dati relativi alla salute o alla vita sessuale che siano necessari per rispettare gli obblighi e i diritti specifici del responsabile del trattamento in materia di diritto del lavoro o per un motivo importante d'interesse pubblico. Si tratta anche del trattamento dei dati relativi alle infrazioni, alle condanne penali o alle misure di sicurezza, oppure ancora dell'autorizzazione ad applicare all'interessato una decisione che produca effetti giuridici nei suoi confronti o che la danneggi in modo significativo, fondata solo su un trattamento automatizzato dei dati destinato a valutare alcuni aspetti della sua personalità.

(29) These cases concern the processing of data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs or trade-union membership and the processing of data concerning health or sex life which are necessary for the purposes of complying with the specific rights and obligations of the controller in the field of employment law or for reasons of substantial public interest. They also concern the processing of data relating to offences, criminal convictions or security measures and authorisation to apply a decision to the data subject which produces legal effects concerning him or her or significantly affects him or her and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him or her.

(30) Può essere necessario sottoporre a controllo le reti di calcolatori gestite sotto la responsabilità delle istituzioni e degli organismi della Comunità per prevenire un'utilizzazione non autorizzata. Il garante europeo della protezione dei dati stabilisce se e a quali condizioni il controllo può essere esercitato.

(30) It may be necessary to monitor the computer networks operated under the control of the Community institutions and bodies for the purposes of prevention of unauthorised use. The European Data Protection Supervisor should determine whether and under what conditions that is possible.

(31) La responsabilità per violazione del presente regolamento è disciplinata dall'articolo 288, secondo comma del trattato.

(31) Liability arising from any breach of this Regulation is governed by the second paragraph of Article 288 of the Treaty.

(32) Uno o più responsabili della protezione dei dati provvedono, all'interno di ciascuna istituzione o organismo della Comunità, all'applicazione del presente regolamento e consigliano i responsabili del trattamento nell'assolvimento dei loro obblighi.

(32) In each Community institution or body one or more Data Protection Officers should ensure that the provisions of this Regulation are applied and should advise controllers on fulfilling their obligations.

(33) L'articolo 21 del regolamento (CE) n. 322/97 del Consiglio, del 17 febbraio 1997, relativo alle statistiche comunitarie(6) dispone che il regolamento si applica senza pregiudicare la direttiva 95/46/CE.

(33) Under Article 21 of Council Regulation (EC) No 322/97 of 17 February 1997 on Community statistics(6), that Regulation is to apply without prejudice to Directive 95/46/EC.

(34) L'articolo 8, paragrafo 8 del regolamento (CE) n. 2533/98 del Consiglio, del 23 novembre 1998, sulla raccolta di informazioni statistiche da parte della banca centrale europea(7) dispone che il regolamento si applica senza pregiudicare la direttiva 95/46/CE.

(34) Under Article 8(8) of Council Regulation (EC) No 2533/98 of 23 November 1998 concerning the collection of statistical information by the European Central Bank(7), that Regulation is to apply without prejudice to Directive 95/46/EC.

(35) L'articolo 1, paragrafo 2 del regolamento (Euratom, CEE) n. 1588/90 del Consiglio, dell'11 giugno 1990 relativo alla trasmissione all'istituto statistico delle Comunità europee di dati statistici protetti dal segreto(8) dispone che detto regolamento non deroga alle disposizioni particolari, comunitarie o nazionali, relative alla salvaguardia di segreti diversi da quello statistico.

(35) Under Article 1(2) of Council Regulation (Euratom, EEC) No 1588/90 of 11 June 1990 on the transmission of data subject to statistical confidentiality to the Statistical Office of the European Communities(8), that Regulation does not derogate from the special Community or national provisions concerning the safeguarding of confidentiality other than statistical confidentiality.

(36) Il presente regolamento non è diretto a limitare gli ambiti di discrezionalità degli Stati membri per quanto attiene all'elaborazione della legislazione nazionale in materia di protezione dei dati adottata in virtù dell'articolo 32 della direttiva 95/46/CE, conformemente all'articolo 249 del trattato,

(36) This Regulation does not aim to limit Member States' room for manoeuvre in drawing up their national laws on data protection under Article 32 of Directive 95/46/EC, in accordance with Article 249 of the Treaty,

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

HAVE ADOPTED THIS REGULATION:

CAPO I

CHAPTER I

DISPOSIZIONI GENERALI

GENERAL PROVISIONS

Articolo 1

Article 1

Oggetto

Object of the Regulation

1. Le istituzioni e gli organismi creati dai trattati che istituiscono le Comunità europee o sulla loro base (in prosieguo "le istituzioni e gli organismi comunitari") garantiscono, conformemente alle disposizioni del presente regolamento, la tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare il diritto alla vita privata per quanto attiene al trattamento di dati personali. Essi non limitano né vietano la libera circolazione dei dati personali tra loro o verso i destinatari soggetti alla normativa nazionale degli Stati membri adottata in attuazione della direttiva 95/46/CE.

1. In accordance with this Regulation, the institutions and bodies set up by, or on the basis of, the Treaties establishing the European Communities, hereinafter referred to as "Community institutions or bodies", shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data and shall neither restrict nor prohibit the free flow of personal data between themselves or to recipients subject to the national law of the Member States implementing Directive 95/46/EC.

2. L'autorità di controllo indipendente istituita dal presente regolamento (in prosieguo "il garante europeo della protezione dei dati") sorveglia l'applicazione delle disposizioni del presente regolamento a tutti i trattamenti dei dati personali eseguiti da un'istituzione o da un organismo comunitario.

2. The independent supervisory authority established by this Regulation, hereinafter referred to as the European Data Protection Supervisor, shall monitor the application of the provisions of this Regulation to all processing operations carried out by a Community institution or body.

Articolo 2

Article 2

Definizioni

Definitions

Ai fini del presente regolamento s'intende per:

For the purposes of this Regulation:

a) "dati personali": qualsiasi informazione concernente una persona fisica identificata o identificabile (in prosieguo "interessato"); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero d'identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;

(a) "personal data" shall mean any information relating to an identified or identifiable natural person hereinafter referred to as "data subject"; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his or her physical, physiological, mental, economic, cultural or social identity;

b) "trattamento di dati personali" (in prosieguo "trattamento"): qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione o la modifica, l'estrazione, la consultazione, l'impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, l'allineamento o l'interconnessione, nonché il blocco, la cancellazione o la distruzione;

(b) "processing of personal data" hereinafter referred to as "processing" shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organisation, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;

c) "archivio di dati personali" (in prosieguo "archivio"): qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

(c) "personal data filing system" hereinafter referred to as "filing system" shall mean any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;

d) "responsabile del trattamento": l'istituzione o l'organismo della Comunità, la direzione generale, l'unità o qualunque altra entità organizzativa che, singolarmente o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da un atto comunitario specifico, il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati da tale atto comunitario;

(d) "controller" shall mean the Community institution or body, the Directorate-General, the unit or any other organisational entity which alone or jointly with others determines the purposes and means of the processing of personal data; where the purposes and means of processing are determined by a specific Community act, the controller or the specific criteria for its nomination may be designated by such Community act;

e) "incaricato del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;

(e) "processor" shall mean a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller;

f) "terzi": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che non sia l'interessato, il responsabile del trattamento, l'incaricato del trattamento o le persone autorizzate all'elaborazione dei dati sotto l'autorità diretta di questi ultimi;

(f) "third party" shall mean a natural or legal person, public authority, agency or body other than the data subject, the controller, the processor and the persons who, under the direct authority of the controller or the processor, are authorised to process the data;

g) "destinatario": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati, che si tratti o meno di terzi. Non sono tuttavia considerate destinatari le autorità alle quali i dati possono essere comunicati nell'ambito di una missione d'inchiesta specifica;

(g) "recipient" shall mean a natural or legal person, public authority, agency or any other body to whom data are disclosed, whether a third party or not; however, authorities which may receive data in the framework of a particular inquiry shall not be regarded as recipients;

h) "consenso dell'interessato": qualsiasi manifestazione di volontà libera, specifica e informata con la quale l'interessato accetta che i dati personali che la riguardano siano oggetto di un trattamento.

(h) "the data subject's consent" shall mean any freely given specific and informed indication of his or her wishes by which the data subject signifies his or her agreement to personal data relating to him or her being processed.

Articolo 3

Article 3

Campo d'applicazione

Scope

1. Il presente regolamento si applica al trattamento di dati personali da parte di tutte le istituzioni e di tutti gli organismi comunitari, nella misura in cui detto trattamento avviene nell'esercizio di attività che rientrano in tutto o in parte nel campo di applicazione del diritto comunitario.

1. This Regulation shall apply to the processing of personal data by all Community institutions and bodies insofar as such processing is carried out in the exercise of activities all or part of which fall within the scope of Community law.

2. Il presente regolamento si applica al trattamento di dati personali, interamente o parzialmente automatizzato, nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi.

2. This Regulation shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system.

CAPO II

CHAPTER II

CONDIZIONI GENERALI DI LICEITÀ DEL TRATTAMENTO DI DATI PERSONALI

GENERAL RULES ON THE LAWFULNESS OF THE PROCESSING OF PERSONAL DATA

SEZIONE 1

SECTION 1

PRINCIPI RELATIVI ALLA QUALITÀ DEI DATI

PRINCIPLES RELATING TO DATA QUALITY

Articolo 4

Article 4

Qualità dei dati

Data quality

1. I dati personali devono essere:

1. Personal data must be:

a) trattati in modo corretto e lecito;

(a) processed fairly and lawfully;

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Il trattamento successivo dei dati per scopi storici, statistici o scientifici non è ritenuto incompatibile, purché il responsabile del trattamento fornisca garanzie appropriate, in particolare per assicurare che i dati non siano trattati per altri fini e non siano utilizzati a sostegno di misure o decisioni riguardanti persone specifiche;

(b) collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes. Further processing of personal data for historical, statistical or scientific purposes shall not be considered incompatible provided that the controller provides appropriate safeguards, in particular to ensure that the data are not processed for any other purposes or used in support of measures or decisions regarding any particular individual;

c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono raccolti o successivamente trattati;

(c) adequate, relevant and not excessive in relation to the purposes for which they are collected and/or further processed;

d) esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalità per le quali sono raccolti o successivamente trattati;

(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that data which are inaccurate or incomplete, having regard to the purposes for which they were collected or for which they are further processed, are erased or rectified;

e) conservati in modo da consentire l'identificazione degli interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono raccolti o successivamente trattati. L'istituzione o l'organismo comunitario prevede, per i dati personali che devono essere conservati oltre il suddetto arco di tempo per scopi storici, statistici o scientifici, che siano conservati esclusivamente in una forma che li renda anonimi oppure, laddove non sia possibile, che siano conservati soltanto a condizione che l'identità dell'interessato sia criptata. I dati non devono in alcun caso essere utilizzati per scopi diversi da quelli storici, statistici o scientifici.

(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the data were collected or for which they are further processed. The Community institution or body shall lay down that personal data which are to be stored for longer periods for historical, statistical or scientific use should be kept either in anonymous form only or, if that is not possible, only with the identity of the data subjects encrypted. In any event, the data shall not be used for any purpose other than for historical, statistical or scientific purposes.

2. Il responsabile del trattamento garantisce il rispetto delle disposizioni del paragrafo 1.

2. It shall be for the controller to ensure that paragraph 1 is complied with.

SEZIONE 2

SECTION 2

PRINCIPI RELATIVI ALLA LEGITTIMAZIONE DEL TRATTAMENTO DI DATI

CRITERIA FOR MAKING DATA PROCESSING LEGITIMATE

Articolo 5

Article 5

Liceità del trattamento

Lawfulness of processing

Il trattamento di dati personali può essere effettuato soltanto quando:

Personal data may be processed only if:

a) è necessario per l'esecuzione di una funzione di interesse pubblico in forza dei trattati che istituiscono le Comunità europee o di altri atti normativi adottati in base ad essi oppure per l'esercizio legittimo di pubblici poteri di cui sono investiti l'istituzione o l'organismo comunitario ovvero i terzi cui vengono comunicati i dati; oppure

(a) processing is necessary for the performance of a task carried out in the public interest on the basis of the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof or in the legitimate exercise of official authority vested in the Community institution or body or in a third party to whom the data are disclosed, or

b) è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento; oppure

(b) processing is necessary for compliance with a legal obligation to which the controller is subject, or

c) è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali prese su richiesta dello stesso; oppure

(c) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract, or

d) l'interessato ha manifestato il proprio consenso in maniera inequivocabile; oppure

(d) the data subject has unambiguously given his or her consent, or

e) è necessario per la salvaguardia degli interessi vitali dell'interessato.

