IL GARANTE EUROPEO DELLA PROTEZIONEDEI DATI visto il trattato sul funzionamentodell'Unione europea, in particolare l'articolo 16, vista la Carta dei dirittifondamentali dell'Unione europea, in particolare gli articoli 7 e 8, vista la direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati ( visto il regolamento (CE) n. 45/2001del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente latutela delle persone fisiche in relazione al trattamento dei dati personali daparte delle istituzioni e degli organismi comunitari, nonché la liberacircolazione di tali dati (2 vista la richiesta di parere a normadell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001,
HA ADOTTATO IL SEGUENTE PARERE: 1. INTRODUZIONE 1.1. Consultazione del GEPD 1. Il 29 agosto 2011 la Commissioneha adottato una proposta di regolamento («la proposta» o «la proposta diregolamento») del Parlamento europeo e del Consiglio relativo alla cooperazioneamministrativa attraverso il sistema di informazione del mercato interno(«regolamento IMI») (3 2. Prima che fosse adottata laproposta, al GEPD è stata data la possibilità di fornire osservazioni informalisulla proposta e, preliminarmente, sulla comunicazione della Commissione «Migliorarela governance del mercato interno attraverso una più stretta cooperazioneamministrativa - Una strategia per estendere e sviluppare il sistema diinformazione del mercato interno (IMI)» («comunicazione su una strategia perl'IMI») (4 3. Il GEPD si compiace di esserestato consultato formalmente dalla Commissione e che nel preambolo dellaproposta si faccia riferimento al presente parere. 1.2. Obiettivi e campo diapplicazione della proposta 4. L'IMI è uno strumento informaticoche consente alle autorità competenti degli Stati membri di scambiarsiinformazioni nell'ambito dell'applicazione della legislazione sul mercatointerno. L'IMI consente alle autorità nazionali, regionali e locali degli Statimembri dell'UE di comunicare in modo rapido e semplice con le rispettivecontroparti di altri paesi europei. Ciò comporta anche l'elaborazione dei datipersonali pertinenti, compresi dati sensibili. 5. Inizialmente sviluppato comestrumento di comunicazione per scambi biunivoci ai sensi della direttiva sullequalifiche professionali (5 6. Tuttavia, l'IMI intende essere unsistema flessibile e orizzontale in grado di supportare molteplici settoridella legislazione sul mercato interno. In futuro, il suo uso dovrebbe esseregradualmente esteso a sostegno di ulteriori settori legislativi. 7. Inoltre, è in programmal'espansione delle funzioni dell'IMI. Oltre agli scambi biunivoci diinformazioni, sono ugualmente previste, o già attuate, altre funzioni come «leprocedure di notifica, i meccanismi di allerta, le disposizioni in materia dimutua assistenza e la risoluzione dei problemi» ( 8. La proposta intende dotare l'IMIdi una base giuridica chiara e di un quadro completo di protezione dei dati. 1.3. Contesto della proposta: unapproccio graduale inteso a istituire per l'IMI un quadro completo per laprotezione dei dati 9. Durante la primavera del 2007, laCommissione ha chiesto il parere del gruppo di lavoro «articolo 29» per latutela dei dati personali («WP29») allo scopo di esaminare le conseguenzedell'IMI in termini di protezione dei dati. Il 20 settembre 2007 il WP29 haemesso il suo parere (10 10. Successivamente, il GEPD hacontinuato a fornire alla Commissione ulteriori indicazioni su come assegnareall'IMI, in maniera graduale, un quadro per la protezione dei dati più completo(11
2. ANALISI DELLAPROPOSTA 2.1. Parere generale del GEPD sullaproposta e sulle sfide principali poste dall'IMI 11. Il parere generale del GEPDsull'IMI è positivo. Il GEPD è favorevole allo scopo perseguito dallaCommissione nell'istituire un sistema elettronico per lo scambio diinformazioni e nel disciplinarne gli aspetti inerenti alla protezione dei dati.Tale sistema semplificato non solo migliorerà l'efficacia della cooperazione,ma potrebbe anche contribuire a garantire il rispetto delle leggi vigenti inmateria di protezione dei dati, approntando un quadro chiaro per stabilirequali informazioni possono essere scambiate, con chi e a quali condizioni. 12. Il GEPD accoglie inoltre consoddisfazione il fatto che la Commissione proponga per l'IMI uno strumentogiuridico orizzontale, nella forma di un regolamento del Parlamento e delConsiglio. È lieto che la proposta metta in luce in modo esauriente lequestioni più pertinenti della protezione dei dati che riguardano l'IMI. Le sueosservazioni vanno lette a fronte di questo contesto positivo. 13. Tuttavia, il GEPD avverte che lacreazione di un sistema elettronico centralizzato per più aree di cooperazioneamministrativa comporta anche certi rischi. In primo luogo, per esempio,potrebbe essere scambiata una maggiore quantità di dati e in modo più ampio diquanto strettamente necessario ai fini di una cooperazione efficace; esiste poiil rischio che i dati, compresi i dati potenzialmente non aggiornati eimprecisi, possano rimanere nel sistema elettronico più a lungo di quantonecessario. La sicurezza di un sistema informativo accessibile in 27 Statimembri è anch'essa una questione sensibile poiché l'intero sistema è sicurosolo nella misura consentita dall'elemento più debole. S f i d e p r i n c i p a l i 14. Per quanto riguarda il quadrogiuridico dell'IMI da stabilire nella proposta di regolamento, il GEPD richiamal'attenzione su due sfide principali: - la necessità di garantire lacoerenza, nel rispetto della diversità, e - la necessità di contemperareflessibilità e certezza del diritto. 