Pareredel Garante europeo della protezione dei dati sulla decisione 2011/141/UE dellaCommissione che modifica la decisione 2007/76/CE della Commissione sul Sistemadi cooperazione per la tutela dei consumatori (´CPCSª) e sulla raccomandazione2011/136/UE della Commissione relativa alle linee guida per l'applicazionedelle norme sulla protezione dei dati nell'ambito del CPCS

(Pubblicato sulla GUUE n. C 217 del 23.7.2011)

IL GARANTEEUROPEO DELLA PROTEZIONE DEI DATI,

visto iltrattato sul funzionamento dell'Unione europea, in particolare l'articolo 16,

vista la Cartadei diritti fondamentali dell'Unione europea, in particolare gli articoli 7 e8,

vista ladirettiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995,relativa alla tutela delle persone fisiche con riguardo al trattamento dei datipersonali, nonché alla libera circolazione di tali dati ^{( 1 )},

vista larichiesta di parere a norma dell'articolo 28, paragrafo 2, del regolamento (CE)n. 45/2001 concernente la tutela delle persone fisiche in relazione al trattamentodei dati personali da parte delle istituzioni e degli organismi comunitari,nonché la libera circolazione di tali dati ^{( 2 )},

HA ADOTTATO ILSEGUENTE PARERE:

I. INTRODUZIONE

1. Il 1 o marzo 2011 la Commissione europeaha adottato una nuova decisione che modifica la decisione 2007/76/CE sul CPCS (´secondamodifica CPCª) ^{( 3 )}. Nella stessa data la Commissione ha adottato anche unaraccomandazione relativa alle linee guida per l'applicazione delle norme sullaprotezione dei dati nell'ambito del CPCS (´linee guida CPC per la protezionedei datiª) ^{( 4 )}. Entrambi i documenti sono stati trasmessi al GEPD per laconsultazione a norma dell'articolo 28, paragrafo 2, del regolamento (CE) n.45/2001.

2. Il CPCS è unsistema informatico progettato e gestito dalla Commissione conformemente alregolamento (CE) n. 2006/2004 sulla cooperazione per la tutela dei consumatori(´regolamento CPCª). Il CPCS facilita la cooperazione tra le ´autoritàcompetentiª degli Stati membri dell'UE e la Commissione nel settore dellatutela dei consumatori per quanto concerne le violazioni di un insiemepredefinito di direttive e regolamenti dell'UE. Per rientrare nella sfera diapplicazione del regolamento CPC, le infrazioni devono avere naturatransfrontaliera e danneggiare ´gli interessi collettivi dei consumatoriª.

3. Nell'ambitodella loro cooperazione, gli utenti del CPCS scambiano informazioni, tra cuidati personali. Tali dati personali possono riguardare direttori, dipendenti diun venditore o di un fornitore sospettati di un'infrazione, o gli stessivenditori o fornitori (in caso siano persone fisiche) e terzi quali consumatorio ricorrenti.

4. Il sistema èprogettato per essere uno strumento di comunicazione sicuro tra le autoritàcompetenti nonché per fungere da banca dati. Il CPCS viene utilizzato dalleautorità competenti al fine di richiedere informazioni, per contribuire all'esamedi un caso ^{( 5 )} o per richiedereassistenza nell'esecuzione della normativa ^{( 6 )} (´richieste di assistenza reciprocaª). Inoltre, le autoritàcompetenti possono anche inviare un messaggio di avvertimento (´allarmeª) perinformare altre autorità competenti e la Commissione di un'infrazione o di unsospetto d'infrazione ^{( 7 )}. Il CPCS è altresì dotato di ulteriori funzionalità, tra cui unsistema di notifica ^{( 8 )} e un forum per lo scambiodi dati non connessi a casi specifici.

5. Nel presenteparere il GEPD esamina una serie di questioni relative alla protezione dei datiriguardo al quadro giuridico del CPCS, concentrandosi principalmente sullaseconda modifica CPC adottata di recente. Il GEPD, inoltre, fa anche il puntosui progressi compiuti finora ed evidenzia selettivamente alcune questioniirrisolte nonché talune considerazioni per il futuro. Vengono inoltre formulateosservazioni su alcune disposizioni delle linee guida CPC per la protezione deidati.

6.Contestualmente al presente parere, [adottato a norma dell'articolo 28,paragrafo 2, del regolamento (CE) n. 45/2001], il GEPD, in qualità di organo dicontrollo, formula anche un parere sul controllo preventivo (a norma dell'articolo27 dello stesso regolamento) (´parere sul controllo preventivoª). Il parere sulcontrollo preventivo fornisce una descrizione più dettagliata del CPCS e deltrattamento dei dati personali contenuti in questo sistema. Nel parere sulcontrollo preventivo il GEPD formula raccomandazioni per l'adozione di misurespecifiche a livello pratico, tecnico e organizzativo al fine di migliorare ilrispetto dei principi di protezione dei dati nel CPCS. Considerando che lelinee guida CPC per la protezione dei dati sono a loro volta strettamenteconnesse a queste misure specifiche, nel parere sul controllo preventivovengono formulate osservazioni anche su determinate disposizioni delle lineeguida.