(e) processing is necessary in order to protect the vital interests of the data subject.

Articolo 6

Article 6

Cambiamento di finalità

Change of purpose

Fatti salvi gli articoli 4, 5 e 10:

Without prejudice to Articles 4, 5 and 10:

1) Il trattamento dei dati personali per fini diversi da quelli per cui sono stati raccolti è consentito soltanto se il cambiamento di finalità è espressamente autorizzato dalla regolamentazione interna dell'istituzione o dell'organismo comunitario;

1. Personal data shall only be processed for purposes other than those for which they have been collected if the change of purpose is expressly permitted by the internal rules of the Community institution or body.

2) I dati personali raccolti allo scopo esclusivo di garantire la sicurezza o il controllo dei sistemi o del trattamento non possono essere impiegati per altri fini, a eccezione delle attività volte a prevenire, indagare, accertare e perseguire reati gravi.

2. Personal data collected exclusively for ensuring the security or the control of the processing systems or operations shall not be used for any other purpose, with the exception of the prevention, investigation, detection and prosecution of serious criminal offences.

Articolo 7

Article 7

Trasferimento di dati personali fra istituzioni e organismi comunitari o al loro interno

Transfer of personal data within or between Community institutions or bodies

Fatti salvi gli articoli 4, 5, 6 e 10:

Without prejudice to Articles 4, 5, 6 and 10:

1) Il trasferimento di dati personali ad altre istituzioni o ad altri organismi comunitari ovvero al loro interno è consentito unicamente se i dati sono necessari per il legittimo esercizio delle funzioni che rientrano nelle competenze del destinatario.

1. Personal data shall only be transferred within or to other Community institutions or bodies if the data are necessary for the legitimate performance of tasks covered by the competence of the recipient.

2) Se i dati sono trasferiti su richiesta del destinatario, il responsabile del trattamento e il destinatario sono entrambi responsabili della legittimità del trasferimento.

2. Where the data are transferred following a request from the recipient, both the controller and the recipient shall bear the responsibility for the legitimacy of this transfer.

Il responsabile del trattamento è tenuto a verificare le competenze del destinatario e ad effettuare una valutazione provvisoria della necessità del trasferimento dei dati. Qualora emergano dubbi su tale necessità, il responsabile del trattamento chiede ulteriori spiegazioni al destinatario.

The controller shall be required to verify the competence of the recipient and to make a provisional evaluation of the necessity for the transfer of the data. If doubts arise as to this necessity, the controller shall seek further information from the recipient.

Il destinatario provvede a che si possa successivamente verificare la necessità del trasferimento dei dati.

The recipient shall ensure that the necessity for the transfer of the data can be subsequently verified.

3) Nel procedere al trattamento dei dati personali il destinatario persegue unicamente le finalità per cui questi gli sono stati trasmessi.

3. The recipient shall process the personal data only for the purposes for which they were transmitted.

Articolo 8

Article 8

Trasferimento di dati personali a destinatari diversi da istituzioni e da organismi comunitari e soggetti alla direttiva 95/46/CE

Transfer of personal data to recipients, other than Community institutions and bodies, subject to Directive 95/46/EC

Fatti salvi gli articoli 4, 5, 6 e 10, è consentito trasferire dati personali a destinatari soggetti alla normativa nazionale adottata in attuazione della direttiva 95/46/CE soltanto:

Without prejudice to Articles 4, 5, 6 and 10, personal data shall only be transferred to recipients subject to the national law adopted for the implementation of Directive 95/46/EC,

a) se il destinatario dimostra che i dati sono necessari per l'espletamento di compiti nel pubblico interesse o che rientrano nell'esercizio della pubblica autorità; oppure

(a) if the recipient establishes that the data are necessary for the performance of a task carried out in the public interest or subject to the exercise of public authority, or

b) se il destinatario dimostra la necessità di trasmettergli tali dati e se non sussistono ragioni per presumere che possano subire pregiudizio interessi legittimi degli interessati.

(b) if the recipient establishes the necessity of having the data transferred and if there is no reason to assume that the data subject's legitimate interests might be prejudiced.

Articolo 9

Article 9

Trasferimento di dati personali a destinatari diversi da istituzioni e da organismi comunitari e non soggetti alla direttiva 95/46/CE

Transfer of personal data to recipients, other than Community institutions and bodies, which are not subject to Directive 95/46/EC

1. È consentito trasferire dati personali a destinatari che non siano le istituzioni e gli organismi comunitari né siano soggetti alla normativa nazionale adottata in attuazione della direttiva 95/46/CE se nel paese del destinatario o all'interno dell'organizzazione internazionale destinataria è assicurato un livello adeguato di protezione e se il trasferimento dei dati avviene strettamente nell'ambito dei compiti che rientrano nelle competenze del responsabile del trattamento.

1. Personal data shall only be transferred to recipients, other than Community institutions and bodies, which are not subject to national law adopted pursuant to Directive 95/46/EC, if an adequate level of protection is ensured in the country of the recipient or within the recipient international organisation and the data are transferred solely to allow tasks covered by the competence of the controller to be carried out.

2. L'adeguatezza del livello di protezione garantito dal paese terzo o dall'organizzazione internazionale in questione è valutata tenendo conto di tutte le circostanze relative ad un'operazione o ad un insieme di operazioni di trasferimento dei dati. In particolare sono presi in considerazione la natura dei dati, la finalità e la durata del trattamento previsto, il paese terzo o l'organizzazione internazionale destinatario, la normativa, generale o settoriale, vigente in tale paese o organizzazione internazionale, nonché le regole professionali e le misure di sicurezza osservate in quel paese o dall'organizzazione internazionale.

2. The adequacy of the level of protection afforded by the third country or international organisation in question shall be assessed in the light of all the circumstances surrounding a data transfer operation or set of data transfer operations; particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the recipient third country or recipient international organisation, the rules of law, both general and sectoral, in force in the third country or international organisation in question and the professional rules and security measures which are complied with in that third country or international organisation.

3. Le istituzioni e gli organismi comunitari informano la Commissione e il garante europeo della protezione dei dati circa i casi in cui a loro parere il paese terzo o l'organizzazione internazionale in questione non assicurano un livello adeguato di protezione ai sensi del paragrafo 2.

3. The Community institutions and bodies shall inform the Commission and the European Data Protection Supervisor of cases where they consider the third country or international organisation in question does not ensure an adequate level of protection within the meaning of paragraph 2.

4. La Commissione informa gli Stati membri dei casi di cui al paragrafo 3.

4. The Commission shall inform the Member States of any cases as referred to in paragraph 3.

5. Le istituzioni e gli organismi comunitari adottano le misure necessarie per conformarsi alle decisioni della Commissione che constatano, in applicazione dell'articolo 25, paragrafi 4 e 6 della direttiva 95/46/CE, che un paese terzo o un'organizzazione internazionale assicura o non assicura un livello adeguato di protezione.

5. The Community institutions and bodies shall take the necessary measures to comply with decisions taken by the Commission when it establishes, pursuant to Article 25(4) and (6) of Directive 95/46/EC, that a third country or an international organisation ensures or does not ensure an adequate level of protection.

6. In deroga ai paragrafi 1 e 2, le istituzioni e gli organismi comunitari possono trasferire dati personali a condizione che:

6. By way of derogation from paragraphs 1 and 2, the Community institution or body may transfer personal data if:

a) L'interessato abbia manifestato in maniera inequivocabile il proprio consenso al trasferimento previsto, oppure

(a) the data subject has given his or her consent unambiguously to the proposed transfer; or

b) il trasferimento sia necessario all'esecuzione di un contratto concluso tra l'interessato ed il responsabile del trattamento ovvero all'esecuzione di misure precontrattuali prese a richiesta di tale persona, oppure

(b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken in response to the data subject's request; or

c) il trasferimento sia necessario per la conclusione o l'esecuzione di un contratto stipulato tra il responsabile del trattamento e un terzo a favore dell'interessato, oppure

(c) the transfer is necessary for the conclusion or performance of a contract entered into in the interest of the data subject between the controller and a third party; or

d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, ovvero per accertare, esercitare o difendere un diritto in via giudiziale, oppure

(d) the transfer is necessary or legally required on important public interest grounds, or for the establishment, exercise or defence of legal claims; or

e) il trasferimento sia necessario per la salvaguardia di interessi vitali dell'interessato, oppure

(e) the transfer is necessary in order to protect the vital interests of the data subject; or

f) il trasferimento sia effettuato a partire da un registro che, a norma del diritto comunitario, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, purché sussistano i requisiti per la consultazione previsti dalla normativa comunitaria.

(f) the transfer is made from a register which, according to Community law, is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest, to the extent that the conditions laid down in Community law for consultation are fulfilled in the particular case.

7. Fatto salvo il paragrafo 6, il garante europeo della protezione dei dati può autorizzare un trasferimento, o un insieme di trasferimenti, di dati personali verso un paese terzo o un'organizzazione internazionale che non assicura un adeguato livello di protezione ai sensi dei paragrafi 1 e 2, se il responsabile del trattamento offre garanzie sufficienti per quanto riguarda la protezione della vita privata, delle libertà e dei diritti fondamentali delle persone, nonché per quanto riguarda l'esercizio dei relativi diritti; dette garanzie possono, in particolare, figurare in specifiche clausole contrattuali.

7. Without prejudice to paragraph 6, the European Data Protection Supervisor may authorise a transfer or a set of transfers of personal data to a third country or international organisation which does not ensure an adequate level of protection within the meaning of paragraphs 1 and 2, where the controller adduces adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals and as regards the exercise of the corresponding rights; such safeguards may in particular result from appropriate contractual clauses.

8. Le istituzioni e gli organismi comunitari informano il garante europeo della protezione dei dati in merito alle categorie di casi di applicazione del paragrafo 6 e 7.

8. The Community institutions and bodies shall inform the European Data Protection Supervisor of categories of cases where they have applied paragraphs 6 and 7.

SEZIONE 3

SECTION 3

CATEGORIE PARTICOLARI DI TRATTAMENTO

SPECIAL CATEGORIES OF PROCESSING

Articolo 10

Article 10

Trattamento di categorie particolari di dati

The processing of special categories of data

1. È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, come pure trattare dati relativi alla salute e alla vita sessuale.

1. The processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and of data concerning health or sex life, are prohibited.

2. Il paragrafo 1 non si applica quando:

2. Paragraph 1 shall not apply where:

a) l'interessato ha dato il proprio consenso esplicito a tale trattamento, eccezion fatta nel caso in cui la regolamentazione interna dell'istituzione o dell'organismo comunitario prevedano che il consenso dell'interessato non possa fare venir meno il divieto di cui al paragrafo 1, oppure

(a) the data subject has given his or her express consent to the processing of those data, except where the internal rules of the Community institution or body provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject's giving his or her consent, or

b) il trattamento in questione è necessario per assolvere agli obblighi ed esercitare i diritti specifici del responsabile del trattamento in materia di diritto del lavoro, se ed in quanto esso sia consentito in forza dei trattati che istituiscono le Comunità europee o di altri atti normativi adottati in base ad essi o, se necessario, nella misura in cui sia autorizzato dal garante europeo della protezione dei dati con adeguate misure di salvaguardia, oppure

(b) processing is necessary for the purposes of complying with the specific rights and obligations of the controller in the field of employment law insofar as it is authorised by the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof, or, if necessary, insofar as it is agreed upon by the European Data Protection Supervisor, subject to adequate safeguards, or

c) il trattamento in questione è necessario per salvaguardare un interesse vitale dell'interessato o di un'altra persona, qualora l'interessato si trovi nell'incapacità fisica o giuridica di dare il proprio consenso, oppure

(c) processing is necessary to protect the vital interests of the data subject or of another person where the data subject is physically or legally incapable of giving his or her consent, or

d) il trattamento riguarda dati resi manifestamente pubblici dall'interessato o è necessario per accertare, esercitare o difendere un diritto in via giudiziale, oppure

(d) processing relates to data which are manifestly made public by the data subject or is necessary for the establishment, exercise or defence of legal claims, or

e) il trattamento in questione è eseguito, nell'ambito delle sue legittime attività e con adeguate garanzie, da un organismo senza fini di lucro che costituisca un ente integrato in un'istituzione o in un organismo comunitario cui in virtù dell'articolo 4 della direttiva 95/46/CE non si applica la normativa nazionale sulla protezione dei dati e che si prefigga finalità politiche, filosofiche, religiose o sindacali, purché il trattamento in questione riguardi unicamente i membri di detto organismo ovvero persone che sono in regolare contatto con esso per finalità connesse a quelle dell'organismo stesso e i dati non siano comunicati a terzi senza il consenso dell'interessato.

