CE - IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI Parere 7/2007 - WP140 sugli aspetti relativialla protezione dei dati con riferimento al Sistema di informazione del mercatointerno (IMI) Adottato il 21 settembre2007
INDICE 1. Introduzione 2. Descrizionedel sistema IMI 2.1 Architettura:funzioni della Commissione e sistemi nazionali 2.2 Autoritcoinvolte 2.2.a Commissioneeuropea 2.2.b Autorit competente(AC 2.2.c Coordinatorenazionale IMI (NIMIC 2.2.d Coordinatoredelegato IMI (DIMIC 2.2.e Autoritcollegate 2.3 Ruolie diritti allinterno del sistema 3. Datipersonali trattati 4. Analisidel sistema sotto il profilo giuridico e aspetti specifici 4.1 Basegiuridica per il trattamento dei dati personali (Articolo 7 4.2 Applicazionedei principi di qualit dei dati (Articolo 6 4.2.a Qualit e necessitdei dati 4.2.b Proporzionalit 4.2.c Aspettiparticolari riguardanti la conservazione dei dati personali 4.2.d Categorieparticolari di dati 4.3 Utilizzodi un numero identificativo nazionale 5. Dirittidelle persone cui si riferiscono i dati 5.1 Dirittoallinformazione 5.2 Dirittidi accesso, rettifica, cancellazione e blocco dei dati 5.3 Metodidi impugnazione 6. Sicurezza 7. Notificadelle autorit di tutela dei dati e controllo preliminare 8. Trasferimentodei dati personali a paesi terzi 9. Conclusionie raccomandazioni del WP29
1. Introduzione Il progetto di istituireun sistema informatico per lo scambio di informazioni riguardanti i datipersonali suscita notevoli preoccupazioni sotto il profilo dei dirittifondamentali degli individui, ed in particolare del diritto alla privacy. Vista la complessit delSistema di informazione del mercato interno (Internal Market Informationsystem o IMI) e dei vari aspettiassociati, la DG Mercato interno della Commissione europea ha chiesto il pareredel gruppo di lavoro istituito dall'articolo 29 (WP29). Il parere del gruppo siincentrer sulle stesse tematiche trattate nei documenti Issue paper on DataProtection in IMI (D-4784) e GeneralOverview (D-1804). Il presenteparere pertanto finalizzato ad analizzare le implicazioni del sistema IMI perquanto riguarda i dati personali tutelati a norma della direttiva 95/46/CE("direttiva sulla tutela dei dati") e del regolamento (CE) n. 45/2001("regolamento sulla tutela dei dati"). Nel marzo del 2006 irappresentanti degli Stati membri riuniti nell'ambito del Comitato consultivoper il mercato interno hanno dato il via allo sviluppo del Sistema diinformazione del mercato interno (IMI) inteso a migliorare la comunicazione trale amministrazioni degli Stati membri. Si tratta di uno strumento informaticoche offre un sistema di scambio di informazioni in grado di rendere piefficace la cooperazione quotidiana tra gli Stati membri nellattuazione dellalegislazione sul mercato interno nei settori disciplinati dalla direttiva2006/123/CE1 relativa ai servizi nel mercato interno e dalladirettiva 2005/36/CE relativa al riconoscimento delle qualifiche professionali2.LIMI stato concepito come ausilio per superare ostacoli pratici che frenanola comunicazione e la cooperazione tra le amministrazioni dei vari Statimembri, quali le differenze tra le culture amministrative e di lavoro, ledifferenze linguistiche e lassenza di interlocutori chiari nei vari Statimembri; ha inoltre lo scopo di ridurre gli oneri amministrativi e di aumentarelefficienza e lefficacia della cooperazione quotidiana tra gli Stati membri. L'importanza di accentuarela cooperazione amministrativa tra gli Stati membri un aspetto riconosciutodalla strategia di Lisbona rinnovata3 e dal programma dell'UE sucome legiferare meglio4 perch un elemento che servir amigliorare l'applicazione del diritto comunitario da parte degli Stati membri. Questi ultimi hannoinfatti il compito di garantire il funzionamento efficace e fluido dellalegislazione sul mercato interno nel proprio territorio, ma per fare questodevono disporre di strumenti per lavorare insieme e con la Commissione, perchsolo cos sar possibile trarre tutti i benefici che il quadro legislativoriserva ai cittadini e alle imprese. L'IMI viene creato per rispondere a questaesigenza e per ottemperare all'obbligo istituito dall'articolo 34, paragrafo 1,della direttiva 2006/123/CE relativa ai servizi nel mercato interno (di seguito"direttiva sui servizi") che prevede l'istituzione di un sistemaelettronico per lo scambio di informazioni tra Stati membri. La priorit principalenell'ambito dell'IMI sar lo sviluppo di applicazioni ai fini della direttiva2005/36/CE ("direttiva sulle qualifiche professionali") e delladirettiva sui servizi.
2. Descrizione delsistema IMI Il sistema, destinatoprincipalmente alle amministrazioni e alle autorit competenti degli Statimembri, sar costituito da una serie di applicazioni "orizzontali"che offriranno sostegno linguistico e uno strumento di comunicazione traautorit competenti, e da applicazioni "verticali" a supporto dinormative specifiche. L'IMI sar un sistema a s stante e tutte le sue funzionisaranno accessibili attraverso una pagina web. 2.1 Architettura: funzionidella Commissione e sistemi nazionali Da un punto di vistastrutturale, il sistema IMI si prefigge in via prioritaria di agevolarel'adempimento degli obblighi giuridici che incombono agli Stati membri perquanto riguarda lo scambio di informazioni, ma consentir anche formule dicooperazione amministrativa nuove e pi complesse. L'IMI fornir una funzionedi ricerca che permetter di individuare l'autorit competente responsabile inun altro Stato membro e vari menu pretradotti contenenti una serie di domandestrutturate per agevolare lo scambio di informazioni richiesto. Il WP29sottolinea un aspetto cruciale: la Commissione deve concepire e preparare imen e le domande strutturate in modo da ridurre al minimo il rischio diraccogliere informazioni non pertinenti, sproporzionate o riguardanti terzi.D'altra parte altrettanto importante che gli utenti del sistema (ad esempiole autorit competenti che si scambiano le informazioni) garantiscano di nonutilizzare il sistema per scambiarsi dati non importanti, eccessivi o datiriguardanti terzi. Il sistema concepito pertener conto delle varie modalit di organizzazione delle amministrazioninazionali dei vari Stati membri (ad esempio sistemi centralizzati o decentrati,a vari livelli) e permette pertanto a questi ultimi di personalizzarel'organizzazione delle proprie autorit competenti ai fini dell'IMI, perrenderlo il pi efficace possibile. Segue una presentazionedei principali soggetti che intervengono in quest'ambito; a tal fine si fariferimento al documento General Overview. 2.2 Autorit coinvolte I principali soggettiinteressati dal sistema IMI saranno le autorit competenti di tutto lo Spazioeconomico europeo (SEE) che utilizzeranno l'IMI per scambiarsi informazioni suisettori della legislazione in materia di mercato interno riguardanti leprofessioni e i servizi regolamentati. Per quanto riguarda ilruolo e i poteri di ciascuna autorit in fase di trattamento dei datipersonali, necessario sottolineare che sia la Commissione europea che isingoli Stati membri svolgeranno una funzione importante nel sistema IMI.Ciascuno Stato membro avr infatti la possibilit di progettare le propriestrutture in modo che queste soddisfino le proprie esigenze specifiche, matutti gli Stati membri dovranno svolgere la stessa funzione nel contesto IMI. Le funzioni specifichedelle autorit sono descritte nel seguente testo tratto dal documento dellaCommissione dal titolo Data Protection in IMI 2.2.a Commissioneeuropea Il documento DataProtection in IMI stabilisce quantosegue: Il database si trover su un server della Commissione a Lussemburgo.Tutti gli scambi di dati avverranno attraverso questo server e i dati scambiatisaranno memorizzati sul server. I compiti della Commissione [che in generesaranno delegati all'amministratore UE del sistema] riguarderanno laregistrazione del coordinatore nazionale IMI in ciascuno Stato membro, lagestione del database a livello di sistema, la gestione delle domandepredefinite in base alla legislazione e la traduzione delle componenti delsistema IMI in tutte le lingue ufficiali dell'UE." La responsabilit perl'immissione dei dati, la conformit alle modalit di utilizzo dei dati e allenorme di qualit, la notifica e la gestione dei diritti di accesso, correzionee cancellazione ricade invece sulle amministrazioni nazionali. Il WP29 sottolinea che,dato che la Commissione svolger anche determinati compiti di trattamento deidati i) per conto degli Stati membri (ad esempio l'archiviazione e la cancellazione)e ii) per proprio conto in veste di amministratore del sistema (datiriguardanti gli utenti dell'IMI e i contatti), essa deve condividere con leautorit competenti degli Stati membri la responsabilit in materia diconformit alle normative applicabili per la protezione dei dati. Occorreinoltre definire chiaramente le mansioni e le responsabilit della Commissionee delle autorit competenti degli Stati membri. 