(1)

Il mercato interno è una delle conquiste più tangibili dell’Unione. Consentendo a persone, beni, servizi e capitali di circolare liberamente, offre nuove opportunità ai cittadini e alle imprese. Il presente regolamento rappresenta un elemento fondamentale della strategia per il mercato unico istituita dalla comunicazione della Commissione del 28 ottobre 2015 intitolata «Migliorare il mercato unico: maggiori opportunità per i cittadini e per le imprese». Tale strategia mira a sfruttare appieno il potenziale del mercato interno, rendendo più semplice per i cittadini e le imprese spostarsi all’interno dell’Unione, esercitare attività commerciali, stabilirsi ed espandere le proprie attività economiche a livello transfrontaliero.

(2)

La comunicazione della Commissione del 6 maggio 2015 dal titolo «Strategia per il mercato unico digitale in europea» riconosce il ruolo di Internet e delle tecnologie digitali nel trasformare la vita e il modo in cui i cittadini e le imprese accedono alle informazioni, acquisiscono conoscenze, acquistano beni e servizi, partecipano al mercato e lavorano, creando opportunità di innovazione, crescita e occupazione. Nella comunicazione, così come in varie risoluzioni approvate dal Parlamento europeo, si riconosce anche che si potrebbe rispondere meglio alle esigenze dei cittadini e delle imprese nel loro paese e nelle loro attività transfrontaliere ampliando e integrando i portali a livello europeo, i siti web, le reti, i servizi e i sistemi esistenti e collegandoli a diverse soluzioni nazionali, creando così uno «sportello digitale unico» che funga da punto di ingresso unico europeo («sportello»). La comunicazione della Commissione del 19 aprile 2016 dal titolo «Il piano d’azione dell’Unione per l’e-Government 2016-2020 — Accelerare la trasformazione digitale della pubblica amministrazione» indica lo sportello tra le azioni previste per il 2017. La relazione della Commissione del 24 gennaio 2017 dal titolo «Rafforzare i diritti dei cittadini in un’Unione di cambiamento democratico — Relazione sulla cittadinanza dell’UE 2017» considera lo sportello una priorità per i diritti dei cittadini dell’Unione.

(3)

Il Parlamento europeo e il Consiglio hanno sollecitato ripetutamente un pacchetto di servizi d’informazione e assistenza più completo e facile da utilizzare per aiutare i cittadini e le imprese a muoversi nel mercato interno e per rafforzare e razionalizzare gli strumenti del mercato interno al fine di rispondere meglio alle esigenze dei cittadini e delle imprese nelle loro attività transfrontaliere.

(4)

Il presente regolamento risponde a tali solleciti offrendo ai cittadini e alle imprese un facile accesso alle informazioni, alle procedure e ai servizi di assistenza e di risoluzione dei problemi di cui hanno bisogno per esercitare i loro diritti nel mercato interno. Lo sportello potrebbe contribuire a migliorare la trasparenza delle norme e regolamentazioni relative a diversi eventi professionali e personali, in ambiti quali i viaggi, il pensionamento, l’istruzione, l’occupazione, l’assistenza sanitaria, i diritti dei consumatori e della famiglia. Inoltre, potrebbe contribuire a migliorare la fiducia dei consumatori, ad affrontare la mancanza di conoscenze in merito alle norme in materia di protezione dei consumatori e mercato interno e a ridurre i costi di conformità per le imprese. Il presente regolamento istituisce uno sportello interattivo e di facile utilizzo che, sulla base delle esigenze degli utenti, dovrebbe indirizzarli ai servizi più appropriati. In tale ambito la Commissione e gli Stati membri dovrebbero svolgere un ruolo importante per raggiungere i suddetti obiettivi.

(5)

Lo sportello dovrebbe agevolare le interazioni tra cittadini e imprese, da un lato, e autorità competenti, dall’altro, fornendo accesso a soluzioni in linea, agevolando le attività giornaliere di cittadini e imprese e riducendo al minimo gli ostacoli incontrati nel mercato interno. L’esistenza di uno sportello digitale unico che fornisca accesso in linea a informazioni esatte e aggiornate, a procedure e a servizi di assistenza e di risoluzione dei problemi potrebbe contribuire a sensibilizzare gli utenti in merito ai diversi servizi in linea esistenti e a generare un risparmio in termini di tempi e di spesa.

(6)

Il presente regolamento persegue i tre obiettivi di ridurre l’onere amministrativo per i cittadini e per le imprese che esercitano o intendono esercitare i loro diritti relativi al mercato interno, compresa la libera circolazione dei cittadini, in piena conformità con le norme e le procedure nazionali, di eliminare la discriminazione e di garantire il funzionamento del mercato interno per quanto riguarda la messa a disposizione di informazioni, procedure e servizi di assistenza e di risoluzione dei problemi. Poiché comprende anche il settore della libera circolazione dei cittadini, che non può essere considerato meramente secondario, il presente regolamento dovrebbe basarsi sull’articolo 21, paragrafo 2, e sull’articolo 114, paragrafo 1, del trattato sul funzionamento dell’Unione europea (TFUE).

(7)

Per consentire ai cittadini e alle imprese dell’Unione di esercitare il diritto alla libera circolazione nel mercato interno, l’Unione dovrebbe adottare misure specifiche non discriminatorie che consentano ai cittadini e alle imprese di accedere facilmente a informazioni sufficientemente complete e affidabili sui loro diritti a norma del diritto dell’Unione e sulle norme e procedure nazionali che devono rispettare in caso di trasferimento, soggiorno, studio ovvero svolgimento o creazione di attività commerciali in un altro Stato membro. Le informazioni dovrebbero essere considerate sufficientemente complete se comprendono tutti gli elementi necessari affinché gli utenti comprendano quali siano i loro diritti e i loro obblighi e individuano le norme che si applicano a loro, in relazione alle attività che intendono intraprendere, in quanto utenti transfrontalieri. Le informazioni dovrebbero essere formulate in modo chiaro, conciso e comprensibile ed essere operative e adeguate al gruppo di utenti. Le informazioni sulle procedure dovrebbero contemplare tutte le prevedibili fasi procedurali che sono importanti per l’utente. È importante che le imprese e i cittadini confrontati a contesti normativi complessi, come coloro che operano nei settori del commercio elettronico e dell’economia collaborativa, possano reperire facilmente le norme applicabili e le modalità con cui si applicano alle loro attività. Per facilità di accesso alle informazioni e semplicità di utilizzo s’intende la possibilità, per gli utenti, di reperire facilmente le informazioni, di individuare facilmente quali parti delle informazioni sono rilevanti per la loro particolare situazione e di comprendere facilmente le informazioni pertinenti. Le informazioni da fornire a livello nazionale non dovrebbero riguardare solo le norme nazionali di attuazione del diritto dell’Unione, ma anche tutte le altre norme nazionali che si applicano agli utenti sia transfrontalieri sia non transfrontalieri.

(8)

Le norme sulla messa a disposizione di informazioni previste dal presente regolamento non dovrebbero applicarsi ai sistemi giudiziari nazionali, dal momento che le informazioni relative a tale settore pertinenti per gli utenti transfrontalieri sono già contenute nel portale della giustizia elettronica. In alcune situazioni contemplate dal presente regolamento, i tribunali dovrebbero essere considerati le autorità competenti, ad esempio nei casi in cui gestiscono i registri di imprese. Inoltre, il principio di non discriminazione dovrebbe altresì applicarsi alle procedure in linea che danno accesso ai procedimenti giudiziari.

(9)

È evidente che i cittadini e le imprese provenienti da altri Stati membri possono trovarsi in una situazione di svantaggio a causa della loro mancanza di conoscenza delle norme e dei sistemi amministrativi nazionali, delle differenti lingue utilizzate e della lontananza geografica dalle autorità competenti di uno Stato membro diverso dal proprio. Il modo più efficiente per ridurre tali ostacoli al mercato interno è offrire agli utenti transfrontalieri e non transfrontalieri la possibilità di accedere alle informazioni in linea in una lingua che sono in grado di comprendere per consentire loro di espletare interamente in linea le procedure necessarie per conformarsi alle norme nazionali e fornire loro assistenza nei casi in cui le norme e le procedure non siano sufficientemente chiare o qualora incontrino ostacoli all’esercizio dei loro diritti.

(10)

Diversi atti dell’Unione hanno l’obiettivo di fornire soluzioni mediante la creazione di sportelli unici settoriali, tra cui gli sportelli unici istituiti dalla direttiva 2006/123/CE del Parlamento europeo e del Consiglio (3), che offrono in linea servizi di informazione, assistenza e accesso alle procedure pertinenti per la fornitura di servizi; i punti di contatto per i prodotti istituiti dal regolamento (CE) n. 764/2008 del Parlamento europeo e del Consiglio (4) e i punti di contatto di prodotti da costruzione istituiti dal regolamento (UE) n. 305/2011 del Parlamento europeo e del Consiglio (5), che forniscono accesso a specifiche norme tecniche sui prodotti e i centri di assistenza per le qualifiche professionali istituiti dalla direttiva 2005/36/CE del Parlamento europeo e del Consiglio (6) che aiutano i lavoratori che si trasferiscono oltre frontiera. Inoltre sono state create reti, come la rete dei centri europei dei consumatori, al fine di promuovere la comprensione dei diritti dei consumatori dell’Unione e contribuire alla risoluzione di reclami riguardanti acquisti effettuati in linea o in occasione di viaggi in altri Stati membri inclusi nella rete. Anche la rete SOLVIT, di cui alla raccomandazione 2013/461/UE della Commissione (7), mira a fornire soluzioni veloci, efficaci e informali per individui e imprese quando i loro diritti nell’ambito del mercato interno sono negati dalle autorità pubbliche. Infine vari portali d’informazione, quali «La tua Europa» per quanto concerne il mercato interno e il portale europeo della giustizia elettronica, sono stati istituiti per informare gli utenti delle norme dell’Unione e nazionali.

(11)

Data la natura settoriale di tali atti dell’Unione, la fornitura in linea ai cittadini e alle imprese di informazioni e di servizi di assistenza e di risoluzione dei problemi, unitamente a procedure in linea, rimane molto frammentaria. La disponibilità di procedure e informazioni in linea non è omogenea; la qualità dei servizi è insufficiente e manca la conoscenza di tali informazioni e servizi di assistenza e di risoluzione dei problemi. Gli utenti transfrontalieri hanno inoltre problemi per quanto riguarda la reperibilità e l’accessibilità di tali servizi.

(12)

Il presente regolamento dovrebbe istituire uno sportello digitale unico che funga da punto di ingresso unico mediante il quale i cittadini e le imprese possano accedere alle informazioni sulle norme e sui requisiti che devono soddisfare in virtù del diritto dell’Unione o nazionale. Lo sportello dovrebbe semplificare il contatto di cittadini e imprese con i servizi assistenza e di risoluzione dei problemi istituiti a livello nazionale o di Unione, migliorandone l’efficacia. Lo sportello dovrebbe inoltre agevolare l’accesso e il completamento delle procedure in linea. Il presente regolamento non dovrebbe pregiudicare in alcun modo i diritti e gli obblighi vigenti in virtù del diritto dell’Unione o nazionale in tali settori. Il presente regolamento dovrebbe sostenere il ricorso al principio «una tantum» e dovrebbe rispettare pienamente il diritto fondamentale alla protezione dei dati personali per lo scambio di elementi di prova tra le autorità competenti in diversi Stati membri in relazione alle procedure di cui all’allegato II del presente regolamento e alle procedure previste nelle direttive 2005/36/CE e 2006/123/CE e nelle direttive 2014/24/UE (8) e 2014/25/UE (9) del Parlamento europeo e del Consiglio.

(13)

Lo sportello e il suo contenuto dovrebbero essere di facile utilizzo e incentrati sull’utente. Lo sportello dovrebbe mirare a evitare le sovrapposizioni e dovrebbe fornire interconnessioni con i servizi esistenti. Dovrebbe consentire alle imprese e ai cittadini di interagire con gli enti pubblici a livello dell’Unione e nazionale, offrendo loro la possibilità di fornire mediante lo sportello riscontri sulle proprie esperienze riguardanti i servizi offerti e il funzionamento del mercato interno. Lo strumento di riscontro dovrebbe consentire all’utente di indicare, in un modo che gli consenta di rimanere anonimo, eventuali problemi, carenze ed esigenze al fine di incoraggiare un miglioramento costante della qualità dei servizi.

(14)

Il successo dello sportello dipenderà dall’impegno comune della Commissione e degli Stati membri. Lo sportello dovrebbe includere un’interfaccia utenti comune integrata nel portale «La tua Europa», che sarà gestita dalla Commissione. L’interfaccia utenti comune dovrebbe fornire link a informazioni, procedure, servizi di assistenza o di risoluzione dei problemi disponibili sui portali gestiti dalle autorità competenti degli Stati membri e dalla Commissione. Al fine di agevolare l’uso dello sportello, l’interfaccia utenti comune dovrebbe essere disponibile in tutte le lingue ufficiali delle istituzioni dell’Unione («lingue ufficiali dell’Unione»). L’attuale portale «La tua Europa» e la relativa pagina di accesso web principale, adattata ai requisiti dello sportello, dovrebbe preservare tale approccio multilingue alle informazioni fornite. Strumenti tecnici messi a punto dalla Commissione in stretta collaborazione con gli Stati membri dovrebbero fornire supporto al funzionamento dello sportello.

(15)

Nella carta per gli sportelli elettronici unici di cui alla direttiva 2006/123/CE, che è stata approvata dal Consiglio nel 2013, gli Stati membri si sono impegnati volontariamente ad adottare un approccio incentrato sull’utente nella messa a disposizione di informazioni mediante gli sportelli unici, al fine di coprire settori di particolare importanza per le imprese, tra cui IVA, imposte sul reddito, prescrizioni in materia di sicurezza sociale o del diritto del lavoro. In base alla carta e alla luce delle esperienze acquisite con il portale «La tua Europa», tali informazioni dovrebbero inoltre contemplare una descrizione dei servizi di assistenza e di risoluzione dei problemi. I cittadini e le imprese dovrebbero potersi rivolgere a tali servizi in caso di problemi riguardanti la comprensione delle informazioni, l’applicazione di tali informazioni alla loro situazione o il completamento di una procedura.

