RELAZIONE ANNUALE 2005
Sintesi (1)
Introduzione Il presente documento una sintesi della seconda relazione annuale del garante europeo della protezione dei dati (GEPD), un'autorit indipendente istituita per assicurare che le istituzioni e gli organismi dell'UE rispettino i loro obblighi per quanto riguarda il diritto fondamentale alla protezione dei dati personali.
Mentre il 2004 stato il primo anno di attivit, durante il quale stata letteralmente creata una nuova istituzione (compresa la ricerca di spazi adeguati per gli uffici e le prime fasi dell'assunzione di personale), la seconda relazione annuale riguarda un anno di consolidamento. I tre compiti principali del GEPD previsti dal regolamento (CE) n. 45/2001(2) - controllo, consultazione e collaborazione – sono stati ulteriormente precisati e generalmente riconosciuti dagli interessati. stato istituito un servizio stampa e sono stati compiuti sforzi per sviluppare le comunicazioni esterne. L'autorit ha registrato un ampliamento moderato con nuove assunzioni e il sostegno temporaneo da parte dei primi tirocinanti.
importante rilevare che un numero crescente di politiche UE dipende dal trattamento legittimo dei dati personali. Molte attivit pubbliche o private, in una societ moderna generano al giorno d'oggi dati personali o li utilizzano come input. Evidentemente ci vale anche per le istituzioni e gli organismi europei nei loro ruoli amministrativo e politico, nonch per l'attuazione dei loro programmi politici. Un'effettiva protezione dei dati personali, quale valore fondamentale delle politiche dell'Unione, dovrebbe essere vista come condizione per il loro successo. Il GEPD continuer ad agire in questo spirito generale e si aspetta in cambio una risposta positiva.
Controllo
Il GEPD ha il compito di controllare e provvedere affinch, ogniqualvolta trattano dati personali, le istituzioni e organismi comunitari rispettino le esistenti salvaguardie giuridiche. In questo senso il GEPD integra le autorit nazionali preposte alla protezione dei dati nei rispettivi Stati membri. I pi importanti sviluppi nel 2005 per quanto riguarda una migliore cultura in materia di protezione dei dati delle istituzioni e organismi sono stati:
In primo luogo, sono stati compiuti sforzi per sviluppare ulteriormente la rete di responsabili della protezione dei dati (RPD) delle istituzioni e gli organismi. Tali responsabili hanno il compito di assicurare in modo indipendente l'applicazione interna del regolamento 45/2001. Nel novembre 2005, stato elaborato un documento di sintesi sul loro ruolo nell'assicurare l'attuazione efficace del regolamento. Il documento stato inviato ai capi dell'amministrazione dell'UE e sottolinea che gli RPD sono un partner strategico del GEPD. Uno dei messaggi chiave che tutti gli organismi devono nominare un RPD come primo passo essenziale verso l'adempimento dei loro obblighi di protezione dei dati. Un secondo messaggio chiave che gli RPD devono essere informati in modo pi adeguato del trattamento dei dati personali nell'ambito della loro istituzione o organismo e informare i GEPD delle operazioni di trattamento dati che comportano rischi specifici per le persone interessate e richiedono pertanto un controllo preventivo.
In secondo luogo, sono state stanziate risorse considerevoli per il controllo preventivo di tutti i trattamenti che possono presentare rischi specifici. Bench fosse previsto specificamente il controllo di nuove operazioni di trattamento prima che avessero inizio, finora i controlli preventivi sono stati effettuati perlopi "ex post", in quanto molti dei sistemi esistenti sono entrati in funzione prima dell'inizio dell'attivit del GEPD o prima che il regolamento producesse effetti.
Nel 2005 sono stati formulati 34 pareri nell'ambito del controllo preventivo, di cui 30 su sistemi esistenti di varie istituzioni e organismi. Altri casi riguardavano consultazioni sulla necessit di controllo preventivo o casi di cui si accertato che, pur dando luogo a osservazioni, non sono oggetto di controllo preventivo. Il GEPD ha definito una serie di priorit tematiche nel contesto del controllo preventivo, in particolare fascicoli medici, valutazione del personale, procedure disciplinari, servizi sociali ed "e-monitoring". Alla fine del 2005 erano in corso di trattamento 29 notifiche e molte altre sono attese prossimamente. Le istituzioni e gli organismi sono stati incoraggiati a presentare le loro notifiche in vista del controllo preventivo entro la primavera del 2007.