(e) processing is carried out in the course of its legitimate activities with appropriate safeguards by a non-profit-seeking body which constitutes an entity integrated in a Community institution or body, not subject to national data protection law by virtue of Article 4 of Directive 95/46/EC, and with a political, philosophical, religious or trade-union aim and on condition that the processing relates solely to the members of this body or to persons who have regular contact with it in connection with its purposes and that the data are not disclosed to a third party without the consent of the data subjects.

3. Il paragrafo 1 non si applica quando il trattamento dei dati è necessario in ambito medico per finalità di prevenzione, diagnosi, assistenza sanitaria o terapia ovvero gestione di centri di cura, e quando il trattamento dei medesimi dati è effettuato da un professionista della sanità vincolato al segreto professionale o da un'altra persona del pari soggetta a un equivalente obbligo di segretezza.

3. Paragraph 1 shall not apply where processing of the data is required for the purposes of preventive medicine, medical diagnosis, the provision of care or treatment or the management of health-care services, and where those data are processed by a health professional subject to the obligation of professional secrecy or by another person also subject to an equivalent obligation of secrecy.

4. Purché siano fornite le garanzie del caso, e per motivi di interesse pubblico rilevante, oltre alle deroghe di cui al paragrafo 2, è possibile disporre ulteriori deroghe, previste dai trattati che istituiscono le Comunità europee o da altri atti normativi adottati in base ad essi o, se necessario, con una decisione del garante europeo della protezione dei dati.

4. Subject to the provision of appropriate safeguards, and for reasons of substantial public interest, exemptions in addition to those laid down in paragraph 2 may be laid down by the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof or, if necessary, by decision of the European Data Protection Supervisor.

5. I dati relativi ad infrazioni, condanne penali o misure di sicurezza possono essere oggetto di trattamento unicamente qualora ciò sia autorizzato dai trattati che istituiscono le Comunità europee o da altri atti normativi adottati in base ad essi, oppure, se necessario, dal garante europeo della protezione dei dati, fatte salve appropriate garanzie specifiche.

5. Processing of data relating to offences, criminal convictions or security measures may be carried out only if authorised by the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof or, if necessary, by the European Data Protection Supervisor, subject to appropriate specific safeguards.

6. Il garante europeo della protezione dei dati stabilisce le condizioni alle quali un numero personale o qualsiasi altro mezzo d'identificazione d'uso generale può essere trattato da un'istituzione o un organismo della Comunità.

6. The European Data Protection Supervisor shall determine the conditions under which a personal number or other identifier of general application may be processed by a Community institution or body.

SEZIONE 4

SECTION 4

INFORMAZIONE DEGLI INTERESSATI

INFORMATION TO BE GIVEN TO THE DATA SUBJECT

Articolo 11

Article 11

Informazioni da fornire nel caso in cui i dati siano raccolti presso l'interessato

Information to be supplied where the data have been obtained from the data subject

1. Il responsabile del trattamento deve fornire all'interessato presso il quale effettua la raccolta dei dati che lo riguardano almeno le informazioni elencate qui di seguito, salvo che tale persona non ne disponga già:

1. The controller shall provide a data subject from whom data relating to himself/herself are collected with at least the following information, except where he or she already has it:

a) l'identità del responsabile del trattamento;

(a) the identity of the controller;

b) le finalità del trattamento cui sono destinati i dati richiesti;

(b) the purposes of the processing operation for which the data are intended;

c) i destinatari o le categorie di destinatari dei dati;

(c) the recipients or categories of recipients of the data;

d) il carattere obbligatorio o facoltativo delle risposte alle domande, nonché le possibili conseguenze di una mancata risposta;

(d) whether replies to the questions are obligatory or voluntary, as well as the possible consequences of failure to reply;

e) l'esistenza di diritti di accesso e di rettifica in merito ai dati che riguardano l'interessato;

(e) the existence of the right of access to, and the right to rectify, the data concerning him or her;

f) eventuali informazioni supplementari quali:

(f) any further information such as:

i) il fondamento giuridico del trattamento cui sono destinati i dati,

(i) the legal basis of the processing operation for which the data are intended,

ii) i limiti di tempo per la conservazione dei dati,

(ii) the time-limits for storing the data,

iii) il diritto di rivolgersi in qualsiasi momento al garante europeo della protezione dei dati,

(iii) the right to have recourse at any time to the European Data Protection Supervisor,

nella misura in cui tali informazioni supplementari siano necessarie, considerate le circostanze specifiche della raccolta dei dati, per garantire un corretto trattamento dei dati dell'interessato.

insofar as such further information is necessary, having regard to the specific circumstances in which the data are collected, to guarantee fair processing in respect of the data subject.

2. In deroga al paragrafo 1 la comunicazione delle informazioni in questione o di una parte di esse, tranne le informazioni di cui al paragrafo 1, lettere a), b) e d) può essere differita per il tempo necessario a fini statistici. Le informazioni devono essere fornite non appena vengano meno i motivi che ne impedivano la divulgazione.

2. By way of derogation from paragraph 1, the provision of information or part of it, except for the information referred to in paragraph 1(a), (b) and (d), may be deferred as long as this is necessary for statistical purposes. The information must be provided as soon as the reason for which the information is withheld ceases to exist.

Articolo 12

Article 12

Informazioni da fornire nel caso in cui i dati non siano stati raccolti presso l'interessato

Information to be supplied where the data have not been obtained from the data subject

1. Qualora i dati non siano stati raccolti presso l'interessato, il responsabile del trattamento deve, al momento della registrazione dei dati personali, ovvero, qualora ne sia prevista la comunicazione a terzi, entro la prima comunicazione dei dati stessi fornire all'interessato, almeno le informazioni elencate qui di seguito, salvo che tale persona già non ne disponga:

1. Where the data have not been obtained from the data subject, the controller shall at the time of undertaking the recording of personal data or, if a disclosure to a third party is envisaged, no later than the time when the data are first disclosed, provide the data subject with at least the following information, except where he or she already has it:

a) l'identità del responsabile del trattamento;

(a) the identity of the controller;

b) le finalità del trattamento;

(b) the purposes of the processing operation;

c) le categorie di dati in questione;

(c) the categories of data concerned;

d) i destinatari o le categorie di destinatari dei dati;

(d) the recipients or categories of recipients;

e) l'esistenza di diritti di accesso e di rettifica in merito ai dati che riguardano l'interessato;

(e) the existence of the right of access to, and the right to rectify, the data concerning him or her;

f) eventuali informazioni supplementari quali:

(f) any further information such as:

i) il fondamento giuridico del trattamento cui sono destinati i dati,

(i) the legal basis of the processing operation for which the data are intended,

ii) i limiti di tempo per la conservazione dei dati,

(ii) the time-limits for storing the data,

iii) il diritto di rivolgersi in qualsiasi momento al garante europeo della protezione dei dati,

(iii) the right to have recourse at any time to the European Data Protection Supervisor,

iv) l'origine dei dati, a meno che motivi connessi al segreto professionale non impediscano al responsabile del trattamento di renderla nota,

(iv) the origin of the data, except where the controller cannot disclose this information for reasons of professional secrecy,

nella misura in cui tali informazioni supplementari siano necessarie, considerate le circostanze specifiche della raccolta dei dati, per garantire un corretto trattamento dei dati dell'interessato.

insofar as such further information is necessary, having regard to the specific circumstances in which the data are processed, to guarantee fair processing in respect of the data subject.

2. Il paragrafo 1 non si applica qualora, in particolare nel trattamento di dati a scopi statistici ovvero di ricerca storica o scientifica, risulti impossibile o sproporzionatamente difficile informare l'interessato, oppure quando la registrazione o la comunicazione dei dati sia espressamente prescritta dal diritto comunitario. In questi casi le istituzioni o gli organismi comunitari prevedono garanzie appropriate, previa consultazione del garante europeo della protezione dei dati.

2. Paragraph 1 shall not apply where, in particular for processing for statistical purposes or for the purposes of historical or scientific research, the provision of such information proves impossible or would involve a disproportionate effort or if recording or disclosure is expressly laid down by Community law. In these cases the Community institution or body shall provide for appropriate safeguards after consulting the European Data Protection Supervisor.

SEZIONE 5

SECTION 5

DIRITTI DELL'INTERESSATO

RIGHTS OF THE DATA SUBJECT

Articolo 13

Article 13

Diritto di accesso

Right of access

Entro tre mesi dalla ricezione della richiesta d'informazioni, ogni interessato ha il diritto di ottenere liberamente, in qualunque momento e gratuitamente dal responsabile del trattamento:

The data subject shall have the right to obtain, without constraint, at any time within three months from the receipt of the request and free of charge from the controller:

a) la conferma che sia o meno in corso un trattamento di dati che lo riguardano;

(a) confirmation as to whether or not data related to him or her are being processed;

b) informazioni almeno sulle finalità del trattamento, sulle categorie di dati trattati, sui destinatari o sulle categorie di destinatari cui vengono comunicati i dati;

(b) information at least as to the purposes of the processing operation, the categories of data concerned, and the recipients or categories of recipients to whom the data are disclosed;

c) la comunicazione in forma intelligibile dei dati oggetto del trattamento nonché di tutte le informazioni disponibili sulla loro origine;

(c) communication in an intelligible form of the data undergoing processing and of any available information as to their source;

d) informazioni sulla logica cui risponde qualsiasi trattamento automatizzato dei dati che la riguardano.

(d) knowledge of the logic involved in any automated decision process concerning him or her.

Articolo 14

Article 14

Rettifica

Rectification

L'interessato ha il diritto di ottenere dal responsabile del trattamento la pronta rettifica di dati personali inesatti o incompleti.

The data subject shall have the right to obtain from the controller the rectification without delay of inaccurate or incomplete personal data.

Articolo 15

Article 15

Blocco

Blocking

1. L'interessato ha il diritto di ottenere dal responsabile del trattamento il blocco dei dati nei casi seguenti:

1. The data subject shall have the right to obtain from the controller the blocking of data where:

a) quando sono oggetto di contestazione da parte dell'interessato, per un tempo tale da consentire al responsabile del trattamento di verificarne l'esattezza, inclusa la completezza, oppure

(a) their accuracy is contested by the data subject, for a period enabling the controller to verify the accuracy, including the completeness, of the data, or;

b) quando, benché il responsabile del trattamento non ne abbia più bisogno per l'esercizio delle sue funzioni, occorre conservarli in quanto elementi di prova, oppure

(b) the controller no longer needs them for the accomplishment of its tasks but they have to be maintained for purposes of proof, or;

c) quando il trattamento cui sono stati sottoposti è illecito e l'interessato si oppone alla loro cancellazione e ne domanda invece il blocco.

(c) the processing is unlawful and the data subject opposes their erasure and demands their blocking instead.

2. Nei sistemi automatici di archiviazione, il blocco va assicurato in linea di massima mediante dispositivi tecnici. Il sistema deve indicare che i dati personali sono stati bloccati in modo da rendere evidente che non possono essere utilizzati.

2. In automated filing systems blocking shall in principle be ensured by technical means. The fact that the personal data are blocked shall be indicated in the system in such a way that it becomes clear that the personal data may not be used.

3. I dati personali bloccati in applicazione del presente articolo sono oggetto di trattamento, ad eccezione delle operazioni volte a garantirne la conservazione, soltanto a fini probatori, o con il consenso dell'interessato ovvero per tutelare i diritti di terzi.

3. Personal data blocked pursuant to this Article shall, with the exception of their storage, only be processed for purposes of proof, or with the data subject's consent, or for the protection of the rights of a third party.

4. Prima che i dati siano sbloccati, il responsabile del trattamento ne informa l'interessato che ha chiesto e ottenuto il blocco dei dati che lo riguardano.

4. The data subject who requested and obtained the blocking of his or her data shall be informed by the controller before the data are unblocked.

Articolo 16

Article 16

Cancellazione

Erasure

L'interessato ha il diritto di ottenere dal responsabile del trattamento la cancellazione di dati se il trattamento cui sono stati sottoposti si rivela illecito, in particolare in caso di violazione delle disposizioni di cui alle Sezioni 1, 2 e 3 del Capo II.

