(Il testo completodel presente parere è reperibile in EN, FR e DE sul sito web del GEPDhttp://www.edps.europa.eu)
Il 25 gennaio 2012 la Commissione haadottato un pacchetto di misure per la riforma delle norme dell'UE in materiadi protezione dei dati, che comprende una proposta di regolamento contenente ilquadro normativo generale in materia di protezione dei dati e una proposta didirettiva sulla protezione dei dati nel settore delle attività di contrasto. Il 7 marzo 2012 il Garante europeodella protezione dei dati (GEPD) ha adottato un parere che contiene un commentodettagliato su entrambe le proposte legislative. Il testo completo del parere èreperibile sul sito web del GEPD all'indirizzo seguente:http://www.edps.europa.eu Nel parere il GEPD illustrabrevemente il contesto delle proposte e fornisce la sua valutazione generale. Il GEPD si compiace della proposta diregolamento poiché costituisce un enorme passo in avanti per la protezione deidati in Europa. Le norme proposte rafforzeranno i diritti degli individui eresponsabilizzeranno maggiormente i responsabili del trattamento sul modo ditrattare i dati personali. Inoltre, il ruolo e i poteri delle autorità dicontrollo nazionali (separatamente e congiuntamente) ne risultano realmenterafforzati. Il GEPD si compiace, in particolare,del fatto che per il quadro generale sulla protezione dei dati sia stato propostolo strumento del regolamento. Il regolamento proposto sarebbe direttamenteapplicabile negli Stati membri ed eliminerebbe le numerose complessità eincoerenze derivanti dalle varie disposizioni nazionali di attuazione invigore. Il GEPD, tuttavia, è seriamentedeluso dalla proposta di direttiva per la protezione dei dati nel settoredell'applicazione della legge. Il GEPD si rammarica che la Commissione abbiascelto di regolamentare questa materia con uno strumento giuridico autonomo chefornisce un livello di protezione inadeguato, di gran lunga inferiore a quellodella proposta di regolamento. Un elemento positivo della direttivaproposta è il fatto che essa disciplina il trattamento di dati a livellonazionale ed ha quindi una portata maggiore rispetto all'attuale decisionequadro. Tuttavia, questo miglioramento avrebbe un valore aggiunto solo se ladirettiva aumentasse sostanzialmente il livello di protezione dei dati inquesto settore, il che non si verifica. La principale debolezza del pacchettonel suo insieme è che non pone rimedio alla mancanza di completezza delle normedell'UE sulla protezione dei dati. Lascia inalterati diversi strumenti dell'UEper la protezione dei dati, fra cui le norme sulla protezione dei dati per leistituzioni e gli organismi dell'UE, ma anche tutti gli strumenti specificiadottati nel settore della cooperazione di polizia e giudiziaria in materiapenale come la decisione di Prüm e le norme relative a Europol ed Eurojust.Inoltre gli strumenti proposti, considerati nel loro insieme, non affrontanopienamente le situazioni di fatto che rientrano in entrambi i settori politici,come l'uso del PNR o dei dati delle telecomunicazioni ai fini delle attività dicontrasto. Per quanto riguarda la proposta diregolamento, una questione orizzontale è il rapporto fra le norme dell'UE equelle nazionali. Il regolamento proposto costituisce un progresso notevole,poiché crea un'unica normativa applicabile per la protezione dei dati nell'UE.Tuttavia, vi è ancora più spazio per la coesistenza e l'interazione fra ildiritto dell'UE e le leggi nazionali di quanto si potrebbe pensare a primavista. Il GEPD ritiene che il legislatore dovrebbe prendere maggiormente attodi questa situazione. Una seconda questione di importanzagenerale deriva dalle numerose disposizioni che consentono alla Commissione diadottare atti delegati o di esecuzione. Il GEPD si compiace di questo approccioperché contribuisce all'applicazione coerente del regolamento, ma nutre riservenella misura in cui le disposizioni giuridiche essenziali sono lasciate apoteri delegati. Molti di questi poteri dovrebbero essere