2.2.b Autoritcompetente (AC) Nello stesso documento siprecisa, in merito alle autorit competenti, che in ciascuno Stato membrole pubbliche amministrazioni saranno nominate autorit competenti [e potrannoessere responsabili di vari ambiti della normativa]. Dopo essersi registratenel sistema, le AC potranno inviare e ricevere le richieste d'informazioneattraverso l'IMI. A prescinderedalle relazioni che hanno con i DIMIC (negli Stati membri che decidano didesignarli), tutte le AC di uno Stato membro saranno soggette alla vigilanzadel NIMIC dello Stato membro in questione5. Il WP29 sottolinea che inalcuni Stati membri non sempre le informazioni di cui ha bisogno l'ACrichiedente riguardo ad un determinato lavoratore o prestatore di servizimigrante sono detenute da un'unica AC. Cos pu essere necessario fare unadistinzione tra il riconoscimento dei diplomi, in cui l'autorit competente puessere un particolare ministro, e il riconoscimento delle valutazioni per ilrilascio delle licenze professionali, nel qual caso l'AC potrebbe invece essereun'associazione di categoria. In casi come questi lAC richiedente pu dovercontattare due autorit competenti diverse. Per affrontare questi e altriaspetti analoghi, il WP29 accoglie positivamente il fatto che chi ha progettatol'IMI abbia previsto una rete di coordinatori all'interno di ciascuno Statomembro, per aiutare le AC richiedenti a trovare gli omologhi negli altri Statimembri (cfr. punto 2.2, lettere c) e d) del presente documento). Allo stessotempo il WP29 dichiara che l'interfaccia dell'IMI deve essere concepita in mododa ridurre al minimo il rischio di confusione sull'autorit competenteresponsabile di un determinato aspetto. 2.2.c Coordinatorenazionale IMI (NIMIC) Ogni Stato membro nominerun coordinatore nazionale per il sistema IMI che sar la propria autorit IMIdi massimo livello nonch linterlocutore diretto nelle comunicazioni con laCommissione europea e con gli altri Stati membri per tutti gli aspetti tecniciconnessi allIMI e quando saranno necessari passaggi procedurali per ottenererisposte. Come indicato nel documento Data Protection in IMI Il WP29 accogliefavorevolmente questa limitazione visto che, come conferma la stessaCommissione, i NIMIC non hanno necessariamente lesigenza di accedere ai datipersonali per poter svolgere i compiti affidatigli. In tale contesto laccessoai dati personali rappresenterebbe una violazione dellarticolo 6, paragrafo 1,lettera c), della direttiva sulla tutela dei dati, secondo il quale gli Statimembri devono garantire che i dati personali trattati siano: adeguati,pertinenti e non eccedenti rispetto alle finalit per le quali vengono rilevatie/o per le quali vengono successivamente trattati Ci detto, il WP29 ritieneanche necessario esplicitare tale limitazione, precisando pi dettagliatamentele informazioni che devono figurare in tali elenchi. Il WP29 anche convintoche la ripartizione delle competenze e dei compiti tra la Commissione, icoordinatori e le autorit competenti debba essere definita con maggioreprecisione, posto che loro rispettive funzioni con riferimento allIMI sipossono descrivere pi opportunamente come un controllo congiunto. Il WP29osserva che, in certa misura, ciascun soggetto coinvolto nel sistema IMIsvolger il duplice ruolo di incaricato del trattamento e responsabile deltrattamento in alcuna forma, in funzione dellattivit di trattamento svolta inogni determinata situazione. Il sistema IMI complesso e pu non essere semprefacile capire se i soggetti coinvolti svolgono il ruolo di responsabili o diincaricati del trattamento dei dati o entrambi. Questa possibile confusionesottolinea limportanza di individuare in maniera esplicita e specificalobiettivo di ciascuna azione di trattamento dei dati: in tal modo tutte leparti potranno comprendere quali sono gli usi consentiti dei dati e sapere comeconformarsi alle norme in materia di tutela dei dati anche in situazioni in cuinon chiaro quale sia la natura precisa del loro intervento o quando taleintervento sia una combinazione delle due funzioni. 2.2.d Coordinatoredelegato IMI (DIMIC) Nellambito del sistema previsto un terzo tipo di funzione, a discrezione degli Stati membri, ovvero lapossibilit di designare un coordinatore delegato IMI (DIMIC) incaricato dicoordinare e vigilare sul ruolo svolto dalle singole autorit competenti in ununico ambito legislativo o settoriale. Come illustrato neldocumento Data Protection in IMI,il coordinatore delegato IMI dovrebbe poter visualizzare la lista di tutte lerichieste inviate o pervenute alle AC alle quali collegato. Come rileva ildocumento, la lista in questione conterr sufficienti informazioni di livelloelevato da permettere al coordinatore di monitorare il flusso delle richieste,senza tuttavia alcun legame ai dati personali. Il ruolo del DIMIC statoconcepito espressamente per consentire agli Stati membri che hanno sistemicentralizzati di coordinarsi con gli Stati membri che hanno una struttura pidecentrata o che vantano molte autorit competenti. Il WP29 rileva che occorrechiarire e definire con maggiore precisione i diversi ruoli del NIMIC e delDIMIC nonch le loro responsabilit nel garantire unadeguata tutela dei datipersonali che vengono scambiati sotto il loro controllo, al fine di poteranalizzare in maniera pi conclusiva le implicazioni del loro intervento. 2.2.e Autoritcollegate Unautorit competente puanche concedere un "accesso a fini di monitoraggio" Questa funzione dovrebbepermettere alle organizzazioni di stampo professionale (come le associazioni dicategoria) di visualizzare una lista anonima delle richieste destinate allerelative organizzazioni, ad esempio nellottica di garantire che tali richiestesiano inoltrate alle AC effettivamente responsabili. Il WP29 ritiene tuttavianecessario che vengano definiti in maniera pi esplicita gli obiettivi e ibenefici specifici del ruolo delle autorit collegate, nonch le informazioniparticolari cui esse possono accedere, per evitare che vi sia un accesso nonautorizzato ai dati personali. 