Elicamodel
Non tutta la merce acquistata è subito disponibile, i tempi di attesa potranno variare da 1 a 4 settimane
dopo l'acquisto riceverete una email con la disponibilità e i tempi di consegna.
DOPO LA REGISTRAZIONE VERIFICATE L'EMAIL PER LA CONFERMA
CONTROLLARE NELLA CARTELLA SPAM
DOPO LA REGISTRAZIONE VERIFICATE L'EMAIL PER LA CONFERMA
CONTROLLARE NELLA CARTELLA SPAM
1
Sig. Nicola Rucco
frazione Toffo, 14
23883 Brivio
Italia
Lecco
3385904627
rccncl64r26f704p
Termini e condizioni
Informativa privacy
INFORMATIVA RELATIVA AL TRATTAMENTO DEI DATI PERSONALI (PRIVACY)
In base al D. Lgs 196/2003 “Codice in materia di protezione dei dati personali” e al Regolamento UE 2016/679
In riferimento a quanto previsto dal D. Lgs 196/2003 “Codice in materia di protezione dei dati personali”, e del Regolamento UE 2016/679, in particolare riguardo agli artt. 12 e 13, La informiamo che i suoi dati personali verranno trattati conformemente alla normativa vigente.
Elicamodel di Nicola Rucco
con sede a Brivio frazione Toffo, 14 si impegna costantemente ad adottare soluzioni tecniche ed organizzative volte a garantire elevati standards di liceità, sicurezza e protezione nel trattamento dei Dati personali: vengono implementati i requisiti del Regolamento generale sulla protezione dei dati dell'Unione Europea (di seguito nel testo "GDPR" acronimo di General Data Protection Regulation) e di altre disposizioni di legge, comprese, in particolare, quelle del Codice in materia di protezione dei dati personali (di seguito "Codice della privacy" o "Codice").
1. Chi è il titolare del trattamento dei dati? Elicamodel di Nicola Rucco con sede a Brivio frazione Toffo, 14(di seguito nel testo "Elicamodel" o "noi"), è titolare del trattamento dei Suoi dati personali secondo l'accezione del GDPR e del Codice.
2. Quali dati vengono da noi trattati? Per dati personali si intende qualsiasi tipo di informazione relativa a una persona fisica identificata o identificabile (di seguito "Dati").
Dati da Lei forniti: tutti i dati che Lei ci ha fornito per richiedere la compravendita di un bene e/o la fornitura di un servizio; i Dati potrebbero in via esemplificativa essere: il Suo nome e cognome, i Suoi recapiti (compresi indirizzo, numero di telefono e casella di posta elettronica), professione, data e luogo di nascita, codice fiscale. Il conferimento di tali informazioni, se richieste dal contratto o essenziali per l’esecuzione del medesimo, costituisce un requisito necessario per la conclusione del Contratto; la mancata comunicazione di tali dati può comportare l’impossibilità di concludere il Contratto e/o fornire da parte di Elicamodel i relativi servizi e prodotti. I dati suddetti potrebbero essere già stati da Lei forniti a società socie e/o facenti parte del Gruppo Elicamodel.
Elicamodel non acquisisce e non tratta categorie di dati personali, come ad esempio informazioni che rivelino la Sua origine razziale, le Sue opinioni politiche, le Sue convinzioni religiose o filosofiche.
3. Su quali basi giuridiche e in base a quali norme tratteremo i Suoi dati? Per dati personali si intende qualsiasi tipo di informazione relativa a una persona fisica identificata o identificabile (di seguito "Dati"). Tratteremo i suoi Dati esclusivamente laddove consentito dalle disposizioni di legge applicabili. Nello specifico, tratteremo i Suoi Dati sulla base degli artt. 6 e 9 GDPR e sulla base del consenso ai sensi dell'art. 7 GDPR, nonché in conformità alle corrispondenti norme del Codice:
• Consenso art. 6(1) paragrafo 1(a), art. 7 GDPR): tratteremo determinati Dati esclusivamente in presenza del Suo preliminare, libero ed espresso consenso. Lei ha la facoltà di revocare il consenso prestato in qualsiasi momento con effetto per il futuro.
• Esecuzione di un contratto: al fine di concludere e dare esecuzione al contratto richiesto è necessario avere accesso e trattare determinati Dati.
• Conformità con un obbligo legale art. 6(1) paragrafo 1(c) GDPR): al fine di garantire la conformità con tali prescrizioni, dobbiamo trattare determinati dat
4. Per quali finalità vengono trattati i Suoi Dati? I Suoi Dati verranno da noi trattati solo ed esclusivamente per le finalità consentite dalla normativa sulla protezione dei dati come: a) finalità da Lei preventivamente approvate; b) trattamento di dati al fine di dare esecuzione al Contratto; c) esecuzione di misure precontrattuali dietro Sua richiesta; d) adempimento degli obblighi legali a cui siamo soggetti; e) salvaguardia dei nostri interessi legittimi o degli interessi legittimi di terze parti, fatto salvo il caso in cui i Suoi interessi prevalgano sugli stessi; f) accertamento, esercizio ovvero difesa di un diritto o pretesa legale; g) per ragioni di interesse pubblico rilevante; h) marketing e pubblicità, in particolare attività di marketing diretto.
I
(Atti legislativi)
REGOLAMENTI
REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 27 aprile 2016
relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché
alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla
protezione dei dati)
(Testo rilevante ai fini del SEE)
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16,
vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere del Comitato economico e sociale europeo ( 1 ),
visto il parere del Comitato delle regioni ( 2 ),
deliberando secondo la procedura legislativa ordinaria ( 3 ),
considerando quanto segue:
(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto
fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea («Carta») e
l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea («TFUE») stabiliscono che ogni
persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
(2) I principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali dovrebbero
rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali, a
prescindere dalla loro nazionalità o dalla loro residenza. Il presente regolamento è inteso a contribuire alla realiz
zazione di uno spazio di libertà, sicurezza e giustizia e di un'unione economica, al progresso economico e
sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone
fisiche.
(3) La direttiva 95/46/CE del Parlamento europeo e del Consiglio ( 4 ) ha come obiettivo di armonizzare la tutela dei
diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati e assicurare la
libera circolazione dei dati personali tra Stati membri.
4.5.2016 L 119/1 Gazzetta ufficiale dell'Unione europea IT
( 1 ) GU C 229 del 31.7.2012, pag. 90.
( 2 ) GU C 391 del 18.12.2012, pag. 127.
( 3 ) Posizione del Parlamento europeo del 12 marzo 2014 (non ancora pubblicata nella Gazzetta ufficiale) e posizione del Consiglio in prima
lettura dell'8 aprile 2016 (non ancora pubblicata nella Gazzetta ufficiale). Posizione del Parlamento europeo del 14 aprile 2016.
( 4 ) Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).
(4) Il trattamento dei dati personali dovrebbe essere al servizio dell'uomo. Il diritto alla protezione dei dati di
carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va
contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento
rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in
particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati
personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, la libertà
d'impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e
linguistica.
(5) L'integrazione economica e sociale conseguente al funzionamento del mercato interno ha condotto a un conside
revole aumento dei flussi transfrontalieri di dati personali e quindi anche dei dati personali scambiati, in tutta
l'Unione, tra attori pubblici e privati, comprese persone fisiche, associazioni e imprese. Il diritto dell'Unione
impone alle autorità nazionali degli Stati membri di cooperare e scambiarsi dati personali per essere in grado di
svolgere le rispettive funzioni o eseguire compiti per conto di un'autorità di un altro Stato membro.
(6) La rapidità dell'evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati
personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La
tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali,
come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono
disponibili al pubblico su scala mondiale informazioni personali che li riguardano. La tecnologia ha trasformato
l'economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali
all'interno dell'Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al
tempo stesso un elevato livello di protezione dei dati personali.
(7) Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati nell'Unione, affiancato
da efficaci misure di attuazione, data l'importanza di creare il clima di fiducia che consentirà lo sviluppo dell'e
conomia digitale in tutto il mercato interno. È opportuno che le persone fisiche abbiano il controllo dei dati
personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche
quanto per gli operatori economici e le autorità pubbliche.
(8) Ove il presente regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati
membri, gli Stati membri possono, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali
comprensibili alle persone cui si applicano, integrare elementi del presente regolamento nel proprio diritto
nazionale.
(9) Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammen
tazione dell'applicazione della protezione dei dati personali nel territorio dell'Unione, né ha eliminato l'incertezza
giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino
rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle
libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al
trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all'interno
dell'Unione. Tali differenze possono pertanto costituire un freno all'esercizio delle attività economiche su scala
dell'Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal
diritto dell'Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell'attuare e applicare la
direttiva 95/46/CE.
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla
circolazione dei dati personali all'interno dell'Unione, il livello di protezione dei diritti e delle libertà delle persone
fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno
assicurare un'applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali
delle persone fisiche con riguardo al trattamento dei dati personali in tutta l'Unione. Per quanto riguarda il
trattamento dei dati personali per l'adempimento di un obbligo legale, per l'esecuzione di un compito di interesse
pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri
dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l'appli
cazione delle norme del presente regolamento. In combinato disposto con la legislazione generale e orizzontale
in materia di protezione dei dati che attua la direttiva 95/46/CE gli Stati membri dispongono di varie leggi
settoriali in settori che richiedono disposizioni più specifiche. Il presente regolamento prevede anche un margine
di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari
di dati personali («dati sensibili»). In tal senso, il presente regolamento non esclude che il diritto degli Stati
membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore
precisione le condizioni alle quali il trattamento di dati personali è lecito.
