CE - GRUPPO DI LAVORO SULLA PROTEZIONE DELLE PERSONE PER QUANTO RIGUARDA IL TRATTAMENTO DEI DATI PERSONALI

Adottato dal gruppo di lavoro il 3 dicembre 1997

1. INTRODUZIONE

La sezione IX ¹ del capitolo II della direttiva 95/46/CE relativa alla tutela delle persone fisiche per quanto riguarda il trattamento dei dati personali nonché la libera circolazione di tali dati ("la direttiva") disciplina la notifica del trattamento dei dati alle autorità nazionali di controllo ("le autorità").

Il gruppo di lavoro, sulla base del mandato previsto all'articolo 30, n. 1, lettera a), della direttiva, ha avviato discussioni nel corso della seconda riunione sulla possibile attuazione delle disposizioni della direttiva in materia di notifica. Una serie di documenti di lavoro riguardanti specificamente la semplificazione e l'esenzione dall'obbligo di notificare il trattamento dei dati alle autorità sono stati presentati dalle delegazioni francese, olandese e britannica.

Per quanto riguarda la semplificazione e l'esenzione dall'obbligo di notificare, la delegazione tedesca ha presentato un documento di lavoro sul ruolo, in Germania, del funzionario indipendente incaricato della protezione dei dati (funzionario interno per la protezione dei dati) di cui all'articolo 18, n. 2, della direttiva ². La discussione su questo tema è continuata durante la terza riunione dopo la presentazione dei rappresentanti dei funzionari responsabili per la protezione dei dati in Germania.

Ci si è trovati d'accordo sul fatto che il gruppo di lavoro potesse utilmente fornire alcuni orientamenti sull'interpretazione delle disposizioni della direttiva. L'esperienza di alcune delegazioni nell'applicazione di disposizioni nazionali attualmente in vigore analoghe a quelle della direttiva poteva fornire indicazioni sul funzionamento delle varie opzioni presentate nella direttiva.

La discussione ha mostrato che la specificazione delle finalità al momento della notifica svolge un ruolo importante nell'applicazione del principio dell'indicazione dello scopo ³. Il ruolo degli "scopi notificati" nell'attuale normativa nazionale varia nei differenti ordinamenti giuridici, così come il livello di dettaglio nella descrizione di tali scopi, non solo tra gli Stati membri ma anche all'interno degli Stati membri.

Il gruppo di lavoro ha concordato di scambiare modelli di moduli di notifica al fine di studiare il tipo di specificazione delle finalità nei vari Stati membri. Tali modelli sono stati distribuiti durante la terza riunione.

Una versione precedente del presente documento è stata discussa nel corso della quarta riunione.

Esempi di descrizione della finalità delle operazioni di trattamento effettuate da una banca, uno studio medico e una compagnia telefonica sono stati scambiati nel corso della quinta riunione ed hanno costituito la base della discussione.

La sezione seguente descrive gli antecedenti legislativi delle disposizioni della direttiva. La sezione terza riassume alcune delle principali caratteristiche dell'attuale situazione normativa a livello nazionale. L'ultima sezione delinea alcune conclusioni preliminari ed esamina alcuni punti relativi al modo in cui il gruppo di lavoro dovrebbe affrontare il tema della notifica.

2. ANTECEDENTI LEGISLATIVI DELLE DISPOSIZIONI DELLA DIRETTIVA IN TEMA DI NOTIFICA

La proposta originale della Commissione ⁴ conteneva due disposizioni riguardanti la notifica: l'art. 7, riguardante gli archivi del settore pubblico e l'art. 11, riguardante gli archivi del settore privato. Il considerando 13 chiariva l'identica finalità delle due disposizioni: garantire "la trasparenza indispensabile all'esercizio del diritto di accesso di qualsiasi persona ai dati che la riguardano". L'obbligo di notifica riguardava solo "i dati personali che potrebbero essere comunicati".

