Parere del GEPD sulla comunicazione della Commissione al Parlamento europeo e al Consiglio sul seguito dato al programma di lavoro per una migliore applicazione della direttiva sulla protezione dei dati

GARANTE EUROPEO
DELLA PROTEZIONE DATI PERSONALI

Parere del garante europeo della protezione dei dati sulla comunicazione della Commissione al Parlamento europeo e al Consiglio sul seguito dato al programma di lavoro per una migliore applicazione della direttiva sulla protezione dei dati

(Pubblicato sulla G.U.U.E. n. C 255 del 27.10.2007)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹⁾,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ⁽²⁾, in particolare l'articolo 41,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1. Il 7 marzo 2007 la Commissione ha notificato al GEPD la comunicazione della Commissione al Parlamento europeo e al Consiglio sul seguito dato al programma di lavoro per una migliore applicazione della direttiva sulla protezione dei dati ⁽³⁾. Conformemente all'articolo 41 del regolamento (CE) n. 45/2001, il GEPD presenta il seguente parere.

2. La comunicazione ribadisce l'importanza della direttiva 95/46/CE ⁽⁴⁾, che rappresenta una pietra miliare per la protezione dei dati personali e discute la direttiva e la sua attuazione in tre capitoli: il passato, il presente e il futuro.

La conclusione centrale della comunicazione è che la direttiva non dovrebbe essere modificata. Si dovrebbe migliorarne l'attuazione mediante altri strumenti politici, la maggior parte dei quali di tipo non vincolante.

3. Il presente parere del GEPD segue la struttura della comunicazione.

In primo luogo, il GEPD condivide la conclusione centrale della Commissione secondo cui la direttiva non dovrebbe essere modificata.

4. Tuttavia, il GEPD adotta questa posizione anche per motivi pratici. Egli parte dalle seguenti considerazioni:

— a breve termine, è meglio impiegare le risorse per migliorare l'attuazione della direttiva: la comunicazione evidenzia infatti che è ancora possibile apportare miglioramenti importanti per quanto riguarda l'attuazione della direttiva stessa,

— a più lungo termine, delle modifiche della direttiva saranno inevitabili, pur mantenendone i principi fondamentali,

— si dovrebbe fissare fin d'ora una data precisa per la revisione onde elaborare proposte intese ad apportare tali modifiche. Questa scadenza costituirebbe un chiaro incentivo per iniziare già ora le riflessioni sui futuri cambiamenti.

5. Questi punti di partenza sono essenziali poiché si deve tener presente che la direttiva opera in un contesto dinamico.

Anzitutto, l'Unione europea è in fase di trasformazione:

il libero scambio di informazioni tra gli Stati membri — e tra questi ultimi e i paesi terzi — è andato aumentando e diventerà una realtà ancora più importante. In secondo luogo, la società sta cambiando: la società dell'informazione è in evoluzione e assume sempre più le caratteristiche di una società della sorveglianza ⁽⁵⁾, aumentando in tal modo la necessità di una protezione efficace dei dati personali per affrontare queste nuove realtà in modo pienamente soddisfacente.

II. LE PROSPETTIVE DEL PARERE

6. Nel valutare la comunicazione, il GEPD tratterà soprattutto le seguenti prospettive che sono importanti rispetto a questi cambiamenti:

— Migliorare l'attuazione della direttiva stessa: in che modo incrementare l'efficacia della protezione dei dati?

A tal fine, è necessario ricorrere a un insieme di strumenti politici che vanno da una migliore comunicazione con la società a un'applicazione più rigorosa della normativa in materia di protezione dei dati.

— Interazione con la tecnologia: i nuovi sviluppi tecnologici, quali gli sviluppi nella condivisione di dati, nei sistemi RFID, nella biometria e nei sistemi di gestione dell'identità, hanno un'evidente ripercussione sui requisiti di un quadro giuridico efficace per la protezione dei dati. La necessità di una protezione efficace dei dati personali individuali può altresì imporre dei limiti all'uso di queste nuove tecnologie. L'interazione è pertanto duplice: la tecnologia influenza la legislazione e quest'ultima influenza la tecnologia.

— Il principio globale del rispetto della vita privata e le questioni di giurisdizione, per quanto riguarda le frontiere esterne dell'Unione europea. Considerando che la giurisdizione del legislatore comunitario è limitata al territorio dell'Unione europea, le frontiere esterne sono meno rilevanti per i flussi di dati. L'economia è sempre più dipendente dalle reti mondiali: le imprese basate nell'Unione europea esternalizzano sempre più le loro attività verso paesi terzi, compreso il trattamento dei dati personali. Inoltre, casi recenti come SWIFT e PNR confermano che altre giurisdizioni sono interessate ai dati provenienti dall'Unione europea. In linea generale, il luogo fisico del trattamento dei dati ha un'importanza minore.

— Protezione dei dati e applicazione della legge: minacce recenti alla società, connesse o meno con il terrorismo, hanno avuto come conseguenza (la richiesta di) maggiori possibilità per le autorità incaricate della legge di raccogliere, conservare e scambiare dati personali. In alcuni casi, risultano attivamente coinvolti organismi privati, come mostrano casi recenti. La linea di demarcazione con il terzo pilastro del trattato sull'UE (in cui non si applica la direttiva) diventa al tempo stesso più importante e più sottile: si corre addirittura il rischio che in alcuni casi i dati personali non siano protetti né dagli strumenti del primo pilastro né da quelli del terzo («lacuna giuridica»).

— Le conseguenze — in ogni caso per la protezione dei dati e l'applicazione della legge — dell'entrata in vigore del trattato di riforma, prevista per il 2009.

III. IL PASSATO E IL PRESENTE

7. La prima relazione sull'applicazione della direttiva sulla tutela dei dati, del 15 maggio 2003, conteneva un programma di lavoro per una migliore applicazione della direttiva, comprendente un elenco di dieci iniziative da attuare nel 2003 e 2004. La comunicazione descrive come è stata realizzata ognuna di esse.

8. A seguito dell'analisi di quanto realizzato secondo il programma di lavoro, la comunicazione esprime una valutazione positiva dei miglioramenti conseguiti nell'applicazione della direttiva. La valutazione della Commissione, sintetizzata nel titolo del capitolo 2 della Commissione («Il presente»), afferma fondamentalmente che l'attuazione è migliorata, anche se in alcuni Stati membri ciò non è avvenuto in modo corretto; sussistono alcune divergenze, ma per la maggior parte rientrano nel margine di manovra previsto dalla direttiva e comunque non rappresentano un problema reale per il mercato interno. Le soluzioni giuridiche previste dalla direttiva si sono rivelate sostanzialmente adeguate per garantire il diritto fondamentale alla protezione dei dati nel rispetto, nel contempo dell'evoluzione in campo tecnologico e dei vincoli imposti dagli interessi pubblici.

9. Il GEPD condivide le linee generali di questa valutazione positiva. In particolare, il GEPD riconosce l'importante lavoro svolto nel settore della circolazione transfrontaliera dei dati: i riscontri relativi a un livello adeguato di protezione dei dati in relazione ai paesi terzi, le nuove clausole contrattuali tipo, l'adozione di norme vincolanti d'impresa, la riflessione su un'interpretazione più uniforme dell'articolo 26, paragrafo 1, della direttiva e il miglioramento delle notificazioni ai sensi dell'articolo 26, paragrafo 2, sono tutte azioni dirette a semplificare i trasferimenti internazionali di dati personali. La giurisprudenza della Corte di giustizia ⁽⁶⁾ ha tuttavia mostrato che occorre proseguire in questo settore cruciale per tener il passo con gli sviluppi in campo sia tecnologico che legislativo.