4.5.2016 L 119/2 Gazzetta ufficiale dell'Unione europea IT
(11) Un'efficace protezione dei dati personali in tutta l'Unione presuppone il rafforzamento e la disciplina dettagliata
dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali,
nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e
sanzioni equivalenti per le violazioni negli Stati membri.
(12) L'articolo 16, paragrafo 2, TFUE conferisce al Parlamento europeo e al Consiglio il mandato di stabilire le norme
relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale e le norme
relative alla libera circolazione di tali dati.
(13) Per assicurare un livello coerente di protezione delle persone fisiche in tutta l'Unione e prevenire disparità che
possono ostacolare la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che
garantisca certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese,
offra alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsa
bilità dei titolari del trattamento e dei responsabili del trattamento e assicuri un monitoraggio coerente del
trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le
autorità di controllo dei diversi Stati membri. Per il buon funzionamento del mercato interno è necessario che la
libera circolazione dei dati personali all'interno dell'Unione non sia limitata né vietata per motivi attinenti alla
protezione delle persone fisiche con riguardo al trattamento dei dati personali. Per tener conto della specifica
situazione delle micro, piccole e medie imprese, il presente regolamento prevede una deroga per le organizzazioni
che hanno meno di 250 dipendenti per quanto riguarda la conservazione delle registrazioni. Inoltre, le istituzioni
e gli organi dell'Unione e gli Stati membri e le loro autorità di controllo sono invitati a considerare le esigenze
specifiche delle micro, piccole e medie imprese nell'applicare il presente regolamento. La nozione di micro,
piccola e media impresa dovrebbe ispirarsi all'articolo 2 dell'allegato della raccomandazione 2003/361/CE della
Commissione ( 1 ).
(14) È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere
dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente
regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese
dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto.
(15) Al fine di evitare l'insorgere di gravi rischi di elusione, la protezione delle persone fisiche dovrebbe essere neutrale
sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate. La protezione delle persone fisiche
dovrebbe applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati
personali sono contenuti o destinati a essere contenuti in un archivio. Non dovrebbero rientrare nell'ambito di
applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici,
così come le rispettive copertine.
(16) Il presente regolamento non si applica a questioni di tutela dei diritti e delle libertà fondamentali o di libera
circolazione dei dati personali riferite ad attività che non rientrano nell'ambito di applicazione del diritto
dell'Unione, quali le attività riguardanti la sicurezza nazionale. Il presente regolamento non si applica al
trattamento dei dati personali effettuato dagli Stati membri nell'esercizio di attività relative alla politica estera e di
sicurezza comune dell'Unione.
(17) Il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio ( 2 ) si applica al trattamento di dati
personali effettuato da istituzioni, organi, uffici e agenzie dell'Unione. Il regolamento (CE) n. 45/2001 e gli altri
atti giuridici dell'Unione applicabili a tale trattamento di dati personali dovrebbero essere adeguati ai principi e
alle norme stabiliti dal presente regolamento e applicati alla luce dello stesso. Per offrire un quadro di protezione
dei dati solido e coerente nell'Unione, si dovrebbe procedere, successivamente all'adozione del presente
regolamento, ai necessari adeguamenti del regolamento (CE) n. 45/2001, al fine di consentirne l'applicazione
contemporaneamente al presente regolamento.
(18) Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell'ambito
di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un'attività
commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la
4.5.2016 L 119/3 Gazzetta ufficiale dell'Unione europea IT
( 1 ) Raccomandazione della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese
(C(2003) 1422) (GU L 124 del 20.5.2003, pag. 36).
( 2 ) Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche
in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali
dati (GU L 8 del 12.1.2001, pag. 1).
corrispondenza e gli indirizzari, o l'uso dei social network e attività online intraprese nel quadro di tali attività.
Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che
forniscono i mezzi per trattare dati personali nell'ambito di tali attività a carattere personale o domestico.
(19) La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità
competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni
penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione
di tali dati sono oggetto di uno specifico atto dell'Unione. Il presente regolamento non dovrebbe pertanto
applicarsi ai trattamenti effettuati per tali finalità. I dati personali trattati dalle autorità pubbliche in forza del
presente regolamento, quando utilizzati per tali finalità, dovrebbero invece essere disciplinati da un più specifico
atto dell'Unione, segnatamente la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio ( 1 ). Gli Stati
membri possono conferire alle autorità competenti ai sensi della direttiva (UE) 2016/680 altri compiti che non
siano necessariamente svolti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione
di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, affinché il
trattamento di dati personali per tali altre finalità, nella misura in cui ricada nell'ambito di applicazione del diritto
dell'Unione, rientri nell'ambito di applicazione del presente regolamento.
Con riguardo al trattamento dei dati personali da parte di tali autorità competenti per finalità rientranti
nell'ambito di applicazione del presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre
disposizioni più specifiche per adattare l'applicazione delle disposizioni del presente regolamento. Tali
disposizioni possono determinare con maggiore precisione requisiti specifici per il trattamento di dati personali
da parte di dette autorità competenti per tali altre finalità, tenuto conto della struttura costituzionale, organiz
zativa e amministrativa dei rispettivi Stati membri. Quando il trattamento dei dati personali effettuato da
organismi privati rientra nell'ambito di applicazione del presente regolamento, è opportuno che lo stesso preveda
la facoltà per gli Stati membri, a determinate condizioni, di adottare disposizioni legislative intese a limitare
determinati obblighi e diritti, qualora tale limitazione costituisca una misura necessaria e proporzionata in una
società democratica per la salvaguardia di importanti interessi specifici, comprese la sicurezza pubblica e le
attività di prevenzione, indagine, accertamento e perseguimento di reati o l'esecuzione di sanzioni penali, incluse
la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica. Ciò riveste particolare importanza ad
esempio nel quadro del riciclaggio o di attività di medicina legale.
(20) Sebbene il presente regolamento si applichi, tra l'altro, anche alle attività delle autorità giurisdizionali e di altre
autorità giudiziarie, il diritto dell'Unione o degli Stati membri potrebbe specificare le operazioni e le procedure di
trattamento relativamente al trattamento dei dati personali effettuato da autorità giurisdizionali e da altre autorità
giudiziarie. Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati
personali effettuato dalle autorità giurisdizionali nell'adempimento delle loro funzioni giurisdizionali, al fine di
salvaguardare l'indipendenza della magistratura nell'adempimento dei suoi compiti giurisdizionali, compreso il
processo decisionale. Si dovrebbe poter affidare il controllo su tali trattamenti di dati ad organismi specifici
all'interno del sistema giudiziario dello Stato membro, che dovrebbero in particolare assicurare la conformità alle
norme del presente regolamento, rafforzare la consapevolezza della magistratura con riguardo agli obblighi che
alla stessa derivano dal presente regolamento ed esaminare i reclami in relazione a tali operazioni di trattamento
dei dati.
(21) Il presente regolamento non pregiudica l'applicazione della direttiva 2000/31/CE del Parlamento europeo e del
Consiglio ( 2 ), in particolare delle norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli
articoli da 12 a 15 della medesima direttiva. Detta direttiva mira a contribuire al buon funzionamento del
mercato interno garantendo la libera circolazione dei servizi della società dell'informazione tra Stati membri.
(22) Qualsiasi trattamento di dati personali effettuato nell'ambito delle attività di uno stabilimento di un titolare del
trattamento o responsabile del trattamento nel territorio dell'Unione dovrebbe essere conforme al presente
regolamento, indipendentemente dal fatto che il trattamento avvenga all'interno dell'Unione. Lo stabilimento
implica l'effettivo e reale svolgimento di attività nel quadro di un'organizzazione stabile. A tale riguardo, non è
determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.
4.5.2016 L 119/4 Gazzetta ufficiale dell'Unione europea IT
( 1 ) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, concernente la tutela delle persone fisiche con
riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e
perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI
del Consiglio (Cfr. pagina 89 della presente Gazzetta ufficiale).
( 2 ) Direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell'8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della
società dell'informazione, in particolare il commercio elettronico, nel mercato interno («Direttiva sul commercio elettronico») (GU L 178
del 17.7.2000, pag. 1).
(23) Onde evitare che una persona fisica venga privata della protezione cui ha diritto in base al presente regolamento,
è opportuno che questo disciplini il trattamento dei dati personali degli interessati che si trovano nell'Unione
effettuato da un titolare del trattamento o da un responsabile del trattamento non stabilito nell'Unione, quando le
attività di trattamento sono connesse all'offerta di beni o servizi a detti interessati indipendentemente dal fatto
che vi sia un pagamento correlato. Per determinare se tale titolare o responsabile del trattamento stia offrendo
beni o servizi agli interessati che si trovano nell'Unione, è opportuno verificare se risulta che il titolare o il
responsabile del trattamento intenda fornire servizi agli interessati in uno o più Stati membri dell'Unione. Mentre
la semplice accessibilità del sito web del titolare del trattamento, del responsabile del trattamento o di un interme
diario nell'Unione, di un indirizzo di posta elettronica o di altre coordinate di contatto o l'impiego di una lingua
abitualmente utilizzata nel paese terzo in cui il titolare del trattamento è stabilito sono insufficienti per accertare
tale intenzione, fattori quali l'utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati
membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si
trovano nell'Unione possono evidenziare l'intenzione del titolare o del responsabile del trattamento di offrire beni
o servizi agli interessati nell'Unione.
