GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29 PARERE I. Contesto — Il quadro giuridico europeo La direttiva europea sulla protezione dei dati 95/46/CE ("la direttiva") contiene disposizioni generali intese a garantire che le persone cui i dati si riferiscono siano informate dei propri diritti alla tutela dei dati. Tali disposizioni figurano ai seguenti articoli: • articolo 6, paragrafo 1, lettera a), che prescrive che i dati personali siano trattati "lealmente e lecitamente";1 • articolo 10, che prevede le informazioni minime che devono essere fornite alla persona dalla quale si raccolgono direttamente i dati che la riguardano; • articolo 11, che prevede le informazioni minime che devono essere fornite alla persona cui si riferiscono i dati, qualora essi vengano raccolti da un terzo; • articolo 14, che prescrive che la persona cui i dati si riferiscono venga informata prima che essi siano comunicati a terzi. In generale le disposizioni della direttiva operano una distinzione tra due tipi di informazioni: Ulteriori indicazioni sono inoltre state fornite dal gruppo di lavoro ex art. 29 (Working Party — WP) nella raccomandazione 2/2001 (WP 43, del 17 maggio 2001) relativa ai requisiti minimi per la raccolta di dati on-line nell'UE. In essa il gruppo di lavoro ha dato importanti indicazioni concrete sulle modalità di applicazione delle norme di cui alla direttiva alle più comuni pratiche di trattamento esercitate tramite Internet. Particolare attenzione è stata riservata a quando, come e quali informazioni occorra fornire al singolo utente. È stata inoltre la prima iniziativa volta a esplicitare a livello europeo un insieme "minimo" di obblighi cui possono facilmente conformarsi i responsabili del trattamento che gestiscono siti Internet. Basandosi su tale raccomandazione il presente parere del gruppo di lavoro affronta il tema di un'informazione più armonizzata sia in contesti online che off-line. II. Il vigente quadro di applicazione La prima relazione della Commissione sull'applicazione della direttiva sulla tutela dei dati (COM (2003) 265 def.) ha analizzato l'attuazione degli obblighi di informare previsti dalla direttiva. Secondo le conclusioni della relazione, l'applicazione degli articoli 10 e 11 della direttiva ha fatto emergere numerose disparità. In una certa misura ciò è la conseguenza di un'attuazione non corretta, ad esempio allorché una normativa stabilisce che devono essere sempre fornite alla persona interessata informazioni aggiuntive indipendentemente dalla verifica della necessità richiesta dalla direttiva, ma anche dell'adozione di interpretazioni e prassi differenti da parte delle autorità di controllo. In effetti, per quanto attiene al tipo di informazioni da fornire, nonché alla forma e alle scadenze in cui fornirle, le leggi degli Stati membri variano notevolmente. Variano anche le informazioni aggiuntive eventualmente necessarie a garantire un trattamento leale. Alcuni Stati membri riportano gli esempi che figurano nella direttiva, altri citano esempi abbastanza diversi e altri ancora non adducono alcun esempio. Mentre alcuni Stati membri si attengono strettamente alle disposizioni della direttiva, altri se ne allontanano alquanto. Ulteriori informazioni particolareggiate sulle normative nazionali figurano nell'analisi tecnica del recepimento della direttiva 95/46 negli Stati membri allegata alla prima relazione sulla sua applicazione. Tali differenze hanno indotto la Commissione a concludere che: "L'attuale congerie di disposizioni disomogenee e che si sovrappongono una all'altra per quanto riguarda le informazioni che i responsabili del trattamento sono tenuti a fornire alle persone interessate è inutilmente onerosa per gli operatori economici, senza che ciò comporti un miglioramento del livello di protezione". III. Il programma di lavoro per una migliore applicazione della direttiva sulla tutela dei dati (2003-2004) Per pervenire ad un'impostazione più coerente in materia di obblighi di informare, la Commissione ha