trattamento nell'Unione dovrebbe essere determinato in base a criteri obiettivi e implicare l'effettivo e reale
svolgimento di attività di gestione finalizzate alle principali decisioni sulle finalità e sui mezzi del trattamento nel
quadro di un'organizzazione stabile. Tale criterio non dovrebbe dipendere dal fatto che i dati personali siano
trattati in quella sede. La presenza o l'uso di mezzi tecnici e tecnologie di trattamento di dati personali o di
attività di trattamento non costituiscono di per sé lo stabilimento principale né sono quindi criteri determinanti
della sua esistenza. Per quanto riguarda il responsabile del trattamento, per «stabilimento principale» dovrebbe
intendersi il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se non dispone di un'ammini
strazione centrale nell'Unione, il luogo in cui sono condotte le principali attività di trattamento nell'Unione. In
caso di coinvolgimento sia del titolare del trattamento sia del responsabile del trattamento, l'autorità di controllo
competente capofila dovrebbe continuare a essere l'autorità di controllo dello Stato membro in cui il titolare del
trattamento ha lo stabilimento principale, ma l'autorità di controllo del responsabile del trattamento dovrebbe
essere considerata autorità di controllo interessata e tale autorità di controllo dovrebbe partecipare alla procedura
di cooperazione prevista dal presente regolamento. In ogni caso, le autorità di controllo dello Stato membro o
degli Stati membri in cui il responsabile del trattamento ha uno o più stabilimenti non dovrebbero essere
considerate autorità di controllo interessate quando il progetto di decisione riguarda soltanto il titolare del
trattamento. Se il trattamento è effettuato da un gruppo imprenditoriale, lo stabilimento principale dell'impresa
controllante dovrebbe essere considerato lo stabilimento principale del gruppo di imprese, tranne nei casi in cui
le finalità e i mezzi del trattamento sono stabiliti da un'altra impresa.
(37) Un gruppo imprenditoriale dovrebbe costituirsi di un'impresa controllante e delle sue controllate, là dove
l'impresa controllante dovrebbe essere quella che può esercitare un'influenza dominante sulle controllate in forza,
ad esempio, della proprietà, della partecipazione finanziaria o delle norme societarie o del potere di fare applicare
le norme in materia di protezione dei dati personali. Un'impresa che controlla il trattamento dei dati personali in
imprese a essa collegate dovrebbe essere considerata, unitamente a tali imprese, quale «gruppo imprenditoriale».
(38) I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno
consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in
relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l'utilizzo
dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di
dati personali relativi ai minori all'atto dell'utilizzo di servizi forniti direttamente a un minore. Il consenso del
titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di
consulenza forniti direttamente a un minore.
(39) Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le
persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li
riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone
che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e
comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l'infor
mazione degli interessati sull'identità del titolare del trattamento e sulle finalità del trattamento e ulteriori
informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai
loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano. È
opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al
trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In
particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e
precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e
limitati a quanto necessario per le finalità del loro trattamento. Da qui l'obbligo, in particolare, di assicurare che il
periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere
trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare
che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire
un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli
affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da
garantirne un'adeguata sicurezza e riservatezza, anche per impedire l'accesso o l'utilizzo non autorizzato dei dati
personali e delle attrezzature impiegate per il trattamento.
(40) Perché sia lecito, il trattamento di dati personali dovrebbe fondarsi sul consenso dell'interessato o su altra base
legittima prevista per legge dal presente regolamento o dal diritto dell'Unione o degli Stati membri, come indicato
4.5.2016
L 119/7
Gazzetta ufficiale dell'Unione europea
IT