Parere del Garante europeo della protezione dei dati (GEPD) sulla proposta di decisione del Consiglio relativa alla posizione dell'Unione in seno al Comitato misto di cooperazione doganale UE-Giappone in materia di riconoscimento reciproco dei programmi di operatore economico autorizzato nell'Unione europea ed in Giappone

GARANTE EUROPEO
DELLA PROTEZIONE DATI PERSONALI

Parere del garante europeo della protezione dei dati sulla proposta di decisione del Consiglio relativa alla posizione dell'Unione in seno al Comitato misto di cooperazione doganale UE-Giappone in materia di riconoscimento reciproco dei programmi di operatore economico autorizzato nell'Unione europea ed in Giappone

(Pubblicato sulla GUCE n. C 190 del 14.7.2010)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il Trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹ ⁾,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ⁽² ⁾, in particolare l'articolo 41,

HA ADOTTATO IL SEGUENTE PARERE

I. INTRODUZIONE

1. Il 19 febbraio 2010, la Commissione ha adottato la proposta di decisione del Consiglio relativa alla posizione dell'Unione in seno al Comitato misto di cooperazione doganale UE-Giappone in materia di riconoscimento reciproco dei programmi di operatore economico autorizzato nell'Unione europea ed in Giappone ⁽³ ⁾.

2. Il GEPD non è stato consultato come previsto dall'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001. Il presente parere si basa pertanto sull’articolo 41, paragrafo 2 del medesimo regolamento. Il GEPD raccomanda di includere nel preambolo della decisione un riferimento al presente parere.

3. Il GEPD ha identificato alcune lacune e una mancanza di chiarezza in relazione alla protezione dei dati personali. Dopo una descrizione del contesto e del quadro della proposta nel capitolo III, i commenti verranno sviluppati nel capitolo IV.

II. CONSULTAZIONE CON IL GEPD

4. Il GEDP ha elaborato un documento orientativo che descrive il suo ruolo consultivo: Il GEPD in quanto consulente delle istituzioni comunitarie sulle proposte legislative e sui documenti connessi ⁽⁴⁾. Questo ruolo consultivo si fonda sugli articoli 28, paragrafo 2 e 41 del regolamento (CE) n. 45/2001. Inoltre, il considerando 17 del regolamento prevede che «l'efficacia della tutela delle persone in relazione al trattamento dei dati personali nell'Unione presuppone la coerenza delle norme e delle procedure applicabili in materia ad attività inserite in quadri giuridici diversi». In effetti la coerenza deve essere considerata un elemento indispensabile per conseguire un grado elevato di protezione dei dati a livello europeo, che includa altresì l'azione esterna dell'Unione.

5. L'ampia responsabilità del GEPD è stata riconosciuta dalla Commissione europea ed è prassi consolidata che il GEPD venga consultato dalla Commissione su tutte le proposte pertinenti, sia su strumenti legislativi che non legislativi. L'oggetto delle funzioni consultive del GEPD riguarda «tutte le questioni relative al trattamento dei dati personali». Ciò implica che tutta la legislazione che includa disposizioni sul trattamento dei dati personali o includa disposizioni che abbiano un effetto (o potenziale effetto) su tale trattamento debba essere soggetta a consultazione. Lo stesso vale per tutti gli strumenti che rientrano nelle competenze esterne dell'Unione.

6. Il documento orientativo descrive inoltre la tempistica della consultazione. Una consultazione nella prima fase del processo legislativo consente al GEDP di agire in modo efficace e di proporre modifiche a un testo. Tale consultazione informale sul progetto di testo deve essere inviata, laddove opportuno, al GEDP dal servizio responsabile della Commissione prima della formale adozione della proposta. Dopo l'adozione della proposta, il secondo passo è costituito dalla consultazione formale. In questa fase, la consulenza fornita dal GEDP è pubblicata nella Gazzetta ufficiale (edizione C).

