Decisione n. 1247/2002/CE del Parlamento Europeo, del Consiglio e della Commissione del 1o luglio 2002 E LA COMMISSIONE DELLE COMUNITÀ EUROPEE, visto il trattato che istituisce la Comunità europea, visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (1), in particolare l’articolo 43, vista la proposta della Commissione (2), considerando quanto segue: (1) Il garante europeo della protezione dei dati è l’organo indipendente di controllo incaricato di sorvegliare l’applicazione alle istituzioni e agli organismi comunitari degli atti comunitari sulla protezione delle persone fisiche in relazione al trattamento dei dati personali, nonché sulla libera circolazione di tali dati. (2) Le norme relative alla protezione dei dati mirano a garantire la tutela delle libertà e dei diritti fondamentali delle persone fisiche, in particolare la loro vita privata e familiare, in relazione al trattamento dei dati di carattere personale, conformemente, in particolare, all’articolo 6 del trattato sull’Unione europea, tenendo in debita considerazione gli articoli 7 e 8 della carta dei diritti fondamentali dell’Unione europea. Tali diritti fondamentali sono interpretati, conformemente alla giurisprudenza della Corte di giustizia, alla luce dell’articolo 8 della convenzione europea dei diritti dell’uomo e delle tradizioni costituzionali comuni degli Stati membri. L’obiettivo della protezione dei dati deve essere garantito tenuto conto dell’obiettivo di non limitare le informazioni accessibili ai cittadini sulle attività pubbliche. (3) Per l’effettivo insediamento di tale organo indipendente di controllo è necessario fissare lo statuto e le condizioni generali d’esercizio delle funzioni di garante europeo della protezione dei dati e di garante aggiunto. (4) La maggior parte degli elementi costitutivi dello statuto e delle condizioni generali di esercizio delle funzioni di garante europeo della protezione dei dati è già inclusa nel regolamento (CE) n. 45/2001. Esso contiene le disposizioni necessarie per la nomina del garante europeo della protezione dei dati e del garante aggiunto, nonché le disposizioni relative alle risorse umane e finanziarie, all’indipendenza, all’obbligo di segreto professionale, alle funzioni e alle competenze. Il regolamento interno relativo al garante europeo della protezione dei dati, previsto all’articolo 46, lettera k), del regolamento (CE) n. 45/2001, dovrebbe contenere in particolare norme procedurali concernenti le modalità con cui il garante europeo della protezione dei dati esercita le sue competenze. (5) Il garante europeo della protezione dei dati è vincolato dal diritto comunitario e dovrebbe rispettare il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, sull’accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (3). Egli dovrebbe pertanto essere vincolato dalle disposizioni del trattato riguardanti la tutela dei diritti e delle libertà fondamentali che stabiliscono che il processo decisionale dell’Unione è quanto più aperto possibile e prevedono la protezione dei dati di carattere personale, segnatamente della vita privata. (6) La copertura finanziaria della presente decisione dovrebbe essere compatibile conil massimale previsto alla rubrica 5. (7) Nel regolamento (CE) n. 45/2001 mancano soltanto due aspetti importanti dello statuto, che devono dunque essere definiti. Essi riguardano la retribuzione del garante e del garante aggiunto, le indennità e ogni altro compenso sostitutivo, nonché la sede del garante. Occorre inoltre precisare le disposizioni del regolamento (CE) n. 45/2001 relative alla procedura di nomina del garante europeo e del garante aggiunto. (8) La retribuzione del garante europeo della protezione dei dati dovrebbe essere allo stesso livello di quella del mediatore europeo, considerata la necessità di dare al garante uno status adeguato alle sue funzioni e competenze, ed essendo il regolamento (CE) n. 45/2001 sostanzialmente ispirato al mediatore europeo per la definizione del profilo istituzionale del garante. Il mediatore europeo è equiparato ad ungiudice della Corte di giustizia per quanto riguarda la retribuzione, le indennità e il trattamento di quiescenza. (9) Il garante aggiunto dovrebbe essere equiparato al cancelliere della Corte di giustizia per quanto riguarda la retribuzione, le indennità e il trattamento di quiescenza, in modo da istituire una gerarchia tra garante europeo e garante aggiunto. A entrambi è comunque attribuito lo stesso tipo di trattamento economico, analogamente alla loro procedura di nomina, al mandato e alle funzioni. (10) La sede del garante europeo della protezione dei dati dovrebbe essere fissata a Bruxelles, per assicurare la necessaria vicinanza che, per la natura stessa dei suoi compiti, deve esistere tra garante stesso e istituzioni e organismi comunitari soggetti al suo controllo e, al fine di agevolare lo svolgimento armonioso delle sue funzioni. (11) Occorrerà esaminare in quale misura la collaborazione con gli organi di controllo della protezione dei dati istituiti in virtù del titolo VI del trattato sull’Unione europea, prevista dall’articolo 46, lettera f), del regolamento (CE) n. 45/2001, consente di realizzare l’obiettivo di garantire l’applicazione coerente delle norme e procedure di controllo volte alla protezione dei dati. (12) La commissione competente del Parlamento europeo potrà decidere di tenere un’audizione, aperta a tutti i deputati, dei candidati iscritti nell’elenco predisposto dalla Commissione in conformità dell’articolo 42, paragrafo 1, del regolamento (CE) n. 45/2001 dopo un invito pubblico a presentare candidature, DECIDONO: Articolo 1 Il garante europeo della protezione dei dati è equiparato a un giudice della Corte di giustizia delle Comunità europee per quanto riguarda la retribuzione, le indennità, il trattamento di quiescenza e ogni altro compenso sostitutivo. Articolo 2 Il garante aggiunto è equiparato al cancelliere della Corte di giustizia delle Comunità europee per quanto riguarda la retribuzione, le indennità, il trattamento di quiescenza e ogni altro compenso sostitutivo. Articolo 3 Il garante europeo della protezione dei dati ed il garante aggiunto sono nominati in seguito a un invito pubblico a candidarsi. Tale invito consentirà a tutte le parti interessate nell’insieme della Comunità di presentare la propria candidatura. L’elenco dei candidati è pubblico. La commissione competente del Parlamento europeo, in base alla proposta della Commissione stabilita conformemente all’articolo 42, paragrafo 1, del regolamento (CE) n. 45/2001, può decidere di organizzare colloqui allo scopo di stabilire una preferenza. Articolo 4 Il garante europeo della protezione dei dati e il garante aggiunto hanno sede a Bruxelles. Articolo 5 La presente decisione entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale delle Comunità europee. Fatto a Bruxelles, addì 1o luglio 2002.
