GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29

Parere 3/2006 - WP119
sulla direttiva 2006/24/CE del Parlamento europeo e del Consiglio
riguardante la conservazione di dati generati o trattati nell’ambito della fornitura
di servizi di comunicazione elettronica accessibili al pubblico
o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE

Adottato il 25 marzo 2006

istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio,

del 24 ottobre 1995¹,

visto l’articolo 29 e l’articolo 30, paragrafo 1, lettera a) e paragrafo 3 della suddetta direttiva e l’articolo 15, paragrafo 3 della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002,

visto il proprio regolamento interno, in particolare gli articoli 12 e 14,

ha adottato il seguente parere:

Il 15 marzo 2006 il Consiglio ha adottato la direttiva 2006/24/CE del Parlamento europeo e del Consiglio riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE². Il Parlamento europeo ha approvato la proposta della Commissione (COM(2005) 438)³, dopo gli emendamenti negoziati con il Consiglio, ed ha adottato il 14 dicembre 2005 la risoluzione legislativa a tale riguardo (C6-0293/2005 - 2005/0182(COD)).

Nel suo ultimo parere — WP 113 del 21 ottobre 2005 — riguardante tale direttiva, che era allora allo stadio di progetto, il gruppo di lavoro articolo 29 aveva espresso le proprie riserve, poiché le disposizioni della direttiva avranno conseguenze di ampia portata per tutti i cittadini europei e per la loro privacy. La decisione di conservare i dati nell’intento di combattere i reati gravi è senza precedenti ed ha dimensione storica. Essa invade la vita quotidiana di ogni cittadino e può porre a repentaglio i valori e libertà fondamentali di cui godono e che rispettano tutti i cittadini europei. Il gruppo di lavoro rammenta qui le considerazioni e preoccupazioni esposte nel summenzionato parere, le quali conservano la loro validità. È quindi della massima importanza che, nell’attuare la direttiva, ogni Stato membro la corredi con provvedimenti atti a ridurne l’incidenza sulla privacy.

Il gruppo di lavoro articolo 29 osserva che nella direttiva mancano alcune adeguate e specifiche salvaguardie riguardo al trattamento dei dati comunicati e che vi è lasciato spazio per un’interpretazione e attuazione divergenti tra gli Stati membri. È invece necessario prevedere salvaguardie adeguate e specifiche per tutelare gli interessi vitali degli individui, quali sono menzionati nella direttiva 2002/58/CE, in particolare il diritto alla riservatezza quando si utilizzano servizi pubblici di comunicazione elettronica. Inoltre, il gruppo di lavoro ritiene d’importanza cruciale che le disposizioni della direttiva siano interpretate e attuate secondo modalità armonizzate, così da assicurare ai cittadini il medesimo grado di tutela in tutta l’Unione europea.

Di conseguenza, il gruppo di lavoro articolo 29 propone che la direttiva sia attuata uniformemente in tutta l’UE. Una simile impostazione è intesa ad assicurare l’applicazione armonizzata delle disposizioni della direttiva, rispettando al tempo stesso il massimo livello possibile di salvaguardia dei dati personali, anche allo scopo di ridurre i considerevoli costi che i prestatori di servizi dovranno sostenere per attenersi alle disposizioni della direttiva.

Per recepire le disposizioni della direttiva secondo modalità uniformi e per rispettare il disposto dell’articolo 8 della Convenzione europea dei diritti dell’uomo, è doveroso che gli Stati membri applichino adeguate e specifiche salvaguardie. Tra queste, vanno menzionate almeno le seguenti:

1) Indicazione precisa dello scopo: I dati vanno conservati soltanto per scopi specifici. Di conseguenza, si deve definire e determinare con chiarezza il concetto di "reati gravi". Ogni altro trattamento dei dati va escluso, oppure va limitato rigorosamente in base a salvaguardie specifiche.

2) Limitazione dell’accesso: I dati devono essere disponibili soltanto ad autorità garanti della legge, determinate specificamente, quando tale accesso sia necessario ai fini delle indagini, dell’accertamento e del perseguimento dei reati menzionati nella direttiva. L’elenco di tali autorità deve essere reso pubblico. Ogni volta che vengono attinti dati, l’operazione deve essere registrata. Le registrazioni devono essere trasmessa alla o alle autorità di vigilanza, per assicurare un efficace controllo.

3) Conservazione di un minimo di dati: I dati da conservare vanno limitati al minimo. Ogni aggiunta alla loro lista va testata per accertarne l’assoluta necessità.

4) Dati da non recuperare: Le indagini, gli accertamenti e il perseguimento di reati gravi non devono comportare il recupero generalizzato, da parte delle autorità garanti della legge, dei dati, tra quelli conservati, riguardanti le abitudini in fatto di spostamenti e di comunicazioni di persone non sospette.

5) Esame giudiziale / indipendente dell’accesso autorizzato: In linea di principio, l’accesso ai dati va autorizzato caso per caso dalle autorità giudiziarie, ad eccezione di quegli Stati in cui una specifica possibilità di accesso è prevista dalla legge ed è soggetta a supervisione indipendente. Se possibile, nelle autorizzazioni si devono precisare quali particolari dati sono necessari per il caso specifico in questione.

6) Scopi dei prestatori di servizi: Ai sensi della direttiva riguardante la conservazione dei dati, i prestatori di servizi pubblici di comunicazione o gestori di reti telematiche non sono autorizzati ad elaborare per altri fini, in particolare per fini loro propri, i dati conservati unicamente a scopi di ordine pubblico.

7) Separazione dei sistemi: In particolare, i sistemi di memorizzazione dei dati per scopi di ordine pubblico devono essere logisticamente separati dai sistemi utilizzati per fini commerciali.

8) Misure di sicurezza: Si devono definire norme minime riguardanti le misure di sicurezza di natura tecnica ed organizzativa che i suddetti prestatori di servizi devono adottare, specificando nei particolari le disposizioni generali della direttiva riguardante la conservazione dei dati.

Il gruppo di lavoro articolo 29 chiede agli Stati membri di coordinare, nelle rispettive leggi nazionali, l’applicazione della direttiva riguardante la conservazione dei dati, così da garantire un’impostazione armonizzata in tutta l’Unione europea e di mantenere l’alto livello di protezione dei dati prescritto in entrambe le direttive 1995/46/CE e 2002/58/CE.

Fatto a Bruxelles il 25 marzo 2006

Il Presidente

Peter Schaar