Parere del garante europeo della protezione dei dati sulla proposta di regolamento del Parlamento europeo e del Consiglio recante le modalità di applicazione del regolamento (CE) n. 883/2004 relativo al coordinamento dei sistemi di sicurezza sociale (COM(2006)16 defin.)

(Pubblicato sulla G.U.U.E. n. C 91 del 26.4.2007)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹⁾,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ⁽²⁾, in particolare l'articolo 41,

vista la richiesta di parere a norma dell'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001 ricevuta il 7 dicembre 2006 dalla Commissione europea;

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

Consultazione del GEPD

1. La proposta di regolamento del Parlamento europeo e del Consiglio recante le modalità di applicazione del regolamento (CE) n. 883/2004 del Parlamento europeo e del Consiglio del 29 aprile 2004 relativo al coordinamento dei sistemi di sicurezza sociale ⁽³⁾ (in appresso «la proposta») è stata trasmessa dalla Commissione al GEPD per consultazione, a norma dell'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001. Secondo il GEPD, il presente parere dovrebbe essere citato nel preambolo del regolamento.

2. La consultazione formale da parte della Commissione fa seguito ai contatti tra il segretariato del GEPD e i servizi della pertinente DG della Commissione (DG EMPL), nel quadro dell'esercizio di inventario del GEPD del 2007 ⁽⁴⁾. In effetti, la presente proposta fa parte di quel pacchetto di proposte, nell'ambito del portafoglio della DG EMPL, che rivestono per il GEPD un grande interesse. Inoltre, il GEPD ha contribuito ad un'udienza organizzata dal Parlamento europeo il 23 novembre 2006, formulando alcune osservazioni preliminari sulla proposta. In tale contesto, il GEPD si compiace di questa consultazione e si aspetta di essere tempestivamente consultato in futuro in merito ad altre proposte della Commissione relative alla protezione dei dati personali nei settori della sicurezza sociale e dell'occupazione, in particolare quelle menzionate nel suo inventario.

La proposta nel suo contesto

3. La proposta stabilisce le modalità di applicazione del regolamento (CE) n. 883/2004 del Parlamento europeo e del Consiglio, del 29 aprile 2004, relativo al coordinamento dei sistemi di sicurezza sociale.

In effetti, le nuove norme di coordinamento contenute in detto regolamento non potranno essere applicate fino a che non sarà stata adottata la presente proposta, che stabilisce le corrispondenti misure di applicazione ⁽⁵⁾. Pertanto, la proposta sarà valutata in collegamento con il regolamento di base sul quale è fondata. In merito a questo punto, occorre inoltre notare che il GEPD non ha emesso un parere sul regolamento 883/2004, in quanto la corrispondente proposta della Commissione è stata adottata il 12 febbraio 1999 ⁽⁶⁾, prima dell'entrata in vigore del regolamento 45/2001/CE.

4. La proposta ha lo scopo di modernizzare e semplificare le norme vigenti, rafforzando la cooperazione tra le istituzioni di sicurezza sociale e migliorando i metodi di scambio dei dati tra le istituzioni di sicurezza sociale.

5. La proposta ha un vasto campo di applicazione, sia per quanto riguarda i cittadini interessati che in termini di settori contemplati. Da un lato, interessa tutti i cittadini dell'UE assicurati nel quadro della legislazione nazionale (incluse, quindi, le persone disoccupate), a condizione che vi siano elementi transfrontalieri.

Dall'altro, si applica ad un'ampia gamma di settori della sicurezza sociale: prestazioni di malattia; prestazioni di maternità e di paternità assimilate; prestazioni di invalidità; pensioni di vecchiaia; pensioni ai superstiti; prestazioni in caso di infortuni sul lavoro e malattie professionali; prestazioni in caso di morte; prestazioni di disoccupazione; pensioni di anzianità anticipate; prestazioni familiari.

6. Il GEPD si compiace di questa proposta in quanto mira a favorire la libera circolazione dei cittadini e a migliorare il tenore di vita e le condizioni di lavoro dei cittadini dell'UE che si spostano all'interno dell'Unione.

7. Le disposizioni relative allo scambio di dati personali tra le amministrazioni nazionali competenti per la sicurezza sociale costituiscono una parte essenziale della proposta. In effetti, la sicurezza sociale non potrebbe esistere senza il trattamento di diversi tipi di dati personali, in molti casi di natura sensibile.

Inoltre, lo scambio di dati personali relativi alla sicurezza sociale tra diversi Stati membri è una conseguenza naturale di un'Unione europea in cui i cittadini fruiscono sempre più spesso del loro diritto alla libera circolazione.