15. Queste sfide principalicostituiscono importanti punti di riferimento e determinano, in larga misura,l'approccio adottato dal GEPD nel presente parere. C o e r e n z a n e l r i s p e t to d e l l a d i ve r s i t à 16. Innanzitutto, l'IMI è un sistemautilizzato da 27 Stati membri. Allo stato attuale dell'armonizzazione delleleggi europee, esistono notevoli differenze tra le procedure amministrativenazionali e tra le leggi nazionali sulla protezione dei dati. L'IMI deve esseresviluppato in modo tale che gli utenti di ciascuno di questi 27 Stati membrisiano messi nella condizione di rispettare le loro leggi nazionali, comprese leleggi nazionali sulla protezione dei dati, durante lo scambio dei datipersonali attraverso l'IMI. Al contempo, gli interessati devono anche essererassicurati sul fatto che i loro dati saranno costantemente protetti,indipendentemente dal trasferimento dei dati verso un altro Stato membrotramite l'IMI. La coerenza, nel rispetto della diversità, è una sfidafondamentale per lo sviluppo dell'infrastruttura tecnica e giuridica dell'IMI.È necessario evitare complessità e frammentazioni inutili. Le operazioni ditrattamento dei dati all'interno dell'IMI devono essere trasparenti e leresponsabilità delle decisioni riguardanti la progettazione del sistema, lamanutenzione e l'uso giornalieri, nonché della sorveglianza, devono esserechiaramente attribuite. C o n t e m p e r a r e d i r i t to f l e s s i b i l i t à e c e r t e z z a d e l d i r i t t o 17. In secondo luogo, a differenza dialcuni altri sistemi informatizzati su larga scala, come per esempio il sistemad'informazione Schengen, il sistema di informazione visti, il sistemainformativo doganale, o Eurodac, che sono tutti incentrati sulla cooperazionein specifiche aree ben definite, l'IMI è uno strumento orizzontale per loscambio di informazioni e può essere utilizzato per agevolare lo scambio diinformazioni in svariati settori politici. È inoltre previsto che il campo diapplicazione dell'IMI venga esteso gradualmente ad aree politiche supplementarie che le relative funzioni possano essere modificate per integrare tipologie dicooperazione amministrativa finora non specificate. Tali caratteristichedistintive dell'IMI rendono più difficile definire con chiarezza le funzionidel sistema e gli scambi di dati che possono aver luogo nel sistema. Di conseguenza,risulta ancor più difficile definire in modo chiaro le adeguate salvaguardieper la protezione dei dati. 18. Il GEPD riconosce che ènecessaria una certa flessibilità e prende atto della volontà della Commissionedi rendere il regolamento «a prova di futuro». Tuttavia, tale scelta nondovrebbe determinare una situazione in cui le funzioni del sistema e lesalvaguardie per la protezione dei dati che dovranno essere attuate manchino dichiarezza o certezza del diritto. Per questo motivo, ove possibile, la propostadovrebbe essere più specifica e non limitarsi a ribadire i principifondamentali della protezione dei dati stabiliti dalla direttiva 95/46/CE e dalregolamento (CE) n. 45/2001 (14 2.2. Campo di applicazione edespansione prevista dell'IMI (articoli 3 e 4) 2.2.1. Introduzione 19. Il GEPD si compiace della chiaradefinizione dell'attuale campo d'applicazione dell'IMI contenuta nell'allegatoI, che enumera gli atti dell'Unione pertinenti in base ai quali lo scambio diinformazioni può essere effettuato. Fra questi vi è la cooperazionedisciplinata dalle specifiche disposizioni della direttiva sulle qualificheprofessionali, della direttiva sui servizi e della direttiva concernentel'applicazione dei diritti dei pazienti relativi all'assistenza sanitariatransfrontaliera (15 20. Poiché è prevista l'estensionedel campo di applicazione dell'IMI, gli obiettivi potenziali di tale azionesono elencati nell'allegato II. Gli elementi dell'allegato II possono esserespostati all'allegato I mediante un atto delegato adottato dalla Commissione aseguito di una valutazione d'impatto ( 21. Il GEPD è favorevole a questatecnica poiché i) delimita chiaramente il campo di applicazione dell'IMI; e ii)assicura la trasparenza; pur iii) offrendo nel contempo flessibilità nel casoin cui l'IMI sia usato in futuro per altri scambi di informazioni. Consenteinoltre di escludere qualsiasi scambio di informazioni attraverso l'IMI inmancanza di i) una base giuridica adeguata nella legislazione specifica sulmercato interno che autorizzi o prescriva lo scambio di informazioni ( 22. Ciò premesso, esistono ancoraincertezze per quanto riguarda il campo di applicazione dell'IMI in relazioneai settori verso cui estendere l'IMI e alle funzioni che sono o possono essereintegrate nell'IMI. 23. In primo luogo, non si puòescludere che il campo di applicazione dell'IMI possa essere esteso oltre isettori di cui all'allegato I e all'allegato II. Questo potrebbe accadere sel'uso dell'IMI è previsto per alcune tipologie di scambi di informazioni non inun atto delegato della Commissione ma in un atto adottato dal Parlamento e dalConsiglio qualora non fosse contemplato dall'allegato II ( 24. In secondo luogo, mentrel'estensione del campo di applicazione a nuovi settori può richiedere, inalcuni casi, modifiche lievi o nulle alle funzioni esistenti del sistema ( - anche se la proposta si riferisce apiù di una funzione esistente o in progetto, questi riferimenti risultanospesso non sufficientemente chiari o dettagliati. Questo vale, in diversamisura, per i riferimenti alle allerta, ai soggetti esterni, ai repertori, alledisposizioni in materia di mutua assistenza e alla risoluzione dei problemi ( - ai sensi della proposta diregolamento è possibile adottare nuove tipologie di funzioni che non sonoassolutamente menzionate nella proposta, - l'IMI è stato finora definito comeuno strumento informatizzato per lo scambio di informazioni: in altre parole,uno strumento di comunicazione (si veda, per esempio, l'articolo 3 dellaproposta). Tuttavia, alcune delle funzioni di cui alla proposta, fra cui il«repertorio delle informazioni», sembrano andare oltre tale definizione. Laproposta