RELAZIONE ANNUALE 2007

Sintesi

Introduzione

Il presente documento è una sintesi della quarta relazione annuale sulle attività svolte dal garante europeo della protezione dei dati (GEPD). La presente relazione riguarda il 2007, terzo anno completo di attività da che il GEPD esiste come nuova istituzione.

Peter Hustinx (garante) e Joaquín Bayo Delgado (garante aggiunto) hanno assunto l’incarico nel gennaio 2004 per istituire l’autorità indipendente incaricata della protezione dei dati personali a livello di Unione europea (UE). Come disposto nel regolamento (CE) n. 45/2001 ⁽¹⁾, le loro attività principali sono:

monitorare il trattamento dei dati personali da parte dell’amministrazione dell’UE, garantendo che non vi siano violazioni dei diritti e delle libertà delle persone fisiche i cui dati sono trattati (supervisione);

offrire consulenza sulle proposte di nuovi atti legislativi dell’UE che hanno un’incidenza sulla protezione dei dati (consultazione);

collaborare con altre autorità competenti in materia di protezione dei dati per garantire un livello elevato e coerente di protezione dei dati in tutta l’Europa (cooperazione).

La relazione mostra i progressi sostanziali conseguiti nel settore della supervisione. L’accento posto sulla misurazione dei risultati ha condotto a investimenti per conformarsi ai requisiti in materia di protezione dei dati nella maggior parte delle istituzioni e degli organi comunitari. Vi è motivo di soddisfazione, ma sono necessari sforzi continui per raggiungere il pieno rispetto.

Nel settore della consultazione, molta enfasi è stata posta sulla necessità di un quadro coerente ed efficace per la protezione dei dati, sia nel primo che nel terzo pilastro, ma non sempre con risultati soddisfacenti. La relazione sottolinea inoltre che una gamma crescente di settori politici trae vantaggio dalle attività consultive del GEPD.

L’anno 2007 ha visto la firma del trattato di Lisbona, che prevede una protezione rafforzata dei dati personali, tra cui norme di supervisione indipendente. Il nuovo trattato è un importante punto di riferimento nella storia dell’UE, ma dovrebbe anche essere considerato una sfida.

Le garanzie fondamentali che sono evidenziate nei trattati devono essere messe in pratica.

Questo vale allorché le istituzioni e gli organi trattano dati personali, ma anche quando gli stessi elaborano norme e politiche che possono avere un impatto sui diritti e sulle libertà dei cittadini europei.

Risultati del 2007

La relazione annuale 2006 accennava ai seguenti obiettivi principali scelti per il 2007, la maggior parte dei quali è stata realizzata in tutto o in parte.

Estensione della rete dei responsabili della protezione dei dati

Con la partecipazione di tutte le istituzioni e tutti gli organi comunitari alle sue attività, la rete dei responsabili della protezione dei dati ha raggiunto la completa estensione. Il GEPD ha continuato a sostenere fortemente e a orientare lo sviluppo delle funzioni dei responsabili della protezione dei dati, con particolare attenzione ai responsabili recentemente nominati.

Prosecuzione dei controlli preventivi

È aumentato considerevolmente il numero dei controlli preventivi in relazione alle operazioni di trattamento in corso, ma la maggior parte delle istituzioni e degli organi ha ancora del lavoro da svolgere per soddisfare i propri obblighi.

Ispezioni e controlli

Il GEPD ha iniziato a vagliare i progressi compiuti nell’attuazione del regolamento (CE) n. 45/2001 dalla primavera 2007. Tutte le istituzioni e tutti gli organi sono stati coinvolti in questo esercizio. I risultati sono stati riferiti, sia in generale che caso per caso (v. capitolo 2 della relazione annuale).

Videosorveglianza

Sono state completate le indagini relative alle pratiche di videosorveglianza sia a livello di UE che ai livelli nazionali, e sono stati trattati differenti casi riguardanti singole istituzioni o singoli organi. Questa esperienza starà alla base del progetto di orientamenti in corso di preparazione.

Questioni orizzontali

I pareri sui controlli preventivi e le decisioni sui reclami sono continuamente analizzati per le questioni orizzontali. I primi documenti contenenti orientamenti per tutte le istituzioni e tutti gli organi comunitari saranno pubblicati nel 2008. Le questioni relative alla conservazione di dati medici o disciplinari sono state discusse con le autorità competenti.