7. Nel caso della presente proposta, come menzionato in precedenza, il GEDP non ha ricevuto né il progetto di proposta né la proposta per la consultazione dopo la sua adozione. Il GEDP si rammarica della piega che hanno assunto gli eventi giacché, come verrà di seguito spiegato, il suo coinvolgimento avrebbe costituito un'opportunità ideale per aggiungere valore alla proposta stessa.

III. CONTESTO E QUADRO DELLA PROPOSTA

8. Scopo della proposta è riconoscere reciprocamente i programmi di operatore economico autorizzato (AEO) dell'Unione e del Giappone come compatibili ed equivalenti nonché accettare reciprocamente le corrispondenti qualifiche di AEO ottenute.

9. Le relazioni UE-Giappone nel settore doganale sono basate sull'accordo di cooperazione e di assistenza amministrativa reciproca in materia doganale (in appresso «l'accordo») ⁽⁵⁾ entrato in vigore il 1 o febbraio 2008. Secondo l'accordo, la cooperazione doganale riguarda tutte le materie concernenti l'applicazione della normativa doganale. L'accordo sollecita inoltre l'Unione ed il Giappone a fare sforzi di cooperazione al fine di sviluppare attività intese ad agevolare gli scambi nel settore doganale conformemente alle norme internazionali ⁽⁶ ⁾. Il riconoscimento reciproco dei programmi di operatore economico autorizzato (AEO) e delle relative misure di sicurezza è volto sia ad incrementare la sicurezza da un capo all'altro della catena dell'approvvigionamento che a facilitare gli scambi.

10. La proposta prevede altresì, tra l’altro, che le autorità doganali mantengano la compatibilità dei sistemi e che ciascuna autorità doganale conceda vantaggi analoghi agli operatori economici in possesso della qualifica di AEO. Si precisa inoltre che le autorità doganali devono promuovere la comunicazione nonché lo scambio di informazioni. La proposta elenca le informazioni da comunicare relative agli AEO.

IV. ANALISI DELLA PROPOSTA

IV.1. Applicabilità della normativa relativa alla protezione dei dati a carattere personale

11. L'articolo IV dell'allegato della proposta è connesso allo scambio di informazioni e alla comunicazione Si specifica che le informazioni ed i relativi dati, riguardanti in particolare gli aderenti ai programmi, vengono trasmessi sistematicamente in formato elettronico. Vengono menzionate le informazioni da comunicare relative agli operatori economici autorizzati dai programmi AEO tra cui, per esempio, il nome dell'operatore economico autorizzato in possesso della qualifica di AEO, l'indirizzo dell'operatore economico interessato, ecc.

12. Il regime per gli AEO viene stabilito all'articolo 5 bis del regolamento (CE) n. 648/2005 del Parlamento europeo e del Consiglio ⁽⁷ ⁾. Si specifica che «1. (…). Un “operatore economico autorizzato” beneficia di agevolazioni per quanto riguarda i controlli doganali in materia di sicurezza e/o di semplificazioni previste ai sensi della normativa doganale. (…)».

13. L’«operatore economico» viene definito all'articolo 1, punto 12 del regolamento (CE) n. 1875/2006 della Commissione ⁽⁸⁾ come «una persona che, nel corso delle sue attività commerciali, prende parte ad attività disciplinate dalla regolamentazione doganale». Un operatore economico può essere dunque una persona fisica o giuridica. Il concetto di «operatore economico» comprende l'AEO, come definito al paragrafo 9. Dunque le informazioni su alcuni AEO possono essere considerate come «dati personali», come da definizione all'articolo 2, lettera a) del regolamento (CE) n. 45/2001 e della direttiva 95/46/CE, almeno per quanto riguarda le informazioni riguardanti gli AEO rappresentati da persone fisiche. Anche le informazioni sugli AEO persone giuridiche possono, in alcuni casi, essere considerate dati personali. In questi casi il fattore determinante è se le informazioni possono essere ricondotte a una persona fisica identificabile ⁽⁹⁾. Conseguentemente è indubbio che dati personali possano essere trasmessi nell'ambito della proposta in questione.