10. La comunicazione mostra altresì che applicazione e sensibilizzazione sono questioni chiave per una migliore attuazione e che potrebbero essere approfondite ulteriormente.

Lo scambio di migliori prassi e l'armonizzazione nel settore delle notificazioni e della trasmissione di informazioni costituiscono poi precedenti positivi per ridurre la burocrazia e i costi per le imprese.

11. Inoltre, l'analisi del passato conferma che non si può migliorare senza coinvolgere un'ampia gamma di soggetti interessati. La Commissione, le autorità incaricate della protezione dei dati e gli Stati membri sono gli attori principali nella maggior parte delle azioni intraprese. Tuttavia, gli organismi privati svolgono un ruolo sempre più importante, soprattutto per quanto riguarda la promozione dell'autoregolamentazione e dei codici di condotta europei, o lo sviluppo di tecnologie per il rafforzamento della tutela della vita privata.

IV. IL FUTURO

A. In conclusione: per ora, nessuna modifica alla direttiva

12. Vi sono diversi motivi per appoggiare la conclusione della Commissione secondo cui, nella situazione attuale e a breve termine, non si dovrebbe prevedere alcuna proposta di modifica della direttiva.

13. Due sono le ragioni fondamentali addotte dalla Commissione a sostegno della sua conclusione. Prima di tutto, il potenziale della direttiva non è stato pienamente utilizzato ed è ancora possibile migliorare in modo sostanziale l'attuazione della medesima nelle giurisdizioni degli Stati membri. In secondo luogo, la Commissione afferma che, benché la direttiva lasci un margine di manovra agli Stati membri, non sembra che le divergenze in questo ambito rappresentino un problema effettivo per il mercato interno.

14. In base a quanto precede, la Commissione formula così le sue conclusioni. Essa spiega ciò che la direttiva dovrebbe fare, soprattutto per assicurare la fiducia, e poi afferma che tale normativa costituisce un punto di riferimento, è tecnologicamente neutra e continua a fornire risposte solide ed adeguate ⁽⁷⁾.

15. Il GEPD apprezza il modo in cui sono formulate le conclusioni, ma è del parere che potrebbero essere rafforzate basandole su altre due motivazioni:

— anzitutto, la natura della direttiva,

— in secondo luogo, la politica legislativa dell'Unione.

La natura della direttiva

16. Il diritto fondamentale delle persone fisiche alla protezione dei loro dati personali è sancito dall'articolo 8 della Carta dei diritti fondamentali dell'Unione europea e, tra l'altro, iscritto nella convenzione del Consiglio d'Europa 108, del 28 gennaio 1981, sulla protezione delle persone con riferimento al trattamento automatizzato dei dati di carattere personale. La direttiva è fondamentalmente un quadro che contiene gli elementi principali della tutela di questo diritto fondamentale, concretizzando e ampliando i diritti e le libertà iscritti nella convenzione ⁽⁸⁾.

17. Un diritto fondamentale consiste nella tutela del cittadino di una società democratica in qualsiasi circostanza. Gli elementi principali di tale diritto fondamentale non dovrebbero essere modificati alla leggera, a causa di sviluppi nella società o di preferenze politiche del governo in carica. Per esempio, minacce alla società da parte di organizzazioni terroristiche potrebbero portare a una soluzione diversa in casi specifici perché potrebbero rendersi necessarie maggiori interferenze nel diritto fondamentale di un individuo, ma senza mai incidere sugli elementi essenziali del diritto stesso né impedirne o restringerne indebitamente l'esercizio da parte delle singole persone.

18. La seconda caratteristica della direttiva è che prevede di promuovere la libera circolazione delle informazioni nel mercato interno. Anche questo secondo obiettivo può essere considerato fondamentale in un mercato interno in costante evoluzione e senza frontiere interne. L'armonizzazione di disposizioni essenziali del diritto nazionale è uno degli strumenti principali per garantire l'instaurazione e il funzionamento del mercato interno, incarnando la fiducia reciproca degli Stati membri nei rispettivi sistemi giuridici nazionali. È anche per questi motivi che le modifiche dovrebbero essere attentamente ponderate, in quanto potrebbero incidere sulla fiducia reciproca.

19. Una terza caratteristica della direttiva è che deve essere considerata come un quadro generale su cui basare strumenti normativi specifici, comprendenti misure di attuazione del quadro generale e quadri specifici per determinati settori. La direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche ⁽⁹⁾ è uno di questi quadri specifici. Ove possibile, l'evoluzione della società dovrebbe portare a modificare le misure di attuazione o i quadri normativi specifici, non la cornice generale nella quale si iscrivono.

La politica legislativa dell'Unione

20. Secondo il GEPD, la conclusione di non modificare ora la direttiva è anche la conseguenza logica di principi generali di buona amministrazione e di politica legislativa. Si dovrebbero presentare proposte legislative — indipendentemente dal fatto che riguardino nuove aree di azione comunitaria o modifiche delle misure legislative esistenti — solo in caso di necessità e proporzionalità sufficientemente comprovate: non si dovrebbe avanzare nessuna proposta legislativa se con altri strumenti di minore portata fosse possibile ottenere lo stesso risultato.

21. Nella fattispecie, la necessità e la proporzionalità di una modifica della direttiva non sono state dimostrate. Il GEPD ricorda che la direttiva prevede un quadro generale per la protezione dei dati conformemente al diritto comunitario. Esso deve garantire, da un lato, la tutela dei diritti e delle libertà dei singoli, in particolare il diritto al rispetto della vita privata, per quanto riguarda il trattamento dei dati personali, e dall'altro, la libera circolazione dei dati personali nel mercato interno.

22. Questo quadro generale non dovrebbe essere modificato finché non sia stato pienamente attuato negli Stati membri, a meno che non vi siano indicazioni precise secondo cui con questo strumento non sarebbe possibile raggiungere gli obiettivi della direttiva. Il GEPD ritiene che, nella fattispecie, la Commissione abbia sufficientemente dimostrato che il potenziale della direttiva non è stato per ora pienamente sfruttato (cfr. capitolo III del presente parere). Al tempo stesso, non risulta che gli obiettivi non potrebbero essere raggiunti avvalendosi di questo quadro.

B. A più lungo termine le modifiche sembrano inevitabili

23. Anche in futuro si deve garantire che i principi della protezione dei dati tutelino efficacemente le persone fisiche, tenendo presente il contesto dinamico in cui opera la direttiva (cfr. punto 5 del presente parere) e le prospettive del punto 6 di questo documento: miglioramento dell'attuazione, interazione con la tecnologia, principio globale del rispetto della vita privata e giurisdizione, protezione dei dati e applicazione della legge e trattato di riforma. La necessità della piena applicazione dei principi di protezione dei dati fissa i criteri per le modifiche future della direttiva. Il GEPD ricorda ancora una volta che a più lungo termine la modifica della direttiva sembra inevitabile.

24. Per quanto riguarda la sostanza di qualsiasi misura futura, il GEPD fornisce fin d'ora alcuni elementi che considera essenziali in qualsiasi sistema futuro per la protezione dei dati all'interno dell'Unione europea:

— Non occorrono nuovi principi, ma sono chiaramente necessarie altre misure amministrative che, da un lato, siano efficaci e adeguate a una società collegata in rete e, dall'altro, riducano i costi amministrativi.