riconsiderati. A livello di dettaglio, il GEPD mettein evidenza i principali elementi positivi della proposta di regolamento,ovvero: — il chiarimento dell'ambito diapplicazione del regolamento proposto, — il rafforzamento deirequisiti di trasparenza nei confronti dell'interessato e il rafforzamento deldiritto di opporsi, — l'obbligo generale per iresponsabili del trattamento di garantire e di dimostrare la conformità alledisposizioni del regolamento, — il rafforzamento dellaposizione e del ruolo delle autorità di controllo nazionali, — le lineeprincipali del meccanismo di coerenza. I principali elementi negativi dellaproposta di regolamento sono i seguenti: — la possibilità di nuovederoghe al principio di limitazione delle finalità, — le possibilità di limitare iprincipi e i diritti di base, — l'obbligo per i responsabilidel trattamento di conservare la documentazione di tutte le attività di trattamento, — il trasferimento di dati apaesi terzi mediante deroga, — il ruolo della Commissione nel meccanismodi coerenza, — l'obbligatorietà dell'imposizione di sanzioniamministrative. Per quanto riguarda la direttiva, ilGEPD ritiene che la proposta, sotto diversi aspetti, non soddisfi il requisitodi un livello coerente ed elevato di protezione dei dati. Lascia inalteratitutti gli strumenti esistenti nel settore e, in molti casi, non contiene alcunagiustificazione per derogare alle disposizioni previste nella proposta diregolamento. Il GEPD sottolinea che, sebbene ilsettore delle attività di contrasto richieda alcune norme specifiche, ognideroga alle norme generali sulla protezione dei dati dovrebbe esseredebitamente giustificata sulla base di un'adeguata ponderazione fra l'interessepubblico nell'ambito dell'applicazione della legge e i diritti fondamentali deicittadini. Il GEPD è preoccupato in particolaredi quanto segue: — la mancanza di chiarezzanella formulazione del principio di limitazione delle finalità, — l'assenza di qualsiasiobbligo per le autorità competenti di dimostrare il rispetto della direttiva, — le condizioni insufficientiper i trasferimenti verso paesi terzi, — i poteri indebitamentelimitati delle autorità di controllo. Sono formulate le seguentiraccomandazioni.
Raccomandazioni sull'intero processodi riforma — Annunciare pubblicamente loscadenzario della seconda fase del processo di riforma il più presto possibile. — Incorporare le norme per leistituzioni e gli organismi dell'UE nella proposta di regolamento o almenogarantire l'allineamento delle norme vigenti al momento dell'entrata in vigoredel regolamento proposto. — Presentare il più prestopossibile una proposta di norme comuni in materia di politica estera e di sicurezzacomune, sulla base dell'articolo 39 TUE.
Raccomandazioni sulla proposta diregolamento Questioni orizzontali — Aggiungere una disposizioneche chiarisca l'ambito di applicazione territoriale del diritto nazionale nelcontesto del regolamento. — Riconsiderare la delega dipoteri di cui all'articolo 31, paragrafi 5 e 6, articolo 32, paragrafi 5 e 6,articolo 33, paragrafi 6 e 7, articolo 34, paragrafo 2, lettera a), e articolo44, paragrafo 1, lettera d), e paragrafo 7. — Prevedere misure adeguate e specificheper le micro, piccole e medie imprese soltanto in atti di esecuzioneselezionati, e non negli atti delegati di cui all'articolo 8, paragrafo 3,articolo 14, paragrafo 7, articolo 22, paragrafo 4 e articolo 33, paragrafo 6. — Precisare la nozione di«interesse pubblico» in ciascuna disposizione in cui viene usata. Dovrebberoessere identificati esplicitamente interessi pubblici specifici in relazione alcontesto del trattamento di cui trattasi in ciascuna disposizione pertinentedella proposta (cfr., in particolare, considerando 87, articolo 17, paragrafo5, articolo 44, paragrafo 1, lettera d), e articolo 81, paragrafo 1, lettere b)e c)). Fra gli ulteriori requisiti si potrebbe includere che il motivo puòessere invocato solo in circostanze specificamente preminenti o per ragioniimperative previste dalla legge.
