GARANTE EUROPEO
  DELLA PROTEZIONE DATI PERSONALI

Sommario del Parere del Garante europeo della protezione deidati sulla proposta di decisione del Parlamento europeo e del Consigliorelativa a gravi minacce per la salute a carattere transfrontaliero

(Pubblicato sulla GUUE n. C 197 del 5.7.2012)

 

I. Introduzione

1.      L'8dicembre 2011 la Commissione ha adottato una proposta di decisione delParlamento europeo e del Consiglio relativa alle gravi minacce per la salute acarattere transfrontaliero (in prosieguo: Ğla propostağ), trasmettendola nellostesso giorno al GEPD per consultazione. Il 19 gennaio 2012 anche il Consiglioha inoltrato la proposta per consultazione.

2.      Giàprima dell'adozione della proposta, il GEPD ha avuto l'opportunità di fornireosservazioni informali su un progetto di testo. Il Garante accoglie con favoretale consultazione in fase iniziale ed è lieto di constatare che si è tenutoconto di alcune delle sue osservazioni.

3.      Laproposta mira a sostituire la decisione n. 2119/98/CE del Parlamento europeo edel Consiglio, del 24 settembre 1998, che istituisce una rete di sorveglianzaepidemiologica e di controllo delle malattie trasmissibili nella Comunità (1), la quale rappresenta l'attuale base giuridica [insieme alladecisione di esecuzione della Commissione 2000/57/CE (2)] per il sistema di allarme rapido e di reazione (in appressoEWRS). L'EWRS è gestito dal Centro europeo per la prevenzione e il controllodelle malattie (in prosieguo ECDC) (3) per conto della Commissione e viene utilizzato dalle autoritàcompetenti degli Stati membri allo scopo di scambiare informazioni necessarieper la sorveglianza epidemiologica e il controllo delle malattie trasmissibilia livello europeo. L'EWRS è stato impiegato con successo in diversi casi, qualiSARS, influenza aviaria negli esseri umani e altre gravi malattietrasmissibili, rappresentando un importante strumento per la protezione dellasalute pubblica.

4.LapropostaèintesaadaccrescerelacooperazionetragliStatimembriinmeritoalleminacceperlasalute a carattere transfrontaliero. Essa, tra l'altro, estende il campo diapplicazione dell'attuale EWRS, che ad oggi comprende solo le malattietrasmissibili, ad altre tipologie di minacce per la salute a caratteretransfrontaliero, compresi i pericoli di origine biologica, chimica, ambientaleo di origine ignota, suscettibili di diffondersi oltre i confini nazionali.

5.L'EWRSstessoèstatooggettodiunpareresulcontrollopreventivoemessodalGEPDil26aprile2010 (4). A seguito di tale parere, legaranzie in materia di protezione dei dati per l'EWRS sono nettamentemigliorate. Tra l'altro, nel quadro della procedura di seguito dato, è stataanche adottata una raccomandazione della Commissione relativa a orientamenti sullaprotezione dei dati nell'ambito dell'EWRS (5).

6.      Ilpresente parere andrebbe letto alla luce dei progressi già compiuti e contienealcune raccomandazioni per migliorare ulteriormente il livello di protezionedei dati ai sensi della proposta.

7. Il GEPD accoglie con favore i riferimential regolamento (CE) n.45/2001 e alla direttiva 95/46/CE nel diciottesimoconsiderando e nell'articolo 18 della proposta, nonché il fatto che ilriferimento alla legislazione applicabile in materia di protezione dei dati nell'articolo18 includa attualmente tutte le modalità di trattamento dei dati personalirientranti nel campo di applicazione della proposta. Il Garante, inoltre,approva le garanzie specifiche in materia di protezione dei dati per la ricercadi contatti illustrate all'articolo 18 o che devono essere adottate dallaCommissione.

8.Tuttavia,glielementidellapropostaindicatidiseguitonecessitanoancoraobeneficerebberodichiarimenti, ulteriori dettagli o altri miglioramenti dal punto di vista dellaprotezione dei dati. Tali elementi sono costituiti da:

— ricerca di contatti, —sorveglianza ad hoc, — rapporto tra responsabile e incaricato deltrattamento dei dati, — periodo di conservazione; e — misure disicurezza.