8. Tuttavia, è anche essenziale che tale scambio intensificato di dati personali tra le amministrazioni nazionali degli Stati membri, oltre ad offrire migliori condizioni per la libera circolazione delle persone, assicuri anche un alto livello di protezione dei dati personali, garantendo in tal modo uno dei diritti fondamentali dell'UE. In tale contesto, il GEPD prende atto con soddisfazione che anche il Comitato economico e sociale europeo («CESE»), nel suo parere del 26 ottobre 2006 relativo alla proposta, ha evidenziato la necessità di garantire un'adeguata protezione dei dati personali, specialmente in considerazione della natura talvolta sensibile dei dati in questione ⁽⁷⁾.

Impostazione del parere

9. Il GEPD è stato consultato sulla proposta di regolamento di applicazione. Tuttavia, come precedentemente menzionato, il regolamento di applicazione non può essere valutato separatamente dal regolamento (CE) n. 883/2004, che stabilisce il principio fondamentale del coordinamento dei sistemi di sicurezza sociale, anche per quanto riguarda la protezione dei dati personali. Pertanto, il GEPD terrà conto nel suo parere del quadro stabilito da quest'ultimo regolamento. Ciò nondimeno, il GEPD concentrerà il suo parere sulle questioni per le quali il legislatore del regolamento di applicazione dispone ancora di un margine di manovra.

10. Il GEPD rileva inoltre che la proposta, oltre ad avere un vasto campo di applicazione, è anche molto complessa, in quanto stabilisce disposizioni dettagliate, e talvolta tecniche, relative ai diversi meccanismi, circostanze e limitazioni del coordinamento dei sistemi di sicurezza sociale. Pertanto, nell'analizzare la proposta, il GEPD non tratterà singolarmente ogni disposizione, ma adotterà un approccio orizzontale, concentrandosi sui principi della protezione dei dati che sono particolarmente pertinenti per la proposta.

11. In base a tale approccio, il presente parere mira ad assicurare il rispetto della normativa in materia di protezione dei dati ma anche l'efficacia delle misure proposte, prevedendo e trattando questioni che potrebbero sorgere al momento dell'applicazione negli ordinamenti giuridici nazionali. Nel presente parere il GEPD definirà innanzitutto il pertinente quadro giuridico in materia di protezione dei dati e tratterà in seguito l'applicazione alla proposta dei pertinenti principi della protezione dei dati. Nelle conclusioni, il GEPD evidenzierà i risultati e le raccomandazioni principali.

II. IL QUADRO GIURIDICO PERTINENTE IN MATERIA DI PROTEZIONE DEI DATI

12. Nel contesto della proposta, i dati personali delle persone assicurate saranno trattati generalmente dalle autorità nazionali competenti e rientreranno quindi nel campo di applicazione delle leggi nazionali di attuazione della direttiva 95/46/CE («la direttiva»). Nei casi più rari in cui saranno trattati dalle istituzioni comunitarie, i dati personali riguardanti le persone assicurate saranno soggetti al regolamento (CE) n. 45/2001 ⁽⁸⁾. Ciò varrebbe, per esempio, nei casi in cui il trattamento dei dati personali riguarda i dipendenti dell'UE ⁽⁹⁾. Pertanto, l'attuale quadro giuridico in materia di protezione dei dati prevede un livello armonizzato di protezione in tutta l'Unione europea.

13. L'attuale proposta si varrà di tale quadro armonizzato. Tuttavia, le legislazioni nazionali di attuazione della direttiva non sono pienamente uniformi e possono ancora esistere alcune divergenze tra le legislazioni nazionali in materia di protezione dei dati. È quindi molto importante che il legislatore tenga conto di ciò, al fine di assicurare che le misure proposte si conformino pienamente a tale quadro e facciano fronte a tali eventuali differenze.

14. Inoltre, l'aumento dello scambio transfrontaliero di dati richiederà un maggior coordinamento delle disposizioni nazionali in materia di protezione dei dati personali. A tale riguardo, il GEPD esprime apprezzamento per l'articolo 77 del regolamento 883/2004. Tale disposizione prevede esplicitamente che i dati personali trattati in virtù del regolamento, nonché delle norme di applicazione dello stesso, siano trasmessi nel rispetto delle disposizioni comunitarie in materia di protezione dei dati personali.