II. QUADRO GIURIDICO DEL CPCS

7. Il GEPD sicompiace che il CPCS si fonda su una solida base giuridica, nella fattispecieun regolamento adottato dal Consiglio e dal Parlamento. Inoltre, il GEPD rilevacon soddisfazione che la base giuridica è stata integrata nel tempo al fine difornire informazioni aggiuntive e affrontare le preoccupazioni riguardanti laprotezione dei dati. In particolare, il GEPD si compiace del fatto che ladecisione 2007/76/CE della Commissione, del 22 dicembre 2006, recanteattuazione del regolamento CPC (´decisione di attuazione CPCª) sia stataadottata e in seguito ulteriormente modificata il 17 marzo 2008 e,successivamente, il 1 o marzo 2011 con la seconda modifica CPC. Accoglie inoltre confavore l'adozione, da parte della Commissione, delle linee guida CPC per laprotezione dei dati, specificamente incentrate su questioni concernenti laprotezione dei dati.

8. Purrammaricandosi di non essere stato consultato al momento dell'iniziale adozionedel regolamento CPC e della decisione di attuazione CPC, il GEPD si compiacedella consultazione da parte della Commissione in occasione dell'adozione delledue modifiche della decisione di attuazione CPC e delle linee guida CPC per laprotezione dei dati. Il GEPD si compiace inoltre della precedente consultazioneda parte della Commissione del gruppo di lavoro ´articolo 29ª sulla protezionedei dati (´WP 29ª), il quale il 21 settembre 2007 aveva emesso il proprioparere n. 6/2007 (WP 139). Infine, il GEPD accoglie con favore il riferimento atali consultazioni formulato nei considerando delle linee guida CPC per laprotezione dei dati.

9. Il GEPDrileva che i) la Commissione ha considerato attentamente sia le raccomandazionifornite dal GEPD nell'ambito di scambi informali precedenti sia quelle espressedal gruppo di lavoro ´articolo 29ª nel parere n. 6/2007 e che ii) a molte diqueste raccomandazioni è seguito un successivo sviluppo del quadro legislativodel CPCS e/o a livello pratico, tecnico e organizzativo. Le osservazioniformulate dal GEPD nel presente parere e nel parere sul controllo preventivodevono essere considerate alla luce di queste premesse positive.

III. QUESTIONI RIGUARDANTI LA PROTEZIONE DEIDATI RIGUARDO ALLA SECONDA MODIFICA CPC

3.1. Conservazione dei dati personali nel CPCS

3.1.1. Introduzione

10. Comeosservazione preliminare, il GEPD sottolinea che la questione delle chiusuredei casi e dei periodi di conservazione non è stata affrontata in manieraadeguata ed esaustiva nel regolamento ^{CPC ( 9 )}.

11. Di fatto,il regolamento CPC definisce solo due norme specifiche in materia dicancellazione dei dati e non ne fissa alcuna per quanto riguarda le chiusuredei casi ^{( 10 )}. Innanzitutto stabilisce che, se un allarme ´si rivela infondatoª,l'autorità competente deve ritirarlo e la Commissione deve cancellareimmediatamente le informazioni dalla banca dati. In secondo luogo stabilisceche, quando un'autorità competente notifica, a norma dell'articolo 8, paragrafo6, del regolamento CPC, che un'infrazione è cessata, i dati memorizzati devonoessere soppressi cinque anni dopo la notifica.

12. Ilregolamento CPC non precisa lo scopo del periodo di conservazione di cinqueanni né specifica ulteriormente in quale modo e quando un allarme debba essereritenuto ´infondatoª. Analogamente, il regolamento CPC non definisce nemmeno itempi di conservazione delle informazioni nella banca dati nei casi noncontemplati dalle due norme specifiche appena menzionate (ad esempio, ilregolamento non specifica per quanto tempo le richieste di assistenza reciprocavengono conservate nella banca dati qualora non abbiano dato luogo a misure diesecuzione efficaci che avrebbero potuto far cessare l'infrazione).

13. Il GEPD sicompiace che la decisione di attuazione CPC modificata e le linee guida CPC perla protezione dei dati tentino di fornire ulteriori chiarimenti. Detto questo,il GEPD continua a nutrire riserve riguardo ad alcuni aspetti delle norme inmateria di chiusura dei casi e di conservazione dei dati nel CPCS, illustratedi seguito nelle sezioni 3.1.2-3.1.4.

14. Il GEPDraccomanda di affrontare questi problemi in occasione della prossima revisionedel quadro giuridico del CPCS, attraverso un'ulteriore modifica della decisionedi attuazione CPC o, preferibilmente, prevedendo una modifica del regolamentoCPC stesso.

15. Finché nonsarà possibile attuare un intervento legislativo in tal senso, il GEPDraccomanda che i problemi concernenti i periodi di conservazione sianoaffrontati a livello pratico, tecnico e organizzativo e che siano ancheillustrati chiaramente nella ´Rete di cooperazione per la tutela deiconsumatori: linee guida generaliª di cui alla sezione 3.1.2.

3.1.2. Chiusuretempestive di casi

16. La secondamodifica CPC non fissa un termine ultimo entro il quale un caso di richiesta diassistenza reciproca (richiesta di informazioni o richiesta di esecuzione) deveessere chiuso.

17. Nel pareresul controllo preventivo il GEPD prende atto di una serie di misure concreteche la Commissione sta attualmente adottando per contribuire ad assicurare lachiusura tempestiva dei casi in sospeso.

18. Nelpresente parere il GEPD raccomanda di fissare termini massimi per le richiested'informazione e di esecuzione, le quali dovranno essere specificati inoccasione della prossima revisione del quadro legislativo. Tali terminidovranno essere connessi al tipo di caso nonché all'attività effettiva. Altempo stesso, le norme dovranno anche concedere una certa flessibilità alleautorità competenti affinché sia possibile estendere i casi per un validomotivo e per garantire che non siano chiusi prematuramente anche qualora lachiusura di un caso complesso richieda tempi più lunghi rispetto alla media.