— Il vasto campo di applicazione della legge sulla protezione dei dati non dovrebbe cambiare: dovrebbe applicarsi a tutti gli usi dei dati personali e non limitarsi ai dati sensibili o essere circoscritto in altro modo ad interessi qualificati o a rischi speciali. In altre parole, il GEPD respinge l'approccio minimalista per quanto riguarda il campo di applicazione della protezione dei dati, al fine di garantire che gli interessati possano esercitare i loro diritti in qualsiasi situazione.

— La normativa sulla protezione dei dati dovrebbe continuare a coprire un'ampia gamma di situazioni, consentendo al tempo stesso un approccio equilibrato nei casi concreti, tenendo conto di altri debiti interessi (pubblici o privati), nonché della necessità di contenere al minimo l'impatto burocratico. Il sistema dovrebbe altresì garantire la possibilità per le autorità preposte alla protezione dei dati di fissare priorità e focalizzarsi su settori o questioni di particolare importanza o che presentano rischi specifici.

— Il sistema dovrebbe applicarsi interamente all'utilizzo dei dati personali ai fini dell'applicazione della legge, sebbene ulteriori misure appropriate possano rendersi necessarie per trattare problemi speciali di questo settore.

— Si dovrebbero prevedere misure appropriate per la circolazione dei dati con paesi terzi basate, per quanto possibile, su norme mondiali per la protezione dei dati.

25. La comunicazione menziona — in relazione alle sfide delle nuove tecnologie — l'esame in corso della direttiva 2002/58/CE e l'eventuale necessità di norme più specifiche che permettano di risolvere i problemi di protezione dei dati sollevati da tecnologie come Internet o la RFID ⁽¹⁰⁾. Il GEPD accoglie con favore questo esame e le ulteriori azioni, sebbene ritenga che non dovrebbero essere collegati solamente agli sviluppi tecnologici, ma dovrebbero tenere in considerazione il contesto dinamico nella sua interezza e, in una prospettiva a lungo termine, coinvolgere anche la direttiva 95/46/CE. Inoltre, è necessaria maggiore attenzione in questo contesto. Sfortunatamente la comunicazione non pone limiti precisi:

— non c'è un calendario per la realizzazione delle diverse attività citate nel capitolo 3 della comunicazione,

— non c'è una scadenza per una susseguente relazione sull'applicazione della direttiva. L'articolo 33 della direttiva prevede che la Commissione relazioni «periodicamente » ma non specifica con quale frequenza,

— non ci sono termini di riferimento: la comunicazione non consente di misurare la realizzazione delle attività previste. Fa semplicemente riferimento al programma di lavoro presentato nel 2003,

— non ci sono indicazioni sul modo di procedere a più lungo termine.

IL GEPD propone alla Commissione di specificare questi elementi.

V. PROSPETTIVE PER LE FUTURE MODIFICHE

A. Piena applicazione

26. Qualsiasi futura modifica deve essere preceduta dalla piena applicazione delle attuali disposizioni della direttiva. La piena applicazione inizia con l'ottemperanza alle prescrizioni giuridiche della direttiva. La comunicazione menziona ⁽¹¹⁾ che alcuni Stati membri non sono riusciti a inglobare una serie di importanti disposizioni della direttiva e a tale proposito fa riferimento in particolare alle disposizioni relative all'indipendenza delle autorità di controllo. Spetta alla Commissione controllare l'ottemperanza e, qualora lo ritenga opportuno, usare i propri poteri ai sensi dell'articolo 226 del trattato CE.

27. La comunicazione prevede una comunicazione interpretativa per talune disposizioni, segnatamente per le disposizioni che possono portare all'avvio di procedure formali d'infrazione ai sensi dell'articolo 226 del trattato CE.

28. In aggiunta, la direttiva introduce altri meccanismi per il miglioramento dell'applicazione. In particolare, i compiti del Gruppo dell'articolo 29, elencati nell'articolo 30 della direttiva, sono concepiti a questo fine. Essi intendono stimolare negli Stati membri l'applicazione ad un livello elevato e armonizzato della protezione dei dati, oltre a quanto strettamente necessario per ottemperare agli obblighi della direttiva. Nell'esercizio di questo ruolo il gruppo ha prodotto nel corso degli anni un considerevole numero di pareri e altri documenti.

29. Secondo il GEPD la piena applicazione della direttiva include questi due elementi:

— si dovrebbe assicurare che gli Stati membri ottemperino pienamente ai loro obblighi ai sensi del diritto europeo.

Questo significa che le disposizioni della direttiva dovrebbero essere recepite nel diritto nazionale ed anche che i risultati che la direttiva si prefigge dovrebbero essere raggiunti in pratica,

— dovrebbero essere pienamente utilizzati altri strumenti, non vincolanti, in grado di contribuire a un livello di protezione dei dati elevato e armonizzato.

Il GEPD sottolinea che entrambi gli elementi dovrebbero essere chiaramente distinti, a causa delle diverse conseguenze giuridiche nonché delle relative responsabilità. In linea generale: la Commissione dovrebbe assumere la piena responsabilità per quanto riguarda il primo elemento, mentre il gruppo dovrebbe svolgere il ruolo primario per quanto riguarda il secondo elemento.

30. Un'altra, più precisa, distinzione da fare si riferisce agli strumenti disponibili per ottenere una migliore applicazione della direttiva. Questi includono:

— misure di applicazione. Tali misure — adottate dalla Commissione attraverso la procedura di comitato — sono previste al capo IV sul trasferimento di dati personali verso paesi terzi (cfr. articolo 25, paragrafo 6, e articolo 26, paragrafo 3),

— normativa settoriale,

— procedure d'infrazione ai sensi dell'articolo 226 del trattato CE,

— comunicazioni interpretative. Tali comunicazioni potrebbero concentrarsi sulle disposizioni che possono portare all'avvio di procedure d'infrazione e/o fungere principalmente da orientamenti per l'attuazione pratica della protezione dei dati (cfr. anche punti 57-62) ⁽¹²⁾,

— altre comunicazioni. La comunicazione della Commissione al Parlamento e al Consiglio relativa alle tecnologie per aumentare la tutela della vita privata può essere vista come un esempio,

— promozione delle migliori pratiche. Questo strumento può essere usato per una gamma di temi, come la semplificazione amministrativa, le verifiche, l'esecuzione della normativa e le sanzioni, ecc. (cfr. anche punti 63-67).

31. Il GEPD propone alla Commissione di indicare chiaramente come utilizzerà questi diversi strumenti nell'elaborazione delle politiche sulla base della presente comunicazione. La Commissione dovrebbe, in tale contesto, anche distinguere chiaramente le sue responsabilità e le responsabilità del Gruppo. A parte ciò, va da sé che una buona cooperazione tra la Commissione e il Gruppo è in ogni circostanza una condizione per la riuscita.

B. Interazione con la tecnologia

32. Il punto di partenza è che le disposizioni della direttiva sono formulate in maniera neutra nei confronti della tecnologia. La comunicazione collega l'accento sulla neutralità nei confronti della tecnologia a una serie di sviluppi tecnologici, come Internet, i servizi di accesso forniti nei paesi terzi, la RFID e la combinazione di dati sonori e visivi con il riconoscimento automatico. Essa distingue due tipi di azioni. In primo luogo, gli orientamenti specifici per quanto riguarda l'applicazione dei principi della protezione dei dati in un ambito tecnologico in evoluzione con un ruolo importante del Gruppo e della sua task force Internet ⁽¹³⁾.

