COMMISSIONE DELLE COMUNITÀ EUROPEE

Decisione della Commissione, del 12 dicembre 2007, relativa alla protezione dei dati personali nell’ambito del sistema di informazione del mercato interno (IMI) (2008/49/CE)

[notificata con il numero C(2007) 6306]

(Testo rilevante ai fini del SEE 
-Pubblicata sulla GUU n. L 013 del 16/01/2008)

LA COMMISSIONE DELLE COMUNITÀ EUROPEE,

visto il trattato che istituisce la Comunità europea,

vista la decisione 2004/387/CE del Parlamento europeoe del Consiglio, del 21 aprile 2004, relativa all’erogazione interoperabile diservizi paneuropei di governo elettronico alle amministrazioni pubbliche, alleimprese e ai cittadini (IDABC) ^[1], in particolare l’articolo 4,

considerando quanto segue:

(1) Il 17 marzo 2006 i rappresentanti degli Statimembri in seno al comitato consultivo per il coordinamento nel campo delmercato interno ^[2] hanno approvato il piano globale di attuazionedel sistema di informazione del mercato interno (di seguito "IMI"), eil relativo sviluppo, volto a migliorare la comunicazione tra leamministrazioni degli Stati membri.

(2) Con la decisione COM/2006/3606, del 14 agosto2006, sulla terza revisione del programma di lavoro IDABC 2005-2009, laCommissione ha deciso di finanziare e di istituire il sistema di informazionedel mercato interno come progetto di interesse comune.

(3) Con la decisione COM/2007/3514 della Commissione,del 25 luglio 2007, relativa alla quarta revisione del programma di lavoroIDABC, è stato accordato un ulteriore finanziamento a favore del progetto.

(4) L’IMI mira ad agevolare l’applicazione degli attilegislativi relativi al mercato interno che richiedono lo scambio diinformazioni tra le amministrazioni degli Stati membri, in particolare ladirettiva 2006/123/CE del Parlamento europeo e del Consiglio, del 12 dicembre2006, relativa ai servizi nel mercato interno ^[3] e la direttiva2005/36/CE del Parlamento europeo e del Consiglio, del 7 settembre 2005,relativa al riconoscimento delle qualifiche professionali ^[4].

(5) Poiché nell’ambito dell’IMI deve essere garantitala protezione dei dati personali, è necessario completare in tal senso ladecisione che ha istituito l’IMI. Dato che i vari compiti e funzioni dellaCommissione e degli Stati membri nel quadro dell’IMI implicano responsabilità eobblighi diversi in materia di norme sulla protezione dei dati, è necessariodefinire le funzioni, le responsabilità e i diritti di accesso rispettivi.

(6) Nel suo parere relativo alla protezione dei datinell’ambito del sistema di informazione del mercato interno (IMI) ^[5],il gruppo per la tutela delle persone con riguardo al trattamento dei datipersonali istituito dall’articolo 29 della direttiva 95/46/CE chiedeespressamente l’adozione di una decisione della Commissione che fissi i dirittie gli obblighi dei partecipanti all’IMI.

(7) Lo scambio di informazioni con mezzi elettronicitra gli Stati membri deve avvenire nel rispetto delle norme di protezione deidati personali di cui alla direttiva 95/46/CE del Parlamento europeo e delConsiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche conriguardo al trattamento dei dati personali, nonché alla libera circolazione ditali dati ^[6] e al regolamento (CE) n. 45/2001 del Parlamentoeuropeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle personefisiche in relazione al trattamento dei dati personali da parte delleistituzioni e degli organismi comunitari, nonché la libera circolazione di talidati ^[7].