di estendere i periodi di conservazione a cinque anni suggerisce ancheil passaggio verso una «banca dati». Questi sviluppi cambierebbero radicalmenteil carattere dell'IMI (21 2.2.2. Raccomandazioni 25. Per far fronte a questeincertezze, il GEPD raccomanda un duplice approccio. Innanzitutto, propone chele funzioni già prevedibili siano chiarite e affrontate in modo più specificoe, secondo, che siano applicate le salvaguardie procedurali del caso pergarantire che la protezione dei dati sia scrupolosamente presa in considerazionedurante il futuro sviluppo dell'IMI. C h i a r i m e n t o d e l l e fu n z io n i g i à d i s p o n i b i l i o p r e v ed i b i l i ( p e r e s e m p i o s c a m b i b i u n i v o c i, a ll e r t a, r e p e r t o r i , r i s o l u z i o n e d e i p r o b l e m i e s o g g e t t i e s t e r n i ) 26. Il GEPD raccomanda che ilregolamento sia più specifico rispetto alle funzioni già note, come nel casodegli scambi di informazioni di cui agli allegati I e II. 27. Per esempio, potrebbero esserepreviste misure più specifiche e chiare per l'integrazione di SOLVIT ( 28. Ulteriori chiarimenti sononecessari per le «allerta» che sono già in uso ai sensi della direttiva suiservizi e potrebbero essere anche introdotte in nuovi settori. In particolare,la funzione «allerta» dovrebbe essere chiaramente definita nell'articolo 5(insieme ad altre funzioni, come gli scambi biunivoci di informazioni e irepertori). I diritti di accesso e i periodi di conservazione per le allertadevono essere chiariti (23 S a l v a g u a r d i e p r o c e du r a l i ( v a l u t a z i o n e d ' i m p a t t o i n m a t e r i a d i pro t e z io n e d e i d a t i e c o n s u l t a z i o n e d e l l e a ut o r i t à p e r l a p r o t e z io n e d e i d a t i ) 29. Se l'intenzione è quella dimantenere il regolamento «a prova di futuro» introducendo nuove funzioni chepossono rivelarsi necessarie nel lungo termine e, quindi, consentire funzioniaggiuntive non ancora definite nel regolamento, sarebbe opportuno prevedereadeguate salvaguardie procedurali per garantire che siano sviluppatedisposizioni pertinenti volte ad attuare le necessarie salvaguardie per laprotezione dei dati prima dell'avvio della nuova funzione. Lo stesso dovrebbevalere per le estensioni verso nuovi settori suscettibili di avere un impattosulla protezione dei dati. 30. Il GEPD raccomanda di creare unmeccanismo chiaro in grado di garantire che prima di ciascuna estensione dellefunzioni o espansione verso nuovi settori, le questioni riguardanti laprotezione dei dati siano valutate in modo attento e, se necessario, di attuareulteriori misure di salvaguardia o misure tecniche nell'architettura dell'IMI.In particolare: - la valutazione d'impatto menzionataa pagina 4 della relazione deve essere specificamente richiesta nel regolamentostesso, e dovrebbe anche includere una valutazione d'impatto in termini diprotezione dei dati che stabilisca in particolare se e quali cambiamenti sononecessari nella progettazione dell'IMI affinché tale sistema continui agarantire adeguate salvaguardie per la protezione dei dati, prendendo inconsiderazione anche i nuovi settori e/o le nuove funzioni, - il regolamento dovrebbe prevedereespressamente che la consultazione del GEPD e delle autorità nazionali per laprotezione dei dati sia necessaria prima di ogni estensione dell'IMI. Questaconsultazione può avvenire attraverso il meccanismo previsto per il controllocoordinato di cui all'articolo 20. 31. Tali salvaguardie procedurali(valutazione d'impatto in termini di protezione dei dati e consultazione)dovrebbero essere applicate all'estensione, sia attraverso un atto delegatodella Commissione (lo spostamento di un elemento dall'allegato II all'allegatoI), sia attraverso un regolamento del Parlamento europeo e del Consiglio nonelencato nell'allegato II. 32. Infine, il GEPD raccomanda che ilregolamento chiarisca se la portata degli atti delegati che la Commissione saràautorizzata ad adottare ai sensi dell'articolo 23 comprende tutte le altrequestioni al di là del trasferimento degli elementi dall'allegato II all'allegatoI. Eventualmente, la Commissione dovrebbe essere autorizzata dal regolamento adadottare specifici atti di esecuzione o delegati per definire ulteriormente lefunzioni aggiuntive del sistema o risolvere eventuali problemi di protezionedei dati che potrebbero sorgere in futuro. 2.3. Ruoli, competenze eresponsabilità (articoli 7-9) 33. Il GEPD accoglie con favore ilfatto che l'intero capo II sia stato dedicato a chiarire le funzioni e icompiti dei diversi partecipanti all'IMI. Le disposizioni potrebbero essererafforzate ulteriormente come segue. 34. L'articolo 9 descrive leresponsabilità che derivano dal ruolo della Commissione in veste dicontrollore. Il GEPD raccomanda ancora l'inserimento di una disposizionesupplementare che faccia riferimento al ruolo della Commissione nel garantireche il sistema sia progettato applicando i principi della «privacy by design»nonché al suo ruolo di coordinamento in ordine alle questioni riguardanti laprotezione dei dati. 35. Il GEPD è lieto di prendere attoche fra i compiti dei coordinatori IMI di cui all'articolo 7 figurano nellospecifico le attività di coordinamento in materia di protezione dei dati,compreso il ruolo di interlocutore della Commissione. Raccomanda inoltre dichiarire ulteriormente che le attività di coordinamento prevedono anche icontatti con le autorità nazionali per la protezione dei dati. 2.4. Diritti di accesso (articolo 10) 36. L'articolo 10 prevede misure disalvaguardia in relazione ai diritti di accesso. Il GEPD si compiace del fattoche, a seguito delle sue osservazioni, tali disposizioni sono statenotevolmente rafforzate. 