Capo I — Disposizioni generali — Articolo 2, paragrafo 2,lettera d): inserire un criterio per differenziare le attività pubbliche edomestiche sulla base del numero indefinito di persone che possono accederealle informazioni. — Articolo 2, paragrafo 2,lettera e): disporre che l'eccezione si applichi alle autorità pubblichecompetenti. Il considerando 16 dovrebbe essere reso coerente con l'articolo 2,paragrafo 2, lettera e). — Articolo 4, numeri 1 e 2:aggiungere una spiegazione più chiara in un considerando, che insista sul fattoche non appena si ha una stretta relazione fra un identificativo e una persona,ciò determinerà l'applicazione dei principi di protezione dei dati. — Articolo 4, numero 13:precisare il criterio per identificare lo stabilimento principale delresponsabile del trattamento pertinente, tenendo conto dell'«influenzadominante» di uno stabilimento sugli altri in stretta connessione con il poteredi attuare le norme sulla protezione dei dati personali o le norme pertinentiper la protezione dei dati. In alternativa, la definizione potrebbe incentrarsisullo stabilimento principale del gruppo nel suo complesso. — Aggiungere nuove definizioniper «trasferimento» e «limitazione del trattamento».
Capo II — Principi — Articolo 6: aggiungere unconsiderando per chiarire ulteriormente che cosa rientri nell'esecuzione di uncompito «di interesse pubblico o connesso all'esercizio di pubblici poteri» dicui all'articolo 6, paragrafo 1, lettera e). — Articolo 6, paragrafo 4:cancellare la disposizione o almeno limitarla all'ulteriore trattamento di datiper scopi incompatibili per i motivi di cui all'articolo 6, paragrafo 1,lettere a) e d). Ciò comporta anche una modifica del considerando 40. — Aggiungere una nuovadisposizione sulla rappresentanza di tutte le persone prive di sufficientecapacità (giuridica) o che non siano altrimenti capaci di agire. — Articolo 9: includere reati esituazioni che non hanno portato a condanne nelle categorie particolari didati. Estendere l'obbligo di controllo dell'autorità pubblica a tutti i motiviindicati nell'articolo 9, paragrafo 2, lettera j). — Articolo 10: esplicitare nelconsiderando 45 che il responsabile del trattamento non dovrebbe potereinvocare la mancanza di informazioni per respingere una richiesta di accessoquando tali informazioni possono essere fornite dall'interessato per consentiretale accesso.
Capo III — Dirittidell'interessato — Articolo 14: includereinformazioni sull'esistenza di alcune attività di trattamento che hanno unimpatto particolare sugli individui, nonché sulle conseguenze di taletrattamento sulle persone. — Articolo 17: elaborareulteriormente la disposizione per garantirne l'efficacia nella pratica. Eliminarel'articolo 17, paragrafo 3, lettera d). — Articolo 18: chiarire chel'esercizio del diritto non pregiudica l'obbligo di cui all'articolo 5, letterae), di cancellare i dati quando non sono più necessari. Garantire chel'articolo 18, paragrafo 2, non sia limitato soltanto ai dati che sono statiforniti dall'interessato sulla base del consenso o di un contratto. — Articolo 19: chiarire cosadeve fare il responsabile del trattamento in caso di disaccordo conl'interessato e allineare l'articolo con l'articolo 17, paragrafo 1, letterac). Spiegare in un considerando quali possano essere i «motivi preminenti elegittimi». — Articolo 20: includere ildiritto delle persone a far valere il loro punto di vista nell'articolo 20,paragrafo 2, lettera a), come previsto nell'attuale articolo 15 della direttiva95/46/CE. — Articolo 21: introdurregaranzie dettagliate secondo le quali la legge nazionale dovrebbe specificaregli obiettivi perseguiti dal trattamento, le categorie di dati personali datrattare, le finalità specifiche e gli strumenti del trattamento, ilresponsabile del trattamento, le categorie di persone autorizzate altrattamento dei dati, la procedura da seguire per il trattamento, e le garanziecontro ogni interferenza arbitraria da parte delle autorità pubbliche.Includere, come ulteriore garanzia, l'obbligo di informare gli interessati diuna limitazione e del loro diritto di deferire la questione all'autorità dicontrollo per ottenere l'accesso indiretto. Aggiungere nell'articolo 21 che lapossibilità di applicare limitazioni al trattamento effettuato da responsabilidel trattamento privati ai fini dell'applicazione della legge non obbligaquesti ultimi a conservare dati diversi da quelli strettamente necessari per loscopo originariamente perseguito, né a cambiare la loro architetturainformatica. Eliminare il motivo contenuto nell'articolo 21, paragrafo 1,lettera e).