(8) Per consentire verifiche tra le autoritàcompetenti e tenendo conto delle situazioni in cui una persona interessatadesideri promuovere ricorso contro una decisione amministrativa negativaadottata sulla base di uno scambio di informazioni, occorre conservare per seimesi a decorrere dalla conclusione ufficiale dello scambio di informazioni tuttii dati personali scambiati tra autorità competenti e trattati nell’IMI. Altermine dei sei mesi tutti i dati personali devono essere cancellati. Unperiodo di conservazione di sei mesi è giudicato adeguato perché corrispondealla durata delle procedure amministrative previste dalla normativa comunitariasulla base della quale le informazioni vengono scambiate,

HA ADOTTATO LA PRESENTE DECISIONE:

CAPO 1

DISPOSIZIONI GENERALI

Articolo 1

Oggetto

La presente decisione fissa le funzioni, i diritti egli obblighi dei partecipanti e degli utenti IMI di cui all’articolo 6 perquanto riguarda gli obblighi di protezione dei dati nel quadro del sistema diinformazione del mercato interno (di seguito "IMI").

Articolo 2

Qualità dei dati

Le autorità competenti degli Stati membri scambiano etrattano i dati personali unicamente ai fini previsti dagli atti comunitaripertinenti di cui all’allegato (di seguito "atti comunitaripertinenti"), in base ai quali lo scambio di informazioni vieneeffettuato.

Le richieste di informazioni presentate dalleautorità competenti di uno Stato membro a quelle di un altro Stato membro e lerelative risposte si basano sulle domande e sui campi di dati multilinguedefiniti e formulati ai fini dell’IMI dalla Commissione in collaborazione congli Stati membri.

Articolo 3

Responsabili del trattamento

Le competenze dei responsabili del trattamento aisensi dall’articolo 2, lettera d), della direttiva 95/46/CE e dell’articolo 2,lettera d), del regolamento (CE) n. 45/2001 sono esercitate congiuntamente daipartecipanti IMI di cui all’articolo 6, conformemente alle rispettivecompetenze nell’ambito dell’IMI.

I responsabili del trattamento provvedono affinché lapersona interessata possa esercitare effettivamente i suoi diritti diinformazione, di accesso, di rettifica e di opposizione conformemente allanormativa applicabile in materia di protezione dei dati. I partecipanti IMIforniscono dichiarazioni di riservatezza in forma adeguata.

Articolo 4

Conservazione dei dati personali delle persone interessateoggetto dello scambio di informazioni

Tutti i dati personali delle persone interessateoggetto dello scambio di informazioni tra le autorità competenti e trattatenell’IMI sono cancellati sei mesi dopo la conclusione ufficiale dello scambiodi informazioni, o prima, se un’autorità competente ne fa espressamenterichiesta alla Commissione.

In caso di richiesta in tal senso, la Commissione vidà seguito entro 10 giorni lavorativi, previo accordo delle altre autoritàcompetenti interessate.

Articolo 5

Conservazione dei dati personali degli utenti IMI

I dati personali degli utenti IMI, di cuiall’articolo 6, sono conservati nell’IMI fintanto che gli interessati restanoutenti IMI e sono cancellati dall’autorità competente quando cessano di essereutenti.

I dati personali di cui al primo comma comprendono ilnome completo, l’indirizzo di posta elettronica professionale e i numeri ditelefono e di telefax professionali degli utenti IMI.

CAPO 2

FUNZIONI E RESPONSABILITÀ RELATIVE ALL’IMI

Articolo 6

Partecipanti e utenti IMI

1. I "partecipanti IMI" sono:

a) le autorità competenti degli Stati membri ai sensidell’articolo 7;

b) i coordinatori ai sensi dell’articolo 8;

c) la Commissione.

2. Solo le persone fisiche che lavorano sotto ilcontrollo di un’autorità competente o di un coordinatore, di seguito denominate"utenti IMI", possono utilizzare l’IMI ai sensi dell’articolo 9.

Articolo 7

Autorità competenti

Le autorità competenti assicurano lo scambio delleinformazioni richieste nell’ambito dell’IMI, ai fini definiti nell’attocomunitario pertinente sulla base del quale le informazioni vengono scambiate.

Articolo 8

Coordinatori IMI

1. Ogni Stato membro designa un coordinatorenazionale IMI per assicurare l’attuazione dell’IMI a livello nazionale.

Inoltre, in funzione della sua strutturaamministrativa interna, ogni Stato membro può designare uno o più coordinatoridelegati IMI con compiti di coordinamento in un determinato settorelegislativo, una suddivisione amministrativa o una regione geografica.

