Parere del Garante europeo della protezione dei dati (GEPD) sulla proposta di regolamento del Parlamento europeo e del Consiglio riguardante l'iniziativa dei cittadini

Parere del Garante europeo della protezione dei dati sulla proposta di regolamento del Parlamento europeo e del Consiglio riguardante l'iniziativa dei cittadini

(Pubblicato sulla GUUE n. C 323 del 30.11.2010)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16,

vista la Carta dei diritti fondamentali dell’Unione europea, in particolare l’articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹ ⁾,

vista la richiesta di parere a norma dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ⁽² ⁾, inviata al GEPD il 31 marzo 2010,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1. Il 31 marzo 2010, la Commissione ha adottato la proposta di regolamento del Parlamento europeo e del Consiglio riguardante l’iniziativa dei cittadini ⁽³ ⁾, a seguito di una consultazione pubblica sulla materia, svoltasi tra l’11 novembre 2009 e il 31 gennaio 2010 ⁽⁴ ⁾.

2. L’iniziativa dei cittadini rappresenta una delle innumerevoli innovazioni introdotte dal trattato di Lisbona nella legislazione dell’UE; grazie ad essa, cittadini in numero di almeno un milione, che abbiano la cittadinanza di un numero significativo di Stati membri, possono invitare la Commissione a presentare una proposta legislativa. La proposta di regolamento si basa sull’articolo 11, paragrafo 4, del TUE e sull’articolo 24, primo comma, del TFUE. Tali articoli stabiliscono che le procedure e le condizioni necessarie per l’iniziativa dei cittadini devono essere determinate conformemente alla procedura legislativa ordinaria.

3. Ai sensi dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001, la proposta è stata inviata al GEPD il medesimo giorno in cui è stata adottata. Prima dell’adozione della proposta, il GEPD è stato consultato in modo informale. Esso valuta positivamente tale consultazione e constata con piacere che la proposta definitiva tiene conto della maggior parte delle sue osservazioni.

4. In generale, il GEPD è soddisfatto del modo in cui la proposta di regolamento affronta la questione relativa alla protezione dei dati. Nel dettaglio, il GEPD offre alcuni suggerimenti relativi a modifiche, illustrati al capo II del presente parere.

5. A titolo preliminare, il GEPD desidera sottolineare che il pieno rispetto della normativa concernente la protezione dei dati contribuisce notevolmente all’affidabilità, alla forza e al successo di questo nuovo importante strumento.

II. ANALISI DETTAGLIATA DELLA PROPOSTA

6. Conformemente all’articolo 11, paragrafo 4, del TUE e all’articolo 24, primo comma, del TFUE, la proposta stabilisce le procedure e le condizioni per l’iniziativa dei cittadini. La proposta di regolamento stabilisce il numero minimo di Stati membri, il numero minimo di cittadini per Stato membro, nonché l’età minima richiesta perché i cittadini possano partecipare ad un’iniziativa. La proposta, inoltre, stabilisce le condizioni sostanziali e procedurali per l’esame di un’iniziativa da parte della Commissione.

7. Il presente parere è incentrato esclusivamente sulle disposizioni pertinenti sotto il profilo della protezione dei dati. Tali disposizioni riguardano le norme per la registrazione delle proposte d’iniziativa dei cittadini (articolo 4), le procedure di raccolta delle dichiarazioni di sostegno (articoli 5 e 6) e i requisiti di verifica e certificazione delle dichiarazioni di sostegno (articolo 9). L’articolo 12 della proposta riserva particolare attenzione alla protezione dei dati. Inoltre, l’articolo 13 concerne la responsabilità degli organizzatori di un’iniziativa dei cittadini. Di seguito si procede a un’analisi dettagliata di tali disposizioni.