(24) È opportuno che anche il trattamento dei dati personali degli interessati che si trovano nell'Unione ad opera di un
titolare del trattamento o di un responsabile del trattamento non stabilito nell'Unione sia soggetto al presente
regolamento quando è riferito al monitoraggio del comportamento di detti interessati, nella misura in cui tale
comportamento ha luogo all'interno dell'Unione. Per stabilire se un'attività di trattamento sia assimilabile al
controllo del comportamento dell'interessato, è opportuno verificare se le persone fisiche sono tracciate su
internet, compreso l'eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella
profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o
prevederne le preferenze, i comportamenti e le posizioni personali.
(25) Laddove vige il diritto di uno Stato membro in virtù del diritto internazionale pubblico, ad esempio nella rappre
sentanza diplomatica o consolare di uno Stato membro, il presente regolamento dovrebbe applicarsi anche a un
titolare del trattamento non stabilito nell'Unione.
(26) È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica
identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a
una persona fisica mediante l'utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una
persona fisica identificabile. Per stabilire l'identificabilità di una persona è opportuno considerare tutti i mezzi,
come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare
detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi
per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i
costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del
trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a
informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identifi
cabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione
dell'interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime,
anche per finalità statistiche o di ricerca.
(27) Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono
prevedere norme riguardanti il trattamento dei dati personali delle persone decedute.
(28) L'applicazione della pseudonimizzazione ai dati personali può ridurre i rischi per gli interessati e aiutare i titolari
del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati. L'introduzione
esplicita della «pseudonimizzazione» nel presente regolamento non è quindi intesa a precludere altre misure di
protezione dei dati.
(29) Al fine di creare incentivi per l'applicazione della pseudonimizzazione nel trattamento dei dati personali,
dovrebbero essere possibili misure di pseudonimizzazione con possibilità di analisi generale all'interno dello
stesso titolare del trattamento, qualora il titolare del trattamento abbia adottato le misure tecniche e organizzative
necessarie ad assicurare, per il trattamento interessato, l'attuazione del presente regolamento, e che le
informazioni aggiuntive per l'attribuzione dei dati personali a un interessato specifico siano conservate separa
tamente. Il titolare del trattamento che effettua il trattamento dei dati personali dovrebbe indicare le persone
autorizzate all'interno dello stesso titolare del trattamento.
4.5.2016 L 119/5 Gazzetta ufficiale dell'Unione europea IT
(30) Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli
strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di
altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in
particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere
utilizzate per creare profili delle persone fisiche e identificarle.
(31) Le autorità pubbliche a cui i dati personali sono comunicati conformemente a un obbligo legale ai fini dell'e
sercizio della loro missione istituzionale, quali autorità fiscali e doganali, unità di indagine finanziaria, autorità
amministrative indipendenti o autorità dei mercati finanziari, responsabili della regolamentazione e della vigilanza
dei mercati dei valori mobiliari, non dovrebbero essere considerate destinatari qualora ricevano dati personali che
sono necessari per svolgere una specifica indagine nell'interesse generale, conformemente al diritto dell'Unione o
degli Stati membri. Le richieste di comunicazione inviate dalle autorità pubbliche dovrebbero sempre essere
scritte, motivate e occasionali e non dovrebbero riguardare un intero archivio o condurre all'interconnessione di
archivi. Il trattamento di tali dati personali da parte delle autorità pubbliche dovrebbe essere conforme alle norme
in materia di protezione dei dati applicabili secondo le finalità del trattamento.
(32) Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta
l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo
riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe
comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della
società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente
in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il
silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento
svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere
prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve
essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.
(33) In molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca
scientifica al momento della raccolta dei dati. Pertanto, dovrebbe essere consentito agli interessati di prestare il
proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche
riconosciute per la ricerca scientifica. Gli interessati dovrebbero avere la possibilità di prestare il proprio consenso
soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista.
(34) È opportuno che per dati genetici si intendano i dati personali relativi alle caratteristiche genetiche, ereditarie o
acquisite, di una persona fisica, che risultino dall'analisi di un campione biologico della persona fisica in
questione, in particolare dall'analisi dei cromosomi, dell'acido desossiribonucleico (DNA) o dell'acido ribonucleico
(RNA), ovvero dall'analisi di un altro elemento che consenta di ottenere informazioni equivalenti.
(35) Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato
che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso.
Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere
servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo
e del Consiglio ( 1 ); un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla
in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o
una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad
esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato
fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro
operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.
(36) Lo stabilimento principale di un titolare del trattamento nell'Unione dovrebbe essere il luogo in cui ha sede la sua
amministrazione centrale nell'Unione, a meno che le decisioni sulle finalità e i mezzi del trattamento di dati
personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione, nel qual caso tale altro
stabilimento dovrebbe essere considerato lo stabilimento principale. Lo stabilimento principale di un titolare del
4.5.2016 L 119/6 Gazzetta ufficiale dell'Unione europea IT
( 1 ) Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l'applicazione dei diritti dei pazienti
relativi all'assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).
trattamento nell'Unione dovrebbe essere determinato in base a criteri obiettivi e implicare l'effettivo e reale
svolgimento di attività di gestione finalizzate alle principali decisioni sulle finalità e sui mezzi del trattamento nel
quadro di un'organizzazione stabile. Tale criterio non dovrebbe dipendere dal fatto che i dati personali siano
trattati in quella sede. La presenza o l'uso di mezzi tecnici e tecnologie di trattamento di dati personali o di
attività di trattamento non costituiscono di per sé lo stabilimento principale né sono quindi criteri determinanti
della sua esistenza. Per quanto riguarda il responsabile del trattamento, per «stabilimento principale» dovrebbe
intendersi il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se non dispone di un'ammini
strazione centrale nell'Unione, il luogo in cui sono condotte le principali attività di trattamento nell'Unione. In
caso di coinvolgimento sia del titolare del trattamento sia del responsabile del trattamento, l'autorità di controllo
competente capofila dovrebbe continuare a essere l'autorità di controllo dello Stato membro in cui il titolare del
trattamento ha lo stabilimento principale, ma l'autorità di controllo del responsabile del trattamento dovrebbe
essere considerata autorità di controllo interessata e tale autorità di controllo dovrebbe partecipare alla procedura
di cooperazione prevista dal presente regolamento. In ogni caso, le autorità di controllo dello Stato membro o
degli Stati membri in cui il responsabile del trattamento ha uno o più stabilimenti non dovrebbero essere
considerate autorità di controllo interessate quando il progetto di decisione riguarda soltanto il titolare del
trattamento. Se il trattamento è effettuato da un gruppo imprenditoriale, lo stabilimento principale dell'impresa
controllante dovrebbe essere considerato lo stabilimento principale del gruppo di imprese, tranne nei casi in cui
le finalità e i mezzi del trattamento sono stabiliti da un'altra impresa.
(37) Un gruppo imprenditoriale dovrebbe costituirsi di un'impresa controllante e delle sue controllate, là dove
l'impresa controllante dovrebbe essere quella che può esercitare un'influenza dominante sulle controllate in forza,
ad esempio, della proprietà, della partecipazione finanziaria o delle norme societarie o del potere di fare applicare
le norme in materia di protezione dei dati personali. Un'impresa che controlla il trattamento dei dati personali in
imprese a essa collegate dovrebbe essere considerata, unitamente a tali imprese, quale «gruppo imprenditoriale».
(38) I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno
consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in
relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l'utilizzo
dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di
dati personali relativi ai minori all'atto dell'utilizzo di servizi forniti direttamente a un minore. Il consenso del
titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di
consulenza forniti direttamente a un minore.
(39) Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le
persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li
riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone
che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e
comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l'infor
mazione degli interessati sull'identità del titolare del trattamento e sulle finalità del trattamento e ulteriori
informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai
loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano. È
opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al
trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In
particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e
precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e
limitati a quanto necessario per le finalità del loro trattamento. Da qui l'obbligo, in particolare, di assicurare che il
periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere
trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare
che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire
un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli
affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da
garantirne un'adeguata sicurezza e riservatezza, anche per impedire l'accesso o l'utilizzo non autorizzato dei dati
personali e delle attrezzature impiegate per il trattamento.
(40) Perché sia lecito, il trattamento di dati personali dovrebbe fondarsi sul consenso dell'interessato o su altra base
legittima prevista per legge dal presente regolamento o dal diritto dell'Unione o degli Stati membri, come indicato
4.5.2016 L 119/7 Gazzetta ufficiale dell'Unione europea IT
nel presente regolamento, tenuto conto della necessità di ottemperare all'obbligo legale al quale il titolare del
trattamento è soggetto o della necessità di esecuzione di un contratto di cui l'interessato è parte o di esecuzione
di misure precontrattuali adottate su richiesta dello stesso.
(41) Qualora il presente regolamento faccia riferimento a una base giuridica o a una misura legislativa, ciò non
richiede necessariamente l'adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni
dell'ordinamento costituzionale dello Stato membro interessato. Tuttavia, tale base giuridica o misura legislativa
dovrebbe essere chiara e precisa, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in
conformità della giurisprudenza della Corte di giustizia dell'Unione europea (la «Corte di giustizia») e della Corte
europea dei diritti dell'uomo.
(42) Per i trattamenti basati sul consenso dell'interessato, il titolare del trattamento dovrebbe essere in grado di
dimostrare che l'interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta
relativa a un'altra questione dovrebbero esistere garanzie che assicurino che l'interessato sia consapevole del fatto
di esprimere un consenso e della misura in cui ciò avviene. In conformità della direttiva 93/13/CEE del
Consiglio ( 1 ) è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una
forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole
abusive. Ai fini di un consenso informato, l'interessato dovrebbe essere posto a conoscenza almeno dell'identità
del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non
dovrebbe essere considerato liberamente espresso se l'interessato non è in grado di operare una scelta autenti
camente libera o è nell'impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.