2.3 Ruoli e dirittiallinterno del sistema Le principali attivit ditrattamento dei dati avverranno allinterno del sistema IMI durante lo scambiodi informazioni tra le autorit competenti degli Stati membri; accanto a taliattivit vi sar anche il trattamento dei dati personali operato dalla Commissionestessa e riguardante informazioni sulle autorit competenti. Tutti i soggetticoinvolti nel trattamento dei dati personali (AC, NIMIC o DIMIC) dovrannosempre operare nel rispetto delle normative nazionali che attuano la direttiva95/46/CE6 nello Stato membro in cui hanno sede. A sua volta, laCommissione tenuta al rispetto del regolamento sulla tutela dei dati. Vista la diversit deiruoli e dei soggetti coinvolti nel sistema IMI necessario stabilire qualisono i tipi di trattamento dati di cui ciascun soggetto considerato il"responsabile del trattamento". La definizione di "responsabiledel trattamento" figura allarticolo 2, lettera d), della direttiva sullatutela dei dati e recita: la persona fisica o giuridica, l'autoritpubblica, il servizio o qualsiasi altro organismo che, da solo o insieme adaltri, determina le finalit e gli strumenti del trattamento di dati personali Daltro canto la medesimadirettiva, allarticolo 2, lettera e), definisce cos lincaricato deltrattamento: la persona fisica o giuridica, l'autorit pubblica, ilservizio o qualsiasi altro organismo che elabora dati personali per conto delresponsabile del trattamento. Lincaricato pertanto lapersona o lautorit che tratta effettivamente i dati seguendo le istruzionidel responsabile del trattamento. Sempre la direttiva sullatutela dei dati stabilisce, allarticolo 17, paragrafo 3, che l'esecuzione deitrattamenti da parte di terzi (cio da parte di un soggetto diverso dalresponsabile del trattamento) deve essere disciplinata da un contratto o da unatto giuridico che vincoli l'incaricato del trattamento al responsabile deltrattamento e che preveda segnatamente che l'incaricato del trattamento operisoltanto su istruzioni del responsabile del trattamento. Nel presente documento nonverranno esaminati approfonditamente tutti i possibili scenari di trattamentodei dati; tuttavia, il WP29 ritiene che, per ogni intervento di trattamento, ilresponsabile del trattamento ha il compito di assicurare il rispetto deiprincipi e delle garanzie istituite nel presente documento, anche per quantoriguarda le misure di sicurezza. Lincaricato deltrattamento, da parte sua, deve rispettare gli obblighi di riservatezzaadottando tutte le misure di sicurezza del caso e agendo solo su istruzione delresponsabile del trattamento. Le autorit competenti ela Commissione devono essere chiaramente consapevoli che la memorizzazione e lacancellazione dei dati sono operazioni di cui condividono la responsabilit. Intal senso occorrer pertanto preparare un documento che definisca la cornice incui si inseriscono i rapporti tra responsabile e incaricato del La struttura dellIMI creauna rete notevolmente complessa di responsabili e incaricati del trattamentodei dati. dunque necessario capire che le responsabilit delle singole partipossono variare in funzione del tipo di attivit interessata e non sempre necessariamente chiaro se un soggetto il responsabile o l'incaricato deltrattamento. evidente che, a prescindere da questa distinzione, tutti isoggetti che sono responsabili o effettuano direttamente il trattamento devonomantenere il livello di sicurezza dei dati e rispettare i principi ditrattamento dei dati indicati nella direttiva o nel regolamento sulla tuteladei dati, secondo il caso.
3. Dati personalitrattati Il sistema IMI pu avereripercussioni sui diritti fondamentali di un numero consistente di lavoratori eprestatori di servizi migranti che esercitano il proprio diritto alla liberacircolazione nell'UE. Il sistema conserva anche dati sugli utenti dell'IMI(personale delle AC, NIMIC e DIMIC). Larticolo 2 della direttivasulla tutela dei dati definisce i dati personali come "qualsiasiinformazione concernente una persona fisica identificata o identificabile. - La prima categoriariguarda i dati personali delle AC (e dei NIMIC e DIMIC) che utilizzerannolIMI. Poich si tratta delle coordinate degli utenti, il sistema memorizzernomi, numeri di telefono, indirizzi di posta elettronica e altre informazionianaloghe. Lelenco dei dati che saranno raccolti da queste persone deve essereindicato specificamente e deve rispondere alla disposizione contemplata dalladirettiva, secondo la quale i dati non devono essere eccedenti rispetto aquelli necessari per la funzionalit del sistema (qualit dei dati). - La seconda categoria ditrattamento riguarda invece i lavoratori e i prestatori di servizi nel contestodella direttiva sui servizi e della direttiva sulle qualifiche professionali.Tali dati comprendono nome, numero di telefono, indirizzo di posta elettronica,data di nascita e nazionalit di ciascun prestatore di servizi (se del caso, ein genere a fini di identificazione) nonch dati relativi alle qualificheprofessionali e dati pi sensibili come quelli sulla buona condotta, sulleazioni disciplinari, sulle sanzioni penali e sulla legalit dello stabilimento.
4. Analisi del sistemasotto il profilo giuridico e aspetti specifici 4.1 Base giuridica peril trattamento dei dati personali (Articolo 7) Le direttive sullequalifiche professionali e sui servizi creano obblighi specifici in materia dicooperazione amministrativa tra Stati membri, come lobbligo di scambiarsiinformazioni, che nella maggior parte dei casi riguardano una personafisica identificata o identificabile.Ci significa che il relativo quadro legislativo subir modifiche sostanzialiman mano che queste direttive saranno recepite nellordinamento nazionale.Tuttavia le norme da introdurre per quanto riguarda lIMI devono esserecoerenti con i principi generali di tutela dei dati definiti nella direttiva enel regolamento in materia gi citati. Il sistema IMIdeterminer, inevitabilmente, effetti pi rilevanti sui meccanismi ditrattamento dei dati e sulle relative attivit di vigilanza e controlloaffidate alle autorit competenti. Larticolo 56 delladirettiva sulle qualifiche professionali recita: 1. Le autoritcompetenti dello Stato membro ospitante e di quello d'origine collaboranostrettamente e si assistono reciprocamente per agevolare l'applicazione dellapresente direttiva. Essi garantiscono la riservatezza delle informazioni chescambiano. 2. Le autoritcompetenti dello Stato membro ospitante e dello Stato membro d'origine siscambiano informazioni concernenti l'azione disciplinare o le sanzioni penaliadottate o qualsiasi altra circostanza specifica grave che potrebbero avereconseguenze sull'esercizio delle attivit previste dalla presente direttiva,nel rispetto della normativa sulla protezione dei dati personali di cui alledirettive 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995,relativa alla tutela delle persone fisiche con riguardo al trattamento dei datipersonali, nonch alla libera circolazione di tali dati, e 2002/58/CE delParlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamentodei dati personali e alla tutela della vita privata nel settore dellecomunicazioni elettroniche (direttiva relativa alla vita privata e allecomunicazioni elettroniche). Anche larticolo 28 delladirettiva sui servizi istituisce lassistenza reciproca: 1. Gli Stati membri siprestano assistenza reciproca e si adoperano per instaurare forme di collaborazioneefficaci onde garantire il controllo dei prestatori e dei loro servizi La cooperazione richiestada queste direttive deve essere attuata con diligenza, ma richiede maggioricapacit e reattivit. A tal fine la direttiva sui servizi invoca la creazionedi uno strumento elettronico per semplificare e accelerare lo scambio diinformazioni. In particolare, larticolo 34 della direttiva in questionestabilisce che "[l]a Commissione, in collaborazione con gli Statimembri, istituisce un sistema elettronico per lo scambio di informazioni tragli Stati membri tenendo conto dei sistemi di informazione esistenti. Il WP29 ritiene necessariostabilire chiaramente che il sistema IMI deve rispettare le norme esistenti inmateria di protezione dei dati. Questo obbligo sancito esplicitamentenellarticolo 43 della direttiva sui servizi, che accentua limportanza diunapplicazione continua e coerente della direttiva sulla tutela dei dati edella direttiva 2002/58/CE ("direttiva relativa alla vita privata e allecomunicazioni elettroniche"). A livello