14. I dati personali saranno trattati dalle autorità doganali. L'articolo I, paragrafo 2 dell'allegato della proposta stabilisce che «le autorità doganali di cui all'articolo 1, lettera c) dell'accordo (…) sono competenti per l'applicazione della presente decisione». Secondo la definizione di riferimento si intende «per “autorità doganale” (…) nella Comunità, i servizi della Commissione delle Comunità europee competenti per le questioni doganali e le autorità doganali degli Stati membri della Comunità». Dunque, sia il regolamento (CE) n. 45/2001 che la direttiva 95/46/CE saranno applicabili al presente quadro ⁽¹⁰ ⁾. Il regolamento (CE) n. 45/2001 si applica al trattamento da parte della Commissione, la direttiva 95/46/CE al trattamento da parte delle autorità doganali nazionali.IT

IV.2. Trasferimenti internazionali di dati personali

15. Sia la direttiva che il regolamento prevedono norme analoghe connesse ai flussi transfrontalieri dei dati personali, rispettivamente agli articoli 25-26 e 9. Il principio ivi stabilito implica che i dati personali non possano essere trasferiti da uno Stato membro a un paese terzo, a meno che quest'ultimo non assicuri un livello adeguato di protezione (o a meno che non vengano adottate salvaguardie adeguate o sia applicabile una delle eccezioni previste).

Dichiarazione di adeguatezza nella proposta

16. La relazione comprende un punto sulla protezione dei dati (punto 5). Il punto 5.1 stabilisce che il regime giapponese di protezione dei dati è adeguato ai sensi dell'articolo 9 del regolamento n. 45/2001. L'articolo 9 si occupa del regime che deve essere rispettato in caso di trasferimento di dati personali a destinatari diversi da istituzioni e da organismi comunitari e non soggetti alla direttiva 95/46/CE, come è il caso di paesi terzi quali il Giappone.

17. L'articolo 9, paragrafo 1 del regolamento stabilisce che «è consentito trasferire dati personali a destinatari che non siano le istituzioni e gli organismi comunitari né siano soggetti alla normativa nazionale adottata in attuazione della direttiva 95/46/CE se nel paese del destinatario o all'interno dell'organizzazione internazionale destinataria è assicurato un livello adeguato di protezione e se il trasferimento dei dati avviene strettamente nell'ambito dei compiti che rientrano nelle competenze del responsabile del trattamento».

18. L'articolo 9, paragrafo 2 stabilisce che l'adeguatezza del livello di protezione garantito dal paese terzo o dall'organizzazione internazionale in questione è valutata tenendo conto di «tutte le circostanze relative ad un'operazione o ad un insieme di operazioni di trasferimento dei dati». Fornisce inoltre alcuni esempi di aspetti da tenere in considerazione nella valutazione: «(…) in particolare sono presi in considerazione la natura dei dati, la finalità e la durata del trattamento previsto, il paese terzo o l'organizzazione internazionale destinatario, la normativa, generale o settoriale, vigente in tale paese o organizzazione internazionale, nonché le regole professionali e le misure di sicurezza osservate in quel paese o dall'organizzazione internazionale». L'elenco non è esaustivo; a seconda delle reali circostanze potrebbero essere pertinenti anche altri elementi.

19. L'articolo 9 del regolamento deve essere interpretato alla luce degli articoli 25 e 26 della direttiva 95/46/CE. L'articolo 25, paragrafo 6 della direttiva stabilisce che «la Commissione può constatare, secondo la procedura di cui all'articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, (…)». Per dichiarare che un paese terzo è «adeguato» dovrà dunque essere rispettata la procedura di comitato prevista all'articolo 31, paragrafo 2 della direttiva.

20. Nell'ambito della presente proposta, questa procedura non è stata rispettata; di conseguenza la dichiarazione di cui al punto 5.1 relativamente all'adeguatezza del regime giapponese di protezione dei dati contravviene all'articolo 25, paragrafo 6 della direttiva. Il GEDP raccomanda pertanto fortemente la cancellazione della presente dichiarazione.

