RELAZIONE ANNUALE 2004
Sintesi
La relazione annuale per il 2004 riguarda il primo periodo dell'esistenza del garante europeo della protezione dei dati (GEPD) quale nuovo organo indipendente di controllo, incaricato di garantire il rispetto dei diritti e delle libert fondamentali delle persone fisiche, in particolare per quanto attiene alla vita privata, riguardo al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari. Essa descrive la "costruzione di una nuova istituzione" dalle sue fasi iniziali sino al momento in cui questo nuovo organo ha sviluppato la capacit di adempiere alla sua funzione con efficacia crescente. La relazione delinea le prime esperienze nei diversi settori di attivit, nonch il quadro giuridico e le prospettive politiche a grandi linee.
Il capitolo 1 - "Bilancio e prospettive" - descrive il quadro giuridico nell'ambito del quale sta operando il GEPD e le funzioni e le aree competenzead esso affidate. Vengono inoltre messi in rilievo i principali obiettivi per il 2005. La cronistoria della costruzione di una nuova istituzione oggetto del capitolo 2. Nei capitoli 3, 4 e 5 vengono discusse pi ampiamente le funzioni e le facolt. Il capitolo 3 sul controllo chiarisce il compito di vigilanza svolto dal GEPD sul trattamento dei dati presso le istituzioni e gli organismi comunitari, in collaborazione con i responsabili della protezione dei dati (RPD) presenti in ciascuna istituzione o organismo. Il capitolo 4 sulla consultazione spiega il compito del GEPD nel fornire alle istituzioni e agli organismi comunitari pareri su tutte le questioni relative al trattamento dei dati personali. Egli viene consultato dalla Commissione ogni qualvolta essa adotta una proposta legislativa sulla protezione dei dati personali. Il capitolo 5 sulla cooperazione evidenzia il ruolo attivo che il GEPD svolge nell'ambito delle attivit del Gruppo dell'articolo 29, nonch la collaborazione con gli organi di controllo della protezione dei dati nel quadro del cosiddetto terzo pilastro dell'Unione. Il capitolo 6 illustra il carattere mondiale della problematica della protezione dei dati, descrivendo i contatti internazionali intrattenuti dal GEPD nel 2004.
Capitolo 1: Bilancio e prospettive
L'istituzione, a livello europeo, di un organo indipendente preposto, a sorvegliare e garantire l'applicazione delle salvaguardie giuridiche a tutela dei dati personali costituisce una nuova esperienza sia per le istituzioni e gli organismi comunitari sia per l'Unione europea in generale.
Di rado le nuove esperienze si realizzano senza complicazioni. Ad esempio, le norme in materia di protezione dei dati sono entrate in vigore nel febbraio del 2001, con un periodo transitorio di un anno. Tuttavia le nomine del GEPD e del GEPD aggiunto sono entrate in vigore nel gennaio del 2004. Ci significa che mancata una supervisione esterna per un periodo di tre anni, durante il quale non stato possibile tutelare i diritti degli interessati come si intendeva fare adottando le relative norme. Malgrado il lavoro molto proficuo svolto dagli RPD, sono urgenti l'attuazione e il controllo delle norme vigenti: l'Unione europea non pu permettersi di non dare riscontro alle norme che essa impone a se stessa e agli Stati membri. Nondimeno, occorre una certa cautela, non essendovi a livello comunitario sintomi di alcuna mancanza di volont nell'ottemperare a norme generalmente ritenute ragionevoli ed adeguate.
L'articolo 286 del trattato CE prevede che gli atti comunitari sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonch alla libera circolazione di tali dati si applichino alle istituzioni e agli organismi comunitari, ed anche l'istituzione di un organo di controllo indipendente. Le pertinenti disposizioni di cui al suddetto articolo sono state definite nel regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio.
Detto regolamento non va considerato isolatamente, bens come elemento di un quadro pi vasto che rispecchia le attivit intraprese dall'Unione europea e dal Consiglio d'Europa in un lasso di tempo pi lungo. Queste attivit trovano fondamento nell'articolo 8 della Convenzione europea di salvaguardia dei diritti dell'uomo e delle libert fondamentali (CEDU) ed hanno pure influenzato la Carta dei diritti fondamentali dell'Unione europea, che stata adesso inglobata nel trattato che adotta una Costituzione per l'Europa come parte II.
A livello di Unione europea la protezione dei dati personali sancita: nell'articolo 6 del trattato UE nell'articolo 286 del trattato CE nell'articolo 8 della Carta dei diritti fondamentali nella direttiva 95/46/CE nella direttiva 2002/58/CE.
