Allegato

Allegato

Disciplina del trasferimento di dati personali tra le Autorità competenti di cui all'Accordo

tra il Governo della Repubblica italiana ed

il Consiglio dei Ministri della Repubblica Albanese

in materia di reciproco riconoscimento delle patenti di guida ai fini della conversione firmato a Tirana il 17 marzo 2021 e successive modifiche

Considerati l’art. 46 (2) (a) del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento Generale sulla Protezione dei Dati) e con riferimento agli articoli 8 e 9 e al Capo II, "Trattamento dei dati personali" della Legge n.9887, del 10.3.2008 "Sulla protezione dei dati personali", modificato.

Ciascuna "Autorità competente" di una Parte (in seguito Autorità), di cui alle premesse dell’Accordo tra il Governo della Repubblica italiana ed il Consiglio dei Ministri della Repubblica Albanese in materia di reciproco riconoscimento delle patenti di guida ai fini della conversione, firmato a Tirana il 17 marzo 2021, e successive modifiche (in seguito Accordo), applicherà le garanzie specificate nelle clausole del presente allegato per il trasferimento di dati personali ad un’Autorità competente dell’altra Parte.

Tali garanzie sono vincolanti per le Parti e prevalgono su eventuali obblighi confliggenti esistenti nei rispettivi ordinamenti.

I. Definizioni

Ai fini delle presenti clausole s’intende per:

(a) "dati personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile (“Interessato”) ai sensi dell'Accordo. Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come un nome, un numero d’identificazione, dati relativi all’ubicazione, un identificativo in rete o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

(b) "dati particolari": dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, dati genetici o biometrici intesi ad identificare in modo univoco una persona fisica, nonché dati relativi alla salute, alla vita sessuale o all'orientamento sessuale della persona;

(c) “dati penali”: dati personali relativi a condanne penali e reati o connesse misure di sicurezza;

(e) "dati comuni": dati personali che non sono particolari oppure penali;

(f) "trattamento": qualsiasi operazione o insieme di operazioni compiuti su dati personali, con o senza l’ausilio di processi automatizzati, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

(g) "trasferimento": invio di dati personali da un'Autorità di una Parte ad un'Autorità dell'altra Parte;

(h) "comunicazione ulteriore": invio di dati personali da un’Autorità ricevente a un terzo dello stesso paese;

(i) "trasferimento ulteriore": invio di dati personali da un’Autorità ricevente a un terzo in un paese diverso dalle Parti;

(j) "violazione di dati personali": violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a dati personali trasmessi, conservati o comunque trattati;

(k) "requisiti di legge applicabili": il quadro normativo vigente applicabile a ciascuna Istituzione, ivi compresa la normativa sulla protezione dei dati personali;

(l) "segreto d’ufficio": il generale obbligo di legge, vigente per entrambe le Istituzioni, di non divulgare informazioni non pubbliche ricevute in ragione dell’esercizio delle proprie funzioni istituzionali;

(m) "diritti degli Interessati":

i. "diritto a ricevere informazioni": il diritto di un Interessato a ricevere informazioni sul trattamento di dati personali che lo riguardano in forma concisa, trasparente, intelligibile e facilmente accessibile;

ii. “diritto di accesso”: il diritto di un Interessato di ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso ai propri dati personali ed alle caratteristiche del trattamento in corso;

iii. “diritto di rettifica”: diritto di un Interessato di ottenere la rettifica o l'integrazione dei dati personali inesatti che lo riguardano, senza ingiustificato ritardo;

iv. “diritto di cancellazione”: il diritto di un Interessato di ottenere la cancellazione dei propri dati personali quando i dati sono stati raccolti o trattati illecitamente rispetto alle presenti clausole ed ai requisiti di legge applicabili;

v. “diritto di opposizione”: il diritto di un Interessato di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento di dati personali che lo riguardano, fatti salvi i casi in cui esistano motivi legittimi cogenti per il trattamento che prevalgono sugli interessi avanzati dall’Interessato, tra cui l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

vi. "diritto di limitazione del trattamento": diritto di un Interessato alla limitazione del trattamento dei propri dati personali quando questi siano inesatti, il trattamento sia illecito, un’Istituzione non necessiti più i dati personali rispetto alle finalità per le quali furono raccolti oppure l'Interessato sia in attesa della valutazione di una sua richiesta di opposizione;

viii. "diritto di non essere sottoposto a decisioni automatizzate": il diritto di un Interessato a non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