In secondo luogo, la Commissione stessa potrebbe proporre normative settoriali specifiche.

33. Il GEPD accoglie come un primo passo importante questo approccio. Nel più lungo termine potrebbero comunque essere necessari altri e più fondamentali passi. L'occasione rappresentata dalla presente comunicazione potrebbe essere utilizzata come l'inizio di un tale approccio a lungo termine. Il GEPD propone, come seguito da dare alla presente comunicazione, di avviare la discussione su questo approccio. I punti seguenti possono essere menzionati quali possibili elementi di tale approccio.

34. In primo luogo, l'interazione con le tecnologie procede in due modi. Da una parte, le nuove tecnologie in via di sviluppo possono richiedere modifiche del quadro giuridico per la protezione dei dati. Dall'altra, la necessità di una protezione efficace dei dati personali delle persone fisiche può necessitare di nuovi limiti o di adeguate garanzie sull'uso di talune tecnologie, una conseguenza di portata ancora maggiore. Tuttavia, le nuove tecnologie potrebbero anche essere usate efficacemente ed essere affidabili per aumentare la tutela della vita privata.

35. In secondo luogo, taluni limiti specifici possono essere necessari se le nuove tecnologie sono usate dalle istituzioni governative nello svolgimento dei loro compiti pubblici. Le discussioni sull'interoperabilità e sull'accesso che si svolgono nello spazio di libertà, sicurezza e giustizia in relazione all'attuazione del programma dell'Aia sono un buon esempio ⁽¹⁴⁾.

36. In terzo luogo, c'è una tendenza verso un uso più ampio del materiale biometrico, come — ma non solo — il materiale relativo al DNA. Le sfide specifiche dell'uso dei dati personali estratti da questo materiale potrebbero avere conseguenze per la legislazione in materia di protezione dei dati.

37. In quarto luogo, bisogna riconoscere che la società stessa sta cambiando e acquisisce sempre più gli elementi di una società della sorveglianza ⁽¹⁵⁾. Su questo sviluppo è necessario un dibattito fondamentale. In tale dibattito le questioni centrali saranno se questo sviluppo sia inevitabile, se sia compito del legislatore europeo interferirvi e imporvi limiti, se e come il legislatore europeo possa adottare misure efficaci, ecc.

C. Protezione della vita privata e competenza giurisdizionale globali

38. La prospettiva della protezione della vita privata e della competenza giurisdizionale globali ha un ruolo limitato all'interno della comunicazione. La sola intenzione in questo contesto è che la Commissione continuerà a monitorare e a contribuire alle organizzazioni internazionali al fine di garantire la coerenza dell'impegno degli Stati membri con gli obblighi imposti loro dalla direttiva. A parte ciò, la comunicazione enumera una serie di attività messe in atto per la semplificazione dei requisiti in materia di trasferimenti internazionali (cfr. capitolo III del presente parere).

39. IL GEPD si rammarica che nella comunicazione non sia stato attribuito un ruolo più importante a questa prospettiva.

40. Attualmente il capo IV della direttiva (articoli 25 e 26) introduce un regime speciale per il trasferimento di dati verso paesi terzi, in aggiunta alle norme generali sulla protezione dei dati. Questo regime speciale è stato elaborato nel corso degli anni, con l'intenzione di ottenere un giusto equilibrio tra la protezione delle persone fisiche i cui dati devono essere trasferiti verso paesi terzi tenendo conto, tra l'altro, degli imperativi del commercio internazionale, e la realtà delle reti globali di telecomunicazione. La Commissione e il Gruppo ⁽¹⁶⁾, ma anche per esempio la Camera di commercio internazionale, si sono sforzati molto per far funzionare questo sistema, tramite le decisioni relative all'adeguatezza, le clausole contrattuali tipo, le norme vincolanti d'impresa, ecc.

41. Per l'applicabilità del sistema a Internet, la sentenza della Corte di giustizia in Lindqvist ⁽¹⁷⁾ è stata di specifica importanza.

La Corte sottolinea il carattere ubiquitario delle informazioni su Internet e decide che l'inserimento di dati in una pagina Internet in quanto tale, anche se questi dati sono così resi accessibili alle persone di paesi terzi in possesso dei mezzi tecnici per consultarli, non è considerato un trasferimento verso un paese terzo.

42. Questo sistema, logica e necessaria conseguenza dei limiti territoriali dell'Unione europea, non fornirà la piena protezione ai cittadini europei cui si riferiscono i dati in una società in rete in cui i confini fisici perdono importanza (cfr. gli esempi citati al punto 6 del presente parere): le informazioni su Internet hanno un carattere ubiquitario, ma la giurisdizione del legislatore europeo non è ubiquitaria.

43. La sfida sarà trovare soluzioni pratiche che riconcilino la necessità di protezione dei cittadini europei cui si riferiscono i dati con i limiti territoriali dell'Unione europea e dei suoi Stati membri. Il GEPD — nelle sue osservazioni concernenti la comunicazione della Commissione su una strategia sulla dimensione esterna dello spazio di libertà, sicurezza e giustizia — ha già incoraggiato la Commissione ad assumere un ruolo proattivo nella promozione della protezione dei dati personali a livello internazionale, tramite il sostegno ad approcci bilaterali e multilaterali con i paesi terzi e la cooperazione con le altre organizzazioni internazionali ⁽¹⁸⁾.

44. Tali soluzioni pratiche includono:

— ulteriore sviluppo di un quadro globale per la protezione dei dati. Potrebbero essere usate come base norme accettate in maniera più generale quali gli orientamenti dell'OCSE in materia di protezione dei dati (1980) e gli orientamenti dell'ONU,

— ulteriore sviluppo del regime speciale per il trasferimento di dati verso paesi terzi, come incluso nel capo IV della direttiva (articoli 25 e 26),

— accordi internazionali in materia di competenza giurisdizionale, o accordi simili con paesi terzi,

— investire nei meccanismi per la conformità globale, come l'utilizzo di norme vincolanti d'impresa da parte delle società multinazionali, indipendentemente da dove queste ultime elaborano i dati personali.

45. Nessuna di queste soluzioni è nuova. È comunque necessaria una visione rispetto al modo in cui usare efficacemente questi metodi nella maniera più adeguata e al modo in cui assicurare che le norme sulla protezione dei dati — che nell'Unione europea sono qualificate come diritti fondamentali — siano efficaci anche in una società in rete globale. Il GEPD invita la Commissione ad iniziare a elaborare tale visione, unitamente ai principali soggetti interessati.

D. Applicazione della legge

46. La comunicazione attribuisce grande attenzione ai requisiti imposti dall'interesse pubblico, specialmente in materia di sicurezza. Spiega l'articolo 3, paragrafo 2, della direttiva e l'interpretazione data dalla Corte di giustizia a tale disposizione nella sentenza PNR ⁽¹⁹⁾, nonché l'articolo 13 della direttiva, collegato, tra l'altro, alla giurisprudenza della Corte europea dei diritti dell'uomo. La comunicazione evidenzia inoltre che quando la Commissione raggiunge l'equilibrio tra le misure per garantire la sicurezza e i diritti fondamentali che non possono essere messi in discussione, essa si adopera per assicurare la protezione dei dati personali sancita dall'articolo 8 della CEDU. Questo punto di partenza si applica anche al dialogo transatlantico con gli Stati Uniti d'America.