(16)

Il presente regolamento dovrebbe indicare i settori di informazione che sono pertinenti per i cittadini e le imprese che esercitano i loro diritti e adempiono i loro obblighi nel mercato interno. Per tali settori dovrebbero essere fornite informazioni sufficientemente complete a livello nazionale, ivi compreso a livello regionale e locale, nonché a livello di Unione chiarendo le norme e gli obblighi applicabili e le procedure che cittadini e imprese devono espletare per conformarsi a tali norme e obblighi. Al fine di garantire la qualità dei servizi offerti, le informazioni fornite attraverso tale sportello dovrebbero essere chiare, esatte e aggiornate, l’utilizzo di terminologia complessa dovrebbe essere ridotto al minimo e l’utilizzo di acronimi dovrebbe essere limitato a quelli che forniscono termini semplificati e facilmente comprensibili che non richiedono una conoscenza preesistente della questione o dell’ambito giuridico. Tali informazioni dovrebbero essere fornite in modo tale che gli utenti possano comprendere facilmente le norme e i requisiti di base applicabili alla loro situazione in tali settori. È opportuno inoltre informare gli utenti circa l’assenza, in alcuni Stati membri, di norme nazionali nei settori elencati nell’allegato I, in particolare nei casi in cui tali zone sono soggette a norme nazionali in altri Stati membri. Tali informazioni in merito all’assenza di norme nazionali potrebbero essere incluse nel portale «La tua Europa».

(17)

Ove possibile, le informazioni che la Commissione ha già raccolto dagli Stati membri nel quadro della vigente normativa dell’Unione o di accordi volontari, come nel caso delle informazioni raccolte per il portale EURES istituito dal regolamento (UE) 2016/589 del Parlamento europeo e del Consiglio (10), per il portale della giustizia elettronica istituito dalla Decisione del Consiglio 2001/470/CE (11) o per la banca dati delle professioni regolamentate istituita dalla direttiva 2005/36/CE, dovrebbero essere utilizzate per coprire parte delle informazioni da rendere accessibili ai cittadini e alle imprese a livello dell’Unione e nazionale a norma del presente regolamento. Gli Stati membri non dovrebbero essere tenuti a fornire sui loro siti web nazionali informazioni già disponibili nelle pertinenti banche dati gestite dalla Commissione. Qualora gli Stati membri debbano già fornire informazioni in linea in virtù di altri atti dell’Unione, quali la direttiva 2014/67/UE del Parlamento europeo e del Consiglio (12), dovrebbe essere sufficiente che gli Stati membri forniscano dei link alle informazioni in linea esistenti.Qualora determinati settori siano già stati pienamente armonizzati attraverso il diritto dell’Unione, ad esempio i diritti dei consumatori, le informazioni fornite a livello dell’Unione dovrebbero essere generalmente sufficienti affinché gli utenti siano in grado di comprendere i loro rispettivi diritti o obblighi. In tali casi, gli Stati membri dovrebbero essere obbligati soltanto a fornire informazioni supplementari riguardanti le procedure amministrative nazionali e i servizi di assistenza o eventuali altre regole amministrative nazionali, ove pertinenti per gli utenti. Per esempio, le informazioni concernenti i diritti dei consumatori non dovrebbero interferire con il diritto contrattuale, ma dovrebbero invece rendere edotti gli utenti in merito ai propri diritti a norma del diritto dell’Unione e del diritto nazionale nell’ambito delle transazioni commerciali.

(18)

Il presente regolamento dovrebbe potenziare la dimensione «mercato interno» delle procedure in linea e contribuire in tal modo alla digitalizzazione del mercato interno, accogliendo il principio generale di non discriminazione, tra l’altro in relazione all’accesso in linea da parte dei cittadini o delle imprese a procedure già stabilite a livello nazionale sulla base del diritto dell’Unione o nazionale e a quelle che devono essere rese interamente disponibili in linea conformemente al presente regolamento. Se un utente la cui situazione è limitata esclusivamente a un solo Stato membro può accedere ed espletare una procedura in linea in tale Stato membro in un settore disciplinato dal presente regolamento, anche un utente transfrontaliero dovrebbe poter accedere ed espletare la procedura in linea o tramite la medesima soluzione tecnica o tramite una soluzione alternativa e tecnicamente distinta che porti allo stesso risultato, senza ostacoli di carattere discriminatorio. Tali ostacoli potrebbero consistere in soluzioni elaborate a livello nazionale, come ad esempio campi di moduli che richiedono numeri telefonici nazionali, prefissi telefonici nazionali o codici postali nazionali, il pagamento di diritti effettuabile solo mediante sistemi che non prevedono pagamenti transfrontalieri, mancanza di spiegazioni dettagliate in una lingua compresa da utenti transfrontalieri, l’impossibilità di presentare prove elettroniche da parte delle autorità situate in un altro Stato membro e il rifiuto di accettare mezzi di identificazione elettronici emessi in altri Stati membri. Gli Stati membri dovrebbero fornire soluzioni per superare tali ostacoli.

(19)

Nel completare procedure in linea a livello transfrontaliero, gli utenti dovrebbero poter ricevere tutte le pertinenti spiegazioni in una lingua ufficiale dell’Unione che sia compresa dal numero più ampio possibile di utenti transfrontalieri. Ciò non implica che gli Stati membri abbiano l’obbligo di tradurre in tale lingua i rispettivi moduli amministrativi relativi alla procedura o il risultato finale della procedura. Gli Stati membri sono tuttavia incoraggiati ad avvalersi di soluzioni tecniche che consentano agli utenti di espletare le procedure in tale lingua nel maggior numero di casi possibile, nel rispetto delle norme degli Stati membri in materia di utilizzo delle lingue.

(20)

Le procedure nazionali in linea pertinenti affinché gli utenti transfrontalieri possano esercitare i loro diritti nel mercato interno dipendono dal fatto se tali utenti risiedono o sono stabiliti nel territorio dello Stato membro interessato o se desiderano accedere alle procedure di tale Stato membro pur essendo residenti o stabiliti in un altro Stato membro. Il presente regolamento non dovrebbe impedire agli Stati membri di imporre agli utenti transfrontalieri residenti o stabiliti sul loro territorio l’obbligo di ottenere un numero di identificazione nazionale per accedere alle procedure nazionali in linea, a condizione che ciò non comporti un onere o un costo supplementare ingiustificabile per tali utenti. Per gli utenti transfrontalieri che non sono residenti o non sono stabiliti nello Stato membro interessato, non è necessario rendere interamente accessibili in linea le procedure nazionali in linea che non sono pertinenti per l’esercizio dei loro diritti nel mercato interno, come l’iscrizione al fine di beneficiare di servizi locali quali la raccolta dei rifiuti e i permessi di parcheggio.

(21)

Il presente regolamento dovrebbe basarsi sul regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio (13), che fissa le condizioni in cui gli Stati membri riconoscono e accettano taluni mezzi di identificazione elettronica delle persone fisiche e giuridiche soggette a un regime di identificazione elettronica notificato di un altro Stato membro. Il regolamento (UE) n. 910/2014 stabilisce le condizioni a norma delle quali agli utenti è consentito utilizzare i loro mezzi di identificazione e autenticazione elettronica per accedere ai servizi pubblici in linea in situazioni transfrontaliere. Le istituzioni, gli organi e gli organismi dell’Unione sono incoraggiati ad accettare mezzi di identificazione e autenticazione elettronica per le procedure di cui sono responsabili.

(22)

Una serie di atti settoriali dell’Unione come le direttive 2005/36/CE, 2006/123/CE, 2014/24/UE e 2014/25/UE dispongono che le procedure siano interamente disponibili in linea. Il presente regolamento dovrebbe imporre che una serie di altre procedure di importanza fondamentale per la maggioranza dei cittadini e delle imprese che esercitano i propri diritti e assolvono ai propri doveri oltre frontiera sia interamente disponibile in linea.

(23)

Al fine di consentire ai cittadini e alle imprese di beneficiare direttamente dei vantaggi del mercato interno senza incorrere in inutili oneri amministrativi, il presente regolamento dovrebbe prescrivere una completa digitalizzazione dell’interfaccia utenti di determinate procedure importanti per gli utenti transfrontalieri, elencate all’allegato II del presente regolamento. Il presente regolamento dovrebbe anche stabilire i criteri per qualificare una procedura come interamente in linea. L’obbligo di rendere una procedura interamente disponibile in linea dovrebbe applicarsi solo nel caso in cui tale procedura sia stata istituita nello Stato membro interessato. Nel presente regolamento non è opportuno includere la registrazione iniziale di un’attività commerciale, le procedure di costituzione di imprese o società in quanto soggetti giuridici o qualsiasi successiva registrazione da parte di tali società o aziende, poiché tali procedure richiedono un approccio globale volto a facilitare soluzioni digitali durante l’intero ciclo di vita di un’impresa. Quando si stabiliscono in un altro Stato membro, le imprese sono tenute a iscriversi a un regime di sicurezza sociale e a un regime di assicurazione per registrare i loro dipendenti e versare i contributi a ciascun regime. Esse potrebbero aver necessità di notificare la loro attività, ottenere i permessi o registrare i cambiamenti apportati alla loro attività imprenditoriale. Tali procedure sono comuni per le imprese che operano in molti settori dell’economia; è quindi opportuno esigere che siano rese disponibili in linea.

(24)

Il presente regolamento dovrebbe chiarire le implicazioni di una procedura interamente in linea. Una procedura dovrebbe essere considerata come interamente in linea quando l’utente può espletare tutte le fasi, dall’accesso al completamento, interagendo con l’autorità competente («front office») per via elettronica, a distanza e mediante un servizio in linea. Tale servizio in linea dovrebbe guidare l’utente attraverso un elenco di tutti i requisiti da rispettare e di tutte le prove da fornire, consentirgli di trasmettere le informazioni e le prove della conformità a tutti i suddetti requisiti e inviargli automaticamente un avviso di ricevimento, a meno che il risultato della procedura non sia consegnato immediatamente. Ciò non dovrebbe impedire alle autorità competenti di contattare gli utenti direttamente, ove necessario per ottenere ulteriori chiarimenti necessari per la procedura. Ove possibile in base al diritto dell’Unione e al diritto nazionale applicabili, le autorità competenti dovrebbero fornire all’utente anche il risultato della procedura per via elettronica, come previsto dal presente regolamento.

(25)

Il presente regolamento non dovrebbe incidere sulla sostanza delle procedure elencate nell’allegato II, che sono stabilite a livello nazionale, regionale o locale e non stabilisce norme sostanziali o procedurali all’interno delle zone di cui all’allegato II, anche in materia tributaria. L’obiettivo del presente regolamento è di stabilire i requisiti tecnici al fine di garantire che tali procedure, laddove siano state istituite nello Stato membro interessato, siano rese interamente disponibili in linea.

(26)

Il presente regolamento non dovrebbe pregiudicare le competenze delle autorità nazionali in qualunque procedura, comprese la verifica dell’esattezza e della validità delle informazioni o prove presentate e la verifica di autenticità nel caso in cui le prove siano trasmesse tramite mezzi diversi dal sistema tecnico basato sul principio «una tantum». Il presente regolamento non dovrebbe neanche pregiudicare l’iter procedurale, digitalizzato o meno, in seno alle autorità competenti e tra di esse («back office»). Se necessario, nell’ambito di alcune procedure per registrare le modifiche delle attività commerciali, gli Stati membri dovrebbero continuare a poter esigere il coinvolgimento di notai o avvocati che vogliano eventualmente utilizzare gli strumenti di verifica, compresa la videoconferenza o altri mezzi in linea che forniscono un collegamento audio-video in tempo reale. Tuttavia, tale partecipazione non dovrebbe impedire il completamento delle procedure per la registrazione della totalità di tali modifiche in linea.

(27)

In alcuni casi gli utenti potrebbero essere tenuti a presentare prove per dimostrare la veridicità di fatti che non possono essere stabiliti per via elettronica. Tali prove possono includere i certificati medici, i certificati di esistenza in vita e i certificati di superamento del controllo tecnico per i veicoli a motore o di verifica del numero di telaio. Nella misura in cui gli elementi di prova possano essere presentati in formato elettronico, ciò non dovrebbe costituire una deroga al principio secondo cui una procedura dovrebbe essere offerta interamente in linea. In altri casi, nel contesto di una specifica procedura in linea potrebbe comunque essere necessario che l’utente compaia personalmente dinanzi a un’autorità competente. Tali eccezioni, diverse da quelle risultanti dal diritto dell’Unione, dovrebbero essere limitate ai casi in cui sono giustificate da un motivo imperativo di interesse pubblico in materia di sicurezza pubblica, salute pubblica o lotta contro la frode. Al fine di garantire la trasparenza, gli Stati membri dovrebbero condividere con la Commissione e gli altri Stati membri informazioni su tali eccezioni, oltre che i motivi per cui e le circostanze in cui possono essere applicate. Gli Stati membri non dovrebbero essere tenuti a segnalare ogni singolo caso in cui, in via eccezionale, la presenza fisica è necessaria, ma dovrebbero piuttosto comunicare le disposizioni nazionali che prevedono tali casi. Le migliori prassi a livello nazionale e gli sviluppi tecnici che consentono l’ulteriore digitalizzazione a tal proposito dovrebbero essere discussi periodicamente in seno a un gruppo di coordinamento dello sportello.

(28)

In situazioni transfrontaliere, la procedura di registrazione di un cambio di indirizzo potrebbe consistere di due procedure distinte, una nello Stato membro di origine per richiedere la cancellazione dal vecchio indirizzo e l’altra nello Stato membro di destinazione per richiedere la registrazione al nuovo indirizzo. Entrambe le procedure dovrebbero essere contemplate dal presente regolamento.

(29)

Poiché la digitalizzazione dei requisiti, delle procedure e delle formalità relative al riconoscimento delle qualifiche professionali è già contemplata dalla direttiva 2005/36/CE, il presente regolamento dovrebbe disciplinare soltanto la digitalizzazione della procedura relativa alla richiesta di riconoscimento accademico di diplomi, certificati o altri attestati di completamento di corsi di chi desideri iniziare o continuare a studiare o utilizzare un titolo accademico, escluse le formalità connesse al riconoscimento delle qualifiche professionali.

(30)

Il presente regolamento non dovrebbe pregiudicare le norme di coordinamento della sicurezza sociale di cui al regolamento (CE) n. 883/2004 (14) e al regolamento (CE) n. 987/2009 (15) del Parlamento europeo e del Consiglio, che definiscono i diritti e gli obblighi delle persone assicurate e delle istituzioni di sicurezza sociale, nonché le procedure applicabili nel settore del coordinamento della sicurezza sociale.

(31)

Diverse reti e servizi sono stati istituiti a livello dell’Unione e nazionale per fornire assistenza ai cittadini e alle imprese nelle loro attività transfrontaliere. È importante che tali servizi, compresi i servizi di assistenza o di risoluzione dei problemi esistenti istituiti a livello dell’Unione, quali i centri europei dei consumatori, La tua Europa — Consulenza, SOLVIT, l’helpdesk sui diritti di proprietà intellettuale, Europe Direct e la rete Enterprise Europe, facciano parte dello sportello al fine di garantire che tutti i potenziali utenti possano reperirli. I servizi elencati nell’allegato III sono stati istituiti con atti vincolanti dell’Unione, mentre altri servizi operano su base facoltativa. I servizi istituiti tramite atti vincolanti dell’Unione dovrebbero essere tenuti a rispettare i requisiti di qualità stabiliti nel presente regolamento. I servizi che operano su base facoltativa dovrebbero conformarsi a tali requisiti di qualità se l’intento è quello di renderli accessibili mediante lo sportello. La portata e la natura di tali servizi, le loro modalità di gestione, le scadenze esistenti e le basi volontarie, contrattuali o di altro tipo su cui operano non dovrebbero essere modificati dal presente regolamento. Ad esempio, qualora l’assistenza che forniscono sia di natura informale, il presente regolamento non dovrebbe avere l’effetto di mutare tale assistenza in consulenza legale a carattere vincolante.