incluso "la maggiore armonizzazione della fornitura di informazioni" come punto specifico (azione 6) del programma di lavoro per una migliore applicazione della direttiva. Nell'ambito dell'azione sono stati individuate due aree d'intervento parallele: 1. Azione per garantire la coerenza tra direttiva e obblighi nazionali di informare: "Nella misura in cui gli obblighi di fornire informazioni imposti ai responsabili del trattamento non ottemperano alle disposizioni della direttiva è auspicabile che a ciò possa essere posto rimedio rapidamente attraverso il dialogo con gli Stati membri e tramite un'azione legislativa di correzione da parte di tali paesi". 2. Collaborazione del gruppo di lavoro ex articolo 29 alla ricerca di un'interpretazione più uniforme dell'articolo 10. Per progredire nella seconda area d'intervento individuata nell'ambito dell'azione 6 del programma di lavoro, il presente parere del gruppo di lavoro mira a definire un'impostazione comune ai fini di una soluzione pragmatica che sia un concreto valore aggiunto per l'attuazione dei principi generali della direttiva di promozione di una maggiore armonizzazione della fornitura di informazioni. Detta impostazione pragmatica ovviamente non esonera i responsabili del trattamento dall'obbligo di confrontare i trattamenti medesimi con tutta la serie delle prescrizioni e condizioni vigenti nel diritto nazionale, ai fini di verificarne la conformità giuridica. IV. Motivi per promuovere una maggiore armonizzazione del regime UE di informazioni sulla tutela dei dati A sostegno di un'interpretazione più armonizzata degli articoli 10 e 11 sono stati individuati quattro motivi: 1. L'esigenza di agevolare l'ottemperanza in tutta l'UE L'indagine Flash Eurobarometro 2003 sulle pratiche delle imprese ha evidenziato che l'ottemperanza ai vigenti obblighi di informare è problematica. Secondo le loro stesse risposte, non sempre le imprese rispettano la normativa sulla tutela dei dati fornendo alle persone le informazioni cui hanno diritto. Sono ad esempio solo il 37% le imprese che indicano sistematicamente l'identità del responsabile del trattamento alle persone cui i dati si riferiscono, e solo il 46% quelle che comunicano sempre a tali persone le finalità per cui i dati vengono utilizzati. Se da un lato, secondo l'indagine Eurobarometro, le grandi imprese riescono più delle piccole a fornire le informazioni pertinenti, dall'altro i contributi al processo di revisione della direttiva sottolineano le difficoltà anche delle imprese maggiori a rispettare l'attuale varietà di obblighi di informare2. 2. L'esigenza di rendere i cittadini più consapevoli dei propri diritti alla tutela dei dati I risultati dell'indagine Eurobarometro specificamente deticata alla tutela dei dati hanno evidenziato che i cittadini sono poco consapevoli dei propri diritti alla tutela dei dati. Solo il 42% dei cittadini dell'UE sa che chi raccoglie informazioni personali è tenuto a comunicare alle persone quanto meno la propria identità e le finalità della raccolta dei dati. Avvertenze più semplici per rendere i cittadini più consapevoli potrebbero contribuire a migliorare l'attuale comprensione dei diritti e delle responsabilità in merito alla tutela dei dati. 3. L'esigenza di dare informazioni con un contenuto significativo e adeguato alla situazione di raccolta dei dati Mentre la direttiva opera una netta distinzione tra informazioni essenziali ed eventuali "ulteriori informazioni", non sempre le interpretazioni nazionali hanno tenuto conto di tale distinzione. Di conseguenza in alcuni casi tutti gli obblighi nazionali di informare devono essere rispettati in tutte le situazioni di raccolta di dati soggetti a tutela. Questo tipo di interpretazione non è conforme allo spirito dell'articolo 10, che opera una netta distinzione tra informazioni essenziali e eventuali "ulteriori informazioni", che devono essere fornite solo nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, esse siano necessarie per effettuare un trattamento leale. La