generale, labase giuridica per il trattamento dei dati negli Stati membri contenutanellarticolo 7 della direttiva sulla tutela dei dati, che definisce lecondizioni che legittimano le attivit di trattamento dei dati. Larticolo 7,lettera c), in particolare, specifica che il trattamento dei dati personali puavvenire se " necessario per adempiere un obbligo legale al quale soggetto il responsabile del trattamento. Larticolo 5, lettera b), del regolamento sulla tutela dei daticontiene disposizioni analoghe. Come anticipato,larticolo 34 della direttiva sui servizi istituisce questobbligo giuridicoper i responsabili del trattamento dati e (una volta recepito negli ordinamentinazionali) consente loro di trattare i dati personali del caso. Questa basegiuridica solleva tuttavia alcuni potenziali aspetti problematici. In primo luogo, ladirettiva sulle qualifiche professionali non fa riferimento ad alcuno strumentoelettronico per lo scambio delle informazioni, anche se prevede lacooperazione. In effetti, larticolo 56, paragrafo 2, impone alle autoritcompetenti degli Stati membri di scambiarsi informazioni concernenti l'azionedisciplinare o le sanzioni penali adottate o qualsiasi altra circostanzaspecifica grave che potrebbero avere conseguenze sull'esercizio delle attivitpreviste dalla direttiva citata, ma non contempla la creazione di un sistemaelettronico a tal fine. Altre disposizioni della direttiva prevedono anchescambi di informazioni se unautorit competente ha fondati dubbi su un aspettospecifico. Anche se la DG MARKT ritiene che la base giuridica per lo scambiodelle informazioni risieda in queste disposizioni specifiche, non certo cheesse rappresentino una base giuridica del tutto adeguata per il trattamento deidati nel contesto del sistema IMI ai fini della cooperazione prevista dalladirettiva sulle qualifiche professionali. In secondo luogo, affinchlarticolo 7, lettera c), della direttiva sulla tutela dei dati possarappresentare la base giuridica per il trattamento dei dati, necessario chele direttive sulle qualifiche professionali e sui servizi siano recepitenellordinamento nazionale. Se uno Stato membro non le ha recepite ancora unavolta discutibile lesistenza di una base giuridica adeguata e, dunque, lapossibilit di procedere al trattamento dei dati attraverso lIMI. Il WP29 aggiungeinoltre che, anche se la direttiva sui servizi e quella sulle qualificheprofessionali, una volta recepite nel diritto nazionale, fornissero una basegiuridica generale, occorrerebbe comunque motivare ogni singolo scambio didati. In particolare, secondo la direttiva sulla tutela dei dati, ognioperazione di trattamento dei dati deve perseguire finalit specificate,esplicite e legittime ed essere fondata su una base giuridica adeguataspecifica alla finalit perseguita. Infine, il WP29 mette inluce che anche larticolo 7, lettera e), della direttiva sulla tutela dei datipu essere una base giuridica complementare discutibile ai fini del trattamentodei dati; ai sensi di tale articolo, il trattamento pu essere effettuatosoltanto quando: ҏ necessario per l'esecuzione di un compito di interessepubblico o connesso all'esercizio di pubblici poteri di cui investito ilresponsabile del trattamento o il terzo a cui vengono comunicati i dati. Nonostante le possibilitofferte dallarticolo 7, lettere c) ed e), alla luce delle incertezzegiuridiche illustrate il WP29 raccomanda una soluzione specifica per la basegiuridica, ovvero ladozione da parte della Commissione di una decisione diattuazione, come del resto questultima ha recentemente deciso di fare. Oltre arafforzare la base giuridica per il trattamento dei dati, tale decisionedovrebbe anche definire i campi di dati da inserire nel database, il contenutominimo delle richieste, delle risposte e dei flussi di dati e precisare i ruolie le responsabilit dei vari soggetti coinvolti e gli obblighi giuridici sottoil profilo della tutela dei dati. 4.2 Applicazione deiprincipi di qualit dei dati (Articolo 6) 4.2.a Qualit enecessit dei dati Il sistema IMI unostrumento concepito appositamente per condividere le informazioni e consentirvilaccesso alle autorit competenti quando fosse necessario. Comporta pertantoun flusso di informazioni, alcune delle quali sensibili (con la possibilit diconservare i dati per un periodo di sei mesi, come illustrato al punto 4.2,lettera c), del presente documento), e deve dunque rispettare i principiistituiti allarticolo 8 della direttiva sulla tutela dei dati. statoesplicitamente stabilito che lIMI deve rispettare le garanzie introdotte dalladirettiva sulla tutela dei dati al fine di salvaguardare i diritti legittimidelle persone interessate che sono stati recepiti nellordinamento nazionale ditutti gli Stati membri. In primo luogo occorresoddisfare lobbligo di qualit dei dati definito allarticolo 6 delladirettiva sulla tutela dei dati. In base a tale principio, possono essererilevati dati personali solo per finalit determinate, esplicite e legittime edessere successivamente trattati in modo non incompatibile con tali finalit.Per soddisfare tale principio dunque necessario che venga definita conchiarezza la finalit per la quale vengono rilevati e trattati i dati con ilsistema IMI. In secondo luogo occorreverificare la conformit ai principi della proporzionalit e della legittimit,tenuto conto dei rischi per la tutela dei dati, dei diritti fondamentali degliindividui e soprattutto delleventuale necessit di divulgare informazionirelative a procedimenti disciplinari. 4.2.b Proporzionalit La proporzionalit unprincipio essenziale nel quadro giuridico istituito dalla direttiva 95/46/CE edal regolamento (CE) n. 45/2001 e prevede che nei questionari utilizzati per loscambio delle informazioni in ambito IMI le AC non possano fornire informazioniirrilevanti o eccessive rispetto allobiettivo definito dello scambio.Pertanto, nellambito dello scambio di informazioni su un lavoratore o unprestatore di servizi migrante, la finalit deve essere definita in anticipo. Le persone designatepossono stampare una relazione completa di qualsiasi scambio di informazioni inqualsiasi lingua ufficiale dellUE. LIMI permetter inoltre di caricare earchiviare eventuali documenti o immagini supplementari se rilevanti. Inoltre, in applicazionedel principio di proporzionalit, il WP29 raccomanda che lAC responsabile delsistema IMI valuti con attenzione se possa essere opportuno limitare il numerodelle persone autorizzate a inviare e a rispondere alle richieste diinformazioni. Nel contesto dellIMI inoltre importante che lelenco delle domande attraverso le quali le ACpotranno scambiarsi le informazioni sia elaborato tenendo conto del principiodi proporzionalit. A tal fine, la soluzione pi sicura sotto il profilo dellatutela dei dati sarebbe quella di elencare tutti i campi di dati (cio tutte ledomande e le risposte predefinite) nella decisione di attuazione citata inprecedenza (cfr. punto 4.1). Il WP29 riconosce, tuttavia, che chi progetta ilsistema possa voler mantenere una certa flessibilit per consentire futuriadattamenti o miglioramenti del sistema stesso. Per trovare una soluzione aquesti interessi divergenti e garantire allo stesso tempo degli scambi diinformazioni trasparenti, il WP29 suggerisce che la nuova decisione diattuazione della Commissione indichi esplicitamente che: i) tutte le domandepredefinite devono essere attinenti agli obblighi previsti dalle direttivesulle qualifiche professionali e sui servizi (o eventualmente da altredirettive che dovessero essere aggiunte in futuro in un allegato aggiornatoalla decisione della Commissione); ii) tali domande devono essere elaborate inconsultazione con i soggetti interessati degli Stati membri e iii) le domande ele risposte predefinite devono essere pubblicate sul sito web dellIMI. 