RISOLUZIONE SULL'URGENZA DI TUTELARE LA PRIVACY IN UN MONDO SENZA FRONTIERE E DI ADDIVENIRE AD UNA PROPOSTA CONGIUNTA FINALIZZATA ALLA DEFINIZIONE DI STANDARD INTERNAZIONALI IN MATERIA DI PRIVACY E PROTEZIONE DEI DATI PERSONALI

(Traduzione non ufficiale)

 

Autorità proponenti: Agenzia spagnola per la protezione dei dati (Spagna) e Autorità federale svizzera per la protezione dei dati e la trasparenza (Svizzera)

Co-sponsor:

Commission nationale de l'informatique et des libertés (CNIL) – Francia
, Autorità federale per la protezione dei dati e l'accesso alle informazioni – Germania
, Garante per la protezione dei dati personali – Italia
, Information Commissioner's Office, UK
, Ispettorato statale per la protezione dei dati, Lituania
, Ufficio per la protezione dei dati, Repubblica Ceca
, Autorità ellenica per la protezione dei dati
, Autorità olandese per la protezione dei dati
, Ispettorato generale per la protezione dei dati, Polonia, 
Autorità irlandese per la protezione dei dati
, Commissione nazionale per la protezione dei dati, Portogallo, 
Direzione nazionale per la protezione dei dati personali, Argentina
, Autorità per la protezione dei dati di Guernsey
, Autorità per la protezione dei dati, Nuova Zelanda
Agenzia per la protezione dei dati, Andorra
Garante europeo per la protezione dei dati
, Autorità di Berlino per la protezione dei dati e l'accesso alle informazioni
, Agenzia per la protezione dei dati dei Paesi Baschi, Spagna
, Agenzia catalana per la protezione dei dati, Spagna
, Agenzia per la protezione dei dati della Regione di Madrid, Spagna, 
Autorità per la privacy – Nuova Zelanda

La Conferenza ricorda che:

      La dichiarazione adottata alla 22^ma Conferenza di Venezia,

      La risoluzione adottata alla 26^ma Conferenza di Breslavia,

      La dichiarazione adottata alla 27^ma Conferenza di Montreux,

      L' Iniziativa di Londra presentata in occasione della 28^ma Conferenza di Londra,

      La risoluzione adottata alla 29^ma Conferenza di Montreal

mirano a rafforzare la natura universale dei diritti alla protezione dei dati ed alla privacy e invitano a mettere a punto una convenzione universale per la protezione delle persone con riguardo al trattamento di dati personali.

In particolare, attraverso la Dichiarazione di Montreux la Conferenza ha invitato le Nazioni Unite a predisporre uno strumento giuridicamente vincolante che stabilisca inequivocabilmente ed in modo dettagliato i diritti alla protezione dei dati ed alla privacy come diritti umani  di piena applicabilità. La Conferenza, inoltre, ha invitato il Consiglio d'Europa a sollecitare gli Stati non appartenenti a tale organismo, nei quali già sussistano norme adeguate in materia di protezione dei dati, ad aderire alla Convenzione per la tutela delle persone fisiche con riguardo al trattamento automatizzato di dati personali (Convenzione 108/1981) ed al relativo Protocollo addizionale (181/2003).

Nella risoluzione adottata in occasione della 29^ma Conferenza, le autorità hanno sottolineato l'esigenza di sostenere la definizione di standard internazionali in materia di privacy, efficaci e riconosciuti a livello mondiale, quale strumento utilizzabile per affermare e dimostrare il rispetto di requisiti giuridici in materia di protezione dei dati e privacy.

La Conferenza rileva che successivamente sono stati compiuti sforzi promettenti per raggiungere tali obiettivi, con particolare riguardo a quanto segue:

      La definizione di una Convenzione mondiale fa parte del programma di lavoro della International Law Commission dell'ONU.

      Il Consiglio d'Europa è favorevole all'adesione di Stati non-membri che si siano già dotati di norme in materia di protezione dati conformi alla Convenzione 108/1981, e ha deciso di promuovere la Convenzione a livello mondiale. Il Consiglio ha riaffermato la valenza potenzialmente universale della Convenzione 108/1981, in particolare durante il World Summit on Information Society tenutosi a Tunisi (novembre 2005) nonché nell'ambito dell'Internet Governance Forum di Atene (2006) e Rio (2007).