Articolo 4 — Registrazione di una proposta d'iniziativa dei cittadini

8. Prima di raccogliere le dichiarazioni di sostegno dei firmatari per una proposta d’iniziativa, l’organizzatore ne chiede la registrazione alla Commissione attraverso un registro elettronico; a tal fine deve fornire le informazioni indicate nell'allegato II della proposta di regolamento, riguardanti i dati personali dell’organizzatore, ovvero: nome e cognome, indirizzo postale e indirizzo elettronico. Secondo quanto disposto dall’articolo 4, paragrafo 5, della proposta, una proposta d’iniziativa dei cittadini è resa nota al pubblico nel registro. Benché il testo non lo espliciti chiaramente, il GEPD presume che, in linea di principio, l’indirizzo postale e l’indirizzo elettronico dell’organizzatore non siano disponibili al pubblico attraverso il registro. In caso contrario, il Garante invita il legislatore a valutare e precisare la necessità della pubblicazione, nonché a chiarire il testo dell’articolo 4 a tale riguardo.

Articolo 5 — Procedure e condizioni di raccolta delle dichiarazioni di sostegno

9. L'organizzatore è responsabile della raccolta delle necessarie dichiarazioni di sostegno dei firmatari per una proposta d'iniziativa dei cittadini. Ai sensi dell’articolo 5, paragrafo 1, i moduli di dichiarazione di sostegno devono essere conformi al modello figurante nell'allegato III della proposta di regolamento. Tale modello prevede che un organizzatore fornisca alcune informazioni personali (ovvie), quali nome, cognome e, in caso di modulo cartaceo, firma autentica. Affinché l’autorità competente possa verificare l’autenticità di una dichiarazione di sostegno, il firmatario deve rilasciare anche altre informazioni obbligatorie, ovvero: località e Stato di residenza, data e luogo di nascita, cittadinanza, numero personale d’identità, tipo di numero/documento d’identità e Stato membro che lo ha rilasciato. Altre informazioni, non obbligatorie, presenti sul modulo sono costituite dall’indirizzo di residenza (via) e dall’indirizzo di posta elettronica del firmatario.

10. Il GEPD ritiene che i campi relativi alle informazioni obbligatorie presenti nel modulo siano tutti necessari al fine di organizzare l’iniziativa dei cittadini e garantire l’autenticità delle dichiarazioni di sostegno, fatto salvo il numero personale d’identità. Esistono differenze fra gli Stati membri per quanto concerne il modo in cui viene regolamentato l’utilizzo di tali numeri personali d’identità, se esistono. In ogni caso, il GEPD non individua un valore aggiunto nell’identificazione personale ai fini della verifica dell’autenticità delle dichiarazioni di sostegno. Le altre informazioni richieste possono già essere considerate sufficienti al raggiungimento dello scopo. Pertanto, il GEPD raccomanda di cancellare questo campo d’informazione dal modulo di cui all’allegato III.

11. Il Garante si interroga altresì sulla necessità di inserire i campi di informazioni non obbligatorie nel modulo standard e raccomanda di cancellare tali campi dal modulo di cui all’allegato III qualora tale esigenza non venga dimostrata.

12. Il GEPD, inoltre, raccomanda l’aggiunta di una dichiarazione standard sulla privacy in calce al modulo, nella quale indicare l’identità del responsabile del trattamento dei dati, lo scopo della raccolta, gli altri destinatari dei dati e il periodo della loro conservazione. L’offerta di tali informazioni alla persona interessata è richiesta ai sensi dell’articolo 10 della direttiva 95/46/CE.

Articolo 6 — Sistemi di raccolta online

13. L’articolo 6 della proposta di regolamento riguarda la raccolta di dichiarazioni di sostegno mediante l’utilizzo di sistemi online. L’articolo prevede che l’organizzatore, prima di raccogliere le dichiarazioni, si accerti che nel sistema di raccolta online siano incorporati dispositivi tecnici e di sicurezza atti ad assicurare che, tra l’altro, i dati immessi online siano salvaguardati «(in modo da impedire)[…] che possano essere modificati o utilizzati per scopi diversi da quello di sostenere l'iniziativa dei cittadini in oggetto e in modo da proteggere i dati personali da distruzione accidentale o dolosa o da perdita accidentale, da alterazioni o da diffusione e accesso non autorizzati» ⁽⁵ ⁾.

14. L’articolo 6, paragrafo 2, stabilisce inoltre che, in qualsiasi momento, l'organizzatore può chiedere all'autorità competente di certificare che il sistema di raccolta online rispetta tali requisiti. In ogni caso, l’organizzatore chiede questa certificazione prima di presentare le dichiarazioni di sostegno ai fini della verifica (v. di seguito articolo 9).