19. A tal fine,il GEPD raccomanda di utilizzare come punto di partenza il documento intitolato´Rete di cooperazione per la tutela dei consumatori: linee guida generaliª,approvato dal comitato CPC il 6 dicembre 2010. Il punto 2.7 delle linee guidagenerali, relativo a ´fasi e termini in un caso CPCª, illustra le controversietipiche e stabilisce che, in media, le richieste d'informazioni devono esseregestite entro un periodo compreso tra uno e tre mesi. Secondo le linee guidagenerali, deve essere possibile gestire le richieste di esecuzione entro un periodocompreso in media tra i sei e i nove mesi (tranne che nel caso d'ingiunzioni odi ricorsi contro una decisione amministrativa, per cui un periodo di un anno ooltre è più realistico).

3.1.3. Allarmi

20. La secondamodifica CPC ha aggiunto un nuovo paragrafo al punto 2.2.2 dell'allegato alladecisione di attuazione CPC, il quale prevede che gli allarmi ´fondatiª sianoritirati dalla banca dati cinque anni dopo la loro emissione (quanto agliallarmi ´infondatiª, le disposizioni esistenti prevedevano già il ritiro nelcaso in cui ´un allarme si rivela infondatoª).

21. Perinquadrare questa nuova disposizione nel giusto contesto, il GEPD sottolineache una delle sue preoccupazioni principali è assicurare che i dati personalinon restino nella banca dati del CPCS più a lungo del necessario. Si tratta diuna questione delicata, soprattutto per quanto riguarda gli allarmi (che hannoun numero di destinatari maggiore rispetto agli scambi bilaterali), inparticolare quelli che si riferiscono ai sospetti d'infrazione. In pratica, inassenza di un termine preciso entro il quale l'allarme è mantenuto aperto,alcuni allarmi potrebbero restare in sospeso per un periodo indebitamenteprolungato (fino a quando non ne sarà chiaramente dimostrata l'infondatezza).Tali azioni, basate su sospetti non confermati, comporterebbero rischi notevoliper il diritto fondamentale alla protezione dei dati, nonché per altri dirittifondamentali quali la presunzione di innocenza.

22. Di fronte atale situazione, il GEPD si compiace che sia stato stabilito un periodo diconservazione per gli allarmi. Ciononostante, il GEPD ritiene che laCommissione non abbia fornito giustificazioni atte a dimostrare che un periododi conservazione di cinque anni sarebbe proporzionato. Il GEPD raccomanda allaCommissione di svolgere una valutazione di proporzionalità e riesaminare ladurata del periodo di conservazione per gli allarmi. In linea di principio,tutti gli allarmi notificati devono essere cancellati dalla banca dati moltoprima, salvo che un allarme per segnalare un'infrazione o un sospettod'infrazione non abbia dato luogo a una richiesta di assistenza reciproca e l'indaginetransfrontaliera o l'azione di esecuzione non siano ancora in corso. La duratadel periodo di conservazione deve essere tale da consentire a ciascuna autoritàche riceve il messaggio di decidere se intende intraprendere indagini o azionidi esecuzione ulteriori e inviare una richiesta di assistenza reciproca tramiteil CPCS; tuttavia, deve essere sufficientemente breve da ridurre al minimo ilrischio di utilizzo improprio degli allarmi per la creazione di liste nere o l'estrazionedi dati.

23. In quest'otticail GEPD raccomanda alla Commissione di rivedere il quadro giuridico al fine diassicurare che gli allarmi siano cancellati al più tardi sei mesi dopo la lorotrasmissione, salvo che non sia possibile giustificare un altro periodo diconservazione più appropriato.

24. Ciòdovrebbe contribuire ad assicurare in particolare che, in casi in cui ilsospetto non sia stato confermato (o anche indagato ulteriormente), personeinnocenti collegate al sospetto non siano mantenute in una ´lista neraª econsiderate ´sospetteª per un periodo indebitamente prolungato, il checontrasterebbe con l'articolo 6, lettera e), della direttiva 95/46/CE.

25. Questalimitazione è inoltre necessaria ad assicurare il principio della qualità deidati [cfr. l'articolo 6, lettera d), della direttiva 95/46/CE] nonché altriimportanti principi giuridici e non solo potrebbe tradursi in un livello piùadeguato di protezione delle persone, ma, al tempo stesso, dovrebbe anchepermettere ai funzionari incaricati dell'esecuzione di concentrarsi piùefficacemente sui casi pertinenti.

3.1.4. Periododi conservazione per le richieste di assistenza reciproca chiuse

26. Con laseconda modifica CPC è stato aggiunto un nuovo paragrafo al punto 2.15 dell'allegatoalla decisione di attuazione CPC al fine di stabilire che ´[t]utte le altreinformazioni riguardanti richieste di assistenza reciproca di cui all'articolo6 (del regolamento CPC) sono cancellate dalla banca dati cinque anni dopo lachiusura del casoª.

27. Letto incombinato disposto con il testo esistente, il punto 2.15 rivisto stabilisce chetutti gli scambi d'informazioni di cui all'articolo 6 vengano conservati percinque anni dopo la chiusura del caso escluso laddove:

— i datierrati siano stati cancellati,

— loscambio di informazioni non abbia dato origine ad un allarme o ad una richiestadi esecuzione; o

— siastato accertato che non ha avuto luogo alcuna infrazione ai sensi delregolamento CPC.

28. Di fatto,come spiegato nel parere sul controllo preventivo, il periodo di conservazione ´standardªapplicato nel CPCS dopo la chiusura di un caso (salvo specifiche eccezioni)sembra essere di cinque anni sia per le richieste d'informazioni che per lerichieste di esecuzione.