47. Per il GEPD è importante che la Commissione ribadisca in maniera chiara gli obblighi dell'Unione ai sensi dell'articolo 6 del TUE in materia di rispetto dei diritti fondamentali, come garantito dalla CEDU. Questa dichiarazione è ancora più importante ora che il Consiglio europeo ha deciso che, nel trattato di riforma, la Carta dei diritti fondamentali dell'Unione europea debba avere valore giuridicamente vincolante. L'articolo 8 della Carta specifica il diritto di ogni individuo alla protezione dei dati di carattere personale che lo riguardano.

48. È noto che le richieste da parte dei servizi incaricati dell'applicazione della legge di utilizzare sempre più i dati personali nella lotta alla criminalità — per non citare la lotta al terrorismo — comportano il rischio di abbassare il livello di protezione dei cittadini, anche al di sotto del livello garantito dall'articolo 8 della CEDU e/o dalla convenzione n. 108 del Consiglio d'Europa ⁽²⁰⁾. Queste preoccupazioni sono state un elemento principale del terzo parere del GEPD, formulato il 27 aprile 2007, sulla proposta di decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale.

49. In questo contesto è essenziale che il livello di protezione previsto dalla direttiva sia preso come base per la protezione dei cittadini, anche in relazione alle richieste dei servizi di applicazione della legge. La CEDU e la convenzione 108 prevedono un livello minimo di protezione, ma non sono sufficientemente precise. Soprattutto erano necessarie misure supplementari per assicurare una protezione adeguata per i cittadini. Questa necessità è stata uno dei fattori trainanti nell'adozione della direttiva nel 1995 ⁽²¹⁾.

50. È altrettanto essenziale che questo livello di protezione sia effettivamente garantito in tutte le situazioni in cui i dati personali sono elaborati ai fini dell'applicazione della legge.

Sebbene la comunicazione non si occupi del trattamento dei dati nel terzo pilastro, essa affronta a buon diritto la situazione in cui i dati raccolti (e trattati) a fini commerciali sono utilizzati ai fini dell'applicazione della legge. Una situazione che sta diventando più frequente, poiché il lavoro delle forze di polizia dipende sempre di più dalla disponibilità di informazioni in possesso di terzi. La direttiva 2006/24/CE ⁽²²⁾ può essere vista come la migliore illustrazione di questa tendenza: essa obbliga i fornitori di comunicazioni elettroniche a conservare (più a lungo) i dati che hanno raccolto (e conservato) a fini commerciali, ai fini dell'applicazione della legge. Secondo il GEPD dovrebbe essere pienamente assicurato che i dati personali raccolti e trattati nel campo di applicazione della direttiva siano adeguatamente protetti quando sono utilizzati a fini di interesse pubblico, in particolare per la sicurezza o la lotta al terrorismo. In taluni casi, tuttavia, gli scopi citati da ultimo possono esulare dal campo di applicazione della direttiva.

51. Queste osservazioni conducono ai seguenti suggerimenti per la Commissione:

— È necessaria una ulteriore riflessione sulle implicazioni, per la protezione dei dati, del coinvolgimento delle società private nelle attività di applicazione della legge, al fine di assicurare che i principi della direttiva 95/46/CE siano pienamente applicabili a queste situazioni e che nessuna lacuna incida sul diritto fondamentale dei cittadini alla protezione dei dati. In particolare dovrebbe essere assicurato che i dati personali raccolti nel campo di applicazione della direttiva siano adeguatamente e coerentemente protetti anche quando trattati ulteriormente a fini di interesse pubblico, sia che rientrino o meno nel campo di applicazione della direttiva.

— Questa riflessione dovrebbe includere in ogni caso le carenze dell'attuale quadro giuridico, in cui il confine tra il primo e il terzo pilastro non è chiaro e in cui potrebbero esserci anche situazioni in cui non esiste una base adeguata per uno strumento giuridico per la protezione dei dati ⁽²³⁾.

— L'articolo 13 della direttiva, che consente deroghe e restrizioni ai principi della protezione dei dati quando questo è necessario, tra l'altro, a fini di interesse pubblico, dovrebbe essere strutturato in modo da preservare il suo effetto utile quale cruciale interfaccia e garanzia per i dati personali raccolti nel campo di applicazione della direttiva, in linea con la sentenza della Corte di giustizia in Österreichischer Rundfunk ⁽²⁴⁾ e la giurisprudenza della CEDU.

— Dovrebbe essere considerata la possibilità di proporre normative volte ad armonizzare le condizioni e le garanzie per l'uso delle deroghe dell'articolo 13.

E. La possibile situazione nel trattato di riforma

52. Nella comunicazione la Commissione accenna all'impatto — enorme — del trattato costituzionale nel campo della protezione dei dati. In effetti il trattato — che è ora il trattato di riforma — sarà di importanza cruciale in questo campo. Il trattato rappresenterà la fine della struttura per pilastri, la disposizione sulla protezione dei dati (attualmente l'articolo 286 del trattato CE) sarà chiarita e la Carta dei diritti fondamentali dell'Unione europea, che include all'articolo 8 una disposizione sulla protezione dei dati, diventerà uno strumento vincolante.

53. Il mandato per la conferenza intergovernativa (CIG) attribuisce specifica attenzione alla protezione dei dati. Il punto 19, lettera f), fa sostanzialmente tre affermazioni: in primo luogo, le norme generali sulla protezione dei dati faranno salve le norme specifiche adottate nel titolo sulla PESC (l'attuale secondo pilastro); in secondo luogo, sarà adottata una dichiarazione relativa alla protezione dei dati personali nei settori della cooperazione di polizia e giudiziaria in materia penale (l'attuale terzo pilastro) e, in terzo luogo, saranno adottati punti specifici nei protocolli pertinenti sulla posizione di singoli Stati membri (questo elemento è principalmente collegato alla posizione specifica del Regno Unito per quanto riguarda la cooperazione di polizia e giudiziaria in materia penale).

54. È il secondo elemento (la dichiarazione) che dovrà essere chiarito nella CIG. Le conseguenze della fine della struttura per pilastri e la possibile applicabilità della direttiva alla cooperazione di polizia e giudiziaria in materia penale devono essere debitamente prese in considerazione, in modo da assicurare l'applicazione più ampia possibile dei principi in materia di protezione dei dati contenuti nella direttiva. Non è qui il caso di scendere in ulteriori dettagli sulla questione. Il GEPD ha presentato suggerimenti per la dichiarazione in una lettera inviata alla presidenza della CIG ⁽²⁵⁾.

VI. STRUMENTI PER UNA MIGLIORE APPLICAZIONE

A. In generale

55. La comunicazione fa riferimento ad una serie di strumenti ed azioni che possono essere usati per una migliore applicazione della direttiva nel futuro. Il GEPD desidera formulare delle osservazioni su di essi, pur esplorando anche altri strumenti supplementari non citati nella comunicazione.

B. Normativa settoriale

56. in taluni casi, può rendersi necessaria un'azione legislativa specifica a livello dell'UE. In particolare la normativa settoriale può dimostrarsi necessaria per adeguare i principi della direttiva alle questioni sollevate da talune tecnologie, come è stato nel caso delle direttive sulla vita privata nel settore delle telecomunicazioni. Il ricorso a normativa specifica dovrebbe essere considerato attentamente in settori come l'uso delle tecnologie RFID.

C. Procedure d'infrazione

57. Lo strumento più efficace cui si fa riferimento nella comunicazione è la procedura d'infrazione. La comunicazione individua un unico settore specifico di interesse, precisamente l'indipendenza delle autorità per la protezione dei dati e i loro poteri, e cita altri settori solo in termini generali.