37. Considerando la naturaorizzontale ed espansiva dell'IMI, è importante assicurare che il sistemagarantisca l'applicazione del concetto di «muraglie cinesi» che limita leinformazioni trattate in un settore specifico solamente a tale settore: gliutenti dell'IMI dovrebbero avere accesso alle informazioni i) solo seeffettivamente necessario e ii) limitatamente a un unico settore. 38. Se è inevitabile che un utentedell'IMI abbia diritto di accedere alle informazioni di vari settori (come puòavvenire, per esempio, in alcuni uffici del governo locale), come minimo ilsistema non dovrebbe consentire la combinazione di informazioni provenienti dasettori diversi. Se del caso, eventuali eccezioni andrebbero specificatenell'applicazione della normativa o in un atto dell'Unione, osservandorigorosamente il principio di limitazione delle finalità. 39. Questi principi sono ormaidelineati nel testo del regolamento, ma potrebbero essere ulteriormenterafforzati e resi operativi. 40. Per quanto riguarda i diritti diaccesso della Commissione, il GEPD si compiace del fatto che gli articoli 9,paragrafi 2 e 4, e 10, paragrafo 6, della proposta, nel complesso, prescrivanoche la Commissione non avrà accesso ai dati personali scambiati tra Statimembri, salvo nei casi in cui la Commissione venga designata come partecipantea una procedura di cooperazione amministrativa. 41. I diritti di accesso da parte disoggetti esterni e il diritto di accesso alle allerta devono essereulteriormente specificati (24 2.5. Conservazione dei dati personali(articoli 13 e 14) 2.5.1. Introduzione 42. L'articolo 13 della propostaestende la durata della conservazione dei dati all'interno dell'IMI dagli attualisei mesi (che decorrono dalla chiusura del caso) a cinque anni, e trascorsi 18mesi i dati vengono «bloccati». Durante il periodo di «blocco», i dati sonoaccessibili solo a seguito di una procedura specifica per il recupero, che puòessere avviata con il consenso dell'interessato o «a fini di prova di unoscambio di informazioni mediante l'IMI». 43. In realtà, in questo modo, i datisono conservati nell'IMI durante tre periodi distinti: - dal momento dell'immissione almomento della chiusura del caso, - dalla chiusura del caso per unperiodo di 18 mesi (25 - dallo scadere del periodo di 18mesi, in forma bloccata, per un ulteriore periodo di tre anni e sei mesi (inaltri termini, fino allo scadere dei cinque anni dalla chiusura del caso). 44. Al di là di queste regolegenerali, l'articolo 13, paragrafo 2 consente la conservazione dei dati in un«repertorio di informazioni» fintanto che sia necessario a questo scopo, con ilconsenso dell'interessato o se «necessario per ottemperare a un atto dell'Unioneeuropea». Inoltre, l'articolo 14 prevede un meccanismo di blocco simile per laconservazione dei dati personali degli utenti dell'IMI, per cinque anni, apartire dalla data in cui cessano di essere utenti dell'IMI. 45. Non vi sono altre disposizioni specifiche.Quindi, presumibilmente, le regole generali sono destinate a essere applicatenon solo a scambi biunivoci, ma anche alle allerta, alla risoluzione deiproblemi [come in SOLVIT (26 46. Il GEPD ha varie preoccupazioniper quanto riguarda i periodi di conservazione, dal momento che l'articolo 6,paragrafo 1, lettera e), della direttiva 95/46/CE e l'articolo 4, paragrafo 1,lettera e), del regolamento (CE) n. 45/2001, richiedono entrambi che i datipersonali siano conservati per un arco di tempo non superiore a quellonecessario al conseguimento delle finalità per le quali sono raccolti osuccessivamente trattati. 2.5.2. Dall'immissione alla chiusuradel caso: l'esigenza di chiudere i casi nei tempi 47. Per il primo periodo,dall'immissione dei dati alla chiusura del caso, il GEPD teme il rischio chealcuni casi non vengano mai chiusi o chiusi solo dopo un periodo eccessivamentelungo. Tale situazione può comportare la conservazione nella banca dati dialcuni dati personali oltre il necessario, o addirittura a tempo indeterminato. 48. Il GEPD riconosce i progressicompiuti dalla Commissione sul piano pratico per ridurre il lavoro arretratodell'IMI. A tal fine, è in atto un sistema per gli scambi biunivoci che esegueun monitoraggio tempestivo dei casi chiusi e avverte periodicamente sui casiche registrano ritardi. Inoltre, seguendo un approccio «privacy by design», ilsistema è stato dotato di nuove funzioni che consentono, premendo un solopulsante, di accettare una risposta e, allo stesso tempo, di chiudere il caso.In precedenza questo richiedeva due azioni distinte e potrebbe aver contribuitoalla permanenza nel sistema di alcuni casi inattivi. 49. Il GEPD apprezza gli sforzicompiuti a livello pratico. Tuttavia, raccomanda che il testo del regolamentostesso garantisca che i casi vengano chiusi in modo tempestivo nell'IMI e che icasi inattivi (ossia i casi senza alcuna attività recente) vengano eliminatidalla banca dati. 2.5.3. Dalla chiusura del caso a 18mesi: la proroga di sei mesi è giustificata? 50. Il GEPD invita a valutarenuovamente se sia debitamente giustificato prorogare l'attuale periodo di seimesi fino a 18 mesi successivamente alla chiusura del caso e, in casoaffermativo, se tale giustificazione si applichi solamente a uno scambiobiunivoco di informazioni o anche ad altri tipi di funzioni. L'IMI è oraoperativo da diversi anni e l'esperienza pratica acquisita in tal sensodovrebbe essere sfruttata. 