(32)

Inoltre gli Stati membri e la Commissione dovrebbero poter aggiungere allo sportello altri servizi nazionali di assistenza o di risoluzione dei problemi forniti dalle autorità competenti o da organismi privati o semiprivati, o organismi pubblici, quali camere di commercio o servizi di assistenza non governativa per i cittadini, nel rispetto delle condizioni stabilite dal presente regolamento. In linea di principio dovrebbe spettare alle autorità competenti assistere i cittadini e le imprese in caso di interrogativi relativi a norme e procedure applicabili che non possano essere trattati in modo esauriente dai servizi in linea. In ambiti altamente specializzati e quando il servizio fornito da organismi privati o semiprivati soddisfa le esigenze degli utenti, gli Stati membri possono tuttavia proporre alla Commissione di includere tali servizi nello sportello, purché questi soddisfino tutte le condizioni stabilite dal presente regolamento e non costituiscano una duplicazione di servizi di assistenza o di risoluzione dei problemi già esistenti.

(33)

Al fine di aiutare gli utenti a individuare il servizio appropriato, il presente regolamento dovrebbe istituire uno strumento di reperimento di servizi di assistenza che orienti automaticamente gli utenti verso il servizio giusto.

(34)

La conformità a un elenco minimo di requisiti di qualità è indispensabile per il successo dello sportello, al fine di garantire che la messa a disposizione delle informazioni o la fornitura di servizi siano affidabili, poiché in caso contrario si comprometterebbe seriamente la credibilità dello sportello nel suo insieme. L’obiettivo generale della conformità è garantire che le informazioni o il servizio siano presentati in modo chiaro e facilmente fruibile. Spetta agli Stati membri determinare come presentare le informazioni lungo il percorso dell’utente al fine di conseguire tale obiettivo. Ad esempio, sebbene sia utile che gli utenti siano informati, prima dell’avvio di una procedura, circa i mezzi di ricorso generalmente disponibili in caso di esito negativo di una procedura, è molto più semplice per l’utente ricevere eventuali informazioni specifiche circa le possibili misure da adottare in tal caso al termine della procedura.

(35)

L’accessibilità delle informazioni per gli utenti transfrontalieri può essere migliorata sostanzialmente mettendo a disposizione tali informazioni in un’altra lingua ufficiale dell’Unione che sia ampiamente compresa dal maggior numero possibile di utenti transfrontalieri. Tale lingua dovrebbe essere, nella maggior parte dei casi, la lingua straniera più studiata dagli utenti in tutta l’Unione, ma in alcuni casi specifici, in particolare nel caso di informazioni da fornire a livello locale da parte di piccoli comuni vicini al confine di uno Stato membro, la lingua più adatta potrebbe essere quella utilizzata come prima lingua da parte degli utenti transfrontalieri nello Stato membro limitrofo. La traduzione dalla lingua o dalle lingue ufficiali dello Stato membro in questione in tale altra lingua ufficiale dell’Unione dovrebbe riportare fedelmente il contenuto delle informazioni fornite nella lingua o nelle lingue originali. La traduzione potrebbe essere limitata alle informazioni di cui gli utenti hanno bisogno per comprendere le norme e i requisiti di base applicabili alla loro situazione. Se, da un lato, gli Stati membri dovrebbero essere incoraggiati a tradurre la maggior quantità possibile di informazioni, in una lingua ufficiale dell’Unione che sia ampiamente compresa dal maggior numero possibile di utenti transfrontalieri, dall’altro il volume delle informazioni da tradurre ai sensi d del presente regolamento dipenderà dalle risorse finanziarie disponibili a tal fine, in particolare quelle provenienti dal bilancio dell’Unione. La Commissione dovrebbe adottare le disposizioni opportune per garantire la fornitura efficiente di traduzioni agli Stati membri su loro richiesta. Il gruppo di coordinamento dello sportello dovrebbe esaminare e fornire orientamenti per la lingua o le lingue ufficiali dell’Unione in cui tali informazioni dovrebbero essere tradotte.

(36)

A norma della direttiva (UE) 2016/2102 del Parlamento europeo e del Consiglio (16), gli Stati membri sono tenuti a garantire che i siti web dei loro enti pubblici siano accessibili in conformità dei principi di percepibilità, utilizzabilità, comprensibilità e solidità e che siano conformi ai requisiti previsti da tale direttiva. La Commissione e gli Stati membri dovrebbero garantire la conformità con la Convenzione delle Nazioni Unite sui diritti delle persone con disabilità, in particolare gli articoli 9 e 21, e, al fine di migliorare l’accesso alle informazioni per le persone con disabilità intellettuali, dovrebbero essere fornite alternative di facile lettura nella massima misura possibile e nel rispetto del principio di proporzionalità. Gli Stati membri con la ratifica e l’Unione con conclusione di tale convenzione (17) si sono impegnati ad adottare le misure adeguate per garantire l’accesso delle persone con disabilità, a condizioni di parità rispetto alle altre persone, alle nuove tecnologie e ai nuovi sistemi di informazione e comunicazione, tra cui Internet, semplificando l’accesso alle informazioni per le persone con disabilità intellettuali e fornendo alternative di facile lettura nella massima misura possibile e in modo proporzionato.

(37)

La direttiva (UE) 2016/2102 non si applica a siti web e altre applicazioni mobili delle istituzioni, degli organi e degli organismi dell’Unione, ma la Commissione dovrebbe assicurare che l’interfaccia utenti comune e le pagine web sotto la sua responsabilità che devono essere incluse nello sportello siano accessibili alle persone con disabilità, il che significa che esse devono essere percepibili, utilizzabili, comprensibili e solide. Percepibilità significa che le informazioni e i componenti dell’interfaccia utenti comune devono essere presentabili agli utenti in modalità percepibili; utilizzabilità significa che i componenti e la navigazione dell’interfaccia utenti comune devono essere utilizzabili; comprensibilità significa che le informazioni e il funzionamento dell’interfaccia utenti comune devono essere comprensibili e solidità significa che i contenuti devono essere abbastanza solidi da poter essere interpretati con sicurezza da una vasta gamma di programmi utente, comprese le tecnologie assistive. Riguardo ai termini percepibilità, utilizzabilità, comprensibilità e solidità, la Commissione è incoraggiata a rispettare le pertinenti norme armonizzate.

(38)

Al fine di facilitare il pagamento dei diritti richiesti nell’ambito delle procedure in linea o per la prestazione di servizi di assistenza o di risoluzione dei problemi, gli utenti transfrontalieri dovrebbero potersi avvalere di bonifici o addebiti diretti come specificato nel regolamento (UE) n. 260/2012 del Parlamento europeo e del Consiglio (18) o di altri mezzi di pagamento transfrontalieri utilizzati comunemente, tra cui carte di credito o di debito.

(39)

È utile che gli utenti siano informati della durata prevista di una procedura. Pertanto, gli utenti dovrebbero essere informati delle scadenze applicabili o dei regimi di approvazione tacita o di silenzio amministrativo o, qualora non siano applicabili, almeno della durata media, stimata o indicativa abituale della procedura in questione. Tali stime o indicazioni dovrebbero soltanto aiutare gli utenti nella pianificazione delle loro attività o delle eventuali fasi amministrative successive e non dovrebbero avere alcun effetto giuridico.

(40)

Il presente regolamento dovrebbe inoltre consentire la verifica delle prove fornite in formato elettronico dagli utenti, qualora tali prove siano presentate senza certificazione o un sigillo elettronico dell’autorità competente di emissione o non sia disponibile lo strumento tecnico istituito dal presente regolamento o un altro sistema che consenta lo scambio diretto o la verifica di prove tra le autorità competenti di Stati membri diversi. Per tali casi il presente regolamento dovrebbe prevedere un efficace meccanismo di cooperazione amministrativa tra le autorità competenti degli Stati membri, basato sul sistema di informazione del mercato interno («IMI») istituito dal regolamento (UE) n. 1024/2012 del Parlamento europeo e del Consiglio (19). In tali casi, la decisione di un’autorità competente di ricorrere all’IMI dovrebbe essere volontaria; tuttavia, una volta che la richiesta di informazioni o di cooperazione sia stata presentata dall’autorità tramite l’IMI, l’autorità competente destinataria della richiesta dovrebbe essere tenuta a collaborare e a fornire una risposta. La richiesta può essere inviata tramite l’IMI all’autorità competente di rilascio delle prove o all’autorità centrale che dovrà essere designata dagli Stati membri in conformità delle proprie regole amministrative.Al fine di evitare inutili duplicazioni e dal momento che il regolamento (UE) 2016/1191 del Parlamento europeo e del Consiglio (20) disciplina una parte delle prove pertinenti per le procedure di cui al presente regolamento, le disposizioni di cooperazione relative all’IMI di cui al regolamento (UE) 2016/1191 possono essere applicate anche ai fini delle altre prove richieste nelle procedure di cui al presente regolamento. Al fine di consentire agli organi o organismi dell’Unione di partecipare all’IMI, è opportuno modificare il regolamento (UE) n. 1024/2012.

(41)

I servizi in linea forniti dalle autorità competenti sono fondamentali per accrescere la qualità e la sicurezza dei servizi offerti ai cittadini e alle imprese. Sempre più spesso le amministrazioni pubbliche all’interno degli Stati membri si adoperano per riutilizzare i dati e dispensano i cittadini e le imprese dall’obbligo di fornire le stesse informazioni più volte e. Il riutilizzo dei dati dovrebbe essere semplificato per gli utenti transfrontalieri in modo da ridurre gli oneri supplementari.

(42)

Al fine di consentire il legittimo scambio transfrontaliero di prove e informazioni mediante l’applicazione a livello di Unione del principio «una tantum», l’applicazione del presente regolamento e di tale principio dovrebbe essere conforme a tutte le norme in materia di protezione dei dati, ivi compresi i principi di minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, necessità, proporzionalità e limitazione della finalità. Dovrebbe inoltre essere applicato nel pieno rispetto dei principi di sicurezza e tutela della vita privata fin dalla progettazione e dovrebbe altresì rispettare i diritti fondamentali degli individui, inclusi quelli relativi all’equità e alla trasparenza.

(43)

Gli Stati membri dovrebbero provvedere affinché gli utenti delle procedure ricevano informazioni chiare sulle modalità di trattamento dei dati personali che li riguardano a norma degli articoli 13 e 14 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (21) e degli articoli 15 e 16 del regolamento (UE) 2018/1725. (22)

(44)

Al fine di facilitare ulteriormente l’utilizzo delle procedure in linea e secondo il principio «una tantum», il presente regolamento dovrebbe istituire la base per la messa a punto e l’uso di un sistema tecnico pienamente operativo, sicuro e protetto per lo scambio transfrontaliero e automatizzato di prove tra i soggetti coinvolti nella procedura, ove sia richiesto esplicitamente dai cittadini e dalle imprese. Qualora lo scambio di prove comprenda dati personali, la richiesta dovrebbe essere considerata come esplicita se contiene una manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato che si scambino i dati personali pertinenti, mediante dichiarazione o azione positiva. Se l’utente non è la persona interessata dai dati, la procedura in linea non dovrebbe pregiudicare i suoi diritti di cui al regolamento (UE) 2016/679. L’applicazione transfrontaliera del principio «una tantum» dovrebbe comportare che i cittadini e le imprese non siano costretti a fornire gli stessi dati alle pubbliche amministrazioni più di una volta e dovrebbe essere altresì possibile utilizzare tali dati su richiesta dell’utente ai fini del completamento delle procedure in linea transfrontaliere che coinvolgono utenti transfrontalieri. Per l’autorità competente di emissione, l’obbligo di utilizzare il sistema tecnico per lo scambio automatizzato di prove tra Stati membri diversi dovrebbe applicarsi soltanto laddove le autorità emettono legalmente nel loro Stato membro prove in un formato elettronico che rende possibile tale scambio automatizzato.

(45)

Gli scambi transfrontalieri di prove dovrebbero disporre di una base giuridica adeguata, come ad esempio le direttive 2005/36/CE, 2006/123/CE, 2014/24/UE o 2014/25/UE oppure, per le procedure elencate nell’allegato II, altra normativa dell’Unione o nazionale applicabile.

(46)

È opportuno che il presente regolamento stabilisca, come regola generale, che lo scambio transfrontaliero automatizzato di prove avviene su richiesta esplicita dell’utente. Tale requisito non dovrebbe tuttavia applicarsi nei casi in cui il pertinente diritto dell’Unione o nazionale consenta lo scambio transfrontaliero automatizzato di dati senza una richiesta esplicita dell’utente.

(47)

L’utilizzo del sistema tecnico istituito dal presente regolamento dovrebbe restare volontario e l’utente dovrebbe avere la possibilità di presentare le prove mediante altri mezzi esterni al sistema tecnico. L’utente dovrebbe avere la possibilità di prevedere le prove e il diritto di scegliere di non procedere allo scambio di prove nei casi in cui l’utente, dopo la visione delle prove da scambiare, scopra che le informazioni sono inesatte, non aggiornate o vanno al di là di ciò che è necessario per la procedura in questione. I dati inclusi nell’anteprima non dovrebbero essere conservati al di là di quanto necessario sotto il profilo tecnico.

(48)

Il sistema tecnico securizzato da istituire per consentire lo scambio di prova a norma del presente regolamento dovrebbe inoltre confermare alle autorità competenti richiedenti che le prove sono state rilasciate dall’autorità pertinente. Prima di accettare le informazioni fornite da un utente nell’ambito di una procedura, in caso di dubbi le autorità competenti dovrebbero poter verificare le informazioni e giungere alla conclusione che sono corrette.

(49)

Esistono taluni moduli costitutivi che offrono capacità di base utilizzabili per creare il sistema tecnico, come il meccanismo per collegare l’Europa, istituito dal regolamento (UE) n. 1316/2013 del Parlamento europeo e del Consiglio (23), e i moduli costitutivi eDelivery ed eID che ne formano parte. Tali moduli costitutivi consistono in specifiche tecniche, software modello e servizi di supporto e mirano a garantire l’interoperabilità tra i sistemi di tecnologia dell’informazione e della comunicazione (TIC) esistenti in diversi Stati membri in modo che i cittadini, le imprese e le amministrazioni, in qualunque parte dell’Unione si trovino, possano beneficiare di servizi pubblici digitali disponibili senza soluzione di continuità.