Consultazione in materia legislativa

Il GEPD ha continuato a formulare pareri su proposte di nuovi atti legislativi e ha assicurato un seguito adeguato. Il suo ruolo consultivo riguarda una gamma più ampia di argomenti e si basa su un inventario e una selezione sistematici delle priorità.

Protezione dei dati nel terzo pilastro

Un’attenzione particolare è stata prestata allo sviluppo di un quadro generale per la protezione dei dati nel terzo pilastro e alle proposte per lo scambio transfrontaliero di dati personali. In entrambi i casi, ciò ha avuto purtroppo solo un impatto limitato.

Comunicare la protezione dei dati

Il GEPD ha dato un forte sostegno alle attività di follow-up dell’ “iniziativa di Londra” volta a “comunicare e a rendere più efficace la protezione dei dati”.

Regolamento interno

Il regolamento interno sarà adottato nel corso del 2008. L’elaborazione di manuali interni per i diversi tipi di caso ha compiuto progressi positivi.

Gestione delle risorse

La gestione delle risorse finanziarie e umane è migliorata (rinnovo della struttura del bilancio, regole interne sulla valutazione del personale e sviluppo di una politica di formazione).

L’attuazione di un sistema di controllo interno e la nomina di un responsabile della protezione dei dati rappresentano ulteriori miglioramenti.

Obiettivi per il 2008

Per il 2008 sono stati scelti i seguenti obiettivi principali. I risultati conseguiti saranno riferiti nella prossima relazione annuale.

Sostegno alla rete dei responsabili della protezione dei dati

Continuerà il forte sostegno ai responsabili interni della protezione dei dati, in particolare per le agenzie di recente istituzione. IL GEPD incoraggerà inoltre, tra gli stessi, un ulteriore scambio di competenze e migliori pratiche.

Ruolo dei controlli preventivi

Saranno completati i controlli preventivi delle operazioni di trattamento in corso per la maggior parte delle istituzioni e degli organi. Particolare accento sarà posto sull’attuazione delle raccomandazioni.

Orientamenti orizzontali

Saranno elaborati orientamenti su questioni di rilievo comuni alla maggior parte delle istituzioni e degli organi (per esempio il trattamento dei dati relativi alla salute, il permesso di accesso agli interessati e il trattamento della videosorveglianza).

Verifica della conformità

Continuerà a essere verificata la conformità al regolamento (CE) n. 45/2001 e saranno attuate sempre più ispezioni sul posto. Sarà inoltre pubblicata una politica generale in materia di ispezioni.

Sistemi su vasta scala

Il GEPD elaborerà ulteriormente una supervisione coordinata di Eurodac, insieme con le autorità nazionali di controllo, e svilupperà, in un prossimo futuro, le competenze richieste per la supervisione di altri sistemi su vasta scala, come SIS II e VIS.

Pareri su atti legislativi

Il GEPD continuerà a formulare in modo tempestivo pareri od osservazioni su proposte di nuovi atti legislativi, sulla base di un inventario sistematico degli argomenti e delle priorità pertinenti, e ad assicurare un seguito adeguato.

Trattato di Lisbona

Il GEPD continuerà a seguire gli sviluppi in relazione al trattato di Lisbona e ad analizzare con attenzione il relativo impatto per la protezione dei dati, fornendo se necessario consulenza al riguardo.

Informazioni in linea

IL GEPD intende aggiornare e aumentare le informazioni disponibili nel sito web e migliorare ulteriormente la newsletter elettronica.

Regolamento interno

Il GEPD adotterà e pubblicherà il regolamento interno, che contempla i suoi differenti ruoli e attività. Nel sito web saranno disponibili strumenti pratici per le parti interessate.

Gestione delle risorse

Il GEPD consoliderà e svilupperà ulteriormente alcune attività relative alle risorse finanziarie e umane, e rafforzerà altri processi di lavoro interni.

Supervisione

Uno dei ruoli principali del GEPD è monitorare in modo indipendente le operazioni di trattamento effettuate dalle istituzioni e dagli organi comunitari. Il quadro giuridico è il regolamento (CE) n. 45/2001, che stabilisce una serie di obblighi per coloro che trattano dati e una serie di diritti per le persone i cui dati sono trattati.