In terzo luogo, il GEPD ha ricevuto, l'anno scorso, 27 reclami, di cui solo 5 sono stati dichiarati ammissibili ed esaminati. In pratica, la maggior parte dei reclami ricevuti esulano dall'ambito di competenza del GEPD. In casi del genere la persona che ha introdotto il reclamo informata in modo generale e, se possibile, consigliata riguardo a un'alternativa pi appropriata. Riguardo al trattamento dei reclami di sua competenza, il GEPD stato in contatto con il mediatore europeo per esaminare le possibilit di cooperazione in un prossimo futuro.
In quarto luogo, sono stati compiuti sforzi considerevoli nell'elaborazione di un documento di inquadramento su come conciliare i due diritti fondamentali riguardanti l'accesso del pubblico ai documenti e la protezione dei dati nel contesto delle istituzioni e degli organismi UE. iniziata l'elaborazione di un altro documento sull'uso delle comunicazioni elettroniche, che sar pubblicato verso la met del 2006.
Sono infine stati avviati preparativi per quanto riguarda il controllo condiviso sull'Eurodac (il sistema di confronto delle impronte digitali utilizzato per le procedure d'asilo nell'UE). Il GEPD l'autorit di controllo dell'unit centrale, mentre le autorit nazionali preposte alla protezione dei dati sono competenti a controllare l'uso dell'Eurodac nei rispettivi Stati membri. Il GEPD nel complesso soddisfatto dei risultati della prima fase delle ispezioni.
Consultazione Il GEPD ha il compito di fornire alle istituzioni e agli organismi comunitari pareri su tutte le questioni relative alla protezione dei dati personali e in particolare su proposte legislative che hanno ripercussioni su questa.
Un documento sul ruolo consultivo, presentato nel marzo 2005, illustra l'impostazione seguita. Esso sottolinea che il ruolo consultivo ha un'ampia portata, cosa successivamente confermata dalla Corte di Giustizia. Il documento orientativo illustra inoltre l'impostazione concreta riguardo alle proposte legislative che hanno ripercussioni sulla protezione dei dati nonch il ruolo procedurale nelle varie fasi del processo legislativo. Il documento stato accolto favorevolmente e la Commissione europea si avvale spesso della possibilit di rivolgersi al GEPD per ottenere osservazioni informali sulle sue proposte prima di presentarle per la consultazione formale. Tutti i pareri formali sono pubblicati e per lo pi presentati a una Commissione competente del Parlamento europeo e/o al gruppo competente del Consiglio, e quindi seguiti in modo sistematico durante tutto il processo legislativo.
Nel 2005 il GEPD ha emesso sei pareri formali che rispecchiano chiaramente gli argomenti rilevanti all'ordine del giorno della Commissione, del Parlamento e del Consiglio. I pi significativi sono : lo scambio di dati personali nel "terzo pilastro" dell'UE (cooperazione giudiziaria e di polizia in materia penale); lo sviluppo di sistemi di informazione su larga scala quali il sistema d'informazione visti (VIS) e il sistema d'informazione Schengen di seconda generazione (SIS II) e l'argomento assai controverso della conservazione obbligatoria di dati sulle comunicazioni elettroniche per l'accesso da parte delle autorit incaricate dell'applicazione della legge.
Il GEPD fornisce consulenza anche su misure amministrative e, in particolare, sulle norme di applicazione delle istituzioni e degli organismi nell'ambito della protezione dei dati. Ci costituisce un'importante possibilit di influire, in modo pi strutturale, sul modo in cui sono attuate le politiche in materia di protezione dei dati. stata fornita consulenza sulle norme di attuazione specifiche riguardanti il ruolo degli RPD.
Il GEPD ha inoltre, per la prima volta, fatto ricorso alla possibilit di intervenire in casi che sollevano importanti questioni riguardanti la protezione dei dati dinanzi alla Corte di Giustizia. I casi riguardavano la trasmissione agli Stati Uniti di dati PNR su passeggeri di linee aeree e il GEPD intervenuto a sostegno delle conclusioni del Parlamento, intese ad annullare le decisioni al riguardo della Commissione e del Consiglio.
Cooperazione Il ruolo di cooperazione del GEPD comprende la cooperazione con le autorit nazionali di controllo e gli organismi di controllo nel "terzo pilastro" dell'UE al fine di migliorare la coerenza nella protezione dei dati personali.
Una piattaforma molto importante per la cooperazione con le autorit nazionali di controllo il Gruppo dell'articolo 29, istituito dalla direttiva 95/46/CE per consigliare la Commissione e sviluppare politiche armonizzate per la protezione dei dati; il GEPD ne membro a pieno titolo. Alcune importanti proposte legislative sono state trattate dal GEPD e dal Gruppo in pareri distinti. In questi casi il GEPD ha salutato con favore il sostegno generale dei colleghi nazionali nonch le osservazioni aggiuntive che possono portare a una migliore protezione dei dati.