(50)

Il sistema tecnico istituito dal presente regolamento dovrebbe essere disponibile in aggiunta ad altri sistemi che forniscono meccanismi di cooperazione tra le autorità, come l’IMI, e non dovrebbe pregiudicare altri sistemi, come il sistema di cui al regolamento (CE) n. 987/2009, il Documento di gara unico europeo di cui alla direttiva 2014/24/UE, lo scambio elettronico di informazioni sulla sicurezza sociale di cui al regolamento (CE) n. 987/2009, la tessera professionale europea di cui alla direttiva 2005/36/CE, l’interconnessione dei registri nazionali e l’interconnessione dei registri centrali, commerciali e delle imprese di cui alla direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio (24) e l’interconnessione dei registri fallimentari di cui al regolamento (UE) 2015/848 del Parlamento europeo e del Consiglio (25).

(51)

Al fine di garantire condizioni uniformi per l’attuazione di un sistema tecnico che consenta lo scambio automatizzato delle prove, è opportuno attribuire alla Commissione competenze di esecuzione al fine di stabilire, in particolare, le specifiche tecniche e operative di un sistema per il trattamento della richiesta di un utente di scambio delle prove e il trasferimento di tali prove, nonché le regole necessarie per garantire l’integrità e la riservatezza del trasferimento. È opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (26).

(52)

Al fine di garantire che il sistema tecnico garantisca un elevato livello di sicurezza ai fini dell’applicazione transfrontaliera del principio «una tantum», in sede di adozione degli atti di esecuzione che definiscono le specifiche di tale sistema tecnico la Commissione dovrebbe tenere debitamente conto delle norme e delle specifiche tecniche elaborate da organizzazioni e organismi di normalizzazione europei e internazionali, in particolare il Comitato europeo di normalizzazione (CEN), l’Istituto europeo delle norme di telecomunicazione (European Telecommunications Standards Institute — ETSI), l’Organizzazione internazionale per la standardizzazione (International Organisation for Standardisation — ISO) e l’Unione internazionale delle telecomunicazioni (UIT), nonché delle norme in materia di sicurezza di cui all’articolo 32 del regolamento (UE) 2016/679 e all’articolo 22 del regolamento (UE) 2018/1725.

(53)

Se del caso, al fine di assicurare l’elaborazione, la disponibilità, la manutenzione, la supervisione, il monitoraggio e la gestione della sicurezza delle parti del sistema tecnico di cui la Commissione è responsabile, la Commissione dovrebbe richiedere il parere del Garante europeo della protezione dei dati.

(54)

Le autorità competenti e la Commissione dovrebbero assicurare che le informazioni, le procedure e i servizi di loro competenza rispettino i criteri di qualità. I coordinatori nazionali nominati a norma del presente regolamento e la Commissione dovrebbero verificare a intervalli regolari il rispetto dei criteri di qualità e sicurezza a livello dell’Unione e nazionale, rispettivamente, e risolvere eventuali problemi. I coordinatori nazionali dovrebbero inoltre assistere la Commissione nel controllare il funzionamento del sistema tecnico che consente lo scambio transfrontaliero di prove. Il presente regolamento dovrebbe attribuire alla Commissione una gamma di mezzi per far fronte a un eventuale deterioramento della qualità dei servizi offerti mediante lo sportello, a seconda della gravità e della persistenza del deterioramento, anche con l’intervento, ove necessario, del gruppo di coordinamento dello sportello, senza pregiudicare la responsabilità generale della Commissione per quanto riguarda il controllo del rispetto del presente regolamento.

(55)

Il presente regolamento dovrebbe specificare le principali funzionalità degli strumenti tecnici di supporto al funzionamento dello sportello, in particolare l’interfaccia utenti comune, il repertorio di link e lo strumento comune di reperimento di servizi di assistenza. L’interfaccia utenti comune dovrebbe garantire che gli utenti possano reperire facilmente informazioni, procedure e servizi di assistenza e di risoluzione dei problemi sui siti Internet dell’Unione e nazionali. Gli Stati membri e la Commissione dovrebbero mirare a fornire link verso un’unica fonte di informazioni necessaria per lo sportello, in modo da evitare che tra gli utenti si crei confusione a causa dell’esistenza di fonti diverse, che costituiscono duplicazioni totali o parziali, per una stessa informazione. Ciò non dovrebbe escludere la possibilità di fornire link alla stessa informazione da parte delle autorità competenti a livello locale o regionale per quanto riguarda le diverse aree geografiche. Non dovrebbe nemmeno impedire la duplicazione di alcune informazioni qualora ciò sia inevitabile o auspicabile, per esempio nei casi in cui alcuni diritti, obblighi e norme dell’Unione siano ripetuti o descritti sui siti web nazionali per migliorare la facilità d’uso. Per ridurre al minimo l’intervento umano nell’aggiornamento dei link da utilizzare nell’interfaccia utenti comune, è opportuno creare un collegamento diretto tra i pertinenti sistemi tecnici degli Stati membri e il repertorio di link, ove ciò sia possibile sul piano tecnico. I comuni strumenti di supporto TIC potrebbero avvalersi del vocabolario dei servizi pubblici di base (Core Public Services Vocabulary — CPSV) al fine di facilitare l’interoperabilità con la semantica e i cataloghi dei servizi nazionali. Gli Stati membri dovrebbero essere incoraggiati a utilizzare il CPSV, pur mantenendo la possibilità di decidere di utilizzare soluzioni nazionali. Le informazioni contenute nel repertorio di link dovrebbero essere messe a disposizione del pubblico in un formato aperto, di uso comune e leggibile elettronicamente, ad esempio tramite interfacce per programmi applicativi (application programming interfaces — API), per consentirne il riutilizzo.

(56)

Lo strumento di ricerca dell’interfaccia utenti comune dovrebbe permettere agli utenti di recuperare le informazioni di cui hanno bisogno su qualsiasi sito web a livello di Unione e nazionale. Inoltre, un modo alternativo per guidare gli utenti alle informazioni di cui hanno bisogno consisterebbe nel continuare a creare link tra pagine e siti web esistenti e complementari, semplificandoli e raggruppandoli per quanto possibile, così come creare link tra pagine e siti web a livello di Unione e nazionale che forniscono accesso a servizi e informazioni in linea.

(57)

Il presente regolamento dovrebbe inoltre specificare requisiti in materia di qualità per l’interfaccia utenti comune. La Commissione dovrebbe garantire che l’interfaccia utenti comune sia conforme a tali requisiti e in particolare che sia disponibile e accessibile in linea attraverso vari canali, oltre che di facile utilizzo.

(58)

Al fine di garantire condizioni uniformi per l’attuazione delle soluzioni tecniche di supporto allo sportello è opportuno attribuire alla Commissione competenze di esecuzione per stabilire, ove necessario, le norme applicabili e i requisiti di interoperabilità al fine di facilitare il reperimento delle informazioni sulle norme e sugli obblighi, sulle procedure e sui servizi di assistenza e di risoluzione dei problemi dei quali gli Stati membri e la Commissione hanno la responsabilità. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio.

(59)

Il presente regolamento dovrebbe inoltre assegnare chiaramente alla Commissione e agli Stati membri le responsabilità riguardanti lo sviluppo, la disponibilità, la manutenzione e la sicurezza delle applicazioni TIC di supporto allo sportello. Nell’ambito dei loro compiti di manutenzione, la Commissione e gli Stati membri dovrebbero monitorare periodicamente il regolare funzionamento di tali applicazioni TIC.

(60)

Al fine di sviluppare appieno il potenziale dei diversi settori d’informazione, delle procedure e dei servizi di assistenza e di risoluzione dei problemi che dovrebbero essere inclusi nello sportello, si dovrebbe diffondere molto meglio la conoscenza della loro esistenza e del loro funzionamento tra gli utenti destinatari. La loro inclusione nello sportello dovrebbe facilitare notevolmente il reperimento di informazioni, procedure e servizi di assistenza e di risoluzione dei problemi da parte degli utenti che ne hanno bisogno, anche se non li conoscono. Inoltre saranno necessarie attività coordinate di promozione al fine di garantire che i cittadini e le imprese in tutta l’Unione sappiano dell’esistenza dello sportello e dei vantaggi che esso offre. Tali attività di promozione dovrebbero includere l’ottimizzazione per i motori di ricerca e altre azioni di sensibilizzazione in linea, dal momento che queste sono maggiormente efficienti sotto il profilo dei costi e possono potenzialmente raggiungere il più ampio pubblico possibile. Per garantire la massima efficienza, tali attività promozionali dovrebbero essere coordinate nel quadro del gruppo di coordinamento dello sportello e gli Stati membri dovrebbero adeguare le loro campagne promozionali in modo che vi sia un marchio comune di riferimento in tutti i contesti pertinenti, con la possibilità di associare il marchio dello sportello alle iniziative nazionali.

(61)

Tutti gli organi, gli organismi e le istituzioni dell’Unione dovrebbero essere invitati a promuovere lo sportello inserendo il logo e i link allo stesso in tutte le pertinenti pagine web dei quali hanno la responsabilità.

(62)

Il nome con cui lo sportello sarà designato e promosso presso il pubblico dovrebbe essere «Your Europe». L’interfaccia utenti comune dovrebbe essere visibile e facile da trovare, in particolare sulle pertinenti pagine web dell’Unione e nazionali. Il logo dello sportello dovrebbe essere visibile nei pertinenti siti web dell’Unione e nazionali.

(63)

Al fine di ottenere informazioni appropriate per misurare e migliorare i risultati dello sportello, il presente regolamento dovrebbe imporre alle autorità competenti e alla Commissione di raccogliere e analizzare i dati connessi all’uso dei diversi settori d’informazione, delle procedure e dei servizi di informazione offerti tramite lo sportello. La raccolta di statistiche relative agli utenti, come i dati in merito al numero di visite a specifiche pagine web, al numero di utenti all’interno di uno Stato membro rispetto a quello di utenti di altri Stati membri, ai termini di ricerca utilizzati, alle pagine web più visitate, ai siti di indirizzamento o al numero, all’origine e all’oggetto delle richieste di assistenza, dovrebbe migliorare il funzionamento dello sportello contribuendo a individuare il pubblico, a sviluppare attività di promozione e a migliorare la qualità dei servizi offerti. La raccolta di tali dati dovrebbe tenere conto dell’analisi comparativa annuale in materia di governo elettronico realizzata dalla Commissione al fine di evitare duplicazioni.

(64)

Al fine di garantire condizioni uniformi di esecuzione del presente regolamento, dovrebbero essere attribuite alla Commissione competenze di esecuzione. per stabilire norme uniformi sul metodo di raccolta e scambio delle statistiche relative agli utenti. Tali competenze di esecuzione dovrebbero essere esercitate conformemente al regolamento (UE) n. 182/2011.

(65)

La qualità dello sportello dipende dalla qualità dei servizi dell’Unione e nazionali prestati attraverso lo sportello. Pertanto, la qualità delle informazioni, delle procedure e dei servizi di assistenza e di risoluzione dei problemi disponibili tramite lo sportello dovrebbe essere regolarmente monitorata anche mediante uno strumento di riscontro che inviti gli utenti a valutare la portata e la qualità delle informazioni, delle procedure o dei servizi di assistenza e di risoluzione dei problemi che hanno utilizzato e a esprimere riscontri al riguardo. I riscontri degli utenti dovrebbero essere raccolte in uno strumento comune cui dovrebbero poter accedere la Commissione, le autorità competenti e i coordinatori nazionali. Al fine di garantire condizioni uniformi di attuazione del presente regolamento in relazione alle funzionalità comuni degli strumenti di riscontro degli utenti e alle modalità di raccolta e condivisione dei riscontri degli utenti, è opportuno attribuire competenze di esecuzione alla Commissione. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011. La Commissione dovrebbe pubblicare in forma anonima panoramiche sintetiche in linea dei problemi che emergono dalle informazioni, dalle principali statistiche relative agli utenti e dai principali riscontri degli utenti raccolti a norma del presente regolamento.

(66)

In aggiunta, lo sportello dovrebbe comprendere uno strumento di riscontro che consenta agli utenti di segnalare, su base facoltativa e in forma anonima, i problemi e le difficoltà incontrati nell’esercizio dei loro diritti nel mercato interno. Tale strumento dovrebbe essere considerato solo complementare al meccanismo per il trattamento dei reclami, in quanto non può offrire una risposta personalizzata agli utenti. Le osservazioni ricevute dovrebbero essere combinate con le informazioni aggregate provenienti dai servizi di assistenza e di risoluzione dei problemi riguardanti i casi trattati al fine di elaborare una panoramica di come gli utenti percepiscano il mercato interno, individuare le aree problematiche per eventuali azioni future e migliorare il funzionamento del mercato interno. Tale panoramica dovrebbe essere collegata agli strumenti di comunicazione esistenti, come il quadro di valutazione del mercato unico.

(67)

Il presente regolamento dovrebbe lasciare impregiudicato il diritto degli Stati membri di decidere chi debba svolgere il ruolo di coordinatore nazionale. Gli Stati membri dovrebbero poter adattare le funzioni e responsabilità dei loro coordinatori nazionali relative allo sportello alle loro strutture amministrative interne. Gli Stati membri dovrebbero poter nominare coordinatori nazionali supplementari che svolgano i compiti di cui al presente regolamento, da soli o insieme ad altri, e siano responsabili di una divisione dell’amministrazione, una regione geografica o in base a un altro criterio. Gli Stati membri dovrebbero informare la Commissione in merito all’identità del coordinatore nazionale unico che hanno nominato per i contatti con la Commissione stessa.

(68)

Al fine di facilitare l’applicazione del presente regolamento, in particolare mediante lo scambio delle migliori prassi e la cooperazione per migliorare la coerenza della presentazione delle informazioni, come disposto nel presente regolamento, si dovrebbe istituire un gruppo di coordinamento dello sportello composto dai coordinatori nazionali e presieduto dalla Commissione. I lavori del gruppo di coordinamento dello sportello dovrebbero tenere conto degli obiettivi fissati nel programma di lavoro annuale, che la Commissione dovrebbe presentare, per esame, al gruppo stesso. Il programma di lavoro annuale dovrebbe assumere la forma di orientamenti o raccomandazioni, privi di effetti vincolanti per gli Stati membri. La Commissione, su richiesta del Parlamento europeo, può decidere di invitare tale istituzione a inviare esperti affinché partecipino alle riunioni del gruppo di coordinamento dello sportello.

(69)

Il presente regolamento dovrebbe precisare quali parti dello sportello debbano essere finanziate attraverso il bilancio dell’Unione e quali siano di responsabilità degli Stati membri. La Commissione dovrebbe assistere gli Stati membri nell’individuazione dei moduli costitutivi TIC riutilizzabili e dei finanziamenti disponibili attraverso vari fondi e programmi a livello dell’Unione, che possono contribuire a coprire i costi degli adeguamenti e degli sviluppi TIC necessari a livello nazionale per conformarsi al presente regolamento. Il bilancio necessario per l’attuazione del presente regolamento dovrebbe essere compatibile con il quadro finanziario pluriennale applicabile.