29. Il testodella decisione di attuazione CPC quale modificato dalla seconda modifica CPCnon sembra essere pienamente coerente con il regolamento CPC. In particolare, l'articolo10, paragrafo 2, del regolamento CPC opera una distinzione tra, da un lato, leinformazioni scambiate che danno origine a un'efficace applicazione dellenormative (ad esempio i casi in cui l'infrazione sia cessata a seguito dellemisure di esecuzione attuate) e, dall'altro, le informazioni da cui non èscaturita un'applicazione efficace. Per le prime è previsto un periodo diconservazione di cinque anni dopo la chiusura del caso, mentre per le secondenon sono illustrate disposizioni specifiche (fuorché il ritiro e lasoppressione degli allarmi infondati).

30. In altreparole, il regolamento CPC prescrive un periodo di conservazione di cinque annidopo la chiusura del caso solo a condizione che siano state adottate misure diesecuzione e che queste abbiano determinato la cessazione dell'infrazione.

31. Benché ilGEPD nutra alcune riserve in merito allo scopo e alla proporzionalità dellaconservazione di tutti i dati per cinque anni dopo la chiusura del caso (sivedano le osservazioni formulate al riguardo nella sezione 3.1.4), ladistinzione tra i casi che si sono conclusi con un'efficace applicazione dellenormative e quelli che invece non hanno avuto buon esito in tal senso ha unacerta logica dal punto di vista della protezione dei dati. In particolare, laconservazione dei dati riguardanti semplici sospetti per un periodo prolungatopresenta un maggiore potenziale di imprecisione e rischia altresì di violarealtri principi giuridici importanti. In linea generale, dunque, si puòaffermare che è più probabile che la conservazione di tali dati per un periododi tempo prolungato determini problemi in materia di protezione dei datirispetto alla conservazione di dati relativi a infrazioni effettive, che sonostate adeguatamente dimostrate e hanno dato luogo a misure di esecuzione.

32.Diversamente dal regolamento CPC, la decisione di attuazione CPC modificatasembra consentire, almeno in certi casi, l'applicazione del periodo diconservazione di cinque anni anche alle informazioni che non hanno dato luogo amisure di esecuzione efficaci.

33. Ad esempio,secondo la decisione di attuazione CPC, una richiesta di informazioni che hadato origine ad un allarme senza però aver dato luogo a misure di esecuzioneefficaci sembra rimanere nel sistema per cinque anni dopo la ´chiusura del casoª.

34. Ilregolamento CPC e la decisione di attuazione CPC sembrano pertanto seguire unapproccio leggermente diverso l'uno dall'altra. La decisione di attuazione CPC,pur rispecchiando in certa misura le disposizioni del regolamento CPC,introduce anche norme aggiuntive importanti in materia di conservazione. Benchéla chiarificazione delle norme sia di per sé un elemento positivo, il GEPDcontesta la legittimità di istituire periodi di conservazione più lunghi neicasi in cui il regolamento CPC non contenga già disposizioni in tal senso. Talemisura limiterebbe ulteriormente il diritto fondamentale alla protezione deidati nell'applicazione della normativa, in contrasto con il regolamento CPC ele norme applicabili in materia di protezione dei dati.

35. In basealle precedenti considerazioni, il GEPD raccomanda alla Commissione di rivedereil quadro giuridico e riconsiderare se il periodo di conservazione di cinqueanni deve essere applicato a tutti gli altri casi oltre a quelli che hanno datoluogo a un'efficace applicazione delle normative come specificato nelregolamento CPC.

36. Il GEPD sicompiace inoltre che le linee guida CPC per la protezione dei dati intendanoprecisare lo scopo del periodo di conservazione dei dati dopo la chiusura di uncaso, una questione importante che non è stata affrontata né nel regolamentoCPC né nella seconda modifica CPC. In particolare, le linee guida CPC per laprotezione dei dati stabiliscono che ´durante il periodo di conservazione, gliagenti che lavorano per un'autorità competente a cui un dato caso è statoinizialmente affidato possono consultare la pratica in questione per verificarei legami con eventuali infrazioni ripetute, in modo da migliorare e rendere piùefficiente l'azione di contrastoª ^{( 11 )}.

37. Tuttavia,pur accogliendo con favore questo chiarimento, in assenza di ulteriorigiustificazioni della necessità di tale accesso, il GEPD non è convinto dellaproporzionalità e della sufficienza di questo scopo per giustificare il periododi conservazione di cinque anni. Il GEPD raccomanda pertanto alla Commissionedi:

—precisare ulteriormente lo scopo del periodo di conservazione di cinque anni,

—valutare se un periodo di conservazione più breve consentirebbe di raggiungeregli stessi obiettivi; e

—valutare se sia necessario conservare tutte le informazioni previsteattualmente o se un sottoinsieme di informazioni sarebbe sufficiente (adesempio si dovrebbe valutare se sarebbe sufficiente conservare solo lenotifiche di cui all'articolo 8, paragrafo 6; si potrebbe inoltre valutarespecificamente se sia necessario conservare i nomi dei direttori o i documentiche potrebbero contenere dati personali aggiuntivi nonché operare unadistinzione tra i dati riguardanti i sospetti di infrazioni e le infrazioni ´accertateª).