(43) Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido
presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra
l'interessato e il titolare del trattamento, specie quando il titolare del trattamento è un'autorità pubblica e ciò
rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione
specifica. Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso
separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l'esecuzione di
un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario
per tale esecuzione.
(44) Il trattamento dovrebbe essere considerato lecito se è necessario nell'ambito di un contratto o ai fini della
conclusione di un contratto.
(45) È opportuno che il trattamento effettuato in conformità a un obbligo legale al quale il titolare del trattamento è
soggetto o necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici
poteri sia basato sul diritto dell'Unione o di uno Stato membro. Il presente regolamento non impone che vi sia
un atto legislativo specifico per ogni singolo trattamento. Un atto legislativo può essere sufficiente come base per
più trattamenti effettuati conformemente a un obbligo legale cui è soggetto il titolare del trattamento o se il
trattamento è necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici
poteri. Dovrebbe altresì spettare al diritto dell'Unione o degli Stati membri stabilire la finalità del trattamento.
Inoltre, tale atto legislativo potrebbe precisare le condizioni generali del presente regolamento che presiedono alla
liceità del trattamento dei dati personali, prevedere le specificazioni per stabilire il titolare del trattamento, il tipo
di dati personali oggetto del trattamento, gli interessati, i soggetti cui possono essere comunicati i dati personali,
le limitazioni della finalità, il periodo di conservazione e altre misure per garantire un trattamento lecito e
corretto. Dovrebbe altresì spettare al diritto dell'Unione o degli Stati membri stabilire se il titolare del trattamento
che esegue un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri debba essere una pubblica
autorità o altra persona fisica o giuridica di diritto pubblico o, qualora sia nel pubblico interesse, anche per
finalità inerenti alla salute, quali la sanità pubblica e la protezione sociale e la gestione dei servizi di assistenza
sanitaria, di diritto privato, quale un'associazione professionale.
(46) Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un
interesse essenziale per la vita dell'interessato o di un'altra persona fisica. Il trattamento di dati personali fondato
4.5.2016 L 119/8 Gazzetta ufficiale dell'Unione europea IT
( 1 ) Direttiva 93/13/CEE del Consiglio, del 5 aprile 1993, concernente le clausole abusive nei contratti stipulati con i consumatori (GU L 95
del 21.4.1993, pag. 29).
sull'interesse vitale di un'altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento
non può essere manifestamente fondato su un'altra base giuridica. Alcuni tipi di trattamento dei dati personali
possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell'interessato, per esempio
se il trattamento è necessario a fini umanitari, tra l'altro per tenere sotto controllo l'evoluzione di epidemie e la
loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.
(47) I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati
personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a
condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, tenuto conto delle
ragionevoli aspettative nutrite dall'interessato in base alla sua relazione con il titolare del trattamento. Ad
esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra
l'interessato e il titolare del trattamento, ad esempio quando l'interessato è un cliente o è alle dipendenze del
titolare del trattamento. In ogni caso, l'esistenza di legittimi interessi richiede un'attenta valutazione anche in
merito all'eventualità che l'interessato, al momento e nell'ambito della raccolta dei dati personali, possa ragione
volmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell'interessato
potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati
in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati
personali. Posto che spetta al legislatore prevedere per legge la base giuridica che autorizza le autorità pubbliche a
trattare i dati personali, la base giuridica per un legittimo interesse del titolare del trattamento non dovrebbe
valere per il trattamento effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti. Costituisce parimenti
legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di
prevenzione delle frodi. Può essere considerato legittimo interesse trattare dati personali per finalità di marketing
diretto.
(48) I titolari del trattamento facenti parte di un gruppo imprenditoriale o di enti collegati a un organismo centrale
possono avere un interesse legittimo a trasmettere dati personali all'interno del gruppo imprenditoriale a fini
amministrativi interni, compreso il trattamento di dati personali dei clienti o dei dipendenti. Sono fatti salvi i
principi generali per il trasferimento di dati personali, all'interno di un gruppo imprenditoriale, verso un'impresa
situata in un paese terzo.
(49) Costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in
misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell'informazione, vale a dire
la capacità di una rete o di un sistema d'informazione di resistere, a un dato livello di sicurezza, a eventi
imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei
dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e
sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di
intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione
elettronica e fornitori di tecnologie e servizi di sicurezza. Ciò potrebbe, ad esempio, includere misure atte a
impedire l'accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre
termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica.
(50) Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente
raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati
inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la
raccolta dei dati personali. Se il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o
per l'esercizio di pubblici poteri di cui è investito il titolare del trattamento, il diritto dell'Unione o degli Stati
membri può stabilire e precisare le finalità e i compiti per i quali l'ulteriore trattamento è considerato lecito e
compatibile. L'ulteriore trattamento a fini di archiviazione nel pubblico interesse, o di ricerca scientifica o storica
o a fini statistici dovrebbe essere considerato un trattamento lecito e compatibile. La base giuridica fornita dal
diritto dell'Unione o degli Stati membri per il trattamento dei dati personali può anche costituire una base
giuridica per l'ulteriore trattamento. Per accertare se la finalità di un ulteriore trattamento sia compatibile con la
finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento dovrebbe, dopo aver
soddisfatto tutti i requisiti per la liceità del trattamento originario, tener conto tra l'altro di ogni nesso tra tali
finalità e le finalità dell'ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in
4.5.2016 L 119/9 Gazzetta ufficiale dell'Unione europea IT
particolare le ragionevoli aspettative dell'interessato in base alla sua relazione con il titolare del trattamento con
riguardo al loro ulteriore utilizzo; della natura dei dati personali; delle conseguenze dell'ulteriore trattamento
previsto per gli interessati; e dell'esistenza di garanzie adeguate sia nel trattamento originario sia nell'ulteriore
trattamento previsto.
Ove l'interessato abbia prestato il suo consenso o il trattamento si basi sul diritto dell'Unione o degli Stati
membri che costituisce una misura necessaria e proporzionata in una società democratica per salvaguardare, in
particolare, importanti obiettivi di interesse pubblico generale, il titolare del trattamento dovrebbe poter
sottoporre i dati personali a ulteriore trattamento a prescindere dalla compatibilità delle finalità. In ogni caso,
dovrebbe essere garantita l'applicazione dei principi stabiliti dal presente regolamento, in particolare l'obbligo di
informare l'interessato di tali altre finalità e dei suoi diritti, compreso il diritto di opporsi. L'indicazione da parte
del titolare del trattamento di possibili reati o minacce alla sicurezza pubblica e la trasmissione dei dati personali
pertinenti a un'autorità competente in singoli casi o in più casi riguardanti lo stesso reato o la stessa minaccia alla
sicurezza pubblica dovrebbero essere considerate nell'interesse legittimo perseguito dal titolare del trattamento.
Tuttavia, tale trasmissione nell'interesse legittimo del titolare del trattamento o l'ulteriore trattamento dei dati
personali dovrebbero essere vietati se il trattamento non è compatibile con un obbligo vincolante di segretezza, di
natura giuridica, professionale o di altro genere.
(51) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il
profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare
rischi significativi per i diritti e le libertà fondamentali. Tra tali dati personali dovrebbero essere compresi anche i
dati personali che rivelano l'origine razziale o etnica, essendo inteso che l'utilizzo dei termini «origine razziale»
nel presente regolamento non implica l'accettazione da parte dell'Unione di teorie che tentano di dimostrare
l'esistenza di razze umane distinte. Il trattamento di fotografie non dovrebbe costituire sistematicamente un
trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici
soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l'identificazione univoca
o l'autenticazione di una persona fisica. Tali dati personali non dovrebbero essere oggetto di trattamento, a meno
che il trattamento non sia consentito nei casi specifici di cui al presente regolamento, tenendo conto del fatto che
il diritto degli Stati membri può stabilire disposizioni specifiche sulla protezione dei dati per adeguare l'appli
cazione delle norme del presente regolamento ai fini della conformità a un obbligo legale o dell'esecuzione di un
compito di interesse pubblico o per l'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Oltre
ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente
regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere
espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l'altro se l'inte
ressato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è
eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l'esercizio
delle libertà fondamentali.
(52) La deroga al divieto di trattare categorie particolari di dati personali dovrebbe essere consentita anche quando è
prevista dal diritto dell'Unione o degli Stati membri, fatte salve adeguate garanzie, per proteggere i dati personali
e altri diritti fondamentali, laddove ciò avvenga nell'interesse pubblico, in particolare il trattamento dei dati
personali nel settore del diritto del lavoro e della protezione sociale, comprese le pensioni, e per finalità di
sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi
alla salute. Tale deroga può avere luogo per finalità inerenti alla salute, compresa la sanità pubblica e la gestione
dei servizi di assistenza sanitaria, soprattutto al fine di assicurare la qualità e l'economicità delle procedure per
soddisfare le richieste di prestazioni e servizi nell'ambito del regime di assicurazione sanitaria, o a fini di
archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici. La deroga dovrebbe anche
consentire di trattare tali dati personali se necessario per accertare, esercitare o difendere un diritto, che sia in
sede giudiziale, amministrativa o stragiudiziale.