Capo IV — Responsabile deltrattamento e incaricato del trattamento — Articolo 22: fare esplicitoriferimento al principio di rendicontazione, in ogni caso nel considerando 60.Unificare i paragrafi 1 e 3 dell'articolo 22 e indicare esplicitamente che lemisure dovrebbero essere adeguate ed efficaci. Includere una disposizionegenerale che preceda gli obblighi specifici di cui all'articolo 22, paragrafo2, e che sviluppi il concetto di «controllo della gestione», compresel'assegnazione di responsabilità, la formazione del personale e istruzioniadeguate, e che imponga al responsabile del trattamento di procedere,nell'ambito delle proprie responsabilità, almeno a una sintesi e a uninventario generale delle attività di trattamento. Aggiungere un nuovoparagrafo per disporre che, quando il responsabile del trattamento decide dipubblicare una relazione periodica delle sue attività o è obbligato in talsenso, tale relazione debba contenere anche una descrizione delle politiche edelle misure di cui all'articolo 22, paragrafo 1. — Articolo 23: fare riferimentonell'articolo 23, paragrafo 2, e nel considerando 61 al fatto che gliinteressati dovrebbero essere liberi, in via di principio, di scegliere seconsentire un uso più ampio dei loro dati personali. — Articolo 25, paragrafo 2,lettera a): cancellare l'eccezione per i paesi terzi adeguati. — Articolo 26: aggiungereall'elenco di specificazioni di cui all'articolo 26, paragrafo 2, l'obbligo perl'incaricato del trattamento di tenere conto del principio della protezione deidati fin dalla progettazione. — Articolo 28: riconsiderare oeliminare le esenzioni di cui all'articolo 28, paragrafo 4. — Articolo 30: chiarirel'articolo 30 per garantire la responsabilità generale del responsabile deltrattamento e aggiungere per lo stesso l'obbligo di seguire un approccio digestione della sicurezza delle informazioni all'interno dell'organizzazione,compresa, laddove opportuna, l'attuazione di una politica di sicurezza delleinformazioni specifica per il trattamento dei dati effettuato. Includere unriferimento esplicito alla valutazione d'impatto sulla protezione dei datinell'articolo 30. — Articoli 31 e 32: specificarei criteri e i requisiti per determinare una violazione dei dati e lecircostanze nelle quali dovrebbe essere notificata. Modificare il limite ditempo di 24 ore nell'articolo 31 in entro 72 ore. — Articolo 33: l'elenco deitrattamenti di cui all'articolo 33, paragrafo 2, lettere b), c) e d), nondovrebbe essere limitato al trattamento su vasta scala. Allineare l'articolo33, paragrafo 5, con il considerando 73. Limitare il paragrafo 6 dell'articolo33 a elementi non essenziali. Chiarire che la dimensione di un'impresa nondovrebbe mai far venire meno l'obbligo di effettuare una valutazione d'impattosulla protezione dei dati in merito alle attività di trattamento che presentanorischi specifici. — Articolo 34: spostarel'articolo 34, paragrafo 1, al Capo V della proposta di regolamento. — Articoli da 35 a 37: ridurrela soglia di 250 dipendenti di cui all'articolo 35, paragrafo 1, e precisare ilcampo di applicazione dell'articolo 35, paragrafo 1, lettera c). Aggiungeregaranzie, in particolare condizioni più rigorose per la destituzione delresponsabile della protezione dei dati (RPD) e garantire nell'articolo 36,paragrafo 1, che l'RPD abbia accesso a tutte le informazioni rilevanti e ailocali necessari per svolgere le proprie funzioni. Includere nell'articolo 37,paragrafo 1, lettera a), il ruolo dell'RPD nelle attività di sensibilizzazione.