Le operazioni di trattamento di dati personali che non presentano particolari rischi per gli interessati sono notificate al responsabile della protezione dei dati dell’istituzione od organo interessato. Quando presenta rischi particolari per le persone interessate, il trattamento di dati personali deve essere sottoposto a controllo preventivo del GEPD, che determina se il trattamento è conforme o meno al regolamento.

I compiti di supervisione svolti dal garante aggiunto vanno dalla formulazione di pareri e all’assistenza ai responsabili della protezione dei dati, attraverso il controllo preventivo delle operazioni di trattamento a rischio, alla realizzazione di indagini e al trattamento dei reclami.

Tale attività include anche l’elaborazione di documenti di base e di sintesi, nonché il controllo dell’unità centrale di Eurodac.

Nel 2007 i controlli preventivi hanno continuato ad essere una delle attività principali della funzione di supervisione del GEPD.

Come citato nelle relazioni annuali 2005 e 2006, il GEPD ha costantemente incoraggiato i responsabili della protezione dei dati ad aumentare il numero delle notifiche di controllo preventivo al GEPD stesso. Il termine della primavera 2007 per il ricevimento delle notifiche in vista di un controllo preventivo del GEPD — casi ex post — era stato fissato per incentivare le istituzioni e gli organi comunitari a intensificare gli sforzi verso il pieno adempimento del loro obbligo di notifica. Il risultato è stato un considerevole aumento delle notifiche.

Su 101 notifiche, nel 2007 sono stati formulati 90 pareri in vista di un controllo preventivo ⁽²⁾.

Questi 101 casi conclusisi con un parere formale rappresentano un aumento del 77,19% del lavoro in materia di controlli preventivi rispetto al 2006. Tale carico di lavoro è certamente collegato al termine della “primavera 2007”.

Solo 11 di questi casi erano “veri e propri” casi di controllo preventivo, vale a dire casi in cui le istituzioni interessate hanno seguito la procedura prevista per il controllo preventivo prima di attuare l’operazione di trattamento. Oltre a questi 101 casi su cui è stato espresso un parere, il GEPD ha altresì trattato 31 casi che non dovevano essere soggetto di controllo preventivo — 11 di questi rientravano nella categoria sorveglianza elettronica.

Per quanto concerne i calendari per il GEPD, le istituzioni e gli organi comunitari, il numero di giorni necessari al GEPD per redigere pareri si è tradotto in un giorno in meno rispetto al 2006 (con una media di 56,9 nel 2007), il che può essere considerato molto soddisfacente tenuto contodell’aumento del numero e della complessità delle notifiche. Il numero di giorni di proroga per il GEPD rappresenta inoltre quasi un giorno in meno rispetto al 2006. Inoltre, sebbene la proroga massima possa arrivare a due mesi, la stessa è stata di norma inferiore a un mese.

Il GEPD è tuttavia preoccupato dei lunghi periodi necessari alle istituzioni e agli organi percompletare le informazioni. In tale contesto, il GEPD ricorda ancora una volta alle istituzioni e agli organi l’obbligo di cooperare con il garante e di fornirgli le informazioni richieste.

Nel 2007 i casi sottoposti a controllo preventivo ex-post ⁽³⁾ hanno riguardato principalmente le seguenti questioni: dati medici trattati dalle istituzioni e dagli organi, assunzione di personale e selezione di candidati, valutazione del personale (in particolare le procedure di certificazione e attestazione, nonché la procedura di pensionamento anticipato), procedure OLAF, fascicoli del servizio sociale e sorveglianza elettronica.

Per quanto concerne le questioni principali nei controlli preventivi veri e propri, i sistemi di gestione del tempo della Commissione europea sono stati particolarmente significativi nel 2007.

Per quanto concerne il follow-up dei pareri in vista di un controllo preventivo, il GEPD ha chiuso 38 casi nel 2007, che rappresentano più del doppio rispetto al 2006, certamente a causa del follow-up sistematico delle raccomandazioni del GEPD.

Nel complesso, dall’esercizio di controllo preventivo del GEPD nel corso del 2007 emerge che il termine della “primavera 2007” ha provocato un forte aumento di notifiche da parte di molti responsabili della protezione dei dati, specialmente nel primo semestre dell’anno. Tuttavia, molto deve essere ancora migliorato in relazione ai tempi di risposta delle istituzioni e delle agenzie alle richieste di ulteriori informazioni da parte del GEPD.