prescrizione di fornire informazioni su larga scala in tutte le situazioni di raccolta di dati soggetti a tutela — indipendentemente dalla verifica di necessità prevista dalla direttiva — non tiene conto dei limiti di spazio o di tempo inerenti a varie situazioni di raccolta di dati. 4. L'esigenza di migliorare la qualità della tutela dei dati dal punto di vista delle persone interessate Le avvertenze on-line tendono ad essere molto lunghe e a contenere termini giuridici e di gergo settoriale. Il loro valore è stato messo in discussione da uno studio del 2002 di Consumers'International intitolato "Privacy@net, An International comparative study of consumer policy on the Internet", che raccomandava di migliorare le informazioni sulla riservatezza e di utilizzare formati brevi e leggibili.3 V. Progressi realizzati — Discussioni internazionali L'esigenza di migliorare le informazioni sulla tutela dei dati è stata riconosciuta anche a livello internazionale e si sono realizzati importanti passi avanti: 1. La 25a Conferenza internazionale di Sydney dei commissari per la tutela dei dati e della riservatezza, conclusasi con un accordo sulla risoluzione di cui all'Allegato 1. La risoluzione ha messo in evidenza la necessità di una maggiore coerenza a livello mondiale e ha sottolineato che nelle avvertenze devono figurare: • le informazioni che sostanzialmente che le persone dovrebbero avere • le informazioni che verosimilmente le persone vorrebbero avere • un uso della lingua semplice, diretto e privo di ambiguità. 2. Il laboratorio di Berlino del marzo 2004, alla quale hanno partecipato esperti del settore pubblico e privato interessati all'attuazione della risoluzione della 25a Conferenza internazionale. A conclusione del dibattito si è concordato un memorandum, che viene riportato in versione integrale all'Allegato 2. Il memorandum ha confermato i temi principali della risoluzione della 25a Conferenza internazionale, sottolineando l'importanza della comprensione, della semplicità del linguaggio, della brevità e della coerenza. Esso ha inoltre analizzato i seguenti punti: • In che modo avvertenze multistrato possono integrarsi in un quadro di ottemperanza Secondo il memorandum, le informazioni destinate alle persone cui i dati si riferiscono, potrebbero se del caso, essere fornite in un formato multistrato, in cui ogni strato dà alle persone le informazioni necessarie a capire la propria posizione e ad assumere decisioni. Il memorandum sostiene anche l'idea di un quadro di ottemperanza. In un formato di avvertenze multistrato il formato complessivo (cioè tutti gli strati nel loro insieme) deve essere conforme alla legislazione pertinente, mentre ogni singolo strato deve comunicare alla persona le informazioni necessarie per assumere al momento una decisione informata. • Alcuni concetti essenziali da inserire in avvertenze sintetiche Viene anche riconosciuta l'esigenza di incentivare formati per le avvertenze coerenti. 3. Alla 26a Conferenza internazionale dei commissari per la tutela dei dati e della riservatezza di Wroclaw, Polonia, del settembre 2004, sono state presentate ricerche che dimostrano l'esigenza di avvertenze sul trattamento leale e la riservatezza facilmente comprensibili. Le avvertenze devono essere brevi, avere categorie di informazioni e di testo limitate, ed essere scritte in linguaggio semplice. Per facilitarne la comprensione e la memorizzazione — e promuovere una più ampia consapevolezza in materia di tutela dei dati — si dovrebbe di preferenza utilizzare un formato comune o un modello standard. Avvertenze multistrato, con informazioni complete disponibili a richiesta, possono essere utilizzate per comunicare informazioni disponibili e garantire l'ottemperanza alle norme vigenti. Alla Conferenza di Wroclaw si è anche parlato di ricerche effettuate da MSN in Germania e a Hong Kong per verificare le reazioni delle persone a specifiche avvertenze multistrato. Nonostante la diversità dei problemi, in entrambi i luoghi le impostazioni