The data subject shall have the right to obtain from the controller the erasure of data if their processing is unlawful, particularly where the provisions of Sections 1, 2 and 3 of Chapter II have been infringed.

Articolo 17

Article 17

Notificazione a terzi

Notification to third parties

L'interessato ha il diritto di ottenere che il responsabile del trattamento notifichi eventuali rettifiche, cancellazioni o blocchi ai sensi degli articoli 13, 14, 15 e 16 ai terzi ai quali sono stati comunicati i dati blocchi, a meno che la notificazione non risulti impossibile o sproporzionatamente difficile.

The data subject shall have the right to obtain from the controller the notification to third parties to whom the data have been disclosed of any rectification, erasure or blocking pursuant to Articles 13 to 16 unless this proves impossible or involves a disproportionate effort.

Articolo 18

Article 18

Diritto di opposizione dell'interessato

The data subject's right to object

L'interessato ha il diritto di:

The data subject shall have the right:

a) opporsi in qualsiasi momento, per motivi preminenti e legittimi connessi alla sua situazione particolare, al trattamento di dati che lo riguardano, salvo nei casi previsti dall'articolo 5, lettere b), c) e d). Qualora l'opposizione si riveli fondata, tali dati non possono più essere oggetto del trattamento;

(a) to object at any time, on compelling legitimate grounds relating to his or her particular situation, to the processing of data relating to him or her, except in the cases covered by Article 5(b), (c) and (d). Where there is a justified objection, the processing in question may no longer involve those data;

b) essere informato prima che i dati personali siano comunicati per la prima volta a terzi o siano utilizzati per conto di questi ultimi a fini di propaganda commerciale diretta e di essere messo espressamente al corrente della possibilità di opporsi senza oneri a tale comunicazione o utilizzazione.

(b) to be informed before personal data are disclosed for the first time to third parties or before they are used on their behalf for the purposes of direct marketing, and to be expressly offered the right to object free of charge to such disclosure or use.

Articolo 19

Article 19

Decisioni individuali automatiche

Automated individual decisions

L'interessato ha il diritto di non essere sottoposto a una decisione che produca effetti giuridici o abbia effetti significativi nei suoi confronti basata solo su un trattamento automatizzato di dati per valutare taluni aspetti personali che lo riguardano, quali il rendimento professionale, l'affidabilità o il comportamento, salvo che la decisione sia espressamente autorizzata dalla normativa nazionale o comunitaria o, se necessario, dal garante europeo della protezione dei dati. In entrambi i casi devono essere adottate misure volte a salvaguardare i legittimi interessi dell'interessato, ad esempio facendo in modo che questi possa esprimere il proprio parere.

The data subject shall have the right not to be subject to a decision which produces legal effects concerning him or her or significantly affects him or her and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him or her, such as his or her performance at work, reliability or conduct, unless the decision is expressly authorised pursuant to national or Community legislation or, if necessary, by the European Data Protection Supervisor. In either case, measures to safeguard the data subject's legitimate interests, such as arrangements allowing him or her to put his or her point of view, must be taken.

SEZIONE 6

SECTION 6

DEROGHE E LIMITAZIONI

EXEMPTIONS AND RESTRICTIONS

Articolo 20

Article 20

Deroghe e limitazioni

Exemptions and restrictions

1. Le istituzioni e gli organismi comunitari possono limitare l'applicazione dell'articolo 4, paragrafo 1, dell'articolo 11, dell'articolo 12, paragrafo 1, degli articoli 13, 14, 15, 16 e 17 e dell'articolo 37, paragrafo 1 se e in quanto necessario per salvaguardare:

1. The Community institutions and bodies may restrict the application of Article 4(1), Article 11, Article 12(1), Articles 13 to 17 and Article 37(1) where such restriction constitutes a necessary measure to safeguard:

a) le attività volte a prevenire, indagare, accertare e perseguire reati;

(a) the prevention, investigation, detection and prosecution of criminal offences;

b) importanti interessi economici o finanziari di uno Stato membro o dell'Unione europea, anche in campo monetario, fiscale e di bilancio;

(b) an important economic or financial interest of a Member State or of the European Communities, including monetary, budgetary and taxation matters;

c) la tutela dell'interessato o dei diritti e delle libertà altrui;

(c) the protection of the data subject or of the rights and freedoms of others;

d) la sicurezza nazionale, la sicurezza pubblica e la difesa degli Stati membri;

(d) the national security, public security or defence of the Member States;

e) una funzione di controllo, d'ispezione o di regolamentazione connessa, anche occasionalmente, all'esercizio di pubblici poteri nei casi di cui alle lettere a) e b).

(e) a monitoring, inspection or regulatory task connected, even occasionally, with the exercise of official authority in the cases referred to in (a) and (b).

2. Gli articoli da 13 a 16 non si applicano qualora i dati siano trattati unicamente per scopi di ricerca scientifica o siano conservati sotto forma di dati personali per un periodo di tempo non superiore a quello strettamente necessario all'elaborazione di statistiche, a condizione che risulti chiaramente escluso ogni rischio di violazione della vita privata dell'interessato e che il responsabile del trattamento fornisca adeguate garanzie giuridiche, in particolare affinché i dati non siano utilizzati per adottare misure o decisioni concernenti una determinata persona.

2. Articles 13 to 16 shall not apply when data are processed solely for purposes of scientific research or are kept in personal form for a period which does not exceed the period necessary for the sole purpose of compiling statistics, provided that there is clearly no risk of breaching the privacy of the data subject and that the controller provides adequate legal safeguards, in particular to ensure that the data are not used for taking measures or decisions regarding particular individuals.

3. Qualora si applichi una delle limitazioni di cui al paragrafo 1 l'interessato è informato, conformemente al diritto comunitario, dei principali motivi della limitazione e del suo diritto di adire il garante europeo della protezione dei dati.

3. If a restriction provided for by paragraph 1 is imposed, the data subject shall be informed, in accordance with Community law, of the principal reasons on which the application of the restriction is based and of his or her right to have recourse to the European Data Protection Supervisor.

4. Qualora si applichino le limitazioni previste al paragrafo 1 per negare all'interessato l'accesso ai dati che lo riguardano, il garante europeo della protezione dei dati, nell'esaminare il reclamo, gli comunica solo se i dati sono stati trattati correttamente ovvero, in caso contrario, se sono state apportate tutte le rettifiche necessarie.

4. If a restriction provided for by paragraph 1 is relied upon to deny access to the data subject, the European Data Protection Supervisor shall, when investigating the complaint, only inform him or her of whether the data have been processed correctly and, if not, whether any necessary corrections have been made.

5. L'informazione di cui ai paragrafi 3 e 4 può essere rinviata fino a quando privi d'effetto la limitazione di cui al paragrafo 1.

5. Provision of the information referred to under paragraphs 3 and 4 may be deferred for as long as such information would deprive the restriction imposed by paragraph 1 of its effect.

SEZIONE 7

SECTION 7

RISERVATEZZA E SICUREZZA DEL TRATTAMENTO DEI DATI

CONFIDENTIALITY AND SECURITY OF PROCESSING

Articolo 21

Article 21

Riservatezza del trattamento

Confidentiality of processing

La persona impiegata da un'istituzione o un organismo della Comunità, come pure l'istituzione o organismo comunitario che agisce in quanto incaricato del trattamento, che abbia accesso a dati personali effettua il trattamento degli stessi solo su istruzione del responsabile del trattamento, salvo che la legislazione nazionale o comunitaria lo richieda.

A person employed with a Community institution or body and any Community institution or body itself acting as processor, with access to personal data, shall not process them except on instructions from the controller, unless required to do so by national or Community law.

Articolo 22

Article 22

Sicurezza del trattamento

Security of processing

1. Tenuto conto dell'evoluzione tecnica e dei costi della sua applicazione, il responsabile del trattamento adotta opportune misure tecniche ed organizzative per garantire un livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta e alla natura dei dati personali da proteggere.

1. Having regard to the state of the art and the cost of their implementation, the controller shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risks represented by the processing and the nature of the personal data to be protected.

Tali misure sono adottate in particolare per evitare la divulgazione o l'accesso non autorizzati, la distruzione accidentale o illecita o la perdita accidentale o l'alterazione dei dati, nonché per impedire qualsiasi altra forma illecita di trattamento.

Such measures shall be taken in particular to prevent any unauthorised disclosure or access, accidental or unlawful destruction or accidental loss, or alteration, and to prevent all other unlawful forms of processing.

2. In caso di trattamento automatizzato dei dati personali sono adottate misure in funzione dei rischi in particolare per:

2. Where personal data are processed by automated means, measures shall be taken as appropriate in view of the risks in particular with the aim of:

a) evitare che persone non autorizzate accedano ai sistemi informatici utilizzati per trattare i dati personali;

(a) preventing any unauthorised person from gaining access to computer systems processing personal data;

b) evitare qualunque forma non autorizzata di lettura, riproduzione, alterazione o rimozione dei supporti di memorizzazione;

(b) preventing any unauthorised reading, copying, alteration or removal of storage media;

c) evitare qualsiasi immissione non autorizzata di dati in memoria nonché ogni divulgazione, alterazione o cancellazione non autorizzata di dati personali memorizzati;

(c) preventing any unauthorised memory inputs as well as any unauthorised disclosure, alteration or erasure of stored personal data;

d) evitare che persone non autorizzate utilizzino i sistemi di trattamento dei dati avvalendosi d'infrastrutture destinate alla trasmissione dei dati;

(d) preventing unauthorised persons from using data-processing systems by means of data transmission facilities;

e) assicurare che le persone autorizzate ad utilizzare un sistema di trattamento dei dati non possano accedere a dati personali diversi da quelli cui si riferisce il loro diritto di accesso;

(e) ensuring that authorised users of a data-processing system can access no personal data other than those to which their access right refers;

f) registrare quali dati personali sono stati comunicati, in quale momento e a chi;

(f) recording which personal data have been communicated, at what times and to whom;

g) assicurare che in un momento successivo sia possibile verificare quali dati personali sono stati trattati, in quale momento e da chi;

(g) ensuring that it will subsequently be possible to check which personal data have been processed, at what times and by whom;

h) assicurare che per i trattamenti di dati personali effettuati per conto di terzi possano valere solo le modalità prescritte dall'istituzione o dall'organismo contraente;

(h) ensuring that personal data being processed on behalf of third parties can be processed only in the manner prescribed by the contracting institution or body;

i) assicurare che nel corso delle operazioni di comunicazione di dati personali e durante il trasporto dei supporti di memorizzazione i dati non possano essere letti, copiati o cancellati senza autorizzazione;

(i) ensuring that, during communication of personal data and during transport of storage media, the data cannot be read, copied or erased without authorisation;

j) strutturare l'organizzazione interna d'istituzioni o organismi in modo da soddisfare le particolari esigenze connesse alla protezione dei dati.

(j) designing the organisational structure within an institution or body in such a way that it will meet the special requirements of data protection.

Articolo 23

Article 23

Trattamento di dati personali per conto del responsabile del trattamento

Processing of personal data on behalf of controllers

1. Quando il trattamento viene eseguito per conto del responsabile del trattamento questi sceglie un incaricato che fornisca adeguate garanzie in rapporto alle misure tecniche e organizzative di sicurezza previste dall'articolo 22 e si assicura dell'osservanza di tali misure.

1. Where a processing operation is carried out on its behalf, the controller shall choose a processor providing sufficient guarantees in respect of the technical and organisational security measures required by Article 22 and ensure compliance with those measures.

2. Il trattamento per conto terzi è disciplinato da un contratto o da un atto giuridico che vincoli l'incaricato del trattamento al responsabile del trattamento e disponga in particolare che:

2. The carrying out of a processing operation by way of a processor shall be governed by a contract or legal act binding the processor to the controller and stipulating in particular that:

a) l'incaricato del trattamento agisca soltanto su istruzioni del responsabile del trattamento;

(a) the processor shall act only on instructions from the controller;

b) anche l'incaricato del trattamento sia soggetto agli obblighi di cui agli articoli 21 e 22, a meno che, a norma dell'articolo 16 o dell'articolo 17, paragrafo 3, secondo trattino, della direttiva 95/46/CE, l'incaricato del trattamento sia già soggetto agli obblighi di riservatezza e di sicurezza previsti dalla legislazione nazionale di uno degli Stati membri.