(70)

Gli Stati membri sono incoraggiati ad accrescere il coordinamento, lo scambio e la collaborazione reciproci per potenziare le loro capacità strategiche, operative e di ricerca e sviluppo nel settore della cibersicurezza, in particolare mediante l’attuazione della sicurezza delle reti e dei sistemi informativi di cui alla direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (27), al fine di rafforzare la sicurezza e la resilienza dell’amministrazione e dei servizi pubblici. Gli Stati membri sono incoraggiati ad aumentare la sicurezza delle transazioni e ad assicurare un livello di fiducia sufficiente nei mezzi elettronici mediante l’uso del quadro eIDAS stabilito dal regolamento (UE) n. 910/2014 e, in particolare, di livelli di garanzia adeguati. Gli Stati membri possono adottare misure compatibili con il diritto dell’Unione al fine di garantire la cibersicurezza e prevenire il furto d’identità o altre forme di frodi.

(71)

Se l’attuazione del presente regolamento comporta il trattamento di dati personali, questo dovrebbe essere effettuato conformemente al diritto dell’Unione in materia di protezione dei dati personali, in particolare il regolamento (UE) 2016/679 e il regolamento (UE) 2018/1725. Anche la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (28) si dovrebbe applicare nel contesto del presente regolamento. Come previsto dal regolamento (UE) 2016/679, gli Stati membri possono mantenere o introdurre ulteriori condizioni, fra cui limitazioni, con riguardo al trattamento di dati relativi alla salute, e possono anche prevedere norme più specifiche per il trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro.

(72)

Il presente regolamento dovrebbe promuovere e agevolare la semplificazione delle modalità di governance per i servizi inclusi nello sportello. A tal fine la Commissione dovrebbe, in stretta cooperazione con gli Stati membri, rivedere le modalità di governance esistenti e adattarle, se necessario, al fine di evitare duplicazioni e inefficienze.

(73)

L’obiettivo del presente regolamento è garantire che gli utenti che operano in altri Stati membri abbiano un accesso in linea a informazioni dell’Unione e nazionali riguardanti i diritti, le norme e gli obblighi che siano complete, affidabili, accessibili e comprensibili, a procedure in linea che siano completamente operative a livello transnazionale e a servizi di assistenza e di risoluzione dei problemi. Poiché tale obiettivo non può essere conseguito in misura sufficiente dagli Stati membri, ma, a motivo della portata e degli effetti del presente regolamento, può essere conseguito meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(74)

Per consentire agli Stati membri e alla Commissione di sviluppare e applicare gli strumenti necessari per dare attuazione al presente regolamento, è opportuno che alcune disposizioni si applichino due anni dopo la data di entrata in vigore. Le autorità comunali dovrebbero disporre di un periodo fino a quattro anni dopo l’entrata in vigore del presente regolamento per soddisfare l’obbligo di fornire informazioni relative alle norme, alle procedure e ai servizi di assistenza e di risoluzione dei problemi rientranti tra le loro competenze. Le disposizioni del presente regolamento relative alle procedure da offrire interamente in linea, all’accesso transfrontaliero alle procedure in linea e al sistema tecnico per lo scambio automatico transfrontaliero delle prove conformemente al principio «una tantum» dovrebbero essere attuate al più tardi entro cinque anni dopo l’entrata in vigore del presente regolamento.

(75)

Il presente regolamento rispetta i diritti fondamentali e osserva i principi sanciti in particolare dalla Carta dei diritti fondamentali dell’Unione europea e dovrebbe essere applicato conformemente a tali diritti e principi.

(76)

Il Garante europeo della protezione dei dati è stato consultato a norma dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (29) ed ha espresso un parere il 1o agosto 2017 (30),

(1)

La protezione delle persone fisiche in relazione al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Tale diritto è garantito altresì dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.

(2)

Il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (3) conferisce alle persone fisiche diritti giuridicamente tutelati, precisa gli obblighi dei titolari del trattamento in seno alle istituzioni e agli organi dell’Unione e istituisce un’autorità di controllo indipendente, il Garante europeo della protezione dei dati, incaricata di sorvegliare il trattamento dei dati personali effettuato dalle istituzioni e dagli organi dell’Unione. Non si applica, però, al trattamento dei dati personali nel corso di un’attività delle istituzioni e degli organi dell’Unione che esuli dall’ambito di applicazione del diritto dell’Unione.

(3)

Il 27 aprile 2016 sono stati adottati il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (4) e la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (5). Il regolamento stabilisce norme generali per la protezione delle persone fisiche in relazione al trattamento dei dati personali e per la libera circolazione dei dati personali nell’Unione, mentre la direttiva prevede norme specifiche per la protezione delle persone fisiche in relazione al trattamento dei dati personali e per la libera circolazione dei dati personali nell’Unione nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia.

(4)

Il regolamento (UE) 2016/679 reca gli adeguamenti del regolamento (CE) n. 45/2001 necessari per assicurare un quadro di protezione dei dati solido e coerente nell’Unione e per consentirne l’applicazione parallelamente al regolamento (UE) 2016/679.

(5)

È nell’interesse di un approccio coerente alla protezione dei dati in tutta l’Unione e della libera circolazione dei dati personali all’interno dell’Unione allineare per quanto possibile le norme sulla protezione dei dati per le istituzioni, gli organi e gli organismi dell’Unione a quelle adottate per il settore pubblico degli Stati membri. Quando le disposizioni del presente regolamento seguono gli stessi principi delle disposizioni del regolamento (UE) 2016/679, conformemente alla giurisprudenza della Corte di giustizia dell’Unione europea («Corte di giustizia») le disposizioni dei due regolamenti dovrebbero essere interpretate in modo omogeneo, in particolare in considerazione del fatto che il regime del presente regolamento dovrebbe essere inteso come equivalente a quello del regolamento (UE) 2016/679.

(6)

Le persone i cui dati personali sono trattati da istituzioni e organi dell’Unione, in qualsiasi circostanza, ad esempio in quanto impiegate presso tali istituzioni e organi, dovrebbero essere tutelate. Il presente regolamento non si dovrebbe applicare al trattamento dei dati personali delle persone decedute. Esso non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto.

(7)

Al fine di evitare l’insorgere di gravi rischi di elusione, la protezione delle persone fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate.

(8)

È opportuno che il presente regolamento si applichi al trattamento dei dati personali da parte di tutte le istituzioni e di tutti gli organi e gli organismi dell’Unione. Dovrebbe applicarsi al trattamento di dati personali interamente o parzialmente automatizzato e al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi. Non dovrebbero rientrare nell’ambito di applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine.

(9)

Nella dichiarazione n. 21, relativa alla protezione dei dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, allegata all’atto finale della conferenza intergovernativa che ha adottato il trattato di Lisbona, la conferenza riconosce che potrebbero rivelarsi necessarie, in considerazione della specificità dei settori in questione, norme specifiche sulla protezione dei dati personali e sulla libera circolazione di dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia in base all’articolo 16 TFUE. Un capo distinto del presente regolamento contenente norme generali dovrebbe pertanto applicarsi al trattamento dei dati personali operativi, quali i dati personali trattati a fini di indagine penale da parte di organi o organismi dell’Unione nell’esercizio di attività nei settori della cooperazione giudiziaria e in materia penale e della cooperazione di polizia.

(10)

La direttiva (UE) 2016/680 stabilisce norme armonizzate per la protezione e la libera circolazione dei dati personali trattati a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica. Al fine di assicurare lo stesso livello di protezione per le persone fisiche mediante diritti azionabili in tutta l’Unione e di prevenire disparità che possano ostacolare lo scambio di dati personali tra gli organi o gli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE e le autorità competenti, è opportuno che le norme per la protezione e la libera circolazione dei dati personali operativi trattati da tali organi o organismi dell’Unione siano coerenti con la direttiva (UE) 2016/680.

(11)

Le norme generali del capo del presente regolamento relativo al trattamento dei dati personali operativi dovrebbero applicarsi fatte salve le norme specifiche applicabili al trattamento dei dati personali operativi da parte degli organi o degli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE. Tali norme specifiche dovrebbero essere considerate come lex specialis rispetto alle disposizioni del capo del presente regolamento relativo al trattamento dei dati personali operativi (lex specialis derogat legi generali). Al fine di ridurre la frammentazione giuridica, le norme specifiche sulla protezione dei dati applicabili al trattamento dei dati personali operativi da parte degli organi o degli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE dovrebbero essere coerenti con i principi alla base del capo del presente regolamento relativo al trattamento dei dati personali operativi, nonché con le disposizioni del presente regolamento relative al controllo indipendente, ai ricorsi giurisdizionali, alla responsabilità e alle sanzioni.

(12)

Il capo del presente regolamento relativo al trattamento dei dati personali operativi dovrebbe applicarsi agli organi e agli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE, come compiti principali o accessori, a fini di prevenzione, accertamento, indagine o perseguimento di reati. Tuttavia, esso non dovrebbe applicarsi a Europol o alla Procura europea finché gli atti giuridici che istituiscono Europol e la Procura europea non siano stati modificati al fine di rendere loro applicabile il capo del presente regolamento relativo al trattamento dei dati personali operativi, nella versione adattata.

(13)

La Commissione dovrebbe effettuare un riesame del presente regolamento, in particolare del capo del presente regolamento relativo al trattamento dei dati personali operativi. La Commissione dovrebbe altresì svolgere un riesame di altri atti giuridici adottati sulla base dei trattati che disciplinano il trattamento dei dati personali operativi da parte degli organi o degli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE. A seguito di tale riesame, allo scopo di garantire una protezione uniforme e coerente delle persone fisiche in relazione al trattamento dei dati personali, la Commissione dovrebbe poter presentare opportune proposte legislative, compresi gli adeguamenti del capo del presente regolamento relativo al trattamento dei dati personali operativi, al fine di applicarlo a Europol e alla Procura europea. Gli adeguamenti dovrebbero tener conto delle disposizioni relative al controllo indipendente, ai ricorsi giurisdizionali, alla responsabilità e alle sanzioni.

(14)

Il trattamento dei dati personali amministrativi, quali i dati relativi al personale, da parte degli organi o degli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE dovrebbe essere disciplinato dal presente regolamento.

(15)

Il presente regolamento dovrebbe applicarsi al trattamento dei dati personali da parte delle istituzioni, degli organi o degli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione del titolo V, capo 2, del trattato sull’Unione europea (TUE). Il presente regolamento non dovrebbe applicarsi al trattamento dei dati personali da parte delle missioni di cui all’articolo 42, paragrafo 1, e agli articoli 43 e 44 TUE, che attuano la politica di sicurezza e di difesa comune. Ove opportuno, dovrebbero essere presentate opportune proposte al fine di regolamentare ulteriormente il trattamento dei dati personali nel settore della politica di sicurezza e di difesa comune.

(16)

È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori oggettivi, tra cui i costi e il tempo necessari per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.

(17)

L’applicazione della pseudonimizzazione ai dati personali può ridurre i rischi per gli interessati e aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati. L’introduzione esplicita della «pseudonimizzazione» nel presente regolamento non è intesa a precludere altre misure di protezione dei dati.

(18)

Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.

(19)

Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbero pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso. Tuttavia, l’interessato dovrebbe avere il diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso espresso prima della revoca. Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto giuridico per il trattamento dei dati personali in un caso specifico in cui esista un evidente squilibrio tra l’interessato e il titolare del trattamento e sia pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. In molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati. Pertanto, dovrebbe essere consentito agli interessati di prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica. Gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista.

(20)

Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente in relazione alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che le riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso non autorizzato ai dati personali e alle attrezzature impiegate per il trattamento o l’utilizzo non autorizzato degli stessi, nonché per impedirne la comunicazione non autorizzata al momento della trasmissione.

(21)

Conformemente al principio di responsabilizzazione, le istituzioni e gli organi dell’Unione, quando trasmettono dati personali all’interno della stessa istituzione o dello stesso organo dell’Unione e il destinatario non fa parte del titolare del trattamento o ad altre istituzioni o altri organi dell’Unione, dovrebbero verificare se tali dati personali sono necessari per il legittimo esercizio dei compiti che rientrano nelle competenze del destinatario. In particolare, a seguito della richiesta di trasmissione di dati personali da parte di un destinatario, il titolare del trattamento dovrebbe verificare la sussistenza di un motivo pertinente per effettuare in modo lecito il trattamento e la competenza del destinatario. Il titolare del trattamento dovrebbe anche effettuare una valutazione provvisoria della necessità della trasmissione dei dati. Qualora emergano dubbi su tale necessità, il titolare del trattamento dovrebbe chiedere ulteriori spiegazioni al destinatario. Il destinatario dovrebbe provvedere a che si possa successivamente verificare la necessità del trasferimento dei dati.

(22)

Perché sia lecito, il trattamento di dati personali dovrebbe fondarsi sulla necessità delle istituzioni e degli organi dell’Unione di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, sulla necessità di adempiere a un obbligo legale al quale è soggetto il titolare del trattamento o su qualsiasi altra base legittima a norma del presente regolamento, incluso il consenso dell’interessato o la necessità di esecuzione di un contratto di cui l’interessato è parte o di esecuzione di misure precontrattuali adottate su richiesta dello stesso. Il trattamento di dati personali per l’esercizio dei compiti svolti da istituzioni e organi dell’Unione nell’interesse pubblico comprende il trattamento dei dati personali necessari alla gestione e al funzionamento di tali istituzioni e organi. Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica. Il trattamento di dati personali fondato sull’interesse vitale di un’altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento non può essere manifestamente fondato su un’altra base giuridica. Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.

(23)

Il diritto dell’Unione di cui al presente regolamento dovrebbe essere chiaro e preciso, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità dei requisiti previsti dalla Carta e dalla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.

(24)

Le norme interne di cui al presente regolamento dovrebbero essere atti di applicazione generale chiari e precisi intesi a produrre effetti giuridici nei confronti degli interessati. Esse dovrebbero essere adottate al più alto livello di gestione delle istituzioni e degli organi dell’Unione, nell’ambito delle rispettive competenze e per questioni connesse al loro funzionamento, e dovrebbero essere pubblicate nella Gazzetta ufficiale dell’Unione europea. L’applicazione di tali norme dovrebbe essere prevedibile per le persone che vi sono sottoposte conformemente ai requisiti previsti dalla Carta e dalla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Le norme interne potrebbero assumere la forma di decisioni, in particolare ove adottate dalle istituzioni dell’Unione.

(25)

Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali. Se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento, il diritto dell’Unione può stabilire e precisare le finalità e i compiti per i quali l’ulteriore trattamento è considerato lecito e compatibile. L’ulteriore trattamento a fini di archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici dovrebbe essere considerato un trattamento lecito e compatibile. La base giuridica fornita dal diritto dell’Unione per il trattamento dei dati personali può anche costituire una base giuridica per l’ulteriore trattamento. Per accertare se la finalità di un ulteriore trattamento sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento, dopo aver soddisfatto tutti i requisiti per la liceità del trattamento originario, dovrebbe tener conto, tra l’altro, di ogni nesso tra tali finalità e le finalità dell’ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in particolare le ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento con riguardo al loro ulteriore utilizzo, della natura dei dati personali, delle conseguenze dell’ulteriore trattamento previsto per gli interessati e dell’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto.