Il regolamento (CE) 45/2001 specifica i principi applicabili alle istituzioni e agli organismi comunitari. Tale regolamento si applica "al trattamento di dati personali da parte di tutte le istituzioni e di tutti gli organismi comunitari, nella misura in cui detto trattamento avviene nell'esercizio di attivit che rientrano in tutto o in parte nel campo di applicazione del diritto comunitario". Esso riguarda i principi generali quali il trattamento in modo corretto e lecito, la proporzionalit e l'uso compatibile, categorie particolari di dati sensibili, l'informazione da fornire agli interessati e i diritti dell'interessato nonch il controllo, l'attuazione e i mezzi di ricorso. Esso istituisce altres un organo indipendente di controllo (GEPD) incaricato di sorvegliare il trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari. Ciascuna istituzione dispone di un RPD che collabora con il GEPD.
Le funzioni e la facolt del GEPD sono illustrate negli articoli 41, 46 e 47 del regolamento. Le sue funzioni sono di "controllo", "consultazione" e "cooperazione". Ciascuna di esse viene ulteriormente trattata nei capitoli successivi.
L'istituzione di un organo indipendente di controllo a livello europeo non solo uno degli elementi fondamentali di una valida politica di protezione dei dati, ma anche un provvedimento essenziale per garantire che siano rispettati i principi e valori stabiliti all'articolo 8 della Convenzione Europea dei Diritti Umani e all'articolo II-68 della Costituzione europea. Queste disposizioni pongono chiaramente in risalto il ruolo degli organi indipendenti di controllo nella concretizzazione di tali principi e valori.
importante rendersi conto che un numero crescente di politiche dell'Unione Europea dipende dal trattamento legittimo dei dati personali. Questo perch molte attivit in una societ moderna generano al giorno d'oggi dati personali o li utilizzano come input. Ci vale anche per le istituzioni e gli organismi europei nei loro ruoli amministrativo e politico e pertanto anche per l'attuazione dei loro programmi politici. Un'effettiva protezione dei dati personali, quale valore fondamentale delle politiche dell'Unione, dovrebbe pertanto essere vista come condizione per il loro successo. Il GEPD agir in questo spirito generale e si aspetta in cambio una risposta positiva.
I principali obiettivi per il 2005 descritti nella relazione sono: Sviluppo della rete degli RPD Opuscoli, sito web e bollettino d'informazione Notificazioni e controlli preventivi Orientamenti per i reclami e le indagini legislative Verifiche e accertamenti Vita privata e trasparenza E-monitoring e dati relativi al traffico Pareri su proposte legislative Protezione dei dati nell'ambito del terzo pilastro Sviluppo di risorse
Capitolo 2: Costruzione di una "nuova istituzione"
Il 2004 stato l'anno dell'avvio dell'istituzione. Le basi amministrative sono state poste con l'aiuto del Parlamento europeo, della Commissione e del Consiglio, che hanno assicurato un apporto di know-how, un aiuto prezioso nell'esecuzione di determinati compiti e il raggiungimento di economie di scala.
Il GEPD intende proseguire lo sviluppo di queste basi nel 2005.
Capitolo 3: Controllo
Uno dei compiti fondamentali del GEPD, quale nuovo organo indipendente, quello di sorvegliare l'applicazione delle disposizioni, di cui al regolamento (CE) n. 45/2001 e ad altri strumenti giuridici pertinenti, a tutti i trattamenti di dati personali effettuati da un'istituzione o un organismo comunitario (fatta eccezione per la Corte di giustizia nell'esercizio delle sue funzioni giurisdizionali), purch essi avvengano nell'esercizio di attivit che rientrano in tutto o in parte nel campo di applicazione del diritto comunitario. A tal fine il regolamento descrive e attribuisce una serie di funzioni e facolt relative ai compiti di controllo.
Durante il 2004 si fatto ricorso a controlli preventivi, ad attivit informative destinate agli interessati, alla trattazione dei reclami e ad accertamenti. I pareri del GEPD hanno avuto il necessario seguito. I responsabili del trattamento hanno adottato le conseguenti misure.
Tutti i trattamenti che possono presentare rischi specifici per i diritti e le libert degli interessati, per loro natura, oggetto o finalit, sono soggetti a controllo preventivo. Il GEPD deve effettuare controlli preventivi dopo aver ricevuto una notificazione dall'RPD di un'istituzione o di un organismo comunitario. La risposta definitiva assume la forma di parere del GEPD da notificare al responsabile del trattamento e all'RPD dell'istituzione o dell'organismo interessato. Detto parere deve essere reso entro due mesi dal ricevimento della notificazione. Si tiene un registro di tutti i trattamenti notificati per controllo preventivo.
I controlli preventivi riguardano non solo i trattamenti non ancora in corso (controlli preventivi "in senso proprio"), ma anche quelli iniziati prima del 17 gennaio 2004 o prima dell'entrata in vigore del regolamento. Questi casi vengono trattati su una base "ex post". Nel 2004 sono stati notificati al GEPD quattro casi di controllo preventivo "in senso proprio", mentre sono stati registrati come controlli preventivi "ex post" circa cento casi.
Nel corso del 2004 il GEPD ha ricevuto 51 richieste di informazioni. La maggior parte sono state evase nel giro di due giorni lavorativi.
