Parere del Garante europeo della protezione dei dati sulleproposte legislative relative alla risoluzione alternativa e online dellecontroversie dei consumatori

(Pubblicato sulla GUUE n. C 136 del 11/5/2012)

IL GARANTE EUROPEO DELLA PROTEZIONEDEI DATI,

visto il trattato sul funzionamentodell'Unione europea, in particolare l'articolo 16,

vista la Carta dei dirittifondamentali dell'Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati ⁽¹⁾,

visto il regolamento (CE) n. 45/2001del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente latutela delle persone fisiche in relazione al trattamento dei dati personali daparte delle istituzioni e degli organismi comunitari, nonché la liberacircolazione di tali dati, in particolare l'articolo 41 ⁽²⁾,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE I.1. Consultazione del GEPD e scopo del parere

1. Il 29 novembre 2011 la Commissioneha adottato due proposte legislative sulla risoluzione alternativa dellecontroversie (di seguito: ´le proposteª):

— la proposta di direttiva delParlamento europeo e del Consiglio sulla risoluzione alternativa dellecontroversie dei consumatori (di seguito: ´la proposta sull'ADRª) ⁽³⁾,

— la proposta di regolamentodel Parlamento europeo e del Consiglio relativo alla risoluzione dellecontroversie online dei consumatori (di seguito: ´la proposta sull'ODRª) ⁽⁴⁾.

2. Il 6 dicembre 2011 il GEPD haricevuto la proposta sull'ADR e la proposta sull'ODR a fini di consultazione.Prima dell'adozione delle proposte era già stato consultato e aveva formulatoosservazioni in modo informale. Il GEPD valuta positivamente tale consultazioneprecoce ed è lieto di constatare che le proposte tengono conto della maggiorparte delle sue raccomandazioni.

3. Il presente parere analizza iltrattamento dei dati personali previsto dalle proposte e spiega come vengonoaffrontati gli aspetti inerenti alla protezione dei dati. Si concentra sullaproposta sull'ODR, la quale comporta il trattamento centralizzato dei datipersonali relativi alle controversie mediante una piattaforma online.

I.2. Scopo delle proposte

4. I sistemi di risoluzionealternativa delle controversie (ADR) offrono uno strumento per comporre lecontroversie dei consumatori che di norma risulta meno costoso e più rapidorispetto a un procedimento giudiziario. Scopo della proposta sull'ADR ègarantire che in tutti gli Stati membri esistano organismi preposti allarisoluzione delle controversie transfrontaliere dei consumatori connesse allavendita di beni o alla fornitura di servizi nell'Unione europea.

5. La proposta sull'ODR si fondasulla disponibilità a livello europeo di procedure ADR per le controversie deiconsumatori. Istituisce una piattaforma online (di seguito: ´la piattaformaODRª), che consentirà ai consumatori e ai professionisti di presentareall'organismo ADR competente reclami connessi alle operazioni transfrontaliereeffettuate online.

II. OSSERVAZIONIGENERALI

6. Il GEPD sostiene l'obiettivo delleproposte ed è lieto di constatare che i principi relativi alla protezione deidati siano stati presi in considerazione sin dalle prime fasi della lorostesura.

7. Il Garante accoglie inoltre confavore i riferimenti all'applicabilità delle norme di protezione dei datipersonali contenuti nella proposta sull'ODR ⁽⁵⁾ e all'applicabilità della legislazione nazionale adottata anorma della direttiva 95/46/CE nell'ambito della proposta sull'ADR ⁽⁶⁾, nonché i riferimenti alla consultazione del GEPD ⁽⁷⁾.

III. OSSERVAZIONISPECIFICHE

III.1. Ruolo dei responsabili deltrattamento dei dati: necessità di una chiara attribuzione delle responsabilità

8. Secondo la proposta sull'ODR,nell'ambito di ogni controversia presentata tramite la piattaforma ODR i datisaranno trattati da tre tipi di operatori:

— gli organismi ADR,

— gli assistenti ODR, cheforniranno assistenza per la risoluzione delle controversie trasmesse allapiattaforma ODR ⁽⁸⁾,

— la Commissione.

L'articolo 11, paragrafo 4,stabilisce che ognuno dei suddetti operatori è considerato responsabile deltrattamento dei dati personali in relazione alle proprie competenze.

9. Tuttavia molti di tali operatoripotrebbero essere considerati responsabili del trattamento degli stessi datipersonali ⁽⁹⁾. Per esempio, i datiriguardanti una particolare controversia trasmessi mediante la piattaforma ODRpotrebbero essere esaminati da diversi assistenti ODR e dal sistema ADRcompetente a trattare la controversia. Anche la Commissione può trattare talidati personali ai fini del funzionamento e della manutenzione della piattaformaODR.