15. In aggiunta, l’articolo 6, paragrafo 5, obbliga la Commissione ad adottare specifiche tecniche per l’attuazione delle norme di sicurezza citate, conformemente alla procedura di comitatologia di cui all’articolo 19, paragrafo 2, della proposta.

16. Il GEPD accoglie con favore il rilievo che, all’articolo 6 della proposta, viene dato alla sicurezza dei sistemi di raccolta online. L’obbligo di garantire la sicurezza del trattamento dei dati costituisce uno dei requisiti della protezione dei dati, oggetto dell’articolo 17 della direttiva 95/46/CE. Il GEPD constata con piacere che, a seguito dei suoi pareri informali, la Commissione ha allineato il testo dell’articolo 6, paragrafo 4, della proposta, al testo dell’articolo 17, paragrafo 1, della direttiva 95/46/CE. Inoltre, relativamente all’articolo 6, paragrafo 4, il Garante accoglie con favore la previsione dell’obbligo di garantire che l’utilizzo dei dati non avvenga per scopi diversi da quello di sostenere l'iniziativa dei cittadini in oggetto. Tuttavia, il GEPD esorta il legislatore a prevedere nell’articolo 12 un obbligo analogo avente una portata generale (v. di seguito punto 27).

17. Il GEPD nutre perplessità in merito ai tempi di certificazione da parte dell’autorità competente. L'unico obbligo dell'organizzatore consiste nel richiedere tale certificazione in via definitiva prima di presentare all’autorità stessa per la verifica le dichiarazioni di sostegno raccolte. L'organizzatore potrebbe agire in questi termini in una fase preliminare. Supponendo che la certificazione del sistema elettronico abbia un valore aggiunto, il GEPD ritiene che essa debba avvenire prima della raccolta delle dichiarazioni, al fine di evitare che la raccolta dei dati personali relativi ad almeno un milione di cittadini avvenga attraverso un sistema che, in seguito, si riveli non sufficientemente sicuro. Pertanto, il Garante invita il legislatore a prevedere tale obbligo nel testo dell'articolo 6, paragrafo 2. Ovviamente, occorre garantire che la procedura di certificazione non costituisca un inutile onere amministrativo per l'organizzatore.

18. A tale riguardo, il GEPD desidera richiamare l'attenzione sull'articolo 18 della direttiva 95/46/CE, che obbliga i responsabili dei trattamenti a notificare le operazioni all'autorità nazionale preposta al controllo dei dati prima di procedere alla realizzazione di un trattamento se non ricorrono talune condizioni per l’esonero. Non è chiaro come quest'obbligo di notificazione, suscettibile di deroga, possa riferirsi alla certificazione da parte dell’autorità nazionale competente prevista dalla proposta di regolamento. Nell'intento di evitare per quanto possibile oneri amministrativi, il GEPD invita il legislatore a chiarire il nesso fra la procedura di notificazione di cui all'articolo 18 della direttiva 95/46/CE e la procedura di certificazione di cui all'articolo 6 della proposta di regolamento.

19. Per quanto concerne le norme attuative per le specifiche tecniche, il GEPD si aspetta di essere consultato prima della loro adozione. In particolare, poiché il documento di lavoro dei servizi della Commissione sull'esito del Libro verde cita diversi sistemi proposti durante la consultazione pubblica atti a garantire l'autenticità delle firme elettroniche, e uno di tali sistemi si basa sull'idea di una smart card del cittadino europeo che consente di apporre firme elettroniche, sorgono nuove considerazioni in merito alla protezione dei dati ⁽⁶ ⁾.

Articolo 9 — Verifica e certificazione delle dichiarazioni di sostegno da parte degli Stati membri

20. Dopo aver raccolto le necessarie dichiarazioni di sostegno dei firmatari, l'organizzatore è tenuto a presentarle all'autorità competente per la verifica e certificazione. Egli trasmette i dati personali dei firmatari all'autorità competente dello Stato membro che ha rilasciato il documento d'identità, come indicato nella dichiarazione di sostegno. Entro un periodo di tre mesi, l'autorità competente deve verificare mediante «adeguati controlli» le dichiarazioni di sostegno e rilasciare un certificato all'organizzatore ⁽⁷ ⁾. L'utilizzo del certificato ha inizio con la reale presentazione dell'iniziativa alla Commissione.