21. Il GEDP riconosce che l'articolo IV, paragrafo 6 dell'allegato della proposta prevede che «le autorità doganali garantiscono la protezione dei dati conformemente all'accordo, in particolare all'articolo 16». L'articolo 16 si occupa di «scambio di informazioni e riservatezza» e il suo paragrafo 2 stabilisce che «i dati personali possono essere trasmessi solo se la Parte contraente che li riceve si impegna a tutelarli in maniera per lo meno equivalente a quella applicabile al caso specifico nella Parte contraente che li fornisce. La Parte contraente che fornisce le informazioni non stipula condizioni più onerose di quelle ad esse applicabili nella sua giurisdizione».

22. Il GEDP desidera tuttavia sottolineare che, come descritto in precedenza, il sistema per analizzare il livello di protezione di un paese terzo è quello dell'«adeguatezza» e non quello dell'«equivalenza» (conf. attuali impegni internazionali dell'Unione) ⁽¹¹ ⁾. Ad ogni modo, l'articolo 16 sembra avere un carattere dichiarativo, giacché non viene fornita nell'accordo alcuna prova dell'esistenza di una reale «equivalenza». Inoltre non fa riferimento alla conduzione di nessuna analisi dell'«equivalenza» o anche dell'«adeguatezza». Dunque la mera dichiarazione di cui all'articolo 16 non può essere considerata un elemento decisivo in una valutazione di adeguatezza e non può costituire la base per dichiarazione di cui al punto 5.1 della relazione.

Una prospettiva più ampia in vista delle specificità del caso

23. Occorre osservare che la valutazione del livello di protezione in un determinato paese può essere condotta a livelli differenti e con effetti giuridici diversi da parte della Commissione europea, delle autorità per la protezione dei dati e dei responsabili del trattamento dei dati. Una determinazione di adeguatezza da parte della Commissione europea sulla base dell'articolo 25, paragrafo 6 della direttiva 95/46/CE è vincolante per gli Stati membri. Questo principio si applica altresì alle istituzioni e agli organismi dell'Unione europea di cui all'articolo 9, paragrafo 5 del regolamento. In assenza di una decisione di questo tipo, la valutazione di adeguatezza è affidata alle autorità per la protezione dei dati di molti Stati membri mentre in altri paesi è affidata ai responsabili del trattamento dei dati, sotto la supervisione delle autorità per la protezione dei dati. L'articolo 9 del regolamento segue chiaramente quest'ultimo modello.

24. Ciò significa che anche se un paese, globalmente, non è stato dichiarato «adeguato» a seguito della procedura menzionata all'articolo 25, paragrafo 6 della direttiva, il regime legale di protezione dei dati applicabile a un'operazione o a un insieme di operazioni di trasferimento dei dati può essere considerato «adeguato» da parte del responsabile del trattamento (nel contesto spiegato in seguito).

25. Ai sensi dell'articolo 9, paragrafo 2 del regolamento (nonché dell'articolo 25, paragrafo 2 della direttiva), il responsabile del trattamento dovrà valutare tutte le circostanze relative ad un'operazione o ad un insieme di operazioni di trasferimento dei dati. L'analisi deve essere condotta in concreto, tenendo in considerazione le caratteristiche specifiche (garanzie e/o rischi) dell'operazione o dell'insieme di operazioni di trasferimento in questione. La presente valutazione arriverà a una conclusione per quanto riguarda il livello esistente di protezione relativo a un'operazione di trasferimento specifica o a un insieme di operazioni di trasferimento e sarà limitata alle finalità prese in considerazione dal responsabile del trattamento e ai beneficiari del paese di destinazione. In tal caso il responsabile del trattamento si assumerà la responsabilità di verificare se sussistono le condizioni di adeguatezza. Una volta che il responsabile del trattamento avrà effettuato l'analisi, la conclusione sarà soggetta alla supervisione dell'autorità per la protezione dei dati.