Capo V — Trasferimento versopaesi terzi — Dichiarare nel considerando79 che la non applicabilità del regolamento agli accordi internazionali è limitatanel tempo solo agli accordi internazionali già esistenti. — Inserire una clausolatransitoria che preveda la revisione di questi accordi internazionali entro undeterminato periodo di tempo per allinearli al regolamento. — Articolo 41 (e considerando82): chiarire che, in caso di decisione di non adeguatezza, i trasferimentidovrebbero essere consentiti solo in presenza di garanzie adeguate o se taletrasferimento rientra nelle deroghe di cui all'articolo 44. — Articolo 42: garantire che lapossibilità di usare strumenti giuridicamente non vincolanti per offriregaranzie adeguate venga chiaramente giustificata e sia limitata soltanto aicasi in cui sia stata dimostrata la necessità di ricorrere a tali strumenti. — Articolo 44 (e considerando87): aggiungere che la possibilità di trasferire dati dovrebbe riguardare solotrasferimenti occasionali ed essere basata su un'attenta valutazione di tuttele circostanze del trasferimento su base individuale. Sostituire o chiarire ilriferimento a «garanzie adeguate» nell'articolo 44, paragrafo 1, lettera h, enell'articolo 44, paragrafo 3. — Considerando 90: modificareil considerando in una disposizione sostanziale. Prevedere garanzie adeguateper questi casi, comprese garanzie giudiziarie e salvaguardie per la protezionedei dati.
Capi VI e VII — Autorità dicontrollo indipendenti, cooperazione e coerenza — Articolo 48: prevedere unruolo per i parlamenti nazionali nella procedura di nomina dei membri delleautorità di controllo. — Articolo 52, paragrafo 1:includere l'obbligo di elaborare linee guida sul ricorso ai diversi poteri diattuazione, laddove necessario coordinati a livello di UE nel comitato. Ciòpotrebbe essere incluso anche nell'articolo 66. — Articolo 58: sostituire laparola «immediatamente» nell'articolo 58, paragrafo 6, con «senza indugio» edestendere il termine di un mese nell'articolo 58, paragrafo 7, a due mesi/ottosettimane. — Articolo 58: dare più pesoalla regola della maggioranza, assicurando che una richiesta da parte diun'autorità possa essere sottoposta al voto nel caso in cui la questione nonriguardi una delle misure principali descritte nell'articolo 58, paragrafo 2. — Articoli 59 e 60: limitare ilpotere della Commissione eliminando la possibilità di annullare una decisionedi un'autorità di controllo nazionale in una materia specifica attraverso unatto di esecuzione. Garantire che il ruolo della Commissione, nella faseiniziale, sia quello di attivare il ricorso al comitato, come previstonell'articolo 58, paragrafo 4, e, in una fase successiva, consista nel poteredi adottare pareri. Inserire un riferimento all'ulteriore procedura dinanzialla Corte di giustizia, nel contesto di una procedura d'infrazione o di unarichiesta di misure provvisorie, fra cui un ordine di sospensione. — Articolo 66: aggiungere cheil comitato dovrà essere consultato nel contesto delle valutazionidell'adeguatezza. — Riconsiderare l'attualevalutazione dell'impatto del segretariato del comitato europeo per laprotezione dei dati in termini di risorse finanziarie e umane (cfr. allegato alpresente parere, disponibile sul sito web del GEPD).