multistrato sono state preferite a quelle convenzionali, in quanto ritenute dichiarazioni sulla riservatezza più in sintonia con il cliente. Particolarmente sottolineata è stata l'idoneità dell'impostazione multistrato ad essere utilizzata nelle operazioni internazionali e via Internet. VI. Verso una soluzione pragmatica — avvertenze informative UE In questa fase sarebbe un passo avanti importante raggiungere un accordo sul concreto valore aggiunto della definizione di avvertenze informative che garantiscano un'interpretazione più armonizzata delle pertinenti disposizioni della direttiva in tutta l'UE e contestualmente il conseguimento dei seguenti obiettivi: • ottemperanza più agevole • maggiore consapevolezza dei diritti e delle responsabilità inerenti alla tutela dei dati • migliore qualità delle informazioni sulla tutela dei dati. Allo scopo di incoraggiare un'impostazione coerente in materia di informazioni alle persone cui i dati si riferiscono, viene in seguito formulata una proposta, che si basa su un'analisi delle prescrizioni giuridiche delle normative nazionali sulla tutela dei dati dei paesi dell'UE, e tiene conto della risoluzione della 25a Conferenza internazionale dei commissari per la tutela dei dati, del Memorandum di Berlino che risponde alle preoccupazioni del settore privato, delle esigenze delle persone cui i dati si riferiscono e soprattutto della direttiva 95/46/CE. Principi della proposta • Adesione al principio di fornire le informazioni alle persone cui i dati si riferiscono utilizzando un linguaggio e una presentazione facili da capire. La comprensione dei soggetti cui i dati si riferiscono è un obiettivo importante, che li abilita ad assumere decisioni informate e conferisce una cognizione e padronanza tale da influire sulle pratiche dei responsabili e degli incaricati del trattamento. In detto contesto è importante garantire che le informazioni vengano comunicate in modo adeguato alle persone con esigenze particolari (ad esempio i bambini). • Adesione al concetto di un formato multistrato per le avvertenze alle persone cui i dati si riferiscono. Le avvertenze multistrato possono contribuire a migliorare la qualità delle informazioni sulla tutela dei dati; ciascun strato privilegia le informazioni necessarie alla persona per capire la propria posizione e assumere decisioni. In caso di spazio/tempo di comunicazione limitato, i formati multistrato possono migliorare la leggibilità delle avvertenze. • Accettazione di avvertenze sintetiche come giuridicamente consentite nel quadro di una struttura multistrato che complessivamente garantisce l'ottemperanza. L'insieme degli strati deve essere conforme alle specifiche prescrizioni nazionali; ciascun strato viene ritenuto accettabile a condizione che l'insieme garantisca l'ottemperanza alle norme. In tal modo nelle comunicazioni ai consumatori le imprese possono utilizzare un'avvertenza sintetica sulla tutela dei dati coerente in tutta l'UE, a condizione che i consumatori possano facilmente accedere alle informazioni previste dalla normativa nazionale sulla tutela dei dati. Che informazioni dare nelle avvertenze UE sulla riservatezza? • Ai sensi della direttiva, le informazioni da dare alle persone cui i dati si riferiscono al momento della raccolta di informazioni personali si possono suddividere in due tipi. Informazioni essenziali, che devono essere fornite in tutte le circostanze in cui la persona cui i dati si riferiscono non ne sia già informata, che comprendono l'identità del responsabile del trattamento ed eventualmente del suo rappresentante, nonché le finalità del trattamento dei dati. • Ulteriori informazioni, che devono essere fornite qualora siano necessarie per effettuare un trattamento leale, tenendo conto delle specifiche circostanze in cui i dati vengono raccolti. Oltre a queste, vi è una terza categoria di informazioni richieste a livello nazionale, che non rientrano nelle disposizioni della direttiva: informazioni sul nome e indirizzo del commissario per la tutela dei