Nel 2008 gli sforzi si sono quindi principalmente concentrati sui seguenti punti: le istituzioni dovrebbero completare il loro processo di notifica ex-post e le agenzie dovrebbero fare un passo consistente verso lo stesso obiettivo nel 2008; il follow-up delle raccomandazioni continuerà ad avvenire sistematicamente attraverso le informazioni provenienti dal responsabile del trattamento e sarà integrato da ispezioni sul posto. Queste riguarderanno anche la completa attuazione del processo di notifica ai responsabili della protezione dei dati e il pieno rispetto dell’obbligo di notifica al GEPD dei casi di controlli preventivi veri e propri prima dell’inizio dell’operazione di trattamento.

Nel 2007 sono pervenuti 65 reclami, di cui 29 sono stati dichiarati ammissibili e successivamente esaminati dal GEPD. Gran parte dei reclami pervenuti ha continuato a non rientrare nelle competenze di supervisione del GEPD, ad esempio perché riguardavano esclusivamente il trattamento di dati personali a livello di Stati membri (ove sono competenti le autorità nazionali per la protezione dei dati). I casi dichiarati ammissibili riguardavano in particolare le seguenti questioni: raccolta di dati eccessivi relativi ai visitatori, accesso ai dati, invio e copia di e-mail, richiesta di dettagli sulle carte di credito, trattamento di dati sensibili, diritto di rettifica e obbligo di fornire informazioni.

Nel 2006 è stato firmato un memorandum d’intesa con il mediatore europeo per evitare inutili doppioni e assicurare un approccio coerente alle questioni inerenti alla protezione dei dati sollevate nei reclami. In pratica, il memorandum ha portato a un utile scambio di informazioni tra il GEPD e il mediatore europeo ove pertinente.

Durante il 2007 sono state condotte varie indagini in diversi settori. Tra queste, due hanno richiesto un’attenzione speciale da parte del GEPD, segnatamente l’audit di sicurezza di OLAF e il ruolo della Banca centrale europea (BCE) nel caso SWIFT ⁽⁴⁾. Il primo caso riguardava le attività di trattamento dei dati che girano sulla stessa infrastruttura TI. Il GEPD ha deciso di avviare un’ispezione di sicurezza e ha analizzato le misure di sicurezza di OLAF in modo orizzontale. Dopo aver fornito orientamenti attraverso raccomandazioni, il GEPD ha dichiarato di essere molto soddisfatto delle misure di sicurezza prese da OLAF riguardo ai sistemi e alle applicazioni TI di sua responsabilità.

Per quanto concerne il secondo caso, il GEPD ha formulato un parere nel febbraio del 2007 in cui richiamava l’attenzione sul ruolo della BCE come supervisore, utente e decisore. Il GEPD ha inoltre chiesto alle principali istituzioni CE di fornire precisazioni sui sistemi di pagamento utilizzati e sui rapporti contrattuali con la SWIFT. Sulla base delle informazioni ricevute, il GEPD ha raccomandato alle istituzioni comunitarie competenti misure per garantire che le stesse forniscano informazioni sufficienti ai membri del personale e ad altre persone fisiche con cui hanno rapporti contrattuali. I progressi in questo settore saranno attentamente monitorati nel 2008.

Il GEPD ha inoltre continuato a fornire consulenza sulle misure amministrative previste dalle istituzioni e dagli organi comunitari in relazione al trattamento dei dati personali. Sono state sollevate una molteplicità di sfide, tra cui la creazione di periodi di conservazione per talune categorie di file, documenti politici in Internet, procedure investigative contro la frode e la corruzione, scambio di informazioni, norme di attuazione concernenti la protezione dei dati e l’applicabilità della legislazione nazionale in materia di protezione dei dati.

Il GEPD ha continuato a lavorare sui suoi orientamenti in materia di videosorveglianza per fornire una guida pratica alle istituzioni e agli organi sul rispetto delle norme di protezione dei dati nell’uso dei sistemi di videosorveglianza. Nella primavera 2007 ha condotto un’indagine internazionale tra gli Stati membri dell’UE, con l’assistenza delle autorità per la protezione dei dati. L’indagine ha riguardato le norme di protezione dei dati applicate alle pratiche di videosorveglianza in tutta l’UE. Il GEPD ha inoltre fornito consulenza su tre richieste di consultazione collegate alla videosorveglianza e ricevute dai responsabili della protezione dei dati di due istituzioni. Tutti e tre i casi in questione riguardavano l’uso della videotecnologia a fini non collegati alla sicurezza.