Capo VIII — Ricorsi,responsabilità e sanzioni — Articoli 73 e 76: fornirechiarimenti sul mandato che l'organizzazione deve ottenere dagli interessati esul livello di formalità richiesto. Introdurre una disposizione più ampia sulleazioni collettive. — Articolo 74, paragrafo 4:limitare il tipo di «oggetto» relativo a un interessato che potrebbedeterminare l'azione in giudizio e limitarlo a un rischio di impatto più precisosui propri diritti. — Articolo 75, paragrafo 2:specificare che la deroga non si applica all'autorità pubblica di un paeseterzo. — Articolo 76, paragrafi 3 e 4:inserire una procedura di informazione più sistematica a livello di autoritàgiurisdizionali. — Chiarire l'interazione con ilregolamento Bruxelles I. — Chiarire la compatibilitàdell'uso delle informazioni ottenute da un responsabile del trattamento (sullabase dell'articolo 53) con il privilegio generale contro l'autoincriminazione. — Articolo 77: aggiungere cheun interessato dovrebbe potersi sempre rivolgere al responsabile deltrattamento, a prescindere da dove e da come il danno sia sorto, in relazioneal risarcimento del danno. Inserire il conseguente risarcimento del danno frail responsabile del trattamento e l'incaricato del trattamento, una volta chesia stata chiarita la suddivisione delle loro responsabilità. Aggiungere checiò dovrebbe trovare applicazione anche per la compensazione dei danniimmateriali o dei disagi subiti. — Introdurre una disposizioneusando il concetto di unica entità economica o impresa individuale affinché siapossibile ritenere responsabile il gruppo per la violazione commessa da unafiliale. — Articolo 79: inserire unmargine di valutazione per le autorità di controllo in materia di sanzioniamministrative. Aggiungere specificazioni che indichino le circostanze nellequali è imposta una sanzione amministrativa. Garantire che il mancato rispettodi un ordine specifico di un'autorità di controllo imponga di normal'applicazione di una sanzione amministrativa più elevata rispetto ad un'unicaviolazione della stessa disposizione generale.
Capo IX — Specifiche situazionidi trattamento dei dati — Articolo 80: riformularel'articolo 80 e dichiarare che gli Stati membri devono prevedere esenzioni oderoghe alle disposizioni del regolamento se ciò è necessario al fine diconciliare il diritto alla protezione dei dati personali e il diritto allalibertà d'espressione. Aggiungere, nella disposizione o in un considerando, chein sede di riconciliazione dei due diritti fondamentali, l'essenza dei duediritti non deve essere compromessa. — Aggiungere una disposizionesostanziale sull'accesso pubblico ai documenti che dichiari che i datipersonali contenuti in documenti in possesso di autorità ed enti pubblicipossono essere diffusi pubblicamente nel caso in cui ciò (1) sia previsto daldiritto dell'UE o dal diritto nazionale, (2) sia necessario per riconciliare ildiritto alla protezione dei dati con il diritto dell'accesso pubblico adocumenti ufficiali e (3) costituisca un'equa ponderazione dei vari interessicoinvolti. — Sostituire negli articoli 81,82, 83 e 84 le parole «nei limiti del presente regolamento» con «fatto salvo ilpresente regolamento». — Articolo 81: allinearel'articolo 81, paragrafo 1, numero 3, e l'articolo 9, paragrafo 3, e chiarirela portata e la natura dell'articolo 81. Fornire ulteriori orientamenti perquanto riguarda il requisito del consenso, la determinazione delleresponsabilità e i requisiti di sicurezza. — Articolo 83: includereulteriori garanzie se vengono trattate speciali categorie di dati. Chiarirenell'articolo 83, paragrafo 1, che il presupposto per le finalità di ricercadovrebbe essere che il trattamento è effettuato con l'uso di dati resi anonimi.Chiarire cosa si intende con la parola «separatamente» e garantire che laconservazione separata protegga effettivamente gli interessati. Fareriferimento nell'articolo 83, paragrafo 1, lettera b), a «dati che permettonodi correlare alcune informazioni a un interessato» invece di «dati chepermettono di associare informazioni a un interessato identificato oidentificabile». Escludere la limitazione ai diritti di individui con attidelegati.