2. La Commissione registra nell’IMI i coordinatorinazionali IMI e accorda loro l’accesso all’IMI.

3. Se uno Stato membro designa un coordinatoredelegato IMI conformemente al paragrafo 1, il coordinatore nazionale IMI loregistra nell’IMI e gli accorda il relativo accesso.

4. I coordinatori registrano le autorità competentiche chiedono l’accesso all’IMI o ne autenticano la registrazione e vigilano sulfunzionamento efficiente del sistema. Essi accordano alle autorità competentil’accesso ai settori legislativi di loro competenza.

5. Tutti i coordinatori possono agire in qualità diautorità competenti. In tal caso, il coordinatore dispone degli stessi dirittidi accesso di un’autorità competente.

Articolo 9

Profili degli utenti IMI

1. Gli utenti IMI possono avere uno o più profili traquelli indicati di seguito: gestore della richiesta, assegnatore, supervisoredel rinvio e gestore locale di dati.

2. A ogni utente IMI viene attribuito un insiemedefinito di diritti di accesso legati al rispettivo profilo di utente ai sensidell’articolo 12.

3. Tutti gli utenti IMI possono effettuare ricerchesu una specifica autorità competente.

4. Gli utenti IMI designati come gestori dellerichieste possono partecipare allo scambio di informazioni per conto dellarispettiva autorità competente.

5. Gli utenti IMI designati come assegnatori diun’autorità competente possono assegnare una richiesta di informazioni ad uno opiù gestori delle richieste nell’ambito della propria autorità.

Gli utenti IMI designati come assegnatori di un coordinatorepossono assegnare una richiesta di informazioni ad uno o più supervisori delrinvio nell’ambito della propria autorità.

6. Gli utenti IMI di un coordinatore possono esseredesignati come supervisori del rinvio.

Essi possono autorizzare l’invio di richieste o dirisposte da parte di un’autorità competente, qualora una tale procedura diapprovazione sia resa obbligatoria dal coordinatore, e possono manifestare illoro accordo o disaccordo quando un’autorità competente richiedente non èsoddisfatta della risposta ricevuta.

7. Gli utenti IMI designati come gestori locali didati possono svolgere le funzioni seguenti:

a) aggiornamento dei dati personali degli utenti IMIdella propria autorità;

b) registrazione di nuovi utenti della propriaautorità;

c) modifica del profilo degli utenti della propriaautorità.

Articolo 10

Commissione

1. La Commissione assicura la disponibilità e lamanutenzione delle infrastrutture IT sulle quali l’IMI sarà ospitato. Mette adisposizione un sistema multilingue operante in tutte le lingue ufficiali efornisce assistenza agli Stati membri nell’uso dell’IMI mediante un help deskcentrale.

2. La Commissione mette pubblicamente a disposizionele domande e i campi di dati di cui all’articolo 2, secondo comma.

3. La Commissione può partecipare allo scambio diinformazioni soltanto in casi specifici in cui l’atto comunitario pertinenteprevede lo scambio di informazioni tra gli Stati membri e la Commissione.

4. Nei casi di cui al paragrafo 3, la Commissionedispone degli stessi diritti di accesso di un’autorità competente ai sensidell’articolo 12.

CAPO 3

DIRITTI DI ACCESSO AI DATI PERSONALI

Articolo 11

Persona interessata

Ai fini del presente capo, per "personainteressata" si intende unicamente la persona interessata oggetto di unoscambio di informazioni specifico e non include gli utenti IMI.

Articolo 12

Diritti di accesso degli utenti IMI

1. Nel quadro di uno scambio di informazioni, igestori della richiesta di un’autorità competente hanno accesso unicamente aidati personali riguardanti:

a) altri gestori della richiesta della stessaautorità competente partecipanti allo scambio di informazioni;

b) il gestore della richiesta dell’altra autoritàcompetente partecipante allo scambio di informazioni;

c) i supervisori del rinvio dei coordinatori che sioccupano dello scambio di informazioni;

d) le persone interessate oggetto dello scambio diinformazioni. I gestori della richiesta dell’autorità competente consultatahanno accesso ai dati personali delle persone interessate soltanto dopo che larichiesta è stata accettata dalla loro autorità competente.