(26)

Per i trattamenti basati sul consenso dell’interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un’altra questione dovrebbero esistere garanzie che assicurino che l’interessato sia consapevole del fatto di esprimere un consenso e della misura in cui ciò avviene. In conformità della direttiva 93/13/CEE del Consiglio (6) è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive. Ai fini di un consenso informato, l’interessato dovrebbe essere posto a conoscenza almeno dell’identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.

(27)

I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe riguardare, in particolare, la creazione di profili di personalità e la raccolta di dati personali relativi ai minori quando sono proposti servizi direttamente a un minore sui siti web delle istituzioni e degli organi dell’Unione, quali i servizi di comunicazione interpersonale o la vendita di biglietti online, e il trattamento dei dati personali si basa sul consenso.

(28)

I destinatari stabiliti nell’Unione diversi dalle istituzioni e dagli organi dell’Unione che desiderino che le istituzioni e gli organi dell’Unione trasmettano loro dati personali dovrebbero dimostrare che i dati sono necessari per l’esecuzione di un loro compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui sono investiti. In alternativa, tali destinatari dovrebbero dimostrare che la trasmissione è necessaria al fine specifico di servire l’interesse pubblico e il responsabile del trattamento dovrebbe stabilire se sussistono motivi per presumere che gli interessi legittimi dell’interessato possano subire pregiudizio. In tali casi, il responsabile del trattamento dovrebbe chiaramente soppesare i vari interessi in conflitto al fine di valutare se la trasmissione di dati personali richiesta sia proporzionata. Il fine specifico di servire l’interesse pubblico potrebbe riguardare la trasparenza delle istituzioni e degli organi dell’Unione. Nel rispetto del principio della trasparenza e della buona amministrazione, le istituzioni e gli organi dell’Unione dovrebbero dimostrare tale necessità quando danno origine a una trasmissione. I requisiti previsti dal presente regolamento per la trasmissione a destinatari stabiliti nell’Unione diversi dalle istituzioni e dagli organi dell’Unione dovrebbero essere intesi come complementari alle condizioni per il trattamento lecito.

(29)

Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che non siano soddisfatte le condizioni specifiche di cui al presente regolamento. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l’origine razziale o etnica, fermo restando che l’utilizzo dei termini «origine razziale» nel presente regolamento non implica l’accettazione da parte dell’Unione di teorie che tentano di dimostrare l’esistenza di razze umane distinte. Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto se trattate attraverso un dispositivo tecnico specifico che consenta l’identificazione univoca o l’autenticazione di una persona fisica. Oltre ai requisiti specifici per il trattamento dei dati sensibili, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l’altro per i casi in cui l’interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l’esercizio delle libertà fondamentali.

(30)

Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell’intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale. Pertanto il presente regolamento dovrebbe prevedere condizioni armonizzate per il trattamento di categorie particolari di dati personali relativi alla salute in relazione a esigenze specifiche, in particolare qualora il trattamento di tali dati sia svolto da persone vincolate dal segreto professionale per talune finalità connesse alla salute. Il diritto dell’Unione dovrebbe prevedere misure specifiche e appropriate a protezione dei diritti fondamentali e dei dati personali delle persone fisiche.

(31)

Il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell’interessato. Tale trattamento dovrebbe essere soggetto a misure appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche. In tale contesto, la nozione di «sanità pubblica» dovrebbe essere interpretata secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio (7): tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all’assistenza sanitaria, la prestazione di assistenza sanitaria e l’accesso universale a essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità. Il trattamento dei dati relativi alla salute effettuato per motivi di interesse pubblico non dovrebbe comportare il trattamento dei dati personali per altre finalità.

(32)

Se i dati personali che tratta non gli consentono di identificare una persona fisica, il titolare del trattamento non dovrebbe essere obbligato ad acquisire ulteriori informazioni per identificare l’interessato al solo fine di rispettare una disposizione del presente regolamento. Tuttavia, il titolare del trattamento non dovrebbe rifiutare le ulteriori informazioni fornite dall’interessato al fine di sostenere l’esercizio dei suoi diritti. L’identificazione dovrebbe includere l’identificazione digitale di un interessato, ad esempio mediante un meccanismo di autenticazione quali le stesse credenziali, utilizzate dall’interessato per l’accesso (log in) al servizio online offerto dal titolare del trattamento.

(33)

Il trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici dovrebbe essere soggetto a garanzie adeguate per i diritti e le libertà dell’interessato, in conformità del presente regolamento. Tali garanzie dovrebbero assicurare che siano state predisposte misure tecniche e organizzative al fine di garantire, in particolare, il principio della minimizzazione dei dati. L’ulteriore trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è da effettuarsi quando il titolare del trattamento ha valutato la fattibilità di conseguire tali finalità trattando dati personali che non consentono o non consentono più di identificare l’interessato, purché esistano garanzie adeguate (come ad esempio la pseudonimizzazione dei dati personali). Le istituzioni e gli organi dell’Unione dovrebbero prevedere garanzie adeguate nel diritto dell’Unione, ed eventualmente nelle norme interne adottate dalle istituzioni e dagli organi dell’Unione relative a questioni connesse al loro funzionamento, per il trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

(34)

È opportuno prevedere modalità volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti di cui al presente regolamento, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare, l’accesso ai dati, la loro rettifica o cancellazione e per esercitare il diritto di opposizione. Il titolare del trattamento dovrebbe predisporre anche i mezzi per inoltrare le richieste per via elettronica, in particolare qualora i dati personali siano trattati con mezzi elettronici. Il titolare del trattamento dovrebbe essere tenuto a rispondere alle richieste dell’interessato senza indebito ritardo e al più tardi entro un mese e a motivare la sua eventuale intenzione di non accogliere tali richieste.

(35)

I principi di trattamento corretto e trasparente implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità. Il titolare del trattamento dovrebbe fornire all’interessato eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati. Inoltre l’interessato dovrebbe essere informato dell’esistenza di una profilazione e delle conseguenze della stessa. In caso di dati personali raccolti direttamente presso l’interessato, questi dovrebbe inoltre essere informato dell’eventuale obbligo di fornire i dati personali e delle conseguenze in cui incorre se si rifiuta di fornirli. Tali informazioni potrebbero essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone dovrebbero essere leggibili da dispositivo automatico.

(36)

L’interessato dovrebbe ricevere le informazioni relative al trattamento di dati personali che lo riguardano al momento della raccolta presso l’interessato o, se i dati sono ottenuti da altra fonte, entro un termine ragionevole, in funzione delle circostanze del caso. Se i dati personali possono essere legittimamente comunicati a un altro destinatario, l’interessato dovrebbe esserne informato nel momento in cui il destinatario riceve la prima comunicazione dei dati personali. Il titolare del trattamento, qualora intenda trattare i dati personali per una finalità diversa da quella per cui sono stati raccolti, dovrebbe fornire all’interessato, prima di tale ulteriore trattamento, informazioni in merito a tale finalità diversa e altre informazioni necessarie. Qualora non sia possibile comunicare all’interessato l’origine dei dati personali perché sono state utilizzate varie fonti, dovrebbe essere fornita un’informazione di carattere generale.

(37)

Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che lo riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità. Ciò include il diritto di accedere ai dati relativi alla salute, ad esempio le cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati. Ogni interessato dovrebbe pertanto avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento. Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software. Tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni. Se il titolare del trattamento tratta una notevole quantità d’informazioni riguardanti l’interessato, il titolare in questione dovrebbe poter richiedere che l’interessato precisi, prima che siano fornite le informazioni, l’informazione o le attività di trattamento cui la richiesta si riferisce.

(38)

L’interessato dovrebbe avere il diritto di ottenere la rettifica dei dati personali che lo riguardano e il «diritto all’oblio» se la conservazione di tali data violi il presente regolamento o il diritto dell’Unione cui è soggetto il titolare del trattamento. L’interessato dovrebbe avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il proprio consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al presente regolamento. Tale diritto è in particolare rilevante se l’interessato ha prestato il proprio consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminare tale tipo di dati personali, in particolare da Internet. L’interessato dovrebbe poter esercitare tale diritto nonostante il fatto che non è più un minore. Tuttavia, dovrebbe essere lecita l’ulteriore conservazione dei dati personali qualora sia necessaria per esercitare il diritto alla libertà di espressione e di informazione, per adempiere un obbligo legale, per eseguire un compito di interesse pubblico o nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento, per motivi di interesse pubblico nel settore della sanità pubblica, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, ovvero per accertare, esercitare o difendere un diritto in sede giudiziaria.

(39)

Per rafforzare il «diritto all’oblio» nell’ambiente online, è opportuno che il diritto di cancellazione sia esteso in modo tale da obbligare il titolare del trattamento che ha pubblicato dati personali a informare i titolari del trattamento che trattano tali dati personali di cancellare qualsiasi link verso tali dati personali o copia o riproduzione di detti dati personali. Nel fare ciò, è opportuno che il titolare del trattamento adotti misure ragionevoli tenendo conto della tecnologia disponibile e dei mezzi a sua disposizione, comprese le misure tecniche, per informare della richiesta dell’interessato i titolari del trattamento che trattano i dati personali.

(40)

Le modalità per limitare il trattamento dei dati personali potrebbero consistere, tra l’altro, nel trasferire temporaneamente i dati selezionati verso un altro sistema di trattamento, nel rendere i dati personali selezionati inaccessibili agli utenti o nel rimuovere temporaneamente i dati pubblicati da un sito web. Negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe in linea di massima essere assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati. Il sistema dovrebbe indicare chiaramente che il trattamento dei dati personali è stato limitato.

(41)

Per rafforzare ulteriormente il controllo sui propri dati è opportuno anche che l’interessato abbia il diritto, qualora i dati personali siano trattati con mezzi automatizzati, di ricevere in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile i dati personali che lo riguardano che abbia fornito a un titolare del trattamento e di trasmetterli a un altro titolare del trattamento. È opportuno incoraggiare i titolari del trattamento a sviluppare formati interoperabili che consentano la portabilità dei dati. Tale diritto dovrebbe applicarsi qualora l’interessato abbia fornito i dati personali sulla base del proprio consenso o se il trattamento è necessario per l’esecuzione di un contratto. Non dovrebbe pertanto applicarsi quando il trattamento dei dati personali è necessario per l’adempimento di un obbligo legale cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Il diritto dell’interessato di trasmettere o ricevere dati personali che lo riguardano non dovrebbe comportare l’obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento tecnicamente compatibili. Qualora un certo insieme di dati personali riguardi più di un interessato, il diritto di ricevere i dati personali non dovrebbe pregiudicare i diritti e le libertà degli altri interessati in ottemperanza del presente regolamento. Inoltre tale diritto non dovrebbe pregiudicare il diritto dell’interessato di ottenere la cancellazione dei dati personali e le limitazioni di tale diritto di cui al presente regolamento e non dovrebbe segnatamente implicare la cancellazione dei dati personali riguardanti l’interessato forniti da quest’ultimo per l’esecuzione di un contratto, nella misura in cui e fintantoché i dati personali siano necessari all’esecuzione di tale contratto. Ove tecnicamente fattibile, l’interessato dovrebbe avere il diritto di ottenere che i dati personali siano trasmessi direttamente da un titolare del trattamento a un altro.

(42)

Qualora i dati personali possano essere lecitamente trattati, essendo il trattamento necessario per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento, l’interessato dovrebbe comunque avere il diritto di opporsi al trattamento dei dati personali che riguardano la sua situazione particolare. È opportuno che incomba al titolare del trattamento dimostrare che i suoi interessi legittimi cogenti prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato.

(43)

L’interessato dovrebbe avere il diritto di non essere sottoposto a una decisione, che può includere una misura, che valuti aspetti personali che lo riguardano, che sia basata unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona, quali le pratiche di assunzione elettronica senza interventi umani. Tale trattamento comprende la «profilazione», che consiste in una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato, ove ciò produca effetti giuridici che la riguardano o incida in modo analogo significativamente sulla sua persona.

Tuttavia, è opportuno che sia consentito adottare decisioni sulla base di tale trattamento, compresa la profilazione, se ciò è espressamente previsto dal diritto dell’Unione. In ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione. Tale misura non dovrebbe riguardare un minore. Al fine di garantire un trattamento corretto e trasparente nel rispetto dell’interessato, tenendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati, è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca, tra l’altro, effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero trattamenti che risultino in misure aventi tali effetti. Il processo decisionale automatizzato e la profilazione basati su categorie particolari di dati personali dovrebbero essere consentiti solo a determinate condizioni.

(44)

Gli atti giuridici adottati sulla base dei trattati o le norme interne adottate dalle istituzioni e dagli organi dell’Unione relative a questioni connesse al loro funzionamento possono imporre limitazioni a specifici principi e ai diritti di informazione, accesso e rettifica o cancellazione dei dati personali, al diritto alla portabilità dei dati, alla riservatezza dei dati delle comunicazioni elettroniche nonché alla comunicazione di una violazione di dati personali all’interessato e ad alcuni obblighi connessi in capo ai titolari del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica e per la prevenzione, l’indagine e il perseguimento di reati o l’esecuzione di sanzioni penali. Ciò comprende la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, la tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, la sicurezza interna delle istituzioni e degli organi dell’Unione, altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare gli obiettivi della politica estera e di sicurezza comune dell’Unione o un interesse economico o finanziario rilevante dell’Unione o di uno Stato membro, e la tenuta di registri pubblici per ragioni di interesse pubblico generale o la tutela dell’interessato o dei diritti e delle libertà altrui, compresi la protezione sociale, la sanità pubblica e gli scopi umanitari.

(45)

È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

(46)

I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o èa loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.

(47)

La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato.

(48)

La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle prescrizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici.

(49)

Il regolamento (UE) 2016/679 prevede che i titolari del trattamento dimostrino il rispetto degli obblighi ad essi incombenti attraverso l’adesione a meccanismi di certificazione approvati. Allo stesso modo, le istituzioni e gli organi dell’Unione dovrebbero essere in grado di dimostrare la conformità al presente regolamento ottenendo la certificazione in conformità dell’articolo 42 del regolamento (UE) 2016/679.

(50)

La protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento e dei responsabili del trattamento esigono una chiara ripartizione delle responsabilità nell’ambito del presente regolamento, compresi i casi in cui un titolare del trattamento stabilisca le finalità e i mezzi del trattamento congiuntamente con altri titolari del trattamento o quando l’operazione di trattamento è eseguita per conto del titolare del trattamento.