Il GEPD è del parere che le procedure d'infrazione rappresentino uno strumento essenziale e inevitabile, qualora gli Stati membri non prevedano un'attuazione completa della direttiva, soprattutto tenendo conto che sono trascorsi quasi nove anni dal termine di attuazione della direttiva stessa e che il dialogo strutturato contemplato dal programma di lavoro ha già avuto luogo. Tuttavia, fino a oggi, nessun caso di infrazione della direttiva 95/46 è stato ancora presentato dinanzi alla Corte di giustizia.

58. Un'analisi comparativa di tutti i casi in cui si sospetta vi sia stato un recepimento errato o incompleto ⁽²⁶⁾, nonché una comunicazione interpretativa possono certamente migliorare la coerenza del ruolo della Commissione in qualità di custode dei trattati. Tuttavia, la preparazione di questi strumenti, che potrebbe richiedere una certa quantità di tempo e di impegno, non dovrebbe ritardare le procedure d'infrazione in quei settori in cui la Commissione ha già chiaramente individuato un recepimento o una pratica errati.

59. Pertanto, il GEPD invita la Commissione a perseguire una migliore attuazione della direttiva tramite le procedure d'infrazione, qualora necessario. In tale contesto, il GEPD si avvarrà dei suoi poteri di intervento dinanzi alla Corte di giustizia al fine di partecipare, se necessario, alle procedure d'infrazione in relazione all'attuazione della direttiva 95/46 o ad altri strumenti giuridici nel settore delle protezione dei dati personali.

D. Comunicazione interpretativa

60. La comunicazione rimanda anche a una comunicazione interpretativa su talune disposizioni in cui la Commissione preciserà la sua interpretazione di disposizioni della direttiva la cui attuazione sia ritenuta problematica e possa pertanto dar luogo a procedure d'infrazione. Il GEPD si compiace che in questo contesto la Commissione terrà conto dei lavori di interpretazione effettuati dal Gruppo. È infatti fondamentale tenere debitamente conto della posizione del Gruppo al momento di redigere l'imminente comunicazione interpretativa e consultare opportunamente lo stesso Gruppo al fine di includerne l'esperienza nell'applicazione della direttiva a livello nazionale.

61. Inoltre il GEPD conferma la sua disponibilità a fornire consulenza alla Commissione in tutte le questioni collegate alla protezione dei dati personali. Questo vale anche per quegli strumenti, come le comunicazioni della Commissione, che non sono vincolanti ma sono comunque volti a definire la linea politica della Commissione nel settore della protezione dei dati personali. Nel caso delle comunicazioni, affinché questo ruolo consultivo sia efficace, la consultazione del GEPD dovrebbe avvenire anteriormente all'adozione della comunicazione interpretativa ⁽²⁷⁾. Il ruolo consultivo sia del Gruppo dell'articolo 29 che del GEPD fornirà valore aggiunto a questa comunicazione, pur preservando l'indipendenza della Commissione nel decidere autonomamente sull'avvio formale di procedure d'infrazione in relazione all'attuazione della direttiva.

62. Il GEPD si compiace che la comunicazione tratterà solo un numero ristretto di articoli, permettendo così di concentrare l'attenzione sulle questioni più sensibili. In questa prospettiva, il GEPD attira l'attenzione della Commissione sulle questioni di seguito illustrate, che meritano un trattamento speciale nella comunicazione interpretativa:

— il concetto di dati personali ⁽²⁸⁾,

— la definizione del ruolo di responsabile o di incaricato del trattamento,

— la determinazione del diritto applicabile,

— il principio di limitazione delle finalità e l'uso incompatibile,

— le basi giuridiche del trattamento, soprattutto in relazione al consenso inequivocabile e all'equilibrio di interessi.

E. Altri strumenti, non vincolanti

63. Altri strumenti, non vincolanti, dovrebbero sviluppare in modo proattivo il rispetto dei principi della protezione dei dati, in particolare nei nuovi ambienti tecnologici. Queste misure dovrebbero basarsi sul concetto di «privacy by design», garantendo che l'architettura delle nuove tecnologie sia sviluppata e costruita tenendo adeguatamente conto dei principi della protezione dei dati. La promozione di prodotti tecnologici rispettosi della vita privata dovrebbe essere un elemento fondamentale in un contesto in cui i sistemi di elaborazione ubiqui («ubiquitous computing») stanno progredendo rapidamente.

64. Strettamente connessa è la necessità di estendere la serie dei soggetti preposti all'applicazione della legislazione sulla protezione dei dati. Da una parte, il GEPD sostiene fortemente il ruolo fondamentale delle autorità responsabili della protezione dei dati nell'applicare i principi della direttiva, avvalendosi pienamente dei loro poteri nonché delle possibilità di coordinamento nell'ambito del Gruppo dell'articolo 29. Una più efficace applicazione della direttiva è anche uno degli obiettivi dell' «iniziativa di Londra».

65. Dall'altra, il GEPD evidenzia l'opportunità di promuovere l'applicazione privata dei principi della protezione dei dati tramite l'autoregolamentazione e la concorrenza. Il settore industriale dovrebbe essere incoraggiato ad attuare i principi della protezione dei dati e a competere nello sviluppo di prodotti e servizi rispettosi della vita privata quale modo di espandere la propria posizione sul mercato rispondendo meglio alle aspettative dei consumatori attenti alla tutela della vita privata. In tale contesto un valido esempio può essere rinvenuto nei marchi di certificazione («privacy seals»), che potrebbero essere apposti su prodotti e servizi già sottoposti a una procedura di certificazione ⁽²⁹⁾

66. Il GEPD vorrebbe inoltre attirare l'attenzione della Commissione su altri strumenti i quali, sebbene non siano menzionati nella comunicazione, potrebbero risultare utili per una migliore attuazione della direttiva. Esempi di tali strumenti che potrebbero aiutare le autorità per la protezione dei dati ad applicare meglio la pertinente legislazione sono:

— il benchmarking,

— la promozione e lo scambio delle migliori pratiche,

— gli audit sulla privacy da parte di terzi.

F. Altri strumenti, a più lungo termine

67. In ultimo, il GEPD rimanda ad altri strumenti che non sono trattati nella comunicazione, ma che potrebbero essere presi in considerazione per una futura modifica della direttiva o inclusi in altra legislazione orizzontale, in particolare:

— le azioni collettive, che autorizzano gruppi di cittadini a ricorrere congiuntamente all'azione legale in materie concernenti la protezione dei dati personali, potrebbero costituire uno strumento molto efficace per facilitare l'applicazione della direttiva,

— le azioni avviate da persone giuridiche le cui attività sono volte a proteggere gli interessi di talune categorie di persone, come associazioni di consumatori e sindacati, potrebbero avere un effetto analogo,

— l'obbligo per i controllori dei dati di notificare agli interessati le violazioni della sicurezza rappresenterebbero non solo una preziosa garanzia, ma anche un modo per sensibilizzare i cittadini,

— le disposizioni che agevolano l'utilizzo dei marchi di certificazione («privacy seals») o gli audit sulla privacy da parte di terzi (vedansi i punti 65 e 66) in un contesto transnazionale.