(b) the obligations set out in Articles 21 and 22 shall also be incumbent on the processor unless, by virtue of Article 16 or Article 17(3), second indent, of Directive 95/46/EC, the processor is already subject to obligations with regard to confidentiality and security laid down in the national law of one of the Member States.

3. A fini probatori, le clausole del contratto o le disposizioni dell'atto giuridico inerenti alla protezione dei dati e gli obblighi relativi alle misure di cui all'articolo 22 sono stipulati per iscritto o in altra forma equivalente.

3. For the purposes of keeping proof, the parts of the contract or the legal act relating to data protection and the requirements relating to the measures referred to in Article 22 shall be in writing or in another equivalent form.

SEZIONE 8

SECTION 8

RESPONSABILE DELLA PROTEZIONE DEI DATI

DATA PROTECTION OFFICER

Articolo 24

Article 24

Nomina e mandato del responsabile della protezione dei dati

Appointment and tasks of the Data Protection Officer

1. Ogni istituzione ed organismo della Comunità nomina almeno un responsabile della protezione dei dati personali con il mandato di:

1. Each Community institution and Community body shall appoint at least one person as data protection officer. That person shall have the task of:

a) garantire che i responsabili del trattamento e gli interessati siano informati dei propri diritti ed obblighi ai sensi del presente regolamento;

(a) ensuring that controllers and data subjects are informed of their rights and obligations pursuant to this Regulation;

b) rispondere alle richieste del garante europeo della protezione dei dati e, nell'ambito delle sue competenze, cooperare con il garante europeo della protezione dei dati su richiesta di quest'ultimo o di propria iniziativa;

(b) responding to requests from the European Data Protection Supervisor and, within the sphere of his or her competence, cooperating with the European Data Protection Supervisor at the latter's request or on his or her own initiative;

c) garantire in maniera indipendente che le disposizioni del presente regolamento vengano applicate all'interno dell'istituzione o organismo di cui fa parte;

(c) ensuring in an independent manner the internal application of the provisions of this Regulation;

d) tenere il registro delle operazioni effettuate dal responsabile del trattamento, riportandovi le informazioni di cui all'articolo 25, paragrafo 2;

(d) keeping a register of the processing operations carried out by the controller, containing the items of information referred to in Article 25(2);

e) notificare al garante europeo della protezione dei dati i trattamenti che possono presentare rischi specifici ai sensi dell'articolo 27.

(e) notifying the European Data Protection Supervisor of the processing operations likely to present specific risks within the meaning of Article 27.

Il responsabile garantisce in tal modo che i trattamenti non arrechino pregiudizio ai diritti e alle libertà degli interessati.

That person shall thus ensure that the rights and freedoms of the data subjects are unlikely to be adversely affected by the processing operations.

2. Il responsabile della protezione dei dati è scelto in funzione delle sue qualità personali e professionali e, in particolare, delle sue conoscenze specifiche in materia di protezione dei dati.

2. The Data Protection Officer shall be selected on the basis of his or her personal and professional qualities and, in particular, his or her expert knowledge of data protection.

3. La scelta del responsabile della protezione dei dati non deve dar luogo a un possibile conflitto di interessi tra la sua funzione di responsabile ed altre eventuali funzioni di ufficio, in particolare nell'ambito dell'applicazione delle disposizioni del presente regolamento.

3. The selection of the Data Protection Officer shall not be liable to result in a conflict of interests between his or her duty as Data Protection Officer and any other official duties, in particular in relation to the application of the provisions of this Regulation.

4. Il responsabile della protezione dei dati è nominato per un periodo da due a cinque anni. Il suo mandato è rinnovabile; la durata complessiva del mandato non può superare i dieci anni. Può essere destituito dalle sue funzioni di responsabile della protezione dei dati dall'istituzione o organismo comunitario che lo ha nominato solo con il consenso del garante europeo della protezione dei dati, se non soddisfa più le condizioni richieste per l'esercizio delle sue funzioni.

4. The Data Protection Officer shall be appointed for a term of between two and five years. He or she shall be eligible for reappointment up to a maximum total term of ten years. He or she may be dismissed from the post of Data Protection Officer by the Community institution or body which appointed him or her only with the consent of the European Data Protection Supervisor, if he or she no longer fulfils the conditions required for the performance of his or her duties.

5. La nomina del responsabile della protezione dei dati è comunicata al garante europeo della protezione dei dati dall'istituzione o dall'organismo comunitario che lo ha nominato.

5. After his or her appointment the Data Protection Officer shall be registered with the European Data Protection Supervisor by the institution or body which appointed him or her.

6. Il responsabile della protezione dei dati ottiene dall'istituzione o dall'organismo comunitario che lo ha nominato il personale e le risorse necessarie all'esercizio delle sue funzioni.

6. The Community institution or body which appointed the Data Protection Officer shall provide him or her with the staff and resources necessary to carry out his or her duties.

7. Il responsabile della protezione dei dati non può ricevere alcuna istruzione per quanto riguarda l'esercizio delle sue funzioni.

7. With respect to the performance of his or her duties, the Data Protection Officer may not receive any instructions.

8. Altre norme d'attuazione relative al responsabile della protezione dei dati sono adottate da ogni istituzione o organismo della Comunità nel rispetto delle disposizioni che figurano nell'allegato. Tali norme d'attuazione potranno in particolare riguardare le funzioni, gli obblighi e le competenze del responsabile della protezione dei dati.

8. Further implementing rules concerning the Data Protection Officer shall be adopted by each Community institution or body in accordance with the provisions in the Annex. The implementing rules shall in particular concern the tasks, duties and powers of the Data Protection Officer.

Articolo 25

Article 25

Notificazione al responsabile della protezione dei dati

Notification to the Data Protection Officer

1. Prima di eseguire uno o più trattamenti dei dati, destinati al conseguimento di una o più finalità correlate, il responsabile del trattamento ne informa il responsabile della protezione dei dati.

1. The controller shall give prior notice to the Data Protection Officer of any processing operation or set of such operations intended to serve a single purpose or several related purposes.

2. Le informazioni da fornire includono:

2. The information to be given shall include:

a) il nome e l'indirizzo del responsabile del trattamento e l'indicazione dei servizi di un'istituzione o un organismo incaricati del trattamento di dati personali per una particolare finalità;

(a) the name and address of the controller and an indication of the organisational parts of an institution or body entrusted with the processing of personal data for a particular purpose;

b) la finalità o le finalità del trattamento;

(b) the purpose or purposes of the processing;

c) una descrizione della categoria o delle categorie di interessati e dei pertinenti dati o categorie di dati;

(c) a description of the category or categories of data subjects and of the data or categories of data relating to them;

d) il fondamento giuridico del trattamento al quale sono destinati i dati;

(d) the legal basis of the processing operation for which the data are intended;

e) i destinatari o le categorie di destinatari ai quali possono essere comunicati i dati;

(e) the recipients or categories of recipient to whom the data might be disclosed;

f) un'indicazione generale dei termini ultimi per bloccare e cancellare le diverse categorie di dati;

(f) a general indication of the time limits for blocking and erasure of the different categories of data;

g) i trasferimenti di dati previsti verso paesi terzi o organizzazioni internazionali;

(g) proposed transfers of data to third countries or international organisations;

h) una descrizione generale che consenta una prima valutazione dell'adeguatezza delle misure adottate in forza dell'articolo 22 per garantire la sicurezza del trattamento.

(h) a general description allowing a preliminary assessment to be made of the appropriateness of the measures taken pursuant to Article 22 to ensure security of processing.

3. Il responsabile della protezione dei dati deve essere informato senza indugio di ogni modifica relativa alle informazioni di cui al paragrafo 2.

3. Any change affecting information referred to in paragraph 2 shall be notified promptly to the Data Protection Officer.

Articolo 26

Article 26

Registro

Register

Ogni responsabile della protezione dei dati tiene un registro dei trattamenti notificati a norma dell'articolo 25.

A register of processing operations notified in accordance with Article 25 shall be kept by each Data Protection Officer.

Il registro riporta almeno le informazioni di cui all'articolo 25, paragrafo 2, lettere da a) a g). Il registro può essere consultato da chiunque direttamente o indirettamente tramite il garante europeo della protezione dei dati.

The registers shall contain at least the information referred to in Article 25(2)(a) to (g). The registers may be inspected by any person directly or indirectly through the European Data Processing Supervisor.

SEZIONE 9

SECTION 9

CONTROLLO PREVENTIVO DA PARTE DEL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI E OBBLIGO DI COLLABORAZIONE

PRIOR CHECKING BY THE EUROPEAN DATA PROTECTION SUPERVISOR AND OBLIGATION TO COOPERATE

Articolo 27

Article 27

Controllo preventivo

Prior checking

1. I trattamenti che possono presentare rischi specifici per i diritti e le libertà degli interessati, per la loro natura, oggetto o finalità sono soggetti a controllo preventivo da parte del garante europeo della protezione dei dati.

1. Processing operations likely to present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes shall be subject to prior checking by the European Data Protection Supervisor.

2. Possono presentare tali rischi i seguenti trattamenti:

2. The following processing operations are likely to present such risks:

a) i trattamenti di dati relativi alla salute e quelli relativi a sospetti, infrazioni, condanne penali o misure di sicurezza;

(a) processing of data relating to health and to suspected offences, offences, criminal convictions or security measures;

b) i trattamenti destinati a valutare aspetti della personalità degli interessati, inclusi aspetti quali capacità, efficienza e comportamento;

(b) processing operations intended to evaluate personal aspects relating to the data subject, including his or her ability, efficiency and conduct;

c) i trattamenti che consentono delle interconnessioni tra i dati trattati per finalità diverse e non previste dalla normativa nazionale o comunitaria;

(c) processing operations allowing linkages not provided for pursuant to national or Community legislation between data processed for different purposes;

d) i trattamenti volti ad escludere taluno dal beneficio di un diritto, di una prestazione o della conclusione di un contratto.

(d) processing operations for the purpose of excluding individuals from a right, benefit or contract.

3. I controlli preventivi sono effettuati dal garante europeo della protezione dei dati previa notificazione da parte del responsabile della protezione dei dati, il quale, in caso di dubbio circa la necessità di un controllo preventivo, consulta il garante europeo della protezione dei dati.

3. The prior checks shall be carried out by the European Data Protection Supervisor following receipt of a notification from the Data Protection Officer who, in case of doubt as to the need for prior checking, shall consult the European Data Protection Supervisor.

4. Il garante europeo della protezione dei dati emette un parere entro due mesi dal ricevimento della notificazione. Il periodo può essere sospeso fino a quando il garante europeo della protezione dei dati non abbia ricevuto le ulteriori informazioni richieste. Se la complessità del fascicolo lo richiede, detto termine può essere prorogato per altri due mesi con decisione del garante europeo della protezione dei dati. La decisione in questione è notificata al responsabile del trattamento prima dello scadere del periodo iniziale di due mesi.

4. The European Data Protection Supervisor shall deliver his or her opinion within two months following receipt of the notification. This period may be suspended until the European Data Protection Supervisor has obtained any further information that he or she may have requested. When the complexity of the matter so requires, this period may also be extended for a further two months, by decision of the European Data Protection Supervisor. This decision shall be notified to the controller prior to expiry of the initial two-month period.

La mancata adozione di un parere entro il termine di due mesi, eventualmente prorogato, equivale a un parere favorevole.

If the opinion has not been delivered by the end of the two-month period, or any extension thereof, it shall be deemed to be favourable.

Se a giudizio del garante europeo della protezione dei dati il trattamento notificato rischia di comportare una violazione di qualche disposizione del presente regolamento, egli formula ove necessario proposte per evitare tale violazione. Se il responsabile del trattamento non modifica il trattamento stesso di conseguenza, il garante europeo della protezione dei dati può esercitare i poteri che gli conferisce l'articolo 47, paragrafo 1.

If the opinion of the European Data Protection Supervisor is that the notified processing may involve a breach of any provision of this Regulation, he or she shall where appropriate make proposals to avoid such breach. Where the controller does not modify the processing operation accordingly, the European Data Protection Supervisor may exercise the powers granted to him or her under Article 47(1).

5. Il garante europeo della protezione dei dati tiene un registro di tutti i trattamenti che gli sono stati notificati a norma del paragrafo 2. Il registro contiene le informazioni enumerate all'articolo 25. Esso può essere consultato da chiunque.

5. The European Data Protection Supervisor shall keep a register of all processing operations that have been notified to him or her pursuant to paragraph 2. The register shall contain the information referred to in Article 25 and shall be open to public inspection.