      Il 12 giugno 2007 l'OCSE ha adottato la Raccomandazione sulla cooperazione transfrontaliera nell'attuazione di normative in materia di privacy, che mira, in particolare, a migliorare il contesto in cui si colloca l'attuazione a livello nazionale delle norme in materia di privacy al fine di potenziare la cooperazione fra le autorità nazionali e quelle di altri Paesi, nonché a mettere a punto efficaci meccanismi internazionali in grado di facilitare le attività di cooperazione finalizzate all'attuazione transfrontaliera delle norme in materia di privacy.

      Le conferenze regionali dell'UNESCO tenutesi nel 2005 (Asia-Pacifico) e nel 2007 (Europa) sottolineano la natura prioritaria della protezione dei dati.

      Le iniziative assunte dal Gruppo Articolo 29 nell'UE, finalizzate a semplificare le procedure per l'approvazione di Norme Vincolanti d'Impresa (BCR) e a definire soluzioni contrattuali per la disciplina dei flussi di dati verso Paesi terzi.

      Nella dichiarazione finale dell'11mo incontro de "La Francophonie", tenutosi a Budapest nel mese di settembre 2006, i Capi di Stato e di governo si sono impegnati ad intensificare gli sforzi legislativi e regolamentari a livello nazionale necessari a sancire il diritto alla protezione dei dati, e ad operare a livello mondiale in vista della messa a punto di una convenzione internazionale che garantisca un diritto effettivo alla protezione dei dati.

      Nel mese di novembre 2004, l'APEC ha adottato il "Privacy Framework APEC" al fine di potenziare la tutela della privacy e garantire la continuità dei flussi informativi. Nel mese di settembre 2007, l'APEC ha lanciato il "Privacy Pathfinder" allo scopo di definire piattaforme di implementazione che assicurino una circolazione responsabile dei dati fra più Paesi così da sostenere le esigenze delle imprese, ridurre i costi legati agli adempimenti normativi, fornire ai consumatori efficaci strumenti di tutela, consentire alle autorità competenti di intervenire in modo efficace, e ridurre al minimo gli oneri normativi.

      L'Associazione francofona delle Autorità per la protezione dei dati (AFAPDP), costituita a Montreal in occasione della 29^ma Conferenza internazionale, annovera fra i propri obiettivi  l'elaborazione di una convenzione universale ed appoggia gli sforzi miranti a conseguire l'adesione alla Convenzione 108 del Consiglio d'Europa da parte di Stati che non siano membri di tale organizzazione.

      La Rete iberoamericana di protezione dati (RIPD) ha adottato una dichiarazione durante il sesto incontro tenutosi in Colombia nel mese di maggio 2008, invitando le conferenze internazionali in materia di protezione dati e privacy, indipendentemente dal rispettivo ambito geografico, a proseguire nelle iniziative miranti all'adozione di uno strumento giuridico comune.

      Le Autorità per la protezione dei dati dell'Europa centrale ed orientale (CEEDPA), in occasione dell'ultimo incontro tenutosi in Polonia nel mese di giugno 2008, hanno riconosciuto la propria disponibilità a proseguire e potenziare gli sforzi congiunti nell'ambito della CEEDPA, in particolare al fine di elaborare soluzioni condivise e supportare i nuovi Paesi membri nell'attuazione delle rispettive legislazioni in materia di protezione dei dati.

La Conferenza formula le seguenti osservazioni:

      Il diritto alla protezione dei dati e il diritto alla privacy sono diritti fondamentali di ogni persona a prescindere dalla cittadinanza o dal luogo di residenza.

      Con l'espansione della società dell'informazione, il diritto alla protezione dei dati e il diritto alla privacy sono condizioni essenziali, in una società democratica, per garantire il rispetto dei diritti delle persone, la libera circolazione delle informazioni, ed un'economia di mercato aperta.

      La globalizzazione degli scambi di informazioni e dei trattamenti di dati personali, la complessità dei sistemi, il pregiudizio potenzialmente derivante dall'abuso di tecnologie sempre più potenti, e l'incremento delle misure di sicurezza necessitano di risposte rapide e adeguate onde garantire il rispetto di diritti e libertà fondamentali, con particolare riguardo al diritto alla privacy.

      Le persistenti disparità in termini di protezione dei dati e privacy a livello mondiale, in particolare per l'assenza di norme adeguate in molti Paesi, pregiudicano gli scambi di dati personali e l'attuazione di un'efficace protezione dei dati a livello mondiale.

      E' prioritario definire regole transfrontaliere che possano garantire in modo uniforme il rispetto per la protezione dei dati e la privacy.

      Il riconoscimento di tali diritti richiede l'adozione di uno strumento universale, giuridicamente vincolante, che stabilisca principi condivisi in materia di protezione dei dati e privacy integrando ed ispirandosi a quelli contenuti in vari strumenti già esistenti, e che rafforzi la cooperazione internazionale fra le autorità per la protezione dei dati.