NOTE RELAZIONE L'articolo 8 della Carta dei diritti fondamentali dell'Unione europea stabilisce che:
2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente. Il trattamento dei dati personali è un'operazione correntemente praticata da istituzioni e organismi comunitari nell'ambito della loro attività. Ad esempio, la Commissione procede allo scambio di dati personali con gli Stati membri nel quadro della politica agricola comune, per la gestione del regime doganale, dei fondi strutturali e nel quadro di altre politiche comunitarie, quali l'istruzione, la formazione, la cultura e la ricerca. Per garantire la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, e per evitare che gli scambi d'informazione vengano rimessi in discussione dagli Stati membri per motivi di protezione dei dati, il trattato firmato ad Amsterdam ha inserito nel trattato che istituisce la Comunità europea una disposizione finalizzata a questo scopo. Il nuovo articolo 286 prevede che a decorrere dal 1° gennaio 1999 le istituzioni e gli organismi comunitari applichino le norme comunitarie sulla protezione dei dati personali stabilite prevalentemente dalle direttive 95/46/CE e 97/66/CE. Esso prevede inoltre che un organo di controllo indipendente vigili sull'applicazione di tali norme. D'altro canto le stesse motivazioni hanno portato all'inclusione del diritto alla protezione dei dati di carattere personale nella Carta dei diritti fondamentali dell'Unione europea. Per adempiere a questa disposizione del trattato il legislatore comunitario ha adottato il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio del 18 dicembre 2000 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati. Il regolamento stabilisce una serie di principi ai quali sono soggetti i trattamenti dei dati personali ad opera delle istituzioni e degli organismi comunitari. Oltre a tali disposizioni sostanziali, il regolamento istituisce un'autorità di controllo indipendente, denominata garante europeo della protezione dei dati, che ha il compito di assicurare l'applicazione delle disposizioni del regolamento. Il garante è assistito da un garante aggiunto. Il regolamento prevede inoltre che il Parlamento europeo, il Consiglio e la Commissione fissino di comune accordo lo statuto e le condizioni generali d'esercizio delle funzioni del garante europeo della protezione dei dati e, in particolare, la retribuzione, le indennità e ogni altro compenso sostitutivo. A questo proposito si rileva che la maggior parte degli elementi costitutivi dello statuto di garante europeo e di quello di garante aggiunto è già contenuta nel regolamento stesso. In effetti esso prevede clausole specifiche per assicurare l'indipendenza del garante, concernenti in particolare la nomina, le dimissioni e il divieto di ricevere istruzioni da chi che sia. Per esercitare le funzioni attribuitegli dal regolamento il garante è dotato di proprie competenze. Restano peraltro da determinare due punti essenziali dello statuto e delle condizioni generali d'esercizio delle funzioni di garante europeo della protezione dei dati, cioè la retribuzione del garante e del suo aggiunto, e la sede dell'organismo. Quanto alla remunerazione, è essenziale assicurare al garante europeo uno statuto adeguato alle sue funzioni di controllo delle istituzioni e degli organismi comunitari, alle sue competenze e alla sua indipendenza. Occorre inoltre tener conto dell'influenza che la figura del mediatore europeo ha avuto sulla definizione del profilo istituzionale del garante contenuta nel regolamento. Non a caso, infatti, numerosi elementi dello statuto del mediatore europeo vengono ripresi dal regolamento in riferimento al garante e la relativa dotazione di bilancio è prevista alla sezione VIII del bilancio generale dell'Unione europea, dove è attualmente collocata la rubrica relativa al mediatore. Sotto questo aspetto il regolamento si ispira alle pratiche di taluni Stati membri, in cui l'autorità di controllo per la protezione dei dati personali assume la forma di organo unipersonale e indipendente, talvolta denominato "ombudsman". Si propone di conseguenza che al garante europeo della protezione dei dati spettino la stessa retribuzione e gli stessi vantaggi del mediatore europeo, che a sua volta è assimilato ad un giudice della Corte di giustizia delle Comunità europee per quanto riguarda la retribuzione, le indennità e il trattamento di quiescenza. Quanto alla retribuzione del garante aggiunto, occorre tener presente che il suo statuto deve rispondere a due esigenze. Da un lato il garante aggiunto è nominato con la stessa procedura e per la stessa durata