Articolo 28

Article 28

Consultazione

Consultation

1. Le istituzioni e gli organismi comunitari informano il garante europeo della protezione dei dati al momento di elaborare provvedimenti amministrativi in tema di trattamento di dati personali che interessino un'istituzione o un organismo della Comunità singolarmente o congiuntamente.

1. The Community institutions and bodies shall inform the European Data Protection Supervisor when drawing up administrative measures relating to the processing of personal data involving a Community institution or body alone or jointly with others.

2. Al momento dell'adozione di una proposta legislativa sulla tutela dei diritti e delle libertà fondamentali delle persone in relazione al trattamento di dati personali, la Commissione consulta il garante europeo della protezione dei dati.

2. When it adopts a legislative proposal relating to the protection of individuals' rights and freedoms with regard to the processing of personal data, the Commission shall consult the European Data Protection Supervisor.

Articolo 29

Article 29

Obbligo d'informazione

Obligation to provide information

Le istituzioni e gli organismi comunitari informano il garante europeo della protezione dei dati delle misure adottate in seguito alle decisioni o autorizzazioni di cui all'articolo 46, lettera h).

The Community institutions and bodies shall inform the European Data Protection Supervisor of the measures taken further to his or her decisions or authorisations as referred to in Article 46(h).

Articolo 30

Article 30

Obbligo di collaborare

Obligation to cooperate

A richiesta del garante europeo della protezione dei dati, i responsabili del trattamento lo assistono nell'esercizio delle sue funzioni, fornendogli in particolare le informazioni di cui all'articolo 47, paragrafo 2, lettera a), e accordandogli l'accesso di cui all'articolo 47, paragrafo 2, lettera b).

At his or her request, controllers shall assist the European Data Protection Supervisor in the performance of his or her duties, in particular by providing the information referred to in Article 47(2)(a) and by granting access as provided in Article 47(2)(b).

Articolo 31

Article 31

Obbligo di rispondere ai rilievi

Obligation to react to allegations

A seguito dell'esercizio dei poteri da parte del garante europeo della protezione dei dati a norma dell'articolo 47, paragrafo 1, lettera b), il responsabile del trattamento in questione gli comunica il proprio punto di vista entro un termine ragionevole fissato dal garante europeo della protezione dei dati. Il parere comprende anche una descrizione degli eventuali provvedimenti presi a seguito delle osservazioni del garante europeo della protezione dei dati.

In response to the European Data Protection Supervisor's exercise of his or her powers under Article 47(1)(b), the controller concerned shall inform the Supervisor of its views within a reasonable period to be specified by the Supervisor. The reply shall also include a description of the measures taken, if any, in response to the remarks of the European Data Protection Supervisor.

CAPO III

CHAPTER III

MEZZI DI RICORSO

REMEDIES

Articolo 32

Article 32

Mezzi di ricorso

Remedies

1. La Corte di giustizia delle Comunità europee è competente a conoscere delle controversie relative alle disposizioni del presente regolamento, incluse le azioni per risarcimento del danno.

1. The Court of Justice of the European Communities shall have jurisdiction to hear all disputes which relate to the provisions of this Regulation, including claims for damages.

2. Fatta salva la possibilità di ricorso giurisdizionale, qualunque interessato può presentare un reclamo al garante europeo della protezione dei dati se ritiene che i diritti riconosciutigli a norma dell'articolo 286 del trattato siano stati violati in seguito a un trattamento di dati personali che lo riguardano effettuato da un'istituzione o da un organismo comunitario.

2. Without prejudice to any judicial remedy, every data subject may lodge a complaint with the European Data Protection Supervisor if he or she considers that his or her rights under Article 286 of the Treaty have been infringed as a result of the processing of his or her personal data by a Community institution or body.

La mancata risposta del garante europeo della protezione dei dati entro sei mesi equivale a una decisione di rigetto del reclamo.

In the absence of a response by the European Data Protection Supervisor within six months, the complaint shall be deemed to have been rejected.

3. Avverso le decisioni del garante europeo della protezione dei dati può essere proposto ricorso dinanzi alla Corte di giustizia delle Comunità europee.

3. Actions against decisions of the European Data Protection Supervisor shall be brought before the Court of Justice of the European Communities.

4. Chiunque abbia subito un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni del presente regolamento ha il diritto di ottenere il risarcimento del danno subito a norma dell'articolo 288 del trattato.

4. Any person who has suffered damage because of an unlawful processing operation or any action incompatible with this Regulation shall have the right to have the damage made good in accordance with Article 288 of the Treaty.

Articolo 33

Article 33

Reclami del personale comunitario

Complaints by Community staff

Qualsiasi persona alle dipendenze di un'istituzione o di un organismo della Comunità può presentare un reclamo al garante europeo della protezione dei dati senza seguire la via gerarchica per una asserita violazione delle norme del presente regolamento relative al trattamento dei dati personali. Nessun pregiudizio può derivare ad alcuno dalla presentazione al garante europeo della protezione dei dati di un reclamo relativo ad un'asserita violazione delle norme sul trattamento dei dati personali.

Any person employed with a Community institution or body may lodge a complaint with the European Data Protection Supervisor regarding an alleged breach of the provisions of this Regulation governing the processing of personal data, without acting through official channels. No-one shall suffer prejudice on account of a complaint lodged with the European Data Protection Supervisor alleging a breach of the provisions governing the processing of personal data.

CAPO IV

CHAPTER IV

PROTEZIONE DEI DATI PERSONALI E TUTELA DELLA VITA PRIVATA NELL'AMBITO DELLE RETI INTERNE DI TELECOMUNICAZIONI

PROTECTION OF PERSONAL DATA AND PRIVACY IN THE CONTEXT OF INTERNAL TELECOMMUNICATIONS NETWORKS

Articolo 34

Article 34

Campo d'applicazione

Scope

Fatte salve le altre disposizioni del presente regolamento, al trattamento di dati personali connesso con l'uso di reti o terminali di telecomunicazione che funzionano sotto il controllo di un'istituzione o di un organismo comunitario si applica il presente Capo.

Without prejudice to the other provisions of this Regulation, this Chapter shall apply to the processing of personal data in connection with the use of telecommunications networks or terminal equipment operated under the control of a Community institution or body.

Ai fini del presente Capo per "utente" s'intende qualsiasi persona fisica che si serve di una rete o di un terminale di telecomunicazione che funzionano sotto il controllo di un'istituzione o di un organismo comunitario.

For the purposes of this Chapter, "user" shall mean any natural person using a telecommunications network or terminal equipment operated under the control of a Community institution or body.

Articolo 35

Article 35

Sicurezza

Security

1. Le istituzioni e gli organismi comunitari adottano appropriate misure di natura tecnica ed organizzativa per garantire un uso sicuro delle reti e dei terminali di telecomunicazioni, all'occorrenza in collaborazione con i fornitori di servizi di telecomunicazioni accessibili al pubblico e/o con i fornitori di reti di telecomunicazioni pubbliche. Tenuto conto delle possibilità tecniche più recenti e dei costi da sostenere per l'adeguamento, le suddette misure devono assicurare un livello di sicurezza adeguato al rischio esistente.

1. The Community institutions and bodies shall take appropriate technical and organisational measures to safeguard the secure use of the telecommunications networks and terminal equipment, if necessary in conjunction with the providers of publicly available telecommunications services or the providers of public telecommunications networks. Having regard to the state of the art and the cost of their implementation, these measures shall ensure a level of security appropriate to the risk presented.

2. Qualora sussistano particolari rischi di violazioni della sicurezza della rete e dei terminali, l'istituzione o l'organismo comunitario in questione informano gli utenti in merito a tali rischi ed alle possibilità di contromisure e di mezzi di comunicazione alternativi.

2. In the event of any particular risk of a breach of the security of the network and terminal equipment, the Community institution or body concerned shall inform users of the existence of that risk and of any possible remedies and alternative means of communication.

Articolo 36

Article 36

Riservatezza delle comunicazioni

Confidentiality of communications

Le istituzioni e gli organismi comunitari garantiscono la riservatezza delle comunicazioni effettuate tramite le reti e i terminali di telecomunicazioni nel rispetto dei principi generali del diritto comunitario.

Community institutions and bodies shall ensure the confidentiality of communications by means of telecommunications networks and terminal equipment, in accordance with the general principles of Community law.

Articolo 37

Article 37

Dati relativi al traffico delle comunicazioni e alla fatturazione

Traffic and billing data

1. Fatti salvi i paragrafi 2, 3 e 4, i dati sul traffico delle comunicazioni relativi agli utenti, che sono trattati e conservati per stabilire le chiamate ed altri collegamenti sulla rete di telecomunicazioni, sono cancellati o resi anonimi contestualmente alla cessazione della chiamata o di altro collegamento.

1. Without prejudice to the provisions of paragraphs 2, 3 and 4, traffic data relating to users which are processed and stored to establish calls and other connections over the telecommunications network shall be erased or made anonymous upon termination of the call or other connection.

2. Se necessario, i dati sul traffico indicati in un elenco approvato dal garante europeo della protezione dei dati possono essere sottoposti a trattamento a fini di gestione del bilancio e del traffico delle telecomunicazioni, nonché di verifica dell'utilizzazione autorizzata del sistema di telecomunicazioni. Tali dati dovranno essere cancellati o resi anonimi non appena possibile e non oltre sei mesi dalla loro raccolta, a meno che la loro ulteriore conservazione non sia necessaria all'accertamento, all'esercizio o alla difesa di un diritto, in una causa pendente in sede giudiziaria.

2. If necessary, traffic data as indicated in a list agreed by the European Data Protection Supervisor may be processed for the purpose of telecommunications budget and traffic management, including the verification of authorised use of the telecommunications systems. These data shall be erased or made anonymous as soon as possible and no later than six months after collection, unless they need to be kept for a longer period to establish, exercise or defend a right in a legal claim pending before a court.

3. I trattamenti dei dati pertinenti al traffico delle comunicazioni e alla fatturazione devono essere effettuati unicamente da persone incaricate di gestire la fatturazione, il traffico o il bilancio.

3. Processing of traffic and billing data shall only be carried out by persons handling billing, traffic or budget management.

4. Gli utenti delle reti di telecomunicazioni hanno il diritto di richiedere fatture o altri resoconti non dettagliati delle chiamate effettuate.

4. Users of the telecommunication networks shall have the right to receive non-itemised bills or other records of calls made.

Articolo 38

Article 38

Elenchi di utenti

Directories of users

1. I dati personali contenuti in elenchi cartacei o elettronici di utenti e l'accesso a detti elenchi sono limitati allo stretto necessario ai fini specifici degli elenchi.

1. Personal data contained in printed or electronic directories of users and access to such directories shall be limited to what is strictly necessary for the specific purposes of the directory.

2. Le istituzioni e gli organismi comunitari prendono le misure necessarie per impedire che i dati personali contenuti in tali elenchi siano utilizzati a fini di diffusione commerciale diretta, indipendentemente dal fatto che gli elenchi siano o meno accessibili al pubblico.

2. The Community institutions and bodies shall take all the necessary measures to prevent personal data contained in those directories, regardless of whether they are accessible to the public or not, from being used for direct marketing purposes.

Articolo 39

Article 39

Identificazione della linea chiamante e della linea chiamata e restrizione di tale funzione

Presentation and restriction of calling and connected line identification

1. Qualora sia offerto il servizio di identificazione della linea chiamante, l'utente chiamante deve poterlo disattivare facilmente e senza oneri.

1. Where presentation of calling-line identification is offered, the calling user shall have the possibility via a simple means, free of charge, to eliminate the presentation of the calling-line identification.

2. Qualora sia offerto il servizio di identificazione della linea chiamante, l'utente chiamato deve poter disattivare facilmente e senza oneri l'identificazione delle chiamate in entrata.

2. Where presentation of calling-line identification is offered, the called user shall have the possibility via a simple means, free of charge, to prevent the presentation of the calling-line identification of incoming calls.

3. Qualora sia offerto il servizio di identificazione della linea chiamata, l'utente chiamato deve poter disattivare tale identificazione presso il chiamante facilmente e senza oneri.

3. Where presentation of connected-line identification is offered, the called user shall have the possibility via a simple means, free of charge, to eliminate the presentation of the connected-line identification to the calling user.

4. Qualora sia offerto il servizio di identificazione della linea chiamante o chiamata, le istituzioni e gli organismi comunitari informano gli utenti di questa possibilità e di quelle di cui ai paragrafi 1, 2 e 3.

4. Where presentation of calling or connected-line identification is offered, the Community institutions and bodies shall inform the users thereof and of the possibilities set out in paragraphs 1, 2 and 3.