3.2. Accesso della Commissione ai dati del CPCS

38. Il GEPD sicompiace che (introducendo il nuovo punto 4.3 all'allegato della decisione diattuazione CPC) la seconda modifica CPC chiarisca le modalità di accesso dellaCommissione ai dati del CPCS e che tale accesso sia chiaramente especificamente limitato a quanto previsto dal regolamento CPC. In particolare,il GEPD rileva con piacere che alla Commissione non è stato fornito accessoalle comunicazioni riservate tra le autorità competenti degli Stati membri,quali le richieste di assistenza reciproca.

39. Si trattadi un chiarimento e di una limitazione particolarmente importanti, poiché lamancanza di chiarezza avrebbe potuto determinare una situazione in cui laCommissione sarebbe stata in grado di accedere a informazioni, compresi datipersonali, i cui destinatari sono esclusivamente le autorità competenti degliStati membri.

40. Comedescritto alla sezione 5 delle linee guida CPC per la protezione dei dati, ´l'accessodella Commissione ha come scopo il controllo dell'applicazione del regolamentoCPC e della normativa, indicata nel suo allegato, concernente la tutela deiconsumatori nonché la compilazione dei dati statistici relativi all'esecuzionedi questi compitiª.

41. Questo nonsignifica che la Commissione deve avere accesso a tutti i dati scambiati tragli Stati membri nell'ambito del CPCS.

42. Di fatto,il GEPD sottolinea che l'accesso a banche dati quali il CPCS rientra nelladefinizione di trattamento dei dati personali. A norma dell'articolo 5, letteraa), del regolamento (CE) n. 45/2001, che è pertinente per i diritti di accessodella Commissione ai dati del CPCS, il trattamento dei dati personali da partedelle istituzioni può essere effettuato soltanto quando è necessario per l'esecuzionedi una funzione di interesse pubblico e purché sia realizzato sulla base deitrattati o del diritto derivato.

43. Da questeprescrizioni — che derivano direttamente dal diritto alla protezione deidati sancito dall'articolo 8 della Convenzione europea dei diritti dell'uomo edagli articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea —il GEPD conclude che la Commissione può essere autorizzata ad accedere aisistemi di informazione degli Stati membri solo qualora ciò sia previsto dadisposizioni normative specifiche, fondate su una base giuridica pienamenteappropriata (di norma la procedura legislativa ordinaria). La certezza deldiritto e la trasparenza sono i due valori soggiacenti che spiegano perché unabase giuridica specifica e sicura per l'accesso della Commissione è unagaranzia particolarmente importante per la tutela dei diritti fondamentalidelle persone riguardo alla protezione dei dati.

44. Né ilgenerale potere di controllo della Commissione quale ´custode del trattatoª nél'obbligo degli Stati membri di assicurare una leale cooperazione sonosufficientemente precisi da consentire alla Commissione di accedere a banchedati contenenti informazioni personali. Il principio di leale cooperazioneprevede che, a determinate condizioni, gli Stati membri forniscano informazionialla Commissione su richiesta o qualora siano tenuti a procedere in tal sensonel rispetto di una disposizione specifica. Tale principio, tuttavia, nonprevede l'accesso della Commissione alle loro banche dati.

45. In talecontesto il GEPD sottolinea altresì che il regolamento CPC esclude lapossibilità, per la Commissione, di accedere alle informazioni contenute nellerichieste di assistenza reciproca e di esecuzione. Gli articoli 6 e 8 delregolamento CPC designano esclusivamente l'autorità interpellata, e non laCommissione, quale destinatario di questi dati.

3.3. Categorie particolari di dati nel CPCS

46. Il GEPD sicompiace che la seconda modifica CPC abbia introdotto, al punto 4.4 dell'allegatoalla decisione di attuazione CPC, una disposizione volta a disciplinare iltrattamento di categorie particolari di dati nel CPCS. Il GEPD accoglie conparticolare favore il fatto che la disposizione limiti tale trattamento ai casiin cui esso ´non impediscaª il rispetto degli obblighi di cui al regolamentoCPC e che il trattamento di tali dati sia subordinato all'ulteriore condizioneche sia ´permesso dalla direttiva 95/46/CEª.

IV. PRIVACY BY DESIGN (TUTELA DELLA VITAPRIVATA FIN DALLA PROGETTAZIONE) E RESPONSABILITÀ

47. Dopo averaffrontato, nella parte III, i problemi specifici sollevati dalla secondamodifica CPC, nelle parti IV-VI il GEPD intende richiamare l'attenzione dellaCommissione su alcuni altri punti che dovrebbero essere presi in considerazioneper l'ulteriore sviluppo del quadro giuridico del CPCS.

4.1. Privacy by design (tutela della vita privatafin dalla progettazione)

48. Il GEPDincoraggia da tempo la Commissione e altre istituzioni dell'UE ad adottaremisure tecnologiche e organizzative che integrino le disposizioni in materia disicurezza e protezione dei dati quale parte fondamentale della progettazione edell'attuazione dei loro sistemi di informazione (´privacy by designª) ^{( 12 )}.

49. Purriconoscendo e apprezzando il fatto che sono state adottate alcune misure inquesta direzione, il GEPD raccomanda alla Commissione di valutare globalmentequali altre garanzie in materia di ´privacy by designª (tutela della vitaprivata fin dalla progettazione) potrebbero essere incorporate nell'architetturadel sistema CPCS. Tra le altre, dovrebbero essere prese in considerazione eattuate, se del caso:

—soluzioni basate sul principio della ´privacy by designª (tutela della vitaprivata fin dalla progettazione) volte a orientare gli utenti del sistema nell'adozionedi decisioni ´adeguateª in materia di protezione dei dati,

— misurefinalizzate ad agevolare la chiusura e la soppressione tempestiva dei casi (idem,sezione 3.3),

—procedure volte ad agevolare i diritti di accesso e di informazione degliinteressati (idem, sezione 3.5),

—procedure chiare per tutte le modifiche apportate direttamente a livello dibanca dati, la registrazione degli accessi, la logica sottesa all'intervento el'approvazione a livello adeguato (idem, sezione 3.6); e

— lamemorizzazione ´cifrataª delle informazioni nella banca dati al fine diimpedire l'accesso ai dati da parte degli operatori informatici (almeno peralcuni dati quali i documenti riservati) (idem, sezione 3.6).