15. L'articolo 77 del regolamento 883/2004 fornisce inoltre orientamenti sulla legislazione nazionale in materia di protezione dei dati applicabile in caso di trasmissione dei dati tra autorità competenti di diversi Stati membri, disponendo che la comunicazione di dati personali da uno Stato membro ad un altro sia soggetta alla legislazione in materia di protezione dei dati dello Stato membro che li trasmette.

Viceversa, ogni comunicazione da parte dello Stato membro che li ha ricevuti, nonché la memorizzazione, la modificazione e la distruzione dei dati ricevuti sono soggette alla legislazione in materia di protezione dei dati dello Stato membro che li riceve. Tale disposizione è conforme alla disposizione sul diritto nazionale applicabile contenuta nell'articolo 4 della direttiva.

16. Nella proposta è fatto riferimento alle disposizioni comunitarie sulla protezione dei dati personali nel considerando 3 nonché nell'articolo 3, paragrafo 2. Mentre il considerando 3 afferma in modo generale che le persone interessate devono beneficiare di tutte le garanzie previste dalle disposizioni comunitarie relative alla protezione dei dati a carattere personale, l'articolo 3, paragrafo 2, fa specifico riferimento all'esercizio del diritto d'accesso e di rettifica ai propri dati di carattere personale.

17. Il GEPD conviene della necessità che uno strumento giuridico che dà attuazione al potenziamento del trattamento e della trasmissione dei dati personali ricordi in modo chiaro ed esplicito il quadro applicabile in materia di protezione dei dati. In tale prospettiva, il GEPD raccomanda che venga fatto un riferimento generale alle disposizioni comunitarie in materia di protezione dei dati personali non solo nei considerando, ma anche esplicitamente nel dispositivo (ad esempio, nell'articolo 3). Tale disposizione generale non escluderebbe la possibilità che altre disposizioni, come quelle attualmente contenute nell'articolo 3, paragrafo 2, affrontino anche aspetti più specifici relativi alla concreta applicazione dei principi della protezione dei dati nel quadro del coordinamento dei sistemi di sicurezza sociale (cfr. infra, punti 36, 37 e 38).

III. APPLICAZIONE DEI PERTINENTI PRINCIPI DELLA PROTEZIONE DEI DATI

Limitazione delle finalità

18. Uno dei principi fondamentali della normativa sulla protezione dei dati è che i dati personali vengono trattati solo agli scopi per cui sono stati rilevati o per finalità compatibili (articolo 6, paragrafo 1, lettera b) della direttiva). La proposta non contempla alcuna disposizione generale sulla limitazione delle finalità ⁽¹⁰⁾. Tuttavia, l'approccio generale della proposta è che i dati personali rilevati per una delle finalità della sicurezza sociale (pensione, prestazioni di invalidità, disoccupazione, ecc.) saranno trattati e successivamente trasmessi alle autorità degli altri Stati membri per la stessa finalità. Pertanto, la maggior parte delle operazioni di trattamento previste dalla proposta riguarderanno dati personali trattati per la stessa finalità o per una compatibile. Ciò varrà anche per il trattamento dei dati personali nel quadro della trasmissione di dati per il recupero di crediti o di prestazioni non dovute (articolo 73).

19. Tuttavia, in altre circostanze, quale il caso della cooperazione tra amministrazioni fiscali (considerando 14), i dati della sicurezza sociale potrebbero essere necessari anche per finalità diverse da quelle della sicurezza sociale. In tale caso, eccezioni al principio della limitazione delle finalità potrebbero essere giustificate in virtù dell'articolo 13 della direttiva, in circostanze specifiche e purché siano necessarie e fondate su misure legislative, a livello nazionale o comunitario. In tale contesto, il legislatore potrebbe valutare l'opportunità di inserire nella proposta un riferimento specifico alle condizioni alle quali i dati della sicurezza sociale possono essere trattati per una finalità differente.

20. In considerazione di quanto sopra, il GEPD ritiene che la proposta rispetti le disposizioni fondamentali sulla protezione dei dati relative alla limitazione delle finalità. Inoltre, il GEPD rileva che il divieto di utilizzare dati personali per finalità diverse da quelle della sicurezza sociale deriva dalla legislazione applicabile in materia di protezione dei dati, che consentirebbe eccezioni a tale principio generale solo a condizioni specifiche e rigorose.

Proporzionalità dei dati trattati, entità competenti e periodi di conservazione

21. Secondo i principi della protezione dei dati, i dati personali devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati (articolo 6, paragrafo 1, lettera c) della direttiva). Nel contesto dei sistemi di sicurezza sociale ciò significa che in ogni circostanza viene trasmessa solo una serie di dati necessaria e proporzionata.