Articolo 40

Article 40

Deroghe

Derogations

Le istituzioni e gli organismi comunitari provvedono affinché procedure trasparenti disciplinino il modo in cui possono scavalcare la disattivazione dell'identificazione della linea chiamante:

Community institutions and bodies shall ensure that there are transparent procedures governing the way in which they may override the elimination of the presentation of calling-line identification:

a) per un periodo determinato, quando un utente chieda l'identificazione di chiamate moleste o malintenzionate;

(a) on a temporary basis, upon application of a user requesting the tracing of malicious or nuisance calls;

b) per linee determinate, nel caso di organizzazioni che rispondono a chiamate d'emergenza, al fine di dare seguito a tali chiamate.

(b) on a per-line basis for organisational entities dealing with emergency calls, for the purpose of answering such calls.

CAPO V

CHAPTER V

AUTORITÀ DI CONTROLLO INDIPENDENTE: IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI

INDEPENDENT SUPERVISORY AUTHORITY: THE EUROPEAN DATA PROTECTION SUPERVISOR

Articolo 41

Article 41

Garante europeo della protezione dei dati

European Data Protection Supervisor

1. È istituita un'autorità di controllo indipendente denominata garante europeo della protezione dei dati.

1. An independent supervisory authority is hereby established referred to as the European Data Protection Supervisor.

2. Il garante europeo della protezione dei dati ha il compito di garantire il rispetto dei diritti e delle libertà fondamentali delle persone fisiche, segnatamente del diritto alla vita privata, riguardo al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari.

2. With respect to the processing of personal data, the European Data Protection Supervisor shall be responsible for ensuring that the fundamental rights and freedoms of natural persons, and in particular their right to privacy, are respected by the Community institutions and bodies.

Il garante europeo della protezione dei dati ha il compito di sorvegliare e assicurare l'applicazione del presente regolamento e di qualunque altro atto comunitario relativo alla tutela dei diritti e delle libertà fondamentali delle persone fisiche riguardo al trattamento dei dati personali da parte di un'istituzione o di un organismo comunitario, e di fornire alle istituzioni e agli organismi comunitari nonché agli interessati pareri su tutte le questioni relative al trattamento dei dati personali. A tal fine esso assolve agli obblighi previsti all'articolo 46 ed esercita i poteri attribuitigli dall'articolo 47.

The European Data Protection Supervisor shall be responsible for monitoring and ensuring the application of the provisions of this Regulation and any other Community act relating to the protection of the fundamental rights and freedoms of natural persons with regard to the processing of personal data by a Community institution or body, and for advising Community institutions and bodies and data subjects on all matters concerning the processing of personal data. To these ends he or she shall fulfil the duties provided for in Article 46 and exercise the powers granted in Article 47.

Articolo 42

Article 42

Nomina

Appointment

1. Il Parlamento europeo e il Consiglio nominano di comune accordo il garante europeo della protezione dei dati, per un periodo di cinque anni, in base ad un elenco predisposto dalla Commissione dopo un invito pubblico a presentare candidature.

1. The European Parliament and the Council shall appoint by common accord the European Data Protection Supervisor for a term of five years, on the basis of a list drawn up by the Commission following a public call for candidates.

Un garante aggiunto è nominato con la stessa procedura e per la stessa durata, con il compito di assistere il garante nell'esercizio delle sue funzioni e di sostituirlo in caso di assenza o impedimento.

An Assistant Supervisor shall be appointed in accordance with the same procedure and for the same term, who shall assist the Supervisor in all the latter's duties and act as a replacement when the Supervisor is absent or prevented from attending to them.

2. Il garante europeo della protezione dei dati è scelto tra personalità che offrono ogni garanzia di indipendenza e che possiedono un'esperienza e delle competenze notorie per l'esercizio delle funzioni di garante europeo della protezione dei dati, come ad esempio il far parte o l'aver fatto parte delle autorità di controllo di cui all'articolo 28 della direttiva 95/46/CE.

2. The European Data Protection Supervisor shall be chosen from persons whose independence is beyond doubt and who are acknowledged as having the experience and skills required to perform the duties of European Data Protection Supervisor, for example because they belong or have belonged to the supervisory authorities referred to in Article 28 of Directive 95/46/EC.

3. Il mandato del garante europeo della protezione dei dati è rinnovabile.

3. The European Data Protection Supervisor shall be eligible for reappointment.

4. Oltre che per la normale procedura di sostituzione o per decesso, il mandato del garante europeo della protezione dei dati cessa in caso di dimissioni o di provvedimento d'ufficio, a norma del paragrafo 5.

4. Apart from normal replacement or death, the duties of the European Data Protection Supervisor shall end in the event of resignation or compulsory retirement in accordance with paragraph 5.

5. Il garante europeo della protezione dei dati può essere rimosso o privato del diritto a pensione o di altri vantaggi sostitutivi dalla Corte di giustizia su richiesta del Parlamento europeo, del Consiglio o della Commissione qualora non sia più in possesso dei requisiti necessari all'esercizio delle sue funzioni o abbia commesso una colpa grave.

5. The European Data Protection Supervisor may be dismissed or deprived of his or her right to a pension or other benefits in its stead by the Court of Justice at the request of the European Parliament, the Council or the Commission, if he or she no longer fulfils the conditions required for the performance of his or her duties or if he or she is guilty of serious misconduct.

6. In caso di normale avvicendamento o di dimissioni volontarie, il garante europeo della protezione dei dati resta comunque in carica fino all'atto della sua sostituzione.

6. In the event of normal replacement or voluntary resignation, the European Data Protection Supervisor shall nevertheless remain in office until he or she has been replaced.

7. Gli articoli da 12 a 15 e l'articolo 18 del protocollo sui privilegi e sulle immunità delle Comunità europee si applicano anche al garante europeo della protezione dei dati.

7. Articles 12 to 15 and 18 of the Protocol on the Privileges and Immunities of the European Communities shall also apply to the European Data Protection Supervisor.

8. Al garante aggiunto si applicano i paragrafi da 2 a 7.

8. Paragraphs 2 to 7 shall apply to the Assistant Supervisor.

Articolo 43

Article 43

Statuto e condizioni generali di esercizio delle funzioni di garante europeo della protezione dei dati, risorse umane e finanziarie

Regulations and general conditions governing the performance of the European Data Protection Supervisor's duties, staff and financial resources

1. Il Parlamento europeo, il Consiglio e la Commissione fissano di comune accordo lo statuto e le condizioni generali di esercizio delle funzioni di garante europeo della protezione dei dati e, in particolare, la retribuzione, le indennità ed ogni altro compenso sostitutivo.

1. The European Parliament, the Council and the Commission shall by common accord determine the regulations and general conditions governing the performance of the European Data Protection Supervisor's duties and in particular his or her salary, allowances and any other benefits in lieu of remuneration.

2. L'autorità di bilancio provvede a che il garante europeo della protezione dei dati disponga delle risorse umane e finanziarie necessarie per l'esercizio delle sue funzioni.

2. The budget authority shall ensure that the European Data Protection Supervisor is provided with the human and financial resources necessary for the performance of his or her tasks.

3. Il bilancio assegnato al garante europeo della protezione dei dati figura su una linea specifica della sezione VIII del bilancio generale dell'Unione europea.

3. The European Data Protection Supervisor's budget shall be shown in a separate budget heading in Section VIII of the general budget of the European Union.

4. Il garante europeo della protezione dei dati è assistito da un segretariato. I funzionari e altri agenti sono nominati dal garante europeo della protezione dei dati che è il loro superiore gerarchico ed alle cui istruzioni sono tenuti a conformarsi. Il numero di detti funzionari ed agenti è stabilito ogni anno nell'ambito della procedura di bilancio.

4. The European Data Protection Supervisor shall be assisted by a Secretariat. The officials and the other staff members of the Secretariat shall be appointed by the European Data Protection Supervisor; their superior shall be the European Data Protection Supervisor and they shall be subject exclusively to his or her direction. Their numbers shall be decided each year as part of the budgetary procedure.

5. I funzionari e gli altri agenti addetti al segretariato del garante europeo della protezione dei dati sono soggetti alla normativa relativa ai funzionari e agli altri agenti delle Comunità europee.

5. The officials and the other staff members of the European Data Protection Supervisor's Secretariat shall be subject to the rules and regulations applicable to officials and other servants of the European Communities.

6. Per le questioni relative al personale alle sue dipendenze il garante europeo della protezione dei dati è equiparato alle istituzioni comunitarie ai sensi dell'articolo 1 dello statuto dei funzionari delle Comunità europee.

6. In matters concerning the Secretariat staff, the European Data Protection Supervisor shall have the same status as the institutions within the meaning of Article 1 of the Staff Regulations of Officials of the European Communities.

Articolo 44

Article 44

Indipendenza

Independence

1. Il garante europeo della protezione dei dati esercita le sue funzioni in piena indipendenza.

1. The European Data Protection Supervisor shall act in complete independence in the performance of his or her duties.

2. Nell'adempimento delle sue funzioni il garante europeo della protezione dei dati non sollecita né accetta istruzioni da alcuno.

2. The European Data Protection Supervisor shall, in the performance of his or her duties, neither seek nor take instructions from anybody.

3. Per tutta la durata del mandato, il garante europeo della protezione dei dati si astiene da qualunque azione incompatibile con i suoi doveri e non può esercitare alcuna altra attività professionale, remunerata o meno.

3. The European Data Protection Supervisor shall refrain from any action incompatible with his or her duties and shall not, during his or her term of office, engage in any other occupation, whether gainful or not.

4. Al termine del mandato il garante europeo della protezione dei dati agisce con integrità e discrezione nell'accettazione di nomine e altri benefici.

4. The European Data Protection Supervisor shall, after his or her term of office, behave with integrity and discretion as regards the acceptance of appointments and benefits.

Articolo 45

Article 45

Segreto professionale

Professional secrecy

Durante e dopo il mandato il garante europeo della protezione dei dati ed il personale alle sue dipendenze sono tenuti al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso durante l'esercizio delle loro funzioni.

The European Data Protection Supervisor and his or her staff shall, both during and after their term of office, be subject to a duty of professional secrecy with regard to any confidential information which has come to their knowledge in the course of the performance of their official duties.

Articolo 46

Article 46

Funzioni

Duties

Il garante europeo della protezione dei dati assolve i seguenti compiti:

The European Data Protection Supervisor shall:

a) tratta i reclami e compie i relativi accertamenti, e ne comunica l'esito agli interessati entro un termine ragionevole;

(a) hear and investigate complaints, and inform the data subject of the outcome within a reasonable period;

b) svolge indagini di propria iniziativa o in seguito a un reclamo e ne comunica l'esito agli interessati entro un termine ragionevole;

(b) conduct inquiries either on his or her own initiative or on the basis of a complaint, and inform the data subjects of the outcome within a reasonable period;

c) sorveglia e garantisce l'applicazione del presente regolamento e di qualunque altro atto comunitario relativo alla tutela delle persone fisiche riguardo al trattamento dei dati personali da parte di un'istituzione o di un organismo comunitario, fatta eccezione per la Corte di giustizia delle Comunità europee nell'esercizio delle sue funzioni giurisdizionali;

(c) monitor and ensure the application of the provisions of this Regulation and any other Community act relating to the protection of natural persons with regard to the processing of personal data by a Community institution or body with the exception of the Court of Justice of the European Communities acting in its judicial capacity;

d) consiglia le istituzioni e gli organismi comunitari, di propria iniziativa o su richiesta, in ordine a qualsiasi argomento relativo al trattamento di dati personali, in particolare prima che essi adottino regolamentazioni interne relative alla tutela dei diritti e delle libertà fondamentali riguardo al trattamento di dati personali;

(d) advise all Community institutions and bodies, either on his or her own initiative or in response to a consultation, on all matters concerning the processing of personal data, in particular before they draw up internal rules relating to the protection of fundamental rights and freedoms with regard to the processing of personal data;

e) sorveglia l'evoluzione delle tecnologie che presentano un interesse, se ed in quanto incidenti sulla protezione dei dati personali, in particolare l'evoluzione delle tecnologie dell'informazione e della comunicazione;

(e) monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies;

f) i) collabora con le autorità nazionali di controllo di cui all'articolo 28 della direttiva 95/46/CE dei paesi cui si applica tale direttiva se ed in quanto ciò risulti necessario per l'adempimento dei rispettivi obblighi, in particolare scambiando ogni informazione utile, chiedendo a dette autorità o organi di esercitare le loro funzioni o rispondendo a loro richieste;