Non rientrando tra le finalità dell’Accordo, è vietato la scambio di “dati penali”, nonché la “profilazione" degli interessati, intesa come qualsiasi trattamento automatizzato di dati personali mirante a valutare determinati aspetti personali dei richiedenti la conversione della patente.

Per le finalità dell’Accordo è, altresì, escluso il ricorso a procedure automatizzate.

II. Ambito di applicazione

Le presenti clausole si applicano ai titolari di patenti di guida, di cui all’articolo 1 dell'Accordo, che chiedono la conversione della patente rilasciata da una Parte in una patente rilasciata dall’altra Parte. Prima del rilascio di quest’ultima patente, gli interessati possono revocare in qualsiasi momento il consenso al trattamento dei propri dati personali, con conseguente annullamento della procedura di conversione.

Per l’accertamento del diritto e l’erogazione del servizio saranno trattati i seguenti dati personali degli interessati:

1. dati comuni: dati anagrafici (nome e cognome, nazionalità, luogo e data di nascita, residenza/domicilio), dati di contatto (telefono, e-mail), dati relativi alla patente di guida posseduta di cui si chiede la conversione – di seguito patente di guida - (numero, data di conseguimento, di rilascio e di scadenza con riferimento a ciascuna categoria, eventuale presenza di ostativi), modalità di conseguimento della patente di guida (esami o conversione di patente rilasciata da altro Stato con individuazione di tale Stato), eventuali ulteriori dati necessari alla conversione della patente di guida qualora questa presenti anomalie relative alla validità, all’autenticità ed ai dati in essa riportati.

2. dati particolari: eventuali prescrizioni relativi alla patente di guida, anche formalizzati sotto forma di codici, connesse all’accertamento dei requisiti di idoneità psico-fisica alla guida.

III. Garanzie per la protezione dei dati personali

1. Limitazione delle finalità

I dati personali saranno trasferiti tra le Autorità al solo fine di perseguire le finalità indicate al paragrafo II. Le Autorità non effettueranno comunicazioni o trasferimenti ulteriori di dati personali per finalità diverse da quelle sopra indicate, avendo cura di acquisire garanzie appropriate affinché i trattamenti successivi siano limitati a tali finalità, tenuto conto di quanto indicato al punto III.6.

2. Proporzionalità e qualità dei dati

L’Autorità trasferente invierà esclusivamente dati personali adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trasferiti e successivamente trattati. Il trasferimento dei dati particolari è ammesso solo se risulta strettamente indispensabile per il perseguimento delle finalità dell'Accordo.

L’Autorità trasferente assicurerà che, per quanto di sua conoscenza, i dati personali che trasferisce sono esatti e, se necessario, aggiornati. Qualora un’Autorità venga a conoscenza del fatto che i dati personali che ha trasferito a un’altra Autorità sono inesatti, ne informerà l'Istituzione ricevente, che provvederà alle correzioni del caso.

3. Trasparenza

Ai sensi dell’art. 11 dell’Accordo, ciascuna Autorità fornirà agli interessati un’apposita informativa sulle misure che saranno adottate nel proprio ordinamento per garantire la conformità del trattamento dei dati personali alle clausole del presente allegato, con particolare riferimento a:

(a) identità e dati di contatto del Titolare del trattamento e, ove presente, del Responsabile della protezione dei dati;

(b) finalità, base giuridica e modalità del trattamento dei dati personali, ivi compreso il loro periodo di conservazione;

(c) i destinatari ai quali i suddetti dati possono essere inviati come comunicazione o trasferimento ulteriore, avendo cura di precisare le garanzie previste e le ragioni dell'invio;