Raccomandazioni sulla proposta didirettiva Questioni orizzontali — Articolo 59: atti specificinel settore della cooperazione di polizia e giudiziaria in materia penaledovrebbero essere modificati al più tardi al momento dell'entrata in vigoredella direttiva. — Aggiungere una nuovadisposizione che introduca un meccanismo di analisi delle valutazioniperiodiche basate su prove oggettive, per determinare se le attività ditrattamento dei dati ad un certo livello costituiscano realmente una misuranecessaria e proporzionata a fini di prevenzione, indagine, accertamento eperseguimento di reati. — Aggiungere una nuovadisposizione per garantire che il trasferimento dei dati personali dalleautorità di contrasto ad altri enti pubblici o a privati sia consentito solonel rispetto di specifiche e rigorose condizioni. — Aggiungere una nuovadisposizione su specifiche garanzie in relazione al trattamento dei datirelativi ai minori.
Capi I e II — Disposizionigenerali e principi — Articolo 3, numero 4: concretizzareulteriormente in linea con l'articolo 17, paragrafo 5, della proposta diregolamento. — Articolo 4, lettera b):inserire un chiarimento in un considerando affinché la nozione di «usocompatibile» sia interpretata in maniera restrittiva. — Articolo 4, lettera f):allineare con l'articolo 5, lettera f), della proposta di regolamento emodificare gli articoli 18 e 23 di conseguenza. — Articolo 5: includere lepersone non sospettate come categoria separata. Eliminare «nella misura delpossibile» e specificare le conseguenze della categorizzazione. — Articolo 6: eliminare «nellamisura del possibile» nei paragrafi 1 e 2. — Articolo 7, lettera a):inserirlo in una disposizione autonoma che garantisca in modo generale chetutte le attività di trattamento dei dati siano previste per legge, rispettandocosì i requisiti della Carta dei diritti fondamentali dell'UE e della CEDU. — Articolo 7, lettere da b) ad): sostituirlo con un'ulteriore disposizione separata che elenchiesaustivamente i motivi di interesse pubblico per i quali può essere concessauna deroga al principio di limitazione delle finalità. — Aggiungere una nuovadisposizione sul trattamento dei dati personali per finalità storiche,statistiche e scientifiche. — Aggiungere un obbligo perl'autorità competente di creare meccanismi che garantiscano la fissazione dilimiti di tempo per la cancellazione dei dati personali e per una revisioneperiodica della necessità di conservare i dati, stabilendo anche periodi diconservazione per le diverse categorie di dati personali nonché controlliregolari sulla loro qualità. — Articolo 8: includere larigorosa formulazione del considerando 26 nell'articolo 8. Indicare cosa siintende per misure idonee che vanno oltre le garanzie regolari.
Capo III — Dirittidell'interessato — Articolo 10: eliminare ilriferimento a «tutte le misure ragionevoli» nell'articolo 10, paragrafi 1 e 3.Includere un esplicito limite di tempo nell'articolo 10, paragrafo 4, edichiarare che le informazioni dovrebbero essere fornite all'interessato almassimo entro un mese dal ricevimento della richiesta. Sostituire l'espressione«vessatorie» nell'articolo 10, paragrafo 5, con «manifestamente eccessive» efornire ulteriori orientamenti su questa nozione in un considerando. — Aggiungere una nuovadisposizione che imponga al responsabile del trattamento di comunicare aciascun destinatario, al quale sono stati comunicati dati, qualsiasi rettifica,cancellazione e variazione dei dati effettuate in conformità o meno degliarticoli 15 o 16, a meno che ciò sia impossibile o comporti uno sforzosproporzionato. — Articoli 11 e 13: aggiungereuna frase nell'articolo 11, paragrafo 4, e nell'articolo 13, paragrafo 1, chedichiari che il responsabile del trattamento è tenuto a valutare in ciascuncaso specifico, attraverso un esame concreto e individuale, se applicarerestrizioni parziali o totali per uno dei motivi. Garantire un'interpretazionelimitata dell'ambito di applicazione dell'articolo 11, paragrafo 5, edell'articolo 13, paragrafo 2. Eliminare la parola «omettere» nell'articolo 11,paragrafo 4, e «escludere» nel considerando 33. — Articoli 15 e 16: aggiungeremotivi e condizioni per la limitazione del diritto alla rettifica e del dirittoalla cancellazione. — Articolo 16: usarel'espressone «limita il trattamento» invece di «contrassegna» nell'articolo 16,paragrafo 3. Includere nell'articolo 16 l'obbligo per il responsabile deltrattamento di informare l'interessato prima di eliminare qualsiasi limitazioneal trattamento.