4.2.c Aspettiparticolari riguardanti la conservazione dei dati personali La Commissione intendefissare un periodo automatico di 6 mesi per la conservazione dei dati einserire nellarchitettura del sistema dei richiami automatici sullacancellazione dei dati. Secondo la direttiva sullatutela dei dati personali, questi devono essere conservati per un arco di temponon superiore a quello necessario al conseguimento delle finalit per le qualisono rilevati o sono successivamente trattati (articolo 6, paragrafo 1, letterae), e regolamento (CE) n. 45/2001). Questa precisazione necessaria pergarantire il rispetto del principio di proporzionalit del trattamento. Il WP29 ritiene che i seimesi proposti dalla Commissione possano a prima vista rappresentare un periodoragionevole, perch pu accadere che le autorit competenti debbano faredomande supplementari sullo stesso caso. Secondo il WP29 tuttavia necessarioche, nella sua decisione di attuazione, la Commissione spieghi chiaramente imotivi che giustificano la conservazione dei dati per questo periodo specifico. 4.2.c.i Conservazionedei dati da parte della Commissione I dati archiviati sulserver della Commissione a Lussemburgo devono essere soggetti a norme di tutelaanaloghe a quelle applicabili ai dati memorizzati nei database nazionali. Inparticolare, i dati in questione possono essere conservati nel sistema IMI solofinch sono necessari alle finalit per le quali sono stati rilevati. I dati contenuti nelserver non devono essere utilizzati per motivi diversi o altre richieste diinformazione e devono sempre essere trattati secondo la normativa sullaprotezione dei dati. In particolare estremamente importante impedirelaccesso non autorizzato ad essi. Se il periodo diconservazione dei dati ritenuto pi opportuno (che corrisponder dunque ancheal periodo indicato allarticolo 4, lettera e), del regolamento (CE) n.45/2001) viene fissato a 6 mesi, sar necessario determinare in maniera chiaraed esplicita lobiettivo o la finalit di ciascuna operazione di trattamentodei dati, oltre che garantire che non vi sia alcun accesso indebito ad essi. 4.2.c.ii Periodo diconservazione dei dati trattati e archiviati dalle autorit nazionali Se anche le autoritnazionali conservano dati personali, questi devono essere archiviati solo finoal termine dello scambio o delloperazione per il quale o la quale sono statirilevati, fissando scadenze determinate per la loro cancellazione secondoquanto previsto dalla normativa nazionale di ciascuno Stato membro. Questa disposizione particolarmente importante in situazioni in cui un addetto dellAC in gradodi archiviare queste informazioni sul disco fisso del proprio computer o su unaltro dispositivo analogo. Anche in quel caso si applica il limite temporalefissato per la conservazione dei dati, che devono essere bloccati non appenanon siano pi utili per le finalit per le quali erano stati rilevati. Questoobbligo va naturalmente ad aggiungersi agli altri previsti dalle norme ditutela dei dati istituite a livello nazionale. 4.2.d Categorieparticolari di dati Il trattamento di datisensibili impone di dedicare unattenzione particolare al rispetto delle normedi protezione dei dati. Le condizioni e limitazioni riguardanti i datisensibili sono istituite allarticolo 8 della direttiva sulla tutela dei dati eallarticolo 10 del regolamento (CE) n. 45/2001. Questi dati comprendonoindicazioni che rivelino l'origine razziale o etnica, le opinioni politiche, leconvinzioni religiose o filosofiche, l'appartenenza sindacale, come puretrattare dati relativi alla salute e alla sessualit. Anche i dati riguardantii reati, le condanne penali o le misure di sicurezza sono ritenuti sensibili aisensi della direttiva sulla tutela dei dati (e del regolamento (CE) n.45/2001). Gli Stati membri possono ritenere sensibili anche i dati riguardantile sanzioni o i procedimenti amministrativi. Il documento DataProtection in IMI indica che lIMI non finalizzato a trattare datisensibili di questo tipo. Tuttavia, gli scambi di informazioni che avvengonotramite il sistema possono eventualmente comprendere dati riguardanti la salute(ad esempio se la persona in cerca di lavoro portatrice di disabilit). Il WP29 ritiene chelespressione non finalizzato sia troppo vaga e permissiva. Per garantirela conformit alle disposizioni in materia di tutela dei dati occorre unaformulazione vincolante, ad esempio: i dati sensibili non devono esseretrattati e le eventuali deroghe devono essere indicate chiaramente ed esseresoggette a ulteriori garanzie. Larticolo 8 delladirettiva sulla tutela dei dati sancisce chiaramente che [g]li Stati membrivietano il trattamento di dati personali che rivelano l'origine razziale oetnica, le opinioni politiche, le convinzioni religiose o filosofiche,l'appartenenza sindacale, nonch il trattamento di dati relativi alla salute ealla vita sessuale. Larticolo 10del regolamento (CE) n. 45/2001 ha una formulazione analoga. In particolare, ilparagrafo 5 dellarticolo 8 stabilisce che "[i] trattamenti riguardantii dati relativi alle infrazioni, alle condanne penali o alle misure disicurezza possono essere effettuati solo sotto controllo dell'autoritpubblica, o se vengono fornite opportune garanzie specifiche, sulla base deldiritto nazionale, fatte salve le deroghe che possono essere fissate dalloStato membro in base ad una disposizione nazionale che preveda garanzieappropriate e specifiche. Tuttavia un registro completo delle condanne penalipu essere tenuto solo sotto il controllo dell'autorit pubblica Gli Stati membripossono prevedere che i trattamenti di dati riguardanti sanzioni amministrativeo procedimenti civili siano ugualmente effettuati sotto controllo dell'autoritpubblica. La direttiva sullequalifiche professionali fornisce, allarticolo 56, paragrafo 2, una basegiuridica per la trasmissione dei dati penali e sulle azioni disciplinari, inquanto ribadisce che tali scambi devono rispettare le disposizioni illustratein precedenza. Tuttavia, le condizioni specifiche applicabili allo scambio diinformazioni sui dati penali dovrebbero basarsi sulla normativa nazionale cheattua la direttiva 95/46/CE. Le autoritcompetenti dello Stato membro ospitante e dello Stato membro d'origine siscambiano informazioni concernenti l'azione disciplinare o le sanzioni penaliadottate o qualsiasi altra circostanza specifica grave che potrebbero avereconseguenze sull'esercizio delle attivit previste dalla presente direttiva,nel rispetto della normativa sulla protezione dei dati personali di cui alledirettive 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995,relativa alla tutela delle persone fisiche con riguardo al trattamento dei datipersonali, nonch alla libera circolazione di tali dati, e 2002/58/CE delParlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamentodei dati personali e alla tutela della vita privata nel settore dellecomunicazioni elettroniche (direttiva relativa alla vita privata e allecomunicazioni elettroniche).
Larticolo 33 delladirettiva sui servizi prevede inoltre norme specifiche per lo scambio di informazioniriguardanti lonorabilit del fornitore di servizi migrante. Tali norme devonoessere esaminate integralmente ben prima della loro attuazione per valutarne leimplicazioni ai fini della protezione dei dati. "Gli Stati membricomunicano, su richiesta di unautorit competente di un altro Stato membro,conformemente al loro diritto nazionale, le informazioni relative alle azionidisciplinari o amministrative promosse o alle sanzioni penali irrogate e alledecisioni relative allinsolvenza o alla bancarotta fraudolenta assunte dalleloro autorit competenti nei confronti di un prestatore che siano direttamentepertinenti alla competenza del prestatore o alla sua affidabilitprofessionale. Lo Stato membro che comunica tali informazioni ne informa il prestatoreinteressato.