del garante, con il compito di assisterlo nell'esercizio delle sue funzioni e di sostituirlo in caso d'assenza o impedimento. Il suo statuto pertanto, ed in particolare la sua retribuzione, deve avvicinarsi a quella del garante stesso. D'altro lato tra i due posti deve sussistere una gerarchia, che rispecchi la debita differenza tra il garante e la persona che l'assiste e lo sostituisce. Per tale motivo si propone d'assimilare il garante aggiunto al cancelliere della Corte di giustizia per quanto riguarda la retribuzione, le indennità e il trattamento di quiescenza. In effetti il cancelliere ed i giudici della Corte di giustizia sono soggetti agli stessi regolamenti di attribuzione del trattamento economico, soprattutto per quanto riguarda la pensione, le indennità e il trattamento di quiescenza. D'altro canto tra i giudici e il cancelliere esiste una certa gerarchia, dato che lo stipendio base mensile dei giudici è pari al 112% dello stipendio base di un funzionario delle Comunità europee di grado A1, ultimo scatto, mentre quello del cancelliere è pari al 101% dello stipendio base del medesimo funzionario . Considerata la natura delle sue funzioni, il garante europeo della protezione dei dati deve essere prossimo alle istituzioni che deve controllare. La maggior parte dei servizi della Commissione, il segretariato del Consiglio dell'Unione europea, il Comitato economico e sociale e il Comitato delle regioni si trovano a Bruxelles. Tali servizi sono responsabili di gran parte dei trattamenti dei dati personali ad opera delle istituzioni e degli organismi comunitari. Per quanto attiene alle altre istituzioni e organismi comunitari distribuiti nei vari Stati membri, Bruxelles si colloca geograficamente in posizione centrale e abbastanza ben collegata con la periferia dell'Unione. Per agevolare uno svolgimento armonioso delle funzioni, si propone di fissare a Bruxelles la sede del garante europeo della protezione dei dati. La Commissione ricorda inoltre l'importanza del ruolo che il garante è chiamato a svolgere nel sistema di protezione dei dati personali istituito dal regolamento. Da una parte per le persone interessate costituisce una garanzia del trattamento dei loro dati ad opera delle istituzioni e degli organismi comunitari nel più rigoroso rispetto dei principi del regolamento, grazie soprattutto alle indagini che può svolgere di propria iniziativa o in seguito ad un reclamo e al suo controllo preventivo di taluni trattamenti. D'altra parte, fatte salve le opportune garanzie, il suo intervento permette di conferire al regime generale di protezione dei dati stabilito dal regolamento l'elasticità necessaria per adattarsi a circostanze che il regolamento stesso difficilmente riesce a prevedere. Il garante può ad esempio autorizzare trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale che non assicurano un adeguato livello di protezione; può derogare al principio del divieto dei trattamenti automatizzati di dati sensibili e di decisioni individuali; può anche autorizzare il trattamento di taluni dati relativi al traffico delle comunicazioni e alla fatturazione nell'ambito delle reti di telecomunicazioni, al di là di quanto consente in generale il regolamento: "Regolamento (CECA, CEE, EURATOM) n. 1546/73 del Consiglio, del 4 giugno 1973, GU L 155 dell'11.6.1973, pag. 8". Per tali motivi la Commissione ritiene dal canto suo di dover prendere i provvedimenti necessari affinché il garante europeo della protezione dei dati entri in carica e possa esercitare le sue funzioni non appena possibile. In particolare essa intende agire nel quadro della procedura di bilancio affinché il garante nominato possa disporre al più presto possibile delle risorse umane e finanziarie necessarie per l’esercizio delle sue funzioni, naturalmente nel rispetto del ruolo assegnatole dal trattato in materia di bilancio. Pertanto la Commissione si propone di presentare al più presto all'autorità di bilancio una lettera rettificativa del PPB 2002 contenente una previsione delle risorse necessarie al garante che si basa sulla presente proposta. In seguito la Commissione desidera bandire un avviso di ricerca di candidati ai posti di garante e di garante aggiunto, come prevede l'articolo 42 del regolamento, al più tardi entro il 1° novembre 2001. La Commissione invita il Parlamento europeo e il Consiglio ad impegnarsi con lei in uno sforzo comune affinché i cittadini possano contare rapidamente sul garante europeo della protezione dei dati a tutela del diritto fondamentale alla protezione dei loro dati personali trattati dalle istituzioni e dagli organismi comunitari. |