22. Tale principio è correttamente sancito dall'articolo 2, paragrafo 1, della proposta, il quale prevede l'obbligo per le istituzioni degli Stati membri di comunicarsi tutti i dati necessari per stabilire e determinare i diritti e gli obblighi delle persone assicurate. In tale contesto, il GEPD sottolinea che la valutazione del novero di dati personali necessari può variare leggermente a seconda del tipo di prestazione in questione. Per esempio, il tipo di informazioni personali necessarie per le prestazioni di malattia saranno differenti dalle informazioni necessarie per le pensioni di vecchiaia. Le informazioni trasmesse dalle autorità degli Stati membri non dovrebbero andare al di là di quanto necessario per i diritti o gli obblighi della persona assicurata che sono in gioco nella fattispecie.

23. Si dovrebbe applicare la proporzionalità anche per quanto riguarda il numero di entità competenti che hanno accesso ai dati nonché le modalità e la durata di conservazione dei dati personali. Solo le pertinenti autorità e istituzioni hanno accesso ai dati della sicurezza sociale, e questi ultimi sono conservati in modo da consentire l'identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati (articolo 6, paragrafo 1, lettera e) della direttiva).

24. Per quanto riguarda il numero di autorità ed istituzioni che hanno accesso ai dati personali delle persone assicurate, l'articolo 83 della proposta istituirà una base di dati accessibile al pubblico, che elencherà le entità pertinenti di ciascuno Stato membro. Occorre inoltre notare che la proposta è flessibile e lascia agli Stati membri la libertà di decidere se comunicare i dati personali tramite un punto centrale d'accesso ovvero direttamente all'autorità o all'istituzione pertinente (articolo 2, paragrafo 3). Inoltre, in ciascuno Stato membro vi potrebbero essere molte entità designate, alcune delle quali possono operare a livello regionale.

25. Per quanto riguarda il periodo di conservazione dei dati personali, il GEPD rileva che nel contesto della sicurezza sociale la verifica della proporzionalità può condurre a risultati molto differenti, a seconda del settore della sicurezza sociale interessato. Ad esempio, il trattamento dei dati personali collegati alle prestazioni di malattia sarà generalmente necessario per un arco di tempo più breve che nel caso delle pensioni, prestazioni che, verosimilmente, verranno fornite per un periodo più lungo. Il periodo di conservazione dei dati personali dipenderebbe anche dal tipo di entità che li tratta. Ad esempio, nel caso dei punti centrali di accesso, i dati personali verrebbero soppressi non appena siano stati inoltrati all'entità competente. In ogni caso, dovrebbe essere chiaro che i dati personali sono soppressi o resi anonimi appena non sono più necessari al conseguimento delle finalità per le quali sono stati rilevati o trattati.

26. Alla luce di tali considerazioni, il GEPD sottolinea che in un sistema così complesso, in cui i dati personali sono trattati e in seguito trasmessi attraverso una rete asimmetrica di entità, va posta una particolare cura nell'assicurare che i dati personali siano trattati dalle autorità competenti per un periodo di tempo proporzionato e che vengano evitate duplicazioni delle basi di dati. Secondo il GEPD la base di dati prevista dall'articolo 83 contribuirà ad assicurare che i dati personali necessari vengano trasmessi solo alle autorità competenti in ciascun caso specifico. Tuttavia, potrebbero essere aggiunte all'attuale proposta ulteriori precisazioni sulle modalità di trasmissione e di conservazione dei dati, come la Commissione ha già fatto in altre proposte ⁽¹¹⁾. In tale contesto, il GEPD ritiene che una certa armonizzazione dei periodi di conservazione non solo tuteli il diritto dei cittadini alla protezione dei dati personali, ma migliori anche l'efficienza del coordinamento tra le amministrazioni nazionali dei diversi Stati membri.

Presupposti giuridici del trattamento di dati personali

27. La proposta istituisce una varietà di meccanismi, secondo i quali i dati personali relativi alle persone assicurate vengono trasferiti tra entità competenti di diversi Stati membri. Tali scambi di dati personali possono essere suddivisi in due categorie generali: quelli effettuati in base a una richiesta della persona interessata e quelli realizzati d'ufficio, generalmente tra terzi (entità competenti, datori di lavoro), senza alcuna richiesta specifica da parte della persona interessata. In molti casi, le pertinenti entità tratteranno e trasmetteranno dati sensibili, in particolare dati relativi alle condizioni di salute.