Nel corso del 2007 sono proseguiti assieme alle autorità nazionali per la protezione dei dati i lavori sulla supervisione comune di Eurodac. A seguito dell’avvio di un audit di sicurezza approfondito nel settembre del 2006, è stata presentata nel novembre del 2007 una relazione finale di audit.

In base a un accordo tra il GEPD e l’Agenzia europea per la sicurezza delle reti e dell’informazione,

l’Agenzia ha fornito contatti con le organizzazioni di esperti nazionali, e ha prestato consulenza sulla metodologia dell’audit di sicurezza. Il GEPD ha approvato le conclusioni e le raccomandazioni.

La principale conclusione è che le misure di sicurezza inizialmente attuate in relazione a Eurodac e il modo in cui le stesse sono state mantenute durante i primi quattro anni di attività hanno assicurato finora un equo livello di protezione. Tuttavia, alcune parti dei sistemi e la sicurezza organizzativa presentano punti deboli che dovranno essere affrontati.

Consultazione

Nel 2007 il GEPD ha continuato a svolgere il compito di consulente su proposte legislative dell’UE e altri documenti connessi.

In misura maggiore rispetto agli anni precedenti, il futuro del quadro giuridico per la protezione dei dati è stato oggetto delle attività del GEPD.

In primo luogo, la proposta di decisione quadro del Consiglio sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale ha continuato a richiedere grande attenzione da parte del GEPD.

In secondo luogo, nel suo parere sulla comunicazione della Commissione per l’applicazione della direttiva sulla protezione dei dati, il GEPD ha precisato che a lungo termine sembrano inevitabili modifiche alla direttiva e ha suggerito che si rifletta quanto prima sulle future modifiche. In terzo luogo, il trattato di Lisbona è stato firmato, con considerevoli implicazioni per la protezione dei dati.

Il GEPD ha preso in considerazione per la prima volta l’eventuale esigenza futura di un quadro giuridico specifico per la protezione dei dati nel settore della tecnologia dell’identificazione a radiofrequenza (RFID). Questo settore specifico è essenzialmente nuovo e può avere un impatto fondamentale sulla nostra società e sulla protezione dei diritti fondamentali, come la protezione dei dati e della vita privata.

Nel 2007 le attività del GEPD si sono svolte nel contesto di differenti sviluppi aventi un denominatore comune: tutti avevano contribuito all’emergere di una “società della sorveglianza”.

Tali sviluppi includono nuovi strumenti di applicazione della legge per la raccolta e il trattamento di dati personali, l’uso più frequente della biometria e dell’RFID, nonché l’importanza crescente dei flussi di dati a livello mondiale.

Nel 2007 il GEPD ha emesso 12 pareri su proposte legislative dell’UE. Inoltre è ricorso maggiormente ad altri strumenti, ad esempio le osservazioni. Tuttavia, questa scelta di strumenti non deve essere considerata un cambio strutturale di impostazione.

Il GEPD ha precisato che l’obiettivo della sua partecipazione al processo legislativo dell’UE è promuovere attivamente il fatto che le misure legislative siano adottate soltanto dopo aver debitamente esaminato l’impatto di tali misure sulla protezione dei dati e della vita privata. Le valutazioni d’impatto effettuate dalla Commissione devono prestare un’adeguata attenzione alla protezione dei dati e della vita privata.

Inventario

Nel dicembre 2007 l’inventario 2008 (il secondo inventario annuale) è stato pubblicato nel sito web del GEPD. Segue le linee principali dell’inventario 2007.

L’allegato dell’inventario mostra che l’estensione dell’attività del GEPD contempla attualmente una vasta gamma di settori politici. Le proposte elencate riguardano 13 differenti servizi della Commissione (ADMIN, EMPL, ENT, ESTAT, INFSO, JLS, MARKT, OLAF, RELEX, SANCO, SG, TAXUD e TREN).