(51)

Per garantire che siano rispettate le prescrizioni del presente regolamento riguardo al trattamento che il responsabile del trattamento deve eseguire per conto del titolare del trattamento, quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino le prescrizioni del presente regolamento, anche per la sicurezza del trattamento. L’applicazione da parte dei responsabili del trattamento diversi dalle istituzioni e dagli organi dell’Unione di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento. L’esecuzione dei trattamenti da parte di un responsabile del trattamento diverso da un’istituzione o un organo dell’Unione dovrebbe essere disciplinata da un contratto o, nel caso in cui istituzioni e organi dell’Unione agiscano in qualità di responsabili del trattamento, da un contratto o da altro atto giuridico a norma del diritto dell’Unione che vincoli il responsabile del trattamento al titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e delle responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato. Il titolare del trattamento e il responsabile del trattamento dovrebbero poter scegliere di usare un contratto individuale o clausole contrattuali tipo che sono adottate direttamente dalla Commissione oppure dal Garante europeo della protezione dei dati e successivamente dalla Commissione. Dopo il completamento del trattamento per conto del titolare del trattamento, il responsabile del trattamento dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i dati personali, salvo che il diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento prescriva la conservazione di tali dati personali.

(52)

Per dimostrare che si conformano al presente regolamento, i titolari del trattamento dovrebbero tenere un registro delle attività di trattamento effettuate sotto la propria responsabilità e i responsabili del trattamento dovrebbero tenere un registro delle categorie di attività di trattamento effettuate sotto la propria responsabilità. Le istituzioni e gli organi dell’Unione dovrebbero essere obbligati a cooperare con il Garante europeo della protezione dei dati e a mettere, su richiesta, i propri registri a sua disposizione affinché possano servire per monitorare detti trattamenti. Salvo i casi in cui ciò non sia appropriato date le dimensioni di un’istituzione o un organo dell’Unione, è opportuno che le istituzioni e gli organi dell’Unione possano istituire un registro centrale in cui registrare le proprie attività di trattamento. Per motivi di trasparenza, dovrebbero poter rendere pubblico tale registro.

(53)

Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione non autorizzata a dati personali trasmessi, conservati o comunque elaborati che potrebbero cagionare in particolare un danno fisico, materiale o immateriale, o l’accesso a tali dati.

(54)

Le istituzioni e gli organi dell’Unione dovrebbero garantire la riservatezza delle comunicazioni elettroniche come disposto dall’articolo 7 della Carta. In particolare le istituzioni e gli organi dell’Unione dovrebbero garantire la sicurezza delle proprie reti di comunicazione elettronica. Dovrebbero proteggere le informazioni relative alle apparecchiature terminali degli utenti che accedono ai loro siti web e alle applicazioni per dispositivi mobili a disposizione del pubblico in ottemperanza alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio (8) e proteggere inoltre i dati personali conservati in elenchi di utenti.

(55)

Una violazione dei dati personali, se non affrontata in modo adeguato e tempestivo, potrebbe provocare danni fisici, materiali o immateriali alle persone fisiche. Pertanto, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificarla al Garante europeo della protezione dei dati, senza indebito o ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo. Qualora il ritardo sia giustificato, si dovrebbero comunicare quanto prima le informazioni meno sensibili o meno specifiche sulla violazione invece di risolvere completamente l’incidente sottostante prima di procedere alla notifica.

(56)

Il titolare del trattamento dovrebbe comunicare all’interessato la violazione dei dati personali senza indebito ritardo, qualora questa sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie. La comunicazione dovrebbe descrivere la natura della violazione dei dati personali e formulare raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi. Tali comunicazioni agli interessati dovrebbero essere effettuate non appena ragionevolmente possibile e in stretta collaborazione con il Garante europeo della protezione dei dati, nel rispetto degli orientamenti impartiti da questo o da altre autorità competenti quali le autorità incaricate dell’applicazione della legge.

(57)

Il regolamento (CE) n. 45/2001 ha introdotto l’obbligo generale in capo al titolare del trattamento di notificare il trattamento dei dati personali al responsabile della protezione dei dati. Salvo i casi in cui ciò non sia appropriato date le dimensioni dell’istituzione o dell’organo dell’Unione, il responsabile della protezione dei dati deve tenere un registro dei trattamenti notificati. Oltre a tale obbligo generale, è opportuno istituire meccanismi e procedure efficaci per monitorare i trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità. Tali procedure dovrebbero essere altresì poste in essere, in particolare, quando i tipi di trattamenti comportano l’utilizzo di nuove tecnologie o sono di nuovo tipo in relazione a cui il titolare del trattamento non ha ancora effettuato una valutazione d’impatto sulla protezione dei dati o laddove se ne riveli la necessità alla luce del tempo trascorso dal trattamento iniziale. In tali casi, è opportuno che il titolare del trattamento effettui una valutazione d’impatto sulla protezione dei dati prima del trattamento, per valutare la particolare probabilità e gravità del rischio elevato, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio. La valutazione di impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare tale rischio, assicurando la protezione dei dati personali e dimostrando la conformità al presente regolamento.

(58)

Se dalla valutazione d’impatto sulla protezione dei dati risulta che il trattamento, in mancanza delle garanzie, delle misure di sicurezza e dei meccanismi per attenuare il rischio, presenterebbe un rischio elevato per i diritti e le libertà delle persone fisiche e il titolare del trattamento è del parere che il rischio non possa essere ragionevolmente attenuato in termini di tecnologie disponibili e costi di attuazione, è opportuno consultare il Garante europeo della protezione dei dati prima dell’inizio delle attività di trattamento. Tale rischio elevato potrebbe scaturire da certi tipi di trattamento e dall’estensione e frequenza del trattamento, da cui potrebbe derivare altresì un danno o un’interferenza con i diritti e le libertà della persona fisica. Il Garante europeo della protezione dei dati che riceve una richiesta di consultazione dovrebbe darvi seguito entro un termine determinato. Tuttavia, la mancanza di reazione del Garante europeo della protezione dei dati entro tale termine dovrebbe far salvo ogni intervento dello stesso nell’ambito dei suoi compiti e poteri previsti dal presente regolamento, compreso il potere di vietare i trattamenti. Nell’ambito di tale processo di consultazione, dovrebbe essere possibile presentare al Garante europeo della protezione dei dati il risultato di una valutazione d’impatto sulla protezione dei dati effettuata riguardo al trattamento in questione, in particolare le misure previste per attenuare il rischio per i diritti e le libertà delle persone fisiche.

(59)

Il Garante europeo della protezione dei dati dovrebbe essere informato circa le misure amministrative e consultato in merito alle norme interne adottate dalle istituzioni e dagli organi dell’Unione relative a questioni connesse al loro funzionamento quando prevedono il trattamento di dati personali, stabiliscono le condizioni per le limitazioni dei diritti degli interessati o fissano garanzie adeguate per i diritti dell’interessato, al fine di garantire la conformità del trattamento previsto al presente regolamento, in particolare riguardo all’attenuazione dei rischi per l’interessato.

(60)

Il regolamento (UE) 2016/679 ha istituito il comitato europeo per la protezione dei dati quale organo indipendente dell’Unione dotato di personalità giuridica. Il comitato dovrebbe contribuire all’applicazione coerente del regolamento (UE) 2016/679 e della direttiva (UE) 2016/680 in tutta l’Unione, fornendo anche consulenza alla Commissione. Nel contempo il Garante europeo della protezione dei dati dovrebbe continuare a esercitare le proprie funzioni di controllo e consulenza in relazione a tutte le istituzioni e tutti gli organi dell’Unione, di propria iniziativa o su richiesta. Per garantire la coerenza delle norme sulla protezione dei dati in tutta l’Unione, la Commissione, all’atto della preparazione di proposte o raccomandazioni, dovrebbe sforzarsi di consultare il garante europeo della protezione dei dati. La Commissione dovrebbe avere l’obbligo di condurre una consultazione a seguito dell’adozione di atti legislativi o durante la preparazione di atti delegati e atti di esecuzione di cui agli articoli 289, 290 e 291 TFUE e a seguito dell’adozione di raccomandazioni e proposte relative ad accordi con paesi terzi e organizzazioni internazionali di cui all’articolo 218 TFUE se questi incidono sul diritto alla protezione dei dati personali. In tali casi la Commissione dovrebbe avere l’obbligo di consultare il Garante europeo della protezione dei dati, tranne qualora il regolamento (UE) 2016/679 stabilisca la consultazione obbligatoria del comitato europeo per la protezione dei dati, ad esempio per le decisioni di adeguatezza o gli atti delegati riguardanti le icone standardizzate e i requisiti dei meccanismi di certificazione. Qualora l’atto in questione sia di particolare rilevanza per la tutela dei diritti e delle libertà fondamentali delle persone fisiche in relazione al trattamento di dati personali, la Commissione dovrebbe altresì poter consultare il comitato europeo per la protezione dei dati. In tali casi il Garante europeo della protezione dei dati, in quanto membro del comitato europeo per la protezione dei dati, dovrebbe coordinare le proprie attività con quest’ultimo al fine di emettere un parere congiunto. Il Garante europeo della protezione dei dati e, ove applicabile, il comitato europeo per la protezione dei dati dovrebbero fornire la propria consulenza per iscritto entro otto settimane. Tale termine dovrebbe essere più breve in caso di urgenza o ove altrimenti appropriato, ad esempio quando la Commissione elabora atti delegati o di esecuzione.

(61)

In conformità dell’articolo 75 del regolamento (UE) 2016/679, il Garante europeo della protezione dei dati dovrebbe assicurare il segreteriato del comitato europeo per la protezione dei dati.

(62)

In tutte le istituzioni e tutti gli organi dell’Unione un responsabile della protezione dei dati dovrebbe garantire che l’applicazione del presente regolamento e consigliare i titolari del trattamento e i responsabili del trattamento nell’assolvimento dei loro obblighi. Il responsabile della protezione dei dati dovrebbe essere una persona con il livello necessario di conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, che dovrebbe essere determinato, in particolare, in base ai trattamenti di dati effettuati dal titolare o dal responsabile del trattamento e alla protezione richiesta per i dati personali interessati. Tali responsabili della protezione dei dati dovrebbero poter adempiere le funzioni e i compiti loro incombenti in maniera indipendente.

(63)

È opportuno che, quando i dati personali sono trasferiti da istituzioni e organi dell’Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, sia garantito il livello di tutela delle persone fisiche assicurato nell’Unione dal presente regolamento. Le stesse garanzie dovrebbero applicarsi nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall’organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo o presso un’altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali possono essere effettuati soltanto nel pieno rispetto del presente regolamento e dei diritti e delle libertà fondamentali sanciti dalla Carta. Il trasferimento potrebbe aver luogo soltanto se, fatte salve le altre disposizioni del presente regolamento, il titolare del trattamento o il responsabile del trattamento rispetta le condizioni stabilite dalle disposizioni del presente regolamento in relazione al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali.

(64)

A norma dell’articolo 45 del regolamento (UE) 2016/679 o dell’articolo 36 della direttiva (UE) 2016/680, la Commissione può riconoscere che un paese terzo, un territorio o un settore specifico all’interno di un paese terzo, o un’organizzazione internazionale offre un livello adeguato di protezione dei dati. In tali casi, i trasferimenti di dati personali verso tale paese terzo o organizzazione internazionale da parte di un’istituzione o di un organo dell’Unione possono avere luogo senza ulteriori autorizzazioni.

(65)

In mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento dovrebbe provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell’interessato. Tali adeguate garanzie possono consistere nell’applicazione di clausole tipo di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate dal Garante europeo della protezione dei dati o clausole contrattuali autorizzate dal Garante europeo della protezione dei dati. Quando il responsabile del trattamento non è un’istituzione o un organo dell’Unione, tali adeguate garanzie possono anche consistere in norme vincolanti d’impresa, codici di condotta e meccanismi di certificazione utilizzati per i trasferimenti internazionali a norma del regolamento (UE) 2016/679. Tali garanzie dovrebbero assicurare un rispetto dei requisiti in materia di protezione dei dati e dei diritti degli interessati adeguato ai trattamenti all’interno dell’Unione, compresa la disponibilità di diritti azionabili degli interessati e di mezzi di ricorso effettivi, fra cui il ricorso effettivo in sede amministrativa o giudiziale e la richiesta di risarcimento, nell’Unione o in un paese terzo. Esse dovrebbero riguardare, in particolare, la conformità ai principi generali in materia di trattamento dei dati personali e ai principi di protezione dei dati fin dalla progettazione e di protezione dei dati di default. I trasferimenti possono essere effettuati anche da istituzioni e organi dell’Unione ad autorità pubbliche o organismi pubblici di paesi terzi, o organizzazioni internazionali con analoghi compiti o funzioni, anche sulla base di disposizioni da inserire in accordi amministrativi, quali un memorandum d’intesa, che prevedano per gli interessati diritti effettivi e azionabili. L’autorizzazione del Garante europeo della protezione dei dati dovrebbe essere ottenuta quando le garanzie sono offerte nell’ambito di accordi amministrativi giuridicamente non vincolanti.

(66)

La possibilità che il titolare del trattamento o il responsabile del trattamento utilizzi clausole tipo di protezione dei dati adottate dalla Commissione o dal Garante europeo della protezione dei dati non dovrebbe precludere ai titolari del trattamento o ai responsabili del trattamento la possibilità di includere tali clausole tipo in un contratto più ampio, anche in un contratto tra il responsabile del trattamento e un altro responsabile del trattamento, né di aggiungere altre clausole o garanzie supplementari, purché non contraddicano, direttamente o indirettamente, le clausole contrattuali tipo adottate dalla Commissione o dal Garante europeo della protezione dei dati o ledano i diritti o le libertà fondamentali degli interessati. I titolari del trattamento e i responsabili del trattamento dovrebbero essere incoraggiati a fornire garanzie supplementari attraverso impegni contrattuali che integrino le clausole tipo di protezione dei dati.

(67)

Alcuni paesi terzi adottano leggi, regolamenti e altri atti normativi finalizzati a disciplinare direttamente le attività di trattamento delle istituzioni e degli organi dell’Unione. Essi possono includere le sentenze di autorità giurisdizionali o le decisioni di autorità amministrative di paesi terzi che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento e non sono basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione. L’applicazione extraterritoriale di tali leggi, regolamenti e altri atti normativi potrebbe essere contraria al diritto internazionale e ostacolare il conseguimento della protezione delle persone fisiche assicurata nell’Unione con il presente regolamento. I trasferimenti dovrebbero quindi essere consentiti solo se ricorrono le condizioni previste dal presente regolamento per i trasferimenti a paesi terzi. Ciò vale, tra l’altro, quando la comunicazione è necessaria per un rilevante motivo di interesse pubblico riconosciuto dal diritto dell’Unione.

