Capo IV
Art. 22
Protezione dei dati personali
In vigore dal 9 giu 2018
1. In relazione al trattamento dei dati personali effettuato per le finalità di cui all' si applicano le disposizioni di cui al decreto legislativo di attuazione della direttiva (UE) 2016/680, nonché, limitatamente ai trattamenti effettuati dagli organismi di cui agli della legge 3 agosto 2007, n. 124, quelle del Codice per la protezione dei dati personali di cui alla Parte II, Titolo III.
2. Al trattamento di dati personali da parte dei vettori aerei si applicano le disposizioni del regolamento generale sulla protezione dei dati, nonché quelle del Codice per la protezione dei dati personali, anche per quanto concerne l'obbligo di informare adeguatamente i passeggeri e di adottare adeguate misure tecniche e organizzative a tutela della sicurezza e della riservatezza dei dati personali.
3. È vietato il trattamento dei dati PNR idoneo a rivelare l'origine razziale o etnica, le opinioni politiche, la religione o le convinzioni filosofiche, l'appartenenza sindacale, lo stato di salute, la vita o l'orientamento sessuale dell'interessato.
4. L'UIP nazionale cancella immediatamente i dati PNR trattati con modalità tali da rivelare le informazioni di cui al comma precedente.
5. L'UIP nazionale adotta adeguate misure e procedure tecniche e organizzative per garantire un livello elevato di sicurezza in relazione ai rischi connessi al trattamento dei dati PNR anche nelle ipotesi di cui all', commi 2 e 3. L'UIP nazionale conserva la documentazione relativa ai sistemi e alle procedure di trattamento. La predetta documentazione riporta l'indicazione dei seguenti dati:
a) l'organizzazione dell'UIP nazionale e gli indirizzi utili a contattare le sue articolazioni interne;
b) i nominativi e gli indirizzi del personale dell'UIP nazionale incaricato del trattamento dei dati PNR;
c) il registro dei livelli di autorizzazione all'accesso di cui è titolare il personale dell'UIP nazionale;
d) le richieste formulate dalle autorità competenti nazionali;
e) le richieste formulate dalle UIP e dalle autorità competenti di altri Stati membri;
f) le richieste formulate da Paesi terzi e i trasferimenti di dati effettuati.
6. L'UIP nazionale conserva, altresì, per un periodo di cinque anni, i registri delle attività di raccolta, consultazione, comunicazione e cancellazione dei dati, adottando misure di sicurezza tali da evitare il rischio di distruzione o perdita, anche accidentale, degli stessi, nonché di accesso non autorizzato ovvero di trattamento non consentito o non conforme alle finalità previste.
Detti registri, anche in relazione alle esigenze di tracciamento e monitoraggio delle consultazioni, riportano l'indicazione della finalità, della data e dell'ora dell'operazione e gli elementi relativi all'identità della persona che ha consultato o comunicato i dati PNR, nonché dei destinatari di tali dati. I registri sono usati esclusivamente a fini di verifica, di autocontrollo, per garantire l'integrità e la sicurezza dei dati o di audit.
7. La documentazione di cui al comma 5 e i registri di cui al comma 6 sono messi a disposizione del Garante per la protezione dei dati personali, a seguito di richiesta.
8. In caso di violazione di dati personali, l'UIP nazionale ne dà comunicazione senza ritardo al Garante per la protezione dei dati personali. Quando tale violazione rischia di arrecare un rilevante pregiudizio ai dati personali o alla riservatezza dell'interessato, l'UIP nazionale comunica senza indebito ritardo all'interessato e al Garante per la protezione dei dati personali l'avvenuta violazione.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Prourn:nir:stato:decreto.legislativo:2018-05-21;53#art-22