21. Il GEPD accoglie con favore questo sistema decentralizzato in base al quale la Commissione non entrerà in possesso delle informazioni personali dei firmatari, bensì soltanto dei certificati rilasciati dalle autorità nazionali competenti. Riducendo al minimo il numero di destinatari dei dati, un simile sistema riduce i rischi di trattamento illecito dei dati personali.

22. Il testo non chiarisce cosa si intenda esattamente per «adeguati controlli» spettanti all'autorità competente. Neanche il quindicesimo considerando vertente su tale aspetto fa luce sulla questione. Il GEPD si chiede come le autorità competenti controlleranno l’autenticità delle dichiarazioni di sostegno. In particolare, gli interessa sapere se tali autorità saranno in grado di controllare le dichiarazioni raffrontandole a informazioni relative all’identità dei cittadini rese disponibili da altre fonti, quali registri nazionali o regionali. Il GEPD invita il legislatore a precisare questo punto.

Articolo 12 — Protezione dei dati personali

23. L’articolo 12 della proposta di regolamento è interamente dedicato alla protezione dei dati personali. La disposizione evidenzia che l’organizzatore e l’autorità competente ottemperano alla direttiva 95/46/CE e alle disposizioni nazionali adottate per il suo recepimento. Il ventesimo considerando, inoltre, fa menzione dell’applicabilità del regolamento (CE) n. 45/2001 nel momento in cui la Commissione effettua un trattamento dei dati personali registrando l’organizzatore di un’iniziativa. Il GEPD accoglie con favore tali dichiarazioni.

24. Inoltre, la disposizione precisa che, nelle loro rispettive operazioni di trattamento dei dati personali, l’organizzatore e l’autorità competente devono essere considerati come responsabili del trattamento dei dati. Il GEPD è soddisfatto di tale precisazione. Il responsabile del trattamento dei dati è il soggetto principale a cui spetta il compito di garantire la conformità alla normativa concernente la protezione dei dati. L’articolo 12 della proposta fuga ogni dubbio su chi debba essere considerato quale responsabile del trattamento dei dati.

25. L’articolo 12 riguarda altresì i periodi massimi di conservazione dei dati personali raccolti. Per l’organizzatore, il termine ultimo è fissato a un mese dopo la presentazione dell’iniziativa alla Commissione oppure ad almeno 18 mesi dopo la data di registrazione di una proposta d'iniziativa. Le autorità competenti devono distruggere i dati un mese dopo il rilascio del certificato. Il GEPD è favorevole a tali limitazioni, poiché esse garantiscono conformità all’obbligo stabilito all’articolo 6, paragrafo 1, lettera e), della direttiva 95/46/CE.

26. Il GEPD, inoltre, nota con soddisfazione che l’articolo 12 riprende il testo tratto dall’articolo 17, paragrafo 1, della direttiva 95/46/CE, relativo alla sicurezza dei trattamenti dei dati. In tal modo si chiarisce che questi obblighi non si applicano soltanto in caso di utilizzo di un sistema di raccolta elettronica online (v. punti 13 e seguenti), ma in tutte le situazioni previste dalla proposta di regolamento.

27. Come stabilito al punto 16, il GEPD raccomanda al legislatore di aggiungere un paragrafo all’articolo 12, in cui si garantisca che i dati personali raccolti dall’organizzatore (sia attraverso un sistema di raccolta online che attraverso altri mezzi) non sono utilizzati per scopi diversi da quello di sostenere l'iniziativa dei cittadini in oggetto e, inoltre, che i dati ricevuti dall’autorità competente sono utilizzati esclusivamente al fine di verificare l’autenticità delle dichiarazioni di sostegno per una determinata iniziativa dei cittadini.