28. Tutte queste attività di trattamento rispetteranno le condizioni per il trattamento dei dati personali stabilite nella direttiva: le entità nazionali competenti e i datori di lavoro possono trattare dati personali solo in base al consenso della persona interessata o su altre basi legittime, quali l'adempimento di un obbligo legale o l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (articolo 7, lettere a), c) ed e) della direttiva). Condizioni più rigide si applicano ai dati sensibili, vale a dire i dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché i dati relativi alla salute e alla vita sessuale (articolo 8 della direttiva).

29. In considerazione di quanto sopra, il GEPD sottolinea che si può considerare che le disposizioni della proposta stabiliscano un obbligo legale, ai sensi dell'articolo 7, lettera c) della direttiva, di trattare e trasmettere dati della sicurezza sociale, nella misura in cui tale obbligo è specifico. Pertanto, nei casi in cui la proposta stabilisce un chiaro obbligo di trattare i dati personali, le operazioni di trattamento da parte delle entità nazionali competenti e dei datori di lavoro potrebbero essere fondate sull'articolo 7, lettera c) della direttiva. Viceversa, laddove la proposta non prevede direttamente tale obbligo legale, il trattamento di dati personali avrà come fondamento un obbligo legale specifico nazionale (non armonizzato) ovvero un diverso presupposto giuridico.

30. L'articolo 7, lettera e) della direttiva consente il trattamento di dati personali quando è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il responsabile del trattamento o il terzo a cui vengono comunicati i dati. Ciò vale nei casi in cui l'entità pertinente tratta dati più in base ai suoi compiti o a pubblici poteri derivanti da una disposizione di legge generale, sia essa nazionale o comunitaria, che in base ad uno specifico obbligo legale. In tal caso, è applicabile il diritto di opposizione a norma dell'articolo 14, lettera a) della direttiva.

31. L'uso del consenso quale presupposto giuridico, conformemente all'articolo 7, lettera a) della direttiva, ha un'applicazione più limitata in relazione al trattamento di dati personali da parte di autorità pubbliche o in rapporti di lavoro, poiché il consenso può essere considerato libero, ai sensi dell'articolo 2, lettera h) della direttiva, solo se per la persona interessata sussistono alternative valide.

32. Per quanto riguarda il trattamento di dati sensibili (articolo 8 della direttiva), valgono considerazioni analoghe a quelle dei punti precedenti. Il GEPD ritiene che gli obblighi derivanti dal diritto del lavoro (articolo 8, paragrafo 2, lettera b) della direttiva), ulteriori deroghe (articolo 8, paragrafo 4) o il consenso (articolo 8, paragrafo 2, lettera a)) possano costituire presupposti giuridici pertinenti per il trattamento di dati sensibili della sicurezza sociale. In tal caso, potrebbero essere necessarie garanzie specifiche, quali misure tecniche di compartimentalizzazione.

33. Alla luce delle precedenti considerazioni, il GEPD fa notare che quanto più chiaramente la presente proposta stabilisce per le entità competenti e i datori di lavoro uno specifico obbligo legale di trattare i dati personali, tanto più facile ed efficace sarà l'applicazione del regolamento negli Stati membri, in relazione al rispetto delle legislazioni nazionali in materia di protezione dei dati derivanti dalla direttiva. Pertanto il GEPD, senza entrare nei dettagli dei diversi meccanismi specifici previsti dalla proposta, raccomanda al legislatore comunitario di assicurare che ciascun meccanismo di trattamento e trasmissione dei dati personali proposto sia chiaramente basato su un obbligo legale specifico direttamente stabilito dalla proposta o su altri legittimi presupposti giuridici per il trattamento conformemente agli articoli 7 e 8 della direttiva.

Informazione delle persone assicurate

34. L'adeguata informazione delle persone interessate circa il trattamento dei dati personali che le riguardano e i loro diritti è essenziale, come stabilito nella sezione IV della direttiva 95/46. Ciò è ancora più importante quando i dati personali vengono trattati da molte autorità in diversi Stati membri e pertanto le persone interessate possono correre il rischio di non sapere più chi stia trattando i dati personali che le riguardano, per quali finalità e come esercitare i loro diritti.

35. Su tale questione il GEPD sostiene con vigore un approccio proattivo: fornire alle persone interessate informazioni esaurienti e tempestive, al fine di chiarire sia l'uso delle informazioni raccolte che i diritti delle persone stesse. A tale riguardo, il GEPD non solo approva l'invito, rivolto dal CESE ⁽¹²⁾, a sensibilizzare tutti i potenziali utilizzatori del regolamento, ma sollecita anche il legislatore ad aggiungere nella proposta un riferimento specifico alla necessità di fornire alle persone interessate informazioni specifiche ed adeguate relative al trattamento dei dati personali che le riguardano. Ciò si potrebbe fare modificando l'articolo 19 (Informazione delle persone assicurate) al fine di garantire che vengano fornite le necessarie informazioni alle persone assicurate.

