Parere del Garante europeo della protezione dei dati (GEPD) sullaproposta di direttiva del Consiglio che stabilisce l'obbligo per gli Stati membri di mantenere un livello minimo di scorte di petrolio greggio e/o di prodotti petroliferi

GARANTE EUROPEO
DELLA PROTEZIONE DATI PERSONALI

Parere del Garante europeo della protezione dei dati (GEPD)sulla proposta di direttiva del Consiglio che stabilisce l'obbligo per gliStati membri di mantenere un livello minimo di scorte di petrolio greggio e/odi prodotti petroliferi

(Pubblicato sulla GUUE n. C 128 del 6.6.2009)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

vistoil trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vistala carta dei diritti fondamentali dell'Unione europea, in particolarel'articolo 8,

vistala direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre1995, relativa alla tutela delle persone fisiche con riguardo al trattamentodei dati personali, nonché alla libera circolazione di tali dati⁽¹⁾,

vistoil regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18dicembre 2000, concernente la tutela delle persone fisiche in relazione altrattamento dei dati personali da parte delle istituzioni e degli organismicomunitari, nonché la libera circolazione di tali dati, in particolare l'articolo41 ⁽²⁾, vista la richiesta di parere a norma dell'articolo 28,paragrafo 2, del regolamento (CE) n. 45/2001 trasmessa al GEPD il 14 novembre2008,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1.Il 13 novembre 2008 la Commissione ha adottato una proposta di direttiva delConsiglio che stabilisce l'obbligo per gli Stati membri di mantenere un livellominimo di scorte di petrolio greggio e/o di prodotti petroliferi (in prosieguo «laproposta») ^{( 3 )}.

2.La proposta è intesa ad assicurare un livello elevato di sicurezzadell'approvvigionamento di petrolio nella Comunità, grazie a meccanismiaffidabili e trasparenti basati sulla solidarietà tra Stati membri, a mantenereun livello minimo di scorte di petrolio e di prodotti petroliferi oltre che adispiegare i mezzi procedurali necessari per rimediare a un'eventualesituazione di grave penuria.

3.Il 14 novembre 2008 la proposta è stata trasmessa dalla Commissione al GEPD perconsultazione, a norma dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001.Il GEPD si compiace di essere stato consultato sulla questione e prende attodel riferimento a tale consultazione che figura nel preambolo della proposta,in conformità dell'articolo 28 del regolamento (CE) n. 45/2001.

4.Prima dell'adozione della proposta, la Commissione ha consultato in manierainformale il GEPD su uno specifico articolo del progetto di proposta (l'attualearticolo 19); il GEPD se ne è compiaciuto poiché ha avuto così modo diformulare suggerimenti prima dell'adozione della proposta da parte dellaCommissione.

II. ANALISI DELLA PROPOSTA

Analisi generale

5. La questione in esameè un buon esempio della necessità di tenere costantemente presenti le normesulla protezione dei dati. In una situazione che riguarda gli Stati membri e l'obbligoche incombe loro di mantenere scorte di sicurezza di petrolio, detenute per lopiù da persone giuridiche, il trattamento dei dati personali non ènecessariamente in primo piano; tuttavia, pur non essendo di per sé previsto,può comunque avere luogo. Sarebbe in ogni caso opportuno tenere conto dellaprobabilità che il trattamento di dati personali abbia luogo e agire diconseguenza.

6.Nella versione attuale, la direttiva prevede sostanzialmente due attività chepotrebbero comportare il trattamento di dati personali. La prima riguarda laraccolta da parte degli Stati membri di informazioni relative alle scortepetrolifere e il successivo trasferimento di queste informazioni allaCommissione. La seconda riguarda il potere della Commissione di effettuarecontrolli negli Stati membri. Tra le informazioni da raccogliere riguardo aiproprietari delle scorte petrolifere vi potrebbero essere dati personali, qualinominativi e recapiti dei direttori delle società. La raccolta e il successivotrasferimento alla Commissione di tali informazioni costituirebbero pertantotrattamento di dati personali e renderebbero applicabile la legislazionenazionale che dà attuazione alle disposizioni della direttiva 95/46/CE o alledisposizioni del regolamento (CE) n. 45/2001, a seconda del soggetto cheeffettua di fatto il trattamento dei dati. Anche il conferimento allaCommissione del potere di effettuare controlli sulle scorte di sicurezza negliStati membri, che comprende il potere di raccogliere informazioni in generale,potrebbe comportare la raccolta e quindi il trattamento di dati personali.