9. Come osservazione preliminare, il GEPDrileva che diversi aspetti della proposta non vengono elaborati nel testostesso, ma saranno oggetto di atti delegati e atti di esecuzione, come l'elencodelle malattie trasmissibili cui si applica la proposta(6) e le procedure per lo scambio diinformazioni all'interno dell'EWRS (7). Ulteriori aspetti saranno chiariti negli orientamenti e nelleraccomandazioni adottati dalla Commissione, quali gli orientamenti sullaprotezione dei dati per l'EWRS (8).

10. Gli atti delegati sono intesi a modificaree specificare determinati elementi non essenziali dell'atto legislativo(articolo 290 TFUE), mentre gli atti di esecuzione mirano a stabilirecondizioni uniformi per l'attuazione degli atti giuridicamente vincolantidell'Unione (articolo 291 TFUE). Sebbene i dati possano essere certamenteregolati negli atti delegati e negli atti di esecuzione e tali disposizionicomplementari si rivelino indubbiamente di estrema utilità, il GEPD raccomandache anche la proposta stessa fornisca maggiori orientamenti in merito ad alcuniaspetti menzionati al punto 8, come illustrato di seguito.

 

II. Conclusioni

34. In generale, il GEPD suggerisce chealcuni elementi fondamentali, tra cui determinate garanzie essenziali inmateria di protezione dei dati, debbano essere inclusi anche nel testo dellaproposta stessa. In aggiunta, si avverte l'esigenza di alcuni chiarimenti invirtù dell'estensione del campo di applicazione della proposta a ulterioriminacce per la salute oltre alle malattie trasmissibili, non sottoposte a unaprocedura di controllo preventivo e, inoltre, non discusse negli orientamenti.

35. Più precisamente, il GEPD raccomandache la proposta:

— fornisca una definizione piùchiara della ricerca di contatti, compresi inoltre gli obiettivi e il campo diapplicazione, che potrebbe essere diversa per le malattie trasmissibili e altreminacce per la salute;

— definisca in modo più nettole modalità di determinazione dei soggetti da coinvolgere nella ricerca dicontatti, le fonti da utilizzare per ottenere dati relativi ai contatti e leprocedure di informazione nei confronti di tali soggetti circa il trattamentodei loro dati personali;

— includa alcuni criteri dautilizzare nel valutare se le misure per la ricerca di contatti sono necessariee proporzionate;

— specifichi almeno le principalicategorie di dati da trattare per la ricerca di contatti;

— precisi, per il sistema disorveglianza ad hoc, il tipo di dati da sottoporre a trattamento e adotti misurevolte a ridurre al minimo il trattamento dei dati personali, utilizzando ad esempiotecniche di anonimizzazione adeguate e limitando, per quanto possibile, iltrattamento ai dati aggregati;

— chiarisca la relazione tra lereti di sorveglianza ad hoc e l'EWRS;

— offra delucidazioni sul ruolodell'ECDC nelle reti di sorveglianza ad hoc;

— faccia luce sui compiti e leresponsabilità di tutti gli attori coinvolti dal punto di vista della protezionedei dati, al fine di ottenere la certezza giuridica in materia di controllo;

stabiliscaperiodi di conservazione giuridicamente vincolanti almeno per la ricerca deicontatti; — includa nell'articolo 18 un riferimento più specifico airequisiti sulla sicurezza e la riservatezza dei dati. (Il testo completo delpresente parere è reperibile in EN, FR e DE sul sito web del GEPD http://www.edps.europa.eu)

   Fatto a Bruxelles, il 28 marzo 2012

Giovanni BUTTARELLI

Garante europeo aggiunto dellaprotezione dei dati

 

NOTE                                                         

(1) GU L 268del 3.10.1998, pag. 1.

(2) GU L 21 del26.1.2000, pag. 32.

(3) L'ECDCviene istituito dal regolamento (CE) n. 851/2004 (GU L 142 del 30.4.2004, pag.1).

(4) Disponibilesul sito Internet del GEDP:http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/

Supervision/Priorchecks/Opinions/2010/10-04-26_EWRS_EN.pdf

(5) GU L 36 del9.2.2012, pag. 31.

(6) Articolo 6,paragrafo 5, lettera a), della proposta.

(7) Articolo 8,paragrafo 2, della proposta.

(8) Articolo18, paragrafo 6, della proposta.