Diritti delle persone interessate

36. I diritti delle persone interessate sono particolarmente rilevanti nel contesto dei sistemi di sicurezza sociale, in quanto consentono a tali persone di mantenere il controllo dei dati (sensibili) che le riguardano, di assicurarne l'esattezza e di verificare le informazioni in base alle quali sono prese decisioni importanti o concesse prestazioni. Ciò vale particolarmente in un contesto transfrontaliero, in cui il margine di errore nella trasmissione dei dati personali è verosimilmente maggiore data la necessità di tradurre le informazioni. Mette conto inoltre menzionare che la maggior esattezza delle informazioni derivante dall'esercizio dei diritti delle persone interessate va a beneficio non solo di queste ultime ma anche degli enti di sicurezza sociale pertinenti.

37. Il GEPD esprime particolare apprezzamento per l'articolo 3, paragrafo 2 della proposta, il quale stabilisce che gli Stati membri garantiscono alle persone interessate un diritto d'accesso e di rettifica dei dati personali, nel rispetto delle disposizioni comunitarie in materia di protezione di tali dati. Tuttavia, il GEPD propone di integrare tale disposizione con un riferimento più ampio a tutti i diritti delle persone interessate, ivi compresi il diritto di opposizione (articolo 14 della direttiva 95/46) e le salvaguardie relative alle decisioni individuali automatizzate (articolo 15 della direttiva 95/46).

38. Inoltre, il GEPD raccomanda che la proposta tenga in debita considerazione la necessità di facilitare l'effettivo esercizio dei diritti delle persone interessate in un contesto transfrontaliero. In effetti, tali persone dovranno esercitare i loro diritti in una situazione in cui i dati personali che le riguardano provengono da diverse autorità di due o più paesi. Pertanto, sarebbe auspicabile che in tali casi i diritti delle persone interessate potessero essere esercitati anche direttamente tramite la competente autorità che riceve i dati personali da altri Stati membri. Ciò significherebbe che l'autorità competente che si trova in diretto contatto con la persona assicurata sarebbe chiamata a fungere da «sportello unico» per quanto riguarda non solo le prestazioni della sicurezza sociale, ma anche tutti i dati personali trattati in relazione a tali prestazioni. Una persona assicurata sarebbe pertanto in grado di esercitare i propri diritti tramite l'autorità competente indipendentemente dall'origine dei dati. Pertanto, il GEPD invita il legislatore a considerare tale possibilità, anche alla luce degli esempi già forniti in altre proposte della Commissione ⁽¹³⁾.

Misure di sicurezza

39. Nella proposta, la sicurezza nel trattamento dei dati è particolarmente rilevante in relazione all'uso più generalizzato degli strumenti elettronici da parte delle pubbliche amministrazioni di diversi Stati membri. Inoltre, nella maggior parte dei casi la trasmissione interesserà dati sensibili e pertanto, come sottolineato anche dal CESE, è ancor più importante «garantire che questi dati siano adeguatamente protetti e non finiscano nelle mani sbagliate» ⁽¹⁴⁾.

40. A tale riguardo, il GEPD si compiace per l'articolo 4 della proposta, il quale stabilisce che la trasmissione dei dati tra gli enti pertinenti «avviene per via elettronica, in un quadro sicuro comune in grado di garantire la riservatezza e la protezione degli scambi di dati». Tuttavia, il GEPD sottolinea che tale «quadro sicuro comune», il quale dovrà essere definito dalla commissione amministrativa per il coordinamento dei sistemi di sicurezza sociale ⁽¹⁵⁾, dovrebbe tenere nel debito conto le raccomandazioni emanate dal programma IDABC ⁽¹⁶⁾ (erogazione interoperabile di servizi paneuropei di governo elettronico alle amministrazioni pubbliche, alle imprese e ai cittadini) che hanno attinenza con le disposizioni comunitarie in materia di protezione dei dati, e in particolare quelle relative alla sicurezza dei trattamenti (articolo 17 della direttiva). In tale prospettiva, il GEPD raccomanda inoltre di coinvolgere opportunamente nei pertinenti lavori della commissione amministrativa dei consiglieri tecnici in materia di protezione dei dati e di sicurezza.