4.2. Responsabilità

50. Inoltre,conformemente al principio della ´responsabilitઠ^{( 13 )}, il GEPD raccomanda altresìdi istituire un quadro chiaro per la responsabilità che assicuri e attesti ilrispetto della protezione dei dati, ad esempio:

—adottando e aggiornando, se del caso, una politica in materia di protezione deidati che dovrà essere approvata al massimo livello dirigenziale nell'ambitodella DG SANCO. Tale politica in materia di protezione dei dati dovrà altresìcomprendere un piano di sicurezza (cfr. la sezione 3.6 del parere sul controllopreventivo) ( 14 ),

—realizzando verifiche periodiche intese a valutare l'adeguatezza e il rispettocostanti della politica in materia di protezione dei dati (compresa la verificadel piano di sicurezza, idem, sezione 3.6),

—pubblicando (almeno parzialmente) i risultati di queste verifiche al fine dirassicurare le parti interessate in merito al rispetto della protezione deidati; e

—notificando le violazioni dei dati e altri incidenti riguardanti la sicurezzaal responsabile della protezione dei dati della Commissione e agli interessati(nonché, se del caso, ad altre parti o autorità) ( 15 ).

V. TRASFERIMENTO DI DATI PERSONALI OLTRE L'UNIONEEUROPEA

5.1. Accordi bilaterali

51. L'articolo14, paragrafo 2, del regolamento CPC stabilisce che le informazioni trasmesseai sensi del regolamento CPC possono anche essere comunicate a un'autorità diun paese terzo da un'autorità competente, nell'ambito di un accordo bilateraledi assistenza con detto paese, purché i) l'autorità competente che ha fornito l'informazionein origine abbia dato il proprio consenso e che ii) il trasferimento sia inlinea con le norme dell'UE applicabili in materia di protezione dei dati.

52. Gliarticoli 25 e 26 della direttiva 95/46/CE fissano determinate condizioniaggiuntive per il trasferimento di dati verso paesi terzi. Tali condizioni sonovolte ad assicurare l'adeguata protezione dei dati all'estero. Inoltreprevedono anche una serie di deroghe. L'attuazione e l'interpretazione diqueste disposizioni della direttiva 95/46/CE possono variare da uno Statomembro all'altro.

53. Alla lucedelle precedenti considerazioni, il GEPD può accettare le garanzie incluse nelregolamento CPC, ossia che tutti i trasferimenti di dati verso paesi terzisiano soggetti i) al consenso dell'autorità competente che ha fornito l'informazionein origine nonché ii) alle norme UE applicabili in materia di protezione deidati.

54. Il GEPD sicompiace inoltre che le linee guida CPC per la protezione dei dati raccomandinoche, a meno che il paese terzo assicuri un livello adeguato di protezione deidati, qualsiasi accordo di assistenza bilaterale preveda adeguate garanzie diprotezione dei dati e — laddove ciò sia necessario — sia anchenotificato alle autorità competenti per la protezione dei dati.

55. Detto ciò,gli accordi previsti nel regolamento CPC non sono ideali. La loro applicazione ècomplessa: per decidere in merito al trasferimento di informazioni verso unpaese terzo, un'autorità competente dovrà tenere conto non solo dell'accordobilaterale del suo paese con il paese terzo, delle norme nazionali in materiadi protezione dei dati e della propria valutazione dell'adeguatezza deltrasferimento dei dati verso il paese terzo in questione in base allalegislazione in materia di protezione dei dati del proprio paese, ma dovràanche valutare se le altre autorità competenti interessate che hannocontribuito al fascicolo (e può esservene più di una) hanno fornito il proprioconsenso sulla base delle norme vigenti in materia di protezione dei dati nelloro paese.

56. Dal puntodi vista della protezione dei dati, questa complessità determina incertezze perquanto riguarda i diritti dell'interessato e, in particolare, incertezze inmerito alle eventuali condizioni alle quali i suoi dati verranno trasferiti all'estero.Gli interessati, inoltre, non beneficiano nella massima misura possibile di unanormativa europea solida e armonizzata in materia di protezione dei dati. Perquanto riguarda le autorità competenti, inoltre, è probabile che talecomplessità ne ostacoli la cooperazione, oltre a costituire un onereamministrativo.

57. Alla lucedelle precedenti considerazioni, il GEPD incoraggia la conclusione di accordi alivello dell'UE che forniscano garanzie adeguate in materia di protezione deidati e, al contempo, contribuiscano altresì a evitare l'applicazione di criterieterogenei nonché il conseguente aumento degli oneri amministrativi a caricodelle autorità competenti.

5.2. Accordi a livello dell'UE

58. Oltre allapossibilità di cooperazione bilaterale prevista dall'articolo 14, l'articolo 18del regolamento CPC sugli accordi internazionali stabilisce altresì che la ´Comunitàcollabora con i paesi terzi e con le organizzazioni internazionali competentiªe che ´le disposizioni relative alla cooperazione, comprese quelle relativealla definizione di accordi di assistenza reciproca, possono formare oggetto diaccordi fra la Comunità e i paesi terzi interessatiª.