(d) i diritti degli Interessati ai sensi delle presenti clausole e dei requisiti di legge applicabili, ivi incluse le modalità di esercizio di tali diritti;

(e) le informazioni su eventuali ritardi o restrizioni applicabili con riguardo all’esercizio di tali diritti;

(f) i contatti per sollevare una controversia o far valere una pretesa

Ciascuna Autorità diffonderà la suddetta informativa sul proprio sito, unitamente all’Accordo. Una copia dell'informativa sarà altresì inserita nelle comunicazioni individuali agli Interessati, così come un rinvio al predetto sito.

4. Sicurezza e riservatezza

Ciascuna Autorità metterà in atto misure tecniche e organizzative adeguate per proteggere i dati ricevuti da accessi accidentali o illegali, distruzione, perdita, alterazione o divulgazione non autorizzata. Le suddette misure includeranno adeguate misure amministrative, tecniche e fisiche di sicurezza. Queste misure dovranno comprendere la classificazione dei dati personali in comuni e particolari, la limitazione dei soggetti ammessi ad accedere ai predetti dati, l'archiviazione sicura degli stessi dati in funzione della loro tipologia e l'adozione di politiche volte ad assicurare che i dati personali siano mantenuti sicuri e riservati, anche ricorrendo a tecniche di pseudonimizzazione o di cifratura. Per la gestione dei dati particolari dovranno essere adottate le misure di sicurezza più rigorose, prevedendo, tra l'altro, accessi maggiormente selettivi e la formazione specialistica degli addetti.

Qualora un’Autorità ricevente venga a conoscenza di una violazione di dati personali, ne informerà entro 48 ore l’Autorità trasferente e adotterà misure ragionevoli e appropriate per porvi rimedio e minimizzarne i possibili effetti negativi per gli Interessati, ivi inclusa la comunicazione ai predetti, senza ingiustificato ritardo, dell'avvenuta violazione, qualora questa possa comportare un rischio elevato per i loro diritti e le loro libertà.

5. Modalità per l'esercizio dei diritti

Ciascuna Autorità adotterà misure appropriate affinché, su richiesta di un Interessato, possa:

(1) confermare se tratta o meno dati personali che lo riguardano e, in caso affermativo, dare accesso a tali dati, nonché fornire informazioni sul loro trattamento, ivi incluse informazioni sulle finalità del trattamento, le categorie di dati considerate, l’origine ed i destinatari dei dati, il previsto periodo di conservazione e le possibilità di reclamo e ricorso;

(2) identificare tutti i dati personali del richiedente che ha trasferito all'altra Autorità ai sensi delle presenti clausole;

(3) fornire informazioni generali, anche sul proprio sito, in merito alle garanzie applicabili ai trasferimenti all'altra Autorità.

Ciascuna Autorità darà seguito in modo ragionevole e tempestivo a una richiesta di un Interessato riguardante la rettifica, la cancellazione, la limitazione del trattamento o l'opposizione al trattamento dei propri dati personali oppure l'esercizio del diritto a non essere sottoposto a decisioni automatizzate. I recapiti di posta ordinaria o elettronica per l'invio delle predette richieste dovranno essere indicati nell'informativa agli Interessati, di cui al punto III.3 sulla trasparenza. Un’Autorità può adottare misure appropriate, come addebitare un contributo spese ragionevole per coprire i costi amministrativi della richiesta o rifiutare di darvi seguito, se questa dovesse risultare manifestamente infondata o eccesiva.

I diritti degli Interessati possono essere limitati, in misura necessaria e proporzionata in una società democratica, per salvaguardare importanti obiettivi di interesse pubblico riconosciuti dalle Parti nello spirito di reciprocità proprio della cooperazione internazionale. Rientrano in questo ambito la tutela dei diritti e delle libertà altrui, la sicurezza nazionale, la difesa, la prevenzione, l'indagine, l'accertamento e il perseguimento di reati, nonché lo svolgimento di una funzione di controllo, ispezione o regolamentazione connessa, anche occasionalmente, alle attività esecutive e di vigilanza delle Autorità, operanti nell'esercizio dei pubblici poteri di cui sono investite. Le predette limitazioni, da disciplinare per legge, possono permanere solo finché persiste la ragione che le ha originate.