Una serie di emendamenti del Parlamento hanno modificato sostanzialmente tali disposizioni. La proposta modificata in base agli emendamenti parlamentari ha ristrutturato l'intero sistema di notifica.

La distinzione tra il settore pubblico e il settore privato è stata abolita e le norme sulla modifica sono state riferite a tutte le operazioni di trattamento. La relazione, tuttavia, ha sottolineato che la potenziale estensione dell'obbligo di notifica deve essere considerata in combinazione con l'introduzione di deroghe all'obbligo di notifica e di semplificazione delle procedure.

Anche il fine generale della notifica è stato modificato: esso deve costituire la base del controllo selettivo di legittimità delle operazioni di trattamento da parte delle autorità di controllo.

Alcuni aspetti della proposta modificata contribuiscono infatti ad eliminare requisiti burocratici non necessari. Una singola notifica può comprendere l'insieme di procedure di trattamento con identica finalità. Inoltre i responsabili del controllo dei dati non hanno l'obbligo di fornire eccessivi particolari perché la notifica deve indicare unicamente le categorie di soggetti interessati, di soggetti destinatari e di dati. La notifica non è necessaria per il trattamento di dati riguardanti i membri e i contatti degli organismi senza fini di lucro indicati all'art. 8, n. 2, lettera d). Infine, è considerata opzionale la notifica del trattamento non automatico di dati personali.

La proposta modificata non si proponeva unicamente di limitare o semplificare gli obblighi di notifica ma, secondo gli auspici del Parlamento, intendeva creare un sistema a tre livelli che, pur evitando gli eccessi burocratici, fornisse vari gradi di protezione in rapporto ai rischi posti da vari tipi di operazioni di trattamento.

Veniva introdotto un sistema di autorizzazione preventiva riguardante operazioni di trattamento che presentavano "rischi specifici". La relazione faceva riferimento al trattamento di dati sensibili, alle "liste nere" e alle "operazioni volte ad informare i terzi sulla solvibilità delle persone" come esempi di operazioni di trattamento che potevano richiedere un controllo preventivo.

Il testo finale delle disposizioni sulla notifica conservava la struttura generale della proposta modificata. Venivano tuttavia aggiunte semplificazioni e deroghe dall'obbligo di notifica riguardanti i pubblici registri e le situazioni in cui il responsabile del registro designa, in conformità con il diritto nazionale, un funzionario interno addetto alla protezione dei dati. Il considerando 48 chiarisce che il fine delle procedure di notifica è di chiarire gli scopi e le principali caratteristiche delle operazioni di trattamento al fine di verificarne la conformità con la normativa sulla protezione dei dati.

Il considerando 52 indica che il controllo ex-post costituisce la forma normale di controllo da parte delle autorità. I considerando 53 e 54 confermano che il controllo preventivo rappresenta una procedura in qualche modo eccezionale da utilizzare solo in rapporto a specifici rischi.

3. SITUAZIONE ATTUALE NEL DIRITTO NAZIONALE

Procedure di notifica del trattamento dei dati alle autorità esistono attualmente in tutte le normative nazionali relative alla protezione dei dati. Tuttavia l'estensione dell'obbligo di notifica varia notevolmente.

In Spagna, Lussemburgo, Austria, Portogallo, Svezia e Regno Unito in linea generale, tutte le operazioni di trattamento che rientrano nella sfera d'applicazione della legge sulla protezione dei dati ⁵ devono essere notificate alle autorità responsabili per la protezione dei dati.

Alcuni di questi paesi stanno attualmente semplificando i requisiti di notifica o stanno introducendo deroghe agli obblighi di notificare. I sistemi generali di notifica sono risultati in alcuni casi particolarmente costosi in termini di utilizzazione delle risorse per le autorità responsabili. Inoltre, non è stato sempre facile effettuare controlli significativi sulla base delle notifiche.

In Belgio e nei Paesi Bassi la maggior parte dei normali e meno rischiosi tipi di operazioni di trattamento sono state esentate dall'obbligo di notifica attraverso un atto governativo adottato nell'ambito della normativa generale sulla protezione dei dati. Le deroghe riguardano un'ampia proporzione dei vari tipi di trattamento dei dati (secondo le stime, circa l'80%).