59. Per imotivi illustrati nella precedente sezione 5.1, il GEPD appoggia l'iniziativadella Commissione di negoziare e concludere accordi a livello dell'UE,contenenti adeguate garanzie in materia di protezione dei dati, armonizzate alivello dell'UE, al fine di sostituire gli accordi bilaterali esistenti.

60. Il suosostegno a favore di tali accordi a livello dell'UE è tuttavia subordinato all'impegnodella Commissione e dei legislatori dell'Unione ad assicurare il massimolivello di protezione per gli scambi di dati personali con i paesi terzi. Leimplicazioni degli accordi di cooperazione internazionale con i paesi terzidevono essere prese attentamente in considerazione dal punto di vista dellaprotezione dei dati; devono essere fissate norme chiare che disciplinino questiscambi e fornite adeguate garanzie in materia di protezione dei dati, sullabase della consultazione del GEPD e, se del caso, delle autorità nazionali diprotezione dei dati.

61. Benché l'articolo18 del regolamento CPC non affronti espressamente la questione dell'accessodiretto al CPCS da parte delle autorità dei paesi terzi, questo può esseretecnicamente possibile. Il GEPD non intende scoraggiare l'inclusione di nuovefunzionalità nel CPCS volte a consentire alle autorità competenti dei paesiterzi un accesso rigorosamente limitato e selettivo tramite un meccanismospecificamente concepito (canale e interfaccia di comunicazione). Tale misurapotrebbe effettivamente accrescere l'efficienza della cooperazione.

62. Detto ciò,un accesso diretto di questo tipo ha i suoi rischi e, di conseguenza, occorreconsiderare specificamente le sue implicazioni per la protezione dei dati nonchéle necessarie garanzie e modalità tecniche/organizzative. Tali eventualifunzionalità tecniche devono essere create utilizzando i principi della ´privacyby designª (tutela della vita privata fin dalla progettazione). Anche lasicurezza deve essere una priorità chiara. Infine devono essere consultati siail GEPD sia, se del caso, le autorità nazionali di protezione dei dati.

VI. ´DIRITTI RELATIVI ALLA PROTEZIONE DEIDATI DEI CONSUMATORIª E COOPERAZIONE RAFFORZATA, TRAMITE IL CPCS, DELLE AUTORITàDI PROTEZIONE DEI DATI

63. Il GEPD èfiducioso che, se le sue raccomandazioni (comprese quelle formulate nel pareresul controllo preventivo) verranno seguite, il CPCS può essere uno strumentoefficace e funzionale alla protezione dei dati per l'applicazionetransfrontaliera della normativa volta a contrastare le infrazioni dei dirittidei consumatori nel mercato interno.

64. Con losviluppo del commercio elettronico e il crescente utilizzo delle reti dicomunicazione elettronica da parte di fruitori di vari prodotti e servizi, verràtrattato un numero sempre maggiore di dati personali dei consumatori. Questiultimi, pertanto, potranno anche essere sempre più esposti a infrazioni deiloro diritti in materia di protezione dei dati. Di conseguenza sussiste altresìla necessità di una cooperazione efficace tra le autorità di protezione deidati volta a porre fine a tali infrazioni.

65. Tra i casipiù comuni di violazione di ´diritti relativi alla protezione dei dati deiconsumatoriª figurano comunicazioni commerciali indesiderate (spam), furto diidentità, profilazione illecita, pubblicità comportamentale illegale eviolazioni dei dati (violazioni della sicurezza).

66. Poichénella società dell'informazione il numero di casi di natura transfrontaliera èprobabilmente destinato ad aumentare, il GEPD incoraggia la Commissione aconsiderare possibili misure legislative volte a tutelare i ´diritti relativialla protezione dei dati dei consumatoriª nonché a rafforzare la cooperazionetransfrontaliera tra le autorità competenti: sia le autorità garanti dellaprotezione dei dati sia le autorità responsabili della tutela dei consumatori.

67. Inparticolare, e considerando anche altre opzioni possibili, occorre valutareattentamente l'opportunità di concedere alle autorità di protezione dei dati unaccesso su misura al CPCS affinché possano cooperare tra loro e con altreautorità competenti che hanno già accesso al CPCS.

68. L'accessoda parte delle autorità di protezione dei dati deve essere chiaramente limitatoa quanto necessario per l'assolvimento dei loro doveri nell'ambito dellerispettive aree di competenza e conforme alle sinergie individuate. Ovviamente èaltresì necessario garantire che il quadro per la partecipazione delle autoritàdi protezione dei dati sia concepito in modo tale che venga tenuta nella debitaconsiderazione la loro indipendenza.

VII. CONCLUSIONI

69. Il GEPDconstata con piacere che il CPCS si fonda su una base giuridica che prevedeanche garanzie specifiche in materia di protezione dei dati. Il GEPD rilevache, per affrontare le eventuali questioni irrisolte in materia di protezionedei dati, in occasione della prossima revisione del quadro giuridico del CPCSdovranno essere prese in considerazione le raccomandazioni brevemente riportatedi seguito.

70. Nelfrattempo, misure supplementari adottate a livello pratico, tecnico eorganizzativo (raccomandate nel parere sul controllo preventivo) potrebberofornire una soluzione temporanea parziale a questi problemi. In attesa dellemodifiche legislative, potrebbero essere introdotte alcune modifiche anchetramite le linee guida CPC per la protezione dei dati.