(53) Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate
soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e
dell'intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale,
compreso il trattamento di tali dati da parte della dirigenza e delle autorità sanitarie nazionali centrali a fini di
controllo della qualità, informazione sulla gestione e supervisione nazionale e locale generale del sistema di
assistenza sanitaria o sociale, nonché per garantire la continuità dell'assistenza sanitaria o sociale e dell'assistenza
sanitaria transfrontaliera o per finalità di sicurezza sanitaria, controllo e allerta o a fini di archiviazione nel
4.5.2016 L 119/10 Gazzetta ufficiale dell'Unione europea IT
pubblico interesse, di ricerca scientifica o storica o a fini statistici in base al diritto dell'Unione o nazionale che
deve perseguire un obiettivo di interesse pubblico, nonché per studi svolti nel pubblico interesse nell'ambito della
sanità pubblica. Pertanto il presente regolamento dovrebbe prevedere condizioni armonizzate per il trattamento
di categorie particolari di dati personali relativi alla salute in relazione a esigenze specifiche, in particolare qualora
il trattamento di tali dati sia svolto da persone vincolate dal segreto professionale per talune finalità connesse alla
salute. Il diritto dell'Unione o degli Stati membri dovrebbe prevedere misure specifiche e appropriate a protezione
dei diritti fondamentali e dei dati personali delle persone fisiche. Gli Stati membri dovrebbero rimanere liberi di
mantenere o introdurre ulteriori condizioni, fra cui limitazioni, con riguardo al trattamento di dati genetici, dati
biometrici o dati relativi alla salute, senza tuttavia ostacolare la libera circolazione dei dati personali all'interno
dell'Unione quando tali condizioni si applicano al trattamento transfrontaliero degli stessi.
(54) Il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei
settori della sanità pubblica, senza il consenso dell'interessato. Tale trattamento dovrebbe essere soggetto a misure
appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche. In tale contesto, la nozione di
«sanità pubblica» dovrebbe essere interpretata secondo la definizione del regolamento (CE) n. 1338/2008 del
Parlamento europeo e del Consiglio ( 1 ): tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e
disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza
sanitaria, le risorse destinate all'assistenza sanitaria, la prestazione di assistenza sanitaria e l'accesso universale a
essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità. Il trattamento dei dati relativi alla salute
effettuato per motivi di interesse pubblico non dovrebbe comportare il trattamento dei dati personali per altre
finalità da parte di terzi, quali datori di lavoro, compagnie di assicurazione e istituti di credito.
(55) Inoltre, è effettuato per motivi di interesse pubblico il trattamento di dati personali a
Condizioni di vendita
Contatto
(Atti legislativi)
REGOLAMENTI
REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 27 aprile 2016
relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché
alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla
protezione dei dati)
(Testo rilevante ai fini del SEE)
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16,
vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere del Comitato economico e sociale europeo ( 1 ),
visto il parere del Comitato delle regioni ( 2 ),
deliberando secondo la procedura legislativa ordinaria ( 3 ),
considerando quanto segue:
(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto
fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea («Carta») e
l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea («TFUE») stabiliscono che ogni
persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
(2) I principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali dovrebbero
rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali, a
prescindere dalla loro nazionalità o dalla loro residenza. Il presente regolamento è inteso a contribuire alla realiz
zazione di uno spazio di libertà, sicurezza e giustizia e di un'unione economica, al progresso economico e
sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone
fisiche.
(3) La direttiva 95/46/CE del Parlamento europeo e del Consiglio ( 4 ) ha come obiettivo di armonizzare la tutela dei
diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati e assicurare la
libera circolazione dei dati personali tra Stati membri.
4.5.2016 L 119/1 Gazzetta ufficiale dell'Unione europea IT
( 1 ) GU C 229 del 31.7.2012, pag. 90.
( 2 ) GU C 391 del 18.12.2012, pag. 127.
( 3 ) Posizione del Parlamento europeo del 12 marzo 2014 (non ancora pubblicata nella Gazzetta ufficiale) e posizione del Consiglio in prima
lettura dell'8 aprile 2016 (non ancora pubblicata nella Gazzetta ufficiale). Posizione del Parlamento europeo del 14 aprile 2016.
( 4 ) Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).
(4) Il trattamento dei dati personali dovrebbe essere al servizio dell'uomo. Il diritto alla protezione dei dati di
carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va
contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento
rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in
particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati
personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, la libertà
d'impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e
linguistica.
(5) L'integrazione economica e sociale conseguente al funzionamento del mercato interno ha condotto a un conside
revole aumento dei flussi transfrontalieri di dati personali e quindi anche dei dati personali scambiati, in tutta
l'Unione, tra attori pubblici e privati, comprese persone fisiche, associazioni e imprese. Il diritto dell'Unione
impone alle autorità nazionali degli Stati membri di cooperare e scambiarsi dati personali per essere in grado di
svolgere le rispettive funzioni o eseguire compiti per conto di un'autorità di un altro Stato membro.
(6) La rapidità dell'evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati
personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La
tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali,
come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono
disponibili al pubblico su scala mondiale informazioni personali che li riguardano. La tecnologia ha trasformato
l'economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali
all'interno dell'Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al
tempo stesso un elevato livello di protezione dei dati personali.
(7) Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati nell'Unione, affiancato
da efficaci misure di attuazione, data l'importanza di creare il clima di fiducia che consentirà lo sviluppo dell'e
conomia digitale in tutto il mercato interno. È opportuno che le persone fisiche abbiano il controllo dei dati
personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche
quanto per gli operatori economici e le autorità pubbliche.
(8) Ove il presente regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati
membri, gli Stati membri possono, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali
comprensibili alle persone cui si applicano, integrare elementi del presente regolamento nel proprio diritto
nazionale.
(9) Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammen
tazione dell'applicazione della protezione dei dati personali nel territorio dell'Unione, né ha eliminato l'incertezza
giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino
rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle
libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al
trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all'interno
dell'Unione. Tali differenze possono pertanto costituire un freno all'esercizio delle attività economiche su scala
dell'Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal
diritto dell'Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell'attuare e applicare la
direttiva 95/46/CE.
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla
circolazione dei dati personali all'interno dell'Unione, il livello di protezione dei diritti e delle libertà delle persone
fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno
assicurare un'applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali
delle persone fisiche con riguardo al trattamento dei dati personali in tutta l'Unione. Per quanto riguarda il
trattamento dei dati personali per l'adempimento di un obbligo legale, per l'esecuzione di un compito di interesse
pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri
dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l'appli
cazione delle norme del presente regolamento. In combinato disposto con la legislazione generale e orizzontale
in materia di protezione dei dati che attua la direttiva 95/46/CE gli Stati membri dispongono di varie leggi
settoriali in settori che richiedono disposizioni più specifiche. Il presente regolamento prevede anche un margine
di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari
di dati personali («dati sensibili»). In tal senso, il presente regolamento non esclude che il diritto degli Stati
membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore
precisione le condizioni alle quali il trattamento di dati personali è lecito.
4.5.2016 L 119/2 Gazzetta ufficiale dell'Unione europea IT
(11) Un'efficace protezione dei dati personali in tutta l'Unione presuppone il rafforzamento e la disciplina dettagliata
dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali,
nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e
sanzioni equivalenti per le violazioni negli Stati membri.
(12) L'articolo 16, paragrafo 2, TFUE conferisce al Parlamento europeo e al Consiglio il mandato di stabilire le norme
relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale e le norme
relative alla libera circolazione di tali dati.
(13) Per assicurare un livello coerente di protezione delle persone fisiche in tutta l'Unione e prevenire disparità che
possono ostacolare la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che
garantisca certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese,
offra alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsa
bilità dei titolari del trattamento e dei responsabili del trattamento e assicuri un monitoraggio coerente del
trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le
autorità di controllo dei diversi Stati membri. Per il buon funzionamento del mercato interno è necessario che la
libera circolazione dei dati personali all'interno dell'Unione non sia limitata né vietata per motivi attinenti alla
protezione delle persone fisiche con riguardo al trattamento dei dati personali. Per tener conto della specifica
situazione delle micro, piccole e medie imprese, il presente regolamento prevede una deroga per le organizzazioni
che hanno meno di 250 dipendenti per quanto riguarda la conservazione delle registrazioni. Inoltre, le istituzioni
e gli organi dell'Unione e gli Stati membri e le loro autorità di controllo sono invitati a considerare le esigenze
specifiche delle micro, piccole e medie imprese nell'applicare il presente regolamento. La nozione di micro,
piccola e media impresa dovrebbe ispirarsi all'articolo 2 dell'allegato della raccomandazione 2003/361/CE della
Commissione ( 1 ).
(14) È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere
dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente
regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese
dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto.
(15) Al fine di evitare l'insorgere di gravi rischi di elusione, la protezione delle persone fisiche dovrebbe essere neutrale
sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate. La protezione delle persone fisiche
dovrebbe applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati
personali sono contenuti o destinati a essere contenuti in un archivio. Non dovrebbero rientrare nell'ambito di
applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici,
così come le rispettive copertine.
(16) Il presente regolamento non si applica a questioni di tutela dei diritti e delle libertà fondamentali o di libera
circolazione dei dati personali riferite ad attività che non rientrano nell'ambito di applicazione del diritto
dell'Unione, quali le attività riguardanti la sicurezza nazionale. Il presente regolamento non si applica al
trattamento dei dati personali effettuato dagli Stati membri nell'esercizio di attività relative alla politica estera e di
sicurezza comune dell'Unione.