6. Comunicazione e trasferimento ulteriore di dati personali

6.1 Comunicazione ulteriore di dati personali

Un’Autorità ricevente potrà procedere alla comunicazione ulteriore di dati personali ad un terzo solo previa autorizzazione scritta dell’Autorità trasferente e purché il terzo fornisca le stesse garanzie previste dalle presenti clausole. Nella richiesta di autorizzazione scritta, l'Autorità ricevente dovrà fornire sufficienti informazioni sulla tipologia di dati che intende comunicare, sul terzo ricevente, nonché sulla base giuridica, le ragioni e le finalità della comunicazione.

Un'Autorità ricevente potrà procedere, in via eccezionale, alla comunicazione ulteriore di dati personali ad un terzo, senza la previa autorizzazione dell'Autorità trasferente, solo se risulti necessario per almeno uno dei seguenti motivi:

- tutela degli interessi vitali di un Interessato o di un'altra persona fisica;

- accertamento, esercizio o difesa di un diritto in sede amministrativa o giudiziaria;

- svolgimento di un'indagine o di un procedimento penale strettamente connessi alle attività per le quali i dati personali sono stati trasferiti.

Nei predetti casi, l'Autorità ricevente informerà previamente l'Autorità trasferente della comunicazione ulteriore fornendo elementi sui dati richiesti, l’organo richiedente e la pertinente base giuridica. Qualora la previa informazione confligga con un obbligo di confidenzialità, come nel caso di indagini in corso, l'Autorità ricevente dovrà informare l'Autorità trasferente dell'avvenuta comunicazione ulteriore non appena possibile. Nei predetti casi, l'Autorità trasferente dovrà tenere nota delle notifiche in questione e comunicarle alla propria Autorità di controllo, di cui al punto III.8, su sua richiesta. L'Autorità ricevente si adopererà affinché sia contenuta la comunicazione ulteriore, senza previa autorizzazione, di dati personali ricevuti ai sensi delle presenti clausole, in particolare facendo valere tutte le esenzioni e le limitazioni applicabili.

6.2 Trasferimento ulteriore di dati personali

Un’Autorità ricevente potrà procedere al trasferimento ulteriore di dati personali ad un terzo unicamente previa autorizzazione scritta dell’Autorità trasferente e purché il terzo fornisca le stesse garanzie previste nelle predette clausole. Nella richiesta di autorizzazione scritta, l'Autorità ricevente dovrà fornire sufficienti informazioni sulla tipologia di dati che intende comunicare, sul terzo ricevente, nonché sulla base giuridica, le ragioni e le finalità del trasferimento ulteriore.

7. Durata di conservazione dei dati

Le Autorità conserveranno i dati personali per il tempo previsto dai requisiti di legge applicabili, i quali dovranno prevedere un arco temporale non superiore a quello necessario e proporzionato in una società democratica per le finalità per le quali i dati sono stati trattati.

8. Tutela amministrativa e giudiziaria

Se un Interessato ritiene che un’Autorità non abbia rispettato le garanzie previste nelle presenti clausole o che i suoi dati personali siano stati oggetto di trattamento illecito, egli ha il diritto di presentare un reclamo ad un’Autorità di controllo indipendente ed un ricorso dinanzi ad un'Autorità giudiziaria, in conformità ai requisiti di legge applicabili nella giurisdizione in cui è stata compiuta la presunta violazione1. L'interessato ha, altresì, il diritto al risarcimento degli eventuali danni subiti.