dati, informazioni sulla base di dati e riferimenti alle leggi nazionali. Nel presente parere il gruppo di lavoro sostiene che non è necessario che l'avvertenza di trattamento leale sia contenuto in un unico documento. A condizione che l'insieme sia conforme alle disposizioni giuridiche, si possono avere fino a tre strati di informazioni comunicate alle persone con le seguenti modalità: Strato 1 — Avvertenza sintetica Deve comunicare alle persone le informazioni essenziali di cui all'articolo 10 della direttiva, cioè l'identità del responsabile del trattamento e le finalità del trattamento dei dati, a meno che le persone cui i dati si riferiscono ne siano già informate, nonché qualsiasi informazione aggiuntiva che, in considerazione delle circostanze particolari del caso, debba essere preventivamente fornita per garantire un trattamento leale. Occorre inoltre indicare con chiarezza le modalità con cui la persona può accedere alle informazioni aggiuntive. Vi sono inoltre alcune situazioni concernenti la riservatezza, in cui potrebbe essere utile ricorrere ad avvertenze anche molto sintetiche, ad esempio quando lo spazio disponibile per le informazioni è estremamente limitato. In tali casi si potrebbero formulare avvertenze molto sintetiche da visualizzare sui telefoni cellulari o su altri dispositivi di dimensioni ridotte. Talvolta si possono trasmettere le necessarie avvertenze alle persone interessate anche ricorrendo a pittogrammi. Gli esempi più evidenti sono le informazioni sulla presenza di videocamere o di identificatori a radiofrequenza nascosti nei prodotti. L'appendice 1 è un esempio di avvertenza sintetica, che potrebbe essere adattata ad uso di un'impresa commerciale operante su scala europea. Strato 2 — Avvertenza breve Le persone devono poter accedere in qualsiasi momento ad un'avvertenza contenente tutte le pertinenti informazioni previste dalla direttiva, cioè: • il nome della società • le finalità del trattamento dei dati • i destinatari o le categorie di destinatari dei dati • se rispondere alle domande è obbligatorio o facoltativo, nonché le possibili conseguenze di una mancata risposta • la possibilità di trasferimento a terzi • diritti di accesso, di rettifica e di opposizione • scelte che la persona può effettuare. Occorre inoltre comunicare un recapito a cui rivolgersi per domande e informazioni sui mezzi di ricorso interni alla società stessa, oppure indicazioni sull'agenzia di tutela dei dati più vicina. L'avvertenza breve deve essere disponibile sia in versione on-line che a stampa, previa domanda scritta o telefonica. I responsabili del trattamento sono invitati a presentare l'avvertenza sotto forma di tabella per agevolare il confronto. L'appendice 2 è un esempio di avvertenza breve. L'appendice 3 mostra come si possa utilizzare un modello di avvertenza breve per dare ai passeggeri di voli transatlantici le stesse informazioni proposte come nota sintetica dal gruppo di lavoro ex articolo 29 nel suo parere 8/2004 del 30 settembre 2004. Entrambi gli esempi sono stati concepiti per operazioni on-line, ma possono essere facilmente riadattati ad operazioni off-line. Strato 3 — Avvertenza completa Questo strato deve comprendere tutte le prescrizioni e le specificità giuridiche nazionali. Può eventualmente includere una dichiarazione completa sulla riservatezza, nonché eventuali ulteriori collegamenti a punti di riferimento nazionali. * * * * * * * * * * * * * * * Gli esempi sono particolarmente adatti all'attività on-line, soprattutto se a partire dall'avvertenza sintetica o breve si può accedervi cliccando. Possono essere facilmente convertiti in versione a stampa per le operazioni off-line, a condizione che alla persona venga offerto un mezzo semplice (ad esempio un numero telefonico gratuito) per ottenere le informazioni richieste. APPENDICI NOTE http://europa.eu.int/comm/internal_market/privacy/docs/lawreport/paper/amcham_en.pdf 3 http://www.consumersinternational.org/publications/searchdocument.asp?PubID=30®ionid=135&langi d=1 |