(17) Il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio ( 2 ) si applica al trattamento di dati
personali effettuato da istituzioni, organi, uffici e agenzie dell'Unione. Il regolamento (CE) n. 45/2001 e gli altri
atti giuridici dell'Unione applicabili a tale trattamento di dati personali dovrebbero essere adeguati ai principi e
alle norme stabiliti dal presente regolamento e applicati alla luce dello stesso. Per offrire un quadro di protezione
dei dati solido e coerente nell'Unione, si dovrebbe procedere, successivamente all'adozione del presente
regolamento, ai necessari adeguamenti del regolamento (CE) n. 45/2001, al fine di consentirne l'applicazione
contemporaneamente al presente regolamento.
(18) Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell'ambito
di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un'attività
commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la
4.5.2016 L 119/3 Gazzetta ufficiale dell'Unione europea IT
( 1 ) Raccomandazione della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese
(C(2003) 1422) (GU L 124 del 20.5.2003, pag. 36).
( 2 ) Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche
in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali
dati (GU L 8 del 12.1.2001, pag. 1).
corrispondenza e gli indirizzari, o l'uso dei social network e attività online intraprese nel quadro di tali attività.
Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che
forniscono i mezzi per trattare dati personali nell'ambito di tali attività a carattere personale o domestico.
(19) La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità
competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni
penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione
di tali dati sono oggetto di uno specifico atto dell'Unione. Il presente regolamento non dovrebbe pertanto
applicarsi ai trattamenti effettuati per tali finalità. I dati personali trattati dalle autorità pubbliche in forza del
presente regolamento, quando utilizzati per tali finalità, dovrebbero invece essere disciplinati da un più specifico
atto dell'Unione, segnatamente la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio ( 1 ). Gli Stati
membri possono conferire alle autorità competenti ai sensi della direttiva (UE) 2016/680 altri compiti che non
siano necessariamente svolti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione
di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, affinché il
trattamento di dati personali per tali altre finalità, nella misura in cui ricada nell'ambito di applicazione del diritto
dell'Unione, rientri nell'ambito di applicazione del presente regolamento.
Con riguardo al trattamento dei dati personali da parte di tali autorità competenti per finalità rientranti
nell'ambito di applicazione del presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre
disposizioni più specifiche per adattare l'applicazione delle disposizioni del presente regolamento. Tali
disposizioni possono determinare con maggiore precisione requisiti specifici per il trattamento di dati personali
da parte di dette autorità competenti per tali altre finalità, tenuto conto della struttura costituzionale, organiz
zativa e amministrativa dei rispettivi Stati membri. Quando il trattamento dei dati personali effettuato da
organismi privati rientra nell'ambito di applicazione del presente regolamento, è opportuno che lo stesso preveda
la facoltà per gli Stati membri, a determinate condizioni, di adottare disposizioni legislative intese a limitare
determinati obblighi e diritti, qualora tale limitazione costituisca una misura necessaria e proporzionata in una
società democratica per la salvaguardia di importanti interessi specifici, comprese la sicurezza pubblica e le
attività di prevenzione, indagine, accertamento e perseguimento di reati o l'esecuzione di sanzioni penali, incluse
la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica. Ciò riveste particolare importanza ad
esempio nel quadro del riciclaggio o di attività di medicina legale.
(20) Sebbene il presente regolamento si applichi, tra l'altro, anche alle attività delle autorità giurisdizionali e di altre
autorità giudiziarie, il diritto dell'Unione o degli Stati membri potrebbe specificare le operazioni e le procedure di
trattamento relativamente al trattamento dei dati personali effettuato da autorità giurisdizionali e da altre autorità
giudiziarie. Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati
personali effettuato dalle autorità giurisdizionali nell'adempimento delle loro funzioni giurisdizionali, al fine di
salvaguardare l'indipendenza della magistratura nell'adempimento dei suoi compiti giurisdizionali, compreso il
processo decisionale. Si dovrebbe poter affidare il controllo su tali trattamenti di dati ad organismi specifici
all'interno del sistema giudiziario dello Stato membro, che dovrebbero in particolare assicurare la conformità alle
norme del presente regolamento, rafforzare la consapevolezza della magistratura con riguardo agli obblighi che
alla stessa derivano dal presente regolamento ed esaminare i reclami in relazione a tali operazioni di trattamento
dei dati.
(21) Il presente regolamento non pregiudica l'applicazione della direttiva 2000/31/CE del Parlamento europeo e del
Consiglio ( 2 ), in particolare delle norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli
articoli da 12 a 15 della medesima direttiva. Detta direttiva mira a contribuire al buon funzionamento del
mercato interno garantendo la libera circolazione dei servizi della società dell'informazione tra Stati membri.
(22) Qualsiasi trattamento di dati personali effettuato nell'ambito delle attività di uno stabilimento di un titolare del
trattamento o responsabile del trattamento nel territorio dell'Unione dovrebbe essere conforme al presente
regolamento, indipendentemente dal fatto che il trattamento avvenga all'interno dell'Unione. Lo stabilimento
implica l'effettivo e reale svolgimento di attività nel quadro di un'organizzazione stabile. A tale riguardo, non è
determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.
4.5.2016 L 119/4 Gazzetta ufficiale dell'Unione europea IT
( 1 ) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, concernente la tutela delle persone fisiche con
riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e
perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI
del Consiglio (Cfr. pagina 89 della presente Gazzetta ufficiale).
( 2 ) Direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell'8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della
società dell'informazione, in particolare il commercio elettronico, nel mercato interno («Direttiva sul commercio elettronico») (GU L 178
del 17.7.2000, pag. 1).
(23) Onde evitare che una persona fisica venga privata della protezione cui ha diritto in base al presente regolamento,
è opportuno che questo disciplini il trattamento dei dati personali degli interessati che si trovano nell'Unione
effettuato da un titolare del trattamento o da un responsabile del trattamento non stabilito nell'Unione, quando le
attività di trattamento sono connesse all'offerta di beni o servizi a detti interessati indipendentemente dal fatto
che vi sia un pagamento correlato. Per determinare se tale titolare o responsabile del trattamento stia offrendo
beni o servizi agli interessati che si trovano nell'Unione, è opportuno verificare se risulta che il titolare o il
responsabile del trattamento intenda fornire servizi agli interessati in uno o più Stati membri dell'Unione. Mentre
la semplice accessibilità del sito web del titolare del trattamento, del responsabile del trattamento o di un interme
diario nell'Unione, di un indirizzo di posta elettronica o di altre coordinate di contatto o l'impiego di una lingua
abitualmente utilizzata nel paese terzo in cui il titolare del trattamento è stabilito sono insufficienti per accertare
tale intenzione, fattori quali l'utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati
membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si
trovano nell'Unione possono evidenziare l'intenzione del titolare o del responsabile del trattamento di offrire beni
o servizi agli interessati nell'Unione.
(24) È opportuno che anche il trattamento dei dati personali degli interessati che si trovano nell'Unione ad opera di un
titolare del trattamento o di un responsabile del trattamento non stabilito nell'Unione sia soggetto al presente
regolamento quando è riferito al monitoraggio del comportamento di detti interessati, nella misura in cui tale
comportamento ha luogo all'interno dell'Unione. Per stabilire se un'attività di trattamento sia assimilabile al
controllo del comportamento dell'interessato, è opportuno verificare se le persone fisiche sono tracciate su
internet, compreso l'eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella
profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o
prevederne le preferenze, i comportamenti e le posizioni personali.
(25) Laddove vige il diritto di uno Stato membro in virtù del diritto internazionale pubblico, ad esempio nella rappre
sentanza diplomatica o consolare di uno Stato membro, il presente regolamento dovrebbe applicarsi anche a un
titolare del trattamento non stabilito nell'Unione.
(26) È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica
identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a
una persona fisica mediante l'utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una
persona fisica identificabile. Per stabilire l'identificabilità di una persona è opportuno considerare tutti i mezzi,
come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare
detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi
per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i
costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del
trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a
informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identifi
cabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione
dell'interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime,
anche per finalità statistiche o di ricerca.
(27) Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono
prevedere norme riguardanti il trattamento dei dati personali delle persone decedute.
(28) L'applicazione della pseudonimizzazione ai dati personali può ridurre i rischi per gli interessati e aiutare i titolari
del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati. L'introduzione
esplicita della «pseudonimizzazione» nel presente regolamento non è quindi intesa a precludere altre misure di
protezione dei dati.
(29) Al fine di creare incentivi per l'applicazione della pseudonimizzazione nel trattamento dei dati personali,
dovrebbero essere possibili misure di pseudonimizzazione con possibilità di analisi generale all'interno dello
stesso titolare del trattamento, qualora il titolare del trattamento abbia adottato le misure tecniche e organizzative
necessarie ad assicurare, per il trattamento interessato, l'attuazione del presente regolamento, e che le
informazioni aggiuntive per l'attribuzione dei dati personali a un interessato specifico siano conservate separa
tamente. Il titolare del trattamento che effettua il trattamento dei dati personali dovrebbe indicare le persone
autorizzate all'interno dello stesso titolare del trattamento.
4.5.2016 L 119/5 Gazzetta ufficiale dell'Unione europea IT
(30) Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli
strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di
altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in
particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere
utilizzate per creare profili delle persone fisiche e identificarle.