Per quanto riguarda ledisposizioni giuridiche che legittimano il trattamento dei dati, necessariotenere presenti i principi istituiti nella direttiva sulla tutela dei dati, cheillustra in modo pi concreto i concetti di proporzionalit, qualit elimitazioni alluso dei dati ai fini della loro tutela. Nello scambio di datisensibili fondamentale garantire che le informazioni personali siano accuratee aggiornate: per esempio, non dovrebbero essere scambiati dati penali obsoleti. Ci saranno inoltresituazioni in cui i dati relativi alle sanzioni amministrative non sonoessenziali per lesercizio di una professione in un dato Stato membro. In talcaso occorre tener conto degli statuti professionali dello Stato membro di originee dello Stato membro in cui il prestatore di servizi migra. A prescinderedallimportanza particolare dei dati in una situazione come questa, iltrattamento dei dati in ambito IMI dovr rispettare il principio diproporzionalit di cui alla direttiva sulla tutela dei dati8. Per quanto riguarda i datisui debiti insoluti o gli illeciti penali, il documento intitolato WorkingDocument on Black Lists (WP65)9prevede quanto segue: Larticolo 8,paragrafi 5 e 6, della direttiva 95/46/CE cita il trattamento di dati relativialle infrazioni e alle condanne penali e stabilisce che, in generale, taletrattamento pu essere effettuato solo sotto il controllo dell'autoritpubblica, fatte salve le deroghe che possono essere fissate dallo Stato membroin base ad una disposizione nazionale che preveda garanzie appropriate perevitare ripercussioni sui diritti fondamentali dei cittadini; tali deroghedevono essere notificate alla Commissione. La legittimit deltrattamento di fascicoli comprendenti dati sugli illeciti penali si fondasullobbligo delle autorit di mantenere la sicurezza e lordine pubblico. indubbio che questo principio giustifica il trattamento di tali dati, acondizione tuttavia che siano rispettate le restrizioni indicate nel paragrafoprecedente, come previsto dallarticolo 7, lettera e), della direttiva. Per quanto riguarda iltrattamento dei dati personali riguardanti gli illeciti penali, la maggiorparte degli Stati membri dispone di archivi contenenti informazioni di questotipo che sono tenuti sotto controllo da unautorit pubblica Questo tipo ditrattamento deve sempre tener conto dei principi di qualit dei dati contenutinella direttiva, in particolare per quanto riguarda l'accuratezza el'aggiornamento dei medesimi. Analogamente occorre prestare particolareattenzione al diritto alla correzione e alla cancellazione periodica oautomatica dei dati riguardanti un soggetto una volta trascorso il periodo ditempo stabilito per legge e alla creazione, a tal fine, di vari meccanismi che rendanopossibili, agevolino e accelerino queste operazioni: il mantenimento delleinformazioni riguardanti una persona in tali archivi oltre i periodi fissatipu infatti avere conseguenze pregiudizievoli. Queste osservazionisono particolarmente rilevanti nel caso di sentenze di non colpevolezza,limitazione della responsabilit o riabilitazione, per i quali non ci sarebbealcun motivo di conservare i dati. Occorre sottolineare che gran parte degliStati membri disciplina questi aspetti nell'ambito del proprio diritto penale edunque i criteri applicabili a tal fine variano. Un altro puntofondamentale da considerare l'accesso alle informazioni, cio il fatto dideterminare quali siano le persone o le istituzioni autorizzate ad accedere aidati contenuti in tali archivi. Le persone interessate devono avere sempre ildiritto di accedere alle informazioni che li riguardano. Questa disposizione inmateria di accesso pu dar vita a situazioni alquanto complesse eproblematiche: si pensi, ad esempio, al caso di una persona in cerca dioccupazione alla quale, negli Stati membri in cui ci sia consentitonell'ambito di una procedura di selezione, il datore di lavoro chieda dipresentare un estratto del casellario giudiziale rilasciato dal responsabiledel trattamento dei dati di un'autorit pubblica. Il candidato ottiene taleestratto, che potrebbe contenere dati su eventuali condanne penali o altriprovvedimenti di sicurezza a suo carico. Il datore di lavoro avrebbe dunqueaccesso al contenuto di alcuni dati, diritto che non gli direttamentericonosciuto sotto il profilo giuridico. Le situazioniipotetiche illustrate finora possono complicarsi ulteriormente se il datore dilavoro dovesse successivamente fare uso di tali informazioni, visto che, inteoria, la semplice consultazione delle informazioni fornite dal candidatodurante la procedura di selezione non costituirebbe una violazionedell'articolo 8, paragrafo 5, della direttiva, mentre potrebbe esserlo uneventuale trattamento manuale o elettronico successivo Per limitare al massimo latrasmissione superflua di dati di questo genere, sensibili ma non semprerilevanti, il WP29 suggerisce che, qualora non sia strettamente necessariotrasferire informazioni sul casellario giudiziale di una persona, le domande ele risposte pre-definite contenute nell'interfaccia IMI non dovrebberoprevedere la richiesta di dati penali e dovrebbero essere riformulate in mododa ridurre al minimo la condivisione di dati sensibili. Per citare un esempio,all'autorit competente del paese ospitante pu bastare sapere che un avvocatomigrante registrato legalmente e regolarmente iscritto all'albo degliavvocati del paese d'origine, senza dover necessariamente essere informata deireati al codice della strada eventualmente presenti nel casellario giudizialedi tale persona, se ci non impedisce al lavoratore di esercitare laprofessione di avvocato nel paese d'origine. 4.3 Utilizzo di unnumero identificativo nazionale Il documento Dataprotection in IMI stabilisce: Infine,a norma dell'articolo 8, paragrafo 7, della direttiva 95/46/CE gli Stati membrideterminano a quali condizioni un numero nazionale di identificazione oqualsiasi altro mezzo identificativo di portata generale pu essere oggetto ditrattamento. Il trattamento di dati personali di questo tipo agevola certamentelo scambio di informazioni tra le autorit competenti nel senso che pifacile identificare il prestatore di servizi interessato. Le restrizioninazionali allo scambio di questi dati non sembrano pertanto giustificate Si tratta di un temaestremamente delicato. Il trattamento dei numeri di identificazione nazionali una prerogativa degli Stati membri, come stabilito espressamente dallarticolo8, paragrafo 7, della direttiva sulla tutela dei dati: Gli Stati membrideterminano a quali condizioni un numero nazionale di identificazione oqualsiasi altro mezzo identificativo di portata generale pu essere oggetto ditrattamento. Gli Stati membripossono pertanto determinare tutte le condizioni e le modalit per trasmettereil numero di identificazione nazionale attraverso il sistema IMI, fissandoeventualmente anche le restrizioni. In alcuni Stati membri, ad esempio, lusodel numero di identificazione soggetto ad una disciplina rigorosa ed consentitosolo previa autorizzazione di un apposito comitato istituito allinternodellautorit garante per la protezione dei dati personali. Una limitazione diquesto tipo consentita dalla direttiva sulla tutela dei dati ed pertantoapplicabile anche nel contesto dellIMI.
5. Diritti dellepersone cui si riferiscono i dati 5.1 Dirittoallinformazione Gli articoli 10 e 11 delladirettiva sulla tutela dei dati prevedono che il responsabile del trattamentoinformi le persone del fatto che vengono trattati dati che li riguardano; ancheil regolamento sulla tutela dei dati contiene lobbligo di informazione. Se idati vengono rilevati direttamente presso la persona interessata, larticolo 10della direttiva summenzionata prevede lobbligo di uninformazione chiara ecompleta sul sistema e impone al responsabile del trattamento di informare gliinteressati dellesistenza, della finalit e del funzionamento del sistema, deisoggetti a cui verranno trasmessi i dati e del diritto di accesso, correzione ecancellazione dei dati stessi. Larticolo 11 dellamedesima direttiva prevede inoltre che i responsabili del trattamento dei daticomunichino alle persone interessate se i dati che li riguardano sono raccoltipresso terzi e non direttamente presso di loro. Anche in questo caso il dirittoall'informazione consente di esercitare i diritti elencati in precedenza. Per favorire il dirittoallinformazione il gruppo di lavoro WP29 raccomanda di seguire una strategiadinformazione a vari livelli. A tal fine si potrebbericorrere a varie misure, ad esempio una nota dinformazione indicante chetutti i dati previsti dagli articoli 10 e 11 della direttiva, ed in particolarelidentit del responsabile e la finalit del trattamento, devono essereforniti in anticipo per poter cos garantire un trattamento equo dei dati. In primo luogo laCommissione dovrebbe pubblicare sul suo sito web una nota dettagliatacontenente le informazioni richieste a norma degli articoli 10 e 11 delladirettiva sulla tutela dei dati e le corrispondenti disposizioni delregolamento sulla tutela dei dati; nella stessa nota dovrebbero inoltre esseredescritte accuratamente le funzioni della Commissione e delle AC, con unriferimento esplicito, formulato in un linguaggio chiaro, ai diritti delle personedi cui vengono trattati i dati. In secondo luogo ogni ACdovrebbe inserire