G. Migliore definizione delle responsabilità degli attori istituzionali, in particolare del Gruppo

68. Le responsabilità in relazione all'attuazione della direttiva incombono a differenti attori istituzionali. Le autorità di controllo negli Stati membri sono, ai sensi dell'articolo 28 della direttiva, incaricate di sorvegliare l'applicazione delle disposizioni nazionali di attuazione che recepiscono la direttiva stessa negli Stati membri. L'articolo 29 presenta il Gruppo delle autorità di controllo mentre l'articolo 30 ne enumera i compiti. A norma dell'articolo 31 un comitato dei rappresentanti dei governi degli Stati membri assiste la Commissione in relazione alle misure di attuazione a livello comunitario (un comitato del tipo previsto dalla comitatologia)

69. Sussiste la necessità di definire meglio le responsabilità dei differenti attori, in particolare in relazione al Gruppo e alle sue attività. L'articolo 30, paragrafo 1, elenca quattro compiti del Gruppo che possono essere riassunti nell'esaminare l'applicazione della direttiva a livello nazionale ai fini dell'uniformità e nel fornire pareri sugli sviluppi a livello comunitario: livello di tutela, proposte legislative e codici di condotta. Questo elenco mostra la vasta responsabilità del Gruppo nel settore della protezione dei dati, che è inoltre illustrata nei documenti prodotti dal Gruppo stesso nel corso degli anni.

70. Secondo la comunicazione, il Gruppo «è un elemento chiave per garantire un'attuazione migliore e più coerente».

Il GEPD sottoscrive pienamente tale dichiarazione, ma reputa inoltre necessario precisare alcuni elementi specifici delle responsabilità.

71. In primo luogo, la comunicazione esorta a migliorare il contributo del Gruppo, in quanto le autorità nazionali dovrebbero cercare di adattare le loro pratiche nazionali alla linea comune ⁽³⁰⁾. Il GEPD accoglie con favore l'intenzione di questa dichiarazione, mette però in guardia da una confusione di responsabilità. Spetta alla Commissione, a norma dell'articolo 211 del trattato CE, monitorare il rispetto negli Stati membri, compreso il rispetto da parte delle autorità di controllo. Il Gruppo quale consulente indipendente non può essere ritenuto responsabile dell'applicazione dei suoi pareri da parte delle autorità nazionali.

72. In secondo luogo, la Commissione deve essere consapevole dei differenti ruoli da essa rivestiti in seno al Gruppo, in quanto non è soltanto un membro del Gruppo, ma vi assicura anche le funzioni di segretariato. Nell'esercizio del ruolo di segretariato, essa deve sostenere il Gruppo in modo che lo stesso possa lavorare in modo indipendente.

Da ciò scaturiscono principalmente due riflessioni: la Commissione deve fornire le risorse necessarie e il segretariato deve lavorare seguendo le istruzioni del Gruppo e del suo presidente riguardo al contenuto e alle finalità delle attività del Gruppo stesso nonché riguardo alla natura del suo contributo. Più in generale, le attività della Commissione nell'assolvimento dei suoi altri doveri a norma del diritto CE non dovrebbero incidere sulla sua disponibilità a svolgere le funzioni di segretariato.

73. In terzo luogo, sebbene la scelta delle priorità del Gruppo sia a discrezione del Gruppo stesso, la Commissione potrebbe suggerire i risultati che si aspetta dal Gruppo e le modalità secondo cui, a suo parere, possono essere utilizzate al meglio le risorse disponibili.

74. In quarto luogo, il GEPD deplora il fatto che la comunicazione non fornisca indicazioni precise circa la suddivisione dei ruoli tra la Commissione e il Gruppo. Invita la Commissione a sottoporre al Gruppo un documento contenente tali indicazioni. Il GEPD suggerisce di includere nel suddetto documento le questioni illustrate di seguito.

— La Commissione potrebbe chiedere al Gruppo di lavorare su un certo numero di questioni concrete e specifiche.

Le richieste della Commissione dovrebbero basarsi su una strategia precisa dei compiti e delle priorità del Gruppo.

— Il Gruppo fissa le sue priorità in un programma di lavoro con priorità precise.

— Eventualmente, la Commissione e il Gruppo potrebbero stabilire le proprie disposizioni in un protocollo d'intesa.

— È fondamentale che il Gruppo sia interamente coinvolto nell'interpretazione della direttiva e alimenti le discussioni che precedono eventuali modifiche della direttiva stessa.

VII. CONCLUSIONI

75. Il GEPD condivide la conclusione centrale della Commissione secondo cui la direttiva non dovrebbe essere modificata a breve termine. Questa conclusione potrebbe essere rafforzata tenendo conto anche della natura della direttiva e della politica legislativa dell'Unione.

76. Il GEPD parte dalle seguenti considerazioni:

— a breve termine, è meglio impiegare le risorse per migliorare l'attuazione della direttiva,

— a più lungo termine, delle modifiche della direttiva sembrano inevitabili,

— si dovrebbe fissare fin d'ora una data precisa per la revisione per elaborare proposte intese ad apportare tali modifiche. Questa scadenza costituirebbe un chiaro incentivo per iniziare già ora le riflessioni sui futuri cambiamenti.

77. Gli elementi principali delle future modifiche includono:

— nessuna esigenza di nuovi principi, ma una chiara necessità di altre disposizioni amministrative,

— il vasto campo di applicazione della legislazione sulla protezione dei dati applicabile a tutti gli usi dei dati personali non dovrebbe cambiare,

— la legislazione sulla protezione dei dati dovrebbe permettere un approccio equilibrato nei casi concreti e inoltre dovrebbe consentire alle autorità per la protezione dei dati di fissare delle priorità,

— il sistema dovrebbe applicarsi interamente all'utilizzo dei dati personali ai fini dell'applicazione della legge, sebbene ulteriori misure appropriate possano rendersi necessarie per trattare problemi speciali in questo settore.

78. IL GEPD suggerisce che la Commissione precisi: un calendario per le attività di cui al capitolo 3 della comunicazione; un termine per la successiva relazione sull'applicazione della direttiva; termini di riferimento per valutare la realizzazione delle attività previste; indicazioni sul modo di procedere a più lungo termine.

79. Il GEPD accoglie favorevolmente l'approccio verso la tecnologia quale prima importante iniziativa e suggerisce di avviare la discussione su un approccio a lungo termine, includendo tra l'altro un dibattito fondamentale sullo sviluppo di una società della sorveglianza. Si compiace inoltre dell'esame in corso della direttiva 2002/58/CE e dell'eventuale necessità di norme più specifiche che permettano di risolvere i problemi di protezione dei dati sollevati dalle nuove tecnologie come Internet o la RFID. Tali azioni dovrebbero tener conto del contesto dinamico nella sua interezza e, in una prospettiva a lungo termine, interessare anche la direttiva 95/46/CE.

80. Il GEPD deplora che la prospettiva di riservatezza e di giurisdizione globale svolga un ruolo limitato nella comunicazione e invita a trovare soluzioni pratiche che riconcilino l'esigenza di protezione dei cittadini europei cui si riferiscono i dati con le limitazioni territoriali dell'Unione europea e dei suoi Stati membri, quali: l'ulteriore sviluppo di un quadro globale per la protezione dei dati; l'ulteriore sviluppo del regime speciale per il trasferimento dei dati verso paesi terzi; accordi internazionali sulla giurisdizione o accordi analoghi con paesi terzi; investimenti in meccanismi per il rispetto globale, come l'utilizzo delle regole societarie vincolanti da parte delle società multinazionali.

Il GEPD invita la Commissione a iniziare a elaborare un'idea su tale prospettiva insieme ai principali soggetti interessati.