71. Per quantoriguarda il periodo di conservazione, il GEPD raccomanda i) la chiusura dellerichieste di assistenza reciproca entro termini espressamente fissati; ii) ameno che l'indagine o l'azione di esecuzione siano in corso, il ritiro e lasoppressione degli allarmi entro sei mesi dalla loro trasmissione (salvo chesia possibile giustificare un altro periodo di conservazione più appropriato);e iii) alla Commissione di chiarire e riconsiderare lo scopo e laproporzionalità della conservazione di tutti i dati relativi ai casi chiusi peraltri cinque anni.

72. Inoltre, ilGEPD si compiace che la seconda modifica CPC chiarisca le modalità di accessodella Commissione ai dati del CPS. In particolare, il GEPD rileva con piacereche la Commissione non ha accesso alle comunicazioni riservate tra le autoritàcompetenti degli Stati membri, quali le richieste di assistenza reciproca.

73. Il GEPD sicompiace inoltre che la seconda modifica CPC abbia introdotto una disposizionevolta a disciplinare il trattamento di categorie particolari di dati nel CPCS.

74. Comeosservazioni aggiuntive, il GEPD raccomanda alla Commissione di rivalutarequali altre misure tecniche e organizzative adottare al fine di ´incorporareªla protezione della vita privata e dei dati nell'architettura del sistema CPCS(´privacy by designª) nonché di prevedere controlli adeguati volti a garantiree attestare il rispetto della protezione dei dati (´responsabilitàª).

75. Inoltre,qualora sia necessario concludere un accordo a livello dell'UE tra l'Unioneeuropea e un paese terzo al fine di disciplinare la cooperazione per la tuteladei consumatori, occorrerà prendere attentamente in considerazione leimplicazioni di tali accordi, fissare norme chiare che disciplinino gli scambiin questione e fornire adeguate garanzie in materia di protezione dei dati.

76. Infine, ilGEPD raccomanda alla Commissione di esplorare le eventuali sinergie chepotrebbero scaturire qualora alle autorità di protezione dei dati venisseconsentito di unirsi alla comunità degli utenti del CPCS al fine di contribuireall'applicazione dei ´diritti relativi alla protezione dei dati dei consumatoriª.

Fatto aBruxelles, il 5 maggio 2011.

GiovanniBUTTARELLI

Garante europeo aggiunto della protezione dei dati

NOTE                                            

( 1 ) GU L281 del 23.11.1995, pag. 31.

( 2 ) GU L 8del 12.1.2001, pag. 1.

( 3 )Decisione della Commissione, del 1 o marzo 2011, chemodifica la decisione 2007/76/CE recante attuazione del regolamento (CE) n.2006/2004 del Parlamento europeo e del Consiglio sulla cooperazione tra leautorità nazionali responsabili dell'esecuzione della normativa che tutela iconsumatori per quanto concerne l'assistenza reciproca (2011/141/UE) (GU L 59del 4.3.2011, pag. 63).

( 4 )Raccomandazione della Commissione, del 1 o marzo 2011,relativa alle linee guida per l'applicazione delle norme sulla protezione deidati nell'ambito del Sistema di cooperazione per la tutela dei consumatori(CPCS) (2011/136/UE) (GU L 57 del 2.3.2011, pag. 44).

( 5 ) Cfr. l'articolo6 del regolamento CPC sullo ´scambio di informazioni su richiestaª.

( 6 ) Cfr. l'articolo8 del regolamento CPC sulle ´richieste di misure di esecuzioneª.

( 7 ) Cfr. l'articolo7 del regolamento CPC sullo ´scambio di informazioni in assenza di richiestaª(o ´allarmeª in breve).

( 8 ) Cfr.gli articoli 7, paragrafo 2, e 8, paragrafo 6, del regolamento CPC.

( 9 ) Cfr.anche il parere n. 6/2007 del gruppo di lavoro ´articolo 29ª sulla protezionedei dati (menzionato nella parte II).

( 10 ) Cfr. l'articolo10, paragrafo 2, del regolamento CPC.

( 11 ) Cfr. lasezione 8 delle linee guida, ´Altre indicazioni; Perché il periodo diconservazione dei dati è stato fissato in 5 anni?ª Le linee guida CPC per laprotezione dei dati aggiungono inoltre che ´lo scopo del periodo diconservazione è facilitare la cooperazione fra le autorità pubbliche,responsabili dell'esecuzione della normativa in materia di tutela degliinteressi dei consumatori, nel trattamento delle infrazioni intracomunitarie,contribuire al buon funzionamento del mercato interno, al miglioramento dellaqualità e della coerenza dell'applicazione delle leggi che tutelano gliinteressi dei consumatori, al monitoraggio della protezione degli interessieconomici dei consumatori e contribuire ad accrescere l'efficacia e la coerenzadegli interventiª.

( 12 ) Cfr. lasezione 7 del parere del GEPD sulla comunicazione della Commissione alParlamento europeo, al Consiglio, al Comitato economico e sociale europeo e alComitato delle regioni — ´Un approccio globale alla protezione dei datipersonali nell'Unione europeaª, emesso il 14 gennaio 2011(http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2011/11-01-14_Personal_Data_Protection_EN.pdf).

( 13 ) Idem.

( 14 ) La Commissione dovrebbe inoltreprendere in considerazione l'ipotesi, se del caso, di realizzare almeno unavalutazione parziale dell'impatto sulla protezione dei dati e della vita privataal fine di esaminare lo scopo, la durata e le modalità del periodo diconservazione ed eventualmente discutere altre questioni in sospeso che nonsono ancora state affrontate approfonditamente.

( 15 ) Cfr. la sezione 6.3 del pareredel GEPD del 14 gennaio 2011 citato in precedenza.