Sono stati ricevuti, inoltre, 8 reclami di competenza del GEPD: 6 contro la Commissione, 1 contro la Banca centrale europea e 1 contro il Parlamento. L'esperienza acquisita nel trattamento di questi reclami sta servendo per la redazione di un manuale.
Il GEPD ha avviato le sue prime indagini. Le istituzioni e gli organismi comunitari ritengono problematico il rapporto tra accesso del pubblico ai documenti e protezione dei dati. Un documento orientativo sulle modalit atte a promuovere l'accesso del pubblico a documenti unitamente alla protezione dei dati di carattere personale in corso di elaborazione.
Il GEPD ha nello stesso tempo avviato i lavori sul trattamento dei dati relativi al traffico e alla fatturazione di tutti i tipi di comunicazioni elettroniche nelle istituzioni europee, con un duplice obiettivo. Il GEPD mira a produrre orientamenti in materia e ad elaborare l'elenco/gli elenchi dei dati sul traffico che possono essere sottoposti a trattamento a fini di gestione del bilancio e del traffico delle telecomunicazioni, nonch di verifica dell'utilizzazione autorizzata del sistema di telecomunicazioni.
La tematica Eurodac trattata separatamente per il suo quadro giuridico e per la sua importanza in una prospettiva pi ampia. Il regolamento (CE) n. 2725/2000 che istituisce l'Eurodac (confronto delle impronte digitali per l'efficace applicazione della convenzione di Dublino) prevedeva l'istituzione di un'autorit comune di controllo provvisoria che sarebbe stata soppressa all'atto dell'istituzione del GEPD. Dal gennaio del 2004 il GEPD diventato l'organo di controllo dell'unit centrale Eurodac e sorveglia inoltre la trasmissione di dati personali agli Stati membri da parte di tale unit.
Capitolo 4: Consultazione
L'articolo 41 del regolamento (CE) n. 45/2001 assegna al GEPD il compito di fornire alle istituzioni e agli organismi comunitari pareri su tutte le questioni relative al trattamento dei dati personali. Il GEPD consiglia tutte le istituzioni e gli organismi comunitari, di propria iniziativa o in risposta ad una richiesta di consultazione. Ai sensi dell'articolo 28, la Commissione deve consultare il GEPD al momento dell'adozione di una proposta legislativa sulla tutela dei dati personali.
Nel 2004 il GEPD ha iniziato a dare applicazione alle suddette disposizioni del regolamento. Le sue prime attivit hanno riguardato i provvedimenti amministrativi. Per quanto riguarda la consultazione sulle proposte legislative, il primo parere formale stato formulato il 22 ottobre 2004. Esso riguardava la proposta di regolamento del Parlamento europeo e del Consiglio relativo alla reciproca assistenza amministrativa per la tutela degli interessi finanziari della Comunit contro la frode e ogni altra attivit illecita. Il parere stato pubblicato nella Gazzetta ufficiale e sul sito web del GEPD (www.edps.eu.int).
Sempre nel 2004 il GEPD ha iniziato l'elaborazione di un documento orientativo per chiarire come intende il suo ruolo di consulente delle istituzioni comunitarie sulle proposte legislative e sui documenti connessi.
Capitolo 5: Cooperazione
Si chiama "Gruppo dell'articolo 29" il Gruppo istituito dall'articolo 29 della direttiva 95/46/CE per fornire consulenze indipendenti alla Commissione in materia di protezione dei dati personali e contribuire allo sviluppo di politiche armonizzate per la protezione dei dati negli Stati membri. composto da rappresentanti delle autorit nazionali di controllo di ciascuno Stato membro, dal GEPD e da un rappresentante della Commissione. Il GEPD considera che si tratti di una piattaforma importante per la cooperazione ed ha pertanto svolto un ruolo attivo nelle attivit del Gruppo a decorrere da met gennaio 2004.
Il GEPD collabora inoltre con gli organi di controllo della protezione dei dati istituiti in virt del titolo VI del trattato sull'Unione europea ("terzo pilastro") per rendere pi coerente l'applicazione delle norme e procedure in materia. Si tratta delle autorit di controllo comuni dell'Europol, di Schengen, dell'Eurojust e del Sistema informativo doganale. Le parti interessate sono convinte della necessit di un'impostazione comune e armonizzata in questo settore molto sensibile.
Capitolo 6: Relazioni internazionali
Per allacciare rapporti internazionali il GEPD ha partecipato attivamente a conferenze europee e internazionali sulla protezione dei dati. Tali conferenze offrono un'opportunit molto proficua per discutere questioni di interesse comune e per scambiare informazioni ed esperienze su diverse tematiche. Nell'arco dell'anno il GEPD ha altres investito molto tempo e prodigato molti sforzi per illustrare la sua missione ed aumentare la sua visibilit in discorsi ed altri contributi in vari Stati membri. 30 marzo 2005 |