1 In Italia l'Autorità di controllo indipendente, ai sensi dell'art. 77 dell'RGPD (UE) 2016/679, è il Garante per la protezione dei dati personali, la cui attività è disciplinata dagli artt. 140-bis e successivi del Codice in materia di protezione dei dati personali (D.lgs. 196/2003 e ss.mm.ii.). Sempre con riferimento all'Italia, l'Autorità giudiziaria competente, ai sensi dell'art. 79 dell'RGPD, è l'Autorità giudiziaria ordinaria, come previsto dall'art. 152 del citato Xxxxxx.

In Albania, l'Autorità di Controllo indipendente, ai sensi degli artt. 29-31 della Legge n. 9887, del 10.03.2008 "Sulla protezione dei dati personali", modificato, è il Commissario per il Diritto all’Informazione e la Protezione dei Dati Personali, la cui attività è disciplinata dal capo VIII della presente legge. Sempre, con riferimento all'Albania, l'Autorità Giudiziaria competente ai sensi dell'articolo 16, 40 della Legge, è l'autorità giudiziaria di primo grado che agisce secondo i termini e le procedure che regolano il processo amministrativo.

In caso di controversia o pretesa avanzati da un Interessato nei confronti dell’Autorità trasferente, dell’Autorità ricevente o di entrambe le Autorità con riguardo al trattamento dei dati personali dell’Interessato, le Autorità si daranno reciproca informazione di tali controversie o pretese e si adopereranno per risolvere la controversia o la pretesa in via amichevole in modo tempestivo.

Qualora un Interessato sollevi un rilievo e l’Autorità trasferente ritenga che l'Autorità ricevente non abbia agito compatibilmente con le garanzie previste nelle presenti clausole, l'Autorità trasferente sospenderà il trasferimento di dati personali all’Autorità ricevente fino a quando non riterrà che quest'ultima abbia risolto la problematica in modo soddisfacente. L'Autorità trasferente informerà sugli sviluppi della questione l’Interessato e la propria Autorità di controllo.

IV. Vigilanza

1. La vigilanza esterna sulla corretta applicazione delle presenti clausole è assicurata dalle Autorità di controllo indipendenti menzionate al punto III.8.

2. Ciascuna Autorità condurrà periodiche verifiche delle proprie politiche e procedure in attuazione delle presenti clausole e della loro efficacia. A fronte di una ragionevole istanza da parte di una Autorità, l'Autorità interpellata riesaminerà le proprie politiche e procedure di trattamento dei dati personali per accertare e confermare che le garanzie previste nelle presenti clausole siano state efficacemente attuate. Gli esiti del riesame saranno comunicati all’Autorità che ha chiesto il riesame.

3. Qualora un’Autorità ricevente non sia in grado, per qualunque motivo, di attuare efficacemente le garanzie previste nelle presenti clausole, ne informerà senza ritardo l’Autorità trasferente, nel qual caso questa sospenderà temporaneamente il trasferimento di dati personali all’Autorità ricevente fino a quando quest'ultima non confermerà di essere nuovamente in grado di agire compatibilmente con le predette garanzie. Al riguardo, l'Autorità ricevente e quella trasferente terranno informate le rispettive Autorità di controllo.

4. Qualora un’Autorità trasferente ritenga che un’Autorità ricevente non abbia agito in modo compatibile con le garanzie previste nelle presenti clausole, l'Autorità trasferente sospenderà il trasferimento di dati personali all’Autorità ricevente fino a quando non riterrà che quest'ultima abbia risolto la questione in modo soddisfacente. Al riguardo, l’Autorità trasferente terrà informata la propria Autorità di controllo.

V. Revisione e vigenza delle clausole

1. Le Parti possono consultarsi per rivedere i termini delle presenti clausole in caso di cambiamenti sostanziali nei requisiti di legge applicabili. Per la revisione delle clausole, si applica la disciplina di cui all’art.13, com. 2, dell’Accordo.

2. Tutti i dati personali già trasferiti ai sensi delle presenti clausole continueranno a essere trattati applicando le garanzie ivi previste, anche dopo la scadenza dell’Accordo oppure dopo la denuncia dello stesso effettuata ai sensi dell’art. 13.