81. In materia di applicazione della legge, il GEPD suggerisce alla Commissione quanto segue:

— riflettere ulteriormente sulle implicazioni legate al coinvolgimento di società private nelle attività di applicazione della legge;

— preservare l'effetto utile di cui all'articolo 13 della direttiva, proponendo eventualmente una legislazione volta ad armonizzare le condizioni e le garanzie per utilizzare le deroghe di cui all'articolo 13.

82. Per completa attuazione della direttiva si intende 1) che è garantito che gli Stati membri assolvano interamente i loro obblighi a norma del diritto europeo e 2) che siano interamente utilizzati altri strumenti, non vincolanti, che potrebbero contribuire a un livello elevato e armonizzato della protezione dei dati. Il GEPD chiede alla Commissione di indicare chiaramente il modo in cui utilizzerà i differenti strumenti e in cui distingue le proprie responsabilità da quelle del Gruppo.

83. In relazione a detti strumenti:

— in taluni casi, può rendersi necessaria un'azione legislativa specifica a livello di UE,

— la Commissione è incoraggiata a perseguire una migliore attuazione della direttiva tramite le procedure d'infrazione,

— la Commissione è invitata a utilizzare lo strumento della comunicazione interpretativa — pur rispettando il ruolo consultivo svolto dal Gruppo e dal GEPD — per le questioni di seguito illustrate: il concetto di dati personali; la definizione del ruolo di responsabile o di incaricato del trattamento; la determinazione del diritto applicabile; il principio di limitazione delle finalità e l'uso incompatibile; le basi giuridiche del trattamento, soprattutto in relazione al consenso inequivocabile e all'equilibrio di interessi,

— gli strumenti non vincolanti includono strumenti basati sul concetto della «privacy by design»,

— a più lungo termine anche: azioni collettive; azioni avviate da persone giuridiche le cui attività sono volte a tutelare gli interessi di talune categorie di persone; obblighi per i controllori dei dati di notificare violazioni della sicurezza agli interessati; disposizioni che facilitino l'utilizzo di marchi di certificazione («privacy seals») o audit sulla privacy da parte di terzi in contesti transnazionali.

84. Il GEPD invita la Commissione a presentare al Gruppo un documento in cui siano fornite indicazioni precise sulla suddivisione dei ruoli tra Commissione e Gruppo, comprese le seguenti questioni:

— richieste della Commissione di lavorare su un certo numero di questioni concrete e specifiche sulla base di una chiara strategia dei compiti e delle priorità del Gruppo,

— possibilità di stabilire disposizioni in un protocollo d'intesa,

— completo coinvolgimento del Gruppo nell'interpretazione della direttiva e nelle discussioni che precedono eventuali modifiche della direttiva stessa.

85. Le conseguenze del trattato di riforma devono essere prese in debita considerazione, in modo tale da garantire la più ampia applicazione possibile dei principi della protezione dei dati contenuti nella direttiva. Il GEPD ha presentato suggerimenti in una lettera inviata alla Presidenza della CIG.

Fatto a Bruxelles, addì 25 luglio 2007.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE
(1) GU L 281 del 23.11.1995, pag. 31.

(2) GU L del 12.1.2001, pag. 1.

(3) In appresso: la comunicazione.

(4) In appresso: la direttiva.

(5) Vedasi il punto 37 del presente parere.

(6) Segnatamente, le sentenze della Corte nei casi Lindqvist (cfr. nota in calce 15) e PNR (cfr. nota in calce 17).

(7) Pagina 9, primo paragrafo della comunicazione.

(8) Considerando 11 della direttiva.

(9) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

(10) Vedasi la pagina 11 della comunicazione.

(11) Vedasi la pagina 6 della comunicazione, secondo paragrafo.

(12) Cfr. ad esempio il parere n. 4/2004 sul concetto di dati personali (WP 137) del Gruppo, adottato il 20 giugno 2007.

(13) La task force Internet è un sottogruppo del Gruppo dell'articolo 29.

(14) Cfr., per esempio, le osservazioni sulla comunicazione della Commissione sull'interoperabilità delle basi dati europee, del 10 marzo 2006, pubblicate sul sito web del GEPD.

(15) Cfr.: «Relazione sulla società della sorveglianza», preparata dalla rete di studi sulla sorveglianza per il commissario all'informazione del Regno Unito e presentata alla 28a conferenza internazionale dei commissari in materia di protezione dei dati e della vita privata a Londra il 2-3 novembre 2006 [cfr.: www.privacyconference2006.co.uk (sezione Documents)].

(16) Cfr., per esempio, il documento di lavoro su una interpretazione comune dell'articolo 26, paragrafo 1, della direttiva 95/46/CE, del 24 ottobre 1995, adottato il 25 novembre 2005 (WP114); il documento di lavoro che istituisce una procedura di cooperazione per emettere pareri comuni sulle garanzie adeguate offerte dalle «norme vincolanti d'impresa», adottato il 14 aprile 2005 (WP107) e il parere 8/2003 sul progetto di clausole contrattuali tipo presentato da un gruppo di associazioni di imprese («il contratto tipo alternativo»), adottato il 17 dicembre 2003 (WP84).

(17) Sentenza della Corte del 6 novembre 2003, Causa C-101/01, Racc. [2003], pag. I-12971, punti 56-71.

(18) Cfr. la lettera al direttore generale della Direzione generale giustizia, libertà e sicurezza della Commissione europea sulla comunicazione «Una strategia sulla dimensione esterna dello spazio di libertà, sicurezza e giustizia», del 28 novembre 2005, disponibile sul sito web del GEPD.

(19) Sentenza della Corte del 30 maggio 2006, Parlamento europeo contro Consiglio (C-317/04) e Commissione (C-318/04), cause riunite C-317/04 e C-318/04, Racc. [2006], pagina I-4721.

(20) Convenzione sulla protezione delle persone con riferimento al trattamento automatizzato dei dati di carattere personale del Consiglio d'Europa, del 28 gennaio 1981.

(21) La mancanza di precisione della convenzione n. 108 è stata citata dal GEPD in vari pareri, in relazione alla necessità di una decisione quadro del Consiglio.

(22) Direttiva 2006/24/CE del Parlamento europeo e del Consiglio del 15 marzo 2006 riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GU L 105 del 13.4.2006, pag. 54).

(23) Questione di una «lacuna giuridica», espressa dal GEPD in varie occasioni, principalmente in relazione alla sentenza PNR (cfr. per es. la relazione annuale 2006, pag. 47).

(24) Sentenza della Corte del 20 maggio 2003, cause riunite C-465/00, C-138/01 e C-139/01, Racc. [2003], pag. I-4989.

(25) Cfr. la lettera del GEPD del 23 luglio 2007 inviata alla presidenza della CIG sulla protezione dei dati nel trattato di riforma, disponibile sul sito web del GEPD.

(26) Vedasi la comunicazione, pag. 6.

(27) Vedasi il documento orientativo del GEPD: «Il GEPD in quanto consulente delle istituzioni comunitarie sulle proposte legislative e sui documenti connessi», disponibile presso il sito web del GEPD (punto 5.2 del documento).

(28) Questo argomento era stato trattato anche nel parere n. 4/2007 del Gruppo, citato nella nota in calce 9.

(29) È opportuno rimandare al progetto EuroPriSe, promosso dall'Autorità per la protezione dei dati dello Schleswig Holstein nel quadro del progetto eTen della Commissione europea.

(30) Vedasi la pagina 11 della comunicazione.