26. Il punto 5.1 della relazione allude al fatto che il regime giapponese considerato è il codice doganale giapponese (articolo 108-2), la legge per l'assistenza internazionale alle indagini e altre disposizioni connesse (articoli 1 e 3), la legge nazionale sul servizio pubblico (articolo 100), la legge sulla protezione dei dati personali detenuti da organismi amministrativi (articolo 8) e la legge relativa all'accesso alle informazioni detenute da organismi amministrativi (articolo 5).

27. Non è stata fornita al GEDP prova che il presente regime sia stato valutato alla luce del documento di lavoro del gruppo di lavoro dell'articolo 29 (WP12) sul «Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati» e in modo conforme ai principi ivi sanciti ⁽¹² ⁾.

28. Occorre ricordare che il metodo dell'adeguatezza implica che debbano essere presi in considerazione sia il disposto sia la prassi della normativa (approccio oggettivo e funzionale). Ne consegue che la considerazione del presente regime giuridico in sé non costituisce prova sufficiente della pratica attuazione delle norme

29. Ciò significa che prima che sia possibile determinare se viene garantito effettivamente un livello adeguato di protezione per l'operazione o l'insieme di operazioni di trasferimento dei dati in questione, in questo caso per lo scambio di informazioni nell'ambito dei programmi AEO, deve essere condotta una verifica della reale attuazione e applicazione di queste norme in pratica.

30. Alla luce di questo, i responsabili del trattamento (in questo caso i servizi competenti della Commissione europea responsabili di questioni doganali degli Stati membri dell'Unione) devono condurre una valutazione al fine di verificare se un paese di destinazione (in questo caso il Giappone) garantisce effettivamente un livello adeguato di protezione per le specifiche operazioni di trasferimento in questione e che sia limitato alle finalità specifiche e ai destinatari di tale paese ⁽¹³⁾ (vale a dire lo scambio di dati per l'attuazione dei programmi AEO). Tuttavia tale valutazione non è stata condotta.

31. La proposta avrebbe potuto seguire il presente approccio come alternativa alla procedura di «adeguatezza» del Giappone descritta in precedenza.

Altre alternative

32. La proposta avrebbe potuto altresì valutare se i responsabili del trattamento potevano offrire altri tipi di «garanzie sufficienti», in base all'articolo 9, paragrafo 7 del regolamento e all'articolo 26, paragrafo 2 della direttiva e se poteva essere applicata una delle eccezioni menzionate all'articolo 9, paragrafo 6 del regolamento o all'articolo 26, paragrafo 1 della direttiva ⁽¹⁴ ⁾.

IV.3. Prescrizioni aggiuntive relative alla protezione dei dati a carattere personale

Qualità dei dati

33. Il principio della qualità dei dati viene descritto all'articolo 4 del regolamento. Quest'ultimo chiarisce, tra gli altri requisiti, che «[i] dati personali devono essere: (…) c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono raccolti o successivamente trattati; (…)». Le categorie di dati di cui all'articolo IV, paragrafo 4 sembrano rispettare tale principio.

34. Inoltre, l'articolo 4 del regolamento stabilisce quanto segue: «[i] dati personali devono essere: (…) e) conservati in modo da consentire l'identificazione degli interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono raccolti o successivamente trattati. (…)». Occorrerà pertanto definire un periodo di conservazione dei dati personali da trattare.

Diritti delle persone interessate

35. La Commissione dovrà fornire meccanismi per garantire l'esercizio dei diritti delle persone interessate, quali il diritto di accesso e di rettifica (articoli 13 e 14 del regolamento).

Obbligo di fornire le informazioni

36. Gli articoli 11 e 12 del regolamento prevedono che vengano fornite all'interessato le informazioni che lo riguardano e che vengano specificati i tempi per queste informazioni. La Commissione dovrà stabilire la procedura da seguire stabilendo, per esempio, se le informazioni saranno fornite al momento della raccolta dei dati dal paese terzo o dalla stessa Commissione.