La cooperazione con gli organismi di controllo della protezione dei dati nell'ambito del "terzo pilastro" (ossia organismi di controllo di Schengen, del Sistema informativo doganale, di Europol e di Eurojust - composti di consueto da rappresentanti delle autorit di controllo nazionali) si in ampia misura concentrata sull'elaborazione di posizioni comuni al fine di sviluppare un quadro generale, assolutamente necessario, per la protezione dei dati nel terzo pilastro dell'UE. Si anche discusso su un nuovo sistema di controllo per quanto riguarda il SIS II, che sar basato su una stretta cooperazione tra le autorit nazionali di controllo e il GEPD.
Il GEPD ha cooperato attivamente nel contesto delle Conferenze europee e internazionali dei garanti per la protezione dei dati e ha presieduto varie sessioni.
Nel settembre 2005, in cooperazione con il Consiglio d'Europa e l'OCSE, il GEPD ha ospitato un seminario sulla protezione dei dati nelle organizzazioni internazionali. Spesso non sottoposte alle legislazioni nazionali, comprese quelle relative alla protezione dei dati, le organizzazioni internazionali dovrebbero comunque sottoscrivere i principi universali sulla protezione dei dati in quanto in numerosi casi anch'esse trattano dati sensibili.
Comunicazioni esterne Nel 2005 stata prestata particolare attenzione allo sviluppo di una strategia dell'informazione che possa fornire un sostegno adeguato ai ruoli strategici del GEPD. Sensibilizzare il pubblico sulla protezione dei dati in generale e sui ruoli e le attivit del GEPD in modo pi specifico un presupposto importante per un controllo, una consultazione e una cooperazione efficaci. La strategia dell'informazione ha definito dei gruppi bersaglio in relazione ai vari ruoli: Controllo: gli interessati, in particolare il personale dell'UE (persone i cui dati sono trattati) nonch RPD e responsabili del trattamento (persone responsabili dei sistemi di trattamento). Consultazione: il legislatore europeo, la Commissione, il Parlamento e il Consiglio, con particolare riguardo a specifiche DG, commissioni e gruppi di lavoro. Cooperazione: il Gruppo dell'articolo 29 e altri consessi competenti, quali le autorit di controllo comune nell'ambito del terzo pilastro e le conferenze europee e internazionali sulla protezione dei dati.
Il GEPD si anche adoperato per un rafforzamento degli strumenti di informazione e comunicazione. A una campagna generale di informazione in tutte le istituzioni e organismi UE e in tutti gli Stati membri, hanno fatto seguito nel 2005 l'istituzione di un servizio stampa, un bollettino periodico, lo sviluppo di un nuovo logo e stile standard di presentazione, che saranno prossimamente completati dall'introduzione di un nuovo sito web, che costituir il pi importante strumento di comunicazione per il GEPD.
Risorse Le autorit di bilancio hanno fornito i fondi di bilancio necessari per il consolidamento e una crescita limitata dell'organizzazione, tenendo conto dell'esigenza di svolgere compiti urgenti di controllo e consultazione in materia di protezione dei dati nella maggior parte delle istituzioni e organismi. stata dedicata particolare attenzione allo sviluppo delle risorse umane e sono stati conseguiti risultati importanti sia nell'ambito generale dell'assunzione, sia riguardo a programmi speciali di tirocinio e distacco di esperti nazionali.
In questo contesto estremamente importante l'accordo amministrativo concluso nel 2004 con la Commissione, il Parlamento e il Consiglio, che ha consentito al GEPD di avvalersi, ove appropriato, di un sostegno esterno e di investire la maggior parte delle risorse in attivit primarie. pertanto essenziale la proroga di questo accordo dopo il triennio iniziale.
Prospettive La Commissione promuove una societ dell'informazione europea, basata sull'innovazione, la creativit e l'inclusione. Questa societ si avvarr di tre importanti realizzazioni tecnologiche: una larghezza di banda quasi illimitata, una capacit di memorizzazione illimitata e collegamenti in rete universali, che avranno evidentemente ripercussioni sulla protezione dei dati. Quest'ultima sar collocata in un nuovo contesto: nuove forme di trattamento quali servizi in rete con un'erosione delle barriere tecnologiche tradizionali (limiti di capacit, fascia di trasmissione limitata, dati isolati ecc.). Ci bene illustrato dal crescente ricorso alle etichette RFID e dallo sviluppo massiccio di reti di comunicazione che hanno un forte impatto: tutti gli oggetti contrassegnati diventano collettori di dati personali ; gli oggetti intelligenti ("smart objects"), portati da persone, sono sempre "presenti" e "attivi" una enorme quantit di dati memorizzati continuamente alimentata con nuovi dati.