In Francia, le categorie più normali e meno rischiose di trattamento dei dati sono soggette a una procedura semplificata di notifica secondo la quale il responsabile dell'archivio dichiara semplicemente di operare in conformità con una cosiddetta "norme simplifiée" predeterminata dalla Commission Nationale Informatique et Libertés (CNIL). Sono state sino ad oggi definite 40 "normes simplifiées" comprendenti un gran numero di operazioni di trattamento (il 75% delle notifiche per il 1995 sono state notifiche semplificate).

In Italia, numerose deroghe dall'obbligo di notifica sono state introdotte attraverso decreti adottati nel quadro della normativa generale sulla protezione dei dati. Tali deroghe riguardano alcune categorie di operazioni di trattamento e sono soggette a condizioni specifiche.

In Danimarca ⁶, Germania, Irlanda e Finlandia l'obbligo di notifica comprende solo alcuni tipi di operazioni di trattamento ⁷. La notifica viene effettuata di solito attraverso speciali moduli cartacei. In Belgio è inoltre possibile notificare su dischetti elettronici ⁸. Nel Regno Unito la registrazione può essere effettuata in parte per telefono, ma devono in ogni caso essere riempiti i moduli prestampati con ulteriori informazioni. I moduli di notifica possono comprendere di solito tutti i tipi di operazioni di trattamento. Nel Regno Unito, tuttavia, sono stati creati moduli speciali: si tratta di normali moduli di notifica nei quali sono state evidenziate tutte le parti normalmente relative a un certo tipo di gestione di dati.

I moduli di notifica comprendono di solito particolari sui responsabili degli archivi e sulle operazioni di trattamento, quali i tipi di dati trattati, gli scopi delle operazioni di trattamento, le persone che hanno accesso ai dati e così via.

Un elemento fondamentale della notifica è la descrizione dello scopo dell'operazione di trattamento. La prassi relativa all'indicazione degli scopi varia tra gli Stati membri.

In Belgio e nel Regno Unito un elenco predeterminato comprendente i possibili scopi del trattamento è allegato al modulo di notifica. Coloro che gestiscono i dati possono pertanto scegliere uno degli scopi predefiniti ⁹. In nessuno dei due paesi, tuttavia, coloro che gestiscono i dati sono obbligati a fare riferimento ad uno degli scopi predeterminati; essi possono indicare altri scopi negli spazi previsti.

Le discussioni nel corso della seconda riunione e i modelli di notifica scambiati durante la terza hanno mostrato che i responsabili degli archivi tendono a fornire descrizioni molto brevi e spesso generiche degli scopi delle operazioni di trattamento.

Nella maggior parte degli Stati membri l'analisi a posteriori della compatibilità delle operazioni con la finalità del trattamento, non viene effettuata in rapporto alla descrizione astratta, ma facendo riferimento agli scopi concreti delle varie operazioni.

L'indicazione di finalità generiche al momento della notifica priva quest'ultima della sua funzione. La descrizione generica dello scopo non consente alle autorità responsabili per la protezione dei dati di valutare se una particolare operazione di trattamento è conforme alla legge e ha scarsa utilità per coloro che consultano il registro pubblico delle operazioni di trattamento.

4. CONCLUSIONI

La notifica contribuisce al rispetto dei principi della direttiva poiché i responsabili degli archivi, al fine di effettuare la notifica, devono valutare e descrivere le loro operazioni di trattamento, definendo in anticipo quali dati saranno utilizzati e a quale scopo. Per svolgere in modo adeguato queste funzioni e contribuire alla trasparenza del trattamento dei dati, le informazioni fornite non devono essere generiche ma specifiche.

