Page 223 - Rassegna 2018-2

P. 223

GAZZETTA UFFICIALE

Art. 22. Protezione dei dati personali
1. In relazione al trattamento dei dati personali effettuato per le finalità di cui all’articolo
3 si applicano le disposizioni di cui al decreto legislativo di attuazione della direttiva
(UE) 2016/680, nonché, limitatamente ai trattamenti effettuati dagli organismi di cui agli
articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, quelle del Codice per la protezione
dei dati personali di cui alla Parte II, Titolo III.
2. Al trattamento di dati personali da parte dei vettori aerei si applicano le disposizioni
del regolamento generale sulla protezione dei dati, nonché quelle del Codice per la
protezione dei dati personali, anche per quanto concerne l’obbligo di informare ade-
guatamente i passeggeri e di adottare adeguate misure tecniche e organizzative a tute-
la della sicurezza e della riservatezza dei dati personali.
3. È vietato il trattamento dei dati PNR idoneo a rivelare l’origine razziale o etnica, le
opinioni politiche, la religione o le convinzioni filosofiche, l’appartenenza sindacale, lo
stato di salute, la vita o l’orientamento sessuale dell’interessato.
4. L’UIP nazionale cancella immediatamente i dati PNR trattati con modalità tali da
rivelare le informazioni di cui al comma precedente.
5. L’UIP nazionale adotta adeguate misure e procedure tecniche e organizzative per
garantire un livello elevato di sicurezza in relazione ai rischi connessi al trattamento dei
dati PNR anche nelle ipotesi di cui all’articolo 5, commi 2 e 3. L’UIP nazionale conserva
la documentazione relativa ai sistemi e alle procedure di trattamento. La predetta docu-
mentazione riporta l’indicazione dei seguenti dati:
a) l’organizzazione dell’UIP nazionale e gli indirizzi utili a contattare le sue articolazioni interne;
b) i nominativi e gli indirizzi del personale dell’UIP nazionale incaricato del trattamento
dei dati PNR;
c) il registro dei livelli di autorizzazione all’accesso di cui è titolare il personale dell’UIP
nazionale;
d) le richieste formulate dalle autorità competenti nazionali;
e) le richieste formulate dalle UIP e dalle autorità competenti di altri Stati membri;
f) le richieste formulate da Paesi terzi e i trasferimenti di dati effettuati.
6. L’UIP nazionale conserva, altresì, per un periodo di cinque anni, i registri delle attività
di raccolta, consultazione, comunicazione e cancellazione dei dati, adottando misure di
sicurezza tali da evitare il rischio di distruzione o perdita, anche accidentale, degli stessi,
nonché di accesso non autorizzato ovvero di trattamento non consentito o non conforme
alle finalità previste. Detti registri, anche in relazione alle esigenze di tracciamento e
monitoraggio delle consultazioni, riportano l’indicazione della finalità, della data e dell’ora
dell’operazione e gli elementi relativi all’identità della persona che ha consultato o comu-
nicato i dati PNR, nonché dei destinatari di tali dati. I registri sono usati esclusivamente
a fini di verifica, di autocontrollo, per garantire l’integrità e la sicurezza dei dati o di audit.
7. La documentazione di cui al comma 5 e i registri di cui al comma 6 sono messi a
disposizione del Garante per la protezione dei dati personali, a seguito di richiesta.
8. In caso di violazione di dati personali, l’UIP nazionale ne dà comunicazione senza
ritardo al Garante per la protezione dei dati personali. Quando tale violazione rischia di
arrecare un rilevante pregiudizio ai dati personali o alla riservatezza dell’interessato,
l’UIP nazionale comunica senza indebito ritardo all’interessato e al Garante per la pro-
tezione dei dati personali l’avvenuta violazione.
223

218 219 220 221 222 223 224 225 226 227 228