IV. CONCLUSIONI E RACCOMANDAZIONI

41. Il GEPD si compiace di questa proposta in quanto mira a favorire la libera circolazione dei cittadini e a migliorare il tenore di vita e le condizioni di lavoro dei cittadini dell'UE che si spostano all'interno dell'Unione. In effetti, il coordinamento dei sistemi di sicurezza sociale non potrebbe esistere senza il trattamento e la trasmissione di diversi tipi di dati personali, in molti casi di natura sensibile.

42. Tuttavia, è anche essenziale che tale maggiore scambio di dati personali tra le amministrazioni nazionali degli Stati membri, oltre ad offrire migliori condizioni per la libera circolazione delle persone, assicuri anche un alto livello di protezione dei dati personali, garantendo in tal modo uno dei diritti fondamentali dell'UE.

43. La proposta si varrà del quadro armonizzato in materia di protezione dei dati costituito dalle disposizioni comunitarie in materia di protezione dei dati personali, in particolare dalla direttiva 95/46/CE e dalle norme nazionali di recepimento. Il GEPD è lieto che l'applicabilità di tale quadro in materia di protezione dei dati venga ricordata sia nel regolamento di base 883/2004 che nella proposta. Tuttavia, dovrebbero essere ulteriormente ed esplicitamente trattati aspetti specifici relativi all'applicazione dei principi di protezione dei dati nel quadro del coordinamento dei sistemi di sicurezza sociale.

44. Per quanto riguarda il principio della limitazione delle finalità, il GEPD ritiene che la proposta rispetti le disposizioni fondamentali sulla protezione dei dati relative alla limitazione delle finalità. Inoltre, il GEPD rileva che il divieto di utilizzare dati personali per finalità diverse da quelle della sicurezza sociale non è stabilito esplicitamente nella proposta ma deriva dalla legislazione applicabile in materia di protezione dei dati, che consentirebbe eccezioni a tale principio generale solo in circostanze specifiche e a condizioni rigorose. In tale contesto, il legislatore potrebbe prendere in considerazione la possibilità di inserire nella proposta un riferimento specifico alle condizioni alle quali i dati della sicurezza sociale possono essere trattati per una finalità differente.

45. Per quanto concerne la proporzionalità dei dati trattati, le entità competenti e i periodi di conservazione, il GEPD sottolinea che in un sistema così complesso, in cui i dati personali sono trattati e ulteriormente trasmessi attraverso una rete asimmetrica di entità, occorre porre una particolare cura nell'assicurare che i dati personali siano trattati dalle autorità competenti per un periodo di tempo proporzionato e che vengano evitate duplicazioni delle basi di dati. In tale contesto, potrebbero essere aggiunte alla proposta ulteriori precisazioni sulle modalità di trasmissione e di conservazione dei dati.

46. Per quanto riguarda i presupposti giuridici del trattamento di dati personali, il GEPD, senza entrare nei dettagli dei diversi meccanismi specifici previsti dalla proposta, raccomanda al legislatore comunitario di assicurare che ciascun meccanismo di trattamento e trasmissione dei dati personali proposto sia chiaramente basato su un obbligo legale specifico direttamente stabilito dalla proposta o su altri legittimi presupposti giuridici per il trattamento conformemente agli articoli 7 e 8 della direttiva.

47. Per quanto concerne l'informazione delle persone assicurate, il GEPD raccomanda di aggiungere nella proposta un riferimento specifico alla necessità di fornire alle persone interessate informazioni specifiche ed adeguate relative al trattamento dei dati personali che le riguardano.

48. Per quanto riguarda i diritti delle persone interessate, il GEPD esprime particolare apprezzamento per l'articolo 3, paragrafo 2 della proposta e propone di integrare tale disposizione con un riferimento più ampio a tutti i diritti delle persone interessate, ivi compresi il diritto di opposizione e le salvaguardie relative alle decisioni individuali automatizzate. Inoltre, il GEPD invita il legislatore a facilitare l'effettivo esercizio dei diritti delle persone interessate in un contesto transfrontaliero prevedendo che l'autorità competente che si trova in diretto contatto con la persona assicurata funga da «sportello unico» per quanto riguarda non solo le prestazioni della sicurezza sociale, ma anche tutti i dati personali trattati in relazione a tali prestazioni.