È particolarmente importante che gli scopi delle operazioni di trattamento siano adeguatamente indicati. Definizioni eccessivamente generiche degli scopi delle operazioni di trattamento rendono inutile l'intero sistema delle notifiche. Né coloro cui i dati si riferiscono né le autorità di controllo saranno in grado di valutare l'operazione notificata o la compatibilità delle varie operazioni pianificate o realizzate dai responsabili degli archivi con lo scopo per il quale i dati sono stati originariamente raccolti o ulteriormente elaborati.

Valutare la compatibilità delle varie operazioni con lo scopo per il quale i dati sono stati originariamente raccolti e che è stato notificato alle autorità responsabili per la protezione dei dati è uno dei compiti più difficili e importanti nella procedura di verifica della conformità con la normativa sulla protezione dei dati. Il gruppo di lavoro intende sviluppare metodi comuni per valutare la compatibilità dello scopo delle operazioni di trattamento.

Forti divergenze nella descrizione dello scopo delle operazioni di trattamento nei vari Stati membri non rappresenterebbero solo un problema per coloro che gestiscono i dati, ma potrebbero vanificare l'equivalenza del livello di protezione nell'ambito comunitario. L'analisi delle attuali misure nazionali di notifica mostra che non vi sono fondamentali differenze nella descrizione degli scopi tra i vari Stati membri. Tuttavia, la tipologia e la quantità dei particolari forniti varia tra le varie procedure nazionali e secondo la struttura dei moduli di notifica.

L'esperienza degli Stati membri nei quali sono applicate tali misure dimostra che gli elenchi predeterminati e gli scopi più comuni sono particolarmente apprezzati dai responsabili degli archivi e semplificano la gestione delle notifiche da parte delle autorità. Il gruppo di lavoro continuerà a studiare la possibilità di definire una descrizione normalizzata degli scopi delle normali operazioni di trattamento che dovrà costituire un orientamento per tutti gli interessati.

Requisiti eccessivamente burocratici relativi alla notifica non rappresentano solamente un onere per le imprese ma sono in contrasto con la ratio stessa della procedura di notifica, costituendo un onere eccessivo per le autorità responsabili della protezione dei dati. Alcuni paesi hanno introdotto o hanno mostrato interesse nelle procedure semplificate di notifica o nelle deroghe all'obbligo di notifica. In base alla direttiva, le notifiche semplificate o le deroghe all'obbligo di notifica possono essere concesse in rapporto alle operazioni di trattamento che hanno scarse probabilità d'influenzare negativamente i diritti e le libertà di coloro cui i dati si riferiscono. Alcuni elementi devono essere specificati in rapporto a tali operazioni di trattamento ¹⁰.

Le notifiche semplificate o le deroghe possono inoltre essere concesse nei casi in cui i responsabili degli archivi, in conformità con la normativa nazionale, designano un funzionario internoresponsabile per la protezione dei dati. Quest'ultimo deve garantire che i diritti e le libertà di coloro cui i dati si riferiscono hanno scarse probabilità di essere influenzati negativamente dalle operazioni di trattamento. A tal fine, secondo la direttiva, il funzionario deve come minimo garantire in modo indipendente l'applicazione delle disposizioni nazionali adottate sulla base della direttiva e mantenere un registro delle operazioni di trattamento comprendente gli elementi d'informazione normalmente presenti nel registro pubblico delle operazioni di trattamento.

La creazione di funzionari interni responsabili della protezione dei dati limita la necessità di un controllo centralizzato. Il gruppo di lavoro appoggia la creazione di tali funzionari su base obbligatoria o volontaria. È tuttavia necessario che siano forniti loro gli strumenti per svolgere le loro funzioni in modo efficace. Se tali poteri e risorse sono insufficienti a garantire i diritti e le libertà di coloro cui i dati si riferiscono, le deroghe dal normale obbligo di notifica non sarebbero più giustificate.

L'effettiva indipendenza di tali funzionari nel garantire l'applicazione della legge sulla protezione dei dati è essenziale per la protezione dei diritti di coloro cui i dati si riferiscono e per verificare la conformità con la normativa in materia. Vi dovranno essere adeguate garanzie che questi funzionari possano agire nello svolgimento delle loro funzioni in piena indipendenza, soprattutto dai dirigenti delle imprese.