Pareri

Nello spazio di libertà, sicurezza e giustizia (il “terzo pilastro”, un importante settore di intervento per il GEPD), la preoccupazione principale è stata l’adozione di nuove proposte che facilitano l’archiviazione di informazioni e lo scambio di queste tra le autorità incaricate dell’applicazione della legge, senza un’adeguata valutazione dell’efficacia degli strumenti giuridici esistenti. Sono concepiti nuovi strumenti prima che gli strumenti esistenti siano stati attuati correttamente. Tale questione ha avuto particolare rilievo in relazione al recepimento del trattato di Prüm a livello di UE e al sistema di codice di prenotazione a livello europeo.

Un’altra questione che ha avuto un ruolo centrale nei pareri del GEPD in relazione al terzo pilastro è stata la mancanza di un quadro giuridico globale in materia di protezione dei dati.

Una terza questione attiene al fatto che le norme dell’UE impongono agli Stati membri di istituire per taluni compiti autorità nazionali, lasciando loro un ampio margine di discrezione quanto alle condizioni di funzionamento. Questo ostacola lo scambio di informazioni tra Stati membri e si ripercuote sulla certezza del diritto dell’interessato i cui dati sono trasferiti tra le autorità di differenti Stati membri.

Lo scambio di informazioni con paesi terzi a fini dell’applicazione della legge è una questione distinta, affrontata in vari pareri del GEPD.

Due pareri sono stati emessi in relazione alle principali comunicazioni della Commissione sul futuro quadro per la protezione dei dati. Nel suo parere sull’applicazione della direttiva sulla protezione dei dati ⁽⁵⁾, il GEPD ha individuato varie prospettive di un contesto che cambia, tra cui l’interazione con la tecnologia. Nuovi sviluppi tecnologici hanno un palese impatto sui requisiti di quadro normativo efficace in materia di protezione dei dati. Un elemento essenziale di questi sviluppi tecnologici è l’RFID, che è stata oggetto di un parere separato del GEPD.

Gli altri cinque pareri emessi nel 2007 sono stati di natura varia e hanno riguardato settori politici quali: dogana, statistica, trasporti stradali, agricoltura e sicurezza sociale.

Nuovi sviluppi

Nel parere del GEPD sulla comunicazione inerente all’applicazione della direttiva sulla protezione dei dati, sono state individuate cinque prospettive di futuro cambiamento, precisamente: interazione con la tecnologia impatto del trattato di Lisbona;

applicazione della legge;

principio globale del rispetto della vita privata e giurisdizione;

nonché piena applicazione della direttiva.

Queste costituiranno l’agenda delle future attività del GEPD.

Per quanto riguarda l’interazione con la tecnologia, dovrebbero essere messe in risalto le principali tendenze che seguono:

la vita sociale delle persone è sempre più digitalizzata attraverso applicazioni guidate dall’utente alimentate da dati che sono per la maggior parte dati personali;

i centri di dati possono annunciare la fine del desktop dove i dati, e in modo più specifico i dati personali, sono stati finora trattati;

gli sforzi condotti in materia di ricerca e sviluppo (R&S) a livello europeo costituiscono un’ottima opportunità per includere i requisiti in materia di protezione dei dati e della vita privata e il principio della “privacy by design” dovrebbe essere parte integrante di tali iniziative nell’ambito della R&S.

Il quadro giuridico dell’UE è sul punto di cambiare con l’entrata in vigore del trattato di Lisbona. Ciò avrà anche conseguenze sulle attività del GEPD nel suo ruolo di consulente.

Infine, il GEPD parteciperà attivamente e, in alcune occasioni, avvierà persino discussioni su eventuali modifiche future della direttiva sulla protezione dei dati.

Cooperazione

Il principale forum di cooperazione tra le autorità per la protezione dei dati in Europa è il Gruppo dell’articolo 29. Il GEPD partecipa alle attività del Gruppo, che svolge un ruolo essenziale nell’applicazione uniforme e nell’interpretazione dei principi generali della direttiva 95/46.

Il Gruppo può formulare pareri su proposte legislative o documenti simili che sono molto utili, segnatamente in quanto possono contenere speciali punti di particolare interesse da una prospettiva nazionale. Il GEPD accoglie con favore questi pareri, che sono stati coerenti con i suoi pareri e a cui ha contribuito attivamente. Esempi di buone sinergie tra i pareri del Gruppo e del GEPD nel corso del 2007 si registrano in ordine all’istruzione consolare comune diretta alle rappresentanze diplomatiche e consolari di prima categoria relativamente all’introduzione di elementi biometrici, nonché in ordine ai trasferimenti negli Stati Uniti di dati dei passeggeri dei vettori aerei e all’uso dei dati di identificazione delle pratiche ai fini dell’applicazione della legge.