10. A questo proposito, il GEPDvaluta positivamente il fatto che al considerando 20 della proposta sull'ODR siaffermi che le norme di protezione dei dati si applicano a tutti gli operatorisummenzionati. Tuttavia la parte legislativa della proposta sull'ODR dovrebbeprecisare almeno a quale responsabile del trattamento dei dati gli interessatidevono indirizzare le richieste di accesso, rettifica, blocco e cancellazione,nonché a quale responsabile del trattamento rivolgersi in caso di violazionispecifiche delle norme di protezione dei dati (per esempio, violazione dellasicurezza). Occorre inoltre comunicare tali informazioni agli interessati.

III.2. Limitazione dell'accesso eperiodo di conservazione

11. Secondo l'articolo 11 dellaproposta sull'ODR, l'accesso ai dati personali trattati mediante la piattaformaODR è limitato a:

— l'organismo ADR competente aifini della composizione della controversia,

— gli assistenti ODR cheforniscono assistenza per la risoluzione della controversia (p. es., peragevolare la comunicazione tra le parti e l'organismo ADR competente o perinformare i consumatori in merito ai mezzi di ricorso diversi dalla piattaformaODR),

— la Commissione, se necessarioper il funzionamento e la manutenzione della piattaforma ODR, nonché percontrollare l'uso della piattaforma da parte degli organismi ADR e degliassistenti ODR ⁽¹⁰⁾.

12. Il GEPD accoglie con favore talilimitazioni della finalità e dei diritti di accesso. Tuttavia non è chiaro setutti gli assistenti ODR (almeno 54) avranno accesso ai dati personaliriguardanti tutte le controversie. Il Garante raccomanda di precisare che ogniassistente ODR avrà esclusivamente accesso ai dati necessari per adempiere aipropri obblighi di cui all'articolo 6, paragrafo 2.

13. Per quanto riguarda il periodo diconservazione, il GEPD è soddisfatto dell'articolo 11, paragrafo 3, checonsente l'archiviazione dei dati personali soltanto per il tempo necessarioalla composizione della controversia e all'esercizio del diritto di accesso aidati da parte degli interessati. Si compiace altresì dell'obbligo di sopprimereautomaticamente i dati entro 6 mesi dalla conclusione della controversia.

III.3. Trattamento di categorie particolaridi dati: possibile necessità di controllo preventivo

14. Tenendo conto dello scopo delleproposte, è possibile che siano trattati dati personali relativi a sospetteinfrazioni. Anche i dati relativi alla salute potrebbero essere oggetto ditrattamento nell'ambito di controversie connesse alla vendita di beni o allafornitura di servizi riguardanti la salute.

15. Il trattamento dei dati personalinell'ambito della piattaforma ODR potrebbe quindi essere soggetto a controllopreventivo da parte delle autorità nazionali di protezione dei dati e del GEPD,come prescritto all'articolo 27 del regolamento (CE) n. 45/2001 e all'articolo20 della direttiva 95/46/CE ⁽¹¹⁾. Il Garante ritiene che laCommissione sia consapevole della necessità di valutare, prima che lapiattaforma ODR diventi operativa, se il trattamento debba essere soggetto acontrollo preventivo.

III.4. Il GEPD dovrebbe essereconsultato in merito agli atti delegati e di esecuzione relativi al modulo direclamo

16. Le informazioni da fornire nelmodulo di reclamo elettronico (di seguito: ´il moduloª) sono specificatenell'allegato della proposta sull'ODR. Comprendono i dati personali delle parti(nome, indirizzo e, se applicabile, e-mail e indirizzo del sito web) e i datinecessari per stabilire quale organismo ADR sia competente a trattare lacontroversia (luogo di residenza del consumatore al momento dell'ordinazionedei beni o dei servizi, tipo di beni o servizi interessati, ecc.).

17. Il GEPD accoglie con favorel'articolo 7, paragrafo 6, nel quale si ricorda che solo dati corretti,pertinenti e non eccessivi possono essere trattati mediante il modulo e i suoiallegati. Anche l'elenco di informazioni di cui all'allegato rispetta ilprincipio di limitazione della finalità.

18. Tuttavia tale elenco potrà esseremodificato mediante atti delegati e le caratteristiche del modulo sarannodefinite mediante atti di esecuzione ⁽¹²⁾. Il Garante raccomanda di inserire un riferimento allanecessità di consultare il GEPD per la parte di tali atti che riguarda iltrattamento dei dati personali.