51. Se l'IMI rimane uno strumento perlo scambio di informazioni (al contrario di un sistema di gestione difascicoli, una banca dati o un sistema di archiviazione) e purché le autoritàcompetenti dispongano di mezzi per recuperare dal sistema le informazioni ricevute[elettronicamente o su forma cartacea, ma in ogni caso in modo che esse possanoutilizzare le informazioni recuperate come prova ( 52. In uno scambio biunivoco diinformazioni l'esigenza potenziale di porre domande di follow-up anche dopo cheuna risposta è stata accettata e, quindi, un caso è stato chiuso, può forsegiustificare un periodo di conservazione (ragionevolmente breve) dopo lachiusura del caso. L'attuale periodo di sei mesi prima facie sembra essereabbastanza generoso a tal fine. 2.5.4. Dai 18 mesi ai cinque anni:dati «bloccati» 53. Il GEPD ritiene che laCommissione non abbia inoltre fornito una giustificazione sufficiente per lanecessità e la proporzionalità della conservazione dei «dati bloccati» per unperiodo di cinque anni. 54. La relazione, a pagina 8, fariferimento alla sentenza pronunciata dalla Corte di giustizia nella causaRijkeboer (28 55. Secondo il GEPD, il riferimentoalla sentenza Rijkeboer o i diritti degli interessati di avere accesso aipropri dati non è una giustificazione sufficiente e adeguata per conservare idati nell'IMI durante cinque anni dopo la chiusura del caso. La conservazionedei soli «dati di registro» (rigorosamente definiti per escludere qualsiasicontenuto, compresi tutti gli allegati o i dati sensibili) potrebbe essereun'opzione meno intrusiva che forse merita maggiore attenzione. Tuttavia, ilGEPD non è convinto che, in questa fase, tale soluzione sia necessaria oproporzionata. 56. Inoltre, costituisce un problemaanche la mancanza di chiarezza su chi può accedere ai «dati bloccati» e perquali scopi. Il semplice riferimento a utilizzare «a fini di prova di unoscambio di informazioni» (di cui all'articolo 13, paragrafo 3) non èsufficiente. Se la disposizione riguardante il «blocco» viene mantenuta, inogni caso sarebbe meglio chiarire chi può richiedere una prova dello scambio diinformazioni e in quale contesto. Oltre alla persona interessata, gli altriavrebbero il diritto di chiedere l'accesso? In caso affermativo, sarebbero lesole autorità competenti e unicamente per dimostrare che un particolare scambiodi informazioni con un contenuto particolare ha avuto luogo (nel caso in cui loscambio sia contestato dalle autorità competenti che hanno inviato o ricevutoil messaggio)? Sono previsti altri possibili usi «a fini di prova di unoscambio di informazioni» (29 2.5.5. Allerta 57. Il GEPD raccomanda che unadistinzione più chiara andrebbe operata tra allerta e repertori diinformazioni. Un conto è utilizzare un'allerta come strumento di comunicazioneper avvisare le autorità competenti di una particolare infrazione o casosospetto e un altro è conservare l'allerta in una banca dati per un lungo periodoo anche a tempo indeterminato. La conservazione delle informazioni riguardantil'allerta dà luogo ad altri problemi e richiede norme specifiche e ulteriorisalvaguardie per la protezione dei dati. 58. Pertanto, il GEPD raccomanda cheil regolamento preveda, come regola di base, quanto segue: i) se nondiversamente specificato nella legislazione verticale, e fatte salve nuovesalvaguardie adeguate, un periodo di conservazione di sei mesi deve applicarsiall'allerta e, in particolare, ii) questo periodo ha inizio dal momentodell'invio dell'allerta. 59. In alternativa, il GEPDraccomanda che le salvaguardie dettagliate per quanto riguarda i meccanismi diallerta siano espressamente indicate nella proposta di regolamento. Il GEPD èdisposto ad assistere la Commissione e i legislatori con ulteriori consigli intal senso, qualora venga seguito questo secondo approccio. 2.6. Categorie particolari di dati(articolo 15) 60. Il GEPD accoglie con favore ladistinzione tra i dati personali di cui all'articolo 8, paragrafo 1, delladirettiva 95/46/CE, da un lato, e i dati personali di cui all'articolo 8,paragrafo 5, dall'altro. Si compiace inoltre che il regolamento indichichiaramente che le categorie particolari di dati possono essere trattatesoltanto sulla base di un motivo specifico di cui all'articolo 8 delladirettiva 95/46/CE. 61. A questo proposito, il GEPDintuisce che l'IMI tratterà una quantità significativa di dati sensibili di cuiall'articolo 8, paragrafo 2, della direttiva 95/46/CE. Infatti, sin dall'inizio,quando è stato sviluppato per sostenere la cooperazione amministrativa ai sensidella direttiva sui servizi e della direttiva sulle qualifiche professionali,l'IMI è stato progettato per trattare tali dati, in particolare, i datirelativi ai registri di reati e infrazioni amministrative che possono avereconseguenze sul diritto di un professionista o un fornitore di servizi aeseguire lavori/erogare servizi in un altro Stato membro. 62. Inoltre, una notevole quantità didati sensibili ai sensi dell'articolo 8, paragrafo 1 (in particolare dati dicarattere sanitario), sarà probabilmente trattata nell'IMI dopo chequest'ultimo verrà esteso per integrare un modulo per SOLVIT ( 2.7. Sicurezza (articolo 16 econsiderando 16) 63. Il GEPD si compiace chel'articolo 16 si riferisce specificamente all'obbligo della Commissione diseguire le proprie regole interne adottate per conformarsi alle disposizionidell'articolo 22 del regolamento (CE) n. 45/2001 e adottare e tenere aggiornatoun piano di sicurezza per l'IMI. 64. Per rafforzare ulteriormente talidisposizioni, il GEPD raccomanda che il regolamento imponga una valutazione deirischi e una revisione del piano di sicurezza prima di qualsiasi espansionedell'IMI a un settore nuovo o prima di aggiungere una nuova funzione avente unimpatto sui dati personali (31 65. Inoltre, il GEPD rileva anche chel'articolo 16 e il considerando 16 si riferiscono solo agli obblighi dellaCommissione e al ruolo di controllo del GEPD. Tale riferimento può esserefuorviante. Se è vero che la Commissione è l'operatore del sistema e, cometale, è responsabile di una parte precipua del mantenimento della sicurezzanell'IMI, le autorità competenti hanno inoltre obblighi che sono, a loro volta,soggetti al controllo delle autorità nazionali per la protezione dei dati.Pertanto, l'articolo 16 e il considerando 16 dovrebbero anch'essi fare riferimentoagli obblighi in materia di sicurezza applicabili al resto dei soggettidell'IMI ai sensi della direttiva 95/46/CE e ai poteri di controllo delleautorità nazionali per la protezione dei dati. 2.8. Informazione degli interessati etrasparenza (articolo 17) 2.8.1. Informazione fornita negliStati membri 66. Con riferimento all'articolo 17,paragrafo 1, il GEPD raccomanda disposizioni più specifiche nel regolamento perassicurare che le persone interessate siano pienamente informate in merito altrattamento dei propri dati nell'IMI. Considerando che l'IMI è utilizzato dapiù autorità competenti, tra cui molti piccoli uffici di governi locali che nonhanno a disposizione risorse sufficienti, si raccomanda vivamente che lapubblicazione dell'avvertenza sia coordinata a livello nazionale. 