(f) (i) cooperate with the national supervisory authorities referred to in Article 28 of Directive 95/46/EC in the countries to which that Directive applies to the extent necessary for the performance of their respective duties, in particular by exchanging all useful information, requesting such authority or body to exercise its powers or responding to a request from such authority or body;

ii) collabora altresì con gli organi di controllo della protezione dei dati istituiti in virtù del titolo VI del trattato sull'Unione europea, in particolare per rendere più coerente l'applicazione delle norme e procedure che sono rispettivamente incaricati di fare osservare;

(ii) also cooperate with the supervisory data protection bodies established under Title VI of the Treaty on European Union particularly with a view to improving consistency in applying the rules and procedures with which they are respectively responsible for ensuring compliance;

g) partecipa alle attività del "Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali", istituito dall'articolo 29 della direttiva 95/46/CE;

(g) participate in the activities of the Working Party on the Protection of Individuals with regard to the Processing of Personal Data set up by Article 29 of Directive 95/46/EC;

h) determina, motiva e rende pubbliche le deroghe, le garanzie, le autorizzazioni e le condizioni di cui all'articolo 10, paragrafo 2, lettera b), paragrafi 4, 5 e 6, all'articolo 12, paragrafo 2, all'articolo 19 e all'articolo 37, paragrafo 2;

(h) determine, give reasons for and make public the exemptions, safeguards, authorisations and conditions mentioned in Article 10(2)(b),(4), (5) and (6), in Article 12(2), in Article 19 and in Article 37(2);

i) tiene un registro dei trattamenti notificatigli ai sensi dell'articolo 27, paragrafo 2, e registrati a norma dell'articolo 27, paragrafo 5, e fornisce i mezzi necessari per accedere ai registri tenuti dai responsabili della protezione dei dati a norma dell'articolo 26;

(i) keep a register of processing operations notified to him or her by virtue of Article 27(2) and registered in accordance with Article 27(5), and provide means of access to the registers kept by the Data Protection Officers under Article 26;

j) procede ad un esame preventivo dei trattamenti notificatigli;

(j) carry out a prior check of processing notified to him or her;

k) adotta il proprio regolamento interno.

(k) establish his or her Rules of Procedure.

Articolo 47

Article 47

Competenze

Powers

1. Il garante europeo della protezione dei dati può:

1. The European Data Protection Supervisor may:

a) offrire consulenza agli interessati nell'esercizio dei loro diritti;

(a) give advice to data subjects in the exercise of their rights;

b) rivolgersi al responsabile del trattamento in caso di asserita violazione delle disposizioni sul trattamento dei dati personali e, all'occorrenza, presentare proposte volte a porre rimedio a tale violazione e a migliorare la protezione degli interessati;

(b) refer the matter to the controller in the event of an alleged breach of the provisions governing the processing of personal data, and, where appropriate, make proposals for remedying that breach and for improving the protection of the data subjects;

c) ordinare che siano soddisfatte le richieste di esercizio di determinati diritti allorché dette richieste siano state respinte in violazione degli articoli da 13 a 19;

(c) order that requests to exercise certain rights in relation to data be complied with where such requests have been refused in breach of Articles 13 to 19;

d) rivolgere avvertimenti o moniti al responsabile del trattamento;

(d) warn or admonish the controller;

e) ordinare la rettifica, il blocco, la cancellazione o la distruzione di tutti i dati che siano stati trattati in violazione delle disposizioni sul trattamento dei dati personali e la notificazione di misure ai terzi ai quali i dati sono stati comunicati;

(e) order the rectification, blocking, erasure or destruction of all data when they have been processed in breach of the provisions governing the processing of personal data and the notification of such actions to third parties to whom the data have been disclosed;

f) vietare trattamenti a titolo provvisorio o definitivo;

(f) impose a temporary or definitive ban on processing;

g) adire l'istituzione o l'organismo comunitario in questione e, se necessario, il Parlamento europeo, il Consiglio e la Commissione;

(g) refer the matter to the Community institution or body concerned and, if necessary, to the European Parliament, the Council and the Commission;

h) adire la Corte di giustizia delle Comunità europee alle condizioni previste dal trattato;

(h) refer the matter to the Court of Justice of the European Communities under the conditions provided for in the Treaty;

i) intervenire nelle cause dinanzi alla Corte di Giustizia delle Comunità europee.

(i) intervene in actions brought before the Court of Justice of the European Communities.

2. Il garante europeo della protezione dei dati ha il potere di:

2. The European Data Protection Supervisor shall have the power:

a) ottenere da un responsabile del trattamento o da un'istituzione o un organismo comunitario l'accesso a tutti i dati personali e a tutte le informazioni necessarie alle sue indagini;

(a) to obtain from a controller or Community institution or body access to all personal data and to all information necessary for his or her enquiries;

b) accedere a tutti i locali in cui un responsabile del trattamento o un'istituzione o un organismo comunitario svolge le sue attività se si può ragionevolmente supporre che in essi viene svolta un'attività in applicazione del presente regolamento.

(b) to obtain access to any premises in which a controller or Community institution or body carries on its activities when there are reasonable grounds for presuming that an activity covered by this Regulation is being carried out there.

Articolo 48

Article 48

Rapporto sulle attività

Activities report

1. Il garante europeo della protezione dei dati presenta al Parlamento europeo, al Consiglio e alla Commissione un rapporto annuale sulla propria attività, rendendolo pubblico allo stesso tempo.

1. The European Data Protection Supervisor shall submit an annual report on his or her activities to the European Parliament, the Council and the Commission and at the same time make it public.

2. Il garante europeo trasmette il rapporto sulle attività alle altre istituzioni e agli altri organismi dell'Unione europea che possono formulare osservazioni in vista dell'eventuale discussione del rapporto stesso presso il Parlamento europeo, in particolare per quanto riguarda la descrizione dei provvedimenti adottati a seguito delle osservazioni del garante europeo della protezione dei dati ai sensi dell'articolo 31.

2. The European Data Protection Supervisor shall forward the activities report to the other Community institutions and bodies, which may submit comments with a view to possible examination of the report in the European Parliament, in particular in relation to the description of the measures taken in response to the remarks made by the European Data Protection Supervisor under Article 31.

CAPO VI

CHAPTER VI

DISPOSIZIONI FINALI

FINAL PROVISIONS

Articolo 49

Article 49

Sanzioni

Sanctions

Il funzionario o altro agente delle Comunità europee che, volontariamente o per negligenza, non assolva agli obblighi previsti dal presente regolamento è passibile di provvedimenti disciplinari, secondo le norme e le procedure previste dallo statuto dei funzionari delle Comunità europee o dai regime applicabile agli altri agenti.

Any failure to comply with the obligations pursuant to this Regulation, whether intentionally or through negligence on his or her part, shall make an official or other servant of the European Communities liable to disciplinary action, in accordance with the rules and procedures laid down in the Staff Regulations of Officials of the European Communities or in the conditions of employment applicable to other servants.

Articolo 50

Article 50

Periodo transitorio

Transitional period

Le istituzioni e gli organismi comunitari provvedono a che i trattamenti in corso alla data di entrata in vigore del presente regolamento siano rese conformi allo stesso entro un anno a decorrere da tale data.

Community institutions and bodies shall ensure that processing operations already under way on the date this Regulation enters into force are brought into conformity with this Regulation within one year of that date.

Articolo 51

Article 51

Entrata in vigore

Entry into force

Il presente regolamento entra in vigore il ventesimo giorno successivo alla data della pubblicazione nella Gazzetta ufficiale delle Comunità europee.

This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Communities.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

This Regulation shall be binding in its entirety and directly applicable in all Member States.

Fatto a Bruxelles, addì 18 dicembre 2000.

Done at Brussels, 18 December 2000.

Per il Parlamento europeo

For the European Parliament

La Presidente

The President

N. Fontaine

N. Fontaine

Per il Consiglio

For the Council

Il Presidente

The President

D. Voynet

D. Voynet

(1) GU C 376 E del 28.12.1999, pag. 24.

(1) OJ C 376E, 28.12.1999, p. 24.

(2) GU C 51 del 23.2.2000, pag. 48.

(2) OJ C 51, 23.2.2000, p. 48.

(3) Parere del Parlamento europeo del 14 novembre 2000 e decisione del Consiglio del 30 novembre 2000.

(3) Opinion of the European Parliament of 14 November 2000 and Council Decision of 30 November 2000.

(4) GU L 281 del 23.11.1995, pag. 31.

(4) OJ L 281, 23.11.1995, p. 31.

(5) GU L 24 del 30.1.1998, pag. 1.

(5) OJ L 24, 30.1.1998, p. 1.

(6) GU L 52 del 22.2.1997, pag. 1.

(6) OJ L 52, 22.2.1997, p. 1.

(7) GU L 318 del 27.11.1998, pag. 8.

(7) OJ L 318, 27.11.1998, p. 8.

(8) GU L 151 del 15.6.1990, pag. 1. Regolamento modificato dal regolamento (CE) n. 322/97 (GU L 52 del 22.2.1997, pag. 1).

(8) OJ L 151, 15. 6.1990, p. 1. Regulation as amended by Regulation (EC) No 322/97 (OJ L 52, 22.2.1997, p. 1).

ALLEGATO

ANNEX

1. Il responsabile della protezione dei dati può formulare raccomandazioni per il miglioramento concreto della protezione dei dati all'istituzione o all'organismo comunitario che lo ha nominato nonché consigliare questi ultimi e il responsabile del trattamento dei dati in merito all'applicazione delle disposizioni sulla protezione dei dati. Può inoltre, di propria iniziativa o a richiesta dell'istituzione o dell'organismo comunitario che lo ha nominato, del responsabile del trattamento, del comitato del personale o di qualsiasi persona fisica, indagare sulle questioni e sui fatti direttamente collegati con l'esercizio delle sue funzioni e di cui viene a conoscenza e riferire in merito alla persona che lo ha incaricato dell'indagine e/o al responsabile del trattamento.

1. The Data Protection Officer may make recommendations for the practical improvement of data protection to the Community institution or body which appointed him or her and advise it and the controller concerned on matters concerning the application of data protection provisions. Furthermore he or she may, on his or her own initiative or at the request of the Community institution or body which appointed him or her, the controller, the Staff Committee concerned or any individual, investigate matters and occurrences directly relating to his or her tasks and which come to his or her notice, and report back to the person who commissioned the investigation or to the controller.

2. Il responsabile della protezione dei dati può essere consultato dall'istituzione o organismo comunitario che lo ha nominato, dal responsabile del trattamento, dal comitato del personale e da qualsiasi persona, senza seguire la via gerarchica, su qualsiasi aspetto riguardante l'interpretazione o l'applicazione del presente regolamento.

2. The Data Protection Officer may be consulted by the Community institution or body which appointed him or her, by the controller concerned, by the Staff Committee concerned and by any individual, without going through the official channels, on any matter concerning the interpretation or application of this Regulation.

3. Nessuno deve subire pregiudizio per una questione portata all'attenzione del responsabile della protezione dei dati competente e riguardante una asserita violazione delle disposizioni del presente regolamento.

3. No one shall suffer prejudice on account of a matter brought to the attention of the competent Data Protection Officer alleging that a breach of the provisions of this Regulation has taken place.

4. Ogni responsabile del trattamento deve assistere il responsabile della protezione dei dati nell'esercizio delle sue funzioni e rispondere ai quesiti sottopostigli. Nell'esercizio delle sue funzioni, il responsabile della protezione dei dati ha accesso in qualsiasi momento ai dati oggetto del trattamento e a tutti gli uffici, alle installazioni per il trattamento dei dati e ai supporti di dati.

4. Every controller concerned shall be required to assist the Data Protection Officer in performing his or her duties and to give information in reply to questions. In performing his or her duties, the Data Protection Officer shall have access at all times to the data forming the subject-matter of processing operations and to all offices, data-processing installations and data carriers.

5. Per quanto necessario, il responsabile della protezione dei dati è esonerato da altre attività. Il responsabile della protezione dei dati e il suo personale, ai quali si applica l'articolo 287 del trattato, non dovranno divulgare le informazioni e i documenti ottenuti nell'esercizio delle loro funzioni.

5. To the extent required, the Data Protection Officer shall be relieved of other activities. The Data Protection Officer and his or her staff, to whom Article 287 of the Treaty shall apply, shall be required not to divulge information or documents which they obtain in the course of their duties.