(31) Le autorità pubbliche a cui i dati personali sono comunicati conformemente a un obbligo legale ai fini dell'e
sercizio della loro missione istituzionale, quali autorità fiscali e doganali, unità di indagine finanziaria, autorità
amministrative indipendenti o autorità dei mercati finanziari, responsabili della regolamentazione e della vigilanza
dei mercati dei valori mobiliari, non dovrebbero essere considerate destinatari qualora ricevano dati personali che
sono necessari per svolgere una specifica indagine nell'interesse generale, conformemente al diritto dell'Unione o
degli Stati membri. Le richieste di comunicazione inviate dalle autorità pubbliche dovrebbero sempre essere
scritte, motivate e occasionali e non dovrebbero riguardare un intero archivio o condurre all'interconnessione di
archivi. Il trattamento di tali dati personali da parte delle autorità pubbliche dovrebbe essere conforme alle norme
in materia di protezione dei dati applicabili secondo le finalità del trattamento.
(32) Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta
l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo
riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe
comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della
società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente
in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il
silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento
svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere
prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve
essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.
(33) In molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca
scientifica al momento della raccolta dei dati. Pertanto, dovrebbe essere consentito agli interessati di prestare il
proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche
riconosciute per la ricerca scientifica. Gli interessati dovrebbero avere la possibilità di prestare il proprio consenso
soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista.
(34) È opportuno che per dati genetici si intendano i dati personali relativi alle caratteristiche genetiche, ereditarie o
acquisite, di una persona fisica, che risultino dall'analisi di un campione biologico della persona fisica in
questione, in particolare dall'analisi dei cromosomi, dell'acido desossiribonucleico (DNA) o dell'acido ribonucleico
(RNA), ovvero dall'analisi di un altro elemento che consenta di ottenere informazioni equivalenti.
(35) Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato
che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso.
Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere
servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo
e del Consiglio ( 1 ); un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla
in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o
una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad
esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato
fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro
operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.
(36) Lo stabilimento principale di un titolare del trattamento nell'Unione dovrebbe essere il luogo in cui ha sede la sua
amministrazione centrale nell'Unione, a meno che le decisioni sulle finalità e i mezzi del trattamento di dati
personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione, nel qual caso tale altro
stabilimento dovrebbe essere considerato lo stabilimento principale. Lo stabilimento principale di un titolare del
4.5.2016 L 119/6 Gazzetta ufficiale dell'Unione europea IT
( 1 ) Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l'applicazione dei diritti dei pazienti
relativi all'assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).
trattamento nell'Unione dovrebbe essere determinato in base a criteri obiettivi e implicare l'effettivo e reale
svolgimento di attività di gestione finalizzate alle principali decisioni sulle finalità e sui mezzi del trattamento nel
quadro di un'organizzazione stabile. Tale criterio non dovrebbe dipendere dal fatto che i dati personali siano
trattati in quella sede. La presenza o l'uso di mezzi tecnici e tecnologie di trattamento di dati personali o di
attività di trattamento non costituiscono di per sé lo stabilimento principale né sono quindi criteri determinanti
della sua esistenza. Per quanto riguarda il responsabile del trattamento, per «stabilimento principale» dovrebbe
intendersi il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se non dispone di un'ammini
strazione centrale nell'Unione, il luogo in cui sono condotte le principali attività di trattamento nell'Unione. In
caso di coinvolgimento sia del titolare del trattamento sia del responsabile del trattamento, l'autorità di controllo
competente capofila dovrebbe continuare a essere l'autorità di controllo dello Stato membro in cui il titolare del
trattamento ha lo stabilimento principale, ma l'autorità di controllo del responsabile del trattamento dovrebbe
essere considerata autorità di controllo interessata e tale autorità di controllo dovrebbe partecipare alla procedura
di cooperazione prevista dal presente regolamento. In ogni caso, le autorità di controllo dello Stato membro o
degli Stati membri in cui il responsabile del trattamento ha uno o più stabilimenti non dovrebbero essere
considerate autorità di controllo interessate quando il progetto di decisione riguarda soltanto il titolare del
trattamento. Se il trattamento è effettuato da un gruppo imprenditoriale, lo stabilimento principale dell'impresa
controllante dovrebbe essere considerato lo stabilimento principale del gruppo di imprese, tranne nei casi in cui
le finalità e i mezzi del trattamento sono stabiliti da un'altra impresa.
(37) Un gruppo imprenditoriale dovrebbe costituirsi di un'impresa controllante e delle sue controllate, là dove
l'impresa controllante dovrebbe essere quella che può esercitare un'influenza dominante sulle controllate in forza,
ad esempio, della proprietà, della partecipazione finanziaria o delle norme societarie o del potere di fare applicare
le norme in materia di protezione dei dati personali. Un'impresa che controlla il trattamento dei dati personali in
imprese a essa collegate dovrebbe essere considerata, unitamente a tali imprese, quale «gruppo imprenditoriale».
(38) I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno
consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in
relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l'utilizzo
dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di
dati personali relativi ai minori all'atto dell'utilizzo di servizi forniti direttamente a un minore. Il consenso del
titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di
consulenza forniti direttamente a un minore.
(39) Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le
persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li
riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone
che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e
comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l'infor
mazione degli interessati sull'identità del titolare del trattamento e sulle finalità del trattamento e ulteriori
informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai
loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano. È
opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al
trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In
particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e
precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e
limitati a quanto necessario per le finalità del loro trattamento. Da qui l'obbligo, in particolare, di assicurare che il
periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere
trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare
che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire
un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli
affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da
garantirne un'adeguata sicurezza e riservatezza, anche per impedire l'accesso o l'utilizzo non autorizzato dei dati
personali e delle attrezzature impiegate per il trattamento.
(40) Perché sia lecito, il trattamento di dati personali dovrebbe fondarsi sul consenso dell'interessato o su altra base
legittima prevista per legge dal presente regolamento o dal diritto dell'Unione o degli Stati membri, come indicato
4.5.2016 L 119/7 Gazzetta ufficiale dell'Unione europea IT
nel presente regolamento, tenuto conto della necessità di ottemperare all'obbligo legale al quale il titolare del
trattamento è soggetto o della necessità di esecuzione di un contratto di cui l'interessato è parte o di esecuzione
di misure precontrattuali adottate su richiesta dello stesso.
(41) Qualora il presente regolamento faccia riferimento a una base giuridica o a una misura legislativa, ciò non
richiede necessariamente l'adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni
dell'ordinamento costituzionale dello Stato membro interessato. Tuttavia, tale base giuridica o misura legislativa
dovrebbe essere chiara e precisa, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in
conformità della giurisprudenza della Corte di giustizia dell'Unione europea (la «Corte di giustizia») e della Corte
europea dei diritti dell'uomo.
(42) Per i trattamenti basati sul consenso dell'interessato, il titolare del trattamento dovrebbe essere in grado di
dimostrare che l'interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta
relativa a un'altra questione dovrebbero esistere garanzie che assicurino che l'interessato sia consapevole del fatto
di esprimere un consenso e della misura in cui ciò avviene. In conformità della direttiva 93/13/CEE del
Consiglio ( 1 ) è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una
forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole
abusive. Ai fini di un consenso informato, l'interessato dovrebbe essere posto a conoscenza almeno dell'identità
del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non
dovrebbe essere considerato liberamente espresso se l'interessato non è in grado di operare una scelta autenti
camente libera o è nell'impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.
(43) Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido
presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra
l'interessato e il titolare del trattamento, specie quando il titolare del trattamento è un'autorità pubblica e ciò
rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione
specifica. Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso
separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l'esecuzione di
un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario
per tale esecuzione.
(44) Il trattamento dovrebbe essere considerato lecito se è necessario nell'ambito di un contratto o ai fini della
conclusione di un contratto.
(45) È opportuno che il trattamento effettuato in conformità a un obbligo legale al quale il titolare del trattamento è
soggetto o necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici
poteri sia basato sul diritto dell'Unione o di uno Stato membro. Il presente regolamento non impone che vi sia
un atto legislativo specifico per ogni singolo trattamento. Un atto legislativo può essere sufficiente come base per
più trattamenti effettuati conformemente a un obbligo legale cui è soggetto il titolare del trattamento o se il
trattamento è necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici
poteri. Dovrebbe altresì spettare al diritto dell'Unione o degli Stati membri stabilire la finalità del trattamento.
Inoltre, tale atto legislativo potrebbe precisare le condizioni generali del presente regolamento che presiedono alla
liceità del trattamento dei dati personali, prevedere le specificazioni per stabilire il titolare del trattamento, il tipo
di dati personali oggetto del trattamento, gli interessati, i soggetti cui possono essere comunicati i dati personali,
le limitazioni della finalità, il periodo di conservazione e altre misure per garantire un trattamento lecito e
corretto. Dovrebbe altresì spettare al diritto dell'Unione o degli Stati membri stabilire se il titolare del trattamento
che esegue un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri debba essere una pubblica
autorità o altra persona fisica o giuridica di diritto pubblico o, qualora sia nel pubblico interesse, anche per
finalità inerenti alla salute, quali la sanità pubblica e la protezione sociale e la gestione dei servizi di assistenza
sanitaria, di diritto privato, quale un'associazione professionale.
(46) Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un
interesse essenziale per la vita dell'interessato o di un'altra persona fisica. Il trattamento di dati personali fondato
4.5.2016 L 119/8 Gazzetta ufficiale dell'Unione europea IT
( 1 ) Direttiva 93/13/CEE del Consiglio, del 5 aprile 1993, concernente le clausole abusive nei contratti stipulati con i consumatori (GU L 95
del 21.4.1993, pag. 29).
sull'interesse vitale di un'altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento
non può essere manifestamente fondato su un'altra base giuridica. Alcuni tipi di trattamento dei dati personali
possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell'interessato, per esempio
se il trattamento è necessario a fini umanitari, tra l'altro per tenere sotto controllo l'evoluzione di epidemie e la
loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.