nel proprio sito una nota riguardante la privacy, con un linkalla nota sulla privacy pubblicata nel sito della Commissione. Infine, nel sistema IMI,come in altri ambiti, le notifiche e le informazioni necessarie devono esserecomunicate direttamente, individualmente e immediatamente dopo la trasmissionedei documenti da parte dei cittadini o delle AC. Tale obbligo dovrebbe essereillustrato esplicitamente a tutti i soggetti che intervengono nel sistema IMI. 5.2 Diritti di accesso,rettifica, cancellazione e blocco dei dati Larticolo 12 delladirettiva sulla tutela dei dati riguarda il diritto di accesso e rettifica: inaltri termini la persona ha diritto ad accedere ai propri dati personaliarchiviati per verificarne laccuratezza ed eventualmente apportarvi modifichese sono imprecisi, incompleti od obsoleti. Il sistema IMI deve essere concepitoin modo da garantire che venga rispettato il diritto di ogni individuo a consultaree rettificare i dati imprecisi, incompleti e obsoleti. Le persone devono inoltrepoter rettificare o cancellare i propri dati se il trattamento degli stessi non conforme alla direttiva sulla tutela dei dati, in particolare perlincompletezza o imprecisione dei dati medesimi (cfr. articolo 12, letterab)). Se i dati imprecisi oaltri dati non validi devono essere rettificati o bloccati, il responsabile deltrattamento deve informarne anche tutte le autorit competenti coinvolte neltrattamento illecito. Questa responsabilit deve essere indicata espressamente;a tal fine sarebbe estremamente utile per tutte le parti in causa disporre diuninterfaccia IMI concepita appositamente per permettere tale comunicazione.Potrebbe anche essere necessario istituire una procedura nel caso in cui icittadini decidano di esercitare il proprio diritto alla cancellazione deidati, per far s che i dati vengano effettivamente eliminati da tutti idatabase, anche quelli esterni al sistema IMI, istituendo anche un coordinamentofra le autorit competenti. Ogni eventuale diniego diaccesso deve fondarsi su una deroga specifica prevista dal diritto nazionale inmateria di protezione dei dati ed essere accuratamente motivato. Se lautorit interessatanon risponde entro un lasso di tempo ragionevole, o non solleva obiezioni,lautorit alla quale stata presentata la domanda di accesso pu decidere inbase alla propria legislazione nazionale. Se le autorit non concordano sullaconcessione dellaccesso, lautorit che ha fornito le informazioni dovrebbeessere quella deputata ad applicare in ultima istanza i criteri in materia diaccesso ai dati. Se laccesso negato,occorre specificarne chiaramente i motivi e informare la persona interessatadella facolt di contattare unaltra autorit competente per accedere ai datioppure di rivolgersi allautorit di controllo e tutela dei dati come previstodallarticolo 28, fatto salvo il diritto di avviare un procedimentogiudiziario. Un meccanismo dicooperazione analogo dovrebbe applicarsi anche in caso di rettifica,cancellazione o blocco dei dati. Se una richiesta di dativiene inviata alla Commissione, questultima pu autorizzare laccesso solo aidati ai quali essa stessa pu legittimamente accedere; in ogni caso, la personainteressata deve essere indirizzata verso lautorit che ha accesso alleinformazioni, nel rispetto delle garanzie introdotte dal regolamento sullatutela dei dati 5.3 Metodi diimpugnazione Un altro elemento cruciale dare la facolt agli interessati di adire le vie legali se vengono violati iloro diritti. Le persone che subiscono ripercussioni negative a seguito di untrattamento improprio o illecito dei dati personali devono inoltre avere ildiritto di chiedere un indennizzo per i danni subiti.
6. Sicurezza Secondo larticolo 17della direttiva sulla tutela dei dati, il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire laprotezione dei dati personali dalla distruzione accidentale o illecita, dallaperdita accidentale o dall'alterazione, dalla diffusione o dall'accesso nonautorizzati. Tali misure di sicurezza dovrebbero essere proporzionate allefinalit per le quali vengono rilevati i dati ed essere conformi alle norme in materia di sicurezza dei singoli Stati membri. Disposizioni analoghe vengonofissate anche nel regolamento sulla tutela dei dati. La legittimit di unsistema di trattamento dei dati che comporta rischi potenzialmente elevati dipende dalla possibilit di mantenere un livello sufficientemente elevato disicurezza dei dati in ogni elemento che determina la funzionalit del sistema. Inoltre, per garantire cheil sistema sia sicuro per i dati particolarmente sensibili che pu contenere(ad esempio quelli relativi alle sanzioni penali), secondo il WP29 essenziale imporre l'applicazione di una serie di provvedimenti specifici, di caratteretecnico ed organizzativo, che puntino ad evitare qualsiasi alterazione,perdita, trattamento o accesso non autorizzati e a garantire la riservatezza el'integrit delle informazioni. Questo documento non raccomanda alcun quadro ostrumento tecnologico specifico per la sicurezza dei dati, ma questi criteridevono essere rispettati per tutelare adeguatamente i dati personali nelcontesto dellIMI. Le misure di sicurezzadevono essere tali da consentire di: - evitare l'accesso alsistema da parte di persone non autorizzate; - controllare i datitrattati, quando sono stati trattati e da chi; - controllare l'immissionedei dati per evitare che vengano aggiunti dati o modificati quelli esistentisenza autorizzazione; - istituire controllisull'accesso per far s che gli utenti accedano solo ai dati che sono autorizzati a trattare; - controllare lacomunicazione per poter determinare quali sono le autorit autorizzate adivulgare determinati dati; - garantire la sicurezzadella trasmissione per evitare l'accesso, la copia, la modifica o l'eliminazione non autorizzati dei dati nel corso dello scambio diinformazioni. Altri provvedimentiriguardano la possibilit di fare copie di riserva (back-up Se la Commissione responsabile dellapplicazione di tali misure per quanto riguarda la funzionalit e la sicurezza del server centrale, l'utilizzo sicuro delle reti invece un elemento importante anche per gli Stati membri. La Commissione inoltretenuta a rispettare le disposizioni in materia di sicurezza fissate nel regolamento sulla tutela dei dati, che devono tuttavia essere interpretate allaluce delle buone prassi esistenti negli Stati membri. Le autorit competentisaranno tenute a conformarsi alle norme in materia di protezione dei dativigenti nei rispettivi Stati membri e alle disposizioni riguardanti lasicurezza dei dati fissate all'articolo 17 della direttiva sulla tutela deidati. Inoltre, poich la Commissione non ritiene necessario accedere ai datipersonali dei lavoratori o dei prestatori di servizi migranti presenti sulserver centrale, a parere del WP29 tali dati devono essere criptati pergarantire la sicurezza delle comunicazioni tra le autorit competenti degliStati membri e impedire cos alla Commissione di accedere effettivamente a talidati.
7. Notifica delleautorit di tutela dei dati e controllo preliminare
In applicazione degliarticoli da 18 a 20 della direttiva sulla tutela dei dati, le organizzazioni che utilizzano il sistema IMI saranno tenute a notificare il trattamento adalmeno alcune autorit nazionali di tutela dei dati o ad essere sottoposte adun controllo preliminare da parte loro. Negli Stati membri checontemplano tale procedura, le operazioni di trattamento potrebbero esseresoggette ad un controllo preliminare dell'autorit nazionale di tutela dei datise tali operazioni possono presentare un rischio specifico per i diritti e lelibert delle persone interessate. Ci potrebbe avvenire, ad esempio, se ildiritto nazionale consente di trattare i dati riguardanti presunti illecitipenali solo a determinate condizioni (che di per s potrebbero prevedere ilcontrollo preliminare da parte dell'autorit di vigilanza nazionalecompetente). Potrebbe anche accadereche l'autorit nazionale ritenga che le operazioni di trattamento possanoescludere gli individui di cui si trattano i dati dall'esercizio di un diritto,dal godimento di un beneficio o da un contratto. In tal caso, sar lalegislazione nazionale e la prassi dell'autorit nazionale di tutela dei datia decidere se tali operazioni di trattamento debbano essere sottoposte ad uncontrollo preliminare. L'articolo 20 delladirettiva sulla tutela dei dati prevede anche che il controllo preliminare possa avvenire durante il processo di elaborazione di un provvedimento delParlamento nazionale, o in base ad un provvedimento fondato su taleprovvedimento legislativo, in cui si definisce il tipo di trattamento e sistabiliscono appropriate garanzie. D'altra parte, ai sensidell'articolo 24 del regolamento sulla tutela dei dati, la Commissione europeaha nominato un responsabile della protezione dei dati personali. Le operazionidi trattamento dei dati svolte a livello della Commissione gli sarannonotificate come previsto all'articolo 25 del regolamento medesimo e l'IMI sarinserito nel registro del responsabile istituito dall'articolo 26. Consideratoil ruolo che la Commissione svolge nelle operazioni di trattamento dei dati inquesto caso specifico, improbabile che sia necessario l'intervento del garante europeo della protezione dei dati (articolo 27 del regolamento).