Capo IV — Responsabile deltrattamento e incaricato del trattamento — Articolo 18: dichiarare,anche nell'articolo 4, lettera f), che il requisito relativo alladocumentazione discende dall'obbligo generale di dimostrare il rispetto delladirettiva. Includere un requisito per la conservazione delle informazioni peril motivo giuridico per il quale i dati sono trasferiti, con una spiegazionesostanziale specialmente se il trasferimento si basa sugli articoli 35 o 36. — Articolo 19: motivare lanozione di protezione dei dati «di default». — Articolo 23, paragrafo 2:allineare con l'articolo 28, paragrafo 2, della proposta di regolamento.— Articolo 24: includere l'identità dei destinatari dei dati. — Inserire una nuovadisposizione che imponga alle autorità competenti di svolgere una valutazionedell'impatto della protezione dei dati (DPIA), a meno che durante ilprocedimento legislativo sia già stata effettuata una valutazione specifica,uguale ad una DPIA. — Articolo 26: allinearlomaggiormente alle procedure elaborate nell'articolo 34, paragrafo 2, dellaproposta di regolamento. — Articolo 30: trattare laquestione del conflitto di interessi e definire un termine minimo d'ufficio didue anni. — Articolo 31: prevedere unadeguato allegato amministrativo con il dovuto riguardo per il ruoloindipendente del responsabile della protezione dei dati e al fine di evitarepossibili relazioni irregolari o influenza da parte di responsabili deltrattamento di alto livello.
Capo V — Trasferimento versopaesi terzi — Articolo 33: aggiungere ilrequisito secondo cui il trasferimento può avere luogo solo se il responsabiledel trattamento nel paese terzo o l'organizzazione internazionale è un'autoritàcompetente ai sensi della direttiva proposta. — Articolo 35: eliminare ilparagrafo 1, lettera b), o includere almeno il requisito di un'autorizzazionepreventiva dell'autorità di controllo. — Articolo 36: chiarire in unconsiderando che qualsiasi deroga usata per giustificare un trasferimento deveessere interpretata in maniera restrittiva e non dovrebbe consentire iltrasferimento frequente, ingente e strutturale di dati personali; anche un casoindividuale non dovrebbe consentire trasferimenti interi di dati e dovrebbeessere limitato ai dati strettamente necessari. Aggiungere ulteriori garanziequali l'obbligo di documentare specificamente i trasferimenti. — Articoli 35 e 36: aggiungereche, in caso di decisione negativa sull'adeguatezza, i trasferimenti devonoessere basati (i) sull'articolo 35, paragrafo 1, lettera a), se vi è un accordointernazionale giuridicamente vincolante che consente il trasferimento aspecifiche condizioni che garantiscano una protezione adeguata, o (ii) sullederoghe di cui all'articolo 36, lettere a) o c).
Capi VI e VII — Meccanismi disorveglianza — Articolo 44: fornire maggioriorientamenti in un considerando su cosa si intende per «funzionigiurisdizionali». — Articolo 46: allineare ipoteri delle autorità di controllo nei confronti delle autorità di polizianazionali con i poteri di cui alla proposta di regolamento. Allinearel'articolo 46, lettera a), con l'articolo 53 della proposta di regolamento emodificare l'espressione «come» nell'articolo 46, lettere a) e b), con«compresa» e «compreso». — Articolo 47: includere che larelazione di attività annuale delle autorità di controllo deve esserepresentata al parlamento nazionale e resa pubblica. — Articolo 48: includere ledisposizioni dell'articolo 55, paragrafi da 2 a 7, della proposta diregolamento nell'articolo 48. — Considerare la necessità diun meccanismo di cooperazione rafforzata anche nell'ambito di applicazionedella proposta di direttiva. (Versione ridotta.Il testo completo del presente parere è reperibile in EN, FR e DE sul sito webdel GEPD http://www. edps.europa.eu) Fatto a Bruxelles, il 7 marzo 2012 Peter HUSTINX Garante europeo della protezione deidati
|