Tra le nuove tecnologie emergenti che avranno ripercussioni sulla protezione dei dati si annoverano: RFID: una tecnologia che costituisce una promessa e una sfida e sar tra gli elementi chiave dei cosiddetti ambienti di intelligenza diffusa. Ambienti di intelligenza diffusa: i requisiti per la protezione dei dati e della vita privata dovrebbero far parte della progettazione, onde favorire la dimestichezza e la successiva accettazione generale. Sistemi di gestione dell'identit: un elemento chiave (in parte basato sulla biometria) dei nuovi servizi " e-government " che richieder adeguate norme. Ricorso alla biometria: dovrebbero essere stabiliti requisiti comuni basati sulla sua natura intrinsecamente sensibile.
Si possono notare anche una serie di nuovi sviluppi nella politica e legislazione, quali la concentrazione sulle attivit nell'ambito della cooperazione giudiziaria e di polizia e una tendenza generale ad aumentare gli scambi di dati tra le autorit di contrasto degli Stati membri dell'UE. Un'altra tendenza riguarda l'estensione dei poteri investigativi delle autorit incaricate dell'applicazione della legge (compreso spesso l'Europol), alle quali viene consentito l'accesso a banche dati che non sono originariamente sviluppate per scopi attinenti all'applicazione della legge. Ci conferma che auspicabile un quadro giuridico generale per la protezione dei dati personali nel terzo pilastro, a prescindere dall'approvazione della proposta sul principio di disponibilit, come affermato nel parere del GEPD sulla protezione dei dati nel terzo pilastro.
Alla fine del 2005, la Commissione ha avviato il processo di revisione del quadro normativo per le comunicazioni e i servizi elettronici, compresa la revisione della direttiva 2002/58, che sar seguito attentamente dal GEPD.
chiaro che l'agenda del GEPD in qualit di consulente legislativo ampiamente determinata dal programma di lavoro della Commissione. assai probabile che a medio e lungo termine l'attenzione sar rivolta ai seguenti temi: la "prosperit": il GEPD seguir le ulteriori iniziative tese allo sviluppo di una societ dell'informazione europea. la "sicurezza": il GEPD seguir gli sviluppi in relazione all'evoluzione tecnologica, ed in paricolare la biometria, e le crescenti pressioni sui responsabili, pubblici e privati, del trattamento delle banche dati affinch consentano l'accesso per finalit attinenti all'applicazione della legge. In questo contesto, la Commissione ha proposto come iniziativa fondamentale l'accesso da parte delle forze di polizia alle banche dati per il controllo delle frontiere esterne.
Obiettivi per il 2006 Pertanto le priorit del GEPD per il 2006 sono: Sostegno alla rete RPD, comprese valutazioni bilaterali dei progressi in materia di notificazioni, affinch le notificazioni per le operazioni esistenti siano completate entro la primavera del 2007. Prosecuzione dei controlli preventivi, portando a termine quelli che riguardano le esistenti operazioni di trattamento nell'ambito delle priorit tematiche. E-monitoring e dati di traffico: formulazione di orientamenti sul trattamento di dati personali connessi all'uso delle reti di comunicazione elettronica. Fascicoli personali sui dipendenti: formulazione di orientamenti sul contenuto e i periodi di conservazione. Trasferimento a paesi terzi: formulazione di orientamenti sui trasferimenti di dati personali a paesi terzi, organizzazioni internazionali e organismi europei, che esulano dal campo d'applicazione del regolamento 45/2001 e della direttiva 95/46/CE. Controllo dell'Eurodac: controllo approfondito della sicurezza della base di dati centrale dell'Eurodac. Consulenza su proposte legislative: consolidamento e ulteriore sviluppo del ruolo del GEPD e elaborazione di pareri su vari argomenti. Interventi in cause dinanzi alla Corte di giustizia: eventuale intervento in cause che sollevano problemi in materia di protezione dei dati. Seconda versione del sito web: sar avviata entro il primo semestre del 2006. Sviluppo di risorse: richiesta di proroga dell'attuale accordo amministrativo con Commissione, Parlamento e Consiglio nonch adeguato ampliamento dello spazio disponibile per gli uffici al fine di soddisfare le attuali esigenze e il previsto incremento del personale.
NOTE 2 GU L 8 del 12.1.2001, pag. 1 |