Il GEPD e il Gruppo hanno inoltre collaborato da vicino nell’analisi di due grandi sistemi del primo pilastro, precisamente il sistema di cooperazione per la tutela dei consumatori e il sistema di informazione del mercato interno.

Uno dei più importanti compiti cooperativi si riferisce a Eurodac, in cui le responsabilità del controllo in materia di protezione dei dati sono ripartite tra le autorità nazionali per la protezione dei dati e il GEPD. Nel luglio 2007 il Gruppo di coordinamento della supervisione di Eurodac — composto dalle autorità nazionali per la protezione dei dati e dal GEPD — ha pubblicato una relazione sulla prima ispezione coordinata di Eurodac. Il Gruppo non ha rinvenuto tracce di abuso del sistema Eurodac. Tuttavia, alcuni aspetti come le informazioni alle persone interessate, devono essere migliorate.

Il GEPD ha il dovere di cooperare con gli organi di controllo della protezione dei dati nel terzo pilastro dell’UE. Il GEPD si impegna a garantire un livello elevato e omogeneo di protezione dei dati nei lavori delle autorità di controllo comune per Schengen, Europol, Eurojust e il sistema d’informazione doganale. Nel 2007 l’attenzione si è incentrata su due argomenti principali: la proposta della Commissione di una decisione quadro relativa alla protezione dei dati nel terzo pilastro e lo scambio di informazioni in materia di applicazione della legge secondo il principio di disponibilità. Inoltre, il GEPD ha contribuito attivamente alle tre riunioni tenute dal Gruppo “Polizia e giustizia” nel corso del 2007.

Il GEPD ha inoltre partecipato alle conferenze europee e internazionali sulla protezione dei dati e della vita privata. L’ultima, svoltasi a Montreal nel settembre del 2007, ha trattato le moltequestioni relative alla protezione dei dati e della vita privata che i commissari stanno trattando, come la sicurezza pubblica, la globalizzazione, il diritto e la tecnologia, l’ “ubiquità informatica” e “il corpo come insieme di dati”. Il GEPD ha presieduto una sessione a porte chiuse per i commissari sull’iniziativa di Londra e ha contribuito a un seminario sulla globalizzazione.

Comunicazione

Le attività di informazione e comunicazione continuano a rappresentare una parte importante della strategia e del lavoro quotidiano dell’istituzione. Sebbene non tra i ruoli principali del GEPD l’importanza cruciale delle attività di informazione e comunicazione per l’impatto pratico dei suoi compiti principali può difficilmente essere sopravvalutata.

Aumentare la visibilità del GEPD sulla mappa politica dell’UE è stato un chiaro obiettivo delle attività di comunicazione del GEPD stesso durante i primi anni di attività. Tre anni dopo l’inizio dei lavori, sono visibili i risultati positivi del suo impegno di comunicazione. Ne è un esempio la selezione del garante tra i 50 candidati proposti dall’European Voice per il premio Europeo dell’anno 2007.

In quanto uno dei principali artefici dell’ “iniziativa di Londra”, volta a rendere più efficaci la comunicazione in materia di protezione dei dati e la protezione dei dati stessa, il GEPD ha dato seguito a questa iniziativa nel febbraio 2007 partecipando attivamente al seminario sulla comunicazione ospitato dall’autorità francese per la protezione dei dati (CNIL). Un risultato significativo è stata la creazione di una rete di responsabili della comunicazione che le autorità per la protezione dei dati potranno usare per scambiare le migliori pratiche e portare avanti progetti specifici.

Nel 2007 il GEPD ha continuato a investire tempo e impegno considerevoli per illustrare la sua missione e sensibilizzare sulle questioni relative alla protezione dei dati in discorsi e contributi analoghi per differenti istituzioni e in vari Stati membri. Inoltre, il GEPD ha rilasciato circa venti interviste a giornalisti di quotidiani, trasmissioni o media elettronici di differenti Stati membri o paesi terzi. Ha inoltre accolto visite di gruppi di studenti specializzati nel settore della protezione dei dati e/o delle questioni di sicurezza.