2.8.2. Informazione fornita dallaCommissione 67. L'articolo 17, paragrafo 2,lettera a), impone alla Commissione di pubblicare un'avvertenza sulla tuteladella sfera privata riguardante le sue attività di trattamento dei daticonformemente agli articoli 10 e 11 del regolamento (CE) n. 45/2001. Inoltre,l'articolo 17, paragrafo, 2, lettera b), prescrive che la Commissione forniscaanche informazioni «sugli aspetti inerenti alla protezione dei dati delleprocedure di cooperazione amministrativa nell'ambito dell'IMI di cuiall'articolo 12». Infine, ai sensi dell'articolo 17, paragrafo 2, lettera c),la Commissione fornisce informazioni su «deroghe o limitazioni ai diritti degliinteressati di cui all'articolo 19». 68. Il GEPD constata consoddisfazione che queste disposizioni favoriscono la trasparenza delleoperazioni di trattamento dei dati nell'IMI. Come indicato al precedenteparagrafo 2.1, quando un sistema informatizzato è utilizzato in 27 Stati membridiversi, è fondamentale garantire la coerenza per quanto riguarda ilfunzionamento del sistema, le salvaguardie per la protezione dei dati applicatee le informazioni che vengono fornite agli interessati ( 69. Detto questo, le disposizionidell'articolo 17, paragrafo 2, dovrebbero essere ulteriormente rafforzate. LaCommissione, in qualità di operatore del sistema, è nella posizione miglioreper assumere un ruolo proattivo nel fornire un primo «livello» di avvertenza inmerito alla protezione dei dati e ad altre informazioni pertinenti per gliinteressati sul suo sito web multilingue, anche «per conto di» autoritàcompetenti, ossia le informazioni previste dagli articoli 10 e 11 delladirettiva 95/46/CE. Sarebbe quindi spesso sufficiente che le avvertenze fornitedalle autorità competenti degli Stati membri facciano semplicemente riferimentoall'avvertenza fornita dalla Commissione, completandola secondo necessità peradempiere a eventuali informazioni supplementari specificamente richieste dallalegge nazionale. 70. Inoltre, l'articolo 17, paragrafo2, lettera b), dovrebbe chiarire che le informazioni fornite dalla Commissioneriguardano complessivamente tutti i settori, tutti i tipi di procedure dicooperazione amministrativa e tutte le funzioni all'interno dell'IMI e includononella fattispecie le categorie di dati che possono essere trattati. Ciòdovrebbe prevedere anche la pubblicazione delle serie di domande utilizzatenell'ambito di una cooperazione biunivoca sul sito web dell'IMI, come vienefatto attualmente nella pratica. 2.9. Diritto di accesso, rettifica ecancellazione (articolo 18) 71. Il GEPD vorrebbe fare riferimentoancora una volta, come indicato sopra al paragrafo 2.1, al fatto che èfondamentale garantire la coerenza del funzionamento del sistema e dell'applicazionedelle salvaguardie per la protezione dei dati. Per questo motivo, il GEPDintende specificare ulteriormente le disposizioni per quanto concerne dirittidi accesso, rettifica e cancellazione. 72. L'articolo 18 dovrebbespecificare a chi si devono rivolgere gli interessati per una richiesta diaccesso. Tale aspetto dovrebbe essere chiarito in riferimento all'accesso aidati durante i diversi periodi: - prima della chiusura del caso, - dopo la chiusura del caso ma primadel termine del periodo di conservazione di 18 mesi, - e, infine, durante il periodo incui i dati sono «bloccati». 73. Il regolamento dovrebbe ancheinvitare le autorità competenti a cooperare relativamente alle richieste diaccesso, se necessario. La rettifica e la cancellazione dovrebbero essereeffettuate «nel più breve tempo possibile e comunque entro 60 giorni» anziché«entro 60 giorni». Si dovrebbe anche fare riferimento alla possibilità dicreare un modulo per la protezione dei dati e di adottare soluzioni basate sulconcetto di «privacy by design» per la cooperazione tra le autorità in materiadi diritti di accesso, oltre alla «responsabilizzazione degli interessati», peresempio fornendo loro un accesso diretto ai dati, se pertinente e possibile. 2.10. Controllo (articolo 20) 74. Negli ultimi anni è statosviluppato il modello di «controllo coordinato». Questo modello di controllo,attualmente operativo a livello di Eurodac e delle parti del sistemainformativo doganale, è stato adottato anche dal sistema di informazione visti(VIS) e dal sistema d'informazione Schengen di seconda generazione (SIS II). 75. Questo modello si articola su trelivelli: - il controllo a livello nazionale ègarantito dalle autorità per la protezione dei dati, - il controllo a livello di UE ègarantito dal GEPD, - il coordinamento è garantito dariunioni periodiche convocate dal GEPD, che espleta le funzioni di segreteriaper questo meccanismo di coordinamento. 76. Questo modello si è rivelatoefficace ed effettivo e in futuro dovrà essere previsto per altri sistemi diinformazione. 