49. Per quanto concerne le misure di sicurezza, Il GEPD raccomanda che il «quadro sicuro comune» per la trasmissione dei dati previsto dall'articolo 4 della proposta tenga nel debito conto le raccomandazioni sulla protezione dei dati e la sicurezza dei trattamenti. In tale contesto, dovrebbero essere opportunamente coinvolti nei pertinenti lavori della commissione amministrativa dei consiglieri tecnici in materia di protezione dei dati e di sicurezza.

Fatto a Bruxelles, addì 6 marzo 2007

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE                                      
(1) GU L 281 del 23.11.1995, pag. 31.

(2) GU L 8 del 12.1.2001, pag. 1.

(3) GU L 166 del 30.4.2004, pag. 1.

(4) A dicembre di ogni anno il GEPD pubblica un inventario delle sue priorità per l'anno successivo nell'ambito della consultazione.

Esso elenca le proposte più rilevanti della Commissione, che possono richiedere una reazione formale da parte del GEPD. Viene data priorità alle proposte che si ritiene avranno un forte impatto sulla protezione dei dati. L'inventario del GEPD per il 2007 è disponibile sul sitoWeb del GEPD www.edps.europa.eu

(5) Attualmente, le norme sono stabilite dal regolamento (CEE) n. 1408/71 del Consiglio, del 14 giugno 1971, relativo all'applicazione dei regimi di sicurezza sociale ai lavoratori subordinati e ai loro familiari che si spostano all'interno della Comunità, GU L 149 del 5.7.1971, pag. 2, nonché dal suo regolamento di applicazione, il regolamento (CEE) n. 574/72 del Consiglio, GU L 74 del 27.3.1972, pag. 1.

(6) GU C 38 del 12.2.1999, pag. 10.

(7) Parere del Comitato economico e sociale europeo del 26 ottobre 2006 in merito alla Proposta di regolamento del Parlamento europeo e del Consiglio recante le modalità di applicazione del regolamento (CE) n. 883/2004 relativo al coordinamento dei sistemi di sicurezza sociale, GU C 324 del 30.12.2006, pag. 59.

(8) Poiché le disposizioni del regolamento (CE) n. 45/2001 rispecchiano quelle contenute nella direttiva 95/46, per agevolare la lettura il presente parere farà riferimento solo agli articoli pertinenti di tale direttiva e non alle analoghe disposizioni del suddetto regolamento.

(9) Ad esempio, l'articolo 15 del regolamento (CE) n. 883/2004 e l'articolo 18 dell'attuale proposta riguardano il trasferimento dei dati personali relativi agli agenti ausiliari.

(10) Nel suo parere il CESE ha evidenziato questo punto, deplorando che manchi una disposizione «che vieta espressamente di utilizzare questi dati a fini diversi da quelli della sicurezza sociale», come quella vigente dell'articolo 84, paragrafo 5, lettera b) del regolamento (CEE) n. 1408/71. Parere del CESE, punto 4.10.2.

(11) Un esempio recente di tali disposizioni figura nella proposta di regolamento del Consiglio relativo alla competenza, alla legge applicabile, al riconoscimento e all'esecuzione delle decisioni e alla cooperazione in materia di obbligazioni alimentari presentata dalla Commissione (COM(2005) 649 defin.). In particolare, l'articolo 46 di tale proposta prevede l'obbligo per le autorità centrali di distruggere l'informazione che hanno ricevuto dalle autorità di altri Stati membri subito dopo averla comunicata all'entità nazionale competente. Il paragrafo 3 prevede inoltre il divieto esplicito di conservare un'informazione comunicata conformemente al regolamento per un periodo più lungo di quello necessario alla finalità della comunicazione e in ogni caso per un periodo superiore ad un anno. Cfr. anche il parere del GEPD su tale proposta, GU C 242 del 7.10.2006 pag. 20, punti 45-49.

(12) Parere del CESE, punto 1.11.

(13) Un esempio recente si trova nella proposta della Commissione concernente la decisione quadro del Consiglio relativa agli scambi fra gli Stati membri di informazioni estratte dal casellario giudiziario (COM (2005) 690 defin.). L'articolo 6 della proposta consente alla persona interessata di esercitare il diritto di accesso ai dati personali che la riguardano non solo rivolgendosi all'autorità che controlla i dati, ma anche tramite l'autorità del paese in cui è residente. Ulteriori esempi si trovano anche nel Sistema d'Informazione Schengen.

(14) Parere del CESE, punto 4.10.

(15) Istituita dall'articolo 71 del regolamento (CE) n. 883/2004. L'articolo 4 della proposta prevede che la commissione amministrativa stabilisce formato e modalità degli scambi di dati.

(16) http://ec.europa.eu/idabc/en/home