(30) Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli
strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di
altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in
particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere
utilizzate per creare profili delle persone fisiche e identificarle.
(31) Le autorità pubbliche a cui i dati personali sono comunicati conformemente a un obbligo legale ai fini dell'e
sercizio della loro missione istituzionale, quali autorità fiscali e doganali, unità di indagine finanziaria, autorità
amministrative indipendenti o autorità dei mercati finanziari, responsabili della regolamentazione e della vigilanza
dei mercati dei valori mobiliari, non dovrebbero essere considerate destinatari qualora ricevano dati personali che
sono necessari per svolgere una specifica indagine nell'interesse generale, conformemente al diritto dell'Unione o
degli Stati membri. Le richieste di comunicazione inviate dalle autorità pubbliche dovrebbero sempre essere
scritte, motivate e occasionali e non dovrebbero riguardare un intero archivio o condurre all'interconnessione di
archivi. Il trattamento di tali dati personali da parte delle autorità pubbliche dovrebbe essere conforme alle norme
in materia di protezione dei dati applicabili secondo le finalità del trattamento.
(32) Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta
l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo
riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe
comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della
società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente
in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il
silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento
svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere
prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve
essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.
(33) In molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca
scientifica al momento della raccolta dei dati. Pertanto, dovrebbe essere consentito agli interessati di prestare il
proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche
riconosciute per la ricerca scientifica. Gli interessati dovrebbero avere la possibilità di prestare il proprio consenso
soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista.
(34) È opportuno che per dati genetici si intendano i dati personali relativi alle caratteristiche genetiche, ereditarie o
acquisite, di una persona fisica, che risultino dall'analisi di un campione biologico della persona fisica in
questione, in particolare dall'analisi dei cromosomi, dell'acido desossiribonucleico (DNA) o dell'acido ribonucleico
(RNA), ovvero dall'analisi di un altro elemento che consenta di ottenere informazioni equivalenti.
(35) Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato
che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso.
Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere
servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo
e del Consiglio (
1
); un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla
in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o
una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad
esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato
fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro
operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.
(36) Lo stabilimento principale di un titolare del trattamento nell'Unione dovrebbe essere il luogo in cui ha sede la sua
amministrazione centrale nell'Unione, a meno che le decisioni sulle finalità e i mezzi del trattamento di dati
personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione, nel qual caso tale altro
stabilimento dovrebbe essere considerato lo stabilimento principale. Lo stabilimento principale di un titolare del
4.5.2016
L 119/6
Gazzetta ufficiale dell'Unione europea
IT
(
1
) Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l'applicazione dei diritti dei pazienti
relativi all'assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).