8. Trasferimento deidati personali a paesi terzi Il sistema IMI non concepito per consentire il trasferimento internazionale dei dati al di fuoridella Comunit europea; la sua finalit, espressa nel mandato di cui all'articolo34 della direttiva sui servizi, infatti lo scambio di informazioni tra Statimembri. Il WP29 desiderasottolineare che tali dati non devono essere trasferiti al di fuori del quadro IMI, perch i trasferimenti non rientrerebbero tra le finalit inizialmentepreviste per il trattamento dei dati. La trasmissione dei dati IMI verso paesiterzi costituirebbe in tal caso una violazione della limitazione all'uso deidati sancita dall'articolo 6, paragrafo 1, lettera b), della direttiva95/46/CE.
9. Conclusioni eraccomandazioni del WP29 1. Il sistema IMI deveessere concepito in totale conformit con i principi istituiti nelle normativeapplicabili in materia di protezione dei dati, tra cui la direttiva sullatutela dei dati e il regolamento sulla tutela dei dati. I principi dellaprotezione dei dati devono essere applicati correttamente allinterno delsistema, perch solo cos l'IMI potr realizzare tutte le sue potenzialit etutelare maggiormente il diritto fondamentale alla protezione dei datipersonali. 2. A tale proposito, ilWP29 intende sottolineare quanto sia importante rispettare le disposizioniriguardanti la qualit, la necessit e la proporzionalit dei dati ai finidella protezione degli stessi. Questi fattori devono essere considerati intutte le fasi che caratterizzano lo sviluppo del sistema IMI e da ognisoggetto coinvolto nelle varie operazioni, dall'elaborazione di richiested'informazione standard, alla selezione delle autorit competenti e altreancora. Il sistema e i dati contenuti devono essere notificati alle autoritdi protezione dei dati ed eventualmente essere sottoposti al loro controllo preliminare negli Stati membri che prevedono tali procedure a normadell'articolo 18 della direttiva sulla tutela dei dati. 3. L'IMI un sistemacomplesso che ha la possibilit di semplificare lo scambio delle informazionifornendo agli Stati membri degli strumenti supplementari, ma occorre unarigorosa osservanza dei principi fissati nella direttiva sulla tutela dei dati.Gli utenti del sistema devono essere particolarmente attenti e conformarsialle disposizioni nazionali e alla direttiva, visto che la comunicazionedigitale e la possibilit di allegare documenti potenziano notevolmente leloro capacit di trasmissione delle informazioni. Ove richiesto, inoltrenecessario mantenere il ruolo di vigilanza delle autorit nazionali incaricatedella tutela dei dati nonch altri controlli in vigore nei vari Stati membri.Nel contesto dell'IMI occorre infine riconoscere esplicitamente il ruolo particolare della Commissione europea descrivendo anche gli obblighicorrispondenti a tale ruolo. 4. Per permettere alleautorit competenti di utilizzare al meglio l'IMI in maniera conforme allenorme sulla protezione dei dati, occorre precisare i ruoli esattamente svoltida tutti gli utenti del sistema. cos necessario definire pi accuratamentechi sono i coordinatori IMI e le autorit collegate, con i relativi diritti eresponsabilit, nonch le informazioni particolari cui avranno accesso. Inquesto modo si potr ridurre al minimo il trattamento superfluo dei dati,tutelando i diritti dei cittadini e del personale delle autorit competenti,senza per questo pregiudicare l'efficienza dell'IMI. 5. importante definire conchiarezza le competenze e gli obblighi spettanti alla Commissione, aicoordinatori e alle autorit competenti, visto che i loro ruoli rispettivi nelcontesto dell'IMI si possono descrivere meglio come un controllo congiunto. 6. Con lo sviluppo dell'IMIsar necessario valutare nuovamente con attenzione le potenziali applicazionidel sistema per trasmettere dati sensibili, soprattutto nell'ambito dellaprima applicazione connessa alle direttive sulle qualifiche professionali esui servizi. Tali applicazioni non sono delle possibilit astratte, visto chesono gi enumerate, ad esempio all'articolo 56, paragrafo 2, della direttivasulle qualifiche professionali, secondo il quale possibile trasmettereinformazioni penali attraverso l'IMI. Non bisogna infine dimenticare che l'IMIsar quasi certamente utilizzato per trattare dati riguardanti la salute, gliilleciti penali o altre informazioni protette riguardanti la persona e perquesto sar imprescindibile ripensare e migliorare le misure di garanzia afini di sicurezza e verifica. 7. Ogni singola operazionedi trattamento dei dati deve imperativamente basarsi su motivazioni giuridicheindividuali e legittime, adeguate alla finalit e agli obiettivi specifici deltrattamento. 8. Ogni singola operazioneche avviene in ambito IMI deve fondarsi su una base giuridica pi concreta:ci mette in evidente rilievo la necessit di individuare espressamente gliobiettivi delle operazioni di trattamento dei dati che avvengono nel sistema.Solo se viene specificato un obiettivo chiaro i soggetti coinvolti nell'IMI potranno avere la certezza di rispettare i principi della necessit, dellaqualit dei dati e della proporzionalit nel corso del loro operato. Ciascunodi questi criteri riguarda direttamente la finalit del trattamento. Anche ilperiodo durante il quale possibile conservare i dati dipende daun'interpretazione specifica della finalit dell'operazione di trattamento:non possibile sapere se un compito stato portato a compimento se manca lacertezza sul risultato auspicato. In una rete di relazioni per il trattamentodei dati cos complessa come quella dell'IMI, dove pu essere poco chiaro chistia facendo cosa, assolutamente essenziale stabilire in maniera esplicitaquali sono gli obiettivi del trattamento e ottenere cos un comportamentoinformato in situazioni incerte. 9. Il sistema IMI nonpotr mai essere al servizio di 27 regimi nazionali diversi. Per questo necessaria una decisione pi specifica della Commissione, che dovr essere precisa e finalizzata ad approfondire i punti problematici discussi inprecedenza. Fatto a Bruxelles, il 21settembre 2007 Per il Gruppo di lavoro Il Presidente
1 GU L376 del 27.12.2006, pag. 36. 2 GU L255 del 30.9.2005, pag. 22. 3 Cfr.pag. 18 del documento COM (2006) 30 def., " ora di cambiare marcia - Ilnuovo partenariato per la crescita e loccupazione". 4 Cfr.pag. 3 del documento COM (2006) 689 def., "Esame strategico del programmaper legiferare meglio nellUnione europea". 5 Lefunzioni del DIMIC (coordinatore delegato IMI) e del NIMIC (coordinatorenazionale IMI) saranno illustrate nel punto 2.2, lettere c) e d). 6 GU L281 del 23.11.1995, pag. 31. 7 Sulconcetto di dati personali cfr. il parere 4/2007, WP 136. 8 Peresempio, la direttiva 2002/92/CE sulla intermediazione assicurativa stabiliscechiaramente in che misura le informazioni sulle sanzioni penali esullonorabilit siano importanti ai fini dellesercizio di tale attivitprofessionale. Larticolo 4, paragrafo 2, stabilisce cos che "[g]liintermediari assicurativi e riassicurativi devono possedere il requisitodell'onorabilit. Essi devono possedere almeno un certificato penale immacolatoo analogo requisito nazionale in riferimento a gravi illeciti penali connessicon reati contro il patrimonio o altri reati in relazione ad attivitfinanziarie e non devono essere stati dichiarati falliti, salvo che siaintervenuta la riabilitazione a norma del diritto nazionale 9 WP 65,http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2002/wp65_en.pdf
|