7. Nel corso della consultazioneinformale, che si è limitata unicamente alla disposizione relativa al potered'indagine della Commissione, il GEPD ha consigliato alla Commissione distabilire se il trattamento di dati personali nel contesto di un'indaginecondotta dalla Commissione sarebbe solo incidentale oppure se verrebbeeffettuato regolarmente e se sarebbe funzionale all'indagine. Sulla scorta deirisultati di questa valutazione sono stati proposti due approcci.

8. Se il trattamento di dati personalinon è previsto e sarebbe pertanto puramente incidentale, il GEPD haraccomandato, in primo luogo, di escludere esplicitamente il trattamento deidati personali dagli scopi delle indagini della Commissione e, in secondoluogo, di stabilire che i dati personali nei quali la Commissione si dovesseimbattere nel corso delle indagini non sarebbero raccolti né presi inconsiderazione e, in caso di raccolta accidentale, sarebbero immediatamentedistrutti. Come clausola di sicurezza generale, il GEPD suggerisce inoltre diaggiungere una disposizione che stabilisce che la direttiva non pregiudica lenorme sulla protezione dei dati di cui alla direttiva 95/46/CE e al regolamento(CE) n. 45/2001.

9. Se, invece, è previsto che iltrattamento dei dati avvenga regolarmente nel contesto di un'indagine dellaCommissione, il GEPD ha raccomandato alla Commissione di inserire un testo cherispecchi il risultato di un'adeguata valutazione in merito alla protezione deidati. Il testo potrebbe includere i seguenti elementi: I) lo scopo effettivodel trattamento dei dati, II) la necessità del trattamento dei dati perraggiungere tale scopo e III) la proporzionalità del trattamento dei dati.

10. Sebbene il parere informale del GEPDriguardasse soltanto il potere d'indagine della Commissione, le osservazionidel garante si applicano anche all'altra principale attività illustrata nellaproposta di direttiva, vale a dire la raccolta e il trasferimento allaCommissione delle informazioni da parte degli Stati membri.

11. La versione definitiva della propostadi direttiva indica chiaramente che la Commissione ha concluso che ai finidella direttiva non è previsto alcun trattamento di dati personali. Il GEPDconstata con soddisfazione che la proposta rispecchia pienamente il primoapproccio da lui prospettato.

12. Il GEPD sostiene pertanto il modo concui la Commissione ha assicurato la conformità con le norme sulla protezionedei dati nella proposta di direttiva. Nel seguito del presente parere sarannofornite solo alcune raccomandazioni su aspetti di dettaglio. Osservazioni sualcuni aspetti di dettaglio

13. L'articolo 15 della proposta didirettiva riguarda l'obbligo per gli Stati membri di trasmettere allaCommissione rilevazioni statistiche settimanali relative al livello dellescorte commerciali detenute sul loro territorio nazionale. Tali informazionicontengono di norma pochi dati di carattere personale. Potrebbero tuttaviacontenere ragguagli sulle persone fisiche cui appartengono le scortepetrolifere o che lavorano per una persona giuridica cui appartengono lescorte. Per evitare che gli Stati membri forniscano alla Commissione taliinformazioni l'articolo 15, paragrafo 1 stabilisce che, qualora gli Statimembri lo facciano, devono evitare «di menzionare i nominativi dei proprietaridelle scorte in questione». Sebbene occorra essere consapevoli del fatto chel'omissione di un nominativo non dà sempre luogo a dati che non possono esserericollegati a una persona fisica, nella situazione attuale (rilevazionistatistiche dei livelli delle scorte petrolifere) questa frase aggiuntivasembra essere sufficiente ad assicurare che non avvenga alcun trasferimento didati personali alla Commissione.