(47) I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati
personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a
condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, tenuto conto delle
ragionevoli aspettative nutrite dall'interessato in base alla sua relazione con il titolare del trattamento. Ad
esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra
l'interessato e il titolare del trattamento, ad esempio quando l'interessato è un cliente o è alle dipendenze del
titolare del trattamento. In ogni caso, l'esistenza di legittimi interessi richiede un'attenta valutazione anche in
merito all'eventualità che l'interessato, al momento e nell'ambito della raccolta dei dati personali, possa ragione
volmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell'interessato
potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati
in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati
personali. Posto che spetta al legislatore prevedere per legge la base giuridica che autorizza le autorità pubbliche a
trattare i dati personali, la base giuridica per un legittimo interesse del titolare del trattamento non dovrebbe
valere per il trattamento effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti. Costituisce parimenti
legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di
prevenzione delle frodi. Può essere considerato legittimo interesse trattare dati personali per finalità di marketing
diretto.
(48) I titolari del trattamento facenti parte di un gruppo imprenditoriale o di enti collegati a un organismo centrale
possono avere un interesse legittimo a trasmettere dati personali all'interno del gruppo imprenditoriale a fini
amministrativi interni, compreso il trattamento di dati personali dei clienti o dei dipendenti. Sono fatti salvi i
principi generali per il trasferimento di dati personali, all'interno di un gruppo imprenditoriale, verso un'impresa
situata in un paese terzo.
(49) Costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in
misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell'informazione, vale a dire
la capacità di una rete o di un sistema d'informazione di resistere, a un dato livello di sicurezza, a eventi
imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei
dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e
sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di
intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione
elettronica e fornitori di tecnologie e servizi di sicurezza. Ciò potrebbe, ad esempio, includere misure atte a
impedire l'accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre
termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica.
(50) Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente
raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati
inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la
raccolta dei dati personali. Se il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o
per l'esercizio di pubblici poteri di cui è investito il titolare del trattamento, il diritto dell'Unione o degli Stati
membri può stabilire e precisare le finalità e i compiti per i quali l'ulteriore trattamento è considerato lecito e
compatibile. L'ulteriore trattamento a fini di archiviazione nel pubblico interesse, o di ricerca scientifica o storica
o a fini statistici dovrebbe essere considerato un trattamento lecito e compatibile. La base giuridica fornita dal
diritto dell'Unione o degli Stati membri per il trattamento dei dati personali può anche costituire una base
giuridica per l'ulteriore trattamento. Per accertare se la finalità di un ulteriore trattamento sia compatibile con la
finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento dovrebbe, dopo aver
soddisfatto tutti i requisiti per la liceità del trattamento originario, tener conto tra l'altro di ogni nesso tra tali
finalità e le finalità dell'ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in
4.5.2016 L 119/9 Gazzetta ufficiale dell'Unione europea IT
particolare le ragionevoli aspettative dell'interessato in base alla sua relazione con il titolare del trattamento con
riguardo al loro ulteriore utilizzo; della natura dei dati personali; delle conseguenze dell'ulteriore trattamento
previsto per gli interessati; e dell'esistenza di garanzie adeguate sia nel trattamento originario sia nell'ulteriore
trattamento previsto.
Ove l'interessato abbia prestato il suo consenso o il trattamento si basi sul diritto dell'Unione o degli Stati
membri che costituisce una misura necessaria e proporzionata in una società democratica per salvaguardare, in
particolare, importanti obiettivi di interesse pubblico generale, il titolare del trattamento dovrebbe poter
sottoporre i dati personali a ulteriore trattamento a prescindere dalla compatibilità delle finalità. In ogni caso,
dovrebbe essere garantita l'applicazione dei principi stabiliti dal presente regolamento, in particolare l'obbligo di
informare l'interessato di tali altre finalità e dei suoi diritti, compreso il diritto di opporsi. L'indicazione da parte
del titolare del trattamento di possibili reati o minacce alla sicurezza pubblica e la trasmissione dei dati personali
pertinenti a un'autorità competente in singoli casi o in più casi riguardanti lo stesso reato o la stessa minaccia alla
sicurezza pubblica dovrebbero essere considerate nell'interesse legittimo perseguito dal titolare del trattamento.
Tuttavia, tale trasmissione nell'interesse legittimo del titolare del trattamento o l'ulteriore trattamento dei dati
personali dovrebbero essere vietati se il trattamento non è compatibile con un obbligo vincolante di segretezza, di
natura giuridica, professionale o di altro genere.
(51) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il
profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare
rischi significativi per i diritti e le libertà fondamentali. Tra tali dati personali dovrebbero essere compresi anche i
dati personali che rivelano l'origine razziale o etnica, essendo inteso che l'utilizzo dei termini «origine razziale»
nel presente regolamento non implica l'accettazione da parte dell'Unione di teorie che tentano di dimostrare
l'esistenza di razze umane distinte. Il trattamento di fotografie non dovrebbe costituire sistematicamente un
trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici
soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l'identificazione univoca
o l'autenticazione di una persona fisica. Tali dati personali non dovrebbero essere oggetto di trattamento, a meno
che il trattamento non sia consentito nei casi specifici di cui al presente regolamento, tenendo conto del fatto che
il diritto degli Stati membri può stabilire disposizioni specifiche sulla protezione dei dati per adeguare l'appli
cazione delle norme del presente regolamento ai fini della conformità a un obbligo legale o dell'esecuzione di un
compito di interesse pubblico o per l'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Oltre
ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente
regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere
espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l'altro se l'inte
ressato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è
eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l'esercizio
delle libertà fondamentali.
(52) La deroga al divieto di trattare categorie particolari di dati personali dovrebbe essere consentita anche quando è
prevista dal diritto dell'Unione o degli Stati membri, fatte salve adeguate garanzie, per proteggere i dati personali
e altri diritti fondamentali, laddove ciò avvenga nell'interesse pubblico, in particolare il trattamento dei dati
personali nel settore del diritto del lavoro e della protezione sociale, comprese le pensioni, e per finalità di
sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi
alla salute. Tale deroga può avere luogo per finalità inerenti alla salute, compresa la sanità pubblica e la gestione
dei servizi di assistenza sanitaria, soprattutto al fine di assicurare la qualità e l'economicità delle procedure per
soddisfare le richieste di prestazioni e servizi nell'ambito del regime di assicurazione sanitaria, o a fini di
archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici. La deroga dovrebbe anche
consentire di trattare tali dati personali se necessario per accertare, esercitare o difendere un diritto, che sia in
sede giudiziale, amministrativa o stragiudiziale.
(53) Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate
soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e
dell'intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale,
compreso il trattamento di tali dati da parte della dirigenza e delle autorità sanitarie nazionali centrali a fini di
controllo della qualità, informazione sulla gestione e supervisione nazionale e locale generale del sistema di
assistenza sanitaria o sociale, nonché per garantire la continuità dell'assistenza sanitaria o sociale e dell'assistenza
sanitaria transfrontaliera o per finalità di sicurezza sanitaria, controllo e allerta o a fini di archiviazione nel
4.5.2016 L 119/10 Gazzetta ufficiale dell'Unione europea IT
pubblico interesse, di ricerca scientifica o storica o a fini statistici in base al diritto dell'Unione o nazionale che
deve perseguire un obiettivo di interesse pubblico, nonché per studi svolti nel pubblico interesse nell'ambito della
sanità pubblica. Pertanto il presente regolamento dovrebbe prevedere condizioni armonizzate per il trattamento
di categorie particolari di dati personali relativi alla salute in relazione a esigenze specifiche, in particolare qualora
il trattamento di tali dati sia svolto da persone vincolate dal segreto professionale per talune finalità connesse alla
salute. Il diritto dell'Unione o degli Stati membri dovrebbe prevedere misure specifiche e appropriate a protezione
dei diritti fondamentali e dei dati personali delle persone fisiche. Gli Stati membri dovrebbero rimanere liberi di
mantenere o introdurre ulteriori condizioni, fra cui limitazioni, con riguardo al trattamento di dati genetici, dati
biometrici o dati relativi alla salute, senza tuttavia ostacolare la libera circolazione dei dati personali all'interno
dell'Unione quando tali condizioni si applicano al trattamento transfrontaliero degli stessi.
(54) Il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei
settori della sanità pubblica, senza il consenso dell'interessato. Tale trattamento dovrebbe essere soggetto a misure
appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche. In tale contesto, la nozione di
«sanità pubblica» dovrebbe essere interpretata secondo la definizione del regolamento (CE) n. 1338/2008 del
Parlamento europeo e del Consiglio ( 1 ): tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e
disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza
sanitaria, le risorse destinate all'assistenza sanitaria, la prestazione di assistenza sanitaria e l'accesso universale a
essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità. Il trattamento dei dati relativi alla salute
effettuato per motivi di interesse pubblico non dovrebbe comportare il trattamento dei dati personali per altre
finalità da parte di terzi, quali datori di lavoro, compagnie di assicurazione e istituti di credito.
(55) Inoltre, è effettuato per motivi di interesse pubblico il trattamento di dati personali a
Condizioni di vendita
Contatto
- Sei qui:
-
Home
- Informazioni
COMPONENTI
Ricerca articolo
Regolamento UE n. 679/2016 General Data Protection Regulation – GDPR
Accesso Utenti
CARRELLO
Carrello vuoto