Il Servizio stampa ha trattato circa 160 richieste di informazioni e consulenza provenienti da una vasta gamma di persone e parti interessate.

Al fine di dare ulteriore visibilità alle attività in corso, il GEPD ha continuato a utilizzare i seguenti strumenti di informazione e comunicazione:

sito web: una nuova versione del sito web è stata lanciata nel febbraio 2007. Impiega la tecnologia del sistema di gestione dei contenuti del web (WCMS) volta ad agevolare la gestione di un gran numero di documenti;

newsletter elettronica: nel 2007 sono stati pubblicati cinque numeri della newsletter del GEPD. Il numero di abbonati è aumentato passando da circa 460 alla fine del 2006 a un totale di 635 alla fine del 2007;

comunicati stampa: nel 2007 il Servizio stampa ha rilasciato quattordici comunicati stampa, la maggior parte dei quali relativi a pareri su nuovi atti legislativi che hanno presentato grande interesse per il pubblico;

eventi promozionali: il GEPD ha nuovamente partecipato alla giornata sulla protezione dei dati e alla Giornata porte aperte dell’UE; ha allestito stand informativi nelle principali istituzioni dell’UE.

Amministrazione, bilancio e personale

Il GEPD in quanto autorità di recente istituzione ha continuato a espandersi, ottenendo risorse aggiuntive nel 2007 rispetto al 2006. Il bilancio è aumentato da oltre 4 milioni fino a poco meno di 5 milioni di EUR e il personale è passato da 24 a 29 unità. Il servizio amministrativo è stato gradualmente ampliato. Inoltre, sono state adottate nuove norme interne necessarie per il corretto funzionamento dell’istituzione sulla base delle priorità annuali e tenendo conto delle esigenze e delle dimensioni dell’istituzione.

La collaborazione con il Parlamento europeo, il Consiglio e la Commissione europea è migliorata ulteriormente, rendendo possibili considerevoli economie di scala ed evitando l’inutile moltiplicazione delle infrastrutture amministrative con una riduzione delle spese amministrative improduttive.

In termini di risorse umane, eccettuate le assunzioni, il programma di tirocini ha continuato ad accogliere da due a tre tirocinanti per semestre. Inoltre, il GEPD ha adottato una politica di formazione interna basata sulle attività specifiche dell’istituzione, nonché sui suoi obiettivi strategici.

Come risultato del primo controllo effettuato dal servizio di audit interno, la relazione di audit pervenuta nel 2007 ha confermato la capacità del sistema di controllo interno del GEPD di fornire una garanzia ragionevole per il conseguimento degli obiettivi dell’istituzione.

È stato nominato un responsabile della protezione dei dati (RPD) per garantire l’applicazione interna delle disposizioni del regolamento. Nel 2007 è stato stilato un inventario delle operazioni riguardanti il trattamento dei dati personali.

Il GEPD ha iniziato a lavorare sull’attuazione di un nuovo sistema di gestione della posta elettronica, con il sostegno dei servizi del Parlamento europeo.

Garante europeo della protezione dei dati

Lussemburgo: Ufficio delle pubblicazioni ufficiali delle Comunità europee 2008

Il guardiano europeo della protezione dei dati personali

www.edps.europa.eu

NOTE                                              
(1) Regolamento (CE) n. 45/2001, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, GU L 8, del 12.1.2001, pag. 1.

(2) Su 101 notifiche, per motivi pratici e per il fatto che alcuni casi erano collegati, 15 notifiche di OLAF sono state trattate in modo congiunto in quattro pareri distinti. Questo è il motivo per cui 101 notifiche hanno dato luogo a 90 pareri.

(3) I controlli preventivi ‘ex post’ riguardano operazioni di trattamento avviate prima della nomina del GEPD e del garante aggiunto (17 gennaio 2004) e che quindi non è stato possibile sottoporre a controllo prima del loro inizio.

(4) Società per le telecomunicazioni finanziarie interbancarie mondiali.

(5) Parere del 27 luglio 2007 sulla Comunicazione della Commissione al Parlamento europeo e al Consiglio sul seguito dato al programma di lavoro per una migliore applicazione della direttiva sulla protezione dei dati, GU C 255 del 27.10.2007, pag. 1.