Esiste un certo grado di coerenza per quanto riguarda le categorie di operazioni che hanno scarsa probabilità d'influenzare negativamente i diritti e le libertà di coloro cui i dati si riferiscono. Tali categorie comprendono l'elaborazione di dati relativa alla gestione delle buste paga, alla contabilità, ai partner e azionisti, ai clienti e fornitori, ecc.

Il gruppo di lavoro intende continuare nei suoi sforzi di definire un elenco di operazioni di trattamento che, indipendentemente dalle misure procedurali adottate dagli Stati membri per il recepimento delle relative disposizioni della direttiva, possa essere utilizzato come riferimento per decidere quali operazioni hanno meno probabilità d'influenzare negativamente i diritti e le libertà di coloro cui i dati si riferiscono.

La notifica tramite strumenti diversi dai moduli cartacei rende la notifica stessa più efficace sia per i responsabili degli archivi che per le autorità. Il gruppo di lavoro appoggia l'utilizzazione di tali forme di notifica quali strumenti per ridurre i costi per gli operatori economici e consentire un controllo meno costoso e più efficiente da parte delle autorità.

Una delle funzioni delle procedure di notifica è d'informare il pubblico sulle operazioni di trattamento esistenti tramite il registro pubblico. Il gruppo di lavoro ritiene estremamente importante rendere tale registro facilmente accessibile al pubblico. Il gruppo di lavoro considera con particolare interesse i progetti volti a rendere i registri pubblici disponibili attraverso la world wide web. Sottolinea infine l'esigenza di adottare adeguate garanzie volte ad evitare che i dati personali compresi nei registri delle operazioni di trattamento siano utilizzati in modo improprio.

1 In particolare gli articoli da 18 a 20.

2 Documento di lavoro 1 discusso durante la seconda riunione.

3 A questo principio si fa a volte riferimento come principio di "finalità".

4 COM(90) 314 def. - SYN 287.

5 In alcuni di questi paesi la normativa sulla protezione dei dati si applica attualmente solo ai dati trattati automaticamente, non disciplinando altri tipi di operazioni di trattamento. Nel Regno Unito, ad esempio, i dati personali elaborati per finalità domestiche o ricreative, le informazioni che per legge devono essere rese pubbliche, i dati elaborati per finalità di sicurezza nazionale, di pagamento di stipendi e salari, di pensioni e di conti correnti, quelli relativi a circoli privi di personalità giuridica e gli elenchi di indirizzi sono esonerati dagli obblighi previsti dalla maggior parte delle disposizioni degli atti normativi sulla protezione dei dati.

6 In Danimarca l'obbligo di notifica comprende tutte le operazioni di trattamento nel settore pubblico, ma solo alcuni tipi di operazioni di trattamento nel settore privato.

7 In Germania gli organismi del settore pubblico federale devono notificare al Commissario federale per la protezione dei dati mentre gli organismi dei Länder notificano ai Commissari dei Länder stessi. Tale procedura non è tuttavia obbligatoria in tutti i Länder. Nel settore privato hanno l'obbligo di notificare solo alcuni operatori del settore del credito, gli operatori nel settore delle vendite dirette e le organizzazioni che trattano dati per conto di altri. In Finlandia deve essere notificato il trattamento dei dati destinati alle vendite dirette, alle ricerche di opinioni o di mercato e alle chiamate di richiesta di numeri di abbonati telefonici.

8 Questo tipo di notifica è particolarmente vantaggioso per i bassi costi.

9 Ve ne sono circa 54 in Belgio e 70 nel Regno Unito.

10 "[..] gli scopi del trattamento, i dati o le categorie di dati sottoposti a trattamento, la categoria o le categorie di soggetti cui i dati si riferiscono, i destinatari o le categorie di destinatari dei dati e il periodo di tempo durante il quale i dati sono conservati" (art. 18, n. 2).