(68)

È opportuno prevedere in situazioni specifiche la possibilità di trasferire dati in alcune circostanze se l’interessato ha esplicitamente acconsentito, se il trasferimento è occasionale e necessario in relazione a un contratto o un’azione legale, che sia in sede giudiziale, amministrativa o stragiudiziale, compresi i procedimenti dinanzi alle autorità di regolamentazione. È altresì opportuno prevedere la possibilità di trasferire dati se sussistono motivi di rilevante interesse pubblico previsti dal diritto dell’Unione o se i dati sono trasferiti da un registro stabilito per legge e destinato a essere consultato dal pubblico o dalle persone aventi un interesse legittimo. In quest’ultimo caso, il trasferimento non dovrebbe riguardare la totalità dei dati personali o delle categorie di dati contenuti nel registro, salvo se il diritto dell’Unione lo autorizza; inoltre, quando il registro è destinato a essere consultato dalle persone aventi un interesse legittimo, i dati dovrebbero essere trasferiti soltanto su richiesta di queste o, se ne sono destinatarie, tenendo pienamente conto degli interessi e dei diritti fondamentali dell’interessato.

(69)

Tali deroghe dovrebbero in particolare valere per i trasferimenti di dati richiesti e necessari per importanti motivi di interesse pubblico, ad esempio nel caso di scambio internazionale di dati tra istituzioni e organi dell’Unione e autorità garanti della concorrenza, amministrazioni fiscali o doganali, autorità di controllo finanziario e servizi competenti in materia di sicurezza sociale o sanità pubblica, ad esempio in caso di ricerca di contatti per malattie contagiose o al fine di ridurre e/o eliminare il doping nello sport. Il trasferimento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per salvaguardare un interesse che è essenziale per gli interessi vitali dell’interessato o di un’altra persona, comprese la vita o l’integrità fisica, qualora l’interessato si trovi nell’incapacità di prestare il proprio consenso. In mancanza di una decisione di adeguatezza, il diritto dell’Unione può, per importanti motivi di interesse pubblico, fissare espressamente limiti al trasferimento di categorie specifiche di dati verso un paese terzo o un’organizzazione internazionale. Qualunque trasferimento a un’organizzazione internazionale umanitaria di dati personali di un interessato che si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso ai fini dell’esecuzione di un compito derivante dalle convenzioni di Ginevra o al fine di rispettare il diritto internazionale umanitario applicabile nei conflitti armati potrebbe essere considerato necessario per importanti motivi di interesse pubblico o nell’interesse vitale dell’interessato.

(70)

In ogni caso, se la Commissione non ha adottato alcuna decisione circa il livello adeguato di protezione dei dati di un paese terzo, il titolare del trattamento o il responsabile del trattamento dovrebbe ricorrere a soluzioni che diano all’interessato diritti effettivi e azionabili in relazione al trattamento dei suoi dati personali nell’Unione, dopo il trasferimento, così da continuare a beneficiare dei diritti fondamentali e delle garanzie.

(71)

Con i trasferimenti transfrontalieri di dati personali al di fuori dell’Unione potrebbe aumentare il rischio che la persona fisica non possa esercitare il proprio diritto alla protezione dei dati, in particolare per tutelarsi da usi o comunicazioni illeciti di tali informazioni. Allo stesso tempo, le autorità di controllo nazionali e il Garante europeo della protezione dei dati possono non essere in grado di dar corso ai reclami o svolgere indagini relative ad attività che esulano dalla loro competenza territoriale. I loro sforzi di collaborazione nel contesto transfrontaliero possono anche essere ostacolati dall’insufficienza di poteri per prevenire o correggere, da regimi giuridici incoerenti e da difficoltà pratiche quali la limitatezza delle risorse disponibili. Pertanto è opportuno promuovere una più stretta cooperazione tra il Garante europeo della protezione dei dati e le autorità di controllo nazionali affinché possano scambiare informazioni con le loro controparti internazionali.

(72)

L’istituzione, mediante il regolamento (CE) n. 45/2001, del Garante europeo della protezione dei dati, cui è conferito il potere di eseguire compiti ed esercitare poteri in totale indipendenza, è un elemento essenziale della protezione delle persone fisiche in relazione al trattamento dei loro dati personali. Il presente regolamento dovrebbe rafforzarne e chiarirne ulteriormente il ruolo e l’indipendenza. Il Garante europeo della protezione dei dati dovrebbe essere una persona che offra ogni garanzia di indipendenza e che possieda un’esperienza e delle competenze notorie per l’esercizio delle funzioni di Garante europeo della protezione dei dati, come, ad esempio, l’aver fatto parte di una delle autorità di controllo di cui all’articolo 51 del regolamento (UE) 2016/679.

(73)

Al fine di garantire un monitoraggio e un’applicazione coerenti delle norme in materia di protezione dei dati in tutta l’Unione, il Garante europeo della protezione dei dati dovrebbe avere gli stessi compiti e poteri effettivi delle autorità di controllo nazionali, fra cui poteri di indagine, poteri correttivi e sanzionatori, e poteri autorizzativi e consultivi, segnatamente in caso di reclamo proposto da persone fisiche, e il potere di intentare un’azione dinanzi alla Corte di giustizia e di agire in sede giudiziale conformemente alle disposizioni del diritto primario in caso di violazione del presente regolamento. Tali poteri dovrebbero includere anche il potere di imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento. Onde evitare costi superflui ed eccessivi disagi alle persone interessate che potrebbero subire pregiudizio, ogni misura del Garante europeo della protezione dei dati dovrebbe essere appropriata, necessaria e proporzionata al fine di assicurare la conformità al presente regolamento, dovrebbe tenere conto delle circostanze di ciascun singolo caso e rispettare il diritto di ogni persona di essere ascoltata prima che nei suoi confronti sia adottato un provvedimento individuale. Ogni misura giuridicamente vincolante del Garante europeo della protezione dei dati dovrebbe avere forma scritta, essere chiara e univoca, riportare la data di adozione della misura, recare la firma del Garante europeo della protezione dei dati, precisare i motivi della misura e fare riferimento al diritto a un ricorso effettivo.

(74)

Non è opportuno che rientri nella competenza di controllo del Garante europeo della protezione dei dati il trattamento di dati personali effettuato dalla Corte di giustizia nell’esercizio delle sue funzioni giurisdizionali, al fine di salvaguardare l’indipendenza della Corte nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale. Per tali trattamenti, la Corte dovrebbe istituire un controllo indipendente conformemente all’articolo 8, paragrafo 3, della Carta, ad esempio attraverso un meccanismo interno.

(75)

È opportuno che le decisioni del Garante europeo della protezione dei dati riguardanti le deroghe, le garanzie, le autorizzazioni e le condizioni relative ai trattamenti di dati, quali definiti dal presente regolamento, siano pubblicate nel rapporto sulle attività svolte. A prescindere dalla pubblicazione annuale del rapporto sulle attività svolte, il Garante europeo della protezione dei dati può pubblicare relazioni su temi specifici.

(76)

Il Garante europeo della protezione dei dati dovrebbe rispettare il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio (9).

(77)

Le autorità di controllo nazionali sorvegliano l’applicazione del regolamento (UE) 2016/679 e contribuiscono alla sua coerente applicazione in tutta l’Unione, così da tutelare le persone fisiche in relazione al trattamento dei loro dati personali e facilitare la libera circolazione di tali dati nel mercato interno. Al fine di aumentare la coerenza dell’applicazione delle norme in materia di protezione dei dati applicabili negli Stati membri e di quelle applicabili alle istituzioni e agli organi dell’Unione, il Garante europeo della protezione dei dati dovrebbe cooperare efficacemente con le autorità di controllo nazionali.

(78)

In taluni casi, il diritto dell’Unione prevede un modello di controllo coordinato, condiviso tra il Garante europeo della protezione dei dati e le autorità di controllo nazionali. Il Garante europeo della protezione dei dati è altresì l’autorità di controllo di Europol e a tali fini è stato istituito un modello specifico di cooperazione con le autorità di controllo nazionali mediante un consiglio di cooperazione con funzione consultiva. Per migliorare l’efficacia del controllo e dell’applicazione delle norme sostanziali in materia di protezione dei dati, è opportuno introdurre nell’Unione un singolo modello coerente di controllo coordinato. Pertanto la Commissione dovrebbe, se del caso, presentare proposte legislative volte a modificare gli atti giuridici dell’Unione che prevedono un modello di controllo coordinato, onde allinearli al modello di controllo coordinato del presente regolamento. Il comitato europeo per la protezione dei dati dovrebbe costituire un forum unico per garantire un controllo coordinato efficace in tutti i settori.

(79)

Ciascun interessato dovrebbe avere il diritto di proporre reclamo al Garante europeo della protezione dei dati e il diritto a un ricorso giurisdizionale effettivo dinanzi alla Corte di giustizia, in conformità dei trattati, qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento o se il Garante europeo della protezione dei dati non dà seguito a un reclamo, lo respinge in tutto o in parte o lo archivia o non agisce quando è necessario intervenire per proteggere i diritti dell’interessato. Successivamente al reclamo si dovrebbe condurre un’indagine, soggetta a controllo giurisdizionale, nella misura in cui ciò sia opportuno nel caso specifico. È opportuno che il Garante europeo della protezione dei dati informi gli interessati dello stato e dell’esito del reclamo entro un termine ragionevole. Se il caso richiede un ulteriore coordinamento con un’autorità di controllo nazionale, l’interessato dovrebbe ricevere informazioni interlocutorie. Per agevolare la proposizione di reclami, il Garante europeo della protezione dei dati dovrebbe adottare misure quali la messa a disposizione di un modulo per la proposizione dei reclami compilabile anche elettronicamente, senza escludere altri mezzi di comunicazione.

(80)

Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento dovrebbe avere il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento, alle condizioni stabilite nei trattati.

(81)

Al fine di rafforzare la funzione di controllo del Garante europeo della protezione dei dati e l’applicazione efficace del presente regolamento, il Garante europeo della protezione dei dati dovrebbe, come sanzione di ultima istanza, poter imporre sanzioni amministrative pecuniarie. Tali sanzioni dovrebbero mirare a sanzionare l’istituzione o l’organo dell’Unione — piuttosto che la persona fisica — per la mancata conformità al presente regolamento, scoraggiarne future violazioni e promuovere una cultura di protezione dei dati personali all’interno delle istituzioni e degli organi dell’Unione. Il presente regolamento dovrebbe specificare le violazioni soggette a sanzione amministrativa pecuniaria, indicare i limiti massimi e i criteri per prevedere le sanzioni associate. Il Garante europeo della protezione dei dati dovrebbe stabilire l’ammontare della sanzione pecuniaria in ogni singolo caso, tenuto conto di tutte le circostanze pertinenti della situazione specifica, della natura, gravità e durata dell’infrazione, delle relative conseguenze e delle misure adottate per assicurare la conformità agli obblighi derivanti dal presente regolamento e prevenire o attenuare le conseguenze della violazione. Quando impone una sanzione amministrativa pecuniaria a un’istituzione o un organo dell’Unione, il Garante europeo della protezione dei dati dovrebbe tenere conto della proporzionalità dell’importo della sanzione. La procedura amministrativa per l’imposizione di sanzioni pecuniarie a istituzioni e organi dell’Unione dovrebbe rispettare i principi generali del diritto dell’Unione, come interpretato dalla Corte di giustizia.

(82)

Qualora l’interessato ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento, dovrebbe avere il diritto di dare mandato a un organismo, un’organizzazione o un’associazione che non abbiano scopo di lucro, costituiti in conformità del diritto dell’Unione o di uno Stato membro, con obiettivi statutari di pubblico interesse, e che siano attivi nel settore della protezione dei dati personali, per proporre reclamo per suo conto al Garante europeo della protezione dei dati. Tale organismo, organizzazione o associazione dovrebbe essere in grado di esercitare il diritto a un ricorso giurisdizionale per conto degli interessati o di esercitare il diritto a ottenere il risarcimento del danno per conto degli interessati.

(83)

Il funzionario o altro agente dell’Unione che non assolva agli obblighi previsti dal presente regolamento dovrebbe essere passibile di provvedimenti disciplinari o di altro genere, secondo le norme e le procedure previste dallo statuto dei funzionari dell’Unione europea e dal regime applicabile agli altri agenti dell’Unione, stabilite nel regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio (10) («statuto»).

(84)

Al fine di garantire condizioni uniformi di esecuzione del presente regolamento, dovrebbero essere attribuite alla Commissione competenze di esecuzione. Tali competenze dovrebbero essere esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (11). È opportuno applicare la procedura d’esame per l’adozione di clausole contrattuali tipo tra i titolari del trattamento e i responsabili del trattamento e tra responsabili del trattamento, per l’adozione di un elenco di trattamenti che richiede la consultazione preventiva del Garante europeo della protezione dei dati personali da parte dei titolari del trattamento che effettuano un trattamento di dati personali necessario all’esecuzione di un compito di interesse pubblico e per l’adozione di clausole contrattuali tipo che prevedano garanzie adeguate per i trasferimenti internazionali.

(85)

È opportuno proteggere le informazioni riservate raccolte dalle autorità statistiche dell’Unione e nazionali per la produzione di statistiche ufficiali europee e nazionali. Le statistiche europee dovrebbero essere sviluppate, prodotte e diffuse conformemente ai principi statistici di cui all’articolo 338, paragrafo 2, TFUE. Il regolamento (CE) n. 223/2009 del Parlamento europeo e del Consiglio (12) fornisce ulteriori specificazioni in merito al segreto statistico per quanto riguarda le statistiche europee.

(86)

Il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE del Parlamento europeo, del Consiglio e della Commissione (13) dovrebbero essere abrogati. I riferimenti al regolamento e alla direttiva abrogati dovrebbero intendersi fatti al presente regolamento.

(87)

Al fine di garantire la piena indipendenza dei membri dell’autorità di controllo indipendente, il presente regolamento non dovrebbe incidere sui mandati dell’attuale Garante europeo della protezione dei dati e dell’attuale Garante aggiunto. L’attuale Garante aggiunto dovrebbe rimanere in carica fino alla fine del mandato, a meno che non si verifichi una delle condizioni per la cessazione anticipata del mandato del Garante europeo della protezione dei dati stabilite dal presente regolamento. Le disposizioni pertinenti del presente regolamento dovrebbero applicarsi al Garante aggiunto fino alla fine del suo mandato.

(88)

Conformemente al principio di proporzionalità, è necessario e appropriato, al fine del conseguimento dell’obiettivo fondamentale di garantire un livello equivalente di tutela delle persone fisiche in relazione al trattamento dei dati personali e la libera circolazione dei dati personali nell’Unione, stabilire norme relative al trattamento dei dati personali nelle istituzioni e negli organi dell’Unione. Il presente regolamento si limita a quanto è necessario per conseguire gli obiettivi perseguiti, in ottemperanza all’articolo 5, paragrafo 4, TUE.

(89)

Il Garante europeo della protezione dei dati è stato consultato conformemente all’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 e ha espresso il proprio parere in data 15 marzo 2017 (14),