Articolo 13 — Responsabilità

28. A norma dell’articolo 13, gli Stati membri dispongono che gli organizzatori residenti o dimoranti nel loro territorio siano responsabili a titolo civile e penale in caso di violazione della proposta di regolamento, in particolare, fra l’altro, in caso di non ottemperanza delle prescrizioni relative ai sistemi di raccolta online o di utilizzo fraudolento dei dati. Il diciannovesimo considerando cita il capo III della direttiva 95/46/CE relativo a ricorsi giurisdizionali, responsabilità e sanzioni e stabilisce che tale capo si applica integralmente al trattamento dei dati personali effettuato in applicazione del regolamento. Facendo riferimento esplicito al diritto civile e penale degli Stati membri, contrariamente al capo III della direttiva 95/46/CE, l’articolo 13 della proposta va interpretato come un’integrazione del regolamento stesso. Il GEPD, ovviamente, accoglie con favore tale disposizione.

III. CONCLUSIONE E RACCOMANDAZIONI

29. Come si afferma nell’introduzione e come illustrato nell’analisi al capo II del presente parere, in linea generale il GEPD è soddisfatto del modo in cui la proposta di regolamento riguardante l’iniziativa dei cittadini ha affrontato la questione relativa alla protezione dei dati. Si è chiaramente tenuto conto della questione e la proposta è redatta in modo da garantire conformità alla normativa concernente la protezione dei dati. Il GEPD è particolarmente soddisfatto dell’articolo 12, interamente dedicato alla protezione dei dati e finalizzato al chiarimento di responsabilità e periodi di conservazione. Il Garante desidera sottolineare che il pieno rispetto della normativa in materia di protezione dei dati contribuisce notevolmente all’affidabilità, alla forza e al successo di questo nuovo importante strumento. Pur essendo complessivamente soddisfatto della proposta, il GEPD ritiene che vi sia spazio per ulteriori miglioramenti.

30. Il Garante raccomanda che il legislatore modifichi l’articolo 6 in modo tale che l’organizzatore sia obbligato a chiedere la certificazione relativa alla sicurezza del sistema di raccolta per via elettronica prima di iniziare a raccogliere le dichiarazioni di sostegno. Inoltre, tali procedure di certificazione non devono costituire un inutile onere amministrativo per l’organizzatore. Il GEPD raccomanda altresì di chiarire il nesso fra la procedura di notificazione di cui all'articolo 18 della direttiva 95/46/CE e la procedura di certificazione di cui all'articolo 6 della proposta di regolamento.

31. Al fine di migliorare ulteriormente la proposta, il GEPD raccomanda al legislatore di:

— valutare la necessità di pubblicare l’indirizzo postale e l’indirizzo elettronico dell’organizzatore di un’iniziativa e, nel caso in cui si preveda la pubblicazione, di chiarire il testo dell’articolo 4 della proposta,

— cancellare dal modulo di cui all’allegato III la voce in cui viene richiesto il numero personale d’identità, nonché i campi relativi a informazioni non obbligatorie,

— aggiungere una dichiarazione standard sulla privacy al modulo di cui all’allegato III, che garantisca conformità all’articolo 10 della direttiva 95/46/CE,

— chiarire all’articolo 9, paragrafo 2, il significato di «adeguati controlli» spettanti all’autorità competente al momento di verificare l’autenticità delle dichiarazioni di sostegno,IT C 323/4 Gazzetta ufficiale dell’Unione europea 30.11.2010

— aggiungere un paragrafo all’articolo 12, in cui si garantisca che i dati personali raccolti dall’organizzatore non sono utilizzati per scopi diversi da quello di sostenere l'iniziativa dei cittadini in oggetto e che i dati ricevuti dall’autorità competente sono utilizzati esclusivamente al fine di verificare l’autenticità delle dichiarazioni di sostegno per una determinata iniziativa dei cittadini.

Fatto a Bruxelles, il 21 aprile 2010.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

( 1 ) GU L 281 del 23.11.1995, pag. 31.

( 2 ) GU L 8 del 12.1.2001, pag. 1.

( 3 ) V. COM(2010) 119 definitivo, recante un documento di lavoro dei servizi della Commissione che descrive l’esito della consultazione pubblica sul Libro verde: diritto d’iniziativa dei cittadini europei, SEC(2010) 730.

( 4 ) Per il Libro verde, v. COM(2009) 622.

( 5 ) V. articolo 6, paragrafo 4, della proposta.

( 6 ) V. SEC(2010) 730, pag. 4.

( 7 ) V. articolo 9, paragrafo 2, della proposta.