2. Gli assegnatori di un’autorità competente hannoaccesso unicamente ai dati personali riguardanti:

a) tutti i gestori delle richieste della stessaautorità competente;

b) il gestore della richiesta dell’altra autoritàcompetente partecipante allo scambio di informazioni;

c) i supervisori del rinvio dei coordinatori che sioccupano dello scambio di informazioni.

Essi non hanno accesso ai dati personali dellepersone interessate.

3. Gli assegnatori di un coordinatore hanno accessounicamente ai dati personali riguardanti:

a) tutti i supervisori del rinvio dello stessocoordinatore;

b) i gestori delle richieste delle autoritàcompetenti partecipanti allo scambio di informazioni;

c) il supervisore del rinvio dell’altro coordinatoreche si occupa dello scambio di informazioni.

Essi non hanno accesso ai dati personali dellepersone interessate.

4. I supervisori del rinvio hanno accesso unicamenteai dati personali riguardanti:

a) i supervisori del rinvio dei coordinatoripartecipanti allo scambio di informazioni;

b) i gestori delle richieste delle autoritàcompetenti partecipanti allo scambio di informazioni.

Essi non hanno accesso ai dati personali dellepersone interessate.

5. I gestori locali di dati di un’autorità competentehanno accesso unicamente ai dati personali di tutti gli utenti IMI della stessaautorità competente.

Essi non hanno accesso ai dati personali dellepersone interessate.

6. I gestori locali di dati di un coordinatore hannoaccesso unicamente ai dati personali riguardanti:

a) tutti gli utenti IMI dello stesso coordinatore;

b) tutti i gestori locali di dati delle autoritàcompetenti e dei coordinatori di cui essi sono il coordinatore.

Essi non hanno accesso ai dati personali dellepersone interessate.

7. I gestori locali di dati della Commissione hannoaccesso unicamente ai dati personali riguardanti:

a) tutti gli altri gestori locali della Commissione;

b) tutti i gestori locali di dati dei coordinatorinazionali IMI.

I gestori locali di dati della Commissione possonocancellare i dati personali delle persone interessate ai sensi dell’articolo 4,ma non possono consultarli.

CAPO 4

DISPOSIZIONE FINALE

Articolo 13

Destinatari

Gli Stati membri sono destinatari della presente decisione.

Fatto a Bruxelles, il 12 dicembre 2007.

Per la Commissione

Charlie McCreevy

Membro della Commissione

NOTE                                 

[1] GU L 144 del 30.4.2004 rettificanella GU L 181 del 18.5.2004, pag. 25.

[2] Istituito con la decisione93/72/CEE della Commissione (GU L 26 del 3.2.1993, pag. 18).

[3] GU L 376 del 27.12.2006, pag.36.

[4] GU L 255 del 30.9.2005, pag. 22.Direttiva modificata da ultimo dal regolamento (CE) n. 1430/2007 dellaCommissione (GU L 320 del 6.12.2007, pag. 3).

[5] Parere 01911/07/EN, WP 140.

[6] GU L 281 del 23.11.1995, pag.31. Direttiva modificata dal regolamento (CE) n. 1882/2003 (GU L 284 del31.10.2003, pag. 1).

[7] GU L 8 del 12.1.2001, pag. 1.

--------------------------------------------------

ALLEGATO

Atti comunitari pertinenti di cui all’articolo 2

Gli atti comunitari pertinenti di cui all’articolo 2,primo comma, sono:

1. direttiva 2005/36/CE del Parlamento europeo e delConsiglio, del 7 settembre 2005, relativa al riconoscimento delle qualificheprofessionali ^[1];

2. direttiva 2006/123/CE del Parlamento europeo e delConsiglio, del 12 dicembre 2006, relativa ai servizi nel mercato interno ^[2].

NOTE                                 

[1] GU L 255 del 30.9.2005, pag. 22.Direttiva modificata dalla direttiva 2006/100/CE del Consiglio (GU L 363 del20.12.2006, pag. 141).

[2] GU L 376 del 27.12.2006, pag.36.