14. Il potere d'indagine dellaCommissione è stabilito all'articolo 19 della proposta di direttiva. L'articoloindica chiaramente che la Commissione ha seguito il primo approccio illustratonel precedente punto 8. Secondo tale articolo gli obiettivi dei controllieffettuati dalla Commissione non contemplano la raccolta di dati personali. E,anche se la Commissione si imbattesse in tali dati, questi non potrebberoessere presi in considerazione e, in caso di raccolta accidentale, dovrebberoessere distrutti. Per allineare la formulazione con quella utilizzata nellalegislazione in materia di protezione dei dati e al fine di evitare qualunquemalinteso, il GEPD raccomanda di sostituire i termini «la raccolta» nella primafrase del paragrafo 2 con i termini «il trattamento».

15. Il GEPD constata con soddisfazioneche la proposta comprende anche una clausola di sicurezza generale sullapertinente legislazione in materia di protezione dei dati. L'articolo 20ricorda agli Stati membri così come alla Commissione e agli altri organismicomunitari gli obblighi che incombono loro rispettivamente in virtù della direttiva95/46/CE e del regolamento (CE) n. 45/2001. Nell'articolo si sottolineanoaltresì i diritti che queste norme conferiscono agli interessati, come ildiritto a opporsi al trattamento dei dati che li riguardano, il diritto diaccesso a tali dati e il diritto di far rettificare tali dati in caso diinesattezza. Si potrebbe forse formulare un'osservazione sul posizionamento ditale disposizione nella proposta. Trattandosi di una disposizione di caratteregenerale, non è limitata unicamente al potere d'indagine della Commissione. IlGEPD raccomanda pertanto di spostare l'articolo, collocandolo nella prima partedella direttiva, per esempio dopo l'articolo 2.

16. Anche il considerando 25 contiene unrimando alla direttiva 95/46/CE e al regolamento (CE) n. 45/2001. L'obiettivodel considerando è tuttavia assai poco chiaro in quanto vi si fa riferimentoalla legislazione in materia di protezione dei dati unicamente in quanto talema non vi sono ulteriori disposizioni. Il considerando dovrebbe stabilirechiaramente che le disposizioni della direttiva lasciano impregiudicata lalegislazione citata. Inoltre, l'ultima frase del considerando sembrasottintendere che la legislazionein materia di protezione dei dati impongaesplicitamente l'obbligo per i responsabili del trattamento di distruggereimmediatamente i dati accidentalmente raccolti. Pur essendo una possibileconseguenza delle norme in questione, tale legislazione non contiene dettoobbligo. Secondo un principio generale della protezione dei dati, i datipersonali sono conservati per un arco di tempo non superiore a quellonecessario al conseguimento delle finalità per le quali sono rilevati o sonosuccessivamente trattati. Se la prima parte del considerando sarà adattata nelmodo proposto, l'ultima frase diventa superflua. Il GEPD propone pertanto disopprimere l'ultima frase del considerando 25.

III. CONCLUSIONE

17. Il GEPD sostiene il modo con cui laCommissione ha assicurato la conformità con le norme sulla protezione dei datinella proposta di direttiva.

18. Con riguardo ad aspetti di dettaglio,il GEPD raccomanda quanto segue: — di sostituire i termini «la raccolta»nella prima frase dell'articolo 19, paragrafo 2 con i termini «il trattamento»;— di spostare l'articolo 20, che rappresenta la disposizione generale inmateria di protezione dei dati, collocandolo nella prima parte della direttiva,e precisamente subito dopo l'articolo 2; — di aggiungere nel considerando25 un testo che reciti che le disposizioni della direttiva non pregiudicano ledisposizioni della direttiva 95/46/CE e del regolamento (CE) n. 45/2001; —di sopprimere l'ultima frase del considerando 25.

Fatto a Bruxelles, addì 3 febbraio 2009.

Peter HUSTINX

Garante europeo della protezione deidati

NOTE
( 1 ) GU L281 del 23.11.1995, pag. 31.

( 2 ) GU L 8 del 12.1.2001, pag. 1.

( 3 ) COM(2008) 775 definitivo.