V. CONCLUSIONI E RACCOMANDAZIONI

37. Il GEDP si rammarica del fatto che la procedura di consultazione descritta al capitolo II non sia stata rispettata.

38. Il GEDP raccomanda di cancellare la dichiarazione di adeguatezza del regime giapponese inserita al punto 5.1 della relazione, giacché la stessa non soddisfa le disposizioni del regolamento (CE) 45/2001 e della direttiva 95/46/CE. Raccomanda inoltre di prendere in considerazione le diverse possibilità offerte dal regolamento e dalla direttiva al fine di assicurare il rispetto delle norme in materia di trasferimenti internazionali.

39. Il GEDP raccomanda inoltre alla Commissione di:

— definire un periodo di conservazione per il trattamento dei dati personali;

— fornire un meccanismo che garantisca l'esercizio dei diritti delle persone interessate;

— stabilire una procedura per fornire le informazioni alle persone interessate.

Fatto a Bruxelles, il 12 marzo 2010.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

( 1 ) GU L 281 del 23.11.1995, pag. 31.

( 2 ) GU L 8 del 12.1.2001, pag. 1.

( 3 ) COM(2010) 55 definitivo.

( 4 ) Il documento orientativo è disponibile al seguente indirizzo:

http:// www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/ Documents/EDPS/Publications/Papers/PolicyP/05-03-18_PP_ EDPSadvisor_IT.pdf

( 5 ) GU L 62 del 6.3.2008, pag. 24.

( 6 ) Articolo 4 dell'accordo.

( 7 ) GU L 117 del 4.5.2005, pag. 13.

( 8 ) GU L 360 del 19.12.2006,pag. 64.

( 9 ) Cfr. Gruppo di lavoro per la protezione dei dati personali istituito a norma dell'articolo 29, Parere n. 4/2007 sul concetto di dati personali, WP 136, disponibile al seguente indirizzo: http://ec.europa.eu/ justice_home/fsj/privacy/docs/wpdocs/2007/wp136_it.pdf , in particolare pagine 23 e 24.

( 10 ) Articolo 3, paragrafo 1 del regolamento (CE) n. 45/2001 e direttiva 95/46/CE.

( 11 ) Cfr. articolo XIV del GATS: «Fermo restando l'obbligo di non applicare i provvedimenti in maniera da causare discriminazioni arbitrarie o ingiustificate tra paesi dove vigono condizioni analoghe, ovvero restrizioni dissimulate agli scambi di servizi, nulla di quanto contenuto nel presente accordo è inteso ad impedire l'adozione o l'applicazione da parte dei membri di misure: (…) c) necessarie per garantire l'osservanza di leggi e regolamenti che non siano incompatibili con le disposizioni del presente articolo, ivi compresi quelli relativi: (…) ii) alla tutela della vita privata di persone fisiche in relazione all'elaborazione e alla diffusione di dati personali nonché alla protezione della riservatezza di registri e documenti contabili di persone fisiche; (…)».

( 12 ) Cfr. documento di lavoro del Gruppo per la protezione dei dati personali istituito a norma dell'articolo 29, «Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati», disponibile al seguente indirizzo: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/ 1998/wp12_it.pdf

( 13 ) Un'interpretazione simile è stata fornita dal GEDP nell'ambito di una consultazione ricevuta dall'OLAF sul «Trasferimento di dati personali verso paesi terzi: “l'adeguatezza” dei firmatari della Convenzione 118 del Consiglio di Europa (causa 2009-0333)», disponibile al seguente indirizzo: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/ shared/Documents/Supervision/Adminmeasures/2009/09-07-02_ OLAF_transfer_third_countries_EN.pdf

( 14 ) Per quanto riguarda l'articolo 26, paragrafo 1 della direttiva, cfr. Gruppo di lavoro articolo 29 per la protezione dei dati personali, Documento di lavoro su un'interpretazione comune dell'articolo 26, paragrafo 1 della direttiva 95/46/CE, WP114, disponibile al seguente indirizzo: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/ 2005/wp114_it.pdf