77. Il GEPD si compiace del fatto chel'articolo 20 della proposta stabilisce specificamente il controllo coordinatotra le autorità nazionali di protezione dei dati e il GEPD seguendo - a grandilinee - il modello stabilito nei regolamenti VIS e SIS II ( 78. Il GEPD rafforzerebbe ledisposizioni sul controllo coordinato in alcuni punti e a tal fine sosterrebbedisposizioni simili a quelle in atto, per esempio nel contesto del sistema diinformazione visti (articoli 41-43 del regolamento VIS), Schengen II (articoli44-46 del regolamento SIS II) e previsti per Eurodac ( - all'articolo 20, paragrafi 1 e 2,stabilisse e dividesse in modo più chiaro i rispettivi compiti di controllodelle autorità nazionali per la protezione dei dati e del GEPD ( - all'articolo 20, paragrafo 3,specificasse che le autorità nazionali per la protezione dei dati e il GEPD,ciascuno nell'ambito delle proprie competenze, «cooperano attivamente» e«assicurano il controllo coordinato dell'IMI» (piuttosto che semplicemente fareriferimento al controllo coordinato senza menzionare la cooperazione attiva) ( - specificasse, in modo piùdettagliato, cosa può comprendere la cooperazione, per esempio richiedendo chele autorità nazionali per la protezione dei dati e il GEPD «se necessario,ciascuno nei limiti delle proprie competenze, si scambiano informazionipertinenti, si assistono vicendevolmente nello svolgimento di revisioni eispezioni, esaminano difficoltà di interpretazione o applicazione del presenteregolamento, studiano problemi inerenti all'esercizio di un controlloindipendente o all'esercizio dei diritti delle persone cui i dati siriferiscono, elaborano proposte armonizzate per soluzioni congiunte dieventuali problemi e promuovono la sensibilizzazione del pubblico in materia didiritti di protezione dei dati» (37 79. Detto questo, il GEPD èconsapevole dell'attuale dimensione ridotta, della diversa natura dei datitrattati, così come della natura in evoluzione dell'IMI. Quindi, riconosce cheper quanto riguarda la frequenza delle riunioni e verifiche, una maggioreflessibilità può essere consigliabile. In breve, il GEPD raccomanda che ilregolamento preveda le regole minime necessarie per garantire una cooperazioneefficace, evitando di creare inutili oneri amministrativi. 80. L'articolo 20, paragrafo 3, dellaproposta non prevede incontri periodici, ma stabilisce semplicemente che ilGEPD può «invitare le autorità nazionali di controllo a riunirsi [...] nei casiin cui sia necessario». Il GEPD accoglie con favore il fatto che talidisposizioni lascino decidere alle parti interessate in merito alla frequenza ealle modalità degli incontri, così come ad altri dettagli proceduraliriguardanti la loro cooperazione. Tali incontri possono essere concordati nelregolamento interno, cui si fa già riferimento nella proposta. 81. Per quanto riguarda la regolaritàdegli audit, può risultare più efficace lasciare alle autorità cooperanti ilcompito di determinare, nei loro regolamenti interni, quando e con qualefrequenza far espletare tali audit. Questo può dipendere da una serie difattori e può anche cambiare nel tempo. Di conseguenza, il GEPD sostienel'approccio della Commissione che consente una maggiore flessibilità anche inquesto senso. 2.11. Uso nazionale dell'IMI 82. Il GEPD si compiace del fatto chela proposta fornisca una base giuridica chiara per l'uso nazionale dell'IMI eche tale uso sia soggetto a diverse condizioni, compreso il fatto chel'autorità nazionale per la protezione dei dati debba essere consultata e chel'uso debba essere conforme alla normativa nazionale. 2.12. Scambio di informazioni conpaesi terzi (articolo 22) 83. Il GEPD accoglie consoddisfazione le condizioni di cui all'articolo 22, paragrafo 1, riguardanti loscambio di informazioni, così come il fatto che l'articolo 22, paragrafo 3garantisce la trasparenza dell'espansione mediante pubblicazione nella Gazzettaufficiale di un elenco aggiornato dei paesi terzi che utilizzano l'IMI(articolo 22, paragrafo 3). 84. Il GEPD raccomanda inoltre che laCommissione restringa il riferimento alle deroghe a norma dell'articolo 26della direttiva 95/46/CE per includere solo l'articolo 26, paragrafo 2. Inaltri termini: le autorità competenti o altri soggetti esterni di un paeseterzo che non offre una protezione adeguata non dovrebbero poter accederedirettamente all'IMI a meno che non siano in essere adeguate clausolecontrattuali. Tali clausole devono essere negoziate a livello di UE. 85. Il GEPD sottolinea che altrederoghe come quella prevista a condizione che «il trasferimento sia necessarioo prescritto dalla legge per la salvaguardia di un interesse pubblicorilevante, oppure per costatare, esercitare o difendere un diritto per viagiudiziaria», non dovrebbero essere usate per giustificare i trasferimenti didati verso paesi terzi tramite l'accesso diretto all'IMI ( 2.13. Responsabilità (articolo 26) 86. In linea con il previstorafforzamento degli accordi per una maggiore responsabilità nel corso delriesame del quadro UE sulla protezione dei dati ( 87. In questo contesto, il GEPD sicompiace del disposto di cui all'articolo 26, paragrafo 2, del regolamentosecondo cui la Commissione dovrebbe riferire ogni tre anni al GEPD in meritoagli aspetti relativi alla protezione dei dati, anche per quanto riguarda lasicurezza. Sarebbe opportuno che il regolamento chiarisse se il GEPD, a suavolta, sarà invitato a condividere la relazione della Commissione con leautorità nazionali per la protezione dei dati, nel quadro del controllocoordinato di cui all'articolo 20. Sarebbe anche utile chiarire se la relazionedescrive, con riferimento a ciascun settore e a ogni funzione, in che modo iprincipi fondamentali in materia di protezione dei dati e i problemi (per esempio,informazioni alle persone interessate, i diritti di accesso, sicurezza) sonostati affrontati nella pratica. 88. Inoltre, il regolamento dovrebbechiarire se il quadro dei meccanismi di controllo interno debba includere anchevalutazioni sulla sfera privata (compresa un'analisi dei rischi per lasicurezza), una politica di protezione dei dati (incluso un piano di sicurezza)adottata sulla base dei risultati di questi, oltre a revisioni e auditperiodici. 2.14. Privacy by design 89. Il GEPD accoglie con favore ilriferimento a questo principio inserito al considerando 6 del regolamento ( - un modulo di protezione dei datiper consentire agli interessati di esercitare in modo più efficace i lorodiritti (41 - un netto isolamento dei diversisettori inclusi nell'IMI («muraglie cinesi») ( - soluzioni tecniche specifiche perlimitare le funzioni di ricerca negli elenchi, le informazioni di allerta e inaltre aree, per garantire la limitazione delle finalità, - misure specifiche per garantire chei casi senza attività vengano chiusi ( - adeguate salvaguardie proceduralinel contesto degli sviluppi futuri (
3. CONCLUSIONI 90. Il parere generale del GEPDsull'IMI è positivo. Il GEPD è favorevole allo scopo perseguito dallaCommissione nell'istituire un sistema elettronico di scambio di informazioni enel disciplinarne gli aspetti inerenti alla protezione dei dati. Il GEPDaccoglie inoltre con soddisfazione il fatto che la Commissione proponga unostrumento giuridico orizzontale per l'IMI sotto forma di un regolamento delParlamento e del Consiglio. È lieto che la proposta metta in luce in modoesauriente le questioni più pertinenti della protezione dei dati che riguardanol'IMI. 91. Per quanto riguarda il quadrogiuridico dell'IMI da stabilire nella proposta di regolamento, il GEPD richiamal'attenzione su due sfide principali: - la necessità di garantire lacoerenza, nel rispetto della diversità, e - la necessità di contemperareflessibilità e certezza del diritto. 92. Le funzioni dell'IMI giàprevedibili dovrebbero essere chiarite e affrontate maggiormente nellospecifico. 93. Adeguate salvaguardie proceduralidevono essere applicate per garantire che la protezione dei dati siascrupolosamente presa in considerazione durante il futuro sviluppo dell'IMI.Ciò dovrebbe includere una valutazione d'impatto e la consultazione del GEPD edelle autorità nazionali per la protezione dei dati personali prima di ogni espansionedel campo di applicazione dell'IMI verso un settore nuovo e/o nuove funzioni. 94. I diritti di accesso da parte disoggetti esterni e il diritto di accesso alle allerta dovrebbero essereulteriormente specificati. 95. Per quanto concerne i periodi diconservazione: - il regolamento dovrebbe forniregaranzie che i casi vengano chiusi in modo tempestivo nel sistema IMI e che icasi inattivi (i casi senza alcuna attività recente) vengano eliminati dallabanca dati, - è opportuno rivalutare se vi sia unadebita giustificazione per la proroga dell'attuale periodo di sei mesi a 18mesi dalla chiusura del caso, - la Commissione non ha fornito unagiustificazione sufficiente per la necessità e la proporzionalità dellaconservazione dei «dati bloccati» per un periodo di cinque anni; diconseguenza, tale proposta deve essere valutata nuovamente, - una distinzione più chiara dovrebbeessere fatta tra allerta e repertori di informazioni: il regolamento dovrebbeprevedere, come regola di base, quanto segue: i) se non diversamentespecificato nella legislazione verticale, e fatte salve nuove salvaguardieadeguate, un periodo di conservazione di sei mesi deve applicarsi alle allertae, in particolare, ii) questo periodo ha inizio dal momento dell'inviodell'allerta. 96. Il regolamento dovrebbe imporreuna valutazione dei rischi e una revisione del piano di sicurezza prima diqualsiasi espansione dell'IMI a un settore nuovo o prima di aggiungere unanuova funzione avente un impatto sui dati personali. 97. Le disposizioni relativeall'informazione degli interessati e ai diritti di accesso dovrebbero essererafforzate e dovrebbero favorire un approccio più coerente. 98. Il GEPD rafforzerebbe ledisposizioni sul controllo coordinato in alcuni punti e a tal fine sosterrebbedisposizioni simili a quelle esistenti, per esempio nel contesto del sistema diinformazione visti, Schengen II e previsti per Eurodac. Riguardo alla frequenzadi riunioni e audit, il GEDP appoggia la proposta nel suo approccio flessibileinteso a garantire che il regolamento preveda le regole minime necessarie pergarantire una cooperazione efficace, evitando di creare inutili oneriamministrativi. 99. Il regolamento dovrebbe garantireche le autorità competenti o altri soggetti esterni di un paese terzo che nonoffre una protezione adeguata non possano accedere direttamente all'IMI a menoche non siano in essere apposite clausole contrattuali. Tali clausole devonoessere negoziate a livello di UE. 100. Il regolamento dovrebbestabilire un quadro chiaro di adeguati meccanismi di controllo interno chegarantisca la protezione dei dati e fornisca laprova di conformità degli stessi, contenenti i relativi elementi, fra cuivalutazioni sulla sfera privata (compresa anche un'analisi dei rischi per lasicurezza), una politica di protezione dei dati (incluso un piano disicurezza), adottata sulla base dei risultati di questi, oltre a revisioni eaudit periodici. 101. Il regolamento dovrebbe inoltreintrodurre specifiche salvaguardie basate sul principio della «privacy bydesign». Fatto a Bruxelles, il 22 novembre2011 Giovanni BUTTARELLI Garante europeo aggiunto dellaprotezione dei dati
( ( ( ( ( ( 12 dicembre 2006,relativa ai servizi nel mercato interno (GU L 376 del 27.12.2006, pag. 36). ( ( ( ( dati conriferimento al Sistema di informazione del mercato interno (IMI), WP140.Disponibile all'indirizzo: http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2007/wp140_it.pdf ( ( (13) Il WP29prevede anche di formulare osservazioni sulla proposta. Il GEPD segue glisviluppi del sottogruppo WP29 pertinente e contribuisce con osservazioni. ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( (
|