      L'attuazione delle linee-guida messe a punto da organismi quali APEC o OCSE, soprattutto con riguardo all'adozione di dispositivi internazionali finalizzati a migliorare il rispetto per i diritti alla protezione dei dati ed alla privacy nei flussi di dati transfrontalieri, rappresenta un passo positivo in direzione dell'obiettivo sopra descritto.

      L'adesione a strumenti vincolanti dotati di valore universale come la Convenzione del Consiglio d'Europa per la protezione delle persone con riguardo al trattamento automatizzato di dati personali (108/1981) ed il Protocollo addizionale a tale Convenzione, relativo alle autorità di controllo ed ai flussi transfrontalieri di dati (ETS 181), i quali contengono principi fondamentali in materia di protezione dei dati, faciliterà verosimilmente lo scambio di dati fra soggetti diversi in quanto gli strumenti suddetti offrono meccanismi ed una piattaforma di cooperazione fra autorità per la protezione dei dati, prevedono la costituzione di tali autorità come soggetti operanti in piena indipendenza, e promuovono la realizzazione di un livello adeguato di protezione dei dati.

      La 30ma Conferenza internazionale delle autorità per la protezione dei dati e la privacy rappresenta il contesto idoneo in cui adottare una strategia finalizzata in modo specifico alla realizzazione degli obiettivi sopra descritti.

Pertanto, la Conferenza rinnova l'invito ad elaborare uno strumento universale e giuridicamente vincolante in materia di protezione dei dati e privacy, adottando le seguenti risoluzioni:

1. La Conferenza appoggia gli sforzi compiuti dal Consiglio d'Europa per migliorare i diritti fondamentali alla protezione dei dati ed alla privacy. Conseguentemente, la Conferenza invita gli Stati membri del Consiglio d'Europa che non abbiano ancora ratificato la Convenzione per la protezione delle persone con riguardo al trattamento automatizzato di dati personali ed il relativo  Protocollo addizionale, a provvedere in tal senso. La Conferenza invita i Paesi che non sono membri del Consiglio d'Europa, qualora ne ricorrano le condizioni, a valutare un possibile riscontro all'invito formulato dal Consiglio d'Europa di aderire alla Convenzione ETS n. 108 ed al relativo Protocollo addizionale. In considerazione della Risoluzione relativa alla costituzione di un Comitato Direttivo rispetto alla  rappresentanza in occasione di incontri tenuti da organismi internazionali, la Conferenza intende, inoltre, contribuire alle attività del Comitato consultivo previsto dalla Convenzione ETS n. 108.

2. La Conferenza appoggia le iniziative assunte in ambito APEC, OCSE ed in altri ambiti regionali ed internazionali al fine di elaborare strumenti efficaci che possano promuovere migliori standard internazionali in materia di privacy e protezione dei dati.

3. La Conferenza dispone la costituzione di un gruppo di lavoro, coordinato dall'autorità organizzatrice della 31^ma Conferenza internazionale e comprendente le autorità di protezione dati interessate, al fine di redigere e presentare, in occasione della Sessione a porte chiuse, una Proposta congiunta finalizzata alla definizione di standard internazionali in materia di privacy e protezione dei dati personali secondo i criteri di seguito indicati:

a. Trarre ispirazione dai principi e dai diritti connessi alla protezione dei dati personali nelle diverse aree geografiche, con particolare riguardo a testi giuridici e di altra natura che abbiano raccolto un ampio consenso in ambiti regionali e internazionali.

b. Elaborare un insieme di principi e diritti che, pur riflettendo ed integrando i testi esistenti, mirino ad ottenere la massima accettazione a livello internazionale garantendo un alto livello di tutela.

c. Valutare i settori nei quali i diritti ed i principi in oggetto siano applicabili, comprese eventuali alternative utili ad armonizzare gli ambiti di applicazione.

d. Definire i criteri fondamentali per garantire un'efficace applicazione alla luce delle diversità esistenti fra i singoli sistemi giuridici.

e. Analizzare il ruolo che può svolgere l'autoregolamentazione.

f. Formulare le garanzie essenziali onde migliorare e rendere più flessibili i trasferimenti internazionali di dati.

La redazione della proposta congiunta di cui sopra dovrebbe avvenire favorendo la più ampia partecipazione a gruppi di lavoro, interventi e/o audizioni presso soggetti ed organismi pubblici e privati, al fine di ottenere il più ampio consenso sociale ed istituzionale. Particolare attenzione deve essere prestata alle attività in corso da parte dell'ISO e della International Law Commission.