III.5. Sicurezza: necessità di unavalutazione dell'impatto sulla vita privata

19. Il GEPD accoglie con favore ledisposizioni riguardanti la riservatezza e la sicurezza. Le misure pergarantire la sicurezza di cui all'articolo 12 della proposta sull'ODRcomprendono il controllo dell'accesso ai dati, un piano di sicurezza e lagestione degli incidenti riguardanti la sicurezza.

20. Il Garante raccomanda di inserireanche un riferimento alla necessità di condurre una valutazione dell'impattosulla vita privata (compresa una valutazione dei rischi) e di svolgereverifiche e relazioni periodiche al fine di garantire il rispetto delle normedi protezione dei dati e della sicurezza dei dati.

21. Il GEPD desidera inoltrericordare che la tutela della vita privata e la protezione dei dati dovrebberoessere integrate negli strumenti informatici necessari per istituire lapiattaforma ODR sin dalle prime fasi del loro sviluppo (´privacy by designª),compresa la messa a punto di strumenti in grado di garantire agli utenti unamaggiore protezione dei loro dati personali (per esempio, autenticazione ecifratura).

III.6. Informazione degli interessati

22. Il GEPD accoglie con favore ilconsiderando 21 della proposta sull'ODR, nel quale si afferma che gliinteressati devono essere informati del trattamento dei loro dati personali edei loro diritti mediante un avviso sulla tutela dei dati privati resopubblico. L'obbligo di informare gli interessati dovrebbe però essere inclusoanche nella parte legislativa della proposta sull'ODR.

23. Occorre inoltre comunicare agliinteressati quale operatore è responsabile di garantire il rispetto dei lorodiritti. L'avviso sulla tutela dei dati privati dovrà essere ben visibile perchiunque compili il modulo.

IV. CONCLUSIONE

24. Il GEPD valuta positivamente ilfatto che i principi relativi alla protezione dei dati siano stati integratinel testo, in particolare per quanto riguarda la limitazione della finalità edell'accesso ai dati, la limitazione del periodo di conservazione e le misureper garantire la sicurezza. Tuttavia raccomanda di:

— precisare le responsabilitàdegli operatori responsabili del trattamento e informarne gli interessati,

— precisare la limitazione deidiritti di accesso,

— integrare le disposizionirelative alla sicurezza,

— menzionare la necessità diconsultare il GEPD sugli atti delegati e di esecuzione per quanto riguarda iltrattamento dei dati personali.

25. Il Garante desidera inoltrericordare che il trattamento dei dati personali nell'ambito della piattaformaODR potrebbe essere soggetto a controllo preventivo da parte del GEPD e delleautorità nazionali di protezione dei dati.

Fatto a Bruxelles, il 12 gennaio 2012

Giovanni BUTTARELLI

Garante europeo aggiunto dellaprotezione dei dati

NOTE                                    

(1) GU L 281del 23.11.1995, pag. 31.

(2) GU L 8 del12.1.2001, pag. 1.

(3) COM(2011)793 def.

(4) COM(2011)794 def.

(5)Considerando 20 e 21 e articolo 11, paragrafo 4, della proposta ODR.

(6)Considerando 16 della proposta ADR.

(7) Preambolidelle proposte e relazioni di accompagnamento.

(8) Ogni Statomembro dovrà designare un punto di contatto ODR, che disporrà di almeno dueassistenti ODR. La Commissione istituirà una rete dei punti di contatto ODR.

(9) Cfr. ancheil parere 1/2010 del Gruppo di lavoro Articolo 29 sui concetti di ´responsabiledel trattamentoª e ´incaricato del trattamentoª, adottato il 16 febbraio 2010(WP 169), pagg. 17-24, disponibile all'indirizzohttp://ec.europa.eu/justice/policies/privacy/docs/wpdocs/ 2010/wp169_en.pdf

(10) Cfr.l'articolo 11, paragrafo 2, della proposta sull'ODR.

(11) L'articolo 27del regolamento (CE) n. 45/2001 prescrive che il trattamento di ´dati relativialla salute e quelli relativi a sospetti, infrazioni, condanne penali o misuredi sicurezzaª è soggetto a controllo preventivo da parte del GEPD. A normadell'articolo 20, paragrafo 1, della direttiva 95/46/CE, le operazioni ditrattamento che potenzialmente presentano rischi specifici per la protezionedei dati, secondo quanto stabilito dalla legislazione nazionale in materia diprotezione dei dati, sono soggetti a esami preliminari effettuati dall'autoritànazionale di protezione dei dati.

(12) Considerando23 